BIA - Bedrijfsimpactanalyse

BIA - Bedrijfsimpactanalyse

Middelen zijn de zuurstof van uw bedrijf...

Resources - de zuurstof van uw bedrijf

„Mensen kunnen ongeveer 40 dagen overleven zonder voedsel, bijna vijf dagen zonder drinken, en slechts enkele minuten zonder zuurstof. Als er geen zuurstoftoevoer naar de hersenen is, treden al na enkele seconden duizeligheid en toenemend bewustzijnsverlies op, en permanente hersenbeschadiging na vier minuten.“ (Dr. Hans Morschitzky).

Hoe lang kan uw bedrijf overleven als een tijdkritisch proces tien minuten, een uur of zelfs drie dagen uitvalt door een ernstige gebeurtenis?

Op welk punt komt uw bedrijf vitale zuurstof tekort?
Het antwoord wordt gegeven door een Business Impact Analyse (BIA). Door gekwalificeerde compilatie van informatie over bedrijfsprocessen en verzameling van verdere kerninformatie is het een geschikt instrument om (potentiële) effecten op bedrijfsprocessen, hun interactie-effectiviteit en herstarttijden na ernstige gebeurtenissen te bepalen. Het bepaalt welke bedrijfsprocessen en middelen nodig zijn om het voortbestaan van uw bedrijf te garanderen.

De BIA documenteert niet alleen de gevolgen voor bedrijfsactiviteiten, diensten en producten, maar bepaalt ook kerncijfers en streefwaarden voor bedrijfscontinuïteit, die als basis dienen voor noodplannen. De Recovery Time Objective (RTO), bijvoorbeeld, bepaalt de streeftermijn voor de hervatting van bedrijfsprocessen of andere dienstverlening. De Maximum Tolerable Period of Distribution (MTPD) daarentegen bepaalt de maximaal toelaatbare duur van een storing. Daarnaast worden interne en externe afhankelijkheden geregistreerd.

Bij significante veranderingen in de structuur van de bedrijfsactiviteiten, zoals de invoering van een nieuw product of productieproces of een verandering van locatie, kan de BIA worden gebruikt als een nuttig instrument om ongewone gebeurtenissen af te wegen en zo nodig de negatieve effecten ervan te beperken. Op deze manier wordt een hoge mate van veerkracht van uw bedrijf gewaarborgd, zelfs bij grote veranderingen.

Bij het uitvoeren van een business impact analyse laten wij ons leiden door de drie essentiële stappen:

1.Bepaal de randvoorwaarden voor het uitvoeren van een business impact analyse (BIA)
2.Uitvoeren van de bedrijfseffectrapportage (BIA)
3. Cyclisch bijwerken van de bedrijfseffectanalyse (BIA)

Voorwaarde voor het uitvoeren van een BIA

Een veelbelovende BIA is een belangrijk onderdeel van Business Continuity Management en vergt aanzienlijke inspanningen gedurende het gehele proces. In de voorbereiding wordt echter veel tijd en capaciteit geïnvesteerd. Zorgvuldig gekozen parameters die zijn afgestemd op de behoeften en nauwkeurig zijn beschreven, alsmede zinvolle schadecriteria (bv. financieel, reputatie, regelgeving en operationeel) vormen een goede basis. De betrokkenheid van verdere deskundigen en het gebruik van gespecialiseerde software zorgen voor een hoge kwaliteit van het BIA-resultaat.

Bij de voorbereiding van de interviews die in het kader van de BIA met de bedrijfsafdelingen moeten worden gehouden, moet documentatie en informatie van thematisch verwante gebieden zoals IT, risico- en toeleveringsketenbeheer worden geraadpleegd. Op die manier kan de last van het verzamelen van de vereiste gegevens aanzienlijk worden verminderd en kan meervoudige gegevensverzameling worden vermeden. Het gebruik van verschillende methoden voor gegevensverzameling in de diensten, zoals workshops, vragenlijsten en interviews, verduidelijkt de stappen van BCM en zorgt zo voor transparantie. Het doel en de doelstelling van een BIA worden ook duidelijk gemaakt.

Een duidelijk door het management gedefinieerde scope, de zogenaamde BIA scope, is zeer tijdrovend om vooraf vast te stellen, maar garandeert de focus op kritische bedrijfsprocessen en leidt daardoor in het algemeen tot minder onderzoeksinspanningen. De definitie van de BIA scope kan ook worden gebaseerd op de producten of diensten, ongeacht de bedrijfsprocessen. De producten en diensten waaraan prioriteit moet worden gegeven, zijn die welke in noodgevallen moeten worden bediend of geleverd omdat zij een hoog verkoopvolume genereren. Tijdgevoelige klantsegmenten moeten hier apart worden beschouwd.

Uitvoeren van de bedrijfsimpactanalyse

Bij het begin van de business impact analyse is de scope ervan gedefinieerd. Dit maakt duidelijk welke organisatorische eenheden en bedrijfsprocessen als bijzonder tijdkritisch worden beschouwd en welke in een noodsituatie kunnen worden verwaarloosd. Sommige onderdelen van de onderneming hoeven in de BIA niet in aanmerking te worden genomen vanwege hun geringe omvang of relevantie. Hoewel de verschillende onderdelen van de onderneming allemaal van elkaar afhankelijk zijn, zullen sommige processen in een noodsituatie eerder worden verwaarloosd of overbodig zijn dan andere. Voor het behoud van de onderneming in een noodoperatie ligt de nadruk daarom in de eerste plaats op de tijdkritische kernprocessen.

