Что определяет анализ воздействия сбоев на бизнес который проводится на стадии планирования

Не все знают, с чего и когда начать воплощать планы по непрерывности бизнеса в жизнь. Я обычно говорю так: когда возможные потери выше затрат на противодействие угрозе — пора принимать меры, затраты на них будут адекватными. И наоборот. Если со стоимостью противодействия все более-менее понятно, то оценка потерь — задача нетривиальная.

Я приглашаю вас за кулисы проекта по оценке влияния чрезвычайных ситуаций на бизнес (Business Impact Analysis — BIA) и разработке стратегии обеспечения непрерывности ИТ на примере крупного ритейлера. Итак, поехали.

Начало

Мы участвовали в проекте X5 Retail Group — крупнейшего ритейлера России. Компания управляет сетями «Пятерочка», «Карусель» и «Перекресток».

У нее уже была своя политика по управлению рисками прерывания деятельности, которая содержала в себе:

1. страхование рисков;
2. формирование антикризисного управления;
3. минимизация рисков жизни и здоровью людей;
4. контроль рисков управляемости бизнесом;
5. подготовка планов восстановления ИТ-систем при чрезвычайных ситуациях.

Но с учетом экономики процесса компания предположила, что адекватной мерой на случай чрезвычайной ситуации будет резервирование только самых критичных ИТ-систем, без которых магазины не смогут работать и в компании начнутся значительные финансовые потери. Возникает важный вопрос — какие именно системы и за какое время должны восстанавливаться?
ИТ-департамент заказчика определил классификацию ИТ-систем и допустимое время восстановления каждой системы. Однако позже было принято решение провести полноценную оценку влияния чрезвычайных ситуаций на бизнес компании (BIA) согласно ISO 22301 и лучшим практикам.

Объем и границы

Театр начинается с вешалки, а BIA — с определения объема работ. Для этого нужно обследовать бизнес-процессы компании, ее услуги, финансовую отчетность, взаимоотношения с партнерами, клиентами и контрагентами. Затем определить и согласовать те ключевые бизнес-процессы и услуги, которые войдут в границы проекта. От объема зависит продолжительность и стоимость BIA. При этом наш опыт подсказывает, что не стоит растягивать проект больше, чем на 9 месяцев.

В нашем случае заказчик уже определил границы, выбрав наиболее значимые для торговой деятельности бизнес-процессы.

Интервью

После того как зафиксированы границы и рамки BIA, определяется перечень заинтересованных лиц от бизнес- и других подразделений, с которыми требуется провести интервью. Очень важно собрать сведения от разных департаментов, чтобы получить объективную картину процессов в компании, понять, как они работают, получить оценку «а что будет, если…». На этом этапе мы получаем сведения, как именно бизнес-процессы зависят от ИТ и строим матрицу этих зависимостей. Также представители бизнеса и заинтересованные в бизнес-процессе стороны оценивают последствия, вероятный ущерб, возможные сценарии развития событий. Для этого мы разработали специальную анкету и опросили около 50 респондентов (представили 50 презентаций о самом проекте, провели, получили и обработали все заполненные анкеты).

Бизнес-процессы

Параллельно с интервьюированием мы описали бизнес-процессы, причем с учетом времени выполнения отдельных операций и глубиной проработки, достаточной для дальнейшего анализа. Разбиение процесса на более мелкие составляющие и конкретные операции необходимо для того, чтобы понять, как ИТ-система влияет на конкретный процесс в разное время суток и разное время года.

На этом этапе важно понимать, что мы не описываем бизнес-процессы согласно ГОСТ или иной методологии. Мы не занимаемся оптимизацией бизнес-процессов и в целом не даем рекомендаций по улучшению бизнес-процессов, по крайней мере, в рамках BIA. Мы описываем бизнес-процессы в такой детализации, которая позволяет нам обосновать методику расчета потерь и оценить потери по нескольким критериям. Для графического описания использовали нотацию EPC, ARIS и MS Visio, как инструменты.

Пороги

Для того чтобы определить объективное целевое время восстановления, необходимо на берегу договориться о критериях, по которым будем оценивать ущерб, и об их пороговых значениях. При превышении данных порогов будем считать ущерб критичным, а временной интервал, при котором достигается пороговое значение, станет целевым временем восстановления. Было предложено два варианта:

• определить RTO по одному критерию — финансовые потери;
• определить RTO по трем критериям — финансовые потери, потеря репутации, потеря управляемости бизнес-процессов.

Забегая вперед, скажу, что при использовании первого варианта с одним критерием оказалось, что RTO по процессу «ценообразование», например, может достигать 10 дней. При расчете по второму варианту RTO не превышало 24 часов. В любом случае, управленческое решение — какие потери учитывать, а какие нет — остается за заказчиком.

Риски

Совместно с заказчиком определили перечень операционных рисков. То есть тех, которые влияют на ИТ, а те в свою очередь влияют на бизнес-процессы, которые… ну вы поняли. Этот этап важен, потому что чрезвычайная ситуация не рассматривается как сферический конь в вакууме, дескать, что же будет с Родиной и с нами, если мы потеряем ИТ. Риски разделили на глобальные и локальные.

