Benché molti tendano ancora a confondere i due ambiti, il concetto di resilienza aziendale si estende ben oltre il tema della continuità operativa. Certo, un'organizzazione resiliente è anche e soprattutto in grado di garantire la business continuity nel momento in cui si verificano avversità o eventi inaspettati. Ma la vera resilienza aziendale – intesa come capacità di far fronte e reagire al cambiamento senza stravolgere le direttive dell'impresa – ha più a che fare con il costante adattamento della catena di controllo dei processi.
Sviluppare una sufficiente resilienza aziendale vuol dire in questo senso predisporre strumenti e skill per identificare e valutare rischi e minacce che possono generare effetti indesiderati sull'output di business in modo da prendere tempestivamente le dovute contromisure per evitare – o quanto meno minimizzare i danni – mantenendo dritta la barra strategica
La resilienza aziendale si evolve insieme alla struttura dell'impresa
Parliamo quindi di una serie di attività che non hanno né un inizio né una fine, ma che, evolvendosi insieme alla struttura dell'impresa, dovrebbero costituire parte integrante di qualsiasi task, processo operativo e iter decisionale. Il cambiamento, infatti, per quanto l'idea non piaccia a nessuno, è continuo. Sia che risulti evidente e dirompente, sia che si presenti come un silente, lento fattore di assestamento, il cambiamento è intrinseco tanto all'interno dell'organizzazione aziendale quanto nei contesti in cui essa si muove. Una adeguata resilienza aziendale, dunque, può essere raggiunta solo se, prima di ogni altra cosa, si matura questa consapevolezza. Il che implica una vera e propria rivoluzione culturale, da cogliere a livello di board e soprattutto da trasmettere a tutti i livelli dell'impresa.
Una volta compiuto questo primo, decisivo passo, bisogna passare all'azione e rafforzare la catena di controllo con un approccio di lungo termine, integrando le nuove funzioni nel quadro più generale dell'Operational Risk Management e dell'ICT Risk Management. Sono infatti queste le due dimensioni principali su cui, oggi, va costruita la resilienza aziendale. Se è plausibile pensare che il monitoraggio dei processi operativi si regga su buone pratiche e professionalità consolidate, discorso diverso va probabilmente fatto per tutto quello che concerne la gestione del rischio informatico e cyber, e specialmente la sua integrazione con il versante squisitamente operativo.
Siamo del resto tutti consapevoli di come ormai buona parte dei processi aziendali faccia leva su strumenti digitali e su infrastrutture logiche connesse a Internet. Le nuove tecnologie sono ormai essenziali per garantire una produttività che prescinde dal luogo fisico in cui si trova il workplace e per accedere in tempo reale a risorse che semplificano e potenziano gli strumenti di lavoro, come cloud e, sempre più spesso, soluzioni di intelligenza artificiale. La loro compromissione – per un incidente informatico di natura endogena o a causa di un attacco esterno andato a buon fine – si ripercuoterà dunque inevitabilmente sul normale funzionamento delle operations, contribuendo a minare la resilienza aziendale nel breve e nel lungo periodo.
Garantire la resilienza aziendale: un nuovo approccio alla raccolta e all'analisi dei dati
Ecco perché occorre istituire procedure univoche e trasparenti di raccolta e analisi dei dati, procedure che non si limitino ad attraversare l'intera organizzazione, ma che mettano anche a fattor comune, aggiornandoli costantemente, gli elementi quanti-qualitativi che connotano i processi operativi in senso stretto e gli input che consentono di costruire KPI efficaci sullo stato di salute delle infrastrutture e delle piattaforme IT.
Solo interpolando le due dimensioni con informazioni qualificate – e superando così gli ostacoli tassonomici e definitori che di solito contraddistinguono le diverse prospettive da cui in azienda si osservano i fenomeni – diventa possibile stabilire relazioni coerenti di causa-effetto tra le minacce individuate e le possibili ricadute sull'operatività, scegliendo di volta in volta le azioni migliori da intraprendere per mitigare i rischi, adattando dinamicamente la catena di controllo e garantendo in ultima analisi la resilienza aziendale.
Topic: Risk Management, Risk Governance
Post Correlati
