Continuitatea afacerii

Această intrare sau secțiune despre economie nu citează sursele necesare sau cei prezenți sunt insuficienți . Puteți îmbunătăți această intrare adăugând citate din surse de încredere în conformitate cu liniile directoare privind utilizarea surselor . Urmați sfaturile de proiectare de referință .

Continuitatea activității ^{[1] [2] [3]} (în engleză business continuity ) înseamnă capacitatea unei organizații de a continua să furnizeze produse sau servicii la niveluri predefinite acceptabile în urma unui incident ^[4] .

Istorie

Continuitatea operațională sa născut spre sfârșitul anilor 70 în Statele Unite ale Americii ca o consecință a apariției tehnologiei informației în companii. Managerii și-au dat seama că, în cazul unei defecțiuni a sistemului IT , nu mai era posibilă revenirea la procesele manuale. Prin urmare, au început să reflecteze asupra continuității proceselor IT, prin primele activități de recuperare în caz de dezastru. Una dintre dificultățile inițiale ale tehnicienilor chemați să facă aceste reflecții a fost aceea de a justifica investiții semnificative pentru a pregăti organizația să reacționeze la evenimente distructive cu o probabilitate redusă de apariție. Astfel, la mijlocul anilor 1980, a fost stabilită prima metodologie de analiză a impactului afacerii , care a fost inițial aplicată doar în domeniul IT.

Disciplina a început apoi să evolueze și să fie implementată în alte țări anglo-saxone (în principal în Regatul Unit și Australia ). În anii 1990 , organizațiile au început, de asemenea, să-și lărgească reflecția și asupra resurselor umane, activelor fundamentale și proceselor de afaceri în ansamblu. În aceiași ani, British Standards Institution a lansat un prim standard pentru securitatea informațiilor , care de-a lungul anilor a fost modificat pentru a deveni actualul standard ISO / IEC 27001: 2013 ) care, printre principiile fundamentale, a afirmat necesitatea continuității operaționale, definită la timpul încă în ceea ce privește disponibilitatea datelor.

Între sfârșitul anilor 1980 și începutul anilor 1990, au fost fondate și diverse asociații profesionale, dintre care unele au devenit relevante la nivel global în timp. Spre sfârșitul secolului al XX-lea , datorită mai ales lucrării acestor corpuri, a apărut ideea unei abordări holistice a subiectului. Necesitatea de a oferi securitate și rezistență tuturor operațiunilor unei organizații, nu doar celor derivate din IT, devenea evidentă.

Prin urmare, în anii 2000, ca urmare a impulsului unor evenimente grave (cum ar fi atacurile din 11 septembrie 2001 ) care au extins în continuare reflecția asupra aspectelor gestionării crizelor , s-a încercat codificarea continuității operaționale și clasificarea acesteia ca parte a familie de standarde de sisteme de management, urmând o cale deja trasată de serviciile de calitate , mediu și securitate a informațiilor . Acest lucru a început cu o serie de standarde de ghidare care au condus apoi la definirea standardului ISO 22301: 2012 .

Descriere

Este o disciplină de management care permite organizației - fie ea privată sau publică - să devină mai rezistentă la incidentele care ar putea determina întreruperea activităților sale sau chiar amenințarea existenței acesteia. Ca atare, continuitatea afacerii este una dintre disciplinele cheie ale rezilienței organizaționale și, prin urmare, contribuie la o îmbunătățire semnificativă a performanței organizației. De fapt, continuitatea afacerii oferă în mod unic cadrul de referință pentru înțelegerea modului în care valoarea este creată și menținută în cadrul unei organizații și stabilește o relație directă cu dependențele sau vulnerabilitățile inerente distribuției acelei valori.

În mod eronat, este adesea confundat cu recuperarea în caz de dezastru, care se aplică doar (ca măsură critică de gestionare a incidentelor) securității cibernetice. Continuitatea afacerii are un domeniu de aplicare mult mai larg și implică, de asemenea, reflecții asupra oamenilor, site-urilor, resurselor, furnizorilor de organizații și serviciilor publice. Prin urmare, conceptul de dezastru are legătură doar cu securitatea cibernetică, situația de urgență, criza și catastrofa cu continuitatea activității.

Continuitatea activității și gestionarea riscurilor

Prin modele de gestionare a riscurilor , organizațiile creează percepția protecției și a creării valorii pentru părțile interesate (acționari, angajați, clienți și utilizatori, furnizori, comunități locale, autorități de reglementare și publicul larg). Acest obiectiv este foarte asemănător cu ceea ce este exprimat ca motiv pentru continuitatea activității. Deci, este clar că cele două discipline trebuie să împărtășească o serie de caracteristici.

Gestionarea riscurilor are de obicei un domeniu mai larg decât continuitatea activității, ceea ce duce la unele organizații mari - în special în sectorul financiar - necesitatea continuității activității pentru a se adapta la imaginea de risc generală. Acest lucru este perfect posibil, atâta timp cât există o distincție clară în ceea ce privește terminologia și conținutul între cele două discipline. În acest sens, este important de menționat faptul că continuitatea activității se concentrează - în special în faza de analiză - pe identificarea vulnerabilităților organizaționale legate de valoarea de bază pe care o susțin ( Analiza amenințării ) și pe înțelegerea impactului indisponibilității lor asupra organizației ( Business Analiza impactului ).

Prin urmare, continuitatea activității nu este doar identificarea, evaluarea și raportarea fiecărui risc posibil pentru o organizație, piețele sale, clienții și contextul în care operează și cu siguranță nu este o simplă atribuire a probabilității de apariție a evenimentelor. Managementul riscurilor identifică amenințările catastrofale care sunt dincolo de controlul organizației, în timp ce managementul continuității activității se preocupă de definirea modului de reducere a impactului unor astfel de amenințări, în cazul în care acestea apar.

Evaluarea riscurilor care se efectuează în cadrul unui program de gestionare a continuității activității este de obicei la nivel operațional, deoarece se referă la întreruperea activităților. Această evaluare a riscurilor poate completa cea întreprinsă ca parte a programului de gestionare a riscurilor. Implementarea ambelor discipline, a continuității activității și a managementului riscurilor, oferă unei organizații posibilitatea de a-și consolida rezistența, dar acest lucru se va întâmpla numai dacă managementul celor două discipline este coordonat în mod eficient.

Continuitatea afacerii și gestionarea crizelor

Același subiect în detaliu: Planul de gestionare a continuității activității .

Managementul crizelor este procesul prin care se dezvoltă și se aplică capacitatea organizațională de a face față evenimentelor critice, înțeleasă ca situații anormale și instabilitate gravă care amenință obiectivele strategice, reputația sau însăși supraviețuirea unei organizații ^[5] . Crizele nu implică neapărat o întrerupere a activităților organizației, gândiți-vă, de exemplu, la posibilitatea de a gestiona știrile media negative care ar putea afecta reputația unei organizații. Cu toate acestea, gestionarea crizelor necesită cunoștințe și abilități de specialitate care sunt pe deplin comparabile cu cele prevăzute în cadrul programului de gestionare a continuității activității .

Prin urmare, gestionarea crizelor este cu siguranță una dintre activitățile care trebuie abordate de orice organizație care implementează continuitatea activității. Prin urmare, nu ar trebui să fie separat de continuitatea activității, deoarece este o parte integrantă a oricărui răspuns pozitiv la un incident. Cu toate acestea, pot exista aspecte suplimentare ale disciplinei de luat în considerare atunci când sunt aplicate incidentelor rezultate din amenințări neoperatorii, precum gestionarea mass-media și comunicarea cu părțile interesate externe în caz de criză. În orice caz, coordonarea activităților de gestionare a crizelor se referă la nivelul strategic al sistemului de management al continuității activității.

