Business Impact Analyse
De Business Impact Analyse (BIA) heeft tot doel de gevolgen te bepalen van die risico’s die een lage waarschijnlijkheid van optreden kennen en een hoge mate van impact hebben op het bedrijfsproces (de calamiteitenrisico’s). De BIA geeft inzicht in de financiële en niet financiële impact per proces, afdeling of business unit.
De uitvoering van een Business Impact Analyse (BIA) is in veel organisaties de eerste echte hindernis bij het inrichten van BCM. De impact van calamiteitenrisico’s is immers niet altijd goed te kwantificeren. Het wordt als ingewikkeld ervaren om schade in geld uit te drukken. En in het geval van niet financiële schade, blijkt de factor reputatieschade lastig te interpreteren. Indien echter voldoende kwalitatief invulling is gegeven aan de processtap Beleid, is er op strategisch niveau draagvlak om met de onzekerheden die voorkomen uit de resultaten van de BIA, om te gaan. Met andere woorden: de organisatie bepaalt zelf de mate van acceptatie voor de resultaten van de BIA.
De BIA maakt inzichtelijk en transparant wat de impact van een calamiteit is en welke kwetsbaarheden zich waar in de organisatie bevinden. Het uitgangspunt in een BIA is de vraag: “welke gevolgschade treedt op als er uitval van het proces plaatsvindt”. Omdat de aard van een calamiteit daarbij niet van primair belang is, is het niet beslist noodzakelijk voorafgaand aan de BIA een risico inventarisatie uit te voeren. De risico inventarisatie kan ook na de BIA plaatsvinden.
De stappen in een BIA
- Stap 1 - Bepalen van de scope (afbakening)
Voor de hanteerbaarheid van het onderzoek, kan het wenselijk zijn bedrijfsprocessen uit te sluiten van de BIA. Bijvoorbeeld door in eerste instantie de primaire processen aan onderzoek te onderwerpen. In een volgende iteratie kan de scope worden uitgebreid met meerdere primaire en/of de secundaire processen.
- Stap 2 - Voorbereiding van de BIA
Het vaststellen van de (kritieke) bedrijfsprocessen en het op een gestructureerde wijze in kaart brengen daarvan. Het definieren van de afhankelijkheden binnen het proces en tussen de processen onderling en het bepalen welke medewerkers en middelen nodig zijn voor de uitvoering van het proces in de business as usual.
- Stap 3 - Uitvoering van de BIA
Het vaststellen van de impact van calamiteiten op de kritieke bedrijfsprocessen door het uitvoeren van gestructureerde interviews met proceseigenaren of procesmanagers op basis van voorgedefinieerde vragenlijsten. Daarbij wordt uitgegaan van de ‘Worst Case Calamiteit’. Alle calamiteiten van kleinere omvang worden hiermee in de maatregelensfeer afgedekt. Leg per proces vast wat de kwalitatieve
en kwantitatieve impact is.
Stel per proces vast wat de Recovery Time Objective (RTO) en Recovery
Point Objective (RPO) zijn. De Recovery Time Objective is de tijd die beschikbaar is om alle hersteltaken inclusief reconstructie van verloren gegane gegevens uit te voeren. De Recovery Point Objective is het punt in de tijd tot welke gegevens hersteld moeten kunnen worden.
Analyseer in welke mate nu aan de gestelde eisen kan worden voldaan en kwantificeer het verbeterpotentieel van de te nemen preventieve en repressieve maatregelen.
- Stap 4 - Rapportage
In de rapportage worden de uitkomsten van de BIA weergegeven. Deze
vormt input voor de Business Case en Benefit Logic.