Essere sostenibili
Il sistema di gestione della Business Continuity
[G4-EC7], [G4-EC8] TIM considera il processo di Business Continuity1 un elemento fondamentale per la tutela del valore e della reputazione del Gruppo nell’erogazione dei propri servizi/prodotti e nel pieno rispetto di quanto definito nei contratti con i clienti, nella normativa di settore e, più in generale, in coerenza con le metodologie e gli standard internazionali di riferimento.
TIM adotta, a livello di Gruppo, un Business Continuity Management System (BCMS) come modello di controllo e gestione della continuità operativa dei processi anche attraverso attività di prevenzione, considerando sia gli aspetti tecnologici (sistemi IT, network, facility, etc.) sia quelli organizzativi (Risorse Umane, vincoli contrattuali, aspetti logistici, etc.).
Il BCMS segue le indicazioni contenute nello standard internazionale di riferimento per la Business Continuity ovvero la ISO 22301 che enfatizza, tra l’altro, l’importanza di:
- comprendere le esigenze dell’organizzazione e degli stakeholder, in termini di Business Continuity;
- implementare e rendere operativi i controlli e le misure per gestire la capacità aziendale di affrontare le interruzioni dell’operatività dovute a cause accidentali;
- monitorare e riesaminare le prestazioni e l’efficacia del sistema di gestione della continuità operativa;
- diffondere la cultura della Business Continuity;
- gestire le comunicazioni fra le parti interessate relativamente alle tematiche di Business Continuity.
Il BCMS si basa sul ciclo di Deming-Plan-Do-Check-Act e si articola nelle quattro fasi di Governance&Planning (Plan), Execution (Do), Performance Evaluation (Check) e Improvement (Act).
Nella fase di Governance&Planning, il Gruppo analizza il contesto di riferimento, identificando tanto le esigenze dell’Azienda e dei suoi stakeholder quanto i vincoli contrattuali/regolatori di Business Continuity. Sulla base di questi elementi e delle Risk Tolerance e Risk Appetite, l’Azienda definisce l’ambito della Politica ed i principali obiettivi strategici di Business Continuity. Quest’analisi preliminare prosegue attraverso l’identificazione dei processi/ servizi maggiormente rilevanti per l’Azienda nonché delle risorse a supporto della continua disponibilità di tali processi e servizi. Le attività di questa fase permettono di determinare una strategia di Business Continuity che consente di garantire una risposta appropriata per ciascun processo e servizio, in termini di livelli operativi e di tempi di ripristino accettabili durante e dopo un evento dannoso.
In questa fase rientrano, tra l’altro:
- la Business Impact Analysis (BIA), ovvero la valutazione dell’impatto sul business in caso di eventi di rilievo che possono compromettere le attività aziendali e l’erogazione dei servizi;
- il Risk Assessment (RA), coerente con il modello adottato nell’ERM è finalizzato all’individuazione e alla valutazione delle minacce che possono colpire gli asset aziendali provocandone l’indisponibilità per un periodo di tempo più o meno prolungato;
- l’identificazione del Profilo di Rischio derivante dalla valutazione congiunta BIA/RA;
- le strategie di Business Continuity a seguito dell’analisi del Profilo del Rischio basata sulla valutazione Costi/Benefici.
La fase execution prevede l’approvazione della strategia di Business Continuity e del relativo budget, inoltre consente di avviare la fase esecutiva, con lo sviluppo di dettaglio dei Piani di Risk Treatment e dei Piani Operativi di Business Continuity. La relativa pianificazione è realizzata dalle funzioni operative, ciascuna per quanto di competenza, mentre l’ERM effettua una verifica di coerenza dei piani operativi con il piano Strategico di Business Continuity, anche al fine di armonizzare e correlare gli interventi di mitigazione lungo tutta la catena dei processi aziendali coinvolti.
Una valutazione complessiva delle performance del BCMS (fase di Performance Evaluation) è prevista almeno annualmente, analizzando in particolare:
- i dati effettivi (incident history) su tempi di ripristino e impatti economici degli eventi;
- i dati dei test di esercizio;
- gli assessment interni.
Sulla base della Performance Evaluation, sono individuate le eventuali azioni correttive da intraprendere (es. iniziative specifiche di prevenzione dei rischi, revisione di procedure, ecc.). Nella fase di Improvement sono acquisite le risultanze della fase di Performance Evaluation e sono definite le eventuali azioni correttive, che sono presentate al Vertice Aziendale per una periodica Management Review.
In questa fase il Vertice Aziendale:
- esamina e verifica il grado di adeguatezza del BCMS sulla base della Performance Evaluation, in accordo con eventuali evoluzioni dei requisiti e delle normative;
- valuta ed approva eventuali azioni correttive.
Le eventuali azioni correttive, le politiche e gli obiettivi della Business Continuity, determinano il miglioramento continuo del BCMS.
1 Per “business continuity” si intende la capacità di garantire la continuità del servizio in relazione a predefiniti ed accettabili livelli, a seguito del verificarsi di un incidente dirompente.