Introduzione al Business Continuity Management, … › prof › losscontrol2016 › TERZAGO.pdfBCM Case Study Nokia/Ericsson (2/3) La risposta di Nokia • Il supply-chain manager

Corso ANRA – CINEAS Loss control & Business continuity a.a. 2016

Introduzione al

Business Continuity Management,

allo standard ISO22301

e alle Professional Practices DRII

Marco Terzago, MSc. Ind. Eng., ABCP

Head of SKF Group Risk Engineering

ANRA Board Member

Chairman of ANFIA WG on BCP Toolkit

for the Automotive Supply Chain

Milano, 16 Marzo 2016

Agenda

1. Introduzione al Business Continuity Management

2. Concetti generali ISO22301

3. Professional Practices DRII

4. Training & Testing (case study SKF)

Contatti e Link

• www.anra.it

• www.bcmanager.it

• www.bsi-group.org

• www.dri-italy.it

• www.drii.org

• www.thebci.net

• …..

http://www.anra.it/

http://www.bcmanager.it/

http://www.bsi-group.org/



http://www.dri-italy.it/



http://www.drii.org/

http://www.thebci.net/

Agenda

1. Introduzione al Business Continuity Management – Che cos’è?

– Perché?

– Prepararsi a cosa?

– Obiettivi

– Case Study

2. Concetti generali ISO 22301



Business Continuity Management

Un punto di vista…

Essere correttamente preparati è una scienza

complessa…

I nostri padri latini dicevano “Previdet ac providet”

Gli anglosassoni dicono :

“If you fail to plan, you plan to fail…”


Che cos’è? (1/2)

“A holistic management process that identifies potential threats to an organization and the impacts to business operations that those threats, if realized, might cause, and which provides a framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand, and value-creating activities.

Business Continuity Management involves managing the recovery or continuation of business activities in the event of a business disruption, and management of the overall programme through training, exercise and reviews, to ensure the business continuity plan(s) stays current and up-to-date”

ISO 22301 Business Continuity Management – Part 1: Code of Practice


Che cos’è? (2/2)

Il Business Continuity Management (BCM) o Gestione della

Continuità Operativa dei processi di un’azienda comprende

l’insieme di attività, strutture organizzative, strumenti ed

infrastrutture volte a preservare la continuità dei processi a fronte di

eventi che concorrono in maniera potenziale e/o reale alla loro

interruzione.

Il perseguimento della continuità operativa aziendale si realizza

attraverso la progettazione, l’implementazione, il monitoraggio ed il

miglioramento continuo di un adeguato programma, definito in

accordo ai principali standard internazionali e nel rispetto delle

direttive nazionali.


Perché?

“Experience is a hard teacher because it gives the test first, the lesson

afterwards” (Vernon Sanders Law)

Minimizzare i danni a persone

ed asset aziendali

Operare in sinergia con le azioni di Corporate

Governance, Responsabilità Sociale e Risk Management

dell’Azienda

Mantenere la fiducia dei Clienti, del personale e, in

generale, di tutti i portatori di interesse rilevanti per

l’Azienda

Stabilire mezzi alternativi per il prosieguo delle attività

produttive e/o di supporto aziendali

Ristabilire l’operatività delle funzioni critiche

nel più breve tempo possibile

Assicurare che le informazioni fornite al personale, ai

media ed al pubblico siano rilasciate in maniera strutturata

Per ciò che nel mondo anglosassone è definita “preparedness”, ovvero

l’avere pianificato il sistema organizzativo e le azioni manageriali ed operative

da attivare in seguito ad un evento incidentale significativo per ripristinare le

attività entro tempi definiti

Perché è necessario essere preparati?

Dipendenti demotivati sono la fonte di rischio più grande e più dannosa per

l’azienda (Fonte: National Computer Security Association)

• 20% delle PMI è soggetta ha disastri gravi ogni 5 anni

• 20%

(Fonte: Richmond House Group)

• 43% delle aziende non ha ripreso le attività dopo un disastro

• Più del 29% ha chiuso nei successivi 3 anni

43%

29%

(Fonte: U.S. National Fire Protection Agency))

• 93% delle aziende che hanno una perdita significativa di dati escono dal business nei successivi 5 anni

• 93%

(Fonte: U.S. Bureau of Labor)


Prepararsi a cosa ?

Sicurezza del prodotto

Qualità del prodotto

Outsourcing

Eventi

catastrofici

Capacità produttiva

Normativa

e vigilanza

Condizioni

climatiche

Instabilità

politica

Materie

prime

Dipendenze informatiche

???

AZIENDA

NECESSITA’ DI SISTEMI INTEGRATI

PER BUSINESS CONTINUITY,

RISK MANAGEMENT E

CRISIS MANAGEMENT


Prepararsi a cosa? Alcuni spunti…

• Perdita di sito produttivo

principale • Recall prodotto per

problematiche di sicurezza/qualità

• Perdita di un magazzino strategico prodotti finiti

• Protratta indisponibilità sistema informativo principale

• Incendio invasivo presso uffici headquarter

• Indisponibilità (anche parziale) di macchinari di processo

• Indisponibilità di un partner/fornitore strategico

• Indisponibilità (anche parziale) di fornitori servizi di logistica

• …

Frequenza Im

pa

tto

CONTINUITY RISKS

ACCEPTANCE AREA

(DAILY) MANAGEMENT


Gli ultimi 10 anni: i disastri non sono pianificabili…

9/11 Tsunami Oceano indiano,

2004 Crisi Finanziaria Globale,

2008-2010 Pandemia H1N1,

2009 Uragano Katrina,

2005

Terremoto Haiti, 2010

BP Deepwater Horizon, 2010

Vulcano Eyjafjallajkull Islanda 2010

Alluvioni Australia, 2011 Tsunami Giappone,

2011

Crisi Nucleare Fukushima 2011

Crisi Nord-Africa, 2011 Tornado Missouri,

2011 Incendio nella webfarm

di Aruba, 2011

… ma si può essere preparati per affrontarli

Tipologie di Disastri su tutte le tipologie di Business

42

31

21

16

16

10

12

7

6

4

3

2

1

12

0 10 20 30 40 50

Power Failures

IT Hardware Failure

Network Failure

IT Software Failure

Human Error

Hurricane

Flood

Fire

Winter Storm

Terrorist event

Earthquake

Tornado

Chemical spill

Other

(DRJ and Forrester Survey 2007: N=250)

Percentuale

Principali Standard Internazionali

– BCI & DRI Good Practices

– ISO 22301 – Business Continuity Management

– Quality Standards ISO 27000 Series

• ISO 27001 - Information security management systems —

Requirements

• ISO 27002 - Code of practice for information security management

– British Standards – PAS 77:2006 IT Service Continuity Management

– ISO/PAS 22399:2007 – Crisis Management Standards

– ISO 31000, Risk management standard

– Basel II Accord (coming in 2010 – Basel III)

– Bank for International Settlements - High-level Principles for Business

Continuity Planning – August 2006

– European Central Bank

– European Commission – Markets in Financial Instruments Directive

(MiFID)

BCM = Business Continuity + Disaster Recovery

• Piano di Business Continuity (rif. ISO 22301)

È il documento che definisce le modalità per la gestione dell’azienda in situazioni di emergenza

Caratteristiche: documento organico, approvato dalla Direzione, focalizzato sul ‘dopo’ evento; tratta dei processi critici per il business

Obiettivo del documento è quello di stabilire le strategie e le modalità con cui si deve assicurare la sopravvivenza dei processi aziendali dopo che si è verificato un evento traumatico che ha impedito il normale svolgersi dei processi stessi.

