Анализ воздействия на деятельность /Business Impact Analysis

Инструкция по Business Impact Analysis

Анализ воздействия на деятельность /Business Impact Analysis

Не все знают, с чего и когда начать воплощать планы по непрерывности бизнеса в жизнь. Я обычно говорю так: когда возможные потери выше затрат на противодействие угрозе — пора принимать меры, затраты на них будут адекватными. И наоборот.

Если со стоимостью противодействия все более-менее понятно, то оценка потерь — задача нетривиальная.

Я приглашаю вас за кулисы проекта по оценке влияния чрезвычайных ситуаций на бизнес (Business Impact Analysis — BIA) и разработке стратегии обеспечения непрерывности ИТ на примере крупного ритейлера. Итак, поехали.

Начало

Мы участвовали в проекте X5 Retail Group — крупнейшего ритейлера России. Компания управляет сетями «Пятерочка», «Карусель» и «Перекресток».

У нее уже была своя политика по управлению рисками прерывания деятельности, которая содержала в себе:

  1. страхование рисков;
  2. формирование антикризисного управления;
  3. минимизация рисков жизни и здоровью людей;
  4. контроль рисков управляемости бизнесом;
  5. подготовка планов восстановления ИТ-систем при чрезвычайных ситуациях.

В соответствии с этой политикой для централизованной ИТ-инфраструктуры необходимо было разработать планы непрерывности ИТ-сервисов и аварийного восстановления ИТ.

Идеальным решением было бы построить резервный ЦОД, установить синхронную репликацию, настроить автоматизацию аварийного переезда и в час «Ч» смотреть на экране, как последовательно ИТ-системы переезжают в резервный ЦОД и загораются зеленые лампочки, сигнализируя, что опасности для бизнеса нет.

Но с учетом экономики процесса компания предположила, что адекватной мерой на случай чрезвычайной ситуации будет резервирование только самых критичных ИТ-систем, без которых магазины не смогут работать и в компании начнутся значительные финансовые потери.

Возникает важный вопрос — какие именно системы и за какое время должны восстанавливаться?
ИТ-департамент заказчика определил классификацию ИТ-систем и допустимое время восстановления каждой системы.

Однако позже было принято решение провести полноценную оценку влияния чрезвычайных ситуаций на бизнес компании (BIA) согласно ISO 22301 и лучшим практикам.

Объем и границы

Театр начинается с вешалки, а BIA — с определения объема работ. Для этого нужно обследовать бизнес-процессы компании, ее услуги, финансовую отчетность, взаимоотношения с партнерами, клиентами и контрагентами.

Затем определить и согласовать те ключевые бизнес-процессы и услуги, которые войдут в границы проекта. От объема зависит продолжительность и стоимость BIA.

При этом наш опыт подсказывает, что не стоит растягивать проект больше, чем на 9 месяцев.

В нашем случае заказчик уже определил границы, выбрав наиболее значимые для торговой деятельности бизнес-процессы.

Интервью

После того как зафиксированы границы и рамки BIA, определяется перечень заинтересованных лиц от бизнес- и других подразделений, с которыми требуется провести интервью. Очень важно собрать сведения от разных департаментов, чтобы получить объективную картину процессов в компании, понять, как они работают, получить оценку «а что будет, если…».

На этом этапе мы получаем сведения, как именно бизнес-процессы зависят от ИТ и строим матрицу этих зависимостей. Также представители бизнеса и заинтересованные в бизнес-процессе стороны оценивают последствия, вероятный ущерб, возможные сценарии развития событий.

Для этого мы разработали специальную анкету и опросили около 50 респондентов (представили 50 презентаций о самом проекте, провели, получили и обработали все заполненные анкеты).

Бизнес-процессы

Параллельно с интервьюированием мы описали бизнес-процессы, причем с учетом времени выполнения отдельных операций и глубиной проработки, достаточной для дальнейшего анализа.

Разбиение процесса на более мелкие составляющие и конкретные операции необходимо для того, чтобы понять, как ИТ-система влияет на конкретный процесс в разное время суток и разное время года.

На этом этапе важно понимать, что мы не описываем бизнес-процессы согласно ГОСТ или иной методологии. Мы не занимаемся оптимизацией бизнес-процессов и в целом не даем рекомендаций по улучшению бизнес-процессов, по крайней мере, в рамках BIA.

Мы описываем бизнес-процессы в такой детализации, которая позволяет нам обосновать методику расчета потерь и оценить потери по нескольким критериям. Для графического описания использовали нотацию EPC, ARIS и MS Visio, как инструменты.

