Home / Artigo / Gestão de Riscos e Continuidade de Negócios / O que é Business Impact Analysis? Conheça seus desafios e vantagens

O que é Business Impact Analysis? Conheça seus desafios e vantagens

Business Impact Analysis (BIA) é um instrumento que fornece uma imagem clara da criticidade de suas operações de negócios com base nos processos que executam e ajudam a identificar as dependências (ou seja, os sistemas de computador, registros vitais etc) que devam estar em vigor para que esses processos sejam executados.

Em essência, o BIA serve como base para qualquer boa estratégia de continuidade. Depois de entender quais processos de negócios são mais críticos para a subsistência da sua empresa, você poderá usar essas informações para construir uma estratégia eficaz que aborde apenas as áreas que precisam ser recuperadas e o prazo designado para tal.

O que está envolvido no processo de análise? Começa com um questionário elaborado para determinar o impacto monetário e não monetário em cada unidade e seus processos, caso ocorra uma interrupção. Os impactos devem ser avaliados ao longo do tempo (12h, 24h, 48h, 5 dias, mais de 5 dias etc).

Para estimar o impacto em reais para cada processo, as perguntas devem incluir:

– Qual seria a perda de receita?

– Haveria penalidades e/ou multas?

– Haveria aumento nos custos operacionais?

As respostas podem ser em uma escala de 1-5, com 1 sendo de zero a 1 milhão e 5 representando uma quantidade catastrófica.

O impacto não monetário para cada processo pode ser avaliado com perguntas como:

– Como isso afetaria nossa reputação e imagem?

– Qual é o impacto no atendimento ao cliente e nas operações?

Novamente, as respostas podem estar em uma escala de 1 a 5, sendo 1 menos impacto e 5 catastrófica.

Além de avaliar os abalos monetários e não monetários, não se esqueça de identificar e coletar as seguintes informações-chave para cada processo em seu questionário:

– Requisitos legais e regulamentares;

– Expectativas de nível de serviço;

– Sistemas/aplicativos de computadores dependentes;

– Necessidades de equipamentos especializados;

– Dependências internas e externas;

– Registros vitais.

As perguntas que você faz são fundamentais para resultados precisos de BIA. Porém, este processo vai além da aplicação de um questionário. Conduzir um BIA é uma arte, e a verdadeira mágica acontece durante as entrevistas individuais com o pessoal-chave do departamento que conhece os pormenores.

A revisão pessoal dos questionários com aqueles que fazem o trabalho diariamente vai fornecer um “retrato” mais completo e detalhado dos processos e dependências do sistema de uma unidade, levando a uma avaliação criteriosa mais precisa.

Em última análise, as informações coletadas no questionário e nas entrevistas permitirão uma melhor avaliação sobre os impactos cumulativos e não monetários para cada unidade de negócios ao longo do tempo e lhe darão uma noção realista da criticidade do respectivo departamento e dependências associadas.

Assista ao webinar “Como você pode usar a Continuidade de Negócios para gerir riscos, minimizar perdas e preparar-se para crises”, com o especialista Jeferson D’Addario.

Quais são os desafios de conduzir Business Impact Analysis?

– Leve o processo de BIA a sério. Se você ou as pessoas em sua equipe não estão realmente investindo em dedicar tempo e recursos para a continuidade dos negócios, ou simplesmente não veem o valor em fazer esta etapa de pesquisa fundamental, seus esforços de BIA, provavelmente, não serão precisos ou objetivos;

– Para combater um cenário de falta de conhecimento profundo sobre o negócio, é importante dedicar tempo ao trabalho de preparação do BIA e nos certificarmos de ter as pessoas certas na sala quando for a hora das entrevistas individuais.

O que acontece depois da Business Impact Analysis?

É evidente que o BIA compõe um processo maior. O próximo passo é traçar estratégias, soluções e planos de recuperação para as unidades consideradas críticas. Isso pode significar qualquer coisa, desde a contratação de terceiros para serviços alternativos em uma emergência até encontrar um lugar onde seus funcionários possam continuar a trabalhar, caso os serviços específicos do local sejam desativados.

Revisão e análise de informações

De quais recursos humanos e tecnológicos cada processo precisa para operar com sucesso? Identificar isso permitirá que você priorize pessoas e tecnologia, no caso de um processo ser interrompido, em vez de envolver muitas pessoas ou tecnologias desnecessárias. Assim, sua empresa pode identificar os participantes críticos e envolvê-los até que o processo esteja funcionando normalmente.

