Logo Library
Richiedi un preventivo
Home Risorse Blog Settembre 2020

Guida alla ISO 22301 (Business Continuity)

20 settembre 2020
La normativa ISO 22301 comprende un insieme di requisiti per i sistemi di gestione che garantiscono la continuità operativa (BCMS) dell'International Organization of Standards (ISO). Devi certificarti per questo standard?

L'ambiente aziendale di oggi ha molte organizzazioni che pongono la continuità aziendale al primo posto delle loro priorità. Se di recente hai subito un'interruzione aziendale, o quasi, sai quanto sia importante avere un'organizzazione resiliente. Mentre le aziende esaminano attentamente i loro piani di continuità aziendale, molte si sono chieste se esiste un metodo per adottare  strategie di continuità aziendale più efficaci possibili.

Se ti sei posto lo stesso quesito, potresti esserti imbattuto in ISO 22301:2019 standard. La normativa ISO 22301 comprende un insieme di requisiti per i sistemi di gestione che garantiscono la continuità operativa (BCMS) dell'International Organization of Standards (ISO). Devi certificarti per questo standard?? Se scegli di farlo, come puoi farlo? Abbiamo queste risposte e molte altre in questa guida dedicata alla ISO 22301.

Cos'è la ISO 22301?

what is iso 22301

ISO 22301 è uno standard a cui un sistema di gestione deve aderire in caso di interruzioni dell'attività. I requisiti mirano ad aiutare le aziende a ridurre la probabilità di interruzioni mentre si preparano e rispondono quando si verificano. Un sistema di gestione della continuità operativa certificato ISO 22301 significa che l'organizzazione:
  • Implementa, mantiene e migliora il proprio BCMS
  • è conforme alla politica di continuità operativa dichiarata
  • Supporta la resilienza in caso di interruzioni dell'attività
  • Può continuare a fornire prodotti e servizi a una capacità accettabile anche durante un'interruzione.

Lo standard ISO 22301 è stato inizialmente introdotto nel 2012 e rivisto nel 2019. Sebbene molte delle recenti revisioni della ISO abbiano subito importanti modifiche rispetto alle versioni precedenti, la versione 2019 è molto simile a quella del 2012. Ha meno documenti obbligatori, meno requisiti e nuove linee guida per quanto riguarda le modifiche alla pianificazione del BCMS. Le aziende hanno tempo fino al 31 ottobre 2022 per passare alla versione 2019.

Riepilogo dei requisiti ISO 22301

Il framework della ISO 22301 è progettato per essere integrato con altri standard riconosciuti, come ISO 9001 — Sistemi di gestione della qualità, ISO 14001 —Sistemi di gestione ambientale e ISO 27001 — Sistemi di gestione della sicurezza delle informazioni. Come ciascuno di questi standard, la ISO 22301 segue una struttura di 10 requisiti (Annex SL), con idee generali applicabili a qualsiasi organizzazione.

I primi tre requisiti discutono lo scopo, i riferimenti normativi, i termini e le definizioni relativi allo standard. Le restanti sette disposizioni elencano gli elementi richiesti per un efficace sistema di gestione della continuità operativa e delineano come implementare la ISO 22301.

Requisito 4 - Contesto dell'organizzazione

Prima di poter implementare un sistema di gestione della continuità aziendale, è necessario comprendere il business stesso. In quanto organizzazione, è necessario valutare le esigenze interne ed esterne e definire l'ambito del nuovo sistema. I leader aziendali devono anche seguire i requisiti imposti dalle parti interessate come le autorità di regolamentazione, i clienti e il personale.

Requisito 5 - Leadership

Un sistema di gestione della continuità aziendale necessita di una leadership efficace per guidarne l'implementazione. Dando la priorità all'impegno della direzione, l'azienda può garantire la fornitura di risorse adeguate e lo sviluppo di nuove politiche. I leader aziendali dovrebbero anche verificare che i membri del personale più indicati, siano nominati per implementare e mantenere il sistema.