De omvang (producten of diensten) waarmee rekening moet worden gehouden, wordt bepaald door het management in het kader van eenstrategische BIA conform ISO-norm 22317. De tijdkritische processen die nodig zijn voor de levering van producten en diensten en hun procesafhankelijkheden, maatregelen en herstartvereisten worden geïdentificeerd in de tactische BIA.

De operationele BIA wordt gebruikt om de vereiste middelen te bepalen. Deze omvatten bijvoorbeeld:

  • Aantal benodigde noodwerkplekken
  • IT-toepassingen met herstartparameters
  • Dienstverleners
  • Personeelsmiddelen
  • Vaardigheden en machtigingen
  • Individuele gegevensverwerking en fysieke documentatie
  • Infrastructuur - technische apparatuur en materialen

Dat wordt gevolgd door de conceptualiseringsfase voor de BIA. In deze fase worden de effecten gedefinieerd in effectcategorieën, de reikwijdte van de middelen, alsmede de beschouwde periode en de niveaus van de bedrijfsprocessen. Bestaande middelencatalogi, zoals de IT-dienstencatalogus, of lijsten van dienstverleners kunnen worden gebruikt.

In deze stap wordt de passende reikwijdte en methodologie voor gegevensverzameling in de afdelingen gekozen. De definitie van verantwoordelijkheden en de aanwijzing van proceseigenaren en hun informatie is van bijzonder belang. De aangewezen proceseigenaren hebben de taak om de gegevensverzameling volledig mogelijk te maken met behulp van materiedeskundigen uit hun bedrijfsonderdelen.

Een door BCM geprefabriceerde en individueel op de behoeften van het bedrijf toegesneden BIA-vragenlijst analyseert de status quo in een workshop of interview met de bedrijfseenheid. De structuur en de inhoud van de vragenlijst moeten gericht zijn op de monetaire en niet-monetaire relevantie van de onderzochte bedrijfsprocessen. Tijdens het BIA-interview moet er speciaal op worden gelet dat de deelnemers zich ervan bewust zijn dat een buitengewone gebeurtenis wordt geanalyseerd met het perspectief van een worst case op de bedrijfsactiviteiten van de afdeling.

Als alle informatie definitief is verzameld, kan het testen beginnen. Hier kristalliseren zich de speciale vereisten voor noodbediening en worden deze gedocumenteerd. In de daaropvolgende kwaliteitsborging door de BC-manager wordt de BIA-vragenlijst gecontroleerd op volledigheid en begrijpelijkheid van de beoordelingen door de afdeling en worden transversale kwesties, zoals de overerving van de herstarttijden naar stroomopwaartse processen, geconsolideerd. Uit de bepaling door de BIA blijkt hoe hoog de kriticiteit en de hersteltijd van de middelen van de tijdkritische bedrijfsprocessen zijn. De resultaten worden ter goedkeuring voorgelegd aan het management in de vorm van een BIA-rapport.

Het BIA-resultaat brengt de knowhow van de verschillende afdelingen samen in een goed gestructureerd BIA-proces en toont hun resultaten. De verzamelde gegevens uit de IT-dienstencatalogus kunnen bijvoorbeeld worden vergeleken met de IT-toepassingen en individuele gegevensverwerkingsonderzoeken uit de BIA en beter worden toegewezen aan de bedrijfsprocessen. Deze specifieke IT-eisen worden vervolgens, na consolidatie, doorgegeven aan IT Service Continuity Management. Daar wordt dan de ITSCM-levenscyclus gestart. Zo kunnen bestaande afhankelijkheden van dienstverleners en fysieke documentatie worden geïdentificeerd en met behulp van de BIA inzichtelijk worden gemaakt voor BCM en beheer. Dit biedt aanknopingspunten voor efficiënt interfacebeheer en het gebruik van synergie-effecten.

De BIA onthult de streefstand van de herstarttijden van tijdkritische middelen. Daarna volgt een beoordeling van de beschikbare oplossingsmogelijkheden en risicobeperkende maatregelen. Deze worden gepresenteerd in een oplossingsconcept.

Cyclische actualisering van de BIA

De eerste professionele BIA vergt veel inspanning. Het gedetailleerd verzamelen van gegevens, een goede voorbereiding en het koppelen van interfaces en andere informatiedragers vormen de basis voor een veelbelovende implementatie.

Bij volgende BIA's kan worden voortgebouwd op bestaande resultaten of daaraan worden gekoppeld om een geactualiseerd resultaat te bepalen. Bijgevolg hoeft het proces niet voor elke audit in zijn geheel te worden herhaald; het volstaat om de kritische bedrijfsprocessen die door een organisatorische ontwikkeling worden beïnvloed, grondig door te lichten en andere steekproefsgewijs te vergelijken met de vorige resultaten. De betrokken afdeling moet er altijd nauw bij worden betrokken. De bijwerkingsinspanning neemt af, waardoor in de volgende jaren tijd en capaciteit wordt bespaard.

Conclusie

Met een goed uitgevoerde business impact analyse weet u altijd wanneer en hoeveel "zuurstof", "water" en "voedsel" u nodig heeft voor het functioneren van uw bedrijf.

Een goed voorbereide en professioneel uitgevoerde BIA, die regelmatig wordt aangepast aan veranderende randvoorwaarden, creëert betrouwbare transparantie voor uw bedrijfsleiding en de afdelingen. De verkregen inzichten in tijdkritische bedrijfsprocessen, hun kwetsbaarheden en mogelijke maatregelen om de weerbaarheid te vergroten, vormen een belangrijke toegevoegde waarde van de BIA. Aangezien relevante factoren in het bedrijf in de loop der tijd kunnen veranderen, is een cyclische of ad hoc update noodzakelijk.

Zo heeft u altijd een overzicht van hoe lang uw bedrijf zonder zuurstof kan. Dus: Hoe lang overleeft u nog?