Si la tercera ley de la física de Newton es correcta y cada acción tiene una reacción igual y opuesta, las empresas deben tomar nota. Eso es porque cualquier negocio exitoso se basa en realizar acciones inteligentes y oportunas.
Esas acciones marcan un rumbo hacia las ganancias y el dominio del mercado, pero ya sea que logren estos objetivos o no, están teniendo un impacto en las personas, los lugares y las cosas, que reaccionarán de la misma manera. Si una empresa no está preparada para esas respuestas, entonces corre un gran riesgo.
El análisis de impacto empresarial es una herramienta que ayuda a planificar la inevitabilidad de las consecuencias y su coste. Es otra medida para combatir el riesgo. Si eso suena importante, lo es. El riesgo siempre está en el horizonte y las empresas mejor equipadas que se preparen para ellos, es más probable que puedan seguir haciendo negocios en el futuro.
Vamos a analizar qué es el Business Impact Analysis o Análisis de impacto empresarial, cómo funciona, su importancia y cómo implantarlo.
Indice
¿Qué es el Análisis de impacto empresarial?
Un análisis comercial es un proceso estructurado que utiliza la organización para determinar y evaluar los impactos potenciales de una interrupción en las operaciones comerciales críticas, debido a desastres, accidentes o emergencias. Un análisis de impacto empresarial es un elemento clave del plan de continuidad empresarial de una empresa.
Te permitirá ver cómo tu negocio se vería afectado si sus procesos comerciales fueran interrumpidos por una interrupción comercial. La realización de un análisis de impacto comercial también te brinda la oportunidad de evaluar cada proceso y departamento de forma independiente y en relación entre sí, determinar qué funciones son las más cruciales para la operación continua de tu negocio y crear un plan de recuperación.
Si bien no se requiere un análisis de impacto comercial para cumplir con los principales marcos de seguridad de datos (aunque es un requisito para el cumplimiento de la norma ISO 2 2301 ), es el primer paso para desarrollar un sólido plan de continuidad comercial para tu negocio. En última instancia, la salud financiera y de la reputación de tu empresa depende de su capacidad para recuperarse de un desastre, ya sea una filtración de datos, un desastre natural o algún otro tipo de interrupción comercial.
Además, un análisis de impacto comercial te brindará las herramientas para garantizar que cumples con los requisitos legales y de seguridad de los datos y te recuperas de una interrupción comercial mientras operas de manera ética y legal. Si bien los departamentos individuales pueden comprender los efectos de un proceso o función interrumpidos, no puedes comprender completamente esos efectos para toda tu empresa hasta que se realice un análisis de impacto comercial y toda esa información se recopile en un solo lugar.
¿Qué aborda Business impact analysis?
Lo que analiza el análisis de impacto empresarial son los impactos operativos y financieros de una interrupción de las funciones y procesos comerciales. Estos incluyen todo, desde ventas e ingresos perdidos, ventas o ingresos retrasados, aumento de gastos, multas reglamentarias, sanciones contractuales, hasta la pérdida de clientes o su insatisfacción y la demora de nuevos planes comerciales.
Otro factor a tener en cuenta es la sincronización. El momento de un evento disruptivo puede tener un impacto importante en la pérdida sufrida por una empresa. Si tu tienda sufre daños por un desastre natural antes de una gran venta o una gran fiesta de temporada, el impacto es obviamente mayor que durante un período más lento.
El análisis de impacto empresarial opera bajo dos supuestos:
- Cada parte del negocio depende de las operaciones continuas de las otras partes del negocio.
- Algunas partes del negocio son más importantes que otras y requieren más asignaciones cuando ocurren interrupciones.
Plantilla de análisis de impacto empresarial
Una plantilla de análisis de impacto empresarial es una herramienta que se utiliza para almacenar y presentar todos los datos recopilados de un Cuestionario de análisis de impacto empresarial sobre el impacto potencial de un evento disruptivo en los procesos comerciales de una organización. Las plantillas proporcionan un marco útil para documentar, evaluar y prepararse para el impacto potencial de eventos disruptivos en una organización.
Estas herramientas pueden ayudar a calcular las posibles pérdidas financieras y operativas, el tiempo mínimo de recuperación y los recursos necesarios para que los procesos vuelvan a la normalidad. También ayudan a las organizaciones a crear estrategias para minimizar las interrupciones y mantener la continuidad.
Las plantillas pueden ser hojas de cálculo o diseños basados en la nube que presenten todos los datos del análisis de impacto empresarial de forma completa y correlacionada. La información se clasifica de una manera práctica y significativa para ayudarte a evaluar el impacto de posibles eventos disruptivos en los procesos comerciales y desarrollar un plan de recuperación.
Las plantillas de análisis de impacto empresarial fomentan la comprensión mediante la agregación de datos en formatos significativos y utilizables, dando lugar a las estrategias de recuperación y los planes de acción que mantienen las empresas en funcionamiento durante los inevitables períodos de interrupción.
Las plantillas brindan valor al transformar los datos recopilados del análisis de impacto comercial en información procesable, lo que permite a las organizaciones evaluar rápidamente el impacto de eventos disruptivos y preparar estrategias de administración y recuperación con mucha anticipación.
Características
Las plantillas pueden diferir en el diseño según la industria o el departamento que realiza el análisis de impacto empresarial. Aún así, todas contienen características valiosas para identificar las áreas y la gravedad del impacto potencial de eventos disruptivos específicos. Todos los análisis de impacto empresarial recopilan información para la planificación de la recuperación específica a fin de mantener la continuidad del negocio, por lo que características similares como clasificación de prioridad, categoría de impacto, cronograma de recuperación objetivo y estrategia de recuperación suelen ser comunes en todas las industrias.
A continuación, se muestran algunas características estándar de las plantillas de análisis de impacto empresarial:
- Nombre del proceso empresarial: el nombre del proceso empresarial, como «sustitución de tecnología» o «revisión de la política».
- Descripción del proceso: los detalles de dónde se realiza el proceso y una explicación adicional del proceso, como «una actualización en el software de capacitación de empleados».
- Clasificación de prioridad: el proceso de negocio se clasifica (mínimo, moderado, severo) con respecto a la gravedad del impacto del tiempo de inactividad en el contexto de la continuidad del negocio.
- Categoría de impacto: se enumera la categoría de impacto significativo (financiero, operativo, reglamentario / cumplimiento).
- Entradas y salidas del proceso: Se discuten las operaciones básicas del proceso.
- Recursos y herramientas utilizados en el proceso: Se describen todos los recursos y herramientas utilizados en el proceso.
- Usuarios del proceso: se enumera todo el personal involucrado en el uso de este proceso en particular.
- Descripción de cómo ocurrió la pérdida: Se describen las acciones que resultaron en la pérdida. Por ejemplo, «el servidor de producción deja de funcionar, los datos del cliente no están disponibles para los clientes».
- Cantidad de pérdida (cuantificada tanto como sea posible): Se calcula y enumera la cantidad estimada de pérdida resultante del evento perturbador.
- Cronograma de recuperación objetivo para que el proceso vuelva a la normalidad: el tiempo estimado que se necesitará para que el proceso vuelva a su estado normal de funcionamiento.
- Estrategia de recuperación y pasos clave: los pasos de acción recomendados para la recuperación del proceso se explican en el contexto de la estrategia de recuperación integral.
Importancia del Business Impact Analysis (BIA)
La razón por la que todas las empresas deberían incluir un análisis de impacto empresarial es que forma parte de cualquier plan exhaustivo para minimizar el riesgo. Todos los negocios pueden verse afectados por accidentes y emergencias. Estos pueden incluir fallas de proveedores, disputas laborales, fallos de servicios públicos, ataques cibernéticos, sin mencionar desastres naturales o provocados por el hombre.
Planifica con anticipación
No es ideal producir una respuesta cuando uno se encuentra en medio de una crisis; una empresa inteligente ya se ha preparado para estos riesgos. Una respuesta creada en una situación desesperada probablemente será arbitraria o aleatoria, y es casi seguro que será menos efectiva.
Con la debida diligencia de un análisis de impacto empresarial en la mano, una empresa tiene un plan de acción bien pensado para recuperarse de la adversidad. Le da a la gerencia más confianza en sus decisiones y juicios al responder a estos eventos.
Priorizar en consecuencia
El análisis de impacto empresarial con instrucciones de asignación priorizará qué operaciones necesitan recuperación inmediata y cuáles pueden esperar. También proporciona un conjunto de criterios para probar los planes de recuperación. Además, debe identificar la pérdida de ingresos debido a la interrupción, los costes más altos que probablemente acumule la empresa si habrá algún gasto en multas y sanciones, y la erosión de la reputación y la base de clientes de la empresa.
Toda esta información es fundamental para el éxito de una empresa. Los problemas son parte del panorama empresarial e ignorar la posibilidad de alguna interrupción en el proceso amenaza la solvencia y la supervivencia a largo plazo.
Evaluación de impacto empresarial frente a evaluación de riesgos
Antes de describir cómo realizar una evaluación de impacto empresarial, es importante comprender la diferencia entre este proceso y una evaluación de riesgos. Las personas a menudo confunden los dos o los ven como intercambiables, pero son dos procesos diferentes con diferentes resultados.
Un análisis de impacto en el negocio identifica y analiza los procesos de negocio y el efecto de que estos procesos estén fuera de servicio, y el objetivo final es la creación de los objetivos de recuperación que dictan cómo dar prioridad a cada una de las funciones de tu negocio en caso de algún tipo de desastre. El análisis de riesgos determina la probabilidad de que ocurra un evento adverso, de modo que tu organización pueda implementar procesos de tratamiento de riesgos para minimizar el daño que causarían esos incidentes.
En pocas palabras, una evaluación de riesgos te mostrará los riesgos a los que se enfrenta tu empresa y un análisis de impacto empresarial te mostrará la rapidez con la que debes poner en marcha los procesos empresariales después de un incidente para evitar daños mayores.
Ambos procesos son importantes y, en última instancia, ambos son necesarios para que una empresa planifique con éxito la recuperación de incidentes, pero son dos procesos diferentes y deben realizarse por separado.
Fases del análisis de impacto empresarial
No existe un método único para realizar un análisis de impacto empresarial. Será diferente para cada negocio, y cada empresa necesita personalizar su proceso de acuerdo con las necesidades únicas de su organización. Sin embargo, hay algunos componentes de un análisis de impacto empresarial que deben estar presentes para que tenga éxito.
Preparación
Antes de que puedas comenzar tu análisis de impacto comercial, deberás formar un equipo de proyecto que llevará a cabo este análisis. Puede ser un equipo formado por empleados actuales o un equipo subcontratado dedicado a realizar análisis de impacto empresarial. Para prepararse para el trabajo real del análisis de impacto empresarial, este equipo, en colaboración con la alta dirección, debe definir y documentar los objetivos y el alcance del análisis.
Los departamentos que participarán, cómo se recopilará y almacenará la información y el cronograma del proyecto deben determinarse antes de comenzar.
Recopilación de información
La recopilación de datos sin procesar sobre tus procesos comerciales es el siguiente paso en tu análisis de impacto comercial. Los dos métodos más comunes para recopilar estos datos son entrevistas con las personas que gestionan y ejecutan cada proceso y un cuestionario de análisis de impacto empresarial. Un cuestionario de análisis de impacto empresarial es el método más eficaz para recopilar información. Si, en cambio, utilizas entrevistas, recopilarías la misma información que se analiza a continuación, pero sería menos estandarizada que un cuestionario.
La lista de preguntas que componen un cuestionario son:
- Nombre del proceso
- Una descripción detallada de dónde se realiza el proceso.
- Todas las entradas y salidas del proceso
- Recursos y herramientas que se utilizan en el proceso
- Los usuarios del proceso
- La temporización
- Los impactos financieros y operativos
- Cualquier impacto regulatorio, legal o de cumplimiento
- Información histórica
Esencialmente, tu lista debe incluir preguntas que los empleados de varios departamentos diferentes puedan responder: los gerentes probablemente comprenderán los impactos financieros y operativos, mientras que los empleados de nivel inferior que realizan procesos podrán proporcionar una descripción detallada y todas las entradas y salidas. Los impactos regulatorios y legales pueden ser respondidos por su equipo de cumplimiento, un abogado interno o la gerencia de la división.
También puedes entregar la encuesta a socios comerciales externos que puedan tener información sobre este proceso o miembros de la alta gerencia que estén involucrados o tengan interés en él.
En resumen, debes hacer que cualquier persona que realice o administre cualquier parte del proceso complete la encuesta de análisis de impacto comercial para crear el plan más completo posible.
Una vez que se recopilen todas las encuestas, debes consolidar todos los datos en un documento que enumere claramente la información mencionada anteriormente para cada proceso. Asegúrate de que no se pierda ninguna información y de que los datos recopilados sean concisos y claros para que cualquiera que los lea pueda comprender el proceso y la información más importante al respecto. Incluso puedes crear diagramas de flujo de cada proceso si te resulta útil.
Revisión y análisis de la información
Una vez que hayas recopilado toda la información necesaria sobre cada proceso comercial, puedes comenzar el análisis de impacto.
Al observar cada proceso, el equipo de análisis de impacto comercial analizará cada proceso para determinar tres cosas:
- ¿Qué funciones y procesos son más importantes para el funcionamiento continuo de tu empresa? Una lista de prioridades de cada proceso es el resultado final de esta determinación. Si hubiera un desastre a gran escala mañana, esta lista indicaría a tu empresa qué procesos deben comenzar a funcionar y cuáles pueden esperar.
- ¿Qué recursos humanos y tecnológicos necesita cada proceso para operar con éxito? Esto te permitirá priorizar a las personas y la tecnología en caso de que un proceso no funcione. En lugar de involucrar a demasiadas personas o tecnología innecesaria, tu empresa puede identificar a los actores críticos e involucrarlos hasta que el proceso esté funcionando normalmente.
- ¿Cuál es el cronograma de recuperación para que el proceso vuelva a funcionar normalmente? Al tomar esta determinación, debes considerar cuánto tiempo tomará en términos prácticos y qué tan rápido tu equipo necesitará recuperar el proceso para evitar más pérdidas de reputación o monetarias e identificar cualquier gran disparidad entre estos dos.
Si hay un proceso que determinas que debe estar en funcionamiento dentro de las 12 horas para mantener tu empresa en funcionamiento, y tus recursos actuales solo pueden ponerlo en funcionamiento dentro de las 24 horas, ese es un problema que debe abordarse en la sección de recomendaciones de tu análisis de impacto empresarial.
Al final, debes tener una lista priorizada de procesos y una secuencia de recuperación para funciones críticas para que, en caso de cualquier tipo de interrupción comercial, tu empresa pueda tomar una determinación rápida sobre cómo priorizar la recuperación. Ya sea que el incidente afecte a todos los departamentos, a un solo departamento o a algunos departamentos de la empresa, el liderazgo podrá determinar en qué enfocarse primero.
Esta lista de prioridades debe revisarse con algunas de las partes interesadas que participaron en la fase de recopilación de información para que el equipo de análisis de impacto empresarial pueda confirmar que has priorizado correctamente los procesos y que no estás perdiendo ninguna información crucial. Los jefes de departamento, la alta gerencia y los líderes de cumplimiento, finanzas y TI pueden ayudarte a asegurarte de que comprendes los impactos de cada proceso inactivo y la importancia de cada uno en el contexto más amplio de tu negocio.
Creación de informes BIA
Una vez que se haya analizado y confirmado toda esta información, prepararás un informe de análisis de impacto empresarial para presentarlo a la alta dirección y a otras partes interesadas en la recuperación ante desastres. Este informe es el resultado más importante de tu análisis de impacto empresarial porque es lo que utilizarás para comunicar tus hallazgos y recomendaciones a las personas de tu empresa que tienen el poder de realizar cambios en el proceso de recuperación ante desastres.
