Business Impact Analysis (BIA) ili Analiza utjecaja na poslovanje
Više o autoru na https://gorankrmpotic.eu/
Analiza utjecaja na poslovanje (BIA) je stalni proces kojim se određuju i procjenjuju potencijalni učč inci prekida na kritičč ne poslovne operacije kao posljedica nekog oblika nesrečć e ili nekog izvanrednog stanja. BIA je izuzetno bitna komponenta plana svake uspješne organizacije za nastavak poslovanja. U svojoj osnovi uključč uje istražč ivačč ku komponentu koja otkriva sve ranjivosti, te komponentu planiranja za razvoj strategija za minimiziranje rizika. Rezultat je izvješčć e o analizi utjecaja na poslovanje koje opisuje potencijalne rizike specifičč ne za svaku organizaciju. Jedna od osnovnih pretpostavki BIA-e je da se svaka komponenta organizacije oslanja na kontinuirano funkcioniranje svake druge komponente uvažavajući kako su neke od komponenti važč nije od drugih, te zahtijevaju opsežniju raspodjelu sredstava nakon nekog izvanrednog događaja. Na primjer, svaka tvrtka možč e nastaviti funkcionirati više ili manje normalno ukoliko se kantina iz nekog nepredviđenog razloga mora zatvoriti, ali čć e se svaka tvrtka potpuno zaustaviti ukoliko se IT sustav sruši te informaciji postanu nedostupne.
Kako provoditi BIA-u Ne postoje formalni standardi za upotrebu BIA. Metodologija se možč e razlikovati od organizacije do organizacije. BIA je opčć enito višefazni proces koji uključč uje sljedečć e korake:
GORAN KRMPOTIĆ
1
Prilikom izrade BIA najčešće se koristi detaljan upitnik ili anketa koja se običč no razvija kako bi se identificirali ključč ni poslovni procesi, resursi, odnosi i druge informacije koje čć e biti bitne za procjenu mogučć eg utjecaja izvanrednog stanja.
Analiza rezultata BIA-e Ciljevi faza analize BIA-e su odrediti najvažč nije poslovne funkcije i sustave, osoblje i tehnološke resurse potrebne za optimalno funkcioniranje organizacije, te njihov vremenski okvir u kojem se funkcije trebaju oporaviti kako bi se organizacija vratila najbližč e normalnom radnom stanju. Izazovi ovoj fazi uključč uju određivanje utjecaja poslovne funkcije na prihode i kvantificiranje dugoročč nog utjecaja gubitaka na npr. tržč išni udio, poslovni kredibilitet ili npr. klijente. Utjecaji koje treba razmotriti uključč uju odgodu prodaje ili prihoda, povečć ane troškove rada, regulatorne kazne, ugovorne kazne kao i nezadovoljstvo kupaca. Izvješčć e o analizi utjecaja na poslovanje običč no sadržč i sažč etak, informacije o metodologiji za prikupljanje i analizu podataka, detaljne nalaze o različč itim poslovnim jedinicama i funkcionalnim područč jima, grafikone i dijagrame koji ilustriraju potencijalne gubitke i preporuke za oporavak. Izvješčć e daje prioritet najvažč nijim poslovnim funkcijama, ispituje utjecaj prekida poslovanja, navodi pravne i regulatorne zahtjeve, detalje prihvatljive razine zastoja i gubitaka te navodi vremenske ciljeve oporavka ili Recovery Time Objectives (RTO) kao i kontrolne točke ciljeva oporavka ili Recovery Point Objectives (RPO). Izvješčć e bi trebalo navesti redoslijed aktivnosti potrebnih za obnovu poslovanja.
GORAN KRMPOTIĆ
2
Management organizacije pregledava izvješčć e kako bi osmislio plan kontinuiteta poslovanja i strategiju oporavka od izvanrednog stanja koja uzima u obzir maksimalno dopuštene zastoje za važč ne poslovne funkcije kao i prihvatljive gubitke u područč jima kao što su podaci, financije i poslovni ugled. Management organizacije trebao bi periodičč no pregledavati i ažč urirati BIA-u kako se poslovanje mijenja u skladu s tržišnim/tehnološkim/organizacijskim promjenama.
Uloga
BIA
u
planiranju
oporavka
Kao dio plana za oporavak od izvanrednog događaja, BIA čć e nastojati identificirati troškove povezane s kvarovima, kao što su npr. gubitak novčč anog toka iz poslovanja, zamjena kritične i neophodne opreme, trošak plačć a isplačć ene za nadoknadu zaostalih poslova, gubitak profita, gubitak podataka, itd. Izvješčć e BIA kvantificira važč nost poslovnih komponenti i predlažč e odgovarajučć u raspodjelu sredstava za mjere zaštite. Mogučć nosti kvarova procijeniti će se u smislu njihovih utjecaja u područč jima kao što su sigurnost, financije, marketing, poslovni ugled, poštivanje zakona kao i osiguranje kvalitete. Tamo gdje je to mogučć e, učč inak se treba izraziti u novčanom obliku u svrhu lakše i kvalitetnije usporedbe. Na primjer, tvrtka možč e potrošiti tri puta više na marketing nakon nekog neželjenog izvanrednog događaja kako bi obnovila poslovanje ali i povjerenje klijenata/kupaca. BIA treba procijeniti učč inak izvanrednog događaja tijekom vremena i pomočć i uspostaviti strategije oporavka, prioritete i zahtjeve za potrebne resurse i vrijeme.
BIA
u
odnosu
na
procjenu
rizika
Analiza utjecaja na poslovanje ili BIA i procjena rizika dva su različita ali isto važna koraka u planu kontinuiteta poslovanja. BIA se najčešće odvija prije procjene rizika. BIA se također usredotočč uje na učč inke kao i posljedice prekida na ključč ne poslovne funkcije, te pokušava kvantificirati financijske i nefinancijske troškove povezane s nekim nepredviđenim izvanrednim događajem. Procjena utjecaja na poslovanje bavi se onim dijelovima organizacije koji su najvažč niji za redovno funkcioniranje svake pojedine organizacije. BIA možč e poslužč iti kao polazna točč ka za strategiju oporavka od nekog izvanrednog događaja i ispitati vremenske ciljeve oporavka (RTO) kao i kontrolne točke ciljeva oporavka (RPO), te resurse i materijale potrebne za nastavak redovnog poslovanja. Procjena rizika identificira potencijalne opasnosti kao što su vremenske nepogode, potres, požč ar, neuspjeh dobavljačč a, nestanak uslužč nog programa ili cyber napad, te procjenjuje područč ja ranjivosti u slučč aju opasnosti. Sredstva izložč ena riziku uključč uje ljude, imovinu, opskrbni lanac, informacijsku tehnologiju, poslovni ugled i ugovorne obveze. Tijekom procjene
GORAN KRMPOTIĆ
3
rizika pregledavaju se točč ke slabosti koje čč ine sredstva podložč nija šteti. Kao produkt procjene rizika
može se razviti strategija ublažč avanja kako bi se smanjila vjerojatnost da čć e neki oblik opasnosti imati značč ajan utjecaj na poslovanje organizacije. Tijekom faze procjene rizika, rezultati BIA-e mogu se ispitati u odnosu na različč ite scenarije opasnosti, a potencijalni poremečć aji mogu biti prioritetni na temelju vjerojatnosti opasnosti i vjerojatnosti negativnog utjecaja na poslovanje. BIA se možč e koristiti za opravdanje ulaganja u prevenciju i ublažč avanje, kao i za strategije oporavka od izvanrednih događaja. Prikupljene informacije mogu uključč ivati opis glavnih aktivnosti koje poslovne jedinice obavljaju, subjektivno rangiranje važč nosti specifičč nih procesa, imena ili oblici organizacija koje ovise o procesima za normalno poslovanje, procjene kvantitativnog učč inka povezanog s određenom poslovnom funkcijom kao i nefinancijski utjecaj gubitka funkcije, kritičč nih informacijskih sustava i njihovih korisnika, čč lanova osoblja potrebnih za oporavak važč nih sustava, te vremena i koraka potrebnih da se poslovna jedinica oporavi i vrati normalno radno stanje. Pitanja koja treba istražč iti tijekom faze otkrivanja uključč uju međuovisnosti između sustava, poslovnih procesa i organizacionih cjelina, značč aj rizika od neuspjeha, odgovornosti povezane s sporazumima na razini usluge, osoblje i prostor koji mogu biti potrebni na mjestu oporavka, posebnim zalihama ili potrebna komunikacijska oprema te upravljanje gotovinom i likvidnošću potrebnim za oporavak. BIA za informacijsku tehnologiju možč e započč eti s identifikacijom aplikacija koje podržč avaju bitne poslovne funkcije, međuovisnosti između postoječć ih sustava, mogučć ih točč aka neuspjeha i troškova povezanih s možebitnim kvarom sustava. Faza analize ispituje rizike i određuje prioritetne zahtjeve za neprekidnim radnim vremenom, te RTO i RPO.
GORAN KRMPOTIĆ
4