Business Impact Analyse (BIA) – Hoe doe je dat?

Business Impact Analyse (BIA) – Hoe doe je dat
Het maken van een Business Impact Analyse (BIA), hoe doe je dat? Ik ga er van uit dat de organisatie matuur genoeg is om te weten waarom BCM nodig is en dus ook waarom een BIA nodig is in het proces om aan BCM te doen. Het gaat hier over een mogelijke implementatiemanier van de BIA. Voorinname is dat de organisatie reeds aan risicomanagement doet en een risicoanalyse voorhanden heeft die tevens bruikbaar is voor de processen van de organisatie. Hoewel dat niet steeds nodig is. Velen vinden het opportuun om eerst de BIA te doen, omdat men de belangrijkste processen eerst kan onderwerpen aan een uitgebreide risicoanalyse. Dus we beginnen met een business impact analyse, hoe doe je dat dan?In deze bijdrage schrijf ik mijn eigen mening, niet die van enige organisatie. Deze bijdrage is geïnspireerd door de volgende werken:  

No Nonsense Business Continuity Planning for Busy Continuity Planners; Charley Newnham  

The Definitive Handbook of Business Continuity Management 3° Edition; Andrew Hiles  
Auteur: Manu Steens

De klassieke BIA maakt een aantal grote stappen:

Vorm een begrip van de organisatie en haar processen

Identificeer de nodige middelen

Schat de bedreigingen en risico’s in.

  • Begrijp de organisatie en haar processen
    • Identificeer alle processen van de organisatie
    • Identificeer de Tijdskritieke Processen (KP), Essentiële Processen (EP), Noodzakelijke Processen (NP) en Bruikbare Processen (BP).
    • Identificeer de stakeholders en geïnteresseerde partijen.
    • Schat de impact in de tijd in voor elk proces indien het wegvalt of onderbroken werd.
    • Bepaal de RTO (Recovery Time Objective) en RPO (Recovery Point Objective) voor elk proces.
    • Identificeer interne en externe afhankelijkheden.
      • O.a. ook van timings van andere plannen
      • O.a. ook van de reeds genomen en nog te nemen maatregelen
      • O.a. van handleidingen en documenten
    • Sorteer de lijst volgens het RTO
    • Kies nu de processen top-x waarvoor je het BCP wil gaan uitwerken later(dit zijn de tijdskritieke processen.)
  • Identificeer de nodige middelen
    • Mens: bepaal de rollen om de processen uit te voeren,
      • Hoeveel VTE’s zijn vereist?
      • Welke klanten zijn nodig?
      • Welke tech support is nodig?
      • Welke leveranciers zijn nodig?
      • Hebben we nood aan personeel van andere entiteiten?
    • Machines: toegangen tot gegevens; telewerkmogelijkheden;…
    • Benodigde gegevens
    • Benodigde werkplekken
      • Bureaus
      • Stoelen
      • Computers
      • Verwarming
      • Koffie
      • Vergaderruimte
      • Technische ruimte
      • Geografische voorkeur
  • Schat de bedreigingen en risico’s in.
    • Gebruik hiervoor de resultaten van de risicoanalyse die reeds was uitgevoerd voor de processen.
    • Beperk u in een eerste fase tot de tijdskritieke processen.

Een mogelijke BIA heeft dus de volgende tabellen en lay-out:

Stap 1: processenlijst
volgnrProces / activiteitBeschrijving impactimpact 1-5RTOPrioriteit RTORPOAfhankelijkhedenKP/ NP/ EP/ BP
Stap 2: middelen nodig voor kritieke processen
Volgnr ProcesRollen vereist, aantalVereiste tools en systemenVereiste HardwareWerkruimte nodig / Aantal personenAndere afdelingen /organisatieonderdelen /leveranciers /dienstencontactpersonen en functies en contactgegevens
Stap 3: assessment van bedreigingen / Risico’s
Volgnr ProcesBedreiging/ risicostatementKans / redenKans Hoog/ … / LaagImpact / BeschrijvingImpact hoog/ … / LaagRisico Hoog/ … / LaagAanvaarden/ Verplaatsen/ Verminderen/ Verwijderen / Wat is er reeds preventief aanwezig?

Eigenaar van de BIA: xxx  xxxxx

Senior Klant BIA: xxx xxxxx

Versiedatum: yyyymmdd

Versie: NN.nn

Help, ik heb een BIA !