Пороги

Для того чтобы определить объективное целевое время восстановления, необходимо на берегу договориться о критериях, по которым будем оценивать ущерб, и об их пороговых значениях. При превышении данных порогов будем считать ущерб критичным, а временной интервал, при котором достигается пороговое значение, станет целевым временем восстановления. Было предложено два варианта:

  • определить RTO по одному критерию — финансовые потери;
  • определить RTO по трем критериям — финансовые потери, потеря репутации, потеря управляемости бизнес-процессов.

Первый вариант с одним критерием вроде бы предпочтительнее, так как любые потери условно можно перевести в деньги — главное, договориться о формуле пересчета.

Но, как показывает практика, никто репутационные потери специально не пересчитывает в финансовые, и согласование такой формулы может занять неопределенное время.

Было решено считать время восстановления по обоим вариантам, и на этапе презентации результатов заказчик сам определит, какой из них более объективно отражает действительность.

Забегая вперед, скажу, что при использовании первого варианта с одним критерием оказалось, что RTO по процессу «ценообразование», например, может достигать 10 дней. При расчете по второму варианту RTO не превышало 24 часов. В любом случае, управленческое решение — какие потери учитывать, а какие нет — остается за заказчиком.

Риски

Совместно с заказчиком определили перечень операционных рисков. То есть тех, которые влияют на ИТ, а те в свою очередь влияют на бизнес-процессы, которые… ну вы поняли. Этот этап важен, потому что чрезвычайная ситуация не рассматривается как сферический конь в вакууме, дескать, что же будет с Родиной и с нами, если мы потеряем ИТ.

Риски разделили на глобальные и локальные. Для каждого из них определили сценарий развития и влияние на процессы компании с учетом результатов интервьюирования. Очевидно, что одна и та же ИТ-система при выходе из строя может затронуть несколько бизнес-процессов, но нас в рамках проекта жутко волновали только два процесса.

Дальше мы провели оценку исков в соответствии со следующими параметрами:

  • распространение угрозы;
  • возможность оповещения;
  • длительность воздействия;
  • вероятность возникновения;
  • оценочный ущерб.

По итогам нарисовали тепловую карту, где каждое приложение получило оценку того, насколько горячо бизнес мог бы обжечься во время его простоя. Допустим, за 4 часа простоя отдельных модулей SAP компания еще не получит серьезных проблем, но даже первые часы простоя кассового ПО на тепловой карте помечены огненно-красным цветом.

Нужно уточнить, что оценка рисков и дальнейшее ранжирование формируются с помощью группы экспертов и необходимы для того, чтобы определить наиболее критичные ситуации для заказчика.

Условный риск и сценарий. Пожар в ЦОД: полностью сгорела серверная комната, недоступен модуль SAP, задействованный в процессе «Пополнение». Это значит, что каждый день, пока сгоревший модуль SAP не будет восстановлен, товарный ассортимент уменьшается.

В первую очередь это касается скоропортящихся продуктов, во вторую — продуктов, пользующихся массовым спросом (например, крупы и хлеб), в третью — бытовой химии. Очевидно, что такая ситуация приведет к снижению выручки в магазинах.

А вот что не вполне очевидно: покупатель, который пришел за пивом и сигаретами, в случае отсутствия одного из товаров может с большой долей вероятности ничего не купить. Аналогично для процесса «Ценообразование».

Если условный покупатель, который узнал о скидках в среду в 12:00, пополудни придет в магазин, а процесс «Ценообразование» не работает (то есть цены без скидок), то он:

А) не купит ничего (= финансовые потери);Б) будет обвинять магазин в мошенничестве (= потеря репутации)

В) пожалуется регулятору (= штраф за недобросовестную рекламу).

Методика оценки потерь

Как вы, наверное, поняли из вышесказанного, чтобы посчитать даже финансовые убытки, необходимо разработать методику и формулы их подсчета, которые учитывают скидки, акции, время суток, высокий сезон (например, ажиотаж в конце декабря). Методика должна содержать описательную часть (что откуда берется и почему умножается на весовые коэффициенты), а также таблицы и графики для наглядности восприятия.

Также в методике описывается:

  • как определяется время восстановления для бизнес-процесса;
  • как время восстановления для бизнес-процесса транслируется в RTO/RPO для ИТ-систем;
  • классы критичности и классы восстановления — зачем это нужно.

Едем дальше.

Расчет RTO

После того как проведены все интервью, описаны бизнес-процессы, оценены риски, определена и утверждена методика, производится расчет потерь. Так как бизнес «Пятерочки», «Карусели» и «Перекрестка» различается как минимум масштабами — для каждой сети мы разработали свои таблицы, свои графики и расчеты потерь.

