5
INTRODUZIONE
Al giorno d’oggi può un’organizzazione, sia essa pubblica che privata, permettersi di
fermarsi? La risposta può essere determinata considerando due punti di vista: l’esigenza
di conseguire costantemente nuove fonti di vantaggio competitivo a causa dell’elevata
concorrenza nel mercato attuale e un contesto di crescente minaccia.
Senza entrare in dettaglio in un argomento così vasto, si può affermare che alcuni
fattori, come la globalizzazione, l’accesso a tecnologie sempre più avanzate, l’aumento
della consapevolezza e della conoscenza del consumatore il quale può accedere a
qualunque tipo di informazione tramite internet, hanno contribuito a creare un mercato
altamente concorrenziale e l’unico modo che hanno le aziende per sopravvivere e quello
di creare maggior valore. Tale valore può essere generato in vari modi, ad esempio
riducendo i costi, offrendo un prodotto o servizio di qualità superiore, sfruttando
strategie di marketing o attuando politiche di finanza straordinaria allo scopo di creare
delle sinergie. Tale premessa serve a introdurre il concetto di continuità operativa come
strumento di vantaggio competitivo in quanto permette ad un'organizzazione di resistere
a crisi o di recuperare rapidamente e ridurre al minimo l'impatto della perdita. In uno
scenario in cui si verifica un evento più o meno catastrofico che influenza un certo
numero di organizzazioni, quelle in grado di attuare un recupero più efficace
emergeranno. Inoltre una buona gestione della continuità operativa può essere
considerata come una garanzia dal punto di vista del cliente in quanto l’azienda ha una
probabilità maggiore delle concorrenti di consegnare il prodotto o eseguire il servizio in
caso di crisi o di un evento catastrofico.
Per rispondere alla domanda iniziale bisogna valutare l’ambiente in cui operano le
aziende da un altro punto di vista: le crescenti minacce. Le imprese sono sempre più
soggette a interruzioni ed è praticamente impossibile prevedere la loro natura, durata e
misura; ogni perturbazione potrebbe avere effetti diversi sulle risorse organizzative ed è
in continuo aumento la gamma dei rischi sia interni che esterni e che potrebbero
verificarsi da soli o simultaneamente.
La mancata pianificazione per ottenere una continuità operativa può portare quindi alla
perdita di reputazione, di quota di mercato, di clienti e fallimento dei processi di
business. Grazie a tali considerazioni, si è in grado di rispondere alla domanda iniziale:
al giorno d’oggi può un’organizzazione, sia essa pubblica che privata, permettersi di
6
fermarsi? La risposta è no perché la continuità operativa è diventata oramai un’esigenza
imprescindibile.
Nel corso del seguente testo verrà affrontato un argomento di grande attualità, il
Business Continuity Plan, un piano per ripristinare il più velocemente possibile le
attività core dell’azienda in caso di eventi catastrofici, o, più in generale, eventi
straordinari. Gli obiettivi principali del suddetto piano consistono nel salvaguardare il
valore dell’azienda dalle minacce e creare una nuova fonte di vantaggio competitivo.
Oltre a valutare l’importanza e il ruolo strategico che può avere il Business Continuity
Plan nella società moderna, verrà approfondita la sua struttura seguendo la normativa di
riferimento ISO 22301. Tale normativa dà delle istruzioni piuttosto generali su come
deve essere realizzato il piano, lasciando alle aziende molta autonomia. Ad esempio
viene indicato, come primo punto, la definizione dello scopo del Business Continuity
Plan senza però entrare nel dettaglio. Ogni azienda definirà lo scopo del piano in base
all’importanza che vuole dargli a livello strategico, alle proprie dimensioni o alla
propria natura. Un altro elemento che indica l’autonomia che il piano concede alle
aziende, è la definizione del contesto in cui le stesse operano, e quindi dei propri
problemi sia interni che esterni, dei propri obiettivi e dei requisiti regolatori che devono
rispettare. Tutti questi elementi possono cambiare radicalmente a seconda se l’azienda si
trova in ambito farmaceutico piuttosto che automotive o alimentare.