• Piano di Disaster Recovery (rif. BS 25777 >>>> ISO 27031)

Piano finalizzato ad assicurare il funzionamento dei processi ICT con mezzi alternativi a quelli impiegati in condizioni normali

Costituisce parte integrante del piano di Business Continuity

Caratteristiche: si concentra sul problema della indisponibilità (distruzione, inaccessibilità) dei processi ICT e sul funzionamento delle procedure informatiche critiche.

17

Che cos’è una crisi?

Crisi è qualsiasi evento o situazione che comporti un rischio

significativo per la missione, il funzionamento, l'integrità, le risorse

o le principali parti interessate dell'organizzazione* (stakeholders**)

Esempi:

la perdita di capitale fisico o intellettuale, qualità dei prodotti o dei

servizi, i danni per l'immagine, la credibilità e la reputazione

dell'azienda, i valori organizzativi, ecc.

** Stakeholders = tutte le organizzazioni con cui l'azienda ha rapporti. Ad esempio, gli

azionisti, gli organi di controllo, clienti, fornitori, sindacati, ...

(vedi Norma UNI 11230: 2007 “Gestione del rischio – Vocabolario”.)

No. Termine Definizione

1 crisi (crisis)

Situazione generata da un evento (2) in grado di danneggiare in modo rilevante un'organizzazione (4). Nota 1 - La rilevanza va rapportata alle caratteristiche dell'organizzazione (4). Nota 2 - La crisi può coinvolgere, per esempio, la sicurezza delle persone, l'ambiente, le attività operative e la reputazione dell'organizzazione (4).

*Organizzazione = Insieme di persone e di mezzi, con definite responsabilità, autorità

ed interrelazioni. [UNI EN ISO 9000:2005]

18

Che cos’è un disastro?

Si tratta di un’interruzione nei processi o nelle funzioni aziendali

critiche che provoca gravi ripercussioni finanziarie e / o operative,

o che necessita l’attivazione del sito alternativo ed il trasferimento

dei team incaricati al ripristino.

Pertanto, ogni azienda deve definire quello che è una crisi e quello

che è un disastro

Perché vengono utilizzati programmi basati

su standard formali (1/2)

• Fornire un framework comune, basato sulle “best practices”

internazionali

• Fornire un framework per le organizzazioni di qualsiasi settore,

tipologia, dimensione e posizione

• Migliore l’efficacia operativa di una organizzazione

• Tener conto della gestione proattiva dei rischi sul business

• Agevolare la dimostrazione che sia stata osservata l’applicazione

di leggi, regolamenti e requisiti contrattuali

• Introdurre un principio comune nel mercato

Perché vengono utilizzati programmi basati

su standard formali (2/2)

• Favorire l’integrazione e la conformità verso altri requisiti normativi

richiesti

• Accrescere il consenso su cos’è la best practice

• Migliorare la conoscenza dei benefici sul business fra il numero

crescente delle organizzazioni

• Ricomprenderlo come parte del profilo della Gestione dei Rischi

globali

• Riconoscere che questo può aiutare a ridurre le interruzioni sul

business

• Dare un valore aggiunto al business identificando le opportunità per

migliorare

What if?

Modelli di gestione a confronto

Time

Level o

f busin

ess

Critical

recovery point

Fully tested

effective BCM

No BCM –

‘lucky’ escape

No BCM – likely

outcome

• Nuovo Messico, Marzo 2000, un fulmine colpisce una linea

elettrica

• L’interruzione temporanea di fornitura elettrica danneggia i

ventilatori di un forno in uno stabilimento di semiconduttori

Philips ad Albuquerque

• Un principio d’incendio viene controllato nel giro di pochi minuti

dai dipendenti. I VVF, arrivati presso lo stabilimento, possono

solo ispezionare e valutare lo stato dello stabilimento

• I danni appaiono di modesta entità:

– Otto vassoi contenenti la nanocircuiteria per la produzione di qualche

migliaia di chip per cellulari sono distrutti

– La società prevede di riprendere la produzione entro una settimana

• Successivamente viene rilevato che fumo e fuliggine hanno

contaminato un’area molto più vasta dello stabilimento, il che

causa un fermo della produzione per settimane

• Due clienti principali: Ericsson e Nokia, che assorbono il 40%

della produzione dello stabilimento

Source: The Economist, “When the Chain Breaks” (15-Jun-2006)

BCM Case Study

Nokia/Ericsson (1/3)

BCM Case Study


La risposta di Nokia

• Il supply-chain manager di Nokia

prende consapevolezza del problema,

a soli due giorni dall’incendio, quando

il loro sistema rileva che alcune

spedizioni erano state trattenute

• Nokia decide immediatamente di

tenere sotto monitoraggio lo

stabilimento

• Prima del 10° giorno dall’evento, Nokia

ha già iniziato ad acquisire pezzi da

fonti alternative

La risposta di Ericsson

• Avendo deciso di semplificare la

supply chain usando singoli fornitori

per alcuni componenti, incluso i chips

di Philips, Ericscon non dispone di un

“piano B”

• Ericsson affronta una carenza

importante di semiconduttori

• La posizione di Ericsson peggiora

rapidamente in quanto la produzione di

modelli attuali e il lancio di nuovi

prodotti sono bloccati

• Nel 2001, Ericsson decide di lasciare il

mercato dei cellulari come produttore,

spostando il business in una joint

venture con Sony

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60

Pro

du

ction

Days

Philips Production

Nokia Production

Illustrative timeline

and impact– does not

represent actual

production levels /

event production data

Ericsson Production

Phillips production

recovery time is

weeks.

Nokia initially captures

Philips production by

working closely with

Philips during

recovery process.

Nokia notices

supply issue.

Plant Fire

2 weeks after the event

Philips indicates weeks

more would be needed to

repair the facility and

months’ worth of chip

supplies would be

disrupted.

Ericsson begins reaction

to event.

