Business Impact Analysis
Analýza dopadů (Business Impact Analysis, BIA) je proces analýzy činností organizace a dopadů, které mohou být způsobeny jejich narušením.
Úvod
Analýza dopadů (BIA) je základem celého procesu řízení kontinuity činností organizace (Business Continuity Management, BCM). Sestává z technik a metod, pomocí kterých se hodnotí jaké dopady by na organizaci a další zainteresované strany mělo narušení dodávek klíčových produktů nebo služeb organizace a jejich podpůrných kritických činností. Součástí BIA je stanovení minimálních úrovní zdrojů potřebných pro obnovení kritických činností ve stanovených časech a na stanovených úrovních.
Při hodnocení dopadů na organizaci v případě narušení kritických činností se berou v úvahu spíše následky než příčiny. Dopady na organizaci a jejich vývoj v čase se posuzuje dle vhodných vodítek. Vybraná vodítka musí být vhodná pro danou organizaci; vodítka finanční instituce se budou lišit od vodítek orgánu státní správy. Vodítka pro hodnocení dopadů mohou být například finanční ztráta, dopad na dodávky služeb, poškození nebo ztráta pověsti, nesplnění zákonných nebo regulačních povinností, atd.
Závěry z analýzy dopadů společně s hodnocením rizik narušení kritických činností organizace jsou základem pro strategie řízení kontinuity činností, které umožňují identifikovat různé varianty a způsoby obnovy kritických činností organizace v požadovaných časech v případě jejich narušení.
Analýza dopadů by měla být přezkoumávána v pravidelných intervalech nebo při podstatných změnách v organizaci a prostředí, v němž organizace působí.
Kroky BIA
V průběhu analýzy dopadů (BIA) by organizace ve stanoveném rozsahu měla:
- identifikovat činnosti, které podporují dodávku jejích klíčových produktů a služeb;
- ohodnotit dopady, pokud dojde k narušení těchto činností, a vývoj těchto dopadů v čase;
- určit pro každou identifikovanou činnost maximální tolerovanou dobu narušení činnosti (Maximum Tolerable Period of Disruption, MTPD nebo také Maximum Tolerable Outage, MTO), po kterou jsou dopady pro organizaci ještě akceptovatelné, tj. po kterou ještě není životaschchopnost organizace ohrožena v případě narušení dodávek produktů nebo služeb;
- identifikovat kritické činnosti a určit priority jejich obnovy na základě předchozích kroků určení dopadu a MTPD pro jednotlivé činnosti. Za kritické činnosti lze považovat činnosti s největšími dopady v nejkratších časech. Tyto činnosti by měly být obnoveny co nejdříve;
- pro každou kritickou činnost určit lhůtu její obnovy na požadovanou (částečnou nebo plnou) úroveň (Recovery Time Objective, RTO). Nastavení RTO je na rozhodnutí vedení organizace. Pro jeho stanovení je nutné zvážit s tím spojené náklady na obnovu. Optimální hodnotou RTO může být hodnota, kdy se finanční ztráta, způsobená narušením činnosti, rovná nákladům na její obnovu. Stanovená lhůta obnovy (RTO) kritické činnosti musí být menší její identifikovaná maximální tolerované době narušení (MTPD); a
- určit minimální úroveň zdrojů potřebných k obnově každé kritické činnosti. Zdroje mohou například zahrnovat lidi, budovy, technologie, informace či dodávky služeb.
Odkazy
Reference
- BS 25999-1:2006, Business continuity management – Part 1: Code of practice. London: British Standards Institution, 2006. Dostupné online.
- BS 25999-2:2007, Business continuity management – Part 2: Specification. London: British Standards Institution, 2007. Dostupné online.
- Business continuity management: Good practice guidelines, The Business Continuity Institute. [s.l.]: [s.n.], 2010. Dostupné v archivu pořízeném dne 2010-03-31. Archivováno 31. 3. 2010 na Wayback Machine
- HB 292:2006, A practitioners Guide to Business Continuity Management. [s.l.]: Standards Australia, 2006. Dostupné online.
- PAS 56:2003 Guide to Business Continuity Management. London: British Standards Institution, překlad a interpretaci pro české prostředí vytvořila společnost Risk Analysis Consultants, 2003. Dostupné v archivu pořízeném dne 2010-05-11. ISBN 0580413705. S. 54. Archivováno 11. 5. 2010 na Wayback Machine
- SHARP, John. Jak postupovat při řízení kontinuity činností. Praha: překlad a interpretace pro české prostředí Risk Analysis Consultants, 2009. Dostupné online. ISBN 978-80-254-3992-0. S. 117.