Business Impact Analysis (BIA)

Više o autoru na
ili Analiza utjecaja na poslovanje https://gorankrmpotic.eu
/

Analiza utjecaja na poslovanje (BIA) je stalni proces kojim se određuju i procjenjuju potencijalni
učinci prekida na kritične poslovne operacije kao posljedica nekog oblika nesreće ili nekog
izvanrednog stanja. BIA je izuzetno bitna komponenta plana svake uspješne organizacije za
nastavak poslovanja. U svojoj osnovi uključuje istraživačku komponentu koja otkriva sve
ranjivosti, te komponentu planiranja za razvoj strategija za minimiziranje rizika. Rezultat je
izvješće o analizi utjecaja na poslovanje koje opisuje potencijalne rizike specifične za svaku
organizaciju.
Jedna od osnovnih pretpostavki BIA-e je da se svaka komponenta organizacije oslanja na
kontinuirano funkcioniranje svake druge komponente uvažavajući kako su neke od komponenti
važnije od drugih, te zahtijevaju opsežniju raspodjelu sredstava nakon nekog izvanrednog
događaja. Na primjer, svaka tvrtka može nastaviti funkcionirati više ili manje normalno ukoliko
se kantina iz nekog nepredviđenog razloga mora zatvoriti, ali će se svaka tvrtka potpuno zaustaviti
ukoliko se IT sustav sruši te informaciji postanu nedostupne.

Kako provoditi BIA-u

Ne postoje formalni standardi za upotrebu BIA. Metodologija se može razlikovati od organizacije

do organizacije. BIA je općenito višefazni proces koji uključuje sljedeće korake:

GORAN KRMPOTIĆ 1
Prilikom izrade BIA najčešće se koristi detaljan upitnik ili anketa koja se obično razvija kako bi se
identificirali ključni poslovni procesi, resursi, odnosi i druge informacije koje će biti bitne za
procjenu mogućeg utjecaja izvanrednog stanja.

Analiza rezultata BIA-e

Ciljevi faza analize BIA-e su odrediti najvažnije poslovne funkcije i sustave, osoblje i tehnološke
resurse potrebne za optimalno funkcioniranje organizacije, te njihov vremenski okvir u kojem se
funkcije trebaju oporaviti kako bi se organizacija vratila najbliže normalnom radnom stanju.
Izazovi ovoj fazi uključuju određivanje utjecaja poslovne funkcije na prihode i kvantificiranje
dugoročnog utjecaja gubitaka na npr. tržišni udio, poslovni kredibilitet ili npr. klijente. Utjecaji
koje treba razmotriti uključuju odgodu prodaje ili prihoda, povećane troškove rada, regulatorne
kazne, ugovorne kazne kao i nezadovoljstvo kupaca.
Izvješće o analizi utjecaja na poslovanje obično sadrži sažetak, informacije o metodologiji za
prikupljanje i analizu podataka, detaljne nalaze o različitim poslovnim jedinicama i
funkcionalnim područjima, grafikone i dijagrame koji ilustriraju potencijalne gubitke i preporuke
za oporavak. Izvješće daje prioritet najvažnijim poslovnim funkcijama, ispituje utjecaj prekida
poslovanja, navodi pravne i regulatorne zahtjeve, detalje prihvatljive razine zastoja i gubitaka te
navodi vremenske ciljeve oporavka ili Recovery Time Objectives (RTO) kao i kontrolne točke
ciljeva oporavka ili Recovery Point Objectives (RPO). Izvješće bi trebalo navesti redoslijed
aktivnosti potrebnih za obnovu poslovanja.

GORAN KRMPOTIĆ 2
Management organizacije pregledava izvješće kako bi osmislio plan kontinuiteta poslovanja i
strategiju oporavka od izvanrednog stanja koja uzima u obzir maksimalno dopuštene zastoje za
važne poslovne funkcije kao i prihvatljive gubitke u područjima kao što su podaci, financije i
poslovni ugled. Management organizacije trebao bi periodično pregledavati i ažurirati BIA-u kako
se poslovanje mijenja u skladu s tržišnim/tehnološkim/organizacijskim promjenama.

