Le attività di Audit sono una parte integrante del ciclo di vita del Programma di BCM (Management della continuità), che consiste nella realizzazione delle procedure per garantire la Continuità Operativa, la loro gestione e il miglioramento continuo.
L’Audit può essere svolto sull’intero Programma o per ognuna delle 4 fasi del ciclo di vita:
- Progettazione
- Attuazione
- Misurazione dell’efficacia e test
- Individuazione delle azioni di miglioramento.
L’Audit può essere rivolto all’interno della propria organizzazione (Self Assessment) per verificare l’aderenza ai requisiti fissati in precedenza all’avvio del Programma di BCM e dare contezza al Management come alle funzioni di Conformità sulla efficenza e coerenza dei processi e delle soluzioni tecnologiche adottate.
L’audit può essere rivolto a terze parti per verificare le condizioni di continuità operativa di un servizio che si intende acquisire (on premises – outsourcing – as a service) per dare contezza al Management come alle funzioni di operation e di business sui rischi afferenti la soluzione che si intente inglobare nella propria organizzazione.
L’Audit verificherà le precondizioni di 4 punti di vista (PdV) differenti e complementari (Balanced Scorecard):
- management o PdV degli investimenti;
- business e operation o PdV dei requisiti di resilienza;
- ICT e amministrazione o PdV delle soluzioni tecnologiche e dei servizi di terze parti;
- funzioni di controllo o PdV della conformità alle best practices e dei controlli in continuità.
- i fattori di rischio reali,
- il rischio inerente,
- la valutazione delle contromisure disposte e l’organizzazione della reazione all’evento nefasto,
- l’enucleazione del rischio residuo da sottoporre alle funzioni di risk management per ulteriori valutazioni.