Requisito 6 - Pianificazione

Per stabilire qualsiasi nuovo sistema, una pianificazione adeguata è fondamentale. Come parte del processo di pianificazione, l'organizzazione dovrebbe identificare i rischi legati all'implementazione del BCMS. L'azienda dovrebbe inoltre stabilire obiettivi e criteri chiari per misurare il proprio successo.

Requisito 7 - Supporto

Per supportare efficacemente il BCMS, sono necessari dipendenti con le conoscenze, le capacità e l'esperienza per sviluppare e mantenere il sistema e rispondere agli incidenti quando si verificano. Tutto il personale dovrebbe essere consapevole del proprio ruolo nella risposta agli incidenti. 

Il supporto del BCMS deve rendere i clienti consapevoli dei problemi di gestione della continuità aziendale. Quando i normali canali di comunicazione vengono interrotti, devono essere supportati con mezzi alternativi.

Requisito 8 - Operazioni

La maggior parte dello standard è contenuta nel requisito 8, che delinea le esigenze operative di un BCMS. In primo luogo, l'azienda deve capire in che modo le interruzioni potrebbero influire sulle operazioni. Una valutazione del rischio rivelerà le minacce che la tua azienda deve affrontare. Quindi, la tua organizzazione può essere preparata sulla strategia di continuità aziendale in modo più efficace.

Quando si identificano i potenziali incidenti, si progettano i passaggi per evitare e ridurre la loro probabilità insieme ai passaggi da intraprendere se si dovessero verificare. Poiché è impossibile prevedere e prevenire tutti gli eventi, la pianificazione dello scenario peggiore è essenziale. Una soluzione di risposta agli incidenti ben definita garantisce che le risposte possano essere date rapidamente. Consente inoltre alle persone di intraprendere le azioni necessarie. Se l'incidente coinvolge la sicurezza pubblica, la risposta deve includere la comunicazione con le parti esterne interessate. Ad esempio, una fuoriuscita di sostanze chimiche in una fabbrica potrebbe rappresentare un rischio di incendio per gli edifici vicini.

Il requisito 8 favorisce piani di continuità aziendale brevi e di rapida comprensione. Questi documenti dovrebbero consentire una risposta rapida per un dato incidente. Di solito è meglio creare una strategia per ogni potenziale episodio piuttosto che un grande piano che comprende molti eventi.

Inoltre, lo standard ISO introduce una considerazione che altri standard di continuità aziendale non hanno affrontato: il ritorno alle normali attività.

L'ultima sottosezione riguarda esercizi e test. Poiché le interruzioni possono verificarsi in qualsiasi momento, è fondamentale verificare che le risposte funzionino quando necessario. Il test determina se un elemento degli accordi di continuità operativa viene superato o meno. Ad esempio, puoi testare il generatore di una struttura accendendolo. Gli esercizi di solito comprendono molti test e includono simulazioni di un incidente e della risposta. Gli esercizi spesso includono la formazione su come gestire gli eventi insieme ai test per i processi in atto.

Requisito 9 - Valutazione

Come con tutti i sistemi di gestione, un'organizzazione deve valutare le proprie prestazioni. Utilizzando metriche stabilite, un'organizzazione può misurare le proprie prestazioni nel tempo. L'organizzazione deve anche condurre audit interni, in cui la direzione rivede i risultati e agisce sulle informazioni rivelate.

Requisito 10 - Miglioramento

Andando di pari passo con la valutazione, l'organizzazione deve migliorare il sistema. lo standard ISO 22301 riconosce che nessuna disposizione sarà perfetta sin dall'inizio e richiede miglioramenti come parte della certificazione. Inoltre, possono sorgere nuove minacce poichè l'ambiente aziendale è in costante mutamento. Pertanto, l'organizzazione deve intraprendere azioni correttive sulla base dei risultati di audit, revisioni ed esercizi.

