A Análise de Impacto no Negócio é um processo de análise das atividades e dos efeitos que uma interrupção de negócio pode ter sobre elas, é o ponto de partida da Gestão de Continuidade de Negócios, sendo considerado o processo mais importante dentro do ciclo de gestão.
O que é Análise de Impacto no Negócio BIA?
A definição de Análise de Impacto no Negócio BIA é a identificação e análise de processos de negócios / atividades (incluindo os recursos necessários), com o objetivo de compreender o impacto do tempo de inatividade, o que leva a atribuição de objetivos de recuperação e priorização.
A BIA identifica o que é vital e crítico para o funcionamento do negócio, além de identificar o tempo tolerável de interrupção, calcular os possíveis impactos e a infraestrutura mínima para uma contingência.
Consideram-se como processos vitais em uma organização aqueles que resultam na atividade fim da empresa.
Análise de Impacto no Negócio – BIA é um componente essencial de um processo de Gestão de continuidade de negócios.
Um dos pressupostos básicos da Análise de Impacto no Negócio é que existe dependência entre os processos de uma organização e que alguns são mais cruciais que outros. Por isso, a manutenção desses processos será prioritária durante uma situação de contingência.
Objetivos da Análise de Impacto do Negócio BIA
A Análise de Impacto no Negócio tem por objetivo revelar vulnerabilidades e subsidiar o desenvolvimento de estratégias para minimizar os riscos.
O resultado é um relatório de análise de impacto, que descreve os riscos potenciais específicos para a entidade no caso de uma interrupção do negócio.
O relatório BIA quantifica a importância dos processos do negócio e sugere alocação de recursos adequados para protegê-los.
Análise de Impacto no Negócio Identificará:
- Critérios para aferir a relevância e criticidade dos processos;
- Atividades críticas realizadas em cada processo;
- Necessidades de demandas regulatórias;
- Dependências de sistemas e pessoas;
- Impactos financeiros (perdas) que poderiam ocorrer se estes processos fossem suspensos; e
- Impactos operacionais (segurança, por exemplo), legais de imagem (como “satisfação do cliente”), finalizando com a verificação da existência de contingência.
Aspectos a serem considerados
Na Análise de Impacto de Negócios deve ser contemplado o tempo real de recuperação para cada atividade crítica dentro da organização. Para tal, os aspectos a seguir devem ser considerados:
- Identificação de riscos e definição de cenários possíveis de falha para cada processo crítico, levando em conta a probabilidade de ocorrência de cada falha;
- Duração dos efeitos e consequências resultantes;
- Custos inerentes e os limites máximos aceitáveis de permanência da falha sem a ativação da respectiva medida de contingência.
Análise de Impacto no Negócio deve contemplar:
- Breve resumo dos processos críticos e descrição das principais atividades;
- Perfil e quantidade dos profissionais envolvidos;
- Dependências entre os processos da organização;
- Tecnologias que suportam as atividades;
- Impactos de localidade (onde é realizada a atividade);
- Impactos financeiros, legais, operacionais e de imagem ocasionados por uma ruptura;
- Critérios para priorização dos processos em face do tipo de impacto (financeiro, legal, operacional ou imagem);
- Priorização por impacto;
- Definição do nível de criticidade, ou seja, da gravidade das consequências do impacto, para cada atributo (impacto no setor e impacto corporativo, por exemplo);
- Definição de um tempo de recuperação;
- Determinação dos acordos com fornecedores e parceiros externos de produtos e serviços dos quais as atividades críticas dependam.
Aspectos observados na Análise de Impacto no Negócio
Na avaliação do resultado do BIA devem ser observados os seguintes aspectos:
- Aumento de custo operacional;
- Perda de oportunidade de negócio;
- Impacto ao bem-estar das pessoas;
- Dano ou perda de instalações, tecnologia ou informação;
- Não cumprimento de deveres ou regulamentação;
- Danos à reputação;
- Danos à viabilidade financeira;
- Deterioração da qualidade de produtos ou serviços; e
- Danos ambientais.
A partir do BIA, a entidade deve identificar as medidas que reduzam o período de interrupção (mitigação de perdas e tratamento de riscos) e seus custos.
Fases da implantação da Análise de Impacto no Negócio BIA
a) Definição do projeto
A entidade deve definir o responsável pela sua implantação e sua autoridade, escopo, objetivos e prazos.
b) Elaboração do questionário
A elaboração de um questionário para coleta das informações subsidia a análise do BIA na identificação dos impactos resultantes de interrupções ao longo do tempo, dos recursos necessários para recuperação e da existência ou não de rotinas para situações de contingência.
É uma boa prática conjugar no questionário questões qualitativas e quantitativas.
Não existe uma receita de questionário pronta, aplicável a qualquer organização, no entanto os seguintes itens podem constar do questionário:
- número de colaboradores envolvidos,
- custo da operação por período,
- prejuízo por tempo parado,
- aspectos legais de uma interrupção de serviço,
- aspectos de imagem e demais prejuízos intangíveis.
Elaboradas as questões, os critérios devem ser definidos: se o entrevistado responder perguntas pela atribuição de valores, por exemplo, de 1 a 5, é imprescindível explicar a distinção destas cinco notas.
Não é raro que o mesmo evento seja avaliado de uma forma pelos colaboradores de nível funcional mais operacional e de outra pela alta administração.
c) Entrevista
Elaborado o questionário, parte-se para a entrevista. Os melhores resultados, com esclarecimento de questões e respostas coerentes, são obtidos quando a entrevista é realizada diretamente com o responsável por uma atividade crítica.
d) Determinação do Tempo de recuperação
Determinação dos “tempos reais de recuperação” (RTO – Recovery Time Objectives) somente depois de identificadas todas as interdependências processuais.
O Recovery Time Objective – RTO ou tempo real de recuperação é o período dentro do qual um processo deve ser estabelecido após um incidente, a fim de evitar consequências inaceitáveis relacionadas com uma quebra na continuidade dos negócios.
Pode incluir o tempo para tentar corrigir o problema sem uma recuperação, a recuperação em si, testes e comunicação para os usuários.
A título de exemplo, com o resultado do questionário é possível concluir que para a atividade crítica “A” o tempo máximo aceitável de interrupção é de dois dias, porém, o tempo máximo aceitável de interrupção para a atividade crítica “B” é de um dia.
Além disso, esta atividade não pode ser recuperada sem a ajuda da atividade crítica “A”. Isso significa que o tempo real de recuperação para “A” será um dia e não dois.
e)Estabelecimento do “ponto real de recuperação
Estabelecimento do “ponto real de recuperação” (RPO – Recovery Point Objective) Recovery Point Objective – RPO ou ponto real de recuperação é definido pelo período máximo de tolerância em que informações podem ser perdidas ou ficarem indisponíveis devido a um incidente.
➡ Deixe seu comentário logo abaixo, de sua opinião e contribua com o artigo.
➡ Se gostou, curta e compartilhe as publicações com seus colegas pelas redes sociais.
As atitudes acima (comentar, curtir e compartilhar) nos ajudam a manter o Blog e a continuar as publicações de artigos de forma gratuita para todos.
Forte abraço e sucesso na sua vida e carreira profissional!
José Sérgio Marcondes – Autor Artigo
Referencias Bibliográficas
ARBELÀEZ, César A. Duque. “Gerência de Crises e Planos de Emergência”. Seminário Internacional realizado no Bureau Internacional de Negócios. São Paulo: abril de 2006.
ROPPER, Carl A. Risk Management for security professionals. Boston: Butteworth, 1999.
"? Fique por Dentro! Junte-se ao Nosso Grupo de WhatsApp!
Quer ser o primeiro a receber todas as atualizações do nosso blog? Então, não perca tempo! Junte-se ao nosso Grupo de WhatsApp agora mesmo e esteja sempre atualizado(a) com as últimas postagens.
Sobre o Autor
0 Comentários