4 MACRO PROCESSO DEL BUSINESS CONTINUITY MANAGEMENT SYSTEM
4.2 Plan – Stabilire la continuità operativa
La progettazione, l’implementazione e la gestione del Business Continuity Management System richiede la comprensione del contesto in cui il Gruppo opera e dei rischi ad esso associati, la conoscenza dei processi aziendali e un approccio volto a sviluppare competenze sulle varie componenti aziendali.
È necessario individuare e definire i requisiti che determineranno le strategie di continuità operativa che la Società sceglierà di perseguire.
La comprensione dell’organizzazione e del contesto interno ed esterno in cui il Gruppo opera è legata ai seguenti fattori:
• obiettivi e mission aziendale;
• processi/servizi critici e/o sistemici che supportano tali obiettivi;
• attività, asset e risorse (umane, logistiche, tecnologiche, infrastrutturali) a supporto di tali processi/prodotti/servizi;
• minacce e relativi rischi che possono portare ad una indisponibilità dei processi/prodotti/servizi;
20
• impatto e possibili conseguenze nel tempo di una indisponibilità di processi, attività, risorse e asset.
Nello stabilire il Business Continuity Management System, occorre anche individuare gli stakeholder della continuità operativa, cioè soggetti ed organismi che richiedono l’implementazione da parte delle Banche e Società di Piani atti a garantire la disponibilità dei più rilevanti processi di business a fronte di eventi critici. Tra questi si segnalano (cfr.
Figura 3):
o le Autorità di Vigilanza del sistema finanziario, ove opera prevalentemente il Gruppo, che hanno emanato specifiche disposizioni normative relative alla Business Continuity.
• i regolatori locali che hanno emesso specifiche disposizioni legislative/regolamentari in materia di continuità operativa cui le Società del Gruppo devono ottemperare;
• il Comitato di Basilea che ha richiamato l’attenzione delle banche sulla necessità di porre in essere degli interventi per prevenire, contenere e monitorare i rischi operativi diretti o indiretti derivanti da processi interni, persone, sistemi o eventi esterni;
• altri operatori/intermediari del sistema finanziario che possono essere impattati dal blocco operativo prolungato di una Banca;
• la clientela, in particolare quella istituzionale, le banche estere e la componente corporate che richiedono sempre maggiori garanzie ed evidenze dei piani di continuità operativa in essere.
4.2.2 Ambito del Business Continuity Management System
L’ambito del Business Continuity Management System abbraccia tutte le Società del Gruppo ed è costituito dai processi a rilevanza sistemica o critici per il business aziendale, identificati tramite la Business Impact Analysis (BIA) e in accordo con le Disposizioni di Vigilanza oltre che con le politiche e gli indirizzi in materia di governo dei rischi definiti dal vertice aziendale.
Fig.3: stakeholder della Business Continuity per il Gruppo Intesa Sanpaolo
21
Tale ambito viene rivisto in concomitanza di cambiamenti organizzativi o tecnologici rilevanti o, comunque, almeno annualmente, nell’ottica di mantenerlo aggiornato al fine di rispondere alle esigenze via via applicabili al contesto Intesa Sanpaolo, alla luce della strategia e degli obiettivi aziendali, nonché dei requisiti legali e normativi. In generale devono essere coperti dalle soluzioni di continuità operativa i processi il cui fermo può comportare impatti economico/finanziari, normativi e d’immagine rilevanti per il Gruppo, anche qualora essi siano svolti da fornitori esterni. Un’attenzione particolare è rivolta, per l’ambito domestico, ai processi a rilevanza sistemica, ovvero alle aree più critiche relative all’accesso ai mercati finanziari, ai sistemi di pagamento e regolamento e più in generale ai processi a rilevanza contabile e/o ad alto impatto sul pubblico.
Le Disposizioni di Vigilanza e gli eventuali regolamenti locali prevedono requisiti specifici che è necessario rispettare; in particolare la normativa emessa da Banca d’Italia (Circolare n. 285 del 17 dicembre 2013 e successivi aggiornamenti) ha stabilito, in maniera puntuale, l’ambito del Piano di Continuità Operativa per gli operatori della piazza finanziaria italiana comprendendo anche le controparti rilevanti (altre società del Gruppo, principali fornitori, clientela primaria, specifici mercati finanziari, sistemi di regolamento, compensazione e garanzia).
