Analýza dopadov na podnikanie (BIA) je prvým krokom programu kontinuity podnikania. Z pohľadu zaistenia kontinuity podnikania je dôležité spoznať a porozumieť nepriaznivým vplyvom, ktoré by malo narušenie dodávok produktov a služieb na organizáciu aj zainteresované strany. Vplyv narušenie sa v čase zvyčajne zvyšuje – môže byť zanedbateľný bezprostredne po rušivom incidente, ale postupne môže význam vplyvu narastať až na úroveň, kedy sa pre organizáciu stáva neprijateľným.
Velikost dopadu a časová závislost umožňuje organizaci prioritizovat produkty a služby, procesy i činnosti a stanovit požadavky (kapacitní, časové, kvalitativní aj.) na obnovení těchto prioritních činností. Je důležité identifikovat a porozumět vzájemným vztahům a požadavkům na zdroje, které jsou k zajištění daných činností potřebné.
Obr. 1: Vztahy mezi produkty, procesy, činnostmi, úkoly a zdroji
Analýza dopadů na podnikání by v úvodu měla zahrnovat definování hodnotících kritérií, včetně typů dopadů a časových rámců, které je třeba zvážit. Tyto parametry vycházejí z kontextu a podnikatelských cílů organizace a měly by zohledňovat potřeby všech zainteresovaných stran. Typy dopadů mohou například ovlivnit finance, pověst organizace, dodržování zákonů a předpisů, plnění smluvních závazků, podnikatelské cíle a další. Čas, kdy se dopady stávají nepřijatelnými, se může lišit v závislosti na povaze a časové citlivosti produktů a služeb. Pohybovat se mohou od sekund či minut, hodin či dnů, až po týdny a měsíce.
Poskytované produkty a služby nebo některé činnosti mohou být časově závislé na denní době, dnech v týdnu, období v měsíci či roce. Při posuzování maximálních možných dopadů je třeba vycházet z předpokladu, že k narušení dojde v nejhorším možném čase.
Vrcholové vedení organizace by mělo určit prahové hodnoty dopadu, které jsou pro organizaci nepřijatelné. Čas, kdy se dopady stanou nepřijatelnými lze označit jako „maximálně přípustná doba narušení (MTPD)“ nebo „maximální akceptovaný výpadek (MAO)“. Minimální úroveň dodávek produktu nebo služby, která je pro organizaci ještě přijatelná, může být vyjádřena jako “minimální cíl kontinuity podnikání (MBCO)“.
Časový rámec pro obnovení činnosti na stanovenou minimální úroveň / kapacitu je označován jako „cíl doby obnovy (RTO)“ činnosti. Určení RTO činnosti může také vyžadovat zohlednění závislosti na souvisejících činnostech a složitost procesu obnovy. Proto může být potřeba nastavit více RTO.
Při zvažování závislosti činností na informacích a datech by organizace měla zajistit aktuálnost informací a dat potřebných pro zajištění kontinuity činností. Organizace může k dosažení tohoto cíle použít parametr „cílový bod obnovy (RPO)“. RPO je časový bod v minulosti, ke kterému se obnovují informace a data použitá v dané činnosti tak, aby mohla po obnovení řádně fungovat. Z hodnot RPO lze odvodit frekvence zálohování.
Analýza dopadu na podnikání by měla také zahrnovat identifikaci závislostí prioritních činností, které organizaci umožní stanovit strategie a řešení kontinuity podnikání.
Proces analýzy dopadů na podnikání
Před zahájením BIA by organizace měla provést několik kroků, včetně určení kontextu organizace, rozsahu programu kontinuity podnikání, rolí a odpovědností osob i výborů, získání závazku vedení organizace i zdrojů potřebných na provedení BIA.
Obr. 2: Proces analýzy dopadů na podnikání (zdroj ISO/TS 22317:2015)
Provedení BIA je možné chápat jako projekt s uplatněním postupů projektového řízení, který zajistí řádnou přípravu, implementaci a monitorování procesů BIA, podávání zpráv dle požadavků projektu, průběžné přizpůsobování procesu a rozsahu BIA dle požadavků a očekávání příslušných zúčastněných stran a poučení se ze získaných zkušeností.
Při realizaci BIA jsou nejprve určeny časové limity, úrovně dodávek a priority produktů a služeb, které předurčují priority procesů. Pokud to složitost organizace nevyžaduje, může být rozhodnuto vynechat prioritizaci procesů a přistoupit přímo k prioritizaci činností.
Důležitým krokem je analýza shromážděných informací a zpracování závěrů s určením požadavků na kontinuitu podnikání. Závěry BIA by měly být schváleny vrcholovým vedením, včetně stanovených priorit produktů a služeb, procesů, činností a zdrojů.
Po schválení závěrů z BIA by organizace měla pokračovat návrhem a výběrem strategií a řešení kontinuity podnikání, které umožní účinnou reakci na narušení a budou sloužit jako základ pro koncipování plánů a postupů kontinuity podnikání.