Reprezentare grafică utilizată de Business Continuity Institute pentru a identifica cele șase etape ale ciclului de viață al managementului continuității activității.

Standarde și norme de referință

În mai 2012, ISO 22301: 2012 Securitate societală - Sisteme de gestionare a continuității activității - Cerințe ^{[6] a} fost publicată de Organizația Internațională pentru Standardizare , urmată de standardul ISO 22313 în decembrie : 2012 Securitate societală - Sisteme de gestionare a continuității activității - Ghid ^{[ 7]} . Cu toate acestea, în decembrie 2015 , au fost emise următoarele specificații tehnice conexe: ISO TS 22317: 2015 Securitate societală - Sisteme de management al continuității activității - Liniile directoare pentru analiza impactului afacerii (BIA) ^[8] și ISO TS 22318: 2015 Securitate societală - Managementul continuității activității sisteme - Liniile directoare pentru continuitatea lanțului de aprovizionare ^[9] .

În ceea ce privește gestionarea crizelor, pe de altă parte, în mai 2014, BS 11200: 2014 Crisis management - Guidance and good practice a fost publicat de British Standards Institution .

Toate aceste standarde oferă o metodă formalizată pentru a se asigura că programul de continuitate a afacerii și de gestionare a crizelor al organizației este eficient și aliniat cu cultura și cerințele organizației. Abordarea sistemelor de management este, de asemenea, utilizată pentru alte discipline - cum ar fi Securitatea informațiilor ( ISO / IEC 27001: 2013 ) și Calitatea ( ISO 9001: 2015 ) și, prin urmare, se poate adăuga cu ușurință un sistem de management al continuității activității, deoarece există o convergență a acestor sisteme în jurul unui text standard comun.

În cele din urmă, Business Continuity Institute :

• în 2013 a lansat Ghidul de bune practici BCI - bazat pe standardul ISO 22301: 2012 - care reprezintă astăzi principalul punct de referință internațional pentru profesioniștii în continuitatea activității pentru gestionarea unui program de continuitate a activității în companie;
• în 2016 a publicat raportul BCM Legislations, Regulations & Standards Report, care rezumă toate referințele de reglementare relevante pentru fiecare țară.

Concentrați-vă asupra legislației italiene

Administrație publică

Administrația publică a fost obligată să asigure continuitatea serviciilor sale pentru a asigura buna desfășurare a vieții în țară conform art. 97 din Constituție și principiul bunei administrări, care trebuie respectat prin respectarea Codului de administrare digitală ( CAD ) care, în articolele 50 și 50-bis, a exprimat și a declarat regulile pe care fiecare administrație publică ar trebui să le respecte în caz de dezastru.

D. lgs. 30 decembrie 2010 a introdus de fapt articolul 50-bis (Continuitatea activității) în CAD următoarele puncte:

1. În raport cu noile scenarii de risc, complexitatea crescândă a activității instituționale caracterizată printr-o utilizare intensă a tehnologiei informației, administrațiile publice pregătesc planuri de urgență capabile să asigure continuitatea operațiunilor esențiale pentru serviciu și revenirea la funcționarea normală.
2. Ministrul administrației publice și inovării asigură omogenitatea soluțiilor de continuitate a activității definite de diferitele administrații și informează Parlamentul cel puțin anual. ^[10]

Pentru administrația publică, continuitatea afacerii era o necesitate, deoarece:

• Ar fi necesar să se asigure continuitatea serviciilor sale pentru a asigura îndeplinirea corectă a funcțiilor publice și dreptul cetățenilor de a accesa serviciile publice electronic (articolul 3, Decretul legislativ 82/2005, „Codul de administrare digitală”);
• Artă. 97 din Constituție și principiul bunei administrări trebuie să fie garantate chiar dacă tehnologiile TIC sunt utilizate pentru susținerea procedurilor;
• Legislația privind continuitatea activității pentru entitățile de administrație publică din cadrul CAD (articolul 50-bis din Decretul legislativ 30 decembrie 2010, nr. 235 - Modificări și completări la Decretul legislativ 7 martie 2005, nr. 82), și în special „Orientările pentru Recuperarea în caz de dezastru a administrațiilor publice "emisă de Agenția pentru Italia Digitală, a cerut organismelor să adopte un plan de recuperare în caz de dezastru capabil să protejeze serviciile furnizate prin infrastructuri specifice TIC. ^[11]

În cadrul CAD au existat începând cu articolul 50 regulile majore pe care administrațiile publice ar fi trebuit să le respecte în urma unui dezastru care i-a afectat continuitatea operațională. În multe cazuri, aceste reglementări au fost elaborate în urma unor evenimente dezastruoase care au avut loc recent în Italia, cum ar fi cutremurul din Abruzzo și Emilia.

Agenția pentru Italia Digitală (AgID) a publicat, de asemenea, o actualizare a „ Liniilor directoare pentru recuperarea în caz de dezastru (DR) a administrațiilor publice ” în conformitate cu alineatul (3) litera (b) din art. 50-bis din d. lgs. 7 martie 2005, nr. 82 (Cod de administrare digitală). Această versiune a fost rezultatul unei lucrări comune între AgID, administrațiile publice și reprezentanții furnizorilor. Intervențiile de raționalizare au respectat evoluțiile funcțiilor agenției și cadrul de reglementare actual, prevederile privind securitatea IT și protecția vieții private, precum și prevederile garanției pentru protecția datelor cu caracter personal. ^[12]

Cu toate acestea, d. lgs. n. 179 din 26 august 2016 a abrogat integral art. 50-bis din DAC, eliminând efectiv obligația de continuitate operațională pentru administrațiile publice.

Bănci

Operatorii din sectorul bancar sunt obligați să respecte Circulara nr. 285 din 17 decembrie 2013, care în special în Titlul IV - Capitolul 5 prevede dispoziții specifice pentru continuitatea activității. Legislația se aplică tuturor băncilor și grupurilor bancare, cu cerințe speciale și suplimentare pentru subiecți, identificate prin nume, cu comunicare specifică, între grupurile bancare și băncile care nu aparțin grupurilor cu o cotă de piață, calculate pe totalul activ, mai mult de 5 % din totalul sistemului bancar.

În cadrul grupurilor bancare, cerințele speciale se aplică societății-mamă, filialelor bancare italiene individuale cu active totale care depășesc 5 miliarde EUR și celorlalte filiale bancare, financiare și instrumentale care, indiferent de dimensiunea și locația lor, le desfășoară către un procese semnificative de importanță sistemică sau oferă sprijin esențial acestora din urmă.

Operatorii, inclusiv sucursalele italiene ale băncilor străine, care, în mod individual, dețin o cotă de piață mai mare de 5% în cel puțin unul din următoarele segmente ale sistemului financiar italian pot fi, de asemenea, supuse cerințelor speciale: decontare brută în banii băncii bancă centrală, lichidarea instrumentelor financiare, serviciile de contrapartidă centrale, sistemele de schimb multilaterale pentru depozitele interbancare în euro, licitațiile BCE, tranzacțiile de finanțare a trezoreriei efectuate prin licitație, piața contractului de răscumpărare cu ridicata a obligațiunilor de stat, plata pensiilor asigurărilor sociale, buletine poștale .

Notă

Elemente conexe

• Managementul continuității activității
• Obiectivul timpului de recuperare
• Obiectivul punctului de recuperare
• Management de criza
• Managementul riscurilor
• Recuperare în caz de dezastru
• ISO 22301: 2012
• ISO 22313: 2012
• ISO TS 22317: 2015
• ISO TS 22318: 2015
• Inginerie de reziliență

Portalul Economiei

Portal de știință și tehnologie