Vantaggi della ISO 22301

iso 22301 benefits
Ci sono molte ragioni per implementare la ISO 22301. La prima è avere la capacità di mantenere le operazioni aziendali durante un'interruzione. Puoi anche ottenere vantaggi come:
  • Politiche di continuità operativa utili: Il rispetto dello standard ISO 22301 richiede la creazione di piani solidi. L'idea è di sviluppare strategie per affrontare e persino prevenire le minacce. Mettendoti al lavoro ora, svilupperai preziose politiche di continuità aziendale su misura per la tua attività.
  • Solide procedure di risposta e recupero: Implementando una guida breve e utilizzabile per molti scenari, puoi pianificare la risoluzione di quasi tutti gli incidenti. Il tuo team può mettere rapidamente in atto le strategie, riducendo i tempi di risposta.
  • Maggiore protezione degli asset e dei profitti: La maggior parte delle interruzioni dell'attività si traduce in una perdita di entrate. Sia che la perdita di un fornitore renda impossibile la consegna dei prodotti o che una violazione dei dati spinga i clienti verso la concorrenza, si danneggiano i profitti. Con un BCMS, puoi proteggere i profitti tramite strategie per continuare a servire i tuoi clienti durante gli incidenti. Inoltre, le interruzioni dell'attività derivanti da un disastro naturale potrebbero danneggiare proprietà e altri beni. Le procedure di risposta possono aiutarti a mitigare i danni alle risorse. Possono anche aiutarti a ridurre al minimo la liquidazione delle risorse per tenere il passo con un flusso di entrate perse.
  • Preservare la reputazione: Il modo in cui la tua azienda risponde a una crisi può influire sulla tua credibilità. Se un disastro su larga scala ti fa ritardare le spedizioni di più di un mese, mentre i tuoi concorrenti subiscono un ritardo solo di una settimana, i tuoi clienti se ne accorgeranno. Se le carte in tavola vengono capovolte, guadagnerai una reputazione positiva battendo i tempi di risposta dei tuoi concorrenti. Se il tuo incidente comporta un pericolo per la salute, danni ambientali o altri danni causati dalla tua azienda, puoi mitigare gli effetti e preservare la tua reputazione agli occhi del pubblico.
  • Maggiore visibilità sulle minacce: Una sfida per molte organizzazioni è il non sapere cosa aspettarsi. Non sanno quali rischi sono possibili e quali potrebbero avere l'impatto più significativo. Impegnandosi in una valutazione approfondita del rischio, è possibile scoprire queste minacce. Puoi anche dimostrare ai tuoi clienti e alla catena di fornitura di comprendere i loro rischi.
  • Maggiore coinvolgimento della direzione: La ISO 22301 richiede che la leadership sia fortemente coinvolta nel sistema di gestione della continuità aziendale. Grazie a questo impegno, ti assicuri che il tuo BCMS sia preso sul serio in tutta l'organizzazione. Motiva il coinvolgimento dei dipendenti mentre mostri ai clienti che la direzione è impegnata per il successo del BCMS.
  • Costo ridotto per l'assicurazione per interruzione dell'attività: Con un BCMS completo, sai cosa sei pronto a gestire. Puoi prevenire gli incidenti e risolverli con le tue risorse interne. Di conseguenza, di solito è necessaria una minore copertura per interruzioni dell'attività. Puoi eliminare le polizze non necessarie, abbassando le tue tariffe assicurative.
  • Conformità legale dimostrata: In generale, le interruzioni dell'attività non sospenderanno i requisiti normativi. Alcuni incidenti attiveranno anche ulteriori requisiti legali. Le strategie di business continuity possono aiutarti a soddisfare le normative in tempi difficili e ad implementare rapidamente nuove politiche e procedure in risposta al cambiamento delle leggi.
  • Credenziali aziendali comprovate: Se fornisci ad altre organizzazioni, puoi sbloccare più opportunità con la certificazione ISO 22301. Molti reparti di approvvigionamento richiedono la certificazione come un modo per mitigare le proprie interruzioni dell'attività. Guadagnerai anche credibilità con la prova che puoi mantenere la continuità aziendale e rappresentare un rischio minore per i tuoi clienti.

Perché la ISO 22301 è importante?

Da un sondaggio è emerso che i dirigenti aziendali che hanno affrontato carenze nelle consegne nel 2020 96% incolpa le limitazioni rispetto al loro piano di continuità aziendale, dopo aver conosciuto la propria vulnerabilità, solo il 16% considera le proprie operazioni resilienti a crisi future.

L'interruzione dell'attività può causare perdite finanziarie, danneggiare la tua reputazione e allontanare clienti importanti. Per loro stessa natura, le interruzioni dell'attività sono inaspettate. Un'azienda senza un solido sistema di gestione della continuità operativa cadrà preda di molti problemi. Vale a dire, ci vorrà molto più tempo prima che l'azienda si rimetta in piedi. Ciò significa più entrate perse e più clienti insoddisfatti.

Sebbene un piano di continuità aziendale conforme alla ISO 22301 non fermi sempre il prossimo disastro, può aiutare la tua azienda in molti modi. Attraverso un'analisi completa delle minacce e un monitoraggio continuo, può consentire di prevedere la prossima interruzione. Piani di risposta efficaci possono impedire che alcuni disastri provochino un'interruzione dell'attività in primo luogo. Quando uno colpisce, la tua azienda può passare alla modalità di ripristino con procedure prestabilite.

ISO 22301 e il ritorno a lavoro

Le aziende che sono state temporaneamente chiuse a causa di COVID-19 dovrebbero essere particolarmente interessate alla ISO 22301 e alle sue applicazioni per tornare al lavoro. Le aziende ora sono preoccupate per ciò che potrebbe accadere se una crisi costringe a un altro arresto o a un massiccio cambiamento operativo. Anche se le aziende riaprono, è difficile dire se un'altra interruzione è imminente. Qualsiasi cosa, da un disastro naturale a un'epidemia virale, può far chiudere un'azienda. La buona notizia è che la certificazione ISO 22301 può aiutare in quest caso.

Tramite il tuo BCMS, puoi sviluppare le policy necessarie per trasferire le operazioni da remoto ove possibile. Sarai anche pronto a rispondere alle continue sfide legate alla riapertura in sicurezza. Se si verifica un'altra chiusura temporanea, potrai continuare le operazioni e tornare a lavoro il prima possibile.

Come posso ottenere la certificazione ISO 22301?

iso 22301 certification

In qualità di organizzazione che ha progettato lo standard, la ISO non rilascia direttamente le certificazioni. Invece, si affidano a organismi di certificazione accreditati, come NQA, per applicare i loro rigorosi standard. Il processo di certificazione ISO 22301  che seguiamo in NQA include cinque passaggi:

1. Applicazione

Gli organismi di certificazione ISO utilizzano un'applicazione per avviare il processo. Poiché qualsiasi organizzazione di qualsiasi dimensione o settore può richiedere la certificazione, questa applicazione aiuta gli organismi di certificazione e gli auditor a comprendere la vostra situazione specifica. In NQA, il nostro processo di richiesta è incluso nella nostra procedura di richiesta di preventivo. Utilizziamo queste informazioni per conoscere la tua azienda e le sue complessità. Puoi completare il nostro modulo di richiesta preventivo rapido o formale per candidarti. Useremo queste informazioni per delineare l'ambito della tua valutazione di certificazione e fornirti una proposta.

2. Valutazione

Dopo aver approvato la tua proposta, puoi fissare un appuntamento con un auditor NQA. Prima di iniziare il processo di valutazione formale, è necessario disporre di un sistema di gestione della continuità aziendale consolidato che soddisfi i requisiti ISO 22301 al meglio delle proprie conoscenze. Dovrai dimostrare al tuo revisore che è pienamente operativo da almeno tre mesi.

Avrebbe dovuto essere riesaminato tramite un audit interno e migliorato dalla direzione durante quel periodo. Una volta soddisfatte queste condizioni, possiamo eseguire un esame di terze parti per te.

3. Audit di certificazione iniziale - Stage 1

La prima fase dell'audit esamina le informazioni documentate. Prima di avere auditor sul campo durante una valutazione completa, confermiamo che la vostra organizzazione segue tutti i requisiti, inclusi quelli per la documentazione delle informazioni relative al vostro sistema di gestione della continuità aziendale. La revisione delle informazioni documentate avverrà presso il centro del sistema di gestione, che di solito si trova presso la sede principale di un'azienda. In questa fase, il valutatore confermerà:

  • L'accuratezza delle informazioni fornite nella domanda.
  • La conformità documentata del BCMS ai requisiti della norma.
  • La piena implementazione del BCMS.
  • Lo scopo della certificazione.
  • Conformità legislativa dell'organizzazione.

Alla fine della prima fase, il tuo revisore ti fornirà un rapporto dettagliato. Sarai in grado di vedere eventuali problemi di non conformità e suggerimenti per il miglioramento. In caso di problemi di non conformità, il documento delineerà eventuali piani di azione correttiva richiesti. Se le informazioni documentate dimostrano un BCMS pienamente conforme, l'auditor pianificherà anche l'audit di fase 2 e fornirà un piano di valutazione per la seconda fase della revisione.

4. Audit di certificazione iniziale - Stage 2

La seconda fase dell'audit valuta se il sistema di gestione che hai in atto è conforme ai requisiti della ISO 22301 e le tue informazioni documentate riguardanti il sistema. In altre parole, l'auditor sta verificando che tu faccia quello che dici di fare. Questa valutazione può dipendere dalla tua organizzazione specifica. Se lavori in loco o hai più sedi che richiedono la certificazione ISO 22301, potresti aver bisogno di più siti controllati durante il processo. Nella seconda fase della valutazione, il tuo revisore:

  • Documentare le evidenze oggettive che dimostrano come il sistema sia conforme alla ISO 22301.
  • L'audit delle operazioni e delle attività descritte nel tuo ambito di certificazione.
  • Visitare tutti i luoghi in cui è installato il BCMS per determinare se il sistema è efficace fuori sede dalla sua sede.
  • Segnalare eventuali non conformità e opportunità di miglioramento.

Se l'auditor rileva problemi di non conformità, l'ente non può rilasciare la certificazione finché non si completano le azioni correttive. Se l'ente verifica che le azioni correttive sono state intraprese entro sei mesi, puoi ottenere la certificazione senza un secondo audit di seconda fase. In caso contrario, dovrai programmare un'altra revisione dopo aver completato le azioni correttive. Se superi la fase due, ti forniremo un piano di sorveglianza e programmeremo una data per la tua prossima visita di sorveglianza annuale.

5. Certificazione

Se hai superato entrambe le fasi dell'audit di certificazione, congratulazioni! Hai ottenuto la certificazione ISO 22301. NQA rilascerà la tua certificazione sia in formato cartaceo che in formato elettronico. In questo modo, puoi condividere la tua certificazione con i responsabili degli acquisti e altre terze parti per dimostrare la tua competenza nel tuo BCMS. La tua certificazione durerà tre anni e richiede audit di sorveglianza annuali. Ogni tre anni, avrai bisogno di un audit completo del sistema per la ricertificazione.

Contatta gli esperti di NQA

contact NQA

Sei pronto per ottenere la certificazione ISO 22301? NQA può aiutarti a determinare il tuo piano d'azione e sviluppare una proposta di certificazione che comprenda le aree della tua attività che desideri certificare. In qualità di ente di certificazione accreditato, miriamo a trovare aspetti da migliorare ad ogni audit, aiutandovi a soddisfare le vostre esigenze di miglioramento continuo. Se la tua azienda ha bisogno di cambiare il proprio BCMS, possiamo condurre un'analisi delle lacune per scoprire cosa devi fare per diventare conforme.

Se hai domande sul processo di certificazione o ti stai chiedendo se la tua organizzazione è pronta per un audit, contattaci online.