La gestione delle crisi in azienda
Le PMI non hanno un piano per fronteggiare le crisi. Questo è quello che emerge dal seminario organizzato da Skillab sulla Business Continuity
È sempre illuminate partecipare ai seminari organizzati su questo genere di temi. Il 13 febbraio ho avuto modo di assistere all’evento organizzato da Skillab (l’ente di formazione di riferimento per l’Unione Industriale di Torino) in collaborazione con Il Geneva Centre for Security Policy (una fondazione internazionale costituita nel 1995, con 51 Stati membri con lo scopo di promuovere la pace, la sicurezza e la cooperazione internazionale).
Un gruppo di relatori di livello e variegato, composto dal Generale Carlo Cabigiosu, dall’ avvocato Pietro Mulatero (AD di FATA Logistics spa), dal dottor Carlo Maria Breziglia (responsabile Information Security e Business Continuity di Intesa San Paolo Group Service) e dal professor Antonio Lioy (docente di Computer System Security del Dipartimento di Automatica e Informatica del Politecnico di Torino).
La Business Continuity è la capacità di una impresa di proseguire la propria attività anche nel caso in cui sia colpita da disastri dovuti a cause naturali o al fattore umano.
La presa di coscienza da parte delle aziende della necessità di riflettere – e di essere preparate – su questo tema è il primo passo verso la pianificazione di strategie che siano in grado di mitigare gli effetti dirompenti di tali eventi e garantire la sopravvivenza dell’organizzazione.
Un piano di Crisis Management è, dunque, lo strumento di azione per la gestione e il superamento di grandi eventi e sulla importante questione del decision-making davanti agli stessi.
Purtroppo, il quadro che emerge dalle statistiche è poco incoraggiante: sono poche le organizzazioni – sia pubbliche che private – che non hanno un piano di Business Continuity (BCP) e ancora meno quelle che lo hanno coerente con la loro realtà e facilmente attuabile. Il dato su cui riflettere è che quasi la totalità delle PMI ne è priva.
Ma da dove sorge questa mancanza? Un ruolo rilevante lo giocano la relativa mancanza di fondi da destinare a un progetto del genere, l’insensibilità delle dirigenze in tal senso, la scarsa attitudine a progettare strategie di lungo periodo.
Questo porta le imprese e il sistema economico a essere fragile in occasione di determinati eventi.
La crisi, di per sé, è da considerarsi come un qualunque evento che possa mettere a repentaglio l’operatività, la produzione, il patrimonio, le risorse economiche, la posizione sul mercato o l’immagine aziendale o la percezione che il pubblico ha dell’ente. Tale evento è spesso di genere naturale, ma da quando i computer e l’automazione hanno assunto un ruolo sempre più rilevante nella vita economica mondiale, gli eventi critici hanno iniziato a diventare anche colpa dell’intervento umano; senza dimenticare le attività criminose e terroristiche che, da sempre, costituiscono un pericolo.
Tutelarsi prevenendo la crisi e sapendo come agire durante il suo svolgimento, quindi, è cruciale e può rappresentare un vantaggio competitivo non indifferente. Basti pensare che dopo gli attentanti di Londra nel 2007, molte compagnie di assicurazione tendono a non coprire alcuni danni (per esempio da mancati ricavi) in assenza di un BCP. C’è da aspettarsi che accadrà così anche in Italia? Per il momento, non credo.
In estrema sintesi, questi sono i punti su cui ritengo (e consiglio caldamente di farlo) sia importante riflettere:
- Bisogna gestire la crisi in tempo di pace, ossia bisogna fare prevenzione e organizzarsi prima che avvenga il disastro (per esempio una violazione dei dati personali, un incendio, la mancanza di mezzi o l’indisponibilità di persone o strutture e locali);
- Bisogna pianificare gli interventi e le strategie dell’impresa;
- È opportuno fare simulazioni degli eventi dannosi, testare i sistemi di prevenzione e protezione e “allenare” tutti i membri dell’organizzazione;
- L’IoT è percepita come la sfida principale sul fronte della sicurezza informatica, considerando anche il suo impatto sulla privacy”;
- Bisogna fare attenzione e considerare tutta la filiera e tutti i soggetti interni ed esterni coinvolti nella propria attività (supply chain);
- Bisogna creare una cultura aziendale;
- Il rispetto delle leggi e dei regolamenti (GDPR, Dlgs 81/2008, Dlgs 231/01, ISO, linee guida…) e la compliance sono anche un utile strumento per ridurre determinati aspetti del rischio e creare consapevolezza e cultura, soprattutto nel management;
È utile raccogliere informazioni e studiare gli incidenti, i disastri e i “quasi incidenti”, nell’ottica di un continuo monitoraggio e di un continuo miglioramento.