Для каждого из них определили сценарий развития и влияние на процессы компании с учетом результатов интервьюирования. Очевидно, что одна и та же ИТ-система при выходе из строя может затронуть несколько бизнес-процессов, но нас в рамках проекта жутко волновали только два процесса. Дальше мы провели оценку исков в соответствии со следующими параметрами:

• распространение угрозы;
• возможность оповещения;
• длительность воздействия;
• вероятность возникновения;
• оценочный ущерб.

Нужно уточнить, что оценка рисков и дальнейшее ранжирование формируются с помощью группы экспертов и необходимы для того, чтобы определить наиболее критичные ситуации для заказчика.

Условный риск и сценарий. Пожар в ЦОД: полностью сгорела серверная комната, недоступен модуль SAP, задействованный в процессе «Пополнение». Это значит, что каждый день, пока сгоревший модуль SAP не будет восстановлен, товарный ассортимент уменьшается.

В первую очередь это касается скоропортящихся продуктов, во вторую — продуктов, пользующихся массовым спросом (например, крупы и хлеб), в третью — бытовой химии. Очевидно, что такая ситуация приведет к снижению выручки в магазинах. А вот что не вполне очевидно: покупатель, который пришел за пивом и сигаретами, в случае отсутствия одного из товаров может с большой долей вероятности ничего не купить. Аналогично для процесса «Ценообразование». Если условный покупатель, который узнал о скидках в среду в 12:00, пополудни придет в магазин, а процесс «Ценообразование» не работает (то есть цены без скидок), то он:

А) не купит ничего (= финансовые потери);
Б) будет обвинять магазин в мошенничестве (= потеря репутации)
В) пожалуется регулятору (= штраф за недобросовестную рекламу).

Методика оценки потерь

Как вы, наверное, поняли из вышесказанного, чтобы посчитать даже финансовые убытки, необходимо разработать методику и формулы их подсчета, которые учитывают скидки, акции, время суток, высокий сезон (например, ажиотаж в конце декабря). Методика должна содержать описательную часть (что откуда берется и почему умножается на весовые коэффициенты), а также таблицы и графики для наглядности восприятия.

Также в методике описывается:

• как определяется время восстановления для бизнес-процесса;
• как время восстановления для бизнес-процесса транслируется в RTO/RPO для ИТ-систем;
• классы критичности и классы восстановления — зачем это нужно.

Расчет RTO

После того как проведены все интервью, описаны бизнес-процессы, оценены риски, определена и утверждена методика, производится расчет потерь. Так как бизнес «Пятерочки», «Карусели» и «Перекрестка» различается как минимум масштабами — для каждой сети мы разработали свои таблицы, свои графики и расчеты потерь.

Для бизнес-процесса в целом определяется время восстановления (см. методику), когда потери превышают пороговое значение (см. пороги). Это время восстановления присваивается тем ИТ-системам, которые участвуют в бизнес-процессе (см. интервью и матрица зависимостей). Казалось бы, параметры непрерывности определены — проект закончен (см. границы и рамки).

Но недостаточно сказать «процесс должен восстанавливаться за 12 часов». Важно определить, как это работает сейчас. За сколько часов ИТ-систему удается реанимировать сегодня? И что делать, если текущее время восстановления больше или значительно больше целевого? Для тех, кто еще сохраняет рассудок и концентрацию, добро пожаловать в GAP!

GAP-анализ и план дальнейших действий

В результате предыдущих шагов мы определили состояние для процессов и систем «TO BE», то есть как должно быть в идеале. На текущем этапе, определяем состояние «AS IS». При этом мы в меньшей степени трогаем бизнес-процессы, а сосредотачиваемся на ИТ-составляющей. Для заказчика мы оценили его текущие решения с точки зрения восстановления после чрезвычайной ситуации.

Причем в данном случае не пришлось проводить реальное восстановление с таймером. Достаточно было углубиться в подробности и хватило настольного тестирования, чтобы понять, что целевое RTO недостижимо.

После этого мы разработали ряд рекомендаций, как общего характера (по обеспечению непрерывности ИТ), так и касающиеся непосредственно ИТ-систем и их архитектуры. Это эскизы технических решений и грубая оценка стоимости их реализации. Фактически теперь есть основа для принятия решения. На одной чаше весов — потери, а на другой — стоимость мероприятий.
Если некоторые ИТ-системы не проходят GAP-анализ, а точнее, время их восстановления больше, чем целевое, мы делаем программу проектов по достижению целевого состояния или, если хотите, дорожную карту с обоснованием очередности выполнения проектов и промежуточной оценкой повышения устойчивости организации.

Помимо этого, для заказчика мы разработали методические материалы и шаблоны для формирования планов непрерывности и планов аварийного восстановления.

Стратегия

Подождите-подождите, я уже почти закончил.