Nel secondo capitolo verrà introdotto il contesto specifico nel quale verrà affrontato il
Business Coninuity Plan: il settore farmaceutico. Si analizzerà quindi il contesto di
riferimento, si valuterà l’importanza di un piano di recovery e si analizzeranno le varie
difficoltà che si devono affrontare in questo specifico settore.
Il terzo capitolo rappresenta il core dell’elaborato in quanto verrà fatta una proposta
metodologica per la realizzazione di un Business Continuity Plan nel settore
farmaceutico. Verranno quindi approfonditi argomenti di particolare importanza, come
il Business Impact Analisys, la fase in cui l’azienda definisce i suoi flussi di prodotto e/o
di informazioni per riuscire a comprendere in maniera approfondita la struttura
aziendale e identificare le attività core business; il risk assessment, che prevede la
valutazione dei rischi a cui è sottoposta l’azienda con il duplice obiettivo di valutare la
situazione attuale, e quindi le strategie già messe in atto per diminuire la probabilità con
cui si manifesta una minaccia, e decidere le strategie da perseguire al fine di migliorare
la gestione del rischio all’interno dell’azienda.
7
Si valuteranno inoltre come possono essere affrontate le maggiori sfide che deve
affrontare il settore farmaceutico e quali sono le possibili soluzioni.
Nel quarto capitolo, verrà presentato il caso di studio in cui si vedrà l’applicazione
pratica della proposta metodologica del capitolo precedente. Tale applicazione pratica è
stata fatta all’interno di Haupt Pharma Latina, uno dei siti di produzione del gruppo
Haupt Pharma, uno dei principali terzisti in Europa nella produzione di prodotti
farmaceutici. Il sito produttivo di Latina fornisce specialità per la salute umana ed
animale a più di 80 mercati nel mondo, grazie ad elevati standard di automazione nella
produzione, confezionamento e stoccaggio. In questo capitolo verranno evidenziate le
soluzioni che Haupt Pharma ha deciso di applicare ai vari problemi riscontrati per
rispettare al meglio le proprie esigenze e i propri vincoli.
Infine verranno tratte le dovute conclusioni mettendo in evidenza i punti di forza e di
debolezza del piano in generale e in particolare nell’applicazione all’interno dello
stabilimento scelto.
8
Capitolo 1
IL BUSINESS CONTINUITY PLAN
1.1 Origine
La metodologia del Business Continuity Managemente System si è evoluta
continuamente negli ultimi venti anni fino a raggiungere una sua formalizzazione con
l’emissione delle linee guida ISO 22301 (Societal Security - Business Continuity
Managemente System – Requirements).
I concetti di continuità operativa hanno tuttavia origini ben più lontane; in letteratura la
gestione delle catastrofi risale al 1980 e intreccia aree di ricerca multidisciplinari quali
la pubblica amministrazione e la gestione delle crisi organizzativa. I principi di crisis
management e di business continuity nascono quindi con la moderna gestione di
un’organizzazione.
Il ruolo dei Manager è sempre stato quello di sopperire a improvvise interruzioni, alle
inaspettate carenze di personale e/o alle impreviste carenze tecnologiche che
procuravano un grave danno all’efficienza dei processi produttivi. La loro bravura
risiedeva nel fatto di riuscire a diminuire l’effetto grazie a decisioni tanto veloci quando
efficaci; il loro compito era quello di decidere velocemente le priorità a cui dedicare la
propria attenzione, assegnare il personale con la competenza più appropriata a occuparsi
dei processi critici e svolgere manualmente funzioni che i sistemi informativi (interrotti)
non potevano eseguire. In pratica, la capacità di leadership aziendale si misurava anche
in base alla sua capacità di mitigazione dei danni creati da interruzioni impreviste e
spesso i Manager sono riusciti a trovare soluzioni alternative a crisi impreviste. Quanto
detto oggi è molto più difficile, se non impossibile, a causa del progresso tecnologico.
Nella moderna industria, con poche risorse umane si possono gestire volumi enormi e
nella maggior parte dei casi è impensabile il ritorno alla lavorazione manuale. Inoltre,
l’analisi di impatto sui processi critici è diventata indispensabile e deve essere effettuata
accuratamente per determinare una strategia di recupero e l’identifizazione dell’ordine
di priorità degli interventi. Le decisioni che venivano prese istintivamente dai Manager
basandosi sulla propria esperienza e abilità a reagire agli imprevisti, non possono avere
la stessa efficacia. Infatti le decisioni prese “a caldo” non possono garantire un ripristino
veloce delle attività e il loro costo è senza dubbio superiore che nel caso delle decisioni
9
prese “a freddo” in quanto esiste una pianificazione. Le aziende che ancora basano la
loro strategia di gestione del rischio solo sulla capacità dei propri Manager, senza
fornire loro degli strumenti di analisi previsionale, sono fragili e poco affidabili.
Purtroppo, la continuità operativa per le imprese non ha ancora una direzione
metodologica. Per anni, molte organizzazioni hanno ignorato il significato di gestione
delle catastrofi e di pianificazione della continuità. Sulla base delle statistiche, il 43 per
cento delle aziende che hanno subito gravi catastrofi non hanno mai riaperto, e circa il
30 per cento di loro è fallito entro 2 anni
1
. Tali statistiche sottolineano la necessità di un
approccio proattivo da parte delle organizzazioni per avere un piano per proteggere
efficacemente i processi contro le interruzioni e ridurre i loro impatti negativi.
1.2 Evoluzione
Le tre fasi principali del Business Continuity si possono far coincidere con i seguenti
periodi storici
2
:
- negli anni settanta si implementa la prima tecnologia di Distaster Recovery;
- all’inizio degli anni Novanta aumenta la consapevolezza della necessità di un
piano che salvaguardi la continuità operativa anche dei processi;
- alla fine degli anni Novanta si struttura il Crisis management anche come
conseguenza dell’11 settembre 2001.
Inizialmente quindi la gestione della continuità operativa è stata principalmente
identificata nel Distaster Recovery, solo successivamente è stata considerata in chiave
strategica grazie alla sua capacità di resistere e recuperare a seguito di gravi crisi. La
rivoluzione industriale ha comportato una profonda ed irreversibile trasformazione che
parte dal sistema produttivo fino a coinvolgere il sistema economico nel suo insieme e
l’intero sistema sociale. Negli anni ’70 l’introduzione dell’informatica e dei grandi
elaboratori di dati ha rivoluzionato il sistema lavorativo. Infatti, già alla fine di quegli
anni, tutta l’industria e il settore terziario si evolvono da una produttività manuale a
processi meccanizzati. Le prime tecnologie rendono subito evidente la necessità di avere
1
Dati estratti dall’articolo “Integrated business continuity and disaster recovery planning: Towards
organizational resilience” N.Sahebjamnia, S.A.Torabi, S.A.Mansouri
2
Secondo il testo: “Risk Management: conoscenze e competenze di un unico processo” di Cavadini
Andrea M., Lucietto Gianluigi
10
un piano che permetta di avere una continuità operativa almeno dal punto di vista
tecnologico, il Distaster Recovery Plan.
La produzione di prodotti, dati e documenti è talmente veloce che la strategia
alternativa, in caso di interruzione, di tornare a fare tutto manualmente quanto prodotto
dai sistemi informatici, si rileva alquanto impossibile. Si investe quindi nella
duplicazione dei dati e nella duplicazione dei sistemi hardware. All’inizio tutto è tenuto
nello stesso luogo di produzione, considerando come eventualità soltanto quella legata a
eventuali interruzioni tecniche. Solo in una fase successiva, a seguito di esperienze
critiche gravi, si è imposta una distanza di sicurezza tra il sito principale e il sito in cui
vengono immagazzinati i backup. Si può facilmente desumere quanto tempo poteva
passare tra un evento critico e il ripristino tecnologico. Ci volevano infatti diverse ore,
anche giorni. Oggi, con il progresso delle telecomunicazioni, il Disaster Recovery è
immediato e in alcuni casi l’utente neppure si rende conto che la sua operazione, a causa
di un’interruzione, è passata ad un altro sistema.
Il progresso e l’innovazione delle telecomunicazioni, con le linee ADSL e le fibre
ottiche, è stato da molti definito come la terza rivoluzione industriale. Prima di tale
evoluzione, l’informatica non era distribuita: ciascuna sede o stabilimento industriale,
gestiva il proprio sistema di elaborazione dati e sviluppava o acquistava software che
poteva implementare solo localmente. Le risorse finanziarie delle imprese dettavano
quindi il loro più grande vantaggio competitivo.
L’accentramento dei grandi Centri Elaborazione Dati, a cui tutte le periferie si potevano
finalmente collegare, oltre a facilitare le sinergie, recava anche il grande vantaggio di
operare finalmente la separazione fisica tra le persone e le attrezzature tecnologiche
garantendo una maggior protezione verso le interruzioni su entrambe le risorse. Il solo
utilizzo per la gestione del rischio del Disaster Recovery diventava, in tal modo, inutile
in quanto non vengono tutelati tutti i processi critici. Queste motivazioni hanno portato
alla realizzazione di un piano per garantire la Continuità Operativa della aziende a
seguito di eventi straordinari.
Negli ultimi anni, dopo aver strutturato le procedure di Distaster Recovery e di
Continuità Operativa, si è compresa l’importanza di una robusta e ben strutturata
gestione della crisi e delle emergenze. L’utilizzo dei due piani comportava una spesa
significativa quindi spesso le funzioni operative esitavano prima di applicarli e tale
esitazione ha portato a ingenti perdite economiche e di reputazioni. Per questo motivo le
11
organizzazioni hanno compreso l’importanza del coinvolgimento da parte del Top
Management per lo sviluppo e il sostegno di una struttura di Crisis Management.
Un esempio pratico
3
di quanto detto fin ora è rappresentato dalla risposta di Morgan
Stanley, famosa banca d’affari, agli attacchi dell'11 settembre. La società non si è
limitata ad un approccio puramente tecnico (Disaster Recovery) per la gestione del
rischio, ma ha utilizzato un punto di vista socio-tecnico e la loro filosofia di capacità
organizzativa ha dimostrato sia la loro capacità di apprendimento che quella di
adattamento prima e durante la crisi. La formazione continua dal 1993 al World Trade
Centre su un possibile attentato ha fatto sì che la maggior parte dei dipendenti della
società (3.700) sopravvissero all'evacuazione della torre sud nel 2001. Dopo aver
raggiunto il primo obiettivo (l’evacuazione), la società ha proceduto a ristabilire un
contatto con i propri dipendenti dispersi con visite a domicilio, trasmissioni pubbliche e
uno dei suoi call center situati in Arizona. Entro tre giorni quasi tutto il personale della
torre sud era stato localizzato. Contemporaneamente Morgan Stanley ha cercato di
recuperare le sue strategie alternative e istituito un centro di recupero provvisorio a
Brooklyn. Ciò a dimostrazione che l'uso creativo e flessibile delle risorse sostituisce il
valore ottenuto imitando piani di emergenza.
1.3 Disaster Recovery Plan e Business Continuity Plan
Di seguito sono riportate le definizioni dei due piani principali per la gestione della crisi
e un loro confronto.
1.3.1 Business Continuity Plan
La continuità operativa è la capacità di un'organizzazione di mantenere la fornitura di
prodotti e l’erogazione di servizi a livelli accettabili a seguito di un episodio di crisi ed
ha quindi come obiettivo principale quello di proteggere la società, garantire la capacità
di reagire agli incidenti, rispondere alle emergenze e alle calamità. La pianificazione
della continuità operativa e di servizio si chiama Business Continuity Plan (BCP) e
viene comunemente considerata come “un processo globale che identifica i pericoli
potenziali che minacciano l'organizzazione, e fornisce una struttura che consente di
aumentare la resilienza e la capacità di risposta in maniera da salvaguardare gli
3
Tratto dall’articolo scientifico “Business Continuity Management: time for a strategic role?” di Brahim
Herbane, Dominic Elliott and Ethne´ M. Swartz
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.