Il modello di Business Continuity Management (BCM)

Il Gruppo Iren presta una grande attenzione e impegno nella valorizzazione e protezione degli asset aziendali che garantiscono la continuità operativa del Business, pertanto ha formalizzato e implementato un modello di Business Continuity Management (BCM), dotandosi dei presidi organizzativi e tecnologici, per garantire continuità ai processi, nonché una risposta proattiva e strutturata nelle fasi di monitoraggio di eventi di Emergenza e/o Crisi.

L’obiettivo principale del Business Continuity Management (BCM) è quello di garantire la resilienza del business a fronte di eventi imprevisti, assicurando la continuità dei processi aziendali ritenuti critici.

Una risposta proattiva per la tutela della continuità operativa

Il BCM nell’ordinario

Per gestire correttamente i processi legati alla continuità operativa, il Gruppo ha definito un modello organizzativo nell’ordinario formalizzato nella Procedura di Business Continuity Plan (BCP), che si affianca al modello organizzativo aziendale per le tematiche di continuità operativa. Attraverso il modello è possibile garantire l’implementazione delle opportune misure organizzative e tecnologiche, oltre che aggiornare e manutenere nel tempo il sistema di Business Continuity aziendale.

 

Il Business Continuity Plan (BCP) è il Piano operativo adottato dal Gruppo Iren che definisce al suo interno:

 

  1. le strategie di continuità per ciascun processo critico poste in essere, per garantire la rapida ripresa dei processi in caso di interruzione;
  2. le procedure per il mantenimento del modello in termini di aggiornamento delle Business Impact Analysis (BIA), Simulazioni di Crisi, Test di Disaster Recovery e formazione del Personale.

 

Il modello di BCM nell’ordinario è organizzato su tre livelli, con specifiche figure nella gestione dell’ordinario:

 

  • Il Livello strategico definisce le linee guida strategiche per la gestione del modello;
  • Il Livello tattico ha l’obiettivo di trasformare le indicazioni strategiche in attività di pianificazione operativa del modello;
  • Il Livello operativo concretizza quanto definito dai livelli strategici e tattici.

Livello strategico

 
  • Il Livello strategico è presieduto dal Comitato di Business Continuity (BC) che ha la responsabilità di riesaminare il sistema di continuità, analizzare la Business Impact Analysis (BIA) e attuare iniziative di miglioramento continuo del sistema.

 

Livello tattico

 
  • Il Business Continuity Manager (anche detto BC Manager), ruolo ricoperto dal Direttore Risk Management che ha il compito di attuare, sviluppare e mantenere il Piano di BCM;
  • Il Business Continuity Team (detto anche BC Team), presieduto dal BC Manager e composto dai Referenti BC di BU e Capogruppo e che si occupa del monitoraggio e aggiornamento delle attività ordinarie e dell’esito dei Test, valuta e definisce le strategie ed azioni da implementare;
  • I Referenti Business Continuity (anche detti Referenti BC) di Capogruppo e di Business Unit, che supportano il BC Manager nel coordinare le attività di aggiornamento del modello.

 

Livello operativo

 

  • I Responsabili di processo Business Continuity di Capogruppo e di Business Unit, che sono le figure individuate per ogni processo aziendale, che aggiornano la Business Impact Analysis;
  • I Referenti Operativi, che sono il punto di contatto per le Società di Secondo Livello, collaborano con il Referente BC per applicare gli opportuni presidi tecnici ed organizzativi.

 

Il BCM nella gestione delle Emergenze e della Crisi

 

Per ottenere una risposta strutturata a un evento emergenziale o critico, il Gruppo Iren ha adottato un processo di gestione della Crisi con l’obiettivo di: supportare le figure aziendali coinvolte nella gestione di eventi improvvisi, contenere i danni provocati e assicurare il mantenimento della continuità operativa.

