O que é uma Business Impact Analysis (BIA)?
Estratégias do Business Impact Analysis
Operações baseadas em processos executam e ajudam a identificar dependências
Líderes empresariais conhecem bem o pensamento estratégico como um todo. Estratégias operacionais, de crescimento, liderança, entre outras. Todas são essenciais para o sucesso da companhia. Mas e quanto à sua estratégia de continuidade de negócios? O número de ameaças externas em potencial que a sua empresa enfrenta diariamente é muito real, e sua estratégia para gerenciar essas ameaças deve ser tão bem definida e cuidadosamente planejada quanto qualquer outra.
Mas, então, o que é uma Business Impact Analysis (BIA)? É um instrumento que fornece uma imagem clara da criticidade de suas operações de negócios com base nos processos que executam e ajudam a identificar as dependências - ou seja, os sistemas de computador, registros vitais etc - que devam estar em vigor para que esses processos sejam executados. Em essência, o BIA serve como base para qualquer boa estratégia de continuidade. Depois de entender quais processos de negócios são mais críticos para a subsistência da sua empresa, você poderá usar essas informações para construir uma estratégia eficaz que aborde apenas as áreas que precisam ser recuperadas e o prazo designado para tal.
O que está envolvido no processo de análise? Começa com um questionário elaborado para determinar o impacto monetário e não monetário em cada unidade e seus processos - por exemplo, o call center, o departamento de contabilidade ou as operações -, caso ocorra uma interrupção. Os impactos devem ser avaliados ao longo do tempo (12h, 24h, 48h, 5 dias, mais de 5 dias etc).
Para estimar o impacto em reais para cada processo, as perguntas devem incluir:
- Qual seria a perda de receita?
- Haveria penalidades e/ou multas?
- Haveria aumento nos custos operacionais?
As respostas podem ser em uma escala de 1-5, com 1 sendo de zero a 1 milhão e 5 representando uma quantidade catastrófica.
O impacto não monetário para cada processo pode ser avaliado com perguntas como:
- Como isso afetaria nossa reputação e imagem?
- Qual é o impacto no atendimento ao cliente e nas operações?
Novamente, as respostas podem estar em uma escala de 1 a 5, sendo 1 menos impacto e 5 catastrófica.
Além de avaliar os abalos monetários e não monetários, não se esqueça de identificar e coletar as seguintes informações-chave para cada processo em seu questionário:
- Requisitos legais e regulamentares;
- Expectativas de nível de serviço;
- Sistemas/aplicativos de computador dependentes;
- Necessidades de equipamentos especializados;
- Dependências internas e externas;
- Registros vitais.
As perguntas que você faz são fundamentais para resultados precisos de BIA. Porém, este processo vai além da aplicação de um questionário. Conduzir um BIA é uma arte, e a verdadeira mágica acontece durante as entrevistas individuais com o pessoal-chave do departamento que conhece os pormenores. A revisão pessoal dos questionários com aqueles que fazem o trabalho diariamente vai fornecer um “retrato” mais completo e detalhado dos processos e dependências do sistema de uma unidade, levando a uma avaliação criteriosa mais precisa.
Em última análise, as informações coletadas no questionário e nas entrevistas permitirão uma melhor avaliação sobre os impactos cumulativos e não monetários para cada unidade de negócios ao longo do tempo. E lhe darão uma noção realista da criticidade do respectivo departamento e dependências associadas.
Quais são os desafios de conduzir BIAs?
a) Leve o processo de BIA a sério. Se você ou as pessoas em sua equipe não estão realmente investindo em dedicar tempo e recursos para a continuidade dos negócios, ou simplesmente não veem o valor em fazer esta etapa de pesquisa fundamental, seus esforços de BIA, provavelmente, não serão precisos ou objetivos;
b) Para combater um cenário de falta de conhecimento profundo sobre o negócio, é importante dedicar tempo ao trabalho de preparação do BIA e nos certificarmos de ter as pessoas certas na sala quando for a hora das entrevistas individuais.
O que acontece depois da BIA?
É evidente que o BIA compõe um processo maior. O próximo passo é traçar estratégias, soluções e planos de recuperação para as unidades consideradas críticas. Isso pode significar qualquer coisa, desde a contratação de terceiros para serviços alternativos em uma emergência até encontrar um lugar onde seus funcionários possam continuar a trabalhar, caso os serviços específicos do local sejam desativados.
Revisão e análise de informações
De quais recursos humanos e tecnológicos cada processo precisa para operar com sucesso? Isso permitirá que você priorize pessoas e tecnologia, no caso de um processo ser interrompido, em vez de envolver muitas pessoas ou tecnologias desnecessárias. Assim, sua empresa pode identificar os participantes críticos e envolvê-los até que o processo esteja funcionando normalmente.
Qual é o cronograma de recuperação para trazer o processo de volta à operação normalmente (ou o mais próximo do ideal)? Ao fazer essa determinação, você deve considerar quanto tempo levará em termos práticos e qual o prazo que sua equipe precisará para recuperar o processo e evitar mais perdas de reputação ou monetárias, além de identificar quaisquer grandes disparidades entre os dois.
Se houver um processo que você determina que precisa estar em funcionamento em 12 horas para manter sua empresa em operação, e seus recursos atuais só podem colocá-lo em operação em 24 horas, esse é um problema que precisa ser abordado na seção de recomendações do BIA.
No final, você deve ter uma lista de prioridades de processos e sequência de recuperação para funções críticas para que, em caso de qualquer tipo de interrupção, sua empresa possa fazer uma determinação rápida sobre como priorizar a recuperação. Caso o incidente afete todos os departamentos da empresa - um ou alguns -, a liderança será capaz de determinar no que focar primeiro.
Criação de relatório BIA
Depois que todas essas informações foram analisadas e confirmadas, é recomendável preparar um relatório de BIA para apresentar à alta administração e outras partes interessadas na recuperação de desastres. Este documento é o resultado mais importante da análise de impacto nos negócios. É o que será usado para comunicar as descobertas e recomendações à alta administração, que obtém o poder de fazer alterações no processo de recuperação de desastres.
Referências:
CEO na Cosafe LATAM. Comunicação e Gestão de Crises.
1 aDaniele Lopes
CEO Grupo DARYUS | Consultor Sênior em Continuidade de Negócios, GRC & Cibersegurança | Professor de MBA | Palestrante | Top Voice | CISO | Conselheiro Consultivo | Presidente IDESP
1 aParabéns! Show, agrega bastante para o mercado. Precisamos orientar mais e pedir mais esta prática nas empresas para que possamos melhorar ainda mais os diagnósticos e preparação para enfrentar situações adversas.