In una recente lezione all’università, incentrata sulla continuità del business e nella gestione dell’emergenza, ho fatto vedere uno spezzone del film “Deepwater -Inferno sull’Oceano”; il film riguarda i tragici eventi avvenuti nell’aprile del 2010 nel Golfo del Messico e che provocarono la morte di 11 lavoratori. La piattaforma petrolifera, denominata Deepwater Horizon, era posizionata nel Golfo del Messico e la società proprietaria BP fu condannata a oltre 8 miliardi di dollari per danni.
Vi sono, nel film, diversi comportamenti interessanti ai fini della Sicurezza, ma un episodio che desidero qui segnalare è quello che riguarda Mr. Jimmy Harrel, Offshore Installation Manager, e il suo dibattito con i rappresentanti della Società BP, proprietaria del pozzo.
Il manager chiede se è stato fatto un test dopo che una società, da loro incaricata, aveva iniettato il cemento che, lui ricorda, è “l’unica cosa che protegge tutto dal “blowout”, ossia, dal disastro totale”. E quindi afferma “se la cementizzazione è compromessa, è tutto compromesso”. Dalla risposta ricevuta, Mr. Jimmy capisce che il test non è stato eseguito ed aggiunge: “mi sembrate mio nonno che non si passava il filo interdentale fra i denti. Lui non andava mai dal dentista per non sentirsi dire che c’erano problemi, se no poi avrebbe dovuto occuparsene”.
Quante volte è successo in azienda che il vertice aziendale non chiede un rapporto sulla situazione reale, nei riguardi della continuità operativa, da parte dei suoi manager o, meglio, da parte di una società terza, indipendente? Per quale ragione ciò accade? Come dice Mr. Jimmy del nonno: “altrimenti se ne sarebbe dovuto occupare”.
Una domanda viene legittima: qualora dovesse capitare un disastro che interrompe per lunghi tempi l’operatività, è pronta la organizzazione a sopportare i danni economici e spesso di immagine che ne conseguono?
L’azienda conta forse di ottenere il rimborso dei danni dalla polizza assicurativa stipulata? Bisogna stare attenti: in alcuni casi si è saputo che la impresa assicuratrice non ha pagato la “business interruption” ed i danni diretti, avendo riscontrato difformità fra il questionario compilato dall’azienda all’atto della sottoscrizione della polizza e la realtà riscontrata dai periti ed ispettori: ciò per quanto attiene le misure di sicurezza preventive, di contingency e di recovery presenti al momento del sinistro. D’altra parte, domandiamoci, come può una impresa assicuratrice rimborsare le perdite subite dal business qualora non siano state adottate almeno le misure di sicurezza del “buon padre di famiglia”? C’erano i piani di continuità? Erano testati periodicamente? Erano a conoscenza di tutto il personale interessato? Erano stati auditati da una terza parte? Quali misure erano state adottate? E così via.
Il direttore generale di un’azienda di medie dimensioni mi disse che, in base alla sua esperienza, affrontare un piano di business continuity richiede un elevato impegno da parte del personale dell’azienda, tempi lunghi e, non ultimo, costi esorbitanti.
Approfondendo il discorso è emerso che, mentre era stato indicato dalla società di consulenza cosa si sarebbe dovuto fare, non era chiaro il “come” fare; ne era quindi seguito un progetto complesso e dispendioso che aveva tra l’altro riguardato tutti i processi di business.
Eppure non è difficile capire come procedere nel progetto se si segue lo standard ISO22301, erede del BS25999, applicato da tanti anni in molte aziende, piccole, medie e grandi. Lo standard, supportato anche dall’ISO22313, è assai chiaro e va utilizzato tenendo sempre conto degli interessi e delle aspettative degli stakeholders, e dei criteri di rischio.
Lo standard può essere applicato gradualmente, dando priorità di intervento ai prodotti e servizi che sono assolutamente vitali per la sopravvivenza dell’impresa.
Dallo studio dei processi sottostanti, l’esperienza dimostra che si riesce ad individuare quelle misure preventive che permettono di ridurre le probabilità di accadimento di una loro grave e prolungata interruzione, nonché, di comprendere quali attività attivare qualora il disastro dovesse avvenire: ciò ai fini di ridurre le conseguenze dell’impatto e far gradualmente ripartire i processi e servizi vitali in tempi e modalità tali da limitare il più possibile i danni.
È da notare, sottolineo, che non si tratta di far ripartire tutta l’azienda in tempi brevi, e non si parla di impedire qualsiasi tipo di disastro, bensì di limitare i danni. Fra le misure preventive da adottare, assume anche una elevata importanza la predisposizione preventiva delle comunicazioni da dare a tutte le parti interessate, media inclusi.
Il mio consiglio, nei riguardi delle aziende che “preferiscono non andare dal dentista”, è quindi di farsi spiegare da un lead auditor ISO22301 come si applica lo standard. E partire poi da lì per arrivare ai processi e servizi vitali per la sopravvivenza dell’azienda e, quindi, alla formulazione di ipotesi di limitazione dei danni.
Si tratta di ragionare, coinvolgendo tutti coloro che possono dare un contributo fattivo nelle importanti fasi di business impact analysis, risk assessment e risk treatment. Niente di estremamente costoso o impossibile. Le possibili soluzioni le conoscono i singoli responsabili operativi: si tratta di identificarle, valutarle ed applicarle.
Anthony Cecil Wright