Analýza dopadů na podnikání (BIA) je prvním krokem programu kontinuity podnikání. Z pohledu zajištění kontinuity podnikání je důležité poznat a porozumět nepříznivým dopadům, které by mělo narušení dodávek produktů a služeb na organizaci i zúčastněné strany. Dopad narušení se v čase obvykle zvyšuje – může být zanedbatelný bezprostředně po rušivém incidentu, ale postupně může význam dopadu narůstat až na úroveň, kdy se pro organizaci stává nepřijatelným.
Velikost dopadu a časová závislost umožňuje organizaci prioritizovat produkty a služby, procesy i činnosti a stanovit požadavky (kapacitní, časové, kvalitativní aj.) na obnovení těchto prioritních činností. Je důležité identifikovat a porozumět vzájemným vztahům a požadavkům na zdroje, které jsou k zajištění daných činností potřebné.
Obr. 1: Vztahy mezi produkty, procesy, činnostmi, úkoly a zdroji
Analýza dopadů na podnikání by v úvodu měla zahrnovat definování hodnotících kritérií, včetně typů dopadů a časových rámců, které je třeba zvážit. Tyto parametry vycházejí z kontextu a podnikatelských cílů organizace a měly by zohledňovat potřeby všech zainteresovaných stran. Dopady mohou ovlivnit například finance, pověst organizace, dodržování zákonů a předpisů, plnění smluvních závazků, naplňování podnikatelských cílů a další. Čas, kdy se dopady stávají nepřijatelnými, se může lišit v závislosti na povaze a časové citlivosti produktů a služeb. Pohybovat se mohou od sekund či minut, hodin či dnů, až po týdny a měsíce.
Poskytované produkty a služby nebo některé činnosti mohou být časově závislé na denní době, dnech v týdnu, období v měsíci či roce. Při posuzování maximálních možných dopadů je třeba vycházet z předpokladu, že k narušení dojde v nejhorším možném čase.
Vrcholové vedení organizace by mělo určit prahové hodnoty dopadu, které jsou pro organizaci nepřijatelné. Čas, kdy se dopady stanou nepřijatelnými lze označit jako „maximálně přípustná doba narušení (MTPD)“ nebo „maximální akceptovaný výpadek (MAO)“. Minimální úroveň dodávek produktu nebo služby, která je pro organizaci ještě přijatelná, může být vyjádřena jako “minimální cíl kontinuity podnikání (MBCO)“.
Časový rámec pro obnovení činnosti na stanovenou minimální úroveň / kapacitu je označován jako „cíl doby obnovy (RTO)“ činnosti. Určení RTO činnosti může také vyžadovat zohlednění závislosti na souvisejících činnostech a složitost procesu obnovy. Proto může existovat potřeba nastavit více RTO.
Při zvažování závislosti činností na informacích a datech by organizace měla zajistit aktuálnost informací a dat potřebných pro zajištění kontinuity činností. Organizace může k dosažení tohoto cíle použít parametr „cílový bod obnovy (RPO)“. RPO je časový bod v minulosti, ke kterému se obnovují informace a data použitá v dané činnosti tak, aby mohla po obnovení řádně fungovat. Z hodnot RPO lze odvodit frekvence zálohování.
Proces analýzy dopadů na podnikání
Před zahájením BIA by organizace měla provést několik kroků, včetně určení kontextu organizace, rozsahu programu kontinuity podnikání, rolí a odpovědností osob i výborů, získání závazku vedení organizace i zdrojů potřebných na provedení BIA.
Obr. 2: Proces analýzy dopadů na podnikání (zdroj ISO/TS 22317:2015)
Provedení BIA je možné chápat jako projekt s uplatněním postupů projektového řízení, který zajistí řádnou přípravu, implementaci a monitorování procesů BIA, podávání zpráv dle požadavků projektu, průběžné přizpůsobování procesu a rozsahu BIA dle požadavků a očekávání příslušných zúčastněných stran a poučení se ze získaných zkušeností.
Při realizaci BIA jsou nejprve určeny časové limity, úrovně dodávek a priority produktů a služeb, které předurčují priority procesů. Pokud to složitost organizace nevyžaduje, může být rozhodnuto vynechat prioritizaci procesů a přistoupit přímo k prioritizaci činností.
Důležitým krokem je analýza shromážděných informací a zpracování závěrů s určením požadavků na kontinuitu podnikání. Závěry BIA by měly být schváleny vrcholovým vedením, včetně stanovených priorit produktů a služeb, procesů, činností a zdrojů.
Po schválení závěrů z BIA by organizace měla pokračovat návrhem a výběrem strategií a řešení kontinuity podnikání, které umožní účinnou reakci na narušení a budou sloužit jako základ pro koncipování plánů a postupů kontinuity podnikání.