Analiza utjecaja na poslovanje (BIA) je stalni proces kojim se određuju i procjenjuju potencijalni učinci prekida na kritične poslovne operacije kao posljedica nekog oblika nesreće ili nekog izvanrednog stanja. BIA je izuzetno bitna komponenta plana svake uspješne organizacije za nastavak poslovanja. U svojoj osnovi uključuje istraživačku komponentu koja otkriva sve ranjivosti, te komponentu planiranja za razvoj strategija za minimiziranje rizika. Rezultat je izvješće o analizi utjecaja na poslovanje koje opisuje potencijalne rizike specifične za svaku organizaciju.
Jedna od osnovnih pretpostavki BIA-e je da se svaka komponenta organizacije oslanja na kontinuirano funkcioniranje svake druge komponente uvažavajući kako su neke od komponenti važnije od drugih, te zahtijevaju opsežniju raspodjelu sredstava nakon nekog izvanrednog događaja. Na primjer, svaka tvrtka može nastaviti funkcionirati više ili manje normalno ukoliko se kantina iz nekog nepredviđenog razloga mora zatvoriti, ali će se svaka tvrtka potpuno zaustaviti ukoliko se IT sustav sruši te informaciji postanu nedostupne.
Kako provoditi BIA-u
Ne postoje formalni standardi za upotrebu BIA. Metodologija se može razlikovati od organizacije do organizacije. BIA je općenito višefazni proces koji uključuje sljedeće korake:
Prilikom izrade BIA najčešće se koristi detaljan upitnik ili anketa koja se obično razvija kako bi se identificirali ključni poslovni procesi, resursi, odnosi i druge informacije koje će biti bitne za procjenu mogućeg utjecaja izvanrednog stanja.
Analiza rezultata BIA-e
Ciljevi faza analize BIA-e su odrediti najvažnije poslovne funkcije i sustave, osoblje i tehnološke resurse potrebne za optimalno funkcioniranje organizacije, te njihov vremenski okvir u kojem se funkcije trebaju oporaviti kako bi se organizacija vratila najbliže normalnom radnom stanju.
Izazovi ovoj fazi uključuju određivanje utjecaja poslovne funkcije na prihode i kvantificiranje dugoročnog utjecaja gubitaka na npr. tržišni udio, poslovni kredibilitet ili npr. klijente. Utjecaji koje treba razmotriti uključuju odgodu prodaje ili prihoda, povećane troškove rada, regulatorne kazne, ugovorne kazne kao i nezadovoljstvo kupaca.
Izvješće o analizi utjecaja na poslovanje obično sadrži sažetak, informacije o metodologiji za prikupljanje i analizu podataka, detaljne nalaze o različitim poslovnim jedinicama i funkcionalnim područjima, grafikone i dijagrame koji ilustriraju potencijalne gubitke i preporuke za oporavak. Izvješće daje prioritet najvažnijim poslovnim funkcijama, ispituje utjecaj prekida poslovanja, navodi pravne i regulatorne zahtjeve, detalje prihvatljive razine zastoja i gubitaka te navodi vremenske ciljeve oporavka ili Recovery Time Objectives (RTO) kao i kontrolne točke ciljeva oporavka ili Recovery Point Objectives (RPO). Izvješće bi trebalo navesti redoslijed aktivnosti potrebnih za obnovu poslovanja.
Management organizacije pregledava izvješće kako bi osmislio plan kontinuiteta poslovanja i strategiju oporavka od izvanrednog stanja koja uzima u obzir maksimalno dopuštene zastoje za važne poslovne funkcije kao i prihvatljive gubitke u područjima kao što su podaci, financije i poslovni ugled. Management organizacije trebao bi periodično pregledavati i ažurirati BIA-u kako se poslovanje mijenja u skladu s tržišnim/tehnološkim/organizacijskim promjenama.