Qual é o cronograma de recuperação para trazer o processo de volta à operação normalmente (ou o mais próximo do ideal)? Ao fazer essa determinação, você deve considerar quanto tempo levará em termos práticos e qual o prazo que sua equipe precisará para recuperar o processo e evitar mais perdas de reputação ou monetárias, além de identificar quaisquer grandes disparidades entre os dois.

Se houver um processo que você determina que precisa estar em funcionamento em 12 horas para manter sua empresa em operação, e seus recursos atuais só podem colocá-lo em operação em 24 horas, esse é um problema que precisa ser abordado na seção de recomendações do BIA.

No final, você deve ter uma lista de prioridades de processos e sequência de recuperação para funções críticas para que, em caso de qualquer tipo de interrupção, sua empresa possa fazer uma determinação rápida sobre como priorizar a recuperação. Caso o incidente afete todos os departamentos da empresa, a liderança será capaz de determinar no que focar primeiro.

Criação de relatório BIA

Depois que todas essas informações foram analisadas e confirmadas, é recomendável preparar um relatório de BIA para apresentar à alta administração e outras partes interessadas na recuperação de desastres. Este documento é o resultado mais importante da análise de impacto nos negócios. É o que será usado para comunicar as descobertas e recomendações à alta administração, que obtém o poder de fazer alterações no processo de recuperação de desastres.

Você almeja atuar em equipes de continuidade de negócios e quer se tornar um profissional altamente qualificado na área?

Conheça nosso MBA e nossas pós-graduações!

MBA GESTÃO DE RISCOS E CONTINUIDADE DE NEGÓCIOS

GESTÃO DE CONTINUIDADE DE NEGÓCIOS E CRISES

GESTÃO DE RISCOS E COMPLIANCE

Sobre Jeferson D'Addario - CBCP, MBCI, CRISC

mm
Consultor sênior há mais de vinte anos em TI, gestão de riscos e continuidade de negócios, ganhador do prêmio SECMASTER 2006 na categoria “Melhor Contribuição para o Desenvolvimento de Mercado”. Possui mais de 35 projetos de Continuidade de Negócios para empresas líderes no Brasil e Exterior nos últimos dez anos. Certificado como CBCP pelo DRII-USA, MBCI pelo BCI-UK, CRISC pela ISACA, ISO 27001 lead auditor (BSI). Formação em Economia e TI. Foi o responsável por trazer e desenvolver os primeiros cursos de continuidade de negócios oficiais do DRII – Disaster Recovery Institute International para o Brasil em 2005. Desde 2010 é instrutor oficial do DRII e representante executivo para o Brasil. É Membro da ISACA-SP, sendo colaborador na tradução do COBIT 4.1. Possui ampla experiência em Gestão de TIC (ITIL e ISO 20.000) e Govenança de TIC (COBIT, ISO 38500), tendo sido gerente e diretor de TI em empresas nacionais, e participado de projetos de implementação e certificação. Criador, coordenador e professor da Pós-graduação em GTSI - Gestão e Tecnologia em Segurança da Informação, curso DARYUS aplicado na Faculdade Impacta Tecnologia (FIT) – SP/SP, desde 2003, atualmente na turma 15. É sócio-diretor e fundador da DARYUS Consultoria e Treinamento, e atualmente CEO do Grupo DARYUS. Possui ampla experiência em gestão empresarial de negócios, pessoas, educação, gestão de crises, comunicação empresarial, relacionamento executivo e gestão financeira, apoiando executivos de grandes empresas no Brasil em projetos de consultoria. Palestrante, articulista e colaborador em eventos nacionais e internacionais relacionados a GRC, TI, Continuidade e Gestão Empresarial. Foi reconhecido pela Infragard – Califórnia em 2010 pela contribuição na área de segurança da informação para o Brasil. Já lecionou anteriormente para IPEN – Instituto de Pesquisas Nucleares – USP – SP e Instituto Trevisan – SP.

Confira tambem

Dicas de como melhorar o gerenciamento de riscos no trabalho

10 dicas de como melhorar a gestão de riscos da sua empresa

Administrar uma empresa sem ter um processo formal de gestão de riscos, pode ser a diferença entre vencer, perder ou até …

Deixe um comentário

O seu endereço de e-mail não será publicado.