3 days after the

fire Philips

notifies Nokia of

the fire. Expects

to be up within a

week.

Nokia redesigns chip,

boosts production,

increases sourcing form

other suppliers

Nokia increases market

share from 27% to 30%

from previous year.

Ericsson

market share

drops from

12% to 9%

year over year

BCM Case Study


Per cosa siamo pronti, ora?

Scenario – Step 1: Risposta all’emergenza

La sede principale della Vostra azienda è situata in un edificio di 6 piani, in un

nuovo Business Center a ovest di Londra. Nella sede lavorano 600 persone

1. La nube tossica si muove verso i vostri uffici

2. La causa del rilascio e l’esatto tipo di sostanza rilasciata sono al

momento sconosciute.

Wind direction

Step 1 - Risposta all’emergenza

Alcuni spunti…

• Quali sono le Vostre priorità in questo momento?

• Di quali informazioni e potere decisionale avete bisogno per procedere con azioni di protezione delle Vostre persone?

• Pensate di offrire riparo alle Vostre persone all’interno della Sede, o incominciate immediatamente le operazioni di evacuazione? Se decidete per l’evacuazione, dove avete intenzione di ricollocare il Vostro personale?

• Disponete già di una struttura operativa in grado di gestire una simile evenienza? Avete assegnato al team leader la necessaria autorità ed autonomia per poter operare in maniera efficace ed efficiente?


Scenario – Step 2: Gestione della Crisi

1. La nube tossica si sta muovendo verso ovest, verso la Vostra sede 2. La circolazione è completamente bloccata 3. La sostanza rilasciata, a quanto riportato dalle prime agenzie, è acido

cloridrico 4. Le persone sono in preda al panico 5. Le agenzie iniziano a parlare di attentato terroristico

Wind direction

Step 2 – Gestione della Crisi

Alcuni spunti…

• Come avete intenzione di rintracciare e contattare tutti i Vostri dipendenti? Con quali stakeholders avete necessità di comunicare? Con quali priorità avete intenzione di contattarli?

• Come Vi metterete in comunicazione con le Vostre persone? Come avete intenzione di offrire supporto ai Vostri dipendenti e alle loro famiglie, nel caso in cui dovessero riportare danni a causa dell’evento? Avete previsto di assistere casi particolarmente critici, come la comunicazione alla famiglia della perdita di un loro congiunto?

• Come avete intenzione di rispondere e gestire la comunicazione con i media? Avete valutato le possibili implicazioni del Vostro modo di reagire in una Crisi a livello legale, di immagine e – conseguentemente – di reputazione? Avete individuato una persona o un team in grado di gestirle?

• Avete valutato le possibili implicazioni di medio-lungo periodo dell’evento sul Vostro business?


Scenario – Step 3: Gestione della Continuità

1. La nube tossica ha ormai percorso alcuni chilometri, che includono l’area della Vostra sede, che è stata evacuata per ordine delle Autorità Competenti fino a data da definirsi

2. Quattordici impiegati sono stati ricoverati. Uno di loro è morto di infarto. 3. Il Board sta gestendo le relazioni con la stampa. 4. In qualità di Senior Manager, nei prossimi giorni dovrete gestire la ripresa

delle attività

Step 3 – Gestione della continuità

Alcuni spunti…

• Come avete intenzione di contattare i Vostri clienti principali, i Vostri partner ed eventuali altri stakeholders con I quali ritenete necessario coordinarVi?

• Quali ritenete siano le necessità impellenti per ripristinare le continuità delle attività di business? Come avete intenzione di ricollocare le persone e/o i processi principali? Quali sono le conseguenze per i Vostri servizi, sia in termini di capacità (cosa) che di livello si servizio (quanto)?

• Di quali risorse avete bisogno, quando ne avete bisogno e come avete intenzione di disporne? Dal momento che le Vostre risorse sono limitate (non avete a disposizione tutte le persone, le strutture e le attrezzature che siete abituati ad avere) come avete stabilito le Vostre priorità al fine di continuare le attività ad un livello accettabile, per quanto degradato?

• Avete valutato la fattibilità dei Vostri processi critici in un contesto in cui i sistemi ed i dati non sono disponibili nel breve o nel medio periodo? Avete la certezza che tutti i sistemi ed i dati saranno disponibili al termine della Crisi?

Agenda





Conoscere la ISO 22301

• ISO 22301 Parte Prima: sono le Norme, forniscono le

raccomandazioni sul Business Continuity Management

• ISO 22301 Parte Seconda: sono le Specifiche, fornisce un

framework sul sistema di gestione dei controlli per condurre la

business continuity

BCM Lifecycle

Layout della BS25999 -1

To enable the organization to identify the critical

activities and resources needed to support its key

products and services, understand the threats to them

and choose appropriate risk treatments. 1

To identify BCM arrangements that will

be enable the organization to recover its

critical activities within their recovery

time objectives. 2

To enable the organizations to develop and implement

appropriate BCM plans and arrangements to manage

any incident and continue its critical activities 3

To verify the ongoing effectiveness of

the BCM arrangements and to provide

greater assurance following an incident

that critical activities will be recovered

as required 4

• Understanding the organization – Comprendere l’organizzazione

L’organizzazione definisce il perimetro di analisi, gli obiettivi e le priorità

• Determining business continuity strategy – Definire le strategie di BC

L’organizzazione prende in considerazione due o più strategie potenziali, sulle basi delle valutazioni dei rischi e dei costi (RTO, RPO)

• Developing and Implementing a BCM response – Sviluppare e implementare una risposta di BCM

L’organizzazione definisce il modello della struttura dei piani, la gestione degli incidenti, i piani di business continuity e di ripristino del business

• Exercising, maintaining and reviewing BCM arrangements - Esercitazione, Manutenzione e Revisione delle disposizioni di BCM

L’organizzazione testa, migliora e rivede i piani di continuità operativa

• Embedding BCM in the organization’s culture - Diffondere il BCM nella Cultura Aziendale

L’organizzazione lavora per assicurare che il personale sia a conoscenza e preparato al programma di BCM

Layout della ISO 22301-1

BCM Programme Management

Verificare che il programma di BCM includa:

• Governance: nome delle persona responsabile per la policy di BCM

e nominativi delle persone che la implementano e la mantengono

aggiornata;

• Implementazione: comunicazione agli stakeholders; training dello

staff; programmi di esercitazioni e di project management;

• Ongoing: revisione e aggiornamento di tutti gli elementi elencati

nella Policy di BCM – frequenza e contenuti;

• Documentazione: tutti i documenti rilevanti devono essere inclusi e

aggiornati.

Qual è la differenza tra BCM e BCMS?