Dan weet je dat het leven van de BIA een proces is met een doel. Het doel is het ondersteunen van een realistisch BCP. En daardoor is het een oefening die opbrengt wanneer het noodlot toeslaat.

Als je een nieuw (eerste) BCP moet maken:

  • Dan deel je de BIA met hen die er nood aan hebben om het te begrijpen. Je vraagt hen ook hun mening en feedback.
  • Dan zorg je ervoor dat de planning enkel de TKP’s (tijdskritieke processen) omvat die er toe doen in het tijdsvenster dat uw plan behelst.
  • Dan laat je de leidinggevende de BIA aftekenen en zorg je ervoor dat hij het eens is met de inhoud ervan.

Als je reeds een BCP hebt dat je moet updaten,

  • Dan zorg je dat de TKP’s in de BIA en de prioriteiten in het plan overeenkomen.
  • Dan zorg je dat het BCP afgestemdis op de RTO’s in de BIA.
  • Dan zorg je dat de SLA’s afgestemd zijn op de RTO’s in de BIA.
  • Dan deel je de BIA met hen die er nood aan hebben om het te begrijpen. Je vraagt hen ook hun mening en feedback.
  • Dan zorg je ervoor dat de planning enkel de TKP’s (tijdskritieke processen) omvat die er toe doen in het tijdsvenster dat uw plan behelst.
  • Dan laat je de leidinggevende de BIA aftekenen en zorg je ervoor dat hij het eens is met de inhoud ervan.

Herzien van de BIA.

De BIA is het fundament van het BCP. Het levert inzicht waarom wat in het BCP wordt opgenomen en wat niet. Daardoor gaat het updaten van een BCP sneller, maar dan moet je ook de BIA accuraat houden. Doe dit

  • Eens per jaar
  • Bij elke belangrijke wijziging in de organisatie (nieuwe processen, oude processen die stoppen, een nieuw gebouw, mensen die wijzigen zoals personeel, de staf,…, leveranciers, burgers, de omgeving die wijzigt, SLA’s die wijzigen, …

Je kijkt bij een herziening dus na of er iets wijzigde sinds de vorige versie.

Omschrijving en nut van topics in de BIA.

