Kolejne kroki – etap 2. (BIA)
Tomasz Guzikowski
Etap 1. realizacji wdrożenia systemu zarządzania ciągłością działania
(cz. 3. artykułu w poprzednim numerze a&s) zamykał się opracowaniem polityki ciągłości działania dla obszarów objętych wdrożeniem BCMS. Czas na omówienie kolejnych kroków w etapie 2.
Celem analizy wpływu na biznes (BIA – Business Impact Analysis) jest określenie oddziaływania, jakie na działalność organizacji mogą mieć przerwy w funkcjonowaniu krytycznych procesów biznesowych, spowodowane wystąpieniem sytuacji kryzysowych. Analiza BIA służy zidentyfikowaniu, z punktu widzenia biznesowego, Krytycznych Procesów Biznesowych (CBP – Critical Business Processes) realizowanych przez spółkę. Można je zidentyfikować, oszacowując maksymalne prawdopodobne straty finansowe i straty niefinansowe, wynikające z przerw w realizacji procesów biznesowych, przy założeniu najgorszego scenariusza zdarzeń.
Analiza BIA ma również na celu przygotowanie danych wejściowych do budowy planów awaryjnych, w tym planów ciągłości działania (BCP – Business Continuity Plan) i planów odtworzeniowych po katastrofie (DRP – Disaster Recovery Plan) po wystąpieniu sytuacji kryzysowej. Proces przeprowadzenia analiz BIA można podzielić na następujące etapy:
1. Klasyfikacja Procesów Biznesowych funkcjonujących w Spółce
Celem etapu jest identyfikacja procesów biznesowych wspierających realizację usług/produktów spółki oraz realizowanych w nich zadań/czynności (tzw. podprocesy),
2. Ocena Procesów Biznesowych, czy klasyfikują się one jako Krytyczne Procesy Biznesowe
Na tym etapie analizuje się zidentyfikowane procesy biznesowe i ocenia, czy klasyfikują się one jako krytyczne procesy biznesowe. Oceny dokonuje się na podstawie odpowiedzi na pytanie, czy przerwanie procesów może spowodować znaczne straty finansowe lub niefinansowe dla spółki oraz, potencjalnie, utratę ciągłości działania (TAK / NIE).
3. Analiza Krytycznych Procesów Biznesowych
• Identyfikacja zależności i powiązań
Identyfikacja zależności i powiązań Krytycznych Procesów Biznesowych polega na wskazaniu:
– wszystkich dostawców niezbędnych do realizacji danego krytycznego procesu biznesowego: wewnętrznych (inne jednostki organizacyjne) oraz zewnętrznych (podmioty zewnętrzne),
– wszystkich interesariuszy (zewnętrznych i wewnętrznych) wyników danego procesu biznesowego,
– krytycznych dostawców, bez których funkcjonowanie procesu biznesowego nie byłoby możliwe nawet na minimalnym akceptowalnym poziomie funkcjonalności.
• Identyfikacja Krytycznych Zasobów wymaganych do zapewnienia funkcjonowania na Minimalnym Akceptowalnym Poziomie Krytycznych Procesów Biznesowych
Należy wskazać wszystkie krytyczne zasoby, którymi spółka musi dysponować, aby zapewnić funkcjonowanie krytycznych procesów biznesowych. Analizie podlegają następujące zasoby: informacje, oprogramowanie, sprzęt IT, siedziba i personel.
4. Identyfikacja strat wynikających z przerwy w funkcjonowaniu Krytycznych Procesów Biznesowych
Identyfikacja wpływu wynikającego z przerwy w funkcjonowaniu krytycznych procesów biznesowych i zmian tego wpływu w czasie jest analizą na poziomie biznesowym – polega na oszacowaniu strat finansowych i niefinansowych.
Straty należy podać na podstawie jak najbardziej realnych szacunków, przy założeniu możliwie najgorszego scenariusza, czyli wystąpienia sytuacji kryzysowej w najbardziej krytycznym okresie w roku i najbardziej krytycznej porze dnia.