L'operatività del sistema finanziario nel suo complesso si basa sul corretto funzionamento dei maggiori operatori e sulla loro capacità di erogare i servizi essenziali. Banca d’Italia comunica a ciascun operatore, individuato nominativamente tra quelli che superano determinate soglie dimensionali, i processi a rilevanza sistemica di pertinenza. Vengono così denominati i processi ad alta criticità nel sistema finanziario italiano che, per un effetto di contagio, possono provocare il blocco dell'operatività dell’intera piazza finanziaria nazionale. Si tratta di un complesso strutturato di attività finalizzate all'erogazione dei seguenti servizi:
• servizi connessi con i sistemi di regolamento lordo in moneta di banca centrale e con i sistemi di gestione accentrata, compensazione, garanzia e liquidazione degli strumenti finanziari. Sono inclusi: regolamento lordo in moneta di banca centrale (Target 2), liquidazione di strumenti finanziari (Express II), gestione accentrata di strumenti finanziari, sistemi di riscontro e rettifica giornalieri, servizi di controparte centrale;
• servizi connessi con l’accesso ai mercati rilevanti per regolare la liquidità del sistema finanziario. Sono inclusi: sistemi multilaterali di scambio di depositi interbancari in euro (e-Mid), aste BCE, operazioni di finanziamento del Tesoro effettuate tramite asta, Mercato dei pronti contro termine all’ingrosso su titoli di Stato (MTS comparto PCT);
• servizi di pagamento al dettaglio a larga diffusione tra il pubblico. Sono inclusi: bollettini postali, pagamento delle pensioni sociali, erogazione del contante;
• servizi strettamente funzionali al soddisfacimento di fondamentali esigenze di liquidità degli operatori economici, il cui blocco ha rilevanti effetti negativi sull’operatività degli stessi. Sono inclusi: gestione delle infrastrutture telematiche per l’erogazione del contante tramite terminale ATM, supporto ad applicazioni e servizi rientranti nell’ambito della “Convenzione per la partecipazione al Sistema per la trasmissione telematica di dati” (SITRAD).
4.2.3 Framework della continuità operativa
Il framework di continuità operativa adottato dal Gruppo mutua la visione integrata presente nelle Disposizioni di Vigilanza di Banca d’Italia ed è composto da una molteplicità
22
di elementi che insieme garantiscono il presidio dei rischi attraverso la definizione di soluzioni di carattere organizzativo, infrastrutturale e tecnologico e la fruibilità e la manutenzione nel tempo delle soluzioni, anche attraverso attività di test e verifica.
Ogni Società del Gruppo è tenuta a valutare la necessità di sviluppare le proprie soluzioni di continuità operativa per la gestione delle emergenze, in funzione dello specifico profilo di rischio, della criticità dei processi, della rilevanza per il sistema finanziario e per il Gruppo, in accordo con le Disposizioni di Vigilanza eventualmente vigenti a livello locale e con le strategie definite dalle Funzioni di Governo, Indirizzo e Controllo.
Il framework di continuità operativa del Gruppo è caratterizzato dai seguenti elementi fondamentali:
• quadro normativo (Linee Guida, Regole e processi, metodologie);
• crisis management (Modello Organizzativo per la Gestione delle Crisi per il Gruppo Intesa Sanpaolo);
• Piano di Continuità Operativa e Piani Settoriali (Business Impact Analysis, soluzioni organizzative, soluzioni tecnologiche, soluzioni infrastrutturali);
• test (verifiche sul Piano di Continuità Operativa/Piani Settoriali e simulazioni crisi);
• controlli;
• formazione, manutenzione e miglioramento continuo.
La figura seguente schematizza tale schema logico:
I framework delle Società del Gruppo devono essere coerenti con quello definito dalla Capogruppo che ricopre un ruolo di indirizzo fornendo supporto metodologico.
Fig.4: Il framework di Continuità Operativa del Gruppo Intesa Sanpaolo
23
Il framework di continuità operativa trova in ultima istanza riscontro nella documentazione prodotta che ne rappresenta la contestualizzazione di dettaglio. In tal senso uno degli aspetti più importanti del Business Continuity Management System è la gestione della documentazione che deve essere:
• semplice e facile da comprendere;
• conforme rispetto ai requisiti di carattere normativo;
• fruibile, anche in situazioni di emergenza;
• efficace, riuscendo a fornire supporto manageriale, operativo e alle attività di controllo.
Il tipo di documentazione prodotta e il relativo livello di dettaglio sono fattori che dipendono da molteplici parametri, quali ad esempio le dimensioni aziendali, il contesto interno ed esterno di riferimento, le disposizioni legislative, la natura dell’organizzazione.
Gli obiettivi principali che un sistema documentale di Business Continuity Management deve consentire di perseguire, sono:
• la capacità di gestire l’insieme delle attività in maniera appropriata;
• riuscire a dimostrare l’adeguatezza del Business Continuity Management System in occasione di verifiche/controlli/ispezioni;
• essere attuale e efficace, consentendo, in caso di evento disastroso, la gestione della crisi e la ripartenza delle attività dei processi.
4.2.4 Awareness, formazione e comunicazione
Per la definizione, l’implementazione, la manutenzione e il miglioramento continuo del Business Continuity Management System è necessario integrare la continuità operativa nella cultura aziendale, consentendogli di divenire parte dei valori chiave dell’organizzazione, accrescendo al tempo stesso la fiducia degli stakeholder circa la capacità della Società di far fronte ai fermi nell’operatività e alle situazioni di emergenza.
Il successo nello sviluppo e nell’implementazione di un sistema di Business Continuity Management, in un contesto organizzativo caratterizzato da elementi culturali eterogenei, dipende dalla capacità di integrazione di componenti quali, ad esempio, l’awareness e la formazione nella gestione strategica ed operativa dell’azienda, oltre che nelle priorità del business.
Lo sviluppo di una cultura della continuità operativa può essere conseguito attraverso:
• la definizione delle responsabilità;
• la formazione di competenze sia specifiche che generali in ambito di Business Continuity;
• una politica di Business Continuity awareness.
L’integrazione degli elementi culturali legati alla continuità operativa permette ad un’organizzazione di:
• sviluppare/attuare il sistema di Business Continuity Management in maniera più efficiente;
24
• infondere maggiore fiducia in generale negli stakeholders circa la capacità di gestire eventi di crisi/emergenze;
• assicurare che le implicazioni e gli aspetti correlati a tematiche di Business Continuity siano presi in considerazione a tutti i livelli aziendali.
Il processo di integrazione del Business Continuity Management all’interno della cultura aziendale è, generalmente, un’iterazione regolare delle seguenti tre attività:
• valutazione dell’attuale livello di consapevolezza e commitment sul BCM rispetto al livello desiderato, in modo tale da identificare lo scostamento esistente in termini di training/interventi mirati;
• progettazione e rilascio di contenuti formativi finalizzati a creare/rafforzare il livello di consapevolezza aziendale sulle tematiche in oggetto, sviluppando gli skill, le conoscenze e il commitment richiesti per una gestione efficace della continuità operativa;
• verifica del raggiungimento dei risultati programmati, monitorando il livello di Business Continuity awareness nel medio-lungo termine.
Le nuove piattaforme formative multi-device (Apprendo e App Scuola dei Capi) integrano le modalità più tradizionali di formazione in aula o da remoto.
È altresì necessario definire gli aspetti fondamentali della comunicazione, interna ed esterna, relativa al Business Continuity Management System, ovvero:
• cosa comunicare;
• quando farlo;
• a chi comunicare.
Le strategie e gli strumenti di comunicazione, sono anche definiti nelle specifiche normative che disciplinano i rapporti con le Autorità di Vigilanza. Particolare attenzione deve essere posta alle fasi di comunicazione all’Organo di Vigilanza sia in situazioni di crisi sia in fase di rendicontazione annuale.