El proceso de recuperación ante desastres de tu empresa no puede desarrollarse por completo y ser efectivo sin un análisis de impacto empresarial, porque sin él, tu proceso de recuperación ante desastres no se basará en la realidad. Si el liderazgo de tu empresa no comprende qué procesos son los más importantes para poner en marcha y qué recursos se necesitan para que eso suceda, no pueden crear un proceso de recuperación ante desastres completamente informado. Es importante asegurarse de que tu equipo de análisis de impacto empresarial y el equipo de liderazgo de tu empresa comprendan esto cuando estés creando y entregando tu informe.
Tu informe final de análisis de impacto empresarial debe contener, como mínimo, la siguiente información :
- Resumen ejecutivo
- Objetivos y alcance del análisis de impacto empresarial
- Metodologías utilizadas en la recopilación de información
- Resumen de resultados
- Hallazgos detallados de cada departamento, que incluyen:
- los procesos o funciones más cruciales
- el impacto de las interrupciones en las diversas áreas del negocio
- la duración aceptable de la interrupción
- los niveles tolerables de pérdidas
- Comparación entre los costes financieros potenciales y los costes estimados para las estrategias de recuperación que pueden emplearse.
- Documentos de respaldo para los hallazgos
- Recomendaciones para la recuperación
Este informe es lo que proporcionarás a la administración y a las partes interesadas para brindarles información sobre el proceso, ayudarlos a comprender tus hallazgos y conocer las mejores opciones para la recuperación de cada proceso. Tómate el tiempo para asegurarte de que sea completo, esté bien redactado y sea fácil de entender.
Implementación de la recomendación de análisis de impacto empresarial
El paso final de este proceso es implementar recomendaciones. Una vez que tu equipo ha realizado el análisis de impacto comercial y ha comunicado los hallazgos, en última instancia, depende del liderazgo actuar en consecuencia, pero tu equipo puede ayudar a promover los hallazgos del análisis y alentar al liderazgo a seguir adelante con tus recomendaciones.
Este paso final también debe incluir actualizaciones y cambios en las recomendaciones cuando descubras que alguna de tus recomendaciones anteriores no está funcionando como se esperaba, se implementan nuevos procesos o se forman nuevos departamentos. Tu negocio no es una entidad estática; está cambiando y creciendo todo el tiempo, y tu análisis de impacto empresarial debería cambiar con él.
Implicaciones de no realizar un BIA
Cuando las organizaciones eligen no realizar un BIA, algunos de los problemas más comunes que ocurren y que afectan el desempeño del programa de continuidad del negocio incluyen:
Objetivos de recuperación subjetivos y confusión con respecto a las prioridades de recuperación
Sin un proceso formal de BIA, la organización a menudo carece de enfoque y objetividad para determinar el alcance, establecer prioridades y asignar objetivos de recuperación adecuados. Sin los objetivos de recuperación aprobados por la gerencia, las diferentes entidades de la organización pueden tener diferentes prioridades, lo que genera confusión sobre en qué capacidades invertir y priorizar para la implementación.
Por ejemplo, TI carecerá de los datos necesarios y la justificación para asignar objetivos de recuperación e invertir en capacidades de recuperación ante desastres.
Brechas de capacidad y alcance del programa inexacto
La falta de un proceso de BIA y del alcance del programa de arriba hacia abajo conduce a una desalineación entre las expectativas de la administración y el desempeño del programa. La implementación de estrategias y planes sin requisitos aprobados puede llevar a una preparación insuficiente y / o un gasto excesivo, lo que podría generar brechas en las capacidades de continuidad del negocio.
Además, sin desarrollar una comprensión de las necesidades y prioridades de la organización antes de determinar e implementar estrategias, la organización puede tomar conciencia gradualmente de los riesgos y las brechas en las capacidades de continuidad del negocio a medida que el programa madura, lo que lleva a aumentos continuos y ad hoc del alcance, lo que resulta en ineficiencias.
Falta de justificación para las inversiones en preparación
Muchas organizaciones intentan implementar un programa de continuidad del negocio, pero a menudo tienen dificultades para conectarse con la administración para obtener la tracción necesaria. El BIA comienza a responder las preguntas que se hace la administración: ¿cuáles son nuestros requisitos de continuidad comercial, qué debemos hacer y cuánto necesitamos invertir para llegar allí?
Sin el BIA, la organización simplemente no puede responder adecuadamente a estas preguntas.