По итогам BIA мы разработали стратегию обеспечения непрерывности ИТ. В стратегии непрерывности описали два ключевых момента.

1. Какие ИТ-риски, влияющие на деятельность компании, принимаются во внимание, а какие — нет (то есть чего мы боимся и будем решать в рамках непрерывности, а чего не боимся и для этого у нас есть инцидент-менеджмент).
2. Какими организационными, архитектурными, инфраструктурными и иными решениями мы будем защищаться от угроз.

Что дальше? Дальше реализация стратегии непрерывности и business impact analysis для других бизнес-процессов и ИТ-систем. Разработка планов непрерывности, периодическое тестирование этих планов, но это совсем другая история.

Игорь Тюкачев, Консультант Центра проектирования вычислительных комплексов «Инфосистемы Джет»

• Business Impact Analysis
• bcp
• непрерывность бизнеса

• Блог компании Инфосистемы Джет
• Анализ и проектирование систем
• Алгоритмы
• Управление продажами

Источник: habr.com

Как провести анализ рисков бизнеса?

Каждый бизнес встречается с рисками, которые иногда приводят к серьезным потерям. Все предусмотреть нельзя, но большинство угроз реально спрогнозировать и подготовить способы решения. Мы узнали у предпринимателей, как анализ рисков помогает остаться на плаву.

Что такое анализ рисков бизнеса

Если говорить просто, то это план действий для кризисных моментов. Риски прописывают на этапе запуска в бизнес-плане или инвестиционном проекте. На основе анализа рассчитывают финансовую модель, потому что угрозы влияют на окупаемость.

Риски учитывают и в работающем бизнесе. Например, предприниматель открыл ларек с шаурмой в марте 2020 года, а уже в апреле произошел локдаун. Кухню не подготовили к работе на доставку, посетителей принимать нельзя, и бизнес встал. По идее даже такую ситуацию нужно предвидеть, чтобы избежать проблем.

Аналитик компании 3DAnalytics Денис Загребиль считает, что в пандемию обострились регуляторные риски:

«Сегодня актуальны регуляторные риски. Как пример — введение штрафов за несоблюдение требований карантина; открытие/закрытие туристических направлений. Конечно, риски зависят от вида деятельности. В моей практике риски часто встречаются в финансовой деятельности (банки, страхование, инвестиции), информационной безопасности, экологической безопасности»

В риск-анализе прописывают 4 основных параметра:

• Вероятность. Возникновение пандемии спрогнозировать маловероятно, а вот штрафы контролирующих органов в общепите случаются не так уж и редко.
• Степень воздействия. Здесь прогнозируют потери бизнеса от возникновения рисков. МЧС может оштрафовать, а Роспотребнадзор закрыть точку до устранения недоработок. Нужно посчитать, сколько денег теряет компания в этом случае.
• Ответственный. Этот человек предотвращает риски или минимизирует последствия.
• Бюджет. Риски — это всегда затраты, и лучше продумать заранее, как компенсировать потери.

Какие риски бывают в бизнесе

У каждого бизнеса свой круг рисков, поэтому лучше открывать дело в сфере, в которой разбираетесь. Так проще определить круг потенциальных угроз. Но обычно выделяют 6 типов рисков.

Внутренние

Эти угрозы появляются от действий руководства или сотрудников. Например, компания дала таргетированную рекламу в соцсетях. Клиенты начали задавать вопросы в личных сообщениях, а менеджер односложно отвечает, не выводит на диалог, не задает вопросы. В итоге реклама привела потенциальных покупателей, но по вине сотрудника продажи не состоялись.

Производственные

На производстве происходит брак из-за человеческого фактора или некачественного сырья. Или завод встал из-за аварии на подстанции, а оборудование вышло из строя.

Финансовые

Это все, что связано с деньгами. Например, компания отправила продукты в розничные магазины, а те не расплатились в срок. Или предприниматель потратил деньги поставщиков на покупку машины, а у него не осталось средств, чтобы расплатиться по обязательствам.

Страховые

Есть случаи, которые можно заранее предусмотреть и застраховать: пожар или воровство оборудования. Бизнес несет затраты на страховку, но если риски произойдут, то предприниматели получат компенсацию.

Коммерческие

Эти угрозы влияют на реализацию товаров или услуг. Например, магазин одежды столкнулся с тем, что клиенты предпочитают покупать в интернете. Или веб-студия не находит клиентов, потому что конкуренты делают сайты дешевле.

Внешние

На эти условия предприниматель не может повлиять: изменения в законодательстве, пандемия или нововведения в налоговой системе. На последнем стоит остановиться чуть подробнее. В 2021 году предприниматели столкнулись с тем, что государство отменило режим ЕНВД, а взамен предложило измененный патент. Но, как правило, патент в регионах обходится дороже, чем «вмененка». И это несмотря на то что власти разрешили уменьшать стоимость на сумму страховых взносов.

В ФНС стали строже следить за предпринимателями и обоснованностью сделок. С 2021 года налоговики изменили алгоритмы проверки 6-НДФЛ, чтобы видеть предпринимателей, которые платят меньше средней зарплаты по отрасли. То есть если сотрудники получают небольшую официальную зарплату, то ФНС может прислать требование с просьбой указать причины.