• Wyznaczenie przedziałów czasowych na potrzeby określenia strat
Podstawą do oszacowania strat finansowych oraz niefinansowych jest określenie przedziału czasowego, w którym straty będą szacowane. Przykładowy przedział czasowy analizy obejmuje okres niefunkcjonowania Krytycznych Procesów Biznesowych od 1 h do 7 dni:
a) 1 h,
b) 4 h,
c) 8 h,
d) 24 h,
e) 48 h (2 dni),
f) 72 h (3 dni),
g) 168 h (7 dni).
• Straty finansowe
Szacowanie strat finansowych odbywa się poprzez określenie wartości strat wynikłych na skutek przerwy w funkcjonowaniu Krytycznych Procesów Biznesowych. Należy określić wysokość potencjalnych strat dla wszystkich przedziałów czasowych zdefiniowanych w poprzednim punkcie. W przypadku gdy organizacja nie ponosi straty w zakresie poszczególnego rodzaju strat, należy wpisać n/d (nie dotyczy).
Po etapie szacowania strat finansowych należy zdefiniować skalę przeliczającą kwoty finansowe na wartości skali. Skalę należy rozpisać w przedziale od 0 zł do maksymalnej wartości strat, otrzymanej w wyniku przeprowadzenia analizy.
Przykładowa skala przeliczająca zamieszczona poniżej:
1. od 0 do 50 000
2. od 50 000 do 100 000
3. od 100 000 do 500 000
4. od 500 000 do 1 000 000
5. od 1 000 000 do 10 000 000
Rodzaje strat finansowych:
– koszt pracowników (np. koszt etatu),
– koszt utraty danych (np. koszt odtworzenia),
– koszt odzyskania systemu (np. koszt odtworzenia infrastruktury, sprzętu, oprogramowania),
– koszt outsourcingu (zakupu usługi na zewnątrz),
– koszty prawne (np. kary umowne, odszkodowania, odsetki karne, koszt obsługi prawnej),
– utrata przychodu z powodu niefunkcjonowania usługi (np. utrata zysków, prowizji),
– wartość utraconych odsetek od kapitału (np. odsetki od lokat, którymi nie możemy zarządzać),
– inne.
• Straty niefinansowe
Przed przystąpieniem do określania strat niefinansowych należy zdefiniować wartości skali opisujących straty niefinansowe. Przykłady strat niefinansowych:
a. satysfakcja interesariuszy: liczba nieusatysfakcjonowanych klientów:
1 – od 1 do 10,
2 – od 10 do 50,
3 – od 50 do 100,
4 – od 100 do 250,
5 – od 250 do 1000.
b. wpływ na wizerunek spółki:
1 – utrata wizerunku w bezpośrednim otoczeniu organizacji – kilka osób,
2 – utrata wizerunku w bezpośrednim otoczeniu organizacji – komórka organizacyjna,
3 – utrata wizerunku w bezpośrednim otoczeniu organizacji – Grupa Kapitałowa,
4 – utrata wizerunku na rynku lokalnym/regionalnym/media,
5 – utrata wizerunku na rynku krajowym/media.
c. wypełnianie warunków umownych:
1 – mały lub brak wpływu,
2 – niewypełnienie do 10 umów,
3 – niewypełnienie powyżej 10 umów, mniej niż 100,
4 – niewypełnienie powyżej 100 umów, mniej niż 200,
5 – niewypełnienie powyżej 200 umów.
• Określenie wskaźników RTO i RPO
Na podstawie wyników analizy strat finansowych oraz niefinansowych wyznacza się wskaźniki czasu, w jakim należy wznowić proces przerwany w wyniku awarii (RTO – Recovery Time Objective) oraz parametr określający akceptowalny poziom utraty danych/zasobów wyrażony w czasie (RPO – Recovery Point Objective) dla Krytycznych Procesów Biznesowych.
Kluczowym zadaniem jest określenie wartości wskaźnika krytyczności (WK), dla której procesy biznesowe są zaliczane do procesów krytycznych.
Wskaźnik krytyczności oblicza się wg wzoru:
WK = 0,7 x wartość strat finansowych + 0,3 x wartość strat niefinansowych
(po uśrednieniu).
|
 |
Zobacz inne artykuły tego autora:
System Zarządzania Ciągłością Działania (BCMS). Cz. 3. Kolejne kroki – etap 1.
System Zarządzania Ciągłością Działania (BCMS). Cz. 2. Od czego zacząć?
System Zarządzania Ciągłością Działania (BCMS). Cz. 1.