Procesinformatie voor BIAOmschrijving en nut
Naam tijdskritiek en / of missiekritiek procesOmschrijving: Identificatie van het proces dat: tijdskritiek is: een proces dat binnen 48 heropgestart moet worden na een incident.en/of missiekritiek is: een proces dat meehelpt om de missie van een entiteit te bereiken.  Nut: Een lijst van gevoelige processen waar de overleving van de organisatie in het bijzonder van afhankelijk is.
Omschrijving procesOmschrijving: Korte uitleg over wat het tijdskritieke/missiekritieke proces inhoudt, wanneer het begint en wanneer het eindigt. Nut: Zolang geen generieke namen voor processen bestaat, is de omschrijving nodig om helderheid te scheppen over wat de inhoud van het bedoelde proces is.
ProceswerkmiddelOmschrijving: De mensen en middelen die nodig zijn om een tijdskritiek en/of missiekritiek proces te laten verlopen. Per werkmiddel wordt bepaald in welke periode(s) het urgent is, hoeveel eenheden nodig zijn en welk alternatief kan worden voorgesteld. Proceswerkmiddelen kunnen zijn: –   Personeel (aantal en functie) –   Werkplekken –   Telefoons / Fax / GSM’s –   Werkstations –   Laptops –   Print- & kopieerfaciliteiten –   Toegang tot e-mail –   Toegang tot internet –   …   Nut: In een crisisperiode kan een proces sneller heropgestart worden als geweten is welke werkmiddelen daarvoor nodig zijn.
ProcesperiodeOmschrijving: Tijdstip(pen) waarop het tijdskritieke/missiekritieke proces wordt uitgevoerd. Nut: Deze tijdsindicator geeft aan in welke periode van het jaar een proces de geselecteerde procesurgentie heeft. Dit kan immers verschillen voor bijvoorbeeld seizoensgebonden processen. Hierdoor kan m.b.v. een flexibele rapportering een herstelling opgezet worden die het meest relevant is voor het moment waarop de crisis optreedt.
Impact bij uitval van het procesOmschrijving: Beschrijft de omvang van de geleden schade. Deze impacts kunnen zijn: reputatieschade, financiële schade, menselijke schade, werkachterstand, stoffelijke schade, … Nut: De impact wordt vaak gezien als de mate van hoogdringendheid om een ‘procesurgentie’ te bepalen. Het is daarom een indicator die aangeeft hoe groot de verliezen van allerlei aard kunnen zijn indien een proces uitvalt.
RTO: Recovery Time ObjectiveOmschrijving: Het tijdsverloop dat het management toestaat vanaf een ontwrichtend incident tot aan het voorlopig heropstarten van de activiteiten, dikwijls op een vooraf bepaald niveau van de capaciteit. Nut: Deze grootheid is een meer verfijnde indicator van de dringendheid van het heropstarten van de processen en geeft aan de technici een indicatie in welke prioritaire volgorde ze de processen moeten kunnen heropstarten ten behoeve van de organisatie(s). Deze indicator is o.a. essentieel voor de planning van de heropstart van de IT systemen.
RPO: Recovery Point ObjectiveOmschrijving: De periode die tussen twee momenten van veilige gegevensopslag mag liggen. D.w.z. hoeveel gegevens/transacties mogen tussen de laatste veilige gegevensopslag en het ontwrichtende incident maximaal verloren gaan. Nut: Deze indicator is voor ICT-gerelateerde processen een indicator gerelateerd aan het back-up systeem. Het levert een idee van hoeveel achterstand er zal moeten weggewerkt worden, en van hoeveel werk van de laatste dagen is verloren kunnen gaan.
ProceseigenaarOmschrijving: De persoon die aansprakelijk is voor een proces. Nut:  Wanneer een bepaald proces betrokken is bij een incident kan eenvoudig de aansprakelijke persoon op de hoogte worden gebracht.
ProcesafhankelijkhedenOmschrijving: Deze afhankelijkheden zeggen welke processen van elkaar afhankelijk zijn (in beide richtingen: “is afhankelijk van” en “is noodzakelijk voor”) Nut: Met deze informatie heeft men een beter zicht op de problematiek en kan de evolutie van een cascade van crisissen voorkomen worden.
Hardware-afhankelijkheidOmschrijving: De afhankelijkheid van hardware, zoals laptops, notebooks, iPads, IPhones, servers, …Deze informatie moet (deels: servers,…) in het exploitatiedossier duidelijk zijn. Nut: Dit stelt de ICT in staat een raming te maken voor het management voor de hardware-onkosten, alsook te weten welke hardware nodig is om een nieuw systeem op te zetten, waarop de processen kunnen draaien.
Software-afhankelijkheidOmschrijving: De afhankelijkheid van software, zoals browsers, documentum, centerstage, office,…Deze informatie moet (deels: servers,…) in het exploitatiedossier duidelijk zijn. Nut: Dit stelt de ICT in staat een raming te maken voor het management voor de software-onkosten, alsook te weten welke software nodig is om een nieuw systeem op te zetten, waarop de processen kunnen draaien.
Financiële afhankelijkheidOmschrijving: Proces-gerelateerde, gebouw-gerelateerde onkosten e.a. Nut: Deze afhankelijkheid geeft een inzicht in een deel van de kosten bij de heropstart van de processen. Dit helpt in het voorbereiden / aanvragen van budgetten en kostenposten.
FaciliteitenafhankelijkheidOmschrijving: De afhankelijkheden van zaken zoals broodjes, koffie, tafels, bureautica, stoelen, elektriciteit, toiletten, water, licht, airco,… Nut: Dit stelt de CFO in staat een raming te maken voor de faciliteitenonkosten, alsook te weten welke faciliteiten nodig zijn om mensen aan het werk te kunnen zetten.
Belanghebbenden afhankelijkheidOmschrijving: Dit zijn gegevens in de contactenlijsten, zoals leveranciers, klanten, medewerkers… Nut: Hiermee heeft het management een overzicht van alle betrokken partijen, waarmee zij contacten moet onderhouden om door hen / voor hen de processen terug operationeel te krijgen.

Manu Steens

Manu werkt bij de Vlaamse Overheid in risicomanagement en Business Continuity Management. Op deze website deelt hij zijn eigen mening over deze en aanverwante vakgebieden.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts