Definition

Análisis de impacto al negocio o BIA

El análisis de impacto empresarial (BIA) es un proceso sistemático para determinar y evaluar los efectos potenciales de una interrupción de las operaciones comerciales críticas como resultado de un desastre, accidente o emergencia. Un BIA es un componente esencial del plan de continuidad comercial de una organización. Incluye un componente exploratorio para revelar cualquier vulnerabilidad y un componente de planificación para desarrollar estrategias para minimizar el riesgo. El resultado es un informe de análisis de impacto empresarial, que describe los riesgos potenciales específicos de la organización estudiada.

Uno de los supuestos básicos detrás de BIA es que cada componente de la organización depende del funcionamiento continuo de todos los demás componentes, pero que algunos son más cruciales que otros y requieren una mayor asignación de fondos a raíz de un desastre. Por ejemplo, una empresa puede continuar con más o menos normalidad si la cafetería tiene que cerrar, pero se detendría por completo si el sistema de información falla.

Es fácil confundir BIA y análisis de riesgos, pero representan diferentes pasos en un plan de continuidad empresarial.

Cómo realizar un BIA

No existen estándares formales para un BIA. La metodología puede variar según la organización. Un BIA es generalmente un proceso de varias fases que incluye los siguientes pasos:

  • Reunir información
  • Evaluar la información recopilada
  • Preparar un informe para documentar los hallazgos
  • Presentar los resultados a la alta dirección

Una organización puede optar por subcontratar el BIA a un tercero capacitado o puede incluir personal interno y externo en el equipo del proyecto.

Por lo general, se desarrolla un cuestionario o una encuesta detallados para identificar los procesos comerciales, los recursos, las relaciones y otros detalles críticos. Esta información es esencial para evaluar el impacto potencial de un evento disruptivo. Se puede llevar a cabo una sesión educativa para el personal clave con conocimiento del negocio. La información se puede recopilar de diversas formas, incluidas entrevistas en persona y encuestas automatizadas. Pueden ser necesarias entrevistas de seguimiento.

Analizando los resultados de un BIA

Los objetivos de la fase de análisis de BIA son determinar las funciones y sistemas comerciales más cruciales, el personal y los recursos tecnológicos necesarios para que las operaciones funcionen de manera óptima y el marco de tiempo dentro del cual las funciones deben recuperarse para que la organización restaure las operaciones lo más cerca posible a un estado de trabajo normal. El análisis puede ser manual o asistido por computadora.

Los desafíos incluyen determinar el impacto en los ingresos de una función comercial y cuantificar el impacto a largo plazo de las pérdidas en la participación de mercado, la imagen comercial o los clientes. Los impactos a considerar incluyen ventas o ingresos retrasados, mayores gastos laborales, multas regulatorias, sanciones contractuales e insatisfacción del cliente.

El informe de análisis de impacto al negocio generalmente incluye un resumen ejecutivo, información sobre la metodología para la recopilación y el análisis de datos, hallazgos detallados sobre las diversas unidades comerciales y áreas funcionales, gráficos y diagramas para ilustrar pérdidas potenciales y recomendaciones para la recuperación. El informe prioriza las funciones comerciales más importantes, examina el impacto de las interrupciones comerciales, especifica los requisitos legales y reglamentarios, detalla los niveles aceptables de tiempo de inactividad y pérdidas, y enumera los objetivos de tiempo de recuperación (RTO) y los objetivos de punto de recuperación (RPO). El informe puede enumerar el orden de las actividades necesarias para restaurar el negocio.

La alta dirección revisa el informe para diseñar un plan de continuidad empresarial y una estrategia de recuperación ante desastres. Esto debe tener en cuenta el tiempo de inactividad máximo permitido para funciones comerciales importantes y las pérdidas aceptables en áreas como datos, finanzas y reputación. Los altos directivos deben revisar y actualizar el BIA periódicamente a medida que cambian las operaciones comerciales

El papel de BIA en la planificación de la recuperación ante desastres

Como parte de un plan de recuperación ante desastres, es probable que un BIA identifique los costos relacionados con las fallas, como la pérdida de flujo de efectivo, el reemplazo de equipos, los salarios pagados para ponerse al día con el trabajo atrasado, la pérdida de ganancias, personal y datos, y más. Un informe BIA cuantifica la importancia de los componentes comerciales y sugiere una asignación de fondos adecuada para las medidas que los protejan. Es probable que las posibilidades de fallas se evalúen en términos de sus impactos en áreas como seguridad, finanzas, marketing, reputación comercial, cumplimiento legal y garantía de calidad.

Siempre que sea posible, el impacto se expresa monetariamente con fines de comparación. Por ejemplo, una empresa puede gastar tres veces más en marketing después de un desastre para reconstruir la confianza del cliente. El BIA debe evaluar el impacto de un desastre a lo largo del tiempo y ayudar a establecer estrategias de recuperación, prioridades y requisitos de recursos y tiempo.

