Stai utilizzando una versione obsoleta di Internet Explorer.
Per una navigazione ottimale del sito ti consigliamo di aggiornare il browser ad una versione più recente: Aggiorna IExplorer

Policy sulla crisis communication di Poste Italiane

Il Gruppo Poste Italiane (di seguito “Gruppo”) si configura come un contesto di business complesso, unico nel suo genere, rappresentato dall’elevato numero ed eterogeneità dei servizi offerti, nonché dalla vastità del proprio network, esteso capillarmente su tutto il territorio nazionale.
La compagine di business all’interno della quale opera il Gruppo è soggetta a continue evoluzioni e cambiamenti dovuti a diversi fattori, tra cui:
  • le dinamiche diversificate e non sempre prevedibili del quadro regolatorio;
  • la complessità delle relazioni con i diversi stakeholder per un’organizzazione che eroga servizi di pubblica utilità;
  • l’andamento del mercato e i fattori connessi al contesto di realtà quotata in borsa;
  • i ritmi incessanti dell'innovazione tecnologica che supportano i diversi settori di attività.
All’interno del Gruppo sono identificate le seguenti aree di business cui afferiscono, in alcuni casi, Soggetti Obbligati (Funzioni e Società del Gruppo vigilate dalle relative Autorità di Vigilanza del settore di appartenenza):
  • Servizi Finanziari;
  • Pagamenti, Mobile e Digitale;
  • Servizi Assicurativi;     
  • Corrispondenza, Pacchi e Distribuzione.
 
Il modello organizzativo di funzionamento adottato dal Gruppo prevede la gestione unitaria dei processi di staff e supporto, funzionale a fornire servizi condivisi per tutte le aree di business e garantire qualità, efficienza e sinergie in ottica di integrazione industriale. Con particolare riferimento ai Soggetti Obbligati, l’affidamento e/o l’esternalizzazione di funzioni è regolato in coerenza con la specifica normativa regolamentare applicabile.
In tale contesto il Gruppo intende indirizzare le esigenze di gestione delle crisi e della continuità operativa in coerenza con elementi che si configurano come vincoli da soddisfare, e su cui fondare un approccio volto allo sviluppo ed evoluzione dei servizi, di seguito indicati:
  • leggi e normative applicabili;
  • requisiti derivanti da standard tecnologici e/o di settore, nonché linee guida e best-practices;
  • esigenze di business e sviluppo commerciale.
Uno degli elementi abilitanti per operare in un contesto dinamico e interconnesso è la resilienza dell’organizzazione e del business, ossia l’abilità di prevedere, preparare la risposta e adattarsi ai cambiamenti improvvisi e alle situazioni di crisi. Essendo la resilienza un concetto relativo e dinamico, deve essere rafforzata integrando e coordinando i vari aspetti operativi con le discipline che l’organizzazione applica in un contesto di miglioramento continuo.
La resilienza è per il Gruppo un obiettivo strategico da perseguire, per consentire all’Organizzazione di reagire tempestivamente a incidenti e crisi che possono minacciare la sua esistenza o il raggiungimento dei propri obiettivi.
La resilienza nel Gruppo, intesa come obiettivo strategico, è definita e richiamata nel documento “Politica per la Gestione delle Crisi e della Continuità Operativa di Gruppo” [24] e viene perseguita con un modello disegnato per la Gestione delle Crisi e della Continuità Operativa di Gruppo.

Modello di riferimento per la gestione delle crisi

La gestione delle crisi è la capacità di un'azienda di prevedere, preparare, rispondere e riprendersi dalle crisi, necessita quindi di essere consapevolmente costruita e sostenuta attraverso lo sviluppo di un framework.

Il Gruppo ha scelto di sviluppare un framework per gestione delle crisi coerente con la linea guida “BS 11200:2014 Crisis management. Guidance and good practice”. Adottando tale framework, il Gruppo, attraverso l’attuazione di step predefiniti, sarà in grado di rispondere alle crisi in maniera efficace e strutturata e di prevenirle laddove possibile.

In particolare, il framework è articolato nelle fasi raffigurate e descritte di seguito e sviluppate in dettaglio nel “Piano di Gestione delle Crisi di Gruppo”:

Fsi del piano: Revisione e miglioramento: Previsione e Valutazione; Preparazione; Risposta; Recupero
 
  • Previsione e Valutazione: sono attivati processi formalizzati e continui di analisi e di monitoraggio di possibili eventi che le crisi possono produrre prima di manifestarsi (horizon scanning). Tale fase ha l’obiettivo di costruire una scala di priorità che consenta di valutare le situazioni più probabili e la gravità del danno che potrebbero potenzialmente recare.
 
  • Preparazione: la crisi può svilupparsi indipendentemente dall'efficacia della fase di previsione e valutazione, pertanto il Gruppo deve essere in grado di gestirla efficacemente. Nella fase di preparazione deve essere assicurata la prontezza di reazione al fine di fronteggiare i rischi specifici e gestire crisi eventualmente non modellate. A tal proposito è sviluppato e adottato un piano di risposta attraverso la predisposizione e definizione di elementi chiave quali:
    • un “Piano di Gestione delle Crisi di Gruppo”, che ha l’obiettivo di supportare le attività di preparazione, risposta e recupero da una crisi (o ritorno alla normale attività);
    • predisposizione dell’Unità di Crisi formata dai massimi rappresentanti del Gruppo che garantiscano l’applicazione del “Piano di Gestione delle Crisi di Gruppo”.
 
  • Risposta: l’Unità di Crisi utilizza gli strumenti predisposti nella fase di preparazione, definisce la direzione strategica della risposta alla crisi, prende decisioni, monitora e riesamina continuamente gli obiettivi e l'efficacia di risposta garantendo una tempestiva fase di recupero.
  • Recupero: l’Unità di Crisi, una volta risolta la crisi, deve gestire gli impatti e gli effetti a lungo termine che ne possono derivare e deve decidere in quale modo ritornare alla normalità o eventualmente adattarsi alle nuove circostanze.
 
  • Revisione e Miglioramento: il processo di gestione delle crisi deve includere la revisione e la valutazione della risposta alla crisi, dei piani e delle procedure per identificare le aree di miglioramento per rendere il framework definito per la gestione delle crisi sempre più efficace e il Gruppo più resiliente e preparato per il futuro.

Ruoli e responsabilità per la crisi

Il Gruppo definisce un modello organizzativo di gestione delle crisi, da attivarsi solo ed esclusivamente in situazioni di crisi, che consente una gestione modulare e flessibile della grave emergenza mediante l’attivazione del livello di gestione più adeguato al tipo di impatto, nell’ottica di rispondere in modo ottimale agli scenari di crisi e garantire la tempestività e l’efficacia delle misure da adottare.

Si evidenzia che il modello di gestione delle crisi può essere attivato per tutti gli eventi classificati con il massimo livello di gravità, indipendentemente dalle soluzioni predisposte. Se lo scenario da gestire coincide con uno degli scenari disciplinati vengono attivate anche le procedure per la continuità operativa, altrimenti, in considerazione dei ruoli e responsabilità del modello di gestione delle crisi descritto, è affidata al Responsabile Gestione Crisi di Gruppo e all’Unità di Crisi l’individuazione delle migliori soluzioni da mettere in campo per limitare i danni del Gruppo in particolare per aspetti finanziari, di legge, normativi e d’immagine, conseguenti all’evento.

Per eventi che impattano su uno o più dei Soggetti Obbligati, rimane di loro responsabilità, sempre di concerto con il Responsabile Gestione Crisi di Gruppo, dichiarare l’eventuale stato di crisi della propria Società/Organizzazione ed assolvere agli obblighi di notifica verso l’Autorità di pertinenza previsti dalle normative ad esse applicabili.
Partecipano inoltre all’Unità di Crisi per identificare le migliori soluzioni da mettere in campo per limitare i danni afferenti alle proprie Organizzazioni.       