Основатель «Школы Профессионального Владельца бизнеса» Оксана Дажун считает, что предприниматели должны обращать пристальное внимание на налоговые риски:

«Важно отслеживать в налоговом контроле результаты и планы ФНС. Изучите, как выбирают компании для плановой проверки, как проводить оптимизацию налогов, как работают суды и чего ждать бизнесу от налогового администрирования. Для этого хотя бы раз в год полезно посещать тренинги, семинары, где расскажут о нововведениях и о судебной практике.

• Сформулировать проблему — то, что может быть эффективно.
• Сформулировать риск — то, что может случиться, если ничего не делать.
• Сформулировать цель — до какого состояния мы хотим и можем снизить риск.
• Сформулировать мероприятия по управлению рисками — что мы будем делать.
• Назначить ответственного за каждый риск.
• Установить конечные и контрольные сроки воздействия на риск.
• Коллегиально установить вероятность наступления риска по 10-балльной шкале.
• Коллегиально установить глубину последствий риска по 10-балльной шкале.
• Определить степень риска и категорию реагирования.
• Внести мероприятия в общий стратегический план мероприятий, индивидуальные СМАРТ-задачи»

Денис Загребиль считает, что риски у каждого бизнеса разные, но некоторые встречаются чаще:

«Риски зависят от этапа развития бизнеса или компании. Но основными я считаю некачественное оказание услуг, недобросовестных поставщиков и сотрудников, переоценку рыночных возможностей. В целом, на мой взгляд, управленческие решения часто принимаются без тщательного анализа рисков бизнеса, ситуационно или на основании опыта»

Как оценивать риски в бизнесе?

Для этого нужно погрузиться в бизнес-процессы и понять слабые места. Учебники по бизнесу выделяют 5 основных методов проведения риск-анализа.

Качественная оценка

Это таблица, где риски распределяют по степени возникновения:

После этого прописывают, как компания реагирует на каждый из рисков. Например, предприниматели заранее знали про отмену ЕНВД. Соответственно, за год до этого продумывали действия для бизнеса: выбор системы налогообложения, сокращение издержек, смена торговых точек.

Руководитель компании «Понимай Франчайзинг» Олег Шатилов проводит качественную оценку перед каждым запуском франшизы:

«Компания предлагает партнерам известность бренда, которая создает поток входящих клиентов. Но это касается первичного привлечения, а должны работать и процессы, направленные на сопровождение и удержание (crm и технологии обучения). И если эти процессы не работают, то франшиза не привлечет новых партнеров. Они узнают, что работа плохо выстроена, и пройдут мимо»

Метод аналогий

Это сравнение рисков на базе реализованных проектов такой же тематики. Пилорама запускает производство пеллетов, а коммерческий директор работал на таком заводе в прошлом. Он расскажет, с какими рисками столкнется пилорама и как их избежать. Для этого метода пригодятся сторонние эксперты, которые запускали такие проекты и знают подводные камни.

Коммерческий директор предприятия «Люкшудьинский леспромхоз» Александр Труфанов считает, что общение с конкурентами помогает понять будущие проблемы:

«Мы решили запустить производство фанеры. Мы всегда в диалоге с другими предприятиями и знаем, что главная трудность — поиск сырья. Но у нас собственное сырье, и риски другие. Например, трудно найти работников. В нашей местности просто некому работать.

Но скоро рядом построят жилой комплекс, и мы планируем привлекать персонал из этих домов. Поэтому новое производство запустим после окончания стройки»

Контрольные списки источников рисков

Когда компания развивается, она накапливает опыт ошибок и проблем. Руководители заранее знают, с чем столкнутся на определенных этапах масштабирования. Например, пиццерия продает франшизу в разные города, и контрольный список поможет заранее понять опасности. Составляйте чек-лист проблем, который пополняется с каждым новым проектом.

Метод рейтинговых оценок

Это способ, когда ставят рискам оценки по пятибалльной или десятибалльной системе. Если государство собирается ужесточить наказание в области налогов, то риску ставят оценку 5. Значит, в ближайшее время придется вместе с бухгалтером оптимизировать налоги и учет, чтобы не привлекать внимание ФНС. Если у производства 3 постоянных поставщика и 2 в запасе, то угроза остановки не грозит. Этому риску ставят оценку 1 и не принимают срочных решений.

Метод экспертных оценок

Для этого метода привлекают сторонних экспертов: аналитиков, юристов, технологов. Выбор зависит от направления бизнеса. Каждый эксперт делает анализ рисков бизнеса по своей деятельности и определяет влияние на развитие проекта.

Если говорить про малый бизнес, то не всегда предприниматели проводят риск-анализ по методикам. Часто это происходит по наитию и на основе опыта. Денис Загребиль считает, что этот подход не совсем верен:

«Сложность использования метода в необходимости привлекать нескольких экспертов из разных областей или одного, но с широкой экспертизой.
Для оценки рисков в связи с выходом на новые рынки необходимо знать требования местного законодательства к качеству продукции (юристы), конкурентную среду, каналы продвижения, ценообразование (маркетолог, аналитик), квалификацию персонала в стране. Неоспоримый плюс привлечения экспертов — возможность комплексной оценки рисков. Минус же в том, что зачастую требуется участие нескольких экспертов по одинаковым вопросам»

А эксперт по франчайзингу Евгений Талдыкин считает, что с риск-анализом справится руководитель и сотрудники:

«Я был директором по франчайзингу сети парикмахерских. Обедал с сотрудниками и задавал вопросы: что будет, если завтра упадут продажи в 10 раз? Или из-за чего от нас отвернутся потенциальные партнеры? Сотрудникам нравилось доверие, и они активно отвечали на вопросы. А уже из ответов рождались решения.

Например, в один момент мы поняли, что у нас много партнеров, менеджеры не в состоянии каждый день поддерживать общение со всеми. В чатах повисли десятки неотвеченных сообщений, а это угроза, что люди откажутся от сотрудничества и расскажут другим. А что будет, когда количество партнеров еще увеличится? Стали работать над проблемой и внедрили чат-бота, который отслеживал чаты с неотвеченными сообщениями, чтобы менеджеры в Отделе сопровождения вовремя отвечали. В целом сессии по анализу рисков бизнеса давали идеи для автоматизации, изменения процессов, увольнения или приема персонала»

Как запустить процесс анализа бизнес-рисков

Определить риски для бизнеса не так сложно. Не стоит бояться научных названий и думать, что без специалистов не обойтись. Конечно, в некоторых случаях нужны эксперты, но основную работу проводят руководители и сотрудники компании.

• Определите внутренние риски. У бизнеса есть цели и задачи. Выясните, что мешает выполнению плана на каждом этапе.
• Сделайте базу рисков компании. Пропишите информацию про все риски, которые угрожают развитию. Распределите их по уровню опасности.
• Назначьте ответственных. Руководитель не сможет контролировать все опасности. Поэтому делегируйте задачи сотрудникам, они на своем участке будут следить, чтобы риски не нанесли урон бизнесу.
• Решите, как управлять рисками. Ответственные должны знать, на что обращать внимание при работе с рисками: как уменьшить опасность и что делать при возникновении.
• Обновляйте базу рисков. Бизнес постоянно развивается и появляются новые опасности. Поэтому регулярно обновляйте базу данных, чтобы была полная картина опасностей и способов решений.

Пример таблицы для контроля бизнес-рисков

Оксана Дажун считает, что эффективный анализ рисков бизнеса прежде всего зависит от руководителя:

«Управлять умеют все, вплоть до кухарок, но по факту мало кто этому учится. Сейчас MBI подтягивают понимание и учат, как управлять, но, к сожалению, я до сих пор встречаю огромное количество директоров, которые используют интуитивный подходит в управлении. А интуитивных подход — это, как правило, реактивный подход: есть проблема — есть реакция, нет проблемы — нет реакции. В таких случаях риски всегда наступают и бьют очень больно. Главная задача — перейти с реактивного управления на системный подход. Это значит, что нужно научиться предугадывать наступление рисков и выстроить хорошую систему мониторинга»

Анализ рисков бизнеса помогает предпринимателям подготовиться к возникновению проблем. Если подходить к этому системно, то у бизнеса появится защита от неожиданных потерь.

Источник: planfact.io

Анализ воздействия на бизнес BIA: подробные этапы процесса и примеры

Любой бизнес связан с определенным уровнем риска. И когда твой Компания расширяется, эти риски усугубляются и имеют больший потенциал для нанесения вреда. Хотя вы не можете полностью защитить свою компанию от всех возможных наихудших сценариев, анализ влияния на бизнес BIA поможет вам подготовиться к последствиям возникновения этих рисков. Таким образом, это может дать вашей компании наилучшие шансы на восстановление. Мы рассмотрим некоторые примеры анализа влияния на бизнес и процесс, связанный с проведением анализа.

Что такое анализ воздействия на бизнес BIA?

Анализ воздействия на бизнес BIA — это структурированная процедура, используемая вашей организацией для анализа и оценки вероятных последствий сбоев в жизненно важных бизнес-операциях, вызванных стихийными бедствиями, авариями или чрезвычайными ситуациями. Анализ воздействия на бизнес является важным компонентом деятельности компании. план продолжения работы компании.

A бизнес анализ воздействия покажет вам, как повлияет на вашу компанию, если ваши бизнес-процессы будут нарушены из-за перерыва в работе. Проведение исследования воздействия на бизнес также позволяет проанализировать каждый процесс и отдел независимо друг от друга и в связи друг с другом, определить, какие функции наиболее важны для продолжения работы вашей фирмы, и разработать стратегию восстановления.

