Análise de Impacto nos Negócios (BIA) é uma atividade crucial na Gestão de Continuidade de Negócios (GCN), identificando processos e recursos críticos, definindo objetivos de recuperação, prioridades e requisitos de continuidade. Os resultados da BIA são usados para selecionar estratégias e soluções de continuidade para se preparar e minimizar impactos em caso de disrupção.
E quando realizar a BIA (Business Impact Analysis)? Conforme a ISO 22301 (principal norma de GCN), o processo deve ser conduzido logo após planejar um projeto de SGCN (Sistema de Gestão de Continuidade de Negócios), e antes da seleção de estratégias e soluções de continuidade. Além disto, as organizações devem também revisar a BIA regularmente (por exemplo, a cada ano) e sempre que ocorrerem mudanças relevantes em seu contexto.
Para auxiliar na execução da BIA, a norma ISO 22317 oferece orientações e exemplos valiosos que facilitam a implementação e manutenção de um processo formal e bem documentado nas organizações.
O documento foi publicado no Brasil em 31/01/2023, como ABNT ISO/TS 22317 - Segurança e resiliência — Sistemas de gestão de continuidade de negócios — Diretrizes para análise de impacto nos negócios (BIA).
Segundo a norma, alguns dos principais resultados da BIA são:
- identificação de requisitos legais, regulatórios e contratuais (obrigações), e seus efeitos como requisitos de continuidade de negócios;
- avaliação do impacto de um evento disruptivo ao longo do tempo;
- estimativa do tempo necessário para que os impactos adversos se tornem inaceitáveis após uma disrupção [período máximo tolerável de disrupção (MTPD)];
- identificação dos requisitos e tempo de recuperação objetivado (RTO);
- identificação dos recursos necessários para realizar as atividades após uma disrupção, incluindo interdependências e requisitos, RTO e ponto de recuperação objetivado (RPO);
- identificação de interdependências das atividades priorizadas, incluindo fornecedores, parceiros e demais interessados.
De forma geral, o objetivo da BIA é estabelecer prioridades e recursos para retomar a entrega de produtos e serviços, em um prazo e capacidade predefinidos após uma disrupção.
Organizações enfrentam vários impactos resultantes de disrupções, incluindo danos à reputação, perdas financeiras e processos judiciais. É fundamental estabelecer critérios e tipos de impactos, considerando o setor, o contexto, as atividades e a cultura da organização. Esses critérios podem abranger metas de negócios, finanças, saúde, ambiente, segurança, entre outros aspectos. Para avaliar as consequências desses impactos, pode-se definir limites aceitáveis ou desenvolver uma matriz de impactos com valores específicos para cada nível e tipo.
Um exemplo de impactos devidos às partes interessadas:
Para implementar a BIA, a ISO 22317 sugere 8 passos:
- Planejar a BIA
- Estabelecer a abordagem para realização do processo BIA
- Determinar produtos e serviços prioritários com a Alta Direção
- Determinar as atividades prioritárias (estabelecer MTPD e RTO)
- Identificar recursos e outras dependências
- Analisar e consolidar os resultados da BIA
- Obter aprovação da Alta Direção para os resultados da BIA
- Analisar criticamente o processo, a metodologia e os resultados da BIA
As organizações tem executado a BIA utilizando planilhas e formulários, geralmente Word e Excel. Embora as abordagens domésticas possam funcionar, a automação desse processo traz benefícios significativos, como consistência, padronização, colaboração, rastreabilidade, relatórios aprimorados, integração com ferramentas, e economia de tempo e recursos.
O "líder BIA", responsável por preparar e executar o processo, deve garantir que pessoas com as competências necessárias estejam disponíveis para fornecer compreensão das atividades e recursos sob suas responsabilidades, soluções alternativas, prioridades e requisitos de continuidade de negócios. Estas informações consolidadas são a base para os resultados a serem apresentados.
Orientação importante: o processo de BIA deve equilibrar qualidade e agilidade, complementando informações ausentes com estimativas razoáveis, consultas a especialistas, e ajuste dos dados conforme forem refinados ao longo do tempo.
Para apoiar no planejamento e coleta das informações, a ISO 22317 contém um anexo contendo exemplos e métodos úteis, tais como entrevistas, análise de documentações, pesquisas/questionários e oficinas/workshops.
Alguns exemplos de perguntas sugeridas para a entrevista de BIA:
- Quem são suas partes interessadas internas e externas? Algum requisito contratual relacionado à continuidade de negócios?
- Quais produtos e serviços são fornecidos? Como são entregues? Existem períodos de pico em que os produtos e serviços são entregues?
- Quais os possíveis impactos no caso de uma disrupção dos negócios?
- Quais sistemas e dados suportam as atividades? Precisa de algum software especial, hardware, configurações, permissões, licenças etc.?
- Quais informações não digitais (por exemplo, em papel) precisa? Onde estão localizados (por exemplo, escritórios, data centers, armazéns)?
- Quais equipamentos ou ferramentas são necessários para operar?
- Se os recursos atuais ficarem indisponíveis, quanto tempo levará para reestabelecer sua disponibilidade?
- Quais terceiros suas atividades dependem? O que fornecem, quando e com que frequência? Em quanto tempo a atividade para se não forem entregues?
- Quais atividades, em outras unidades de negócio, devem estar operacionais para permitir que suas atividades produzam seus resultados?
Em resumo, junto com a avaliação de riscos, um processo BIA oferece vários benefícios, com informações para estratégias e soluções de continuidade. Possui também benefícios adicionais, como ferramenta valiosa não apenas para garantir a continuidade dos negócios, mas também para otimizar operações, informar decisões estratégicas e assegurar a resiliência das organizações.
Abraços e até a próxima,