 

Il Crisis Plan o Piano di Gestione della Crisi è l’insieme documentato delle regole e delle modalità per la rilevazione, la dichiarazione, il contrasto e la gestione di una situazione di Emergenza o di Crisi. Il Piano consente di organizzare tempestivamente le prime risposte e di effettuare tutte le azioni necessarie per contenere l’evento e rientrare alla normale operatività.

 

Il modello organizzativo di Gestione della Crisi è costituito dalle seguenti figure e strutture straordinarie:

Le figure

 
  • Il Comitato di Crisi: l'Organo collegiale deputato alla gestione delle situazioni di massima gravità (Stato di Crisi) e convocato dal Direttore di Primo Livello una volta confermata la presenza di una situazione di Crisi.
  • Il Gestore della Crisi: figura variabile nominata dal Comitato di Crisi sulla base dello scenario di Crisi da affrontare. Di norma il ruolo è assegnato ad un alto Dirigente responsabile della Struttura/Società che è primariamente coinvolta dallo scenario (es. Sistemi Informativi per crimini informatici) e possiede le competenze adeguate per coordinare il Crisis Team, dialogare con il Consiglio di Amministrazione e con i principali organi collegiali. 
  • L’Emergency/Crisis Team: si attiva nel processo di gestione delle Emergenze e della Crisi ed è una struttura completamente variabile a seconda dello scenario da affrontare. Possono far parte dell’Emergency/Crisis Team il Gestore della Crisi (in caso di Crisi), i Referenti Operativi delle Società impattate, i Responsabili del Processo BC, nonché specialisti di settore necessari per la risoluzione dell’Emergenza o della Crisi. In particolare, l’Emergency Team è convocato dal Direttore di Primo Livello e ha il compito di supportare quest’ultimo nella gestione dell’Emergenza, mentre il Crisis Team è istituito dal Gestore della Crisi e ha il compito di supportare quest’ultimo nella gestione e risoluzione della Crisi.
  • I Direttori di Primo Livello (di Capogruppo e di Business Unit): hanno la responsabilità di organizzare e attuare il sistema di gestione delle Emergenze e della Crisi e garantire la continuità operativa dei processi aziendali e valuta da ultimo il livello di gravità dell'evento.
  • I Responsabili di Processo BC di Capogruppo e di Business Unit: devono possedere alcuni requisiti, in particolare essere al più il secondo riporto del Direttore della Capogruppo o Direttore di BU ed essere responsabile di una struttura.
  • I Referenti Operativi: ruolo ricoperto dall’Amministratore Delegato di ciascuna Società di Secondo Livello, o da un suo delegato.

 

 

Il processo di comunicazione

 

La Procedura di Crisi norma il processo di comunicazione dell’Emergenza e/o Crisi verso l'esterno e verso l'interno riportando, per le varie controparti da gestire, l’indicazione delle figure organizzative incaricate a effettuare la comunicazione esterna, oltre che l’indicazione dei canali di comunicazioni utilizzabili in funzione della loro disponibilità rispetto all’evento di Crisi.

Il Gestore della Crisi ha la responsabilità di garantire un’adeguata informativa al Consiglio di Amministrazione della Capogruppo e della Società del Gruppo coinvolta, al Comitato Controllo Rischi e Sostenibilità della Capogruppo, al Collegio Sindacale e all’Organismo di Vigilanza della Capogruppo e della Società del Gruppo coinvolta.

Cosa prevede il piano di crisi

 

Individuazione 

stakeholder

 

Indicazione di tutte le controparti interne ed esterne da informare tramite opportune strategie di comunicazione (es. CdA, Clienti, Azionisti e finanziatori, Authority e Enti regolatori)

 

Individuazione 

figure competenti

 

Indicazione, per ciascuna delle controparti, delle figure organizzative incaricate ad effettuare la comunicazione esterna.

 

Supervisione

 

 

Il coordinamento e la supervisione della comunicazione spetta alla Direzione Comunicazione e Relazioni Esterne a tutti i livelli.