Uloga BIA u planiranju oporavka
Kao dio plana za oporavak od izvanrednog događaja, BIA će nastojati identificirati troškove povezane s kvarovima, kao što su npr. gubitak novčanog toka iz poslovanja, zamjena kritične i neophodne opreme, trošak plaća isplaćene za nadoknadu zaostalih poslova, gubitak profita, gubitak podataka, itd. Izvješće BIA kvantificira važnost poslovnih komponenti i predlaže odgovarajuću raspodjelu sredstava za mjere zaštite. Mogućnosti kvarova procijeniti će se u smislu njihovih utjecaja u područjima kao što su sigurnost, financije, marketing, poslovni ugled, poštivanje zakona kao i osiguranje kvalitete. Tamo gdje je to moguće, učinak se treba izraziti u novčanom obliku u svrhu lakše i kvalitetnije usporedbe. Na primjer, tvrtka može potrošiti tri puta više na marketing nakon nekog neželjenog izvanrednog događaja kako bi obnovila poslovanje ali i povjerenje klijenata/kupaca. BIA treba procijeniti učinak izvanrednog događaja tijekom vremena i pomoći uspostaviti strategije oporavka, prioritete i zahtjeve za potrebne resurse i vrijeme.
BIA u odnosu na procjenu rizika
Analiza utjecaja na poslovanje ili BIA i procjena rizika dva su različita ali isto važna koraka u planu kontinuiteta poslovanja. BIA se najčešće odvija prije procjene rizika. BIA se također usredotočuje na učinke kao i posljedice prekida na ključne poslovne funkcije, te pokušava kvantificirati financijske i nefinancijske troškove povezane s nekim nepredviđenim izvanrednim događajem. Procjena utjecaja na poslovanje bavi se onim dijelovima organizacije koji su najvažniji za redovno funkcioniranje svake pojedine organizacije. BIA može poslužiti kao polazna točka za strategiju oporavka od nekog izvanrednog događaja i ispitati vremenske ciljeve oporavka (RTO) kao i kontrolne točke ciljeva oporavka (RPO), te resurse i materijale potrebne za nastavak redovnog poslovanja.
Procjena rizika identificira potencijalne opasnosti kao što su vremenske nepogode, potres, požar, neuspjeh dobavljača, nestanak uslužnog programa ili cyber napad, te procjenjuje područja ranjivosti u slučaju opasnosti. Sredstva izložena riziku uključuje ljude, imovinu, opskrbni lanac, informacijsku tehnologiju, poslovni ugled i ugovorne obveze. Tijekom procjene rizika pregledavaju se točke slabosti koje čine sredstva podložnija šteti. Kao produkt procjene rizika može se razviti strategija ublažavanja kako bi se smanjila vjerojatnost da će neki oblik opasnosti imati značajan utjecaj na poslovanje organizacije.
Tijekom faze procjene rizika, rezultati BIA-e mogu se ispitati u odnosu na različite scenarije opasnosti, a potencijalni poremećaji mogu biti prioritetni na temelju vjerojatnosti opasnosti i vjerojatnosti negativnog utjecaja na poslovanje. BIA se može koristiti za opravdanje ulaganja u prevenciju i ublažavanje, kao i za strategije oporavka od izvanrednih događaja.
Prikupljene informacije mogu uključivati opis glavnih aktivnosti koje poslovne jedinice obavljaju, subjektivno rangiranje važnosti specifičnih procesa, imena ili oblici organizacija koje ovise o procesima za normalno poslovanje, procjene kvantitativnog učinka povezanog s određenom poslovnom funkcijom kao i nefinancijski utjecaj gubitka funkcije, kritičnih informacijskih sustava i njihovih korisnika, članova osoblja potrebnih za oporavak važnih sustava, te vremena i koraka potrebnih da se poslovna jedinica oporavi i vrati normalno radno stanje.
Pitanja koja treba istražiti tijekom faze otkrivanja uključuju međuovisnosti između sustava, poslovnih procesa i organizacionih cjelina, značaj rizika od neuspjeha, odgovornosti povezane s sporazumima na razini usluge, osoblje i prostor koji mogu biti potrebni na mjestu oporavka, posebnim zalihama ili potrebna komunikacijska oprema te upravljanje gotovinom i likvidnošću potrebnim za oporavak.
BIA za informacijsku tehnologiju može započeti s identifikacijom aplikacija koje podržavaju bitne poslovne funkcije, međuovisnosti između postojećih sustava, mogućih točaka neuspjeha i troškova povezanih s možebitnim kvarom sustava. Faza analize ispituje rizike i određuje prioritetne zahtjeve za neprekidnim radnim vremenom, te RTO i RPO.