BIA versus evaluación de riesgos

El análisis de impacto empresarial y la evaluación de riesgos son dos pasos importantes en un plan de continuidad empresarial (BCP). A menudo, un BIA tiene lugar antes de una evaluación de riesgos. El BIA se enfoca en los efectos o consecuencias de la interrupción de las funciones críticas del negocio e intenta cuantificar los costos financieros y no financieros asociados con un desastre. La evaluación de impacto empresarial analiza las partes de la organización que son más cruciales. Un BIA puede servir como punto de partida para una estrategia de recuperación ante desastres y examinar los objetivos de tiempo de recuperación (RTO) y los objetivos de punto de recuperación (RPO), y los recursos y materiales necesarios para la continuidad del negocio.

Una evaluación de riesgos identifica peligros potenciales. Estos pueden incluir huracanes, terremotos, incendios, fallas de proveedores, cortes de servicios públicos o ataques cibernéticos y evaluar áreas de vulnerabilidad, en caso de que ocurra el peligro. Los activos puestos en riesgo incluyen personas, propiedad, cadena de suministro, tecnología de la información, reputación comercial y obligaciones contractuales. Se revisan los puntos débiles que hacen que un activo sea más propenso a sufrir daños. Se puede desarrollar una estrategia de mitigación para reducir la probabilidad de que un peligro tenga un impacto significativo.

Durante la fase de evaluación de riesgos, los hallazgos de BIA pueden examinarse contra varios escenarios de peligro, y las posibles interrupciones pueden priorizarse en función de la probabilidad del peligro y la probabilidad de un impacto adverso en las operaciones comerciales. Un BIA se puede utilizar para justificar inversiones en prevención y mitigación, así como estrategias de recuperación de desastres.

La información recopilada puede incluir una descripción de las principales actividades que realizan las unidades de negocio, clasificaciones subjetivas de la importancia de procesos específicos, nombres u organizaciones que dependen de los procesos para las operaciones normales, estimaciones del impacto cuantitativo asociado con una función de negocio específica y el impacto no financiero de la pérdida de la función, los sistemas de información críticos y sus usuarios, los miembros del personal necesarios para recuperar los sistemas importantes y el tiempo y los pasos necesarios para que una unidad de negocio se recupere a un estado de funcionamiento normal.

Datos que debe recopilar el cuestionario de análisis de impacto empresarial

  1. El "padre funcional" del proceso, puede ser un departamento o una ubicación.
  2. El nombre del proceso y una descripción detallada del proceso.
  3. Lista de todas las entradas y salidas del proceso.
  4. Definición del tiempo máximo de interrupción permitido antes de que ocurra el impacto.
  5. Descripciones del impacto financiero y operativo experimentado durante una interrupción.
  6. Recursos humanos y tecnológicos necesarios para apoyar el proceso, incluidas computadoras, redes, oficinas, personas, etc.
  7. Una descripción del impacto en el cliente de los procesos externos o internos, y una lista de departamentos que dependen de los resultados del proceso.
  8. Explicación de cualquier impacto legal o reglamentario que pueda crearse en una interrupción.
  9. Descripción de cortes pasados y los impactos asociados con cada uno.
  10. Descripción de los procedimientos alternativos o las opciones de cambio de trabajo a otros departamentos o trabajadores remotos, según corresponda.

Las preguntas para explorar durante la fase de descubrimiento incluyen interdependencias entre sistemas, procesos comerciales y departamentos, la importancia del riesgo de puntos de falla, responsabilidades asociadas con acuerdos de nivel de servicio, personal y espacio que pueden ser necesarios en un sitio de recuperación, suministros especiales o equipos de comunicación necesarios y gestión de efectivo y liquidez necesarios para la recuperación.

Un BIA para la tecnología de la información puede comenzar con la identificación de aplicaciones que respaldan las funciones comerciales esenciales, las interdependencias entre los sistemas existentes, los posibles puntos de falla y los costos asociados con la falla del sistema. La fase de análisis examina los riesgos y prioriza los requisitos de tiempo de actividad, así como RTO y RPO.

Cuando se completa la recopilación de información, la fase de revisión comienza en consulta con los líderes empresariales que pueden validar los hallazgos. Se puede usar una hoja de cálculo para almacenar y organizar información, como detalles de entrevistas, descripciones de procesos comerciales, costos estimados y plazos de recuperación esperados e inventarios de equipos. Puede resultar útil un diagrama de procesos y sistemas comerciales importantes, así como un análisis del flujo de trabajo. Puede prepararse un informe preliminar para obtener comentarios antes del informe final.

Para más información sobre cómo elaborar análisis de impacto al negocio, consulten estos dos enlaces:

https://searchdatacenter.techtarget.com/es/consejo/Diez-errores-comunes-en-el-analisis-de-impacto-al-negocio-BIA

https://searchdatacenter.techtarget.com/es/tutoriales/Guia-y-plantilla-gratuitas-de-analisis-de-impacto-al-negocio-BIA

 

Este contenido se actualizó por última vez en enero 2021

Investigue más sobre DR y BC

ComputerWeekly.com.br
Close