Comprendere l’Organizzazione

• Condurre una Business Impact Analysis;

• Identificare ed elencare le attività critiche;

• Definire i requisiti della Business Continuity;

• Condurre un Corporate Risk Assessment;

• Mitigazione delle Perdite e Gestione del Rischio:

Per ciascuna attività critica indicare l’opzione scelta per mitigare

le perdite includendo le Strategie di Recovery e il Recovery Time

Objective (RTO);

• Sottoscrizione della azioni e delle contromisure da intraprendere

per ogni minaccia: 4T (Trattare, Tollerare, Trasferire o Terminare).

Definire le Strategie di BCM

Le Strategie Recovery devono includere:

Opzioni considerate per le attività e le risorse critiche;

Persone chiave – Conoscenza della Continuità;

Edifici, siti alternativi, lavoro da casa, …;

Tecnologia minima richiesta per il recovery dei system,

applicazioni ed informazioni vitali all’interno degli RTO definiti;

Persone assegnate per salvaguardare e trattare con gli

stakeholder chiave;

Preparazione all’Emergenza;

Sottoscrizione di tutte le strategie sopra elencate.

Sviluppare e Implementare Risposte di BCM

• Struttura di Risposta conforme ai piani di Risposta all’Incidente,

Business Continuity e Recovery/Ripresa;

• Contenuto dei piani:

Scopo, obiettivo e relazioni con gli altri piani; ruoli e

responsabilità; attivazione del piano; responsabile del piano e

responsabile della sua manutenzione;

Elenco della attività e delle azioni; contatti per l’emergenza

includendo anche i parenti prossimi; attività del personale;

risposta ai media e controllo delle news date dai media;

gestione degli stakeholder; appendici (mappe, piantine, contratti,

moduli standard,…);

Qualsiasi altra informazione vitale ed importante.

Esercitazione, Manutenzione e Revisione delle

disposizioni di BCM

Ogni organizzazione dispone:

Esercitazioni regolari su tutti i componenti del programma;

Esercitazioni sulle disposizioni di BCM inclusi scopi ed obiettivi per

ciascun test e debriefing dopo il test;

Mantenere e revisionare le disposizioni di BCM, secondo le

evidenze rilevate e nel rispetto degli ultimi regolamenti, di nuovi

accordi e revisioni.

Diffondere/Radicare il BCM nella Cultura

Aziendale

• Sensibilizzazione:

Diffusione della conoscenza dell’organizzazione del BCM

attraverso newsletter, incontri, giornali, pagine web o intranet;

BCM come elemento di discussione all’interno dei meeting dei

team;

Esercitazione sui piani di continuità presso i siti alternativi.

• Training degli Skill

Processo per identificare e comunicare i requisiti del training di

BCM per i componenti dei team e valutazione dell’efficacia di

questi alla sua attuazione.

Agenda





1. Introduzione e Gestione del progetto

2. Analisi e controllo dei rischi

3. Analisi degli impatti sul business

4. Sviluppo delle strategie di business continuity

5. Risposta all’Emergenza e relative operazioni

6. Sviluppo e implementazione dei piani di business continuity

7. Programmi di sensibilizzazione e training

8. Manutenzione e test dei piani di continuità operativa

9. Relazioni con i Media e Comunicazione durante la crisi

10. Coordinamento con le autorità pubbliche

Le ‘Professional Practices’ DRII: le

competenze e il ruolo del BC Manager

come Program Manager

1 - Introduzione e Gestione del Progetto

Al fine di determinare l’ambito del progetto e quali sono le attività

business-critical da analizzare, bisogna verificare i seguenti punti:

– Quali sono i principali obiettivi di business?

– Quali sono i prodotti e i servizi fondamentali per il raggiungimento degli

obiettivi aziendali?

– Chi è coinvolto nel raggiungimento degli obiettivi aziendali?

– Come vengono conseguiti gli obiettivi di business?

1 - Introduzione e Gestione del progetto BCM

(cont)

Step:

Definizione iniziale del progetto

Commitment della Direzione

Obiettivi e necessità dei processi di business

Ipotesi e terminologia di business continuity

Project Management – ambito di applicazione ed investimenti

2 - Analisi e controllo dei Rischi

Il Risk Assessment risponde alla domanda:

“Quali sono i nostri punti deboli, cosa facciamo e come riduciamo le probabilità che questi si verifichino?”

Il Risk Assessment ha lo scopo di identificare: quali sono i principali rischi che possono provocare

un’interruzione significativa del processo di business critici dell’azienda con conseguenze finanziarie, operative e “politiche”;

sviluppare misure di prevenzione, riduzione, trasferimento e controllo di tali rischi.

2 - Analisi e controllo dei Rischi (cont.)

Le attività quindi sono:

identificare le minacce (Naturali, Umane, Tecnologiche e di

Prossimità)

capire le minacce

documentare i rischi

determinare le conseguenze e le probabilità per i rischi identificati

classificare l’esistenza e l’efficacia dei controlli esistenti

valutare i rischi stimati per determinare se la mitigazione del rischio è

richiesta

2 - Analisi e controllo dei Rischi (cont.):

terminologia

• Vulnerabilità (vulnerability):

Esistenza di almeno un “point of failure” in un'attività, un processo o un sito che, se associato ad una minaccia, può causare perdite o danni

• Minaccia (threat):

Evento interno o esterno che può causare perdite e danni

• Rischio (risk):

Perdita potenziale causata da una minaccia

• Rischio Residuo (residual risk):

Rischio residuo dopo l’adozione di misure di mitigazione

2 - Analisi e controllo dei Rischi (cont):

Rischi & Controlli

Minaccia Vulnerabilità Mitigazione Controllo Rischio

Residuo

Allagamento

Media

3 x anno

negli ultimi 5 anni

Accesso

alternativo

funzionante

Nessuno

Medio

Accesso

difficoltoso agli

automezzi

Mancanza di

energia elettrica

Alta

3 – 5 x mese

negli ultimi 5 anni

Generatore e UPS

disponibile per 2 h

consecutive

Monitoraggio 24x7

Manut. giornaliera

Basso

Mancanza di

operazioni o

equipaggiamento

Interruzione dei

servizi da parte di

un fornitore vitale

Bassa

1 volta negli ultimi 3

anni

Nessuna

Nessuno

Il contratto non

prevede SLA

Alto

100% della

fatturazione del

prodotto X

3 - Analisi degli impatti sul business

La Business Impact Analysis risponde alla domanda:

“In caso di distruzione, cosa dobbiamo ripristinare per primo?”

La BIA ha lo scopo di determinare quali sono le ripercussioni finanziarie ed operative derivanti da una distruzione significativa dei processi aziendali critici.

Gli impatti causati da un’interruzione ai processi critici di un’azienda sono di due tipologie:

Quantitativi: perdite finanziarie, sanzioni, oneri finanziari, dipendenti inattivi, ore di straordinario, acquisti di emergenza, ecc.

Qualitativi: perdite di immagine sul mercato, di “quota di mercato", cause legali, ecc.

3 - Analisi degli impatti sul business:

obiettivo e fasi

L’obiettivo della BIA si raggiunge attraverso l’identificazione di:

processi critici e loro interdipendenze (input/output)

impatti operativi, finanziari, legali e di immagine

RTO, RPO, MTPoD dei processi

personale critico per il ripristino delle attività

fornitori critici

dipendenze da sistemi di comunicazione, applicazioni informatiche, materiali, documentazione

Le fasi della BIA possono essere così scomposte:

pianificazione

raccolta delle informazioni

analisi e verifica delle informazioni

redazione della relazione e delle raccomandazioni

approvazione per la fase successiva: Strategie di Ripristino

4 - Sviluppo delle strategie di business

continuity

Le strategie di BCM sono le linee guida di una organizzazione su come

gestire i processi aziendali critici dopo il verificarsi di evento disastroso,

per ripristinarli ad un livello accettabile.

L’organizzazione dovrà decidere per ogni processo la strategia da

intraprendere (4T) (Trattare, Tollerare, Trasferire o Terminare):

Trasferire (assicurarsi, condividere)

Tollerare (accettare il rischio, es. costi di intervento > benefici)

Trattare (adottare contromisure o piani di ripristino in tempi

accettabili)

Terminare (adottare contromisure radicali)

53

Strategie di continuità operativa:

È una delle fasi più impegnative del BCM

Richiede competenze tecniche e di business e conoscenza

dell’azienda

Valutazione di combinazioni multiple, ciascuna con i suoi vantaggi e

svantaggi

Difficile accontentare tutti i responsabili delle BU

Non sempre la Dirigenza è disposta ad effettuare cospicui

investimenti

Possono esserci diverse iterazioni


continuity (cont.)

54

Strategie di successo:

Relazione costi x benefici efficace

Riduzione dei rischi e delle esposizioni a livelli accettabili

Fornire siti alternativi per le operazioni e le funzioni critiche nel tempo

Riprostino della tecnologia a supporto

Soddisfare le esigenze del business


continuity (cont.)

5 - Risposta e Gestione dell’Emergenza

Lo scenario tipico delle emergenze è:

• La maggior parte dei disastri si verificano al di fuori del normale

orario di lavoro

Personale ridotto, impreparato o disattento

• La mancanza di una preparazione adeguata per rispondere a

situazioni di emergenza tende a peggiorare il problema aumentando

lo stress ed i danni

• Mancanza di autonomia

Tempi di reazione maggiori per l’attivazione dei responsabili

Danni maggiori

Impreparazione ad affrontare situazioni “non prevedibili”

5 - Risposta e Gestione dell’Emergenza (cont.)

Pertanto devono essere presenti:

Policy, norme, procedure e piani d'azione che diano le istruzioni a

tutti i dipendenti su come procedere correttamente in caso di crisi

(dall'inizio alla fine)

Inoltre queste istruzioni devono:

Essere adeguatamente documentate, diffuse e tenute aggiornate

Tutto il personale coinvolto deve essere addestrato

Eseguite periodicamente, con evidenza dei risultati

Continuamente migliorate

6 - Sviluppo e implementazione dei piani di

business continuity

Lo sviluppo dei piani di Business Continuity comprende un certo numero di componenti di base:

obiettivi

procedure, processi, servizi, applicazioni, hardware

tempi di ripristino

liste di attivazione

team con compiti ed attività

informazioni

Importanti presupposti per l’attuazione dei piani di business continuity sono:

sicurezza dei contenuti e soluzioni di logistica a supporto dell’organizzazione

sviluppo e documentazione del piano stesso

Processi Critici Chi eseguirà le

attività e come?

Attività

Team

Personale Fornitori Clienti Siti

Software

Hardware

Forniture

Telecom

Vital

Record

Asset

Quali sono le risorse necessarie per

eseguire le attvità?

Documenti

Sicurezza Gestione Organizzazione Standardizzazion

e

6 - Sviluppo e implementazione dei piani di

business continuity: informazioni Contenute

nei BCP

Tempi e fasi della gestione della continuità ICT

60

Definizione di RTO

(RTO – Recovery Time Objective)

E‘ il periodo definito entro il quale attività e processi critici (ai fini

operativi) devono essere ripristinati.

Esempio RTO =1 g

significa che entro un giorno dal disastro è necessario garantire

il ripristino di un livello minimo di servizio per l'attività impattata.

RTO – Recovery Time Objective

61

RPO – Recovery Point Objective

Definizone di RPO

(RPO – Recovery Point Objective)

È un valore definito pari alla perdita massima di dati sostenibile in

caso di crisi.

Esempio: RPO= 1 g

significa che è possibile sopportare la perdita di dati relativi alle 24h

di lavoro precedenti al disastro.

7 - Programmi di sensibilizzazione e training

Sensibilizzazione per un’Organizzazione significa:

condividere un programma di BCM con tutto il personale

supportare la “mission” dell’Azienda e il suo commitment sul BCM

conoscere le vulnerabilità ed i rischi al fine di implementare al meglio nuove procedure

orientare il nuovo personale al programma di BCM

riduzione delle situazioni di stress in fase di attuazione del piano di BC

sviluppare un messaggio/slogan significativo per promuovere internamente il BCM

7 - Programmi di sensibilizzazione e training

(cont.)

Training per un’Organizzazione significa:

standard di formazione unico per tutto il personale

istruire tutto il personale sulle procedure di sicurezza di base

ridurre i tempi di interruzione dei processi di business in caso di disastro

formare il personale a come rispondere durante l’emergenza

sviluppare linee guida

8 - Manutenzione e test dei piani di

continuità operativa

Manutenzione significa aggiornamento costante delle informazioni contenute nei piani di BC.

Nella Manutenzione rientra anche la verifica delle interdipendenze tra i piani di BC e la valutazione della loro consistenza all’interno dell’organizzazione.

Gli input per la Manutenzione sono: variazioni nelle procedure, cambiamenti organizzativi, sostituzioni di personale, adozione di nuove tecnologie, nuovi requisiti per il ripristino dei processi, criticità identificate durante i Test.

Devono essere identificate le modalità di aggiornamento periodico dei dei BCP e le procedure da seguire, oltre a responsabilizzare gli owner dei processi.

8 - Manutenzione e test dei piani di continuità

operativa (cont.)

Esercitazioni e Test hanno l’obiettivo di testare e verificare i piani di BC al fine e correggerli e migliorarli.

Lo scopo principale non è verificare che tutto funzioni ma individuare i punti deboli del piano e valutare la preparazione del personale.

Le Esercitazioni sono indirizzate al personale. Le tipologie di Esercitazioni possono essere: pianificate, su parti parziali o totali del piano, tabletop, walk through, modulari, per linea di business, non pianificate.

I Test sono rivolti a verificare gli equipaggiamenti e le tecnologie di supporto.

I Test sugli equipaggiamenti possono essere statici, dinamici e funzionali.

66

Perchè testare e quando

Quando

Promuovere la BCM e testare i

piani almeo 2 volte all’anno

Condurre la formazione e i test

come previsto nella policy di BCM

Change Management

Perchè

Rafforza l’impegno

Verifica la reale capacità di ripristino

Valida la compatibilità tecnica

Esercita un’organizzazione ad attivare il gruppo di gestione emergenza

Forma il personale designato

Evidenza i miglioramenti da attuare

8 - Manutenzione e test dei piani di continuità

operativa (cont.)

9 - Relazioni con i Media e Comunicazione

durante la crisi

La Comunicazione è il fattore di successo per il ripristino dei processi

a seguito di un disastro.

L’organizzazione durante una crisi deve essere in grado di comunicare

in maniera efficiente e questo significa:

predisporre un piano per la comunicazione

identificare il personale autorizzato a rilasciare comunicazioni

rilasciare/ripetere messaggi semplici, diretti e veritieri per non

danneggiare l’immagine dell’Azienda

raccogliere e valutare le informazioni provenienti dall’interno e

dall’esterno

9 - Relazioni con i Media e Comunicazione

durante la crisi

La comunicazione deve essere rivolta a:

personale interno

organizzazioni esterne (clienti, fornitori, provider,…)

Media

forze dell’ordine, sanità, VV.FF, …

10 - Coordinamento con le autorità

Il coordinamento con le autorità pubbliche all’interno di una

organizzazione deve essere preventivamente concordato e testato.

Devono essere date istruzioni operative (tempi e modi) al personale

dell’organizzazione incaricato all’attivazione delle autorità pubbliche.

In base alla tipologia di disastro il personale dell’organizzazione

coinvolto nelle attività di ripristino potrà ricevere ordini dalle autorità

pubbliche, come concordato preventivamente nei piani di risposta

all’emergenza.

Agenda





BCM & Crisis Management:

Traning & testing in SKF

1. SKF & BCM Policy

2. Progetto SEPTAS

3. SKF Crisis Handbook_Italy (SCH_I)

• Parte 1 – SKF & BCM Policy

Ulf Höglund, MD SKF Schweinfurt:

“The type of disturbances through the

whole organisation, deeply into the

market, are much bigger and much

more significant than we originally

anticipated”.

Tom Johnstone, CEO SKF Group :

“Let’s all make sure that the near

tragedy we had in St Cyr is not

repeated in any of our facilities”.

3/3/1988: Schweinfurt Werk 3 15/01/1997: St-Cyr HBU factory

IMPARARE ………….DAI SINISTRI

© SKF Group

Principi Guida del programma BCM in SKF

Principi guida del programma BCM di SKF sono: - Garantire SEMPRE e COMUNQUE la salute e la sicurezza dei nostri dipendenti

- Comprendere pienamente i rischi che minacciano ambiente / asset / processi aziendali

- Comprenderne pienamente il potenziale impatto sul business (analisi BIA sui maggiori siti)

allo scopo di:

- Ridurre a zero le “Broken Promises” ai nostri Clienti

- Garantire un Business Sostenibile in linea col concetto SKF Care

BCM in SKF: Policy e principi guida

Business Care Employee Care

Environmental Care Community Care

SKF BeyondZeroTM

SKF

Care

© SKF Group

Dow Jones Sustainaibility Indexes, Guida ANFIA

SKF Industrie - Risk Management ha coordinato il Gruppo di Lavoro

dell’ANFIA (Associazione Nazionale Filiera Industria Automobilistica), che sta

promuovendo lo sviluppo della prima guida italiana sulla Business

Continuity, per supportare le aziende filiera Automotive nella

predisposizione dei propri Piani di Continuità Operativa. Tale guida, di

derivazione AIAG (Automotive Industry Action Group) è sviluppata per essere

di aiuto a piccole, medie e grandi organizzazioni.

© SKF Group

“Matrice di riferimento”

RISPOSTA

ALL’EMERGENZA

Esempi di attivazione della

“Risposta all’Emergenza”

Infortunio al personale che richiede

intervento di terzi

Evacuazione necessaria

Danni gravi a persone,

infrastrutture, edificio

Inaccessibilità o indisponibilità di una

sede aziendale

Perdita totale delle infrastrutture

tecnologiche

Infortunio mortale sul lavoro

Disservizi gravi ed estesi e

conseguente interruzione delle attività

per la quale non è possibile prevedere

una risoluzione

UdC locale informata dal Responsabile dell’Emergenza / attiva il DAT

Capo UdC valuta

la necessità

di attivare il

BCP?

No Si Quando Gestione locale.

Il management viene informato

Convocazione del CMT_I

Responsabili dell’Emergenza

Necessità

attivazione

Squadra Emergenza?

No Si Quando

Gestione locale.

Il management viene informato Attivazione della “ Risposta

all’Emergenza”

GESTIONE

DELLA CRISI

Rilevazione da

parte di:

General Services

Allarmi automatici

Dipendenti

Ospiti

Terzi

Reception, Servizi Generali, Testimoni, Sistema di Allarme

Evento con impatto

potenziale sull’operatività

Valutazione del danno da parte di DAT

Valutazione dell’incidente

Incidente

SCHEMA DI FLUSSO DEL PROCESSO DI ESCALATION

BCM & Crisis Management in SKF: BCP activation / Training & Testing

Criteri di attivazione secondo la

• Parte 2 – Progetto SEPTAS

Progetto “SEPTAS”

S

E

P

T

A

S

KF

lan

nd

mergency

esting

imulation

Concorso INAIL Torino Film Festival 2010

Background of the Project

• According to the Italian Law, evacuation plans of all SKF sites in Italy have to be

tested on an annual basis.

• Since 2005, SKF Italy has introduced the SEPTAS procedure not only for

testing evacuation, but also for emergency plans (ISO 14001 / OHSAS 18000

requirement), first aid procedures and knowledge of crisis management

routines, in order to gain a comprehensive understanding of all actions to be

taken, roles and responsibilities defined and potential need for further training.

• Work-team:

– Area Risk Management (Project Leader) => 1 or 2 members

– Country Sustainability (Internal Support) => 1 member “spot”

– Italian Red Cross (External Consultant) => 1 or 2 members

– XXXX Risk Consulting (External Consultant) => 1 member

The testing exercise

• The testing exercise is usually divided into three

sections:

• 1. Incident simulations

• 2. Hot debrief

• 3. Tabletop Exercises

SEPTAS: 1st section

1. Incident simulations:

• several incident scenarios (e.g. fire, flood, EQ, etc.),

are chosen by Area Risk Management in relation to the

plants’ location and the relative exposure to the

different risks (requirement from the Insurance

Company);

• evacuation drill and consequent roll-call at the

assembly points;

• triggers are usually introduced (e.g. injured person and

one/two missing people).

