ANSSAIF: Business Continuity - il progetto
Inserito da Cristina Cellucci il Gio, 2006-11-23 14:27
Business Continuity | Novembre 2006
061123-anssaif-bc
Riproduciamo, per gentile concessione di ANSSAIF
l’articolo "Business Continuity: il progetto" di
già pubblicato sulla newsletter di ANSSAIF del 21/11/2006
ANSSAIF ha svolto una indagine fra i suoi associati e qui di seguito sintetizziamo le principali risultanze.
Tutte le banche interpellate hanno adottato un approccio molto simile, anche nella realizzazione di soluzioni di dettaglio, sia per il coinvolgimento nei gruppi di elevati esperti del business e della "macchina operativa", nonché del senior management, sia per l'attività di condivisione delle problematiche e soluzioni svolta da ABI.
Le banche maggiori e grandi sono in linea con i tempi e prevedono di presentare, entro le prossime settimane, ai rispettivi Consigli di Amministrazione la relazione sulle attività svolte, coerenti con gli impegni assunti ed approvati entro il 30 giugno 2005. La maggior parte delle banche invierà tali relazioni alla Banca d'Italia, per opportuna informazione.
Ciascuna relazione, in generale, ci risulta che riporterà:
l'indice del Business Continuity Plan (fanno eccezione la maggior parte delle banche di interesse sistemico che invieranno l'intero BCP);
l'indicazione delle soluzioni di mitigazione adottate, con l'esplicazione puntuale delle eventuali differenze adottate in corso d'opera, corredate dalla motivazione;
le Società Controllate per le quali è stato redatto un BCP, avendo processi vitali o altamente critici, o coinvolte nella "filiera" di processi vitali o critici della Capogruppo;
gli interventi eseguiti nei confronti degli Outsourcers coinvolti nei processi vitali ed altamente critici;
una sintesi dei ruoli e responsabilità previsti per la gestione della Business Continuity e della Crisi, una volta a regime (dal 1° gennaio) e necessari per l'emanazione della normativa;
l'approccio alla esecuzione dei test, che si intendono fare nel corso del 2007;
l'indicazione sugli investimenti in formazione e sensibilizzazione alla continuità operativa, nei confronti del personale della banca;
lo staffing, i sistemi e le infrastrutture necessarie per l'ufficio addetto alla gestione della Business Continuity;
altre spese, di cui il CdA deve prendere atto ed approvare;
altre informazioni peculiari della realtà aziendale in oggetto.
In tutti gli intermediari si è notata una evidente soddisfazione sul lavoro svolto e sui risultati raggiunti, malgrado la novità (e difficoltà!) che presenta l'individuazione di soluzioni di mitigazione dei rischi che siano "cost justified": ciò in quanto si è in presenza di scenari caratterizzati da eventi rarissimi ma disastrosi.
In generale l'approccio è stato duplice: elevata tensione nella stesura e prova di opportune misure preventive, di emergenza e di ripristino, per i processi vitali, di sistema.
Negli altri casi (ossia, processi che diventano altamente critici nelle prime ore), valutazione attenta di possibili soluzioni di mitigazione alternative (backup reciproco fra strutture esistenti, ma molto distanti fra loro; outsourcing; contratti "open" di fornitura di attrezzature e sistemi; stipula di polizza assicurativa; ecc.) in modo da consentire di ottenere il recovery in breve tempo, ma con un'oculata attenzione ai costi.
Se a tutto questo si aggiunge che negli ultimi mesi molti processi di business o strutture organizzative sono cambiate, costringendo i gruppi di progetto a rapide analisi d'impatto e a modifiche tecniche, e, inoltre, che si stanno ripetendo i test di Disaster Recovery a livello aziendale e di sistema bancario, l'ottimismo è allora interpretabile come l'umore dello scalatore o del velista che oramai vede la meta agognata (indipendentemente se è arrivato primo o ultimo!).
Sarà interessante osservare come evolverà la continuità operativa nel 2007, ma ci auguriamo che l' "information sharing" fra gli intermediari e gli operatori di sistema continui, o addirittura si intensifichi, in modo che si trovino sempre le giuste soluzioni alle problematiche che man mano si incontreranno.
Business Continuity: il progetto
Come noto, la scadenza del 31 dicembre si avvicina.ANSSAIF ha svolto una indagine fra i suoi associati e qui di seguito sintetizziamo le principali risultanze.
Tutte le banche interpellate hanno adottato un approccio molto simile, anche nella realizzazione di soluzioni di dettaglio, sia per il coinvolgimento nei gruppi di elevati esperti del business e della "macchina operativa", nonché del senior management, sia per l'attività di condivisione delle problematiche e soluzioni svolta da ABI.
Le banche maggiori e grandi sono in linea con i tempi e prevedono di presentare, entro le prossime settimane, ai rispettivi Consigli di Amministrazione la relazione sulle attività svolte, coerenti con gli impegni assunti ed approvati entro il 30 giugno 2005. La maggior parte delle banche invierà tali relazioni alla Banca d'Italia, per opportuna informazione.
Ciascuna relazione, in generale, ci risulta che riporterà:
l'indice del Business Continuity Plan (fanno eccezione la maggior parte delle banche di interesse sistemico che invieranno l'intero BCP);
l'indicazione delle soluzioni di mitigazione adottate, con l'esplicazione puntuale delle eventuali differenze adottate in corso d'opera, corredate dalla motivazione;
le Società Controllate per le quali è stato redatto un BCP, avendo processi vitali o altamente critici, o coinvolte nella "filiera" di processi vitali o critici della Capogruppo;
gli interventi eseguiti nei confronti degli Outsourcers coinvolti nei processi vitali ed altamente critici;
una sintesi dei ruoli e responsabilità previsti per la gestione della Business Continuity e della Crisi, una volta a regime (dal 1° gennaio) e necessari per l'emanazione della normativa;
l'approccio alla esecuzione dei test, che si intendono fare nel corso del 2007;
l'indicazione sugli investimenti in formazione e sensibilizzazione alla continuità operativa, nei confronti del personale della banca;
lo staffing, i sistemi e le infrastrutture necessarie per l'ufficio addetto alla gestione della Business Continuity;
altre spese, di cui il CdA deve prendere atto ed approvare;
altre informazioni peculiari della realtà aziendale in oggetto.
In tutti gli intermediari si è notata una evidente soddisfazione sul lavoro svolto e sui risultati raggiunti, malgrado la novità (e difficoltà!) che presenta l'individuazione di soluzioni di mitigazione dei rischi che siano "cost justified": ciò in quanto si è in presenza di scenari caratterizzati da eventi rarissimi ma disastrosi.
In generale l'approccio è stato duplice: elevata tensione nella stesura e prova di opportune misure preventive, di emergenza e di ripristino, per i processi vitali, di sistema.
Negli altri casi (ossia, processi che diventano altamente critici nelle prime ore), valutazione attenta di possibili soluzioni di mitigazione alternative (backup reciproco fra strutture esistenti, ma molto distanti fra loro; outsourcing; contratti "open" di fornitura di attrezzature e sistemi; stipula di polizza assicurativa; ecc.) in modo da consentire di ottenere il recovery in breve tempo, ma con un'oculata attenzione ai costi.
Se a tutto questo si aggiunge che negli ultimi mesi molti processi di business o strutture organizzative sono cambiate, costringendo i gruppi di progetto a rapide analisi d'impatto e a modifiche tecniche, e, inoltre, che si stanno ripetendo i test di Disaster Recovery a livello aziendale e di sistema bancario, l'ottimismo è allora interpretabile come l'umore dello scalatore o del velista che oramai vede la meta agognata (indipendentemente se è arrivato primo o ultimo!).
Sarà interessante osservare come evolverà la continuità operativa nel 2007, ma ci auguriamo che l' "information sharing" fra gli intermediari e gli operatori di sistema continui, o addirittura si intensifichi, in modo che si trovino sempre le giuste soluzioni alle problematiche che man mano si incontreranno.
IsacaRoma Newsletter link
- ANSSAIF: Insider's attack
- FSA - Resilience benchmarking project
- Intervista a Anthony Cecil Wright, presidente di ANSSAIF
- ANSSAIF: il terzo convegno annuale
- Sicurezza e Compliance: quando il gioco si fa duro
- ISCOM: giornata di studio sulla sicurezza e il mondo bancario
» email this story | printer friendly version | 1328 reads
