introduzione al business continuity management, … › prof › losscontrol2016 › terzago.pdfbcm...
TRANSCRIPT
Corso ANRA – CINEAS Loss control & Business continuity a.a. 2016
Introduzione al
Business Continuity Management,
allo standard ISO22301
e alle Professional Practices DRII
Marco Terzago, MSc. Ind. Eng., ABCP
Head of SKF Group Risk Engineering
ANRA Board Member
Chairman of ANFIA WG on BCP Toolkit
for the Automotive Supply Chain
Milano, 16 Marzo 2016
Agenda
1. Introduzione al Business Continuity Management
2. Concetti generali ISO22301
3. Professional Practices DRII
4. Training & Testing (case study SKF)
Contatti e Link
• www.anra.it
• www.bcmanager.it
• www.bsi-group.org
• www.dri-italy.it
• www.drii.org
• www.thebci.net
• …..
Agenda
1. Introduzione al Business Continuity Management – Che cos’è?
– Perché?
– Prepararsi a cosa?
– Obiettivi
– Case Study
2. Concetti generali ISO 22301
3. Professional Practices DRII
4. Training & Testing (case study SKF)
Business Continuity Management
Un punto di vista…
Essere correttamente preparati è una scienza
complessa…
I nostri padri latini dicevano “Previdet ac providet”
Gli anglosassoni dicono :
“If you fail to plan, you plan to fail…”
Business Continuity Management
Che cos’è? (1/2)
“A holistic management process that identifies potential threats to an organization and the impacts to business operations that those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand, and value-creating activities.
Business Continuity Management involves managing the recovery or continuation of business activities in the event of a business disruption, and management of the overall programme through training, exercise and reviews, to ensure the business continuity plan(s) stays current and up-to-date”
ISO 22301 Business Continuity Management – Part 1: Code of Practice
Business Continuity Management
Che cos’è? (2/2)
Il Business Continuity Management (BCM) o Gestione della
Continuità Operativa dei processi di un’azienda comprende
l’insieme di attività, strutture organizzative, strumenti ed
infrastrutture volte a preservare la continuità dei processi a fronte di
eventi che concorrono in maniera potenziale e/o reale alla loro
interruzione.
Il perseguimento della continuità operativa aziendale si realizza
attraverso la progettazione, l’implementazione, il monitoraggio ed il
miglioramento continuo di un adeguato programma, definito in
accordo ai principali standard internazionali e nel rispetto delle
direttive nazionali.
Business Continuity Management
Perché?
“Experience is a hard teacher because it gives the test first, the lesson
afterwards” (Vernon Sanders Law)
Minimizzare i danni a persone
ed asset aziendali
Operare in sinergia con le azioni di Corporate
Governance, Responsabilità Sociale e Risk Management
dell’Azienda
Mantenere la fiducia dei Clienti, del personale e, in
generale, di tutti i portatori di interesse rilevanti per
l’Azienda
Stabilire mezzi alternativi per il prosieguo delle attività
produttive e/o di supporto aziendali
Ristabilire l’operatività delle funzioni critiche
nel più breve tempo possibile
Assicurare che le informazioni fornite al personale, ai
media ed al pubblico siano rilasciate in maniera strutturata
Per ciò che nel mondo anglosassone è definita “preparedness”, ovvero
l’avere pianificato il sistema organizzativo e le azioni manageriali ed operative
da attivare in seguito ad un evento incidentale significativo per ripristinare le
attività entro tempi definiti
Perché è necessario essere preparati?
Dipendenti demotivati sono la fonte di rischio più grande e più dannosa per
l’azienda (Fonte: National Computer Security Association)
• 20% delle PMI è soggetta ha disastri gravi ogni 5 anni
• 20%
(Fonte: Richmond House Group)
• 43% delle aziende non ha ripreso le attività dopo un disastro
• Più del 29% ha chiuso nei successivi 3 anni
43%
29%
(Fonte: U.S. National Fire Protection Agency))
• 93% delle aziende che hanno una perdita significativa di dati escono dal business nei successivi 5 anni
• 93%
(Fonte: U.S. Bureau of Labor)
Business Continuity Management
Prepararsi a cosa ?
Sicurezza del prodotto
Qualità del prodotto
Outsourcing
Eventi
catastrofici
Capacità produttiva
Normativa
e vigilanza
Condizioni
climatiche
Instabilità
politica
Materie
prime
Dipendenze informatiche
???
AZIENDA
NECESSITA’ DI SISTEMI INTEGRATI
PER BUSINESS CONTINUITY,
RISK MANAGEMENT E
CRISIS MANAGEMENT
Business Continuity Management
Prepararsi a cosa? Alcuni spunti…
• Perdita di sito produttivo
principale • Recall prodotto per
problematiche di sicurezza/qualità
• Perdita di un magazzino strategico prodotti finiti
• Protratta indisponibilità sistema informativo principale
• Incendio invasivo presso uffici headquarter
• Indisponibilità (anche parziale) di macchinari di processo
• Indisponibilità di un partner/fornitore strategico
• Indisponibilità (anche parziale) di fornitori servizi di logistica
• …
Frequenza Im
pa
tto
CONTINUITY RISKS
ACCEPTANCE AREA
(DAILY) MANAGEMENT
Business Continuity Management
Gli ultimi 10 anni: i disastri non sono pianificabili…
9/11 Tsunami Oceano indiano,
2004 Crisi Finanziaria Globale,
2008-2010 Pandemia H1N1,
2009 Uragano Katrina,
2005
Terremoto Haiti, 2010
BP Deepwater Horizon, 2010
Vulcano Eyjafjallajkull Islanda 2010
Alluvioni Australia, 2011 Tsunami Giappone,
2011
Crisi Nucleare Fukushima 2011
Crisi Nord-Africa, 2011 Tornado Missouri,
2011 Incendio nella webfarm
di Aruba, 2011
… ma si può essere preparati per affrontarli
Tipologie di Disastri su tutte le tipologie di Business
42
31
21
16
16
10
12
7
6
4
3
2
1
12
0 10 20 30 40 50
Power Failures
IT Hardware Failure
Network Failure
IT Software Failure
Human Error
Hurricane
Flood
Fire
Winter Storm
Terrorist event
Earthquake
Tornado
Chemical spill
Other
(DRJ and Forrester Survey 2007: N=250)
Percentuale
Principali Standard Internazionali
– BCI & DRI Good Practices
– ISO 22301 – Business Continuity Management
– Quality Standards ISO 27000 Series
• ISO 27001 - Information security management systems —
Requirements
• ISO 27002 - Code of practice for information security management
– British Standards – PAS 77:2006 IT Service Continuity Management
– ISO/PAS 22399:2007 – Crisis Management Standards
– ISO 31000, Risk management standard
– Basel II Accord (coming in 2010 – Basel III)
– Bank for International Settlements - High-level Principles for Business
Continuity Planning – August 2006
– European Central Bank
– European Commission – Markets in Financial Instruments Directive
(MiFID)
BCM = Business Continuity + Disaster Recovery
• Piano di Business Continuity (rif. ISO 22301)
È il documento che definisce le modalità per la gestione dell’azienda in situazioni di emergenza
Caratteristiche: documento organico, approvato dalla Direzione, focalizzato sul ‘dopo’ evento; tratta dei processi critici per il business
Obiettivo del documento è quello di stabilire le strategie e le modalità con cui si deve assicurare la sopravvivenza dei processi aziendali dopo che si è verificato un evento traumatico che ha impedito il normale svolgersi dei processi stessi.
• Piano di Disaster Recovery (rif. BS 25777 >>>> ISO 27031)
Piano finalizzato ad assicurare il funzionamento dei processi ICT con mezzi alternativi a quelli impiegati in condizioni normali
Costituisce parte integrante del piano di Business Continuity
Caratteristiche: si concentra sul problema della indisponibilità (distruzione, inaccessibilità) dei processi ICT e sul funzionamento delle procedure informatiche critiche.
17
Che cos’è una crisi?
Crisi è qualsiasi evento o situazione che comporti un rischio
significativo per la missione, il funzionamento, l'integrità, le risorse
o le principali parti interessate dell'organizzazione* (stakeholders**)
Esempi:
la perdita di capitale fisico o intellettuale, qualità dei prodotti o dei
servizi, i danni per l'immagine, la credibilità e la reputazione
dell'azienda, i valori organizzativi, ecc.
** Stakeholders = tutte le organizzazioni con cui l'azienda ha rapporti. Ad esempio, gli
azionisti, gli organi di controllo, clienti, fornitori, sindacati, ...
(vedi Norma UNI 11230: 2007 “Gestione del rischio – Vocabolario”.)
No. Termine Definizione
1 crisi (crisis)
Situazione generata da un evento (2) in grado di danneggiare in modo rilevante un'organizzazione (4). Nota 1 - La rilevanza va rapportata alle caratteristiche dell'organizzazione (4). Nota 2 - La crisi può coinvolgere, per esempio, la sicurezza delle persone, l'ambiente, le attività operative e la reputazione dell'organizzazione (4).
*Organizzazione = Insieme di persone e di mezzi, con definite responsabilità, autorità
ed interrelazioni. [UNI EN ISO 9000:2005]
18
Che cos’è un disastro?
Si tratta di un’interruzione nei processi o nelle funzioni aziendali
critiche che provoca gravi ripercussioni finanziarie e / o operative,
o che necessita l’attivazione del sito alternativo ed il trasferimento
dei team incaricati al ripristino.
Pertanto, ogni azienda deve definire quello che è una crisi e quello
che è un disastro
Perché vengono utilizzati programmi basati
su standard formali (1/2)
• Fornire un framework comune, basato sulle “best practices”
internazionali
• Fornire un framework per le organizzazioni di qualsiasi settore,
tipologia, dimensione e posizione
• Migliore l’efficacia operativa di una organizzazione
• Tener conto della gestione proattiva dei rischi sul business
• Agevolare la dimostrazione che sia stata osservata l’applicazione
di leggi, regolamenti e requisiti contrattuali
• Introdurre un principio comune nel mercato
Perché vengono utilizzati programmi basati
su standard formali (2/2)
• Favorire l’integrazione e la conformità verso altri requisiti normativi
richiesti
• Accrescere il consenso su cos’è la best practice
• Migliorare la conoscenza dei benefici sul business fra il numero
crescente delle organizzazioni
• Ricomprenderlo come parte del profilo della Gestione dei Rischi
globali
• Riconoscere che questo può aiutare a ridurre le interruzioni sul
business
• Dare un valore aggiunto al business identificando le opportunità per
migliorare
What if?
Modelli di gestione a confronto
Time
Level o
f busin
ess
Critical
recovery point
Fully tested
effective BCM
No BCM –
‘lucky’ escape
No BCM – likely
outcome
• Nuovo Messico, Marzo 2000, un fulmine colpisce una linea
elettrica
• L’interruzione temporanea di fornitura elettrica danneggia i
ventilatori di un forno in uno stabilimento di semiconduttori
Philips ad Albuquerque
• Un principio d’incendio viene controllato nel giro di pochi minuti
dai dipendenti. I VVF, arrivati presso lo stabilimento, possono
solo ispezionare e valutare lo stato dello stabilimento
• I danni appaiono di modesta entità:
– Otto vassoi contenenti la nanocircuiteria per la produzione di qualche
migliaia di chip per cellulari sono distrutti
– La società prevede di riprendere la produzione entro una settimana
• Successivamente viene rilevato che fumo e fuliggine hanno
contaminato un’area molto più vasta dello stabilimento, il che
causa un fermo della produzione per settimane
• Due clienti principali: Ericsson e Nokia, che assorbono il 40%
della produzione dello stabilimento
Source: The Economist, “When the Chain Breaks” (15-Jun-2006)
BCM Case Study
Nokia/Ericsson (1/3)
BCM Case Study
Nokia/Ericsson (2/3)
La risposta di Nokia
• Il supply-chain manager di Nokia
prende consapevolezza del problema,
a soli due giorni dall’incendio, quando
il loro sistema rileva che alcune
spedizioni erano state trattenute
• Nokia decide immediatamente di
tenere sotto monitoraggio lo
stabilimento
• Prima del 10° giorno dall’evento, Nokia
ha già iniziato ad acquisire pezzi da
fonti alternative
La risposta di Ericsson
• Avendo deciso di semplificare la
supply chain usando singoli fornitori
per alcuni componenti, incluso i chips
di Philips, Ericscon non dispone di un
“piano B”
• Ericsson affronta una carenza
importante di semiconduttori
• La posizione di Ericsson peggiora
rapidamente in quanto la produzione di
modelli attuali e il lancio di nuovi
prodotti sono bloccati
• Nel 2001, Ericsson decide di lasciare il
mercato dei cellulari come produttore,
spostando il business in una joint
venture con Sony
2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60
Pro
du
ction
Days
Philips Production
Nokia Production
Illustrative timeline
and impact– does not
represent actual
production levels /
event production data
Ericsson Production
Phillips production
recovery time is
weeks.
Nokia initially captures
Philips production by
working closely with
Philips during
recovery process.
Nokia notices
supply issue.
Plant Fire
2 weeks after the event
Philips indicates weeks
more would be needed to
repair the facility and
months’ worth of chip
supplies would be
disrupted.
Ericsson begins reaction
to event.
3 days after the
fire Philips
notifies Nokia of
the fire. Expects
to be up within a
week.
Nokia redesigns chip,
boosts production,
increases sourcing form
other suppliers
Nokia increases market
share from 27% to 30%
from previous year.
Ericsson
market share
drops from
12% to 9%
year over year
BCM Case Study
Nokia/Ericsson (3/3)
Per cosa siamo pronti, ora?
Scenario – Step 1: Risposta all’emergenza
La sede principale della Vostra azienda è situata in un edificio di 6 piani, in un
nuovo Business Center a ovest di Londra. Nella sede lavorano 600 persone
1. La nube tossica si muove verso i vostri uffici
2. La causa del rilascio e l’esatto tipo di sostanza rilasciata sono al
momento sconosciute.
Wind direction
Step 1 - Risposta all’emergenza
Alcuni spunti…
• Quali sono le Vostre priorità in questo momento?
• Di quali informazioni e potere decisionale avete bisogno per procedere con azioni di protezione delle Vostre persone?
• Pensate di offrire riparo alle Vostre persone all’interno della Sede, o incominciate immediatamente le operazioni di evacuazione? Se decidete per l’evacuazione, dove avete intenzione di ricollocare il Vostro personale?
• Disponete già di una struttura operativa in grado di gestire una simile evenienza? Avete assegnato al team leader la necessaria autorità ed autonomia per poter operare in maniera efficace ed efficiente?
Per cosa siamo pronti, ora?
Scenario – Step 2: Gestione della Crisi
1. La nube tossica si sta muovendo verso ovest, verso la Vostra sede 2. La circolazione è completamente bloccata 3. La sostanza rilasciata, a quanto riportato dalle prime agenzie, è acido
cloridrico 4. Le persone sono in preda al panico 5. Le agenzie iniziano a parlare di attentato terroristico
Wind direction
Step 2 – Gestione della Crisi
Alcuni spunti…
• Come avete intenzione di rintracciare e contattare tutti i Vostri dipendenti? Con quali stakeholders avete necessità di comunicare? Con quali priorità avete intenzione di contattarli?
• Come Vi metterete in comunicazione con le Vostre persone? Come avete intenzione di offrire supporto ai Vostri dipendenti e alle loro famiglie, nel caso in cui dovessero riportare danni a causa dell’evento? Avete previsto di assistere casi particolarmente critici, come la comunicazione alla famiglia della perdita di un loro congiunto?
• Come avete intenzione di rispondere e gestire la comunicazione con i media? Avete valutato le possibili implicazioni del Vostro modo di reagire in una Crisi a livello legale, di immagine e – conseguentemente – di reputazione? Avete individuato una persona o un team in grado di gestirle?
• Avete valutato le possibili implicazioni di medio-lungo periodo dell’evento sul Vostro business?
Per cosa siamo pronti, ora?
Scenario – Step 3: Gestione della Continuità
1. La nube tossica ha ormai percorso alcuni chilometri, che includono l’area della Vostra sede, che è stata evacuata per ordine delle Autorità Competenti fino a data da definirsi
2. Quattordici impiegati sono stati ricoverati. Uno di loro è morto di infarto. 3. Il Board sta gestendo le relazioni con la stampa. 4. In qualità di Senior Manager, nei prossimi giorni dovrete gestire la ripresa
delle attività
Step 3 – Gestione della continuità
Alcuni spunti…
• Come avete intenzione di contattare i Vostri clienti principali, i Vostri partner ed eventuali altri stakeholders con I quali ritenete necessario coordinarVi?
• Quali ritenete siano le necessità impellenti per ripristinare le continuità delle attività di business? Come avete intenzione di ricollocare le persone e/o i processi principali? Quali sono le conseguenze per i Vostri servizi, sia in termini di capacità (cosa) che di livello si servizio (quanto)?
• Di quali risorse avete bisogno, quando ne avete bisogno e come avete intenzione di disporne? Dal momento che le Vostre risorse sono limitate (non avete a disposizione tutte le persone, le strutture e le attrezzature che siete abituati ad avere) come avete stabilito le Vostre priorità al fine di continuare le attività ad un livello accettabile, per quanto degradato?
• Avete valutato la fattibilità dei Vostri processi critici in un contesto in cui i sistemi ed i dati non sono disponibili nel breve o nel medio periodo? Avete la certezza che tutti i sistemi ed i dati saranno disponibili al termine della Crisi?
Agenda
1. Introduzione al Business Continuity Management
2. Concetti generali ISO 22301
3. Professional Practices DRII
4. Training & Testing (case study SKF)
Conoscere la ISO 22301
• ISO 22301 Parte Prima: sono le Norme, forniscono le
raccomandazioni sul Business Continuity Management
• ISO 22301 Parte Seconda: sono le Specifiche, fornisce un
framework sul sistema di gestione dei controlli per condurre la
business continuity
BCM Lifecycle
Layout della BS25999 -1
To enable the organization to identify the critical
activities and resources needed to support its key
products and services, understand the threats to them
and choose appropriate risk treatments. 1
To identify BCM arrangements that will
be enable the organization to recover its
critical activities within their recovery
time objectives. 2
To enable the organizations to develop and implement
appropriate BCM plans and arrangements to manage
any incident and continue its critical activities 3
To verify the ongoing effectiveness of
the BCM arrangements and to provide
greater assurance following an incident
that critical activities will be recovered
as required 4
• Understanding the organization – Comprendere l’organizzazione
L’organizzazione definisce il perimetro di analisi, gli obiettivi e le priorità
• Determining business continuity strategy – Definire le strategie di BC
L’organizzazione prende in considerazione due o più strategie potenziali, sulle basi delle valutazioni dei rischi e dei costi (RTO, RPO)
• Developing and Implementing a BCM response – Sviluppare e implementare una risposta di BCM
L’organizzazione definisce il modello della struttura dei piani, la gestione degli incidenti, i piani di business continuity e di ripristino del business
• Exercising, maintaining and reviewing BCM arrangements - Esercitazione, Manutenzione e Revisione delle disposizioni di BCM
L’organizzazione testa, migliora e rivede i piani di continuità operativa
• Embedding BCM in the organization’s culture - Diffondere il BCM nella Cultura Aziendale
L’organizzazione lavora per assicurare che il personale sia a conoscenza e preparato al programma di BCM
Layout della ISO 22301-1
BCM Programme Management
Verificare che il programma di BCM includa:
• Governance: nome delle persona responsabile per la policy di BCM
e nominativi delle persone che la implementano e la mantengono
aggiornata;
• Implementazione: comunicazione agli stakeholders; training dello
staff; programmi di esercitazioni e di project management;
• Ongoing: revisione e aggiornamento di tutti gli elementi elencati
nella Policy di BCM – frequenza e contenuti;
• Documentazione: tutti i documenti rilevanti devono essere inclusi e
aggiornati.
Qual è la differenza tra BCM e BCMS?
Comprendere l’Organizzazione
• Condurre una Business Impact Analysis;
• Identificare ed elencare le attività critiche;
• Definire i requisiti della Business Continuity;
• Condurre un Corporate Risk Assessment;
• Mitigazione delle Perdite e Gestione del Rischio:
Per ciascuna attività critica indicare l’opzione scelta per mitigare
le perdite includendo le Strategie di Recovery e il Recovery Time
Objective (RTO);
• Sottoscrizione della azioni e delle contromisure da intraprendere
per ogni minaccia: 4T (Trattare, Tollerare, Trasferire o Terminare).
Definire le Strategie di BCM
Le Strategie Recovery devono includere:
Opzioni considerate per le attività e le risorse critiche;
Persone chiave – Conoscenza della Continuità;
Edifici, siti alternativi, lavoro da casa, …;
Tecnologia minima richiesta per il recovery dei system,
applicazioni ed informazioni vitali all’interno degli RTO definiti;
Persone assegnate per salvaguardare e trattare con gli
stakeholder chiave;
Preparazione all’Emergenza;
Sottoscrizione di tutte le strategie sopra elencate.
Sviluppare e Implementare Risposte di BCM
• Struttura di Risposta conforme ai piani di Risposta all’Incidente,
Business Continuity e Recovery/Ripresa;
• Contenuto dei piani:
Scopo, obiettivo e relazioni con gli altri piani; ruoli e
responsabilità; attivazione del piano; responsabile del piano e
responsabile della sua manutenzione;
Elenco della attività e delle azioni; contatti per l’emergenza
includendo anche i parenti prossimi; attività del personale;
risposta ai media e controllo delle news date dai media;
gestione degli stakeholder; appendici (mappe, piantine, contratti,
moduli standard,…);
Qualsiasi altra informazione vitale ed importante.
Esercitazione, Manutenzione e Revisione delle
disposizioni di BCM
Ogni organizzazione dispone:
Esercitazioni regolari su tutti i componenti del programma;
Esercitazioni sulle disposizioni di BCM inclusi scopi ed obiettivi per
ciascun test e debriefing dopo il test;
Mantenere e revisionare le disposizioni di BCM, secondo le
evidenze rilevate e nel rispetto degli ultimi regolamenti, di nuovi
accordi e revisioni.
Diffondere/Radicare il BCM nella Cultura
Aziendale
• Sensibilizzazione:
Diffusione della conoscenza dell’organizzazione del BCM
attraverso newsletter, incontri, giornali, pagine web o intranet;
BCM come elemento di discussione all’interno dei meeting dei
team;
Esercitazione sui piani di continuità presso i siti alternativi.
• Training degli Skill
Processo per identificare e comunicare i requisiti del training di
BCM per i componenti dei team e valutazione dell’efficacia di
questi alla sua attuazione.
Agenda
1. Introduzione al Business Continuity Management
2. Concetti generali ISO 22301
3. Professional Practices DRII
4. Training & Testing (case study SKF)
1. Introduzione e Gestione del progetto
2. Analisi e controllo dei rischi
3. Analisi degli impatti sul business
4. Sviluppo delle strategie di business continuity
5. Risposta all’Emergenza e relative operazioni
6. Sviluppo e implementazione dei piani di business continuity
7. Programmi di sensibilizzazione e training
8. Manutenzione e test dei piani di continuità operativa
9. Relazioni con i Media e Comunicazione durante la crisi
10. Coordinamento con le autorità pubbliche
Le ‘Professional Practices’ DRII: le
competenze e il ruolo del BC Manager
come Program Manager
1 - Introduzione e Gestione del Progetto
Al fine di determinare l’ambito del progetto e quali sono le attività
business-critical da analizzare, bisogna verificare i seguenti punti:
– Quali sono i principali obiettivi di business?
– Quali sono i prodotti e i servizi fondamentali per il raggiungimento degli
obiettivi aziendali?
– Chi è coinvolto nel raggiungimento degli obiettivi aziendali?
– Come vengono conseguiti gli obiettivi di business?
1 - Introduzione e Gestione del progetto BCM
(cont)
Step:
Definizione iniziale del progetto
Commitment della Direzione
Obiettivi e necessità dei processi di business
Ipotesi e terminologia di business continuity
Project Management – ambito di applicazione ed investimenti
2 - Analisi e controllo dei Rischi
Il Risk Assessment risponde alla domanda:
“Quali sono i nostri punti deboli, cosa facciamo e come riduciamo le probabilità che questi si verifichino?”
Il Risk Assessment ha lo scopo di identificare: quali sono i principali rischi che possono provocare
un’interruzione significativa del processo di business critici dell’azienda con conseguenze finanziarie, operative e “politiche”;
sviluppare misure di prevenzione, riduzione, trasferimento e controllo di tali rischi.
2 - Analisi e controllo dei Rischi (cont.)
Le attività quindi sono:
identificare le minacce (Naturali, Umane, Tecnologiche e di
Prossimità)
capire le minacce
documentare i rischi
determinare le conseguenze e le probabilità per i rischi identificati
classificare l’esistenza e l’efficacia dei controlli esistenti
valutare i rischi stimati per determinare se la mitigazione del rischio è
richiesta
2 - Analisi e controllo dei Rischi (cont.):
terminologia
• Vulnerabilità (vulnerability):
Esistenza di almeno un “point of failure” in un'attività, un processo o un sito che, se associato ad una minaccia, può causare perdite o danni
• Minaccia (threat):
Evento interno o esterno che può causare perdite e danni
• Rischio (risk):
Perdita potenziale causata da una minaccia
• Rischio Residuo (residual risk):
Rischio residuo dopo l’adozione di misure di mitigazione
2 - Analisi e controllo dei Rischi (cont):
Rischi & Controlli
Minaccia Vulnerabilità Mitigazione Controllo Rischio
Residuo
Allagamento
Media
3 x anno
negli ultimi 5 anni
Accesso
alternativo
funzionante
Nessuno
Medio
Accesso
difficoltoso agli
automezzi
Mancanza di
energia elettrica
Alta
3 – 5 x mese
negli ultimi 5 anni
Generatore e UPS
disponibile per 2 h
consecutive
Monitoraggio 24x7
Manut. giornaliera
Basso
Mancanza di
operazioni o
equipaggiamento
Interruzione dei
servizi da parte di
un fornitore vitale
Bassa
1 volta negli ultimi 3
anni
Nessuna
Nessuno
Il contratto non
prevede SLA
Alto
100% della
fatturazione del
prodotto X
3 - Analisi degli impatti sul business
La Business Impact Analysis risponde alla domanda:
“In caso di distruzione, cosa dobbiamo ripristinare per primo?”
La BIA ha lo scopo di determinare quali sono le ripercussioni finanziarie ed operative derivanti da una distruzione significativa dei processi aziendali critici.
Gli impatti causati da un’interruzione ai processi critici di un’azienda sono di due tipologie:
Quantitativi: perdite finanziarie, sanzioni, oneri finanziari, dipendenti inattivi, ore di straordinario, acquisti di emergenza, ecc.
Qualitativi: perdite di immagine sul mercato, di “quota di mercato", cause legali, ecc.
3 - Analisi degli impatti sul business:
obiettivo e fasi
L’obiettivo della BIA si raggiunge attraverso l’identificazione di:
processi critici e loro interdipendenze (input/output)
impatti operativi, finanziari, legali e di immagine
RTO, RPO, MTPoD dei processi
personale critico per il ripristino delle attività
fornitori critici
dipendenze da sistemi di comunicazione, applicazioni informatiche, materiali, documentazione
Le fasi della BIA possono essere così scomposte:
pianificazione
raccolta delle informazioni
analisi e verifica delle informazioni
redazione della relazione e delle raccomandazioni
approvazione per la fase successiva: Strategie di Ripristino
4 - Sviluppo delle strategie di business
continuity
Le strategie di BCM sono le linee guida di una organizzazione su come
gestire i processi aziendali critici dopo il verificarsi di evento disastroso,
per ripristinarli ad un livello accettabile.
L’organizzazione dovrà decidere per ogni processo la strategia da
intraprendere (4T) (Trattare, Tollerare, Trasferire o Terminare):
Trasferire (assicurarsi, condividere)
Tollerare (accettare il rischio, es. costi di intervento > benefici)
Trattare (adottare contromisure o piani di ripristino in tempi
accettabili)
Terminare (adottare contromisure radicali)
53
Strategie di continuità operativa:
È una delle fasi più impegnative del BCM
Richiede competenze tecniche e di business e conoscenza
dell’azienda
Valutazione di combinazioni multiple, ciascuna con i suoi vantaggi e
svantaggi
Difficile accontentare tutti i responsabili delle BU
Non sempre la Dirigenza è disposta ad effettuare cospicui
investimenti
Possono esserci diverse iterazioni
4 - Sviluppo delle strategie di business
continuity (cont.)
54
Strategie di successo:
Relazione costi x benefici efficace
Riduzione dei rischi e delle esposizioni a livelli accettabili
Fornire siti alternativi per le operazioni e le funzioni critiche nel tempo
Riprostino della tecnologia a supporto
Soddisfare le esigenze del business
4 - Sviluppo delle strategie di business
continuity (cont.)
5 - Risposta e Gestione dell’Emergenza
Lo scenario tipico delle emergenze è:
• La maggior parte dei disastri si verificano al di fuori del normale
orario di lavoro
Personale ridotto, impreparato o disattento
• La mancanza di una preparazione adeguata per rispondere a
situazioni di emergenza tende a peggiorare il problema aumentando
lo stress ed i danni
• Mancanza di autonomia
Tempi di reazione maggiori per l’attivazione dei responsabili
Danni maggiori
Impreparazione ad affrontare situazioni “non prevedibili”
5 - Risposta e Gestione dell’Emergenza (cont.)
Pertanto devono essere presenti:
Policy, norme, procedure e piani d'azione che diano le istruzioni a
tutti i dipendenti su come procedere correttamente in caso di crisi
(dall'inizio alla fine)
Inoltre queste istruzioni devono:
Essere adeguatamente documentate, diffuse e tenute aggiornate
Tutto il personale coinvolto deve essere addestrato
Eseguite periodicamente, con evidenza dei risultati
Continuamente migliorate
6 - Sviluppo e implementazione dei piani di
business continuity
Lo sviluppo dei piani di Business Continuity comprende un certo numero di componenti di base:
obiettivi
procedure, processi, servizi, applicazioni, hardware
tempi di ripristino
liste di attivazione
team con compiti ed attività
informazioni
Importanti presupposti per l’attuazione dei piani di business continuity sono:
sicurezza dei contenuti e soluzioni di logistica a supporto dell’organizzazione
sviluppo e documentazione del piano stesso
Processi Critici Chi eseguirà le
attività e come?
Attività
Team
Personale Fornitori Clienti Siti
Software
Hardware
Forniture
Telecom
Vital
Record
Asset
Quali sono le risorse necessarie per
eseguire le attvità?
Documenti
Sicurezza Gestione Organizzazione Standardizzazion
e
6 - Sviluppo e implementazione dei piani di
business continuity: informazioni Contenute
nei BCP
Tempi e fasi della gestione della continuità ICT
60
Definizione di RTO
(RTO – Recovery Time Objective)
E‘ il periodo definito entro il quale attività e processi critici (ai fini
operativi) devono essere ripristinati.
Esempio RTO =1 g
significa che entro un giorno dal disastro è necessario garantire
il ripristino di un livello minimo di servizio per l'attività impattata.
RTO – Recovery Time Objective
61
RPO – Recovery Point Objective
Definizone di RPO
(RPO – Recovery Point Objective)
È un valore definito pari alla perdita massima di dati sostenibile in
caso di crisi.
Esempio: RPO= 1 g
significa che è possibile sopportare la perdita di dati relativi alle 24h
di lavoro precedenti al disastro.
7 - Programmi di sensibilizzazione e training
Sensibilizzazione per un’Organizzazione significa:
condividere un programma di BCM con tutto il personale
supportare la “mission” dell’Azienda e il suo commitment sul BCM
conoscere le vulnerabilità ed i rischi al fine di implementare al meglio nuove procedure
orientare il nuovo personale al programma di BCM
riduzione delle situazioni di stress in fase di attuazione del piano di BC
sviluppare un messaggio/slogan significativo per promuovere internamente il BCM
7 - Programmi di sensibilizzazione e training
(cont.)
Training per un’Organizzazione significa:
standard di formazione unico per tutto il personale
istruire tutto il personale sulle procedure di sicurezza di base
ridurre i tempi di interruzione dei processi di business in caso di disastro
formare il personale a come rispondere durante l’emergenza
sviluppare linee guida
8 - Manutenzione e test dei piani di
continuità operativa
Manutenzione significa aggiornamento costante delle informazioni contenute nei piani di BC.
Nella Manutenzione rientra anche la verifica delle interdipendenze tra i piani di BC e la valutazione della loro consistenza all’interno dell’organizzazione.
Gli input per la Manutenzione sono: variazioni nelle procedure, cambiamenti organizzativi, sostituzioni di personale, adozione di nuove tecnologie, nuovi requisiti per il ripristino dei processi, criticità identificate durante i Test.
Devono essere identificate le modalità di aggiornamento periodico dei dei BCP e le procedure da seguire, oltre a responsabilizzare gli owner dei processi.
8 - Manutenzione e test dei piani di continuità
operativa (cont.)
Esercitazioni e Test hanno l’obiettivo di testare e verificare i piani di BC al fine e correggerli e migliorarli.
Lo scopo principale non è verificare che tutto funzioni ma individuare i punti deboli del piano e valutare la preparazione del personale.
Le Esercitazioni sono indirizzate al personale. Le tipologie di Esercitazioni possono essere: pianificate, su parti parziali o totali del piano, tabletop, walk through, modulari, per linea di business, non pianificate.
I Test sono rivolti a verificare gli equipaggiamenti e le tecnologie di supporto.
I Test sugli equipaggiamenti possono essere statici, dinamici e funzionali.
66
Perchè testare e quando
Quando
Promuovere la BCM e testare i
piani almeo 2 volte all’anno
Condurre la formazione e i test
come previsto nella policy di BCM
Change Management
Perchè
Rafforza l’impegno
Verifica la reale capacità di ripristino
Valida la compatibilità tecnica
Esercita un’organizzazione ad attivare il gruppo di gestione emergenza
Forma il personale designato
Evidenza i miglioramenti da attuare
8 - Manutenzione e test dei piani di continuità
operativa (cont.)
9 - Relazioni con i Media e Comunicazione
durante la crisi
La Comunicazione è il fattore di successo per il ripristino dei processi
a seguito di un disastro.
L’organizzazione durante una crisi deve essere in grado di comunicare
in maniera efficiente e questo significa:
predisporre un piano per la comunicazione
identificare il personale autorizzato a rilasciare comunicazioni
rilasciare/ripetere messaggi semplici, diretti e veritieri per non
danneggiare l’immagine dell’Azienda
raccogliere e valutare le informazioni provenienti dall’interno e
dall’esterno
9 - Relazioni con i Media e Comunicazione
durante la crisi
La comunicazione deve essere rivolta a:
personale interno
organizzazioni esterne (clienti, fornitori, provider,…)
Media
forze dell’ordine, sanità, VV.FF, …
10 - Coordinamento con le autorità
Il coordinamento con le autorità pubbliche all’interno di una
organizzazione deve essere preventivamente concordato e testato.
Devono essere date istruzioni operative (tempi e modi) al personale
dell’organizzazione incaricato all’attivazione delle autorità pubbliche.
In base alla tipologia di disastro il personale dell’organizzazione
coinvolto nelle attività di ripristino potrà ricevere ordini dalle autorità
pubbliche, come concordato preventivamente nei piani di risposta
all’emergenza.
Agenda
1. Introduzione al Business Continuity Management
2. Concetti generali ISO 22301
3. Professional Practices DRII
4. Training & Testing (case study SKF)
BCM & Crisis Management:
Traning & testing in SKF
1. SKF & BCM Policy
2. Progetto SEPTAS
3. SKF Crisis Handbook_Italy (SCH_I)
• Parte 1 – SKF & BCM Policy
Ulf Höglund, MD SKF Schweinfurt:
“The type of disturbances through the
whole organisation, deeply into the
market, are much bigger and much
more significant than we originally
anticipated”.
Tom Johnstone, CEO SKF Group :
“Let’s all make sure that the near
tragedy we had in St Cyr is not
repeated in any of our facilities”.
3/3/1988: Schweinfurt Werk 3 15/01/1997: St-Cyr HBU factory
IMPARARE ………….DAI SINISTRI
© SKF Group
Principi Guida del programma BCM in SKF
Principi guida del programma BCM di SKF sono: - Garantire SEMPRE e COMUNQUE la salute e la sicurezza dei nostri dipendenti
- Comprendere pienamente i rischi che minacciano ambiente / asset / processi aziendali
- Comprenderne pienamente il potenziale impatto sul business (analisi BIA sui maggiori siti)
allo scopo di:
- Ridurre a zero le “Broken Promises” ai nostri Clienti
- Garantire un Business Sostenibile in linea col concetto SKF Care
BCM in SKF: Policy e principi guida
Business Care Employee Care
Environmental Care Community Care
SKF BeyondZeroTM
SKF
Care
© SKF Group
Dow Jones Sustainaibility Indexes, Guida ANFIA
SKF Industrie - Risk Management ha coordinato il Gruppo di Lavoro
dell’ANFIA (Associazione Nazionale Filiera Industria Automobilistica), che sta
promuovendo lo sviluppo della prima guida italiana sulla Business
Continuity, per supportare le aziende filiera Automotive nella
predisposizione dei propri Piani di Continuità Operativa. Tale guida, di
derivazione AIAG (Automotive Industry Action Group) è sviluppata per essere
di aiuto a piccole, medie e grandi organizzazioni.
© SKF Group
“Matrice di riferimento”
RISPOSTA
ALL’EMERGENZA
Esempi di attivazione della
“Risposta all’Emergenza”
Infortunio al personale che richiede
intervento di terzi
Evacuazione necessaria
Danni gravi a persone,
infrastrutture, edificio
Inaccessibilità o indisponibilità di una
sede aziendale
Perdita totale delle infrastrutture
tecnologiche
Infortunio mortale sul lavoro
Disservizi gravi ed estesi e
conseguente interruzione delle attività
per la quale non è possibile prevedere
una risoluzione
UdC locale informata dal Responsabile dell’Emergenza / attiva il DAT
Capo UdC valuta
la necessità
di attivare il
BCP?
No Si Quando Gestione locale.
Il management viene informato
Convocazione del CMT_I
Responsabili dell’Emergenza
Necessità
attivazione
Squadra Emergenza?
No Si Quando
Gestione locale.
Il management viene informato Attivazione della “ Risposta
all’Emergenza”
GESTIONE
DELLA CRISI
Rilevazione da
parte di:
General Services
Allarmi automatici
Dipendenti
Ospiti
Terzi
Reception, Servizi Generali, Testimoni, Sistema di Allarme
Evento con impatto
potenziale sull’operatività
Valutazione del danno da parte di DAT
Valutazione dell’incidente
Incidente
SCHEMA DI FLUSSO DEL PROCESSO DI ESCALATION
BCM & Crisis Management in SKF: BCP activation / Training & Testing
Criteri di attivazione secondo la
• Parte 2 – Progetto SEPTAS
Progetto “SEPTAS”
S
E
P
T
A
S
KF
lan
nd
mergency
esting
imulation
Concorso INAIL Torino Film Festival 2010
Background of the Project
• According to the Italian Law, evacuation plans of all SKF sites in Italy have to be
tested on an annual basis.
• Since 2005, SKF Italy has introduced the SEPTAS procedure not only for
testing evacuation, but also for emergency plans (ISO 14001 / OHSAS 18000
requirement), first aid procedures and knowledge of crisis management
routines, in order to gain a comprehensive understanding of all actions to be
taken, roles and responsibilities defined and potential need for further training.
• Work-team:
– Area Risk Management (Project Leader) => 1 or 2 members
– Country Sustainability (Internal Support) => 1 member “spot”
– Italian Red Cross (External Consultant) => 1 or 2 members
– XXXX Risk Consulting (External Consultant) => 1 member
The testing exercise
• The testing exercise is usually divided into three
sections:
• 1. Incident simulations
• 2. Hot debrief
• 3. Tabletop Exercises
SEPTAS: 1st section
1. Incident simulations:
• several incident scenarios (e.g. fire, flood, EQ, etc.),
are chosen by Area Risk Management in relation to the
plants’ location and the relative exposure to the
different risks (requirement from the Insurance
Company);
• evacuation drill and consequent roll-call at the
assembly points;
• triggers are usually introduced (e.g. injured person and
one/two missing people).
SEPTAS: 2nd section
2. Hot debrief
check emergency notification procedure;
assess operations carried out by the Emergency Response Team;
verify actions aimed at safeguarding machineries and systems;
assess the preparation of the First Aid Assistants;
evaluate the evacuation modality;
evaluate the emergency calls (115 Fire Fighters & 118 Red Cross);
assess the roll call procedure.
SEPTAS: 3rd section
3. Tabletop Exercises
• Upon the conclusion of the incident simulation, the members
of the local Crisis team are invited to join in a tabletop
exercise;
• This exercise aims at testing the in-depth understanding of
various crisis management procedures;
• The local Crisis team members are faced with unexpected
situations in order to test their capability to react
spontaneously according to given guidelines, e.g. SCH_I,
Business Continuity Plan, Product Liability routines, Corporate
Governance Italian Law 231/01, etc.
Incident Simulations
• In the following slides, an example of the simulations is given.
• Simulation may start e.g. with a fire outbreak in a plant in a BAU situation. All
employees present are involved in the simulation and actively participate in the
evacuation process. Special attention is paid to the following elements:
– Alarm system and its automatic / manual triggering
– Plant Emergency Team
• Fire fighting
• Evacuation
• First aid
• Communication
• The simulation is carried out as realistic as possible (including all alarms, use of fire
extinguishing media, etc.)
Tabletop Exercises Employees involved
• In order to have a comprehensive understanding of the functioning of the local Crisis Team, all
members of the Team are invited to participate in the exercises.
• Members of the units are listed in the dedicated section of the Emergency Plan and may vary
from plant to plant. In general, members of the Local Crisis Team are:
– Plant Manager
– HR Manager
– EHS Manager
– Production Manager / General Services Manager
– Material Flow Manager
– Risk Manager
– Business controller
• During these exercises, the idea of a Crisis Communication Handbook was born, in order to
create an SKF Standard Procedure to comply with in crisis situations.
Presentazione di uno Scenario di Test e sua escalation
Giorno / Ora: Martedì, 15 novembre 2014, h 11:00
Luogo : Airasca SLS, Via Pinerolo 54
• Un incendio in sala CED, non domato dall’impianto a CO2 , ha richiesto l’intervento delle
squadre di emergenza interne e dei VV.F. esterni con idranti.
• L’acqua utilizzata ha raggiunto alcune caditoie e, di conseguenza, il Canale del Nicola.
• Il CED è stato seriamente danneggiato: la regolare gestione del magazzino è compromessa per
un periodo di tempo indeterminato.
• In particolare, le applicazioni WASS e ICSS non sono disponibili.
Trigger 2, 15/11/2014 (DD), h 13.00: Da una prima valutazione sommaria, si possono ipotizzare conseguenze ambientali
esterne al sito (sia al terreno circostante, che al Canale del Nicola) che non si prevede di poter neutralizzare in meno di 24 ore
Trigger 1, 15/11/2014 (DD), h 12.00: I danni subiti dall’HW della sala CED, fanno presupporre un’interruzione del servizio
superiore alle 24 ore.
Trigger 3 , 16/11/2014 (DD+1), h 08.00: Numerosi camion che arrivano dagli stabilimenti SKF Italiani sono in attesa di
essere scaricati.
Trigger 4, 16/11/2014 (DD+1), h 15.00: Alcuni clienti iniziano a chiamare insistentemente e a chiedere aggiornamenti sullo
stato dei loro ordini e spedizioni.
Trigger di escalation dello scenario…
Trigger 5, 16/11/2014 (DD+1), ore 16.00
A seguito di una fuga di notizie, la Comunità locale si interroga su potenziali problemi di inquinamento del Canale e,
conseguentemente, della flora e della fauna dello stesso.
Trigger 6, 17/11/2014(DD+2), ore 10.00
Gli abitanti di Airasca, preoccupati per la loro salute, segnalano l’accaduto alle autorità. Il Procuratore della Repubblica
apre un’inchiesta.
Trigger 7, 18/11/2014 (DD+ 3), ore 08.00
Si presentano ai cancelli dello stabilimento due ufficiali dei NOE per un’ispezione al Sito.
Trigger 8 , 18/11/2014 (DD+ 3) ore 08.30
Un giornalista dell’”Eco del Chisone” telefona in stabilimento chiedendo informazioni sulla gravità del danno ambientale.
Trigger 9, 21/11/2014 (DD+6), ore 09.30
Due importanti Clienti minacciano rispettivamente la risoluzione del contratto e l’applicazione di penali in caso di ritardo
nella consegna della merce.
A) Risorse per la gestione dell’emergenza
B) Procedure per la gestione dell’emergenza
C) Fattori aggiuntivi
Metodologia di valutazione delle simulazioni di crisi / BCM
Awareness Creation: Premio SEPTAS Awareness Creation: Premio SEPTAS
Awareness Creation: Premio SEPTAS
Premio 2011: Varese
Premio 2012: Bari, Airasca, Cassino
Premio SEPTAS 2013 / 2014 / 2015
Informazione a mezzo del house organ “Sfera.it”
Parte 2 –
SKF Crisis Handbook_Italy (SCH_I)
BACKGROUND…
• Crisis Communication Policy (2003, modificata 2008) • http://spider.skf.net/SKF/SPIDER/gotcom02.nsf/html/X0410C4C.html
• Crisis Management Team Italia (da Marzo 2004)
• Progetto SEPTAS (dal 2005)
• Group Branding & Communication Audit (2008)
• Normativa internazionale ad adesione volontaria, prima
BS25999 poi ISO22301 (BCM), DJSI Guidebook, etc.
CRISIS COMMUNICATION POLICY
TEAM di PROGETTO SCH_I
– RISK MANAGEMENT (2)
– COMMUNICATION (2)
– EHS (2) + HR (2)
– EXTERNAL RISK CONSULTING (2)
•
SKF Crisis Handbook Italy • STRUTTURA E PROCEDURE BASE DI GESTIONE DELLA CRISI
• Criteri di classificazione degli incidenti
• Struttura e processo di Incident Response
• Processo di gestione della crisi
• Escalation dell’emergenza a crisi
• Dichiarazione della crisi e gestione della crisi
• Attivazione e coordinamento dei piani di business recovery
• Composizione del Crisis Management Team Italy (CMT_I)
• Composizione del Crisis Management Team di Gruppo (CMT_GHQ)
• COMUNICAZIONE NELLA GESTIONE DELLA CRISI
• Aspetti generali di comunicazione nella gestione della crisi
• Composizione del CCT_I e sue responsabilità
• Elementi chiave
• Regole di condotta per il/la spokesperson (portavoce)
• Relazioni con i media
• Procedura per l’approvazione ed il rilascio di comunicazioni
• Media Monitor
• Comunicazioni ai dipendenti e ai loro familiari
• CHIUSURA DELLA CRISI, PATRIMONIALIZZAZIONE DELL’ESPERIENZA
• TESTING E AGGIORNAMENTO
EVENTI DI LIVELLO 2
EVENTI DI LIVELLO 3
CALL-TREE
• In caso di emergenza di livello 3 (CRISI), o di livello
2 (incidente grave) che sia suscettibile di escalation a
livello 3:
1) Il Factory Manager o l’HR Manager del sito SKF Italia,
(oppure, in loro assenza, l’UdC locale), contattano sia il
Segretario del CMT_I (Communication Manager)
che il Vice-Presidente del CMT_I (HR Italy Director).
Qualora questi ultimi non siano reperibili, Factory
Manager / HR Manager / UdC locale devono contattare
il Risk Manager e via di seguito gli altri membri del
CMT_I.
2) Il Segretario del CMT_I (Communication Manager) o,
in sua assenza, il Vice-Presidente del CMT_I (HR Italy
Director) oppure, in loro assenza, il Risk Manager,
contattano il Presidente del CMT_I e tutti gli altri
membri.
3) Il CMT_I contatta il Chairman del CMT_GHQ (SKF
Group Communication SVP).
Membri del CMT_I
•**** / Country Manager Presidente
•Office: +39 011 ******* -Fax. Office: +39 011 ******* - Mobile: +39 *******
•E-mail: *******
•**** / Communication Manager Segretario
•Office: +39 011 ******* -Fax Office: +39 011 ******* - Mobile: +39 *******
•E-mail: *******
•**** / HR Manager Vice- Presidente
•Office: + 39 011 ******* -Fax Office: + 39 011 ******* - Mobile: + 39 *******
•E-mail: *******
•Marco Terzago / Risk Manager
•Office: +39 011 9852216 -Fax Office: +39 011 9852575 - Mobile: +39 *******
•E-mail: [email protected]
•**** / Legal Counsel
•Office: +39 011 ******* -Fax. Office: +39 011 ******* - Mobile: +39 *******
•E-mail: *******
•**** / Finance Director
•Office: +39 011 ******* -Fax Office: +39 011 ******* - Mobile: +39 *******
•E-mail: *******
Membri del CMT_GHQ 1. ******* / Group Communication & Goverment Relations SVP Team Leader
• Office: +46-31-******- Fax office: +46-31-******– Mobile: +46-706-******
• Crisis number +46 *******
• E-mail: ******
2. ******* / Group Audit Director Team Co-ordinator and Log Keeper
• Office: +46-31-****** - Fax office: +46-31-****** – Mobile: +46-705-******
• E-mail: ******
3. ******* / Group People & Business Excellence SVP
• Office: +46-31-******- Fax office: +46-31-******– Mobile: +46-705-******
• E-mail: ******
4. ******* / Group Legal & Sustainability SVP
• Office: +46-31-******- Fax office: +46-31-******– Mobile: +46-706-******
• E-mail: ******
• N.B.: 3 donne su 4 membri del CMT_GHQ!
Membri del CCT_I
1. ******/ Communication Responsabile / Media Monitor
• Office: +39 011 ****** - Fax Office: +39 011 ****** - Mobile: +39 ******
• E-mail: ******
2. ******/ Communication Media Monitor Assistant
• Office: +39 011 ****** - Fax Office: +39 011 ******
• E-mail: ******
3. ******/ Sustainability & Industrial Relations
• Office: +39 011 ****** - Fax Office: +39 011 ****** - Mobile: +39 ******
• E-mail: ******
4. ******/ Customer Relation Management
• Office: +39 011 ****** - Fax Office: +39 011 ******
• E-mail: ******
DISPONIBILITA’ DEL PIANO
L’ Handbook è pubblicato sul database Ec Italy alla sezione E.4.4.3.G. SKF Crisis
Handbook Italy a cui hanno accesso tutti gli user SKF Italia.
DISPONIBILITA’ DEL PIANO
L’ Handbook è inoltre pubblicato su SKF Compass alla sezione Documents.
TEST DELLO SCH_I
• I Fase:
• A partire dal 2009, nelle esercitazioni SEPTAS viene testato a tavolino uno scenario di crisi, per verificare la conoscenza dell’Handbook presso gli stabilimenti, sino al call-tree.
• II Fase:
• coinvolgimento dei membri di CMT_I in un test K&R (Nov. 2010)
• III Fase:
• Crisis Communication Training – Sessione pilota (CCT_I)
– Due sessioni per gli spokesperson
– Sessione per il CMT_I
• Giorno: Lunedì 8 Novembre 2010
• Luogo: Airasca, Via Pinerolo 44
• Ore: 15.45 locali (20.15 in India)
XXX, assistente di YYY, riceve via posta
elettronica un filmato nel quale YYY è
ripreso ostaggio di un gruppo terrorista; il
Gruppo che rivendica il rapimento sostiene
la propria affiliazione ad Al Qaeda e di avere
promosso l’attentato a Mumbai del
Novembre 2008.
II FASE: Primo Test (Presentazione scenario di Crisi)
III FASE Crisis Communication Training
Obiettivi
• Testare le guidelines dello SCH_I
• Testare e valutare i ruoli e
responsabilità definiti dal Piano di
Gestione della Comunicazione nella
Crisi
• Verificare la capacità decisionale e
di coordinamento in caso di Crisi
• Diffondere le modalità di gestione
della Comunicazione nella Crisi
• Favorire il team building
Come?
Metodologie
Training on the field:
• Best/worst practice (contributi video)
• Il ruolo dei media
• Il ruolo dei comunicatori / spokesperson
(contatto con i media; veicolare i messaggi
aziendali; gestire domande difficili)
Cassetta degli attrezzi
Workshop con presentazione di uno scenario di
crisi per SKF Italia, che si sviluppa in base a
dei trigger predefiniti che ne descrivono lo
sviluppo nel tempo
Strategie e processi per salvaguardare il valore aziendale a seguito di un evento dannoso
Il Premio Assiteca
”La Gestione del Rischio nelle Imprese Italiane”
SKF Italia vince il Premio Assiteca 2012
Informazione a mezzo del house organ “Sfera.it”
SKF Poggio Rusco: un caso BCM di successo
SKF Italy has collaborated to the first Technical Guide focused on
Business Continuity Management (BCM)
Grazie per la Vostra attenzione!