SEPTAS: 2nd section

2. Hot debrief

check emergency notification procedure;

assess operations carried out by the Emergency Response Team;

verify actions aimed at safeguarding machineries and systems;

assess the preparation of the First Aid Assistants;

evaluate the evacuation modality;

evaluate the emergency calls (115 Fire Fighters & 118 Red Cross);

assess the roll call procedure.

SEPTAS: 3rd section

3. Tabletop Exercises

• Upon the conclusion of the incident simulation, the members

of the local Crisis team are invited to join in a tabletop

exercise;

• This exercise aims at testing the in-depth understanding of

various crisis management procedures;

• The local Crisis team members are faced with unexpected

situations in order to test their capability to react

spontaneously according to given guidelines, e.g. SCH_I,

Business Continuity Plan, Product Liability routines, Corporate

Governance Italian Law 231/01, etc.

Incident Simulations

• In the following slides, an example of the simulations is given.

• Simulation may start e.g. with a fire outbreak in a plant in a BAU situation. All

employees present are involved in the simulation and actively participate in the

evacuation process. Special attention is paid to the following elements:

– Alarm system and its automatic / manual triggering

– Plant Emergency Team

• Fire fighting

• Evacuation

• First aid

• Communication

• The simulation is carried out as realistic as possible (including all alarms, use of fire

extinguishing media, etc.)

Tabletop Exercises Employees involved

• In order to have a comprehensive understanding of the functioning of the local Crisis Team, all

members of the Team are invited to participate in the exercises.

• Members of the units are listed in the dedicated section of the Emergency Plan and may vary

from plant to plant. In general, members of the Local Crisis Team are:

– Plant Manager

– HR Manager

– EHS Manager

– Production Manager / General Services Manager

– Material Flow Manager

– Risk Manager

– Business controller

• During these exercises, the idea of a Crisis Communication Handbook was born, in order to

create an SKF Standard Procedure to comply with in crisis situations.

Presentazione di uno Scenario di Test e sua escalation

Giorno / Ora: Martedì, 15 novembre 2014, h 11:00

Luogo : Airasca SLS, Via Pinerolo 54

• Un incendio in sala CED, non domato dall’impianto a CO2 , ha richiesto l’intervento delle

squadre di emergenza interne e dei VV.F. esterni con idranti.

• L’acqua utilizzata ha raggiunto alcune caditoie e, di conseguenza, il Canale del Nicola.

• Il CED è stato seriamente danneggiato: la regolare gestione del magazzino è compromessa per

un periodo di tempo indeterminato.

• In particolare, le applicazioni WASS e ICSS non sono disponibili.

Trigger 2, 15/11/2014 (DD), h 13.00: Da una prima valutazione sommaria, si possono ipotizzare conseguenze ambientali

esterne al sito (sia al terreno circostante, che al Canale del Nicola) che non si prevede di poter neutralizzare in meno di 24 ore

Trigger 1, 15/11/2014 (DD), h 12.00: I danni subiti dall’HW della sala CED, fanno presupporre un’interruzione del servizio

superiore alle 24 ore.

Trigger 3 , 16/11/2014 (DD+1), h 08.00: Numerosi camion che arrivano dagli stabilimenti SKF Italiani sono in attesa di

essere scaricati.

Trigger 4, 16/11/2014 (DD+1), h 15.00: Alcuni clienti iniziano a chiamare insistentemente e a chiedere aggiornamenti sullo

stato dei loro ordini e spedizioni.

Trigger di escalation dello scenario…

Trigger 5, 16/11/2014 (DD+1), ore 16.00

A seguito di una fuga di notizie, la Comunità locale si interroga su potenziali problemi di inquinamento del Canale e,

conseguentemente, della flora e della fauna dello stesso.

Trigger 6, 17/11/2014(DD+2), ore 10.00

Gli abitanti di Airasca, preoccupati per la loro salute, segnalano l’accaduto alle autorità. Il Procuratore della Repubblica

apre un’inchiesta.

Trigger 7, 18/11/2014 (DD+ 3), ore 08.00

Si presentano ai cancelli dello stabilimento due ufficiali dei NOE per un’ispezione al Sito.

Trigger 8 , 18/11/2014 (DD+ 3) ore 08.30

Un giornalista dell’”Eco del Chisone” telefona in stabilimento chiedendo informazioni sulla gravità del danno ambientale.

Trigger 9, 21/11/2014 (DD+6), ore 09.30

Due importanti Clienti minacciano rispettivamente la risoluzione del contratto e l’applicazione di penali in caso di ritardo

nella consegna della merce.

A) Risorse per la gestione dell’emergenza

B) Procedure per la gestione dell’emergenza

C) Fattori aggiuntivi

Metodologia di valutazione delle simulazioni di crisi / BCM

Awareness Creation: Premio SEPTAS Awareness Creation: Premio SEPTAS

Awareness Creation: Premio SEPTAS

Premio 2011: Varese

Premio 2012: Bari, Airasca, Cassino

Premio SEPTAS 2013 / 2014 / 2015

Informazione a mezzo del house organ “Sfera.it”

Parte 2 –

SKF Crisis Handbook_Italy (SCH_I)

BACKGROUND…

• Crisis Communication Policy (2003, modificata 2008) • http://spider.skf.net/SKF/SPIDER/gotcom02.nsf/html/X0410C4C.html

• Crisis Management Team Italia (da Marzo 2004)

• Progetto SEPTAS (dal 2005)

• Group Branding & Communication Audit (2008)

• Normativa internazionale ad adesione volontaria, prima

BS25999 poi ISO22301 (BCM), DJSI Guidebook, etc.

http://spider.skf.net/SKF/SPIDER/gotcom02.nsf/html/X0410C4C.html

CRISIS COMMUNICATION POLICY

TEAM di PROGETTO SCH_I

– RISK MANAGEMENT (2)

– COMMUNICATION (2)

– EHS (2) + HR (2)

– EXTERNAL RISK CONSULTING (2)

•

SKF Crisis Handbook Italy • STRUTTURA E PROCEDURE BASE DI GESTIONE DELLA CRISI

• Criteri di classificazione degli incidenti

• Struttura e processo di Incident Response

• Processo di gestione della crisi

• Escalation dell’emergenza a crisi

• Dichiarazione della crisi e gestione della crisi

• Attivazione e coordinamento dei piani di business recovery

• Composizione del Crisis Management Team Italy (CMT_I)

• Composizione del Crisis Management Team di Gruppo (CMT_GHQ)

• COMUNICAZIONE NELLA GESTIONE DELLA CRISI

• Aspetti generali di comunicazione nella gestione della crisi

• Composizione del CCT_I e sue responsabilità

• Elementi chiave

• Regole di condotta per il/la spokesperson (portavoce)

• Relazioni con i media

• Procedura per l’approvazione ed il rilascio di comunicazioni

• Media Monitor

• Comunicazioni ai dipendenti e ai loro familiari

• CHIUSURA DELLA CRISI, PATRIMONIALIZZAZIONE DELL’ESPERIENZA

• TESTING E AGGIORNAMENTO

EVENTI DI LIVELLO 2

EVENTI DI LIVELLO 3

CALL-TREE

• In caso di emergenza di livello 3 (CRISI), o di livello

2 (incidente grave) che sia suscettibile di escalation a

livello 3:

1) Il Factory Manager o l’HR Manager del sito SKF Italia,

(oppure, in loro assenza, l’UdC locale), contattano sia il

Segretario del CMT_I (Communication Manager)

che il Vice-Presidente del CMT_I (HR Italy Director).

Qualora questi ultimi non siano reperibili, Factory

Manager / HR Manager / UdC locale devono contattare

il Risk Manager e via di seguito gli altri membri del

CMT_I.

2) Il Segretario del CMT_I (Communication Manager) o,

in sua assenza, il Vice-Presidente del CMT_I (HR Italy

Director) oppure, in loro assenza, il Risk Manager,

contattano il Presidente del CMT_I e tutti gli altri

membri.

3) Il CMT_I contatta il Chairman del CMT_GHQ (SKF

Group Communication SVP).

Membri del CMT_I

•**** / Country Manager Presidente

•Office: +39 011 ******* -Fax. Office: +39 011 ******* - Mobile: +39 *******

•E-mail: *******

•**** / Communication Manager Segretario

•Office: +39 011 ******* -Fax Office: +39 011 ******* - Mobile: +39 *******

•E-mail: *******

•**** / HR Manager Vice- Presidente

•Office: + 39 011 ******* -Fax Office: + 39 011 ******* - Mobile: + 39 *******

•E-mail: *******

•Marco Terzago / Risk Manager

•Office: +39 011 9852216 -Fax Office: +39 011 9852575 - Mobile: +39 *******

•E-mail: [email protected]

•**** / Legal Counsel

•Office: +39 011 ******* -Fax. Office: +39 011 ******* - Mobile: +39 *******

•E-mail: *******

•**** / Finance Director

•Office: +39 011 ******* -Fax Office: +39 011 ******* - Mobile: +39 *******

•E-mail: *******

mailto:[email protected]

Membri del CMT_GHQ 1. ******* / Group Communication & Goverment Relations SVP Team Leader

• Office: +46-31-******- Fax office: +46-31-******– Mobile: +46-706-******

• Crisis number +46 *******

• E-mail: ******

2. ******* / Group Audit Director Team Co-ordinator and Log Keeper

• Office: +46-31-****** - Fax office: +46-31-****** – Mobile: +46-705-******

• E-mail: ******

3. ******* / Group People & Business Excellence SVP


• E-mail: ******

4. ******* / Group Legal & Sustainability SVP


• E-mail: ******

• N.B.: 3 donne su 4 membri del CMT_GHQ!

Membri del CCT_I

1. ******/ Communication Responsabile / Media Monitor

• Office: +39 011 ****** - Fax Office: +39 011 ****** - Mobile: +39 ******

• E-mail: ******

2. ******/ Communication Media Monitor Assistant

• Office: +39 011 ****** - Fax Office: +39 011 ******

• E-mail: ******

3. ******/ Sustainability & Industrial Relations

• Office: +39 011 ****** - Fax Office: +39 011 ****** - Mobile: +39 ******

• E-mail: ******

4. ******/ Customer Relation Management

• Office: +39 011 ****** - Fax Office: +39 011 ******

• E-mail: ******

DISPONIBILITA’ DEL PIANO

L’ Handbook è pubblicato sul database Ec Italy alla sezione E.4.4.3.G. SKF Crisis

Handbook Italy a cui hanno accesso tutti gli user SKF Italia.

DISPONIBILITA’ DEL PIANO

L’ Handbook è inoltre pubblicato su SKF Compass alla sezione Documents.

https://www.skfcompass.com/default.asp?locale=IT

TEST DELLO SCH_I

• I Fase:

• A partire dal 2009, nelle esercitazioni SEPTAS viene testato a tavolino uno scenario di crisi, per verificare la conoscenza dell’Handbook presso gli stabilimenti, sino al call-tree.

• II Fase:

• coinvolgimento dei membri di CMT_I in un test K&R (Nov. 2010)

• III Fase:

• Crisis Communication Training – Sessione pilota (CCT_I)

– Due sessioni per gli spokesperson

– Sessione per il CMT_I

• Giorno: Lunedì 8 Novembre 2010

• Luogo: Airasca, Via Pinerolo 44

• Ore: 15.45 locali (20.15 in India)

XXX, assistente di YYY, riceve via posta

elettronica un filmato nel quale YYY è

ripreso ostaggio di un gruppo terrorista; il

Gruppo che rivendica il rapimento sostiene

la propria affiliazione ad Al Qaeda e di avere

promosso l’attentato a Mumbai del

Novembre 2008.

II FASE: Primo Test (Presentazione scenario di Crisi)

http://www.youtube.com/watch?v=yVqRmegKAaI

III FASE Crisis Communication Training

Obiettivi

• Testare le guidelines dello SCH_I

• Testare e valutare i ruoli e

responsabilità definiti dal Piano di

Gestione della Comunicazione nella

Crisi

• Verificare la capacità decisionale e

di coordinamento in caso di Crisi

• Diffondere le modalità di gestione

della Comunicazione nella Crisi

• Favorire il team building

Come?

Metodologie

Training on the field:

• Best/worst practice (contributi video)

• Il ruolo dei media

• Il ruolo dei comunicatori / spokesperson

(contatto con i media; veicolare i messaggi

aziendali; gestire domande difficili)

Cassetta degli attrezzi

Workshop con presentazione di uno scenario di

crisi per SKF Italia, che si sviluppa in base a

dei trigger predefiniti che ne descrivono lo

sviluppo nel tempo

Strategie e processi per salvaguardare il valore aziendale a seguito di un evento dannoso

Il Premio Assiteca

”La Gestione del Rischio nelle Imprese Italiane”

SKF Italia vince il Premio Assiteca 2012

Informazione a mezzo del house organ “Sfera.it”

SKF Poggio Rusco: un caso BCM di successo

SKF Italy has collaborated to the first Technical Guide focused on

Business Continuity Management (BCM)

Grazie per la Vostra attenzione!