Для бизнес-процесса в целом определяется время восстановления (см. методику), когда потери превышают пороговое значение (см. пороги). Это время восстановления присваивается тем ИТ-системам, которые участвуют в бизнес-процессе (см. интервью и матрица зависимостей). Казалось бы, параметры непрерывности определены — проект закончен (см.

границы и рамки). Но недостаточно сказать «процесс должен восстанавливаться за 12 часов». Важно определить, как это работает сейчас.

За сколько часов ИТ-систему удается реанимировать сегодня? И что делать, если текущее время восстановления больше или значительно больше целевого? Для тех, кто еще сохраняет рассудок и концентрацию, добро пожаловать в GAP!

GAP-анализ и план дальнейших действий

В результате предыдущих шагов мы определили состояние для процессов и систем «TO BE», то есть как должно быть в идеале. На текущем этапе, определяем состояние «AS IS». При этом мы в меньшей степени трогаем бизнес-процессы, а сосредотачиваемся на ИТ-составляющей.

Для заказчика мы оценили его текущие решения с точки зрения восстановления после чрезвычайной ситуации. Причем в данном случае не пришлось проводить реальное восстановление с таймером.

Достаточно было углубиться в подробности и хватило настольного тестирования, чтобы понять, что целевое RTO недостижимо.

После этого мы разработали ряд рекомендаций, как общего характера (по обеспечению непрерывности ИТ), так и касающиеся непосредственно ИТ-систем и их архитектуры. Это эскизы технических решений и грубая оценка стоимости их реализации. Фактически теперь есть основа для принятия решения.

На одной чаше весов — потери, а на другой — стоимость мероприятий.

Если некоторые ИТ-системы не проходят GAP-анализ, а точнее, время их восстановления больше, чем целевое, мы делаем программу проектов по достижению целевого состояния или, если хотите, дорожную карту с обоснованием очередности выполнения проектов и промежуточной оценкой повышения устойчивости организации.

Помимо этого, для заказчика мы разработали методические материалы и шаблоны для формирования планов непрерывности и планов аварийного восстановления.

Стратегия

Подождите-подождите, я уже почти закончил.

По итогам BIA мы разработали стратегию обеспечения непрерывности ИТ. В стратегии непрерывности описали два ключевых момента.

  1. Какие ИТ-риски, влияющие на деятельность компании, принимаются во внимание, а какие — нет (то есть чего мы боимся и будем решать в рамках непрерывности, а чего не боимся и для этого у нас есть инцидент-менеджмент).
  2. Какими организационными, архитектурными, инфраструктурными и иными решениями мы будем защищаться от угроз.

Стратегией мы убиваем двух зайцев. Во-первых, все в компании понимают, как и от чего мы будем защищаться.

Во-вторых, для неспециалистов в области ИТ (например, финансистов) более прозрачным выглядит процесс бюджетирования решений IT disaster recovery.

И как бы пафосно это ни звучало, стратегия помогает принимать правильные управленческие решения (всегда есть вариант не тратить деньги на DR, и теперь мы точно знаем, как это повлияет на компанию в случае аварии).

Что дальше? Дальше реализация стратегии непрерывности и business impact analysis для других бизнес-процессов и ИТ-систем. Разработка планов непрерывности, периодическое тестирование этих планов, но это совсем другая история.

Игорь Тюкачев, Консультант Центра проектирования вычислительных комплексов «Инфосистемы Джет»

JetHabr

Источник

Источник: https://www.pvsm.ru/algoritmy/297743

2 Powerful Components of a Business Plan

Анализ воздействия на деятельность /Business Impact Analysis

Our website is made possible by displaying online advertisements to our visitors. Please consider supporting us by disabling your ad blocker.

  • Reasons to conduct BIA
  • Impacts considered in BIA
  • Conduct the BIA

Before we venture into the details on this important topic, let’s briefly discuss what business impact analysis is. Business impact analysis, also called BIA, is a vital part of any company’s business continuance plan. Two things make BIA up. They are:

  • The exploratory component. This reveals any vulnerabilities in the system
  • The planning component. This helps to develop various strategies and help minimize the risk.

After BIA, you will get a business impact analysis report. This report describes the potential risks that the company is prone to. It quantifies the importance of various business components and ultimately suggests fitting fund allocation for measures to shield them.

A basic assumption behind business impact analysis is that every component of the firm is dependent on the continued functioning of all other components.

The assumption also says that some of the components are more crucial and need a larger allocation of funds when disaster strikes.

For instance, if a company’s cafeteria has to be shut down, it can still function normally. However, if the information system of an organization crashes, it will come to a complete halt.

