Het belang van een (correcte) uitvoering van een Business Impact Analyse (BIA) werd in de vorige blog van deze serie toegelicht. Nadat u aan het senior management heeft uitgelegd waarom een BIA essentieel is voor uw organisatie kunt u beginnen met de planning en de uitvoering daarvan, maar waar moet u beginnen? In deze tweede blog leg ik uit hoe u een BIA uitvoert.
Betrek relevante stakeholders
Bij de werkzaamheden die u zult moeten uitvoeren voor de BIA heeft u inbreng nodig van verschillende stakeholders. Het is van belang dat u goed nadenkt over de stakeholders die u bij dit proces moet betrekken. Zo heeft u bijvoorbeeld voor het in kaart brengen van kritieke bedrijfsprocessen input nodig van de proceseigenaren, maar ook van de operationele ondersteuning. Ik raad u daarom aan om bij elke stap stil te staan, en na te denken wie hier verantwoordelijk is of wie hier verantwoordelijk zou moeten zijn.
Inventariseer kritieke bedrijfsprocessen
Het eerste wat u moet doen bij de uitvoering van de BIA is het inventariseren van alle (kritieke) bedrijfsprocessen. Naast de inventarisatie van deze processen zult u ook moeten nadenken over welke resources u nodig heeft om deze processen continu te blijven uitvoeren. Hierbij kunt u, onder andere, denken aan belangrijke leveranciers en kritieke applicaties.
Definieer en kwantificeer uw impact
Alvorens, gelijktijdig of nadien de inventarisatie van de bedrijfsprocessen zult u de impact moeten definiëren en kwantificeren. Hiertoe kiest u ‘impact categorieën’ die voor uw business belangrijk zijn en vervolgens kwantificeert u de mogelijke impact.
Dit kan er als volgt uitzien:
Merk & reputatie |
|
Geen impact |
Geen schade voor merk en reputatie |
Lage impact |
Negatieve reviews van enkele klanten (< 10) |
Gemiddeld |
Negatieve reviews van meerdere klanten (10 - 250) |
Hoge impact |
Negatieve reviews van veel klanten (> 250) |
Kritieke impact |
Negatief trending op social media/ negatief in landelijke berichtgeving |
Finance |
|
Geen impact |
Geen financieel verlies |
Lage impact |
< €10.000 |
Gemiddeld |
€10.000 - €50.000 |
Hoge impact |
€50.000 - €100.000 |
Kritieke impact |
> €100.000 |
Nadat u samen met de relevante stakeholders, voor alle, voor u belangrijke, categorieën een kwantificatie heeft aangebracht, is het aan senior management om te bepalen welk niveau van impact nog net acceptabel is voor uw business.
Verbind uw acceptabele impact aan uw processen
Nadat u de kritieke bedrijfsprocessen en de acceptabele impact in kaart heeft gebracht, zult u voor elke kritiek bedrijfsproces moeten bepalen welke impact plaatsvindt, wanneer deze voor een specifieke tijd niet geleverd kan worden. Dit doet u in vastgestelde tijdsvakken, bijvoorbeeld:
- Onderbreking van < 4 uur
- Onderbreking van < 1 dag
- Onderbreking van < 3 dagen
- Onderbreking van < 1 week
- Onderbreking van < 1 maand
Wanneer u dit naast uw eerder vastgestelde ‘nog net’ acceptabele impact niveau legt, weet u precies hoe lang een kritiek bedrijfsproces onderbroken mag zijn, voordat uw business impact ondergaat die u niet kunt of niet wilt accepteren. Deze tijd noemt men ‘maximum acceptable outage’ (MAO). Naast een MAO kunt ook een ‘recovery time objective’ vaststellen, dit is een tijd waarin u de business zou willen herstellen om bepaalde impact te voorkomen.
Voer leveranciers- en applicatieassessments uit
Omdat u voor elke kritiek bedrijfsproces een inventarisatie heeft gemaakt, weet u nu precies hoe lang een bepaalde resource niet beschikbaar mag zijn, voordat uw business daar onacceptabele gevolgen van ondervindt. Deze informatie kunt u gebruiken om de continuïteit van uw resources op orde te brengen, door onder andere assessments op de verschillende resources uit te voeren.
Business Continuïteitsplan (BCP)
Na het uitvoeren van de BIA en het opstellen van continuïteitvoorwaarden, kunt u een BCP opstellen om te voorkomen dat de business door een calamiteit of een dreiging wordt onderbroken. U geeft dus antwoord op de volgende vraag: wat heeft u (altijd) nodig om uw business te continueren? In de volgende blog van deze serie zullen we hier dieper op in gaan.
Tot slot
Een correcte uitvoering van de BIA moet tot een passend BCP leiden die de continuïteit van uw business te allen tijde zal waarborgen. Iets wat op zichzelf al de tijd en het geld waard is, want de ongewenste onderbreking van uw business kan vaak snel in de kosten oplopen. Nu u weet waarom een BIA belangrijk is voor uw organisatie en hoe u de BIA moet uitvoeren, wilt u vast meer weten over het opstellen van continuïteitsvoorwaarden en het maken van een BCP. Dat leest u in de derde blog van deze serie van vier.