Хотя анализ влияния на бизнес не является обязательным для соблюдения каких-либо основных структур безопасности данных (хотя он необходим для Соответствие стандарту ISO 22301). Это первый шаг к созданию хорошего план продолжения работы компании для вашей компании. Наконец, финансовое и репутационное здоровье вашей компании — это ее способность восстанавливаться после аварии, будь то утечка данных, стихийное бедствие или другой тип сбоев в бизнесе.

Анализ влияния на бизнес также предоставит вам инструменты, необходимые для обеспечения соблюдения юридических обязательств и обязательств по обеспечению безопасности данных, а также для восстановления после сбоя в бизнесе, работая этично и законно. В то время как отдельные отделы могут понимать последствия сбоя процесса или функции, вы не сможете полностью осознать эти последствия для всей своей компании, если не проведете анализ влияния на бизнес и не соберете всю эту информацию в одном месте.

Примеры общих убытков в анализе воздействия на бизнес BIA

Для нас было бы невозможно упомянуть здесь каждый отдельный сценарий прерывания бизнеса. Кроме того, маловероятно, что ваша компания сможет разработать и внедрить стратегию для каждой возможной ситуации с потерями.

Вместо этого сконцентрируйтесь на наиболее распространенных примерах потерь при анализе влияния на бизнес и на том, как они могут нанести вред вашей компании. Рассмотрим эти примеры анализа воздействия на бизнес; если в вашей компании есть производственный компонент, вы должны планировать несчастные случаи, которые приводят к убыткам. Пожары, сломанные трубы и неисправности машин — все это очень реальные риски. В качестве альтернативы, если ваша компания продает программное обеспечение CRM, клиенты ожидают, что их данные о продажах / клиентах будут доступны в любое время, когда они им понадобятся.

В результате ваша команда инженеров должна обеспечить высокую доступность вашего приложения. Возможно, вам потребуется добавить в свои системы избыточность, чтобы противостоять сбоям, а также внимательно следить за своим приложением и системами, на которых оно работает. Это делается для того, чтобы ваши клиенты испытывали наименьшее количество возможных сбоев.

Каждая компания должна быть готова к чрезвычайным ситуациям в бизнесе. Выход из строя производственных серверов, несвоевременная или несвоевременная поставка поставщиками материалов, трудовые споры, перебои в подаче электроэнергии, потеря ключевого сотрудника и кибератаки — все это может оказать негативное влияние на вашу организацию.

Природные и техногенные катастрофы также являются основными источниками остановки бизнеса. В зависимости от того, где расположены офисы вашей компании, складские помещения, серверы или другие важные бизнес-процессы, вы должны планировать те бедствия, которые с наибольшей вероятностью могут причинить вам вред. Землетрясения, ураганы, лесные пожары, террористические атаки или крупные отключения электроэнергии могут по-разному повлиять на ваш бизнес. Следовательно, вы должны планировать их.

Этапы процесса анализа влияния на бизнес (BIA)

Единого способа проведения анализа влияния на бизнес не существует. Для каждой фирмы он будет разным, и каждая компания должна адаптировать свой подход к конкретным требованиям своей организации. Однако, чтобы он был успешным, необходимо включить несколько элементов анализа воздействия на бизнес.

№1. Готовиться

Прежде чем вы сможете приступить к анализу влияния на бизнес, вы должны сначала собрать Команда проекта что выполнит это. Это может быть команда текущего персонала или команда аутсорсинга, занимающаяся проведением оценки воздействия на бизнес. Чтобы подготовиться к реальной работе по анализу воздействия на бизнес, эта группа должна определить и задокументировать цели и объем исследования воздействия в сотрудничестве с высшим руководством.

Прежде чем вы начнете, вы должны решить, какие отделы вы будете задействовать, как информация будет собираться и поддерживаться, а также график проекта.

№ 2. Получение информации

Следующим этапом вашего анализа влияния на бизнес является сбор необработанных данных о ваших бизнес-процессах. Интервью с персоналом, который наблюдает за каждым процессом и выполняет его, а также опросник для анализа влияния на бизнес — два наиболее частых способа сбора этих данных. Наиболее эффективным способом сбора информации является анкета по анализу воздействия на бизнес. Если бы вы использовали интервью вместо анкеты, вы бы собрали такую ​​же информацию, как указано ниже. Однако он будет менее стандартным.

Анкета для получения информации

Вот хорошая подборка вопросов для включения в анкету:

• Название процедуры
• Полное описание того, где вы будете проводить процедуру.
• Все входы и выходы процесса
• Ресурсы и инструменты, используемые в процессе
• Пользователи процедуры
• Последовательность событий
• Финансовые и операционные последствия
• Любые нормативные, юридические или нормативно-правовые последствия
• Предыдущие данные

По сути, ваш список должен включать вопросы, на которые могут ответить сотрудники различных отделов. Руководители, скорее всего, поймут финансовые и операционные последствия. Однако сотрудники более низкого уровня, выполняющие процессы, смогут предоставить подробное описание, а также все входы и выходы. Ваш персонал по соблюдению требований, штатный юрисконсульт или руководство подразделения могут предоставить ответы на нормативные и юридические последствия. Вы также можете разослать опрос внешним деловым партнерам, которые знакомы с процессом, или членам высшего руководства, которые участвуют в нем или заинтересованы в нем.

В заключение, любой, кто выполняет или наблюдает за любым компонентом процесса, должен пройти опрос для анализа влияния на бизнес. Это необходимо для создания наиболее всеобъемлющей стратегии.

Однажды все опросы были собраны, вы должны собрать все данные в единый документ, в котором четко указана информация, указанная выше для каждого этапа. Убедитесь, что нет пропущенной информации и что собранные данные краткие и четкие. Это делается для того, чтобы каждый читающий понял процесс и наиболее важную информацию о нем. Если это поможет, вы даже можете составить блок-схемы для каждого этапа.

№3. Обзор и анализ информации

Изучение эффекта можно начинать после того, как вы соберете всю необходимую информацию о каждом бизнес-процессе.
Группа анализа воздействия на бизнес изучит каждый процесс, чтобы установить три вещи:

Какие функции и процессы имеют решающее значение для текущей работы вашего бизнеса? В результате этого решения будет составлен приоритетный список всех процессов. Если завтра случится масштабная трагедия, этот список подскажет вашей компании, какие процедуры необходимо восстановить в первую очередь, а какие могут подождать.

Какие человеческие и технологические ресурсы необходимы для бесперебойной работы каждого процесса? В случае сбоя процесса вы сможете отдать приоритет людям и технологиям.

Каков график восстановления нормальной (или максимально близкой к нормальной) работы процесса? Принимая это решение, проверьте, сколько времени это займет с практической точки зрения, и насколько быстро вашей команде потребуется восстановить процесс, чтобы избежать репутационных или денежных потерь. Кроме того, найдите любые существенные пробелы между этими двумя.

Если вы обнаружите, что процесс должен быть запущен в течение 12 часов, чтобы ваша фирма продолжала работать, но ваши нынешние ресурсы могут обеспечить его работу только в течение 24 часов, это проблема, которую необходимо решить в части рекомендаций вашего исследования влияния на бизнес.

Наконец, у вас должен быть приоритетный список процессов и последовательность восстановления для важных функций. Это гарантирует, что ваша фирма сможет быстро определить приоритеты восстановления в случае перерыва в работе. Руководство сможет выбрать, на чем сосредоточить внимание в первую очередь, независимо от того, затрагивает ли инцидент каждый отдел, один отдельный отдел или несколько отделов во всей фирме.

№ 4. Разработка отчетов BIA по анализу воздействия на бизнес

После того, как вы просмотрите и подтвердите всю эту информацию, вы разработаете отчет об анализе влияния на бизнес, чтобы представить его высшему руководству и другим заинтересованным сторонам аварийного восстановления. Этот отчет является наиболее важным результатом вашего исследования влияния на бизнес. Он будет использоваться для передачи ваших выводов и предложений людям в вашей организации, которые имеют право изменять процесс аварийного восстановления.

Стратегия аварийного восстановления вашей компании не может быть полностью разработана и эффективна без изучения влияния на бизнес. Это связано с тем, что ваш процесс аварийного восстановления будет основан на шатком фундаменте. Руководство вашей компании не может установить полностью информированную процедуру аварийного восстановления, если оно не понимает, какие процессы наиболее важны для запуска и запуска и какие ресурсы требуются для этого. При разработке и представлении вашего отчета убедитесь, что ваша группа анализа воздействия на бизнес и руководство вашей компании понимают это.

Ваш окончательный отчет об исследовании воздействия на бизнес должен включать как минимум следующую информацию:

• Резюме
• Объем и цели анализа влияния на бизнес
• Методики сбора информации
• Резюме выводов
• Подробные выводы по каждому отделу, в том числе:

• наиболее важные процедуры или функции
• влияние сбоев на многие части бизнеса
• допустимая продолжительность перерыва
• допустимый уровень потерь
• сравнение предполагаемых финансовых затрат и ожидаемых цен на восстановительные процедуры, которые могут быть использованы
• Документы, подтверждающие выводы
• Рекомендации по восстановлению

Это отчет, который вы предоставите руководству, а также заинтересованным сторонам, чтобы дать им представление о процессе. Это поможет им понять ваши выводы, а затем узнать, каковы наилучшие решения для восстановления каждого процесса. Потратьте время, чтобы убедиться, что он всеобъемлющий, хорошо написанный и простой для понимания.

№ 5. Внедрение рекомендаций на основе анализа влияния на бизнес

Завершающим этапом этого процесса является претворение рекомендаций в жизнь. После того как ваша команда завершила исследование влияния на бизнес и представила результаты, в конечном итоге руководство должно принять меры. Однако ваша команда может помочь в продвижении выводов исследования и убедить руководство выполнить ваши предложения.

