L'audit della pianificazione della Business continuity (BC) rappresenta un metodo sistematico per valutare come i processi di business vengono amministrati, in particolare alla luce degli obiettivi di business dell'azienda.
Sono considerati dalla direzione come un vero test del modo in cui la società viene gestita e, soprattutto, contribuiscono a individuare le aree che necessitano di un miglioramento.
Se pensate di creare un audit per la vostra strategia di business continuity, considerate che il processo può richiedere molto tempo, soprattutto in termini di pianificazione.Difatti, un'efficace revisione della business continuity richiede un quadro strutturato di controllo e l'impiego di uno staff qualificato per produrre risultati di alta qualità.
In questo articolo, proponiamo un framework basato sul British Standards Institution BS 25999, Parte 2, e le più rilevanti attività di supporto per un audit di successo. I programmi di audit della business continuity, e i piani a loro associati, e la documentazione inerente un parametro misurabile assicurazno che il programma sia coerente con le prassi e i controlli caratteristici dal settore.
Le operazioni di audit
Un programma interno di audit effettua le seguenti operazioni:
- delinea le attività da eseguire,
- fornisce i riferimenti per il lavoro (le informazioni utilizzate nel corso della revisione, come per esempio i documenti di pianificazione e i risultati delle attività),
- identifica la persona che ha effettuato l'audit e che l'ha approvato
- comprende una sintesi delle note necessarie per eventuali chiarimenti.
Quale guida generica di un audit, si può utilizzare una tabella o un foglio di calcolo, come quelli disponibili in Microsoft Word o Excel. Nella colonna sinistra della tabella del vostro documento di analisi, definite gli step individuali dell'audit. Nelle altre colonne inserite le iniziali dell'auditor o di chi effettua le approvazioni e tutte le note di sintesi, dando così origine a una matrice o a una struttura tabellare che comprenda tutte le attività del vostro programma.
I passi nel dettaglio
L'audit della business continuity dovrebbe seguire il flusso e la
metodologia del tipico approccio all'audit interno basato sul rischio. In
termini di metodologia, la maggior parte degli audit interni segue una serie
di passi iterativi inerenti i seguenti temi:
- Comprendere e documentare i processi e le procedure della funzione o dell'area sottoposta all'audit.
- Definire gli obiettivi dell'area o della funzione che deve essere sottoposta a audit.
- Definire i rischi o le minacce per il conseguimento di tali obiettivi.
- Comprendere i controlli in atto per ricondurre i rischi a un livello accettabile.
- Testare i controlli per una progettazione e un'efficienza operativa adeguate e/o quantificare l'impatto delle carenze nei controlli o di eventuali lacune.
- Creare dei report dei risultati e fornire raccomandazioni per il controllo e/o i miglioramenti nell'efficienza operativa.
- Controllare e segnalare le iniziative di mitigazione operabili dal management nei confronti delle carenze nei controlli identificate e che sorpassano il livello di tolleranza di gestione del rischio.
Queste attività rientrano generalmente in una delle quattro fasi tipicamente associate al processo interno di audit: la pianificazione, la ricerca sul campo, il reporting e il follow-up. Allineando le attività del programma di audit della business continuity con queste categorie e step si assicura di portare a compimento con successo il processo di audit.
Le attività e i test eseguiti nel corso di un audit della business continuity possono discostarsi dal piano originale, basato sui risultati del proprio lavoro di audit. In questo senso, non abbiate paura a modificare le attività correnti fino a quando non saranno coerenti con gli obiettivi di controllo globale dell'audit. E comunicate sempre le attività al management.
Un esempio
Per aiutarvi a condurre un audit di business continuity significativo, la
seguente tabella fornisce esempi di attività chiave di audit. La tabella è
stato adattato da BS 259.990, Parte 2, che è ampiamente considerato come un
utile strumento di controllo.
|
Controllo |
Risultato dell'audit |
Commenti |
Auditor |
Approvato da |
|
Business Continuity Management System (BCMS) |
||||
|
Sviluppare, implementare, manutenere, migliorare e documentare un BCMS |
||||
|
Individuare i prodotti e i servizi inerenti il BCMS |
||||
|
Garantire il supporto al management per la gestione della business continuity attraverso la creazione di politicy |
||||
|
Individuare e garantire le risorse necessarie per il BCMS |
||||
|
Identificare e documentare i ruoli, le responsabilità e le competenze necessarie al BCM |
||||
|
Designare una persona che supervisioni il programma di BCMS |
||||
|
La BC nella cultura dell'organizzazione |
||||
|
Definire le attività di sensibilizzazione nei confronti del programma di business continuity |
||||
|
Documentazione inerente il BCMS |
||||
|
Documentare i piani, le politiche, la Business Impact Analysis (BIA), l'analisi dei rischi e le altre informazioni pertinenti |
||||
|
Implementazione e funzionamento del BCMS |
||||
|
Condurre una BIA per identificare le attività aziendali più critiche, le potenziali minacce, l'impatto finanziario, operativo e competitivo di un incidente e come la società dovrebbe affrontare le minacce |
||||
|
Effettuare una valutazione dei rischi per individuare e comprendere le minacce e le vulnerabilità. |
||||
|
Determinare in che modo l'azienda può affrontare i rischi identificati. Per esempio: li può accettare li deve ignorare e/o deve avere un'assicurazione |
||||
|
Strategie di business continuity |
||||
|
Definire delle strategie di recovery e in risposta agli eventi che incidono sul business, di intervento in caso di emergenza, per la gestione dei rapporti esterni ed interni, per la gestione dei fornitori e il supply chain management |
||||
|
Business continuity e piani correlati |
||||
|
Sviluppare ed elaborare i processi a livello di pianificazione per il recovery dagli incidenti individuati; garantire che i piani abbiano dettagliati elenchi di contatti; supportare gli obiettivi di business; stabilire chiaramente i ruoli e le responsabilità e individuare le sedi di recovery primario e alternativo |
||||
|
Sviluppare e documentare i piani di gestione delle emergenze, i piani di risposta a un incidente, i piani di facility management e altri documenti a livello di processo |
||||
|
L'esercizio, la manutenzione e la revisione |
||||
|
Garantire che il programma di business continuity e dei documenti associati sia attivo attraverso aggiornamenti, revisioni e auditing periodici. |
||||
|
Controllo da parte del management |
||||
|
Garantire che i senior manager abbiano possibilità di rivedere e approvare il programma di business continuity |
||||
|
Istituire un processo per aggiornare e migliorare il programma e i progetti ad esso associati attraverso il change management o altre tecniche approvate |
||||
|
Dar vita a un programma di azioni correttive e di miglioramento continuo per i progetti |
La creazione di un programma di audit della business continuity di alta qualità richiede pratica e pazienza. Tuttavia, se si seguono le linee guida e i consigli riportati in questo articolo, ci si troverà in una zona molto avanzata della curva di conoscenza e in un'ottima posizione per condurre un audit di successo.