Il modello organizzativo per la gestione delle crisi individua i ruoli da coinvolgere, progressivamente e in funzione della gravità della casistica, per la gestione dell’evento di crisi, al fine di garantire:
  • l’autorità decisionale straordinaria necessaria alla gestione delle crisi;
  • la capacità di operare in condizioni di stress operativo intenso;
  • il mantenimento di tempi decisionali eccezionalmente ristretti;
  • un adeguato livello di comunicazione interna ed esterna al gruppo, incluso le Autorità di Vigilanza dei Soggetti Obbligati.

Ad integrazione dei ruoli principali dei Sistemi di Gestione descritti al paragrafo 4.2.1, si elencano nel seguito gli ulteriori ruoli coinvolti nella gestione della crisi, con una breve descrizione:
  • Referente Piano di Comunicazione: cura le comunicazioni verso l’esterno (mass-media, istituzioni, grandi clienti, ecc.) e verso l’interno (Uffici Postali, Filiali, Dipendenti, Famigliari, ecc.) del Gruppo, in caso di crisi.
  • Log Keeper: svolge l’attività essenziale di documentare tutte le decisioni prese, in considerazione delle informazioni disponibili sul momento e delle azioni intraprese per la gestione della crisi. Il Log Keeper garantisce la raccolta di evidenze da utilizzare per eventuali azioni legali o inchieste offrendo uno strumento di supporto al Responsabile Gestione Crisi di Gruppo in merito alle decisioni assunte.
  • Risk Manager Soggetto Obbligato: supporta l’azione di gestione delle crisi per quanto di competenza, di concerto con il Risk Manager di Gruppo.
  • Team Crisis e Business Continuity Management di Gruppo: implementa e manutiene il Sistema di Gestione delle Crisi di Gruppo.


Nella tabella seguente si riportano i ruoli e le relative responsabilità nel sistema di gestione delle crisi:

 
RUOLO RESPONSABILITA’
Consiglio di Amministrazione Approva la “Politica per la Gestione delle Crisi e della Continuità Operativa di Gruppo”.
Approva la “Linea Guida Gestione delle Crisi e della Continuità Operativa di Gruppo”.
Approva la “Linea Guida Gestione Incidenti di Gruppo”.
Approva il “Piano di Gestione delle Crisi di Gruppo” e le successive modifiche a seguito di adeguamenti tecnologici ed organizzativi.
Nomina il Responsabile Gestione Crisi di Gruppo.
Consiglio di Amministrazione Soggetto Obbligato Esamina e recepisce i documenti inerenti la gestione della crisi di Gruppo per il perimetro di competenza.  Approva le decisioni strategiche in ambito gestione delle crisi inerenti l’assolvimento degli adempimenti normativi applicabili al perimetro di pertinenza.
Amministratore Delegato Esamina in via preliminare tutti i documenti che vanno al Consiglio di Amministrazione.
Promuove lo sviluppo, il controllo periodico del “Piano di Gestione delle Crisi di Gruppo” e l’aggiornamento dello stesso a fronte di rilevanti innovazioni organizzative, tecnologiche e infrastrutturali nonché nel caso di lacune o carenze riscontrate ovvero di nuove criticità sopravvenute.
Approva il “Piano annuale dei test sulla gestione delle crisi” ed esamina i risultati documentati in forma scritta.
Amministratore Delegato / Responsabile Soggetto Obbligato Esamina in via preliminare tutti i documenti da sottoporre al proprio Consiglio di Amministrazione con riferimento al perimetro di competenza.
Esamina il “Piano annuale dei test sulla gestione delle crisi” con riferimento al perimetro di competenza.
Esamina i rapporti di verifica effettuati dalla Funzione di Controllo di Gruppo, con riferimento al perimetro di competenza.
Di concerto con il Responsabile Gestione Crisi di Gruppo, dichiara lo stato di crisi per il proprio ambito, qualora l’evento impatti su di esso ed effettua le notifiche previste verso l’Autorità di pertinenza.
Verifica l’attivazione del “Piano di Comunicazione per la Gestione delle Crisi”.
Responsabile Gestione Crisi di Gruppo Favorisce l’adozione del modello di riferimento per la gestione delle crisi.
Dichiara formalmente la crisi e il ritorno alla normalità, previo consulto con l’Unità di Crisi.
Presiede l’Unità di Crisi che convoca e supporta nella presa delle decisioni circa le aree di responsabilità ad essa attribuite.
Convoca, in funzione dell’evento occorso, specifiche funzioni aziendali di Gruppo per avere supporto strategico su tematiche di pertinenza, coinvolgendo eventuali soggetti esterni all’Organizzazione che possono risultare necessari per competenza e autorità (Organi di Pubblica Sicurezza, Prefettura, Magistratura, Protezione Civile, Autorità Garanti, ecc.).
Attiva le funzioni competenti per la gestione delle opportune azioni di emergenza.
Garantisce tempestivamente la disponibilità delle risorse necessarie, anche economiche, per la risoluzione della crisi.
Gestisce i contatti con le Organizzazioni e le Istituzioni.
Definisce la strategia di comunicazione verso l’esterno (mass-media, istituzioni, grandi clienti, ecc.) e verso l’interno (Uffici Postali, Filiali, Dipendenti, Famigliari, ecc.) in situazioni di crisi e di concerto con il Referente Piano di Comunicazione garantisce l’esecuzione del “Piano di Comunicazione per la Gestione delle Crisi”.
Agisce sulla base delle migliori informazioni disponibili avvalendosi delle migliori competenze e, se il caso, in collaborazione con il Responsabile Gestione Continuità Operativa ed Emergenze di Gruppo, attiva il “Piano di Continuità Operativa di Gruppo1.
Assicura che i contratti dei fornitori critici e dei fornitori di servizi esternalizzati siano adeguati agli obiettivi sulla gestione delle crisi.
Informa costantemente il Consiglio di Amministrazione e l’Amministratore Delegato sull’evoluzione dell'evento e sulle soluzioni adottate.
Verifica il “Piano annuale dei test sulla gestione delle crisi” ed esamina i risultati delle prove documentati in forma scritta.
Valuta l'opportunità di sottoporre il “Piano di Gestione delle Crisi di Gruppo” alla revisione da parte di competenti terze parti indipendenti.
Funzione di Controllo Vigila sulla completezza, adeguatezza, funzionalità e affidabilità del “Piano di Gestione delle Crisi di Gruppo”. Documenta adeguatamente l’attività di verifica svolta e le evidenze emerse.
Verifica regolarmente il “Piano di Gestione delle Crisi di Gruppo” e il relativo processo di aggiornamento.
Prende visione dei programmi di verifica, assiste alle prove e ne controlla i risultati proponendo modifiche al “Piano di Gestione delle Crisi di Gruppo” sulla base delle mancanze riscontrate.
Esamina i contratti dei fornitori critici e dei fornitori di servizi esternalizzati per accertare che il livello di tutela sia adeguato agli obiettivi sulla gestione delle crisi.
Verifica ex post la congruità dei tempi rilevati per la dichiarazione dello stato di crisi.
Risk Manager di Gruppo Collabora con le competenti funzioni di Risk Management aziendali e con i Risk Manager dei Soggetti Obbligati per gli adempimenti previsti dalle normative di settore.
Supporta il Responsabile Gestione Crisi di Gruppo, in ottica “risk-based strategy”, definendo i livelli di propensione al rischio a livello di Gruppo per tutti gli ambiti, inclusi quelli di riferimento dei Soggetti Obbligati, da sottoporre al CdA di Poste Italiane. Monitora la coerenza del rischio residuo con i livelli di propensione al rischio definiti.
Risk Manager Soggetto Obbligato Di concerto con il Risk Manager di Gruppo, supporta l’azione di gestione delle crisi per quanto di competenza.
Supporta, per quanto di competenza, il Risk Manager di Gruppo nella definizione dei livelli di propensione al rischio, da sottoporre al proprio Consiglio di Amministrazione.
Supporta, per quanto di competenza, il Risk Manager di Gruppo nel monitoraggio della coerenza del rischio residuo con i livelli di propensione al rischio definiti.
Responsabile Gestione Continuità Operativa ed Emergenze di Gruppo Supporta il Responsabile Gestione Crisi di Gruppo nell’attuazione delle misure definite dall’Unità di Crisi.
Unità di Crisi Valuta le minacce e le opportunità nel medio e lungo periodo derivanti dalle azioni intraprese per la gestione della crisi.
Supporta il Responsabile Gestione Crisi di Gruppo nella valutazione dello scenario di crisi ai fini della dichiarazione formale dello stato di crisi e del ritorno alla normalità.
Supporta il Responsabile Gestione Crisi di Gruppo nella definizione e attuazione delle azioni da intraprendere in caso di crisi, nel determinare le priorità nell’allocazione delle risorse, nelle decisioni da intraprendere che hanno implicazioni strategiche nel lungo periodo.
Supporta il Referente Piano di Comunicazione nell’attuazione della strategia di comunicazione verso l’esterno (mass-media, istituzioni, grandi clienti, ecc.) e verso l’interno (Uffici Postali, Filiali, Dipendenti, Famigliari, ecc.).
Pianifica le attività necessarie per il ritorno alla normalità e promuove la condivisione dell’esperienza per favorire il continuo miglioramento per la gestione delle crisi.
Valuta e monitora il processo di gestione delle crisi, assicurando che le priorità siano comprese chiaramente e che le performance e il flusso delle informazioni siano adeguate alla situazione, assicurando che le parti interessate ricevano correttamente le informazioni e che le loro opinioni, consulenze e assistenza siano tempestivamente richieste.
Partecipa alle attività previste nel “Piano annuale dei test sulla gestione delle crisi”.
Responsabile Gestione Incidenti Fornisce supporto operativo all’Unità di Crisi attivando le azioni di risposta definite per gestire un evento di crisi, avvalendosi dell’Unità Gestione Incidenti.
Raccoglie, normalizza e analizza le informazioni da fonti informative interne ed esterne (Social Media, Deep Web, giornali, televisioni, radio, piattaforme di Threat Intelligence, ecc.) per identificare potenziali scenari di crisi, avvalendosi dell’Unità Gestione Incidenti.
Individua, attua e monitora misure preventive e di contenimento per contrastare, mitigare e/o trasferire le criticità associate ai potenziali scenari di crisi, avvalendosi dell’Unità Gestione Incidenti.
Partecipa alle attività previste nel “Piano annuale dei test sulla gestione delle crisi”, avvalendosi dell’Unità Gestione Incidenti.
Team Crisis e Business Continuity Management di Gruppo Redige e aggiorna la “Linea Guida Gestione delle Crisi e della Continuità Operativa di Gruppo”.
Supporta il Responsabile Gestione Crisi di Gruppo per la gestione delle crisi.
Implementa e manutiene il Sistema di Gestione delle Crisi e della Continuità Operativa come dettagliato nell’allegato “Framework Documentale per la Gestione delle Crisi e della Continuità Operativa di Gruppo”.
Redige il “Piano annuale dei test sulla gestione delle crisi”, assicurandone lo svolgimento e la relazione finale.
Redige il “Piano di Gestione delle Crisi di Gruppo”.
Referente Piano di Comunicazione Supporta il Responsabile Gestione Crisi di Gruppo per la definizione della strategia di comunicazione verso l’esterno (mass-media, istituzioni, grandi clienti, ecc.) e verso l’interno (Uffici Postali, Filiali, Dipendenti, Famigliari, ecc.) in situazioni di crisi e ne garantisce l’esecuzione.
Attiva il “Piano di Comunicazione per la Gestione delle Crisi”.
Log Keeper Mantiene un registro delle informazioni chiave, delle decisioni prese e delle azioni svolte afferenti a situazioni di crisi, in rigoroso ordine cronologico.
Custodisce il registro assicurando la riservatezza delle informazioni in esso contenute.
 

1 Durante una crisi possono essere attivate parti del “Piano di Continuità Operativa di Gruppo” a risoluzione parziale della crisi stessa.