Uloga BIA u planiranju oporavka

Kao dio plana za oporavak od izvanrednog događaja, BIA će nastojati identificirati troškove
povezane s kvarovima, kao što su npr. gubitak novčanog toka iz poslovanja, zamjena kritične i
neophodne opreme, trošak plaća isplaćene za nadoknadu zaostalih poslova, gubitak profita,
gubitak podataka, itd. Izvješće BIA kvantificira važnost poslovnih komponenti i predlaže
odgovarajuću raspodjelu sredstava za mjere zaštite. Mogućnosti kvarova procijeniti će se u smislu
njihovih utjecaja u područjima kao što su sigurnost, financije, marketing, poslovni ugled,
poštivanje zakona kao i osiguranje kvalitete. Tamo gdje je to moguće, učinak se treba izraziti u
novčanom obliku u svrhu lakše i kvalitetnije usporedbe. Na primjer, tvrtka može potrošiti tri puta
više na marketing nakon nekog neželjenog izvanrednog događaja kako bi obnovila poslovanje ali
i povjerenje klijenata/kupaca. BIA treba procijeniti učinak izvanrednog događaja tijekom
vremena i pomoći uspostaviti strategije oporavka, prioritete i zahtjeve za potrebne resurse i
vrijeme.

BIA u odnosu na procjenu rizika

Analiza utjecaja na poslovanje ili BIA i procjena rizika dva su različita ali isto važna koraka u planu
kontinuiteta poslovanja. BIA se najčešće odvija prije procjene rizika. BIA se također usredotočuje
na učinke kao i posljedice prekida na ključne poslovne funkcije, te pokušava kvantificirati
financijske i nefinancijske troškove povezane s nekim nepredviđenim izvanrednim događajem.
Procjena utjecaja na poslovanje bavi se onim dijelovima organizacije koji su najvažniji za redovno
funkcioniranje svake pojedine organizacije. BIA može poslužiti kao polazna točka za strategiju
oporavka od nekog izvanrednog događaja i ispitati vremenske ciljeve oporavka (RTO) kao i
kontrolne točke ciljeva oporavka (RPO), te resurse i materijale potrebne za nastavak redovnog
poslovanja.
Procjena rizika identificira potencijalne opasnosti kao što su vremenske nepogode, potres, požar,
neuspjeh dobavljača, nestanak uslužnog programa ili cyber napad, te procjenjuje područja
ranjivosti u slučaju opasnosti. Sredstva izložena riziku uključuje ljude, imovinu, opskrbni lanac,
informacijsku tehnologiju, poslovni ugled i ugovorne obveze. Tijekom procjene rizika
pregledavaju se točke slabosti koje čine sredstva podložnija šteti. Kao produkt procjene rizika

GORAN KRMPOTIĆ 3
može se razviti strategija ublažavanja kako bi se smanjila vjerojatnost da će neki oblik opasnosti
imati značajan utjecaj na poslovanje organizacije.
Tijekom faze procjene rizika, rezultati BIA-e mogu se ispitati u odnosu na različite scenarije
opasnosti, a potencijalni poremećaji mogu biti prioritetni na temelju vjerojatnosti opasnosti i
vjerojatnosti negativnog utjecaja na poslovanje. BIA se može koristiti za opravdanje ulaganja u
prevenciju i ublažavanje, kao i za strategije oporavka od izvanrednih događaja.
Prikupljene informacije mogu uključivati opis glavnih aktivnosti koje poslovne jedinice obavljaju,
subjektivno rangiranje važnosti specifičnih procesa, imena ili oblici organizacija koje ovise o
procesima za normalno poslovanje, procjene kvantitativnog učinka povezanog s određenom
poslovnom funkcijom kao i nefinancijski utjecaj gubitka funkcije, kritičnih informacijskih sustava
i njihovih korisnika, članova osoblja potrebnih za oporavak važnih sustava, te vremena i koraka
potrebnih da se poslovna jedinica oporavi i vrati normalno radno stanje.
Pitanja koja treba istražiti tijekom faze otkrivanja uključuju međuovisnosti između sustava,
poslovnih procesa i organizacionih cjelina, značaj rizika od neuspjeha, odgovornosti povezane s
sporazumima na razini usluge, osoblje i prostor koji mogu biti potrebni na mjestu oporavka,
posebnim zalihama ili potrebna komunikacijska oprema te upravljanje gotovinom i likvidnošću
potrebnim za oporavak.
BIA za informacijsku tehnologiju može započeti s identifikacijom aplikacija koje podržavaju bitne
poslovne funkcije, međuovisnosti između postojećih sustava, mogućih točaka neuspjeha i
troškova povezanih s možebitnim kvarom sustava. Faza analize ispituje rizike i određuje
prioritetne zahtjeve za neprekidnim radnim vremenom, te RTO i RPO.

GORAN KRMPOTIĆ 4