Rischio di recupero aziendale

Che cos’è il rischio di recupero aziendale?

Il rischio di recupero aziendale si riferisce all’esposizione a perdite di un’azienda a seguito di danni alla sua capacità di condurre le operazioni quotidiane. La perdita della capacità di condurre le operazioni quotidiane può derivare da interruzioni della catena di approvvigionamento, danni alle posizioni fisiche o perdita di accesso ai sistemi virtuali, tra le altre perdite.

Comprensione del rischio di recupero aziendale

L’analisi del rischio di ripristino aziendale implica la classificazione delle minacce in base all’impatto a breve, medio e lungo termine. Le minacce a breve termine possono includere danni ai sistemi informatici o l’incapacità dei lavoratori di raggiungere il luogo di lavoro a causa di disastri naturali. Le minacce da impatto a medio termine possono includere guasti alle infrastrutture o perdita di personale. Le minacce da impatto a lungo termine possono includere ingenti danni alla proprietà.

Le aziende affrontano il rischio di recupero aziendale nell’ambito del loro piano di continuità operativa (BCP). Viene creato un BCP per garantire che il personale e le risorse siano protetti e in grado di funzionare rapidamente in caso di disastro. Il BCP creerebbe un sistema di prevenzione e recupero da potenziali minacce. I rischi possono includere disastri naturali, come incendi, inondazioni o eventi meteorologici, o attacchi alla sicurezza informatica.

Dopo gli attacchi terroristici dell’11 settembre 2001, il rischio di ripristino aziendale è diventato una componente importante della gestione del rischio e dei piani di ripristino di emergenza. La negoziazione delle obbligazioni è stata chiusa per due giorni e ripresa il 13 settembre. La Borsa di New York e il Nasdaq hanno riaperto il 17 settembre, dopo la più lunga sospensione delle negoziazioni dalla Grande Depressione.1 La compensazione e il regolamento delle operazioni di pagamento hanno subito numerosi ritardi.

Un’analisi ha rivelato vulnerabilità nelle strategie di gestione del rischio utilizzate dalle istituzioni finanziarie. Ad esempio, mentre avevano pianificato disastri nei loro edifici, le aziende non avevano pianificato interruzioni a livello di area. Inoltre, i loro processi non hanno creato ridondanze per far fronte alle chiusure dei fornitori. La catena interdipendente di eventi dopo il disastro ha anche sottolineato l’importanza di un’azione concertata, in opposizione all’azione individuale, per garantire la continuazione dell’attività.

La pianificazione della continuità operativa e il ripristino di emergenza sono diventati una disciplina sofisticata con certificazioni e pianificazione che coinvolge tutti i reparti di un’istituzione, dal senior management al personale di sicurezza responsabile dell’amministrazione. Quando si sviluppa un piano di continuità aziendale, ci sono generalmente quattro passaggi che un’azienda deve seguire: analisi dell’impatto aziendale, ripristino, organizzazione e formazione.

Durante la fase di analisi dell’impatto sul business, l’azienda identificherà le funzioni e le risorse che sono sensibili al fattore tempo. Nella fase di ripristino, l’azienda identificherà come recuperare le funzioni aziendali critiche. Nella fase di organizzazione, l’azienda forma un team di continuità che creerà quindi un piano per gestire l’interruzione. Infine, nella fase di formazione, i membri del team di continuità devono testare la loro strategia e completare esercizi che rivedono il piano e la strategia.