Когда вы обнаружите, что какие-либо из ваших предыдущих рекомендаций не работают, как планировалось, приняты новые процессы или сформированы новые отделы, на этом заключительном этапе должны быть обновлены и пересмотрены рекомендации. Кроме того, ваша компания не является статичным объектом; он постоянно меняется и расширяется, и ваше исследование влияния на бизнес также должно отражать это.

Как BIA поддерживает соблюдение правил и стандартов?

Указывая на потенциальные области несоответствия и предлагая предложения по улучшению, анализ воздействия на бизнес (BIA) может помочь в соблюдении правил и стандартов. BIA может обнаружить важный бизнес-процесс, который не имеет достаточных мер безопасности для защиты конфиденциальной информации. Чтобы снизить риски и обеспечить соответствие применимым нормам и стандартам, эти данные можно использовать для разработки корректирующих мер.

Как можно использовать BIA для поддержки постоянного улучшения?

Результаты анализа влияния на бизнес (BIA) могут помочь компании неуклонно совершенствоваться, выявляя ее самые насущные возможности и угрозы. Важные бизнес-операции, для которых нет адекватных планов резервного копирования или восстановления, или процессы, которые не оптимизированы для повышения эффективности, — это лишь два примера проблем, которые может помочь выявить BIA. Эти данные можно использовать для информирования стратегий усиления организационного сопротивления и поддержания прогресса.

Как BIA поддерживает разработку стратегий восстановления?

С данными, полученными от BIA, предприятия могут лучше подготовиться к любым сбоям и оправиться от них. BIA может сказать вам, какие части вашего бизнеса имеют решающее значение, какой ущерб может нанести сбой и какие виды активов и ресурсов вам потребуются для восстановления и работы. Эти данные можно использовать для разработки планов восстановления, в которых основное внимание уделяется скорейшему возобновлению работы критически важных сервисов при минимальном сбое.

Какова роль технологии в BIA?

Область анализа воздействия на бизнес в значительной степени зависит от технологических достижений (BIA). Многочисленные происшествия могут нарушить работу компании, включая использование информационных технологий и предоставляемых ими услуг.

Заключение

Независимо от того, используете ли вы анализ влияния на бизнес для целей соответствия, например, для аудита ISO 22301, или просто сохраняете его для дальнейшего использования, он должен храниться в месте, где ваши специалисты по обеспечению соответствия требованиям, ИТ-безопасности и руководители могут легко получить к нему доступ.

Вы можете установить политики и напоминания о сроках для своих документов в рамках программы, чтобы вы или ваши коллеги были немедленно уведомлены, когда пришло время просмотреть/повторно просмотреть документ, политику или анализ.

Часто задаваемые вопросы об анализе влияния на бизнес

Что входит в анализ воздействия?

Процесс оценки воздействия включает изоляция действий или событий которые, скорее всего, повлияют на бизнес, его финансы, а также на его операции. Во внешнем масштабе анализ воздействия рассматривает социальное, экономическое и экологическое значение этих событий и оценивает их последствия.

Каковы примеры анализа воздействия на бизнес?

Воздействия, которые следует учитывать, включают:

• Упущенные продажи и доход.
• Задержка продаж или дохода.
• Увеличение расходов (например, сверхурочная работа, аутсорсинг, расходы на ускорение и т. д.)
• Регуляторные штрафы.
• Договорные штрафы или потеря договорных бонусов.
• Неудовлетворенность клиентов или отказ от них.
• Задержка новых бизнес-планов

Как вы проводите анализ воздействия?

Каковы этапы проведения оценки воздействия?

1. Выберите проект(ы) для оценки.
2. Проведите оценку оцениваемости.
3. Подготовьте план исследования.
4. Контракт и персонал для оценки воздействия.
5. Проведите полевое исследование и проанализируйте его результаты.
6. Распространение результатов оценки воздействия.

Как часто следует проводить анализ влияния на бизнес?

Каждые два года BIA — это анализ на определенный момент времени — ваша ситуация может измениться через год или два. Рекомендуемый интервал обновления BIA — каждые два года; однако для некоторых предприятий он будет более продолжительным (если ситуация не сильно изменится), а для других — более коротким (банки обязаны делать это каждый год).

Статьи по теме

1. Аналитик по акциям: обзор, зарплата, работа и все, что вам следует знать
2. ВОССТАНОВЛЕНИЕ СЛУЖБ: Полное руководство по восстановлению службы
3. ОТДЕЛ МАРКЕТИНГА: Обзор, структура, роли, ожидания (+бесплатные советы)
4. 5 способов быстрого возврата безнадежных долгов
5. Коучинг продаж: подробное руководство по коучингу продаж для вашей команды по продажам

0 раз поделились:

Мир Нвадике

Пис — бизнес-консультант с многолетним опытом работы в сфере сельского хозяйства и недвижимости. Она написала множество электронных книг по бизнесу для стартапов с подтвержденным послужным списком историй успеха. Она также оказывает сельскохозяйственные услуги, начиная от агроконсалтинга и заканчивая установкой сельскохозяйственного оборудования. Она любит писать бизнес-статьи о своем богатом финансовом и деловом опыте.

Источник: businessyield.com