This kind of business analysis identifies the costs linked to failures as well. This is a part of the recovery plan. The costs must be compared with the costs for probable recovery strategies. Some of the common costs related to failure are:

  • Loss of cash flow
  • Replacement of equipment
  • Salaries which have to be paid to catch up on a backlog of work
  • Loss of profits

Possibilities of failures can be gauged in terms of their effect on several factors :

  • Safety
  • Finances
  • Marketing
  • Legal compliance
  • Quality assurance

The impact is usually expressed monetarily as it helps to compare. For example, a firm can spend four times as much on marketing during a disaster in order to regain customer confidence.

Simply put, a business impact analysis predicts the impact of disruption of a function and business process. It helps to collect information required for developing recovery strategies.

You must identify possible loss scenarios during a risk assessment. Delayed deliveries or failure of a supplier of products or services can interrupt operations. But the list is not limited to that.

There are many scenarios which you should consider.

Recognizing and assessing the impact of disasters on organization provides the basis for investment in recovery strategies, investment in prevention and mitigation strategies.

Reasons to conduct BIA

There are three main reasons why you must conduct a business impact analysis in time of disaster. If you are still convinced regarding when to conduct BIA and about its value, this section will clarify your concern.

There are numerous reasons to do a business impact analysis. Preparing a BIA helps not only to prioritize processes but also to gain a better idea about the resources they depend on. It takes the guesswork your decision-making process during a crisis.

Below are the three reasons:

  • Helps to avoid guesswork when in times of disaster

In times of crisis, your decision will be arbitrary without a business impact analysis. If you conduct a BIA, you will have the justification needed to take the decisions you or your dedicated management team will make. This decision will be solid data and analysis, not guesswork.

  • Helps to allocate your resources during the crisis

If you have a well-designed business impact analysis, you will find out in advance which of the processes are critical to your company’s survival. You will understand the minimum level you should restore the processes to and also get an idea about the timeframes.

  • Helps make compact test criteria for all your plans and suppliers

Business impact analysis identifies the recovery requirements. These will become the criteria which your recovery plans can be tested for. The same can be done for the suppliers.

Impacts considered in BIA

The BIA will identify the financial and operational impacts of the disruption of certain business functions and processes. Some of the impacts you should consider are:

  • Lost sales and income
  • Postponed sales or income
  • Regulatory fines
  • Delay of new business plans
  • Loss of contractual bonuses
  • Customer dissatisfaction
  • Timing and duration of Disruption
  • Increased expenses such as overtime labor and outsourcing

The exact time when a function or process is interrupted can have a major impact on the loss incurred. For example, if a store is damaged a few weeks before December, it might lose a considerable amount of its annual sales. This is because of the holiday shopping season.

Again, interruptions a power outage for a few minutes cause only minor inconveniences for the businesses. If the power outage lasted hours, it would lead to major business losses. Company can overcome a short duration disruption of production by shipping goods from a warehouse. Disruption of a product which is in high demand can have a huge impact.

Conduct the BIA

You can use a business impact analysis questionnaire to survey the managers and other members of the company. Survey those people who have elaborate knowledge about how the company manufactures its items or provides its services. Ask questions which will help identify the possible impacts if certain business functions or processes that they are accountable for are interrupted.

You can also depend on the BIA to identify critical business processes. I mentioned earlier, you will get more information about the resources needed to continue to operate at different levels.

The BIA report is the final outcome. It should document the potential impacts caused by disruption of the specific business functions and processes. Certain scenarios resulting in significant interruption should be judged in terms of the financial impact.

Your BIA report should give importance to the order of events. This is essential for restoration of your business. Remember that you should restore processes with the highest operational and financial effects first.

Image: Olivier Le Moal/Shutterstock.com

Источник: https://pestleanalysis.com/business-impact-analysis/

Методы оценки риска: анализ воздействия на бизнес BIA (Business Impact Analysis)

Анализ воздействия на деятельность /Business Impact Analysis

Анализ воздействия на бизнес BIA (англ.

Business Impact Analysis) – это метод оценки риска, позволяющий изучить, как различные виды негативных событий (нарушений, отказов или разрушений) могут влиять на основные направления деятельности компании и ключевые бизнес-процессы. Также метод BIA позволяет выявить и оценить (в том числе количественно) имеющиеся возможности организации по митигации риска.

В целом, оценка риска по методу воздействия на бизнес обеспечивает достижение следующих целей:

  • выявление и ранжирование (по степени критичности) различных функций и бизнес-процессов организации, идентификацию их взаимосвязей, и описание ресурсов;
  • формирование оценки влияния рисковых событий (различных нарушений, отказов и разрушений) на способность организации в достижении ключевых целевых показателей;
  • выявление и разработка мер по воздействию на риск в целях скорейшего восстановления функционирования процессов организации после наступления рискового события (реализации риска).

Когда применяется метод оценки риска BIA?

Метод BIA применяют, если требуется ранжировать бизнес-процессы организации по их критичности, оценить показатель RTO (Recovery Time Objective), т.е. время их восстановления, а также определить ресурсы (персонал, активы, технологии, данные и т.д.), требуемые для достижения целей организации.

Метод BIA также может быть полезен для идентификации и описания взаимосвязей между различными процессами, контрагентами и цепочками поставок (supply chains) организации.

Исходные данные для анализа риска

Для того, чтобы выполнить оценку рисков по данному методу, необходимы следующие входные условия:

  • группа экспертов для оценки и разработки плана непрерывного ведения бизнеса;
  • исходная информация по целевым показателям организации, бизнес-процессам и внешней среде;
  • детальное описание бизнес-процессов организации, включая все взаимодействия и связи с внешними контрагентами;
  • историческая информация, описывающая последствия, вызванные нарушениями функционирования критических процессов;
  • список интервьюируемых (владельцев процессов);
  • анкеты (опросные листы).

Как выполняется оценка риска по методу BIA?

Как и в большинстве аналитических методов, в методе BIA для целей первичного сбора информации используется анкетирование и интервьюирование ключевых сотрудников организации и владельцев бизнес-процессов.

Основные этапы оценки риска по методу BIA:

  • идентификация критичных бизнес-процессов, а также ключевых продуктов организации;
  • идентификация последствий реализации рисковых событий в отношении указанных процессов;
  • определение взаимосвязей между внешними и внутренними агентами, к примеру, составление схем взаимосвязей в цепи поставок;
  • выявление ресурсов, имеющихся для обеспечения непрерывности бизнеса в случае реализации риска;
  • разработка альтернативных способов осуществления деятельности в случае реализации риска и отсутствия или недостатка ресурсов для обеспечения непрерывности бизнеса;
  • определение MAO (Maximum Acceptable Outage Time) – максимального допустимого времени простоя при нарушении бизнес-процесса. MAO определяется исходя из возможных последствия реализации риска и критичности процесса. МАО – это максимальный период времени, при превышении которого с большой долей вероятности организация утратит жизнеспособность;
  • определение RTO (Recovery Time Objective) – целевого времени восстановления для любого актива организации (включая информационные системы). RTO – это плановое время, в течение которого процесс должен должен восстановиться после нарушения;
  • установление требований к критическим процессам с точки зрения уровня резервирования процессов или наличия альтернативных путей реализации процессов.

Результаты оценки рисков по методу BIA

Результаты оценки рисков по методу воздействия на бизнес:

  • реестр бизнес-процессов организации, ранжированный в соответствии с их критичностью и приоритетами, а также описание их взаимосвязей;
  • реестр фактов реализации рисков и их последствий, вызванных реализацией рисков;
  • реестр ресурсов, требующихся для функционирования критических процессов;
  • сроки простоя и сроки восстановления (RTO) бизнес-процессов и связанных информационных систем.

Метод оценки риска BIA

Преимущества оценки риска по методу BIA

Оценка риска по методу BIA предоставляет организации следующие возможности:

  • наглядное представления критических бизнес-процессов, показывающее возможности достижения организацией установленных целевых показателей;
  • понимание требуемых для достижения целей ресурсов;
  • возможность анализа и оптимизации производственных процессов организации в целях повышения их непрерывности и устойчивости компании в целом.

Недостатки метода Business Impact Analysis

Недостатки оценки рисков по методу BIA исходят из процесса оценки, и определяются, в основном, человеческим фактором.

Например, возможны такие сложности:

  • компетенция участников рабочих групп и интервью может быть недостаточной;
  • особенности работы группы напрямую могут влиять на результаты анализа функционирования бизнес-процессов;
  • возможны субъективные оценки требований к RTO (времени восстановления) – как слишком оптимистичные, так и слишком пессимистичные;
  • достичь адекватного уровня понимания бизнес-процессов организации и ее деятельности весьма непросто.

Источник: https://upravlenie-riskami.ru/%D0%BC%D0%B5%D1%82%D0%BE%D0%B4-%D0%BE%D1%86%D0%B5%D0%BD%D0%BA%D0%B8-%D1%80%D0%B8%D1%81%D0%BA%D0%B0-bia-%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7-%D0%B2%D0%BE%D0%B7%D0%B4%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8/

Все термины
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: