3 RUOLI E RESPONSABILITÀ
3.2 Ambito di attivazione del Piano di Continuità Operativa
Di seguito è rappresentata la struttura del Modello Organizzativo per la Gestione delle Crisi in relazione all’ambito di attivazione del Piano di Continuità Operativa:
Di seguito sono riportati i ruoli e le principali responsabilità di ciascun attore coinvolto nel processo. Per la precisa declinazione delle responsabilità di ciascuno di essi si rimanda al Modello Organizzativo per la Gestione delle Crisi per il Gruppo Intesa Sanpaolo.
Comitato di Crisi
Il ruolo di Comitato di Crisi è assunto dal Comitato di Direzione – Sessione Analisi dei Rischi di Gruppo. Tale Comitato, deputato a ratificare la dichiarazione dello Stato di Crisi, è un organismo di Gruppo avente potere deliberativo, consultivo e informativo costituito allo scopo di assicurare il coordinamento e la gestione integrata dei rischi e la salvaguardia del valore aziendale a livello di Gruppo, ivi compreso il buon funzionamento del sistema dei controlli interni.
Crisis Manager
Il ruolo di Crisis Manager è assunto dal responsabile dell’Area di Governo Chief IT, Digital and Innovation Officer (CITDIO). Il Crisis Manager è il Responsabile complessivo della definizione del piano degli interventi necessari per il superamento delle criticità, della sua attivazione, del coordinamento e della supervisione di tutte le componenti previste dal
Fig. 1: Struttura del Modello Organizzativo per la Gestione delle Crisi in relazione all’attivazione del Piano di Continuità Operativa
14
Modello Organizzativo per la Gestione delle Crisi. Durante la gestione dell’evento critico è responsabile di relazionare costantemente il Comitato di Crisi circa l’evoluzione della crisi.
Unità di Emergenza
L’Unità di Emergenza ha la responsabilità del coordinamento generale dell’evento critico e dell’attivazione delle contromisure definite, oltre alla gestione del collegamento tra il Vertice aziendale e le Funzioni aziendali coinvolte nella gestione dell’emergenza.
L’Unità di Emergenza è composta dal Crisis Manager, dai Referenti per le Crisi di livello Manageriale, dalle Funzioni di Supporto, dalle Funzioni Competenti e di Monitoraggio e dal Nucleo Operativo Gestione Emergenze (NOGE). Possono inoltre confluire nell’Unità di Emergenza, qualora la situazione lo rendesse necessario, i fornitori critici e ogni altra risorsa del Gruppo che, per competenza ed esperienza, possa contribuire al superamento dell’emergenza.
Qualora venga attivato il Piano di Continuità Operativa di Gruppo, l’Unità di Emergenza assume il ruolo di coordinamento operativo ed è responsabile del coinvolgimento di tutte le risorse previste dal Piano di Continuità Operativa di Gruppo. In particolare, per l’attivazione del Piano di Continuità Operativa relativamente allo scenario di inaccessibilità dei locali, il Crisis Manager opera di concerto con il Chief Cost Management Officer (CCMO), mentre per lo scenario di indisponibilità del personale essenziale opera di concerto con il Chief Operating Officer (COO).
Nucleo Operativo Gestione Emergenze
Il Nucleo Operativo Gestione Emergenze (NOGE) opera all’interno dell’Unità di Emergenza con primarie funzioni di supporto, monitoraggio e coordinamento operativo. Il Nucleo Operativo Gestione Emergenze (NOGE) è individuato nella struttura Cybersecurity and Business Continuity Management, utilizzando le competenze della Funzione di Continuità Operativa e, per gli eventi critici che hanno determinato impatti di sicurezza informatica, la Funzione di Sicurezza Informatica.
Funzioni Impattate
Le Funzioni Impattate sono le Funzioni aziendali la cui operatività può essere compromessa a seguito di un evento critico. In linea generale sono le Funzioni aziendali che possono vedere pregiudicata l’erogazione di servizi e processi di cui sono direttamente responsabili o dei quali beneficiano.
Funzioni Competenti e di Monitoraggio
Le Funzioni Competenti e di Monitoraggio sono le Funzioni aziendali che si attivano per il superamento delle problematiche connesse alle risorse aziendali e attività operative e/o di business di cui sono responsabili. Garantiscono inoltre il monitoraggio e l’allineamento periodico per gli aspetti di competenza. Per gli scenari di continuità operativa ed in particolare per le soluzioni tecnologiche ed infrastrutturali, il ruolo di Funzione Competente e di Monitoraggio viene in linea generale assunto dagli Enti Realizzatori.
Funzioni di supporto
15
Le Funzioni di Supporto sono Funzioni aziendali che vengono interpellate per fornire consulenza e supporto su problematiche specifiche attinenti alla propria area di competenza (es. area commerciale, finanza, legale, comunicazione, investor relations, Data Protection Officer (DPO)).
Rivestono particolare importanza le funzioni deputate a gestire le comunicazioni interne (es. verso dipendenti, le organizzazioni sindacali, ecc.), le relazioni esterne (es. verso la clientela, le autorità pubbliche, le autorità finanziarie, ecc.) e le comunicazioni verso gli investitori.
Struttura deputata al governo degli eventi critici
Il ruolo di Struttura deputata al governo degli eventi critici è assunto dalla struttura Cybersecurity and Business Continuity Management. La Struttura deputata al governo degli eventi critici, collabora all’analisi degli impatti causati dagli eventi critici per la continuità operativa con le Funzioni Competenti e di Monitoraggio e le Funzioni Impattate.
Referenti per le Crisi
I Referenti per le Crisi costituiscono all’interno del Gruppo un vero e proprio network permanente con il compito di assicurare, a fronte di eventi critici, l’opportuna escalation delle informazioni e delle decisioni a tutti i livelli del Modello, garantendo quindi un presidio sia operativo sia manageriale.
Il network, durante l’attività ordinaria, svolge anche un ruolo di monitoraggio delle potenziali criticità segnalando le situazioni che pur non caratterizzandosi come emergenze in senso stretto, possono costituire una minaccia alla corretta operatività di business. Tutte le Strutture di Gruppo previste dal presente documento provvedono a nominare al proprio interno:
• uno o più Referenti di livello Manageriale che partecipano ai tavoli decisionali ed all’Unità di Emergenza;
• uno o più Referenti di livello operativo che partecipano, ognuno per la propria competenza, all’analisi degli impatti, al monitoraggio e alla definizione delle contromisure da adottare prendendo parte, ove necessario, all’Unità di Emergenza.
In taluni casi i Referenti per le Crisi di livello Manageriale e di livello Operativo possono coincidere.
Affinché il network dei Referenti per le Crisi rappresenti un valido e concreto strumento di prevenzione e gestione delle diverse situazioni di crisi, di seguito si definiscono le regole generali per l’individuazione dei Referenti per le Crisi.
Il ruolo di Referente Manageriale viene assunto dai livelli gerarchici più alti di ogni struttura di riferimento.
In presenza di un Piano Settoriale il Referente Manageriale coincide con il Referente del Piano Settoriale stesso.
Il Referente operativo è rappresentato da un adeguato livello gerarchico delle Unità Organizzative che gestiscono processi a rilevanza sistemica o che gestiscono nella propria struttura organizzativa il maggior numero di attività critiche.
16
Ogni referente individua un proprio sostituto in coerenza con quanto previsto dal Modello Organizzativo per la Gestione delle Crisi.
La puntuale individuazione dei referenti è riportata nelle liste di contatto a disposizione dell’Unità di Emergenza. Tale lista è oggetto di periodica manutenzione da parte del NOGE, che tiene presente anche le modifiche organizzative attuate tempo per tempo dalle organizzazioni aziendali.
17