Het belang van een (correcte) uitvoering van een Business Impact Analyse (BIA) werd in de vorige blog van deze serie toegelicht. Nadat je aan het senior management hebt uitgelegd waarom een BIA essentieel is voor jouw organisatie kun je beginnen met de planning en de uitvoering daarvan, maar waar moet je beginnen? In deze tweede blog leg ik uit hoe je een BIA uitvoert.
Betrek relevante stakeholders
Bij de werkzaamheden die je zult moeten uitvoeren voor de BIA heb je inbreng nodig van verschillende stakeholders. Het is van belang dat je goed nadenkt over de stakeholders die je bij dit proces moet betrekken. Zo heb je bijvoorbeeld voor het in kaart brengen van kritieke bedrijfsprocessen input nodig van de proceseigenaren, maar ook van de operationele ondersteuning. Ik raad je daarom aan om bij elke stap stil te staan, en na te denken wie hier verantwoordelijk is of wie hier verantwoordelijk zou moeten zijn.
Inventariseer kritieke bedrijfsprocessen
Het eerste wat je moet doen bij de uitvoering van de BIA is het inventariseren van alle (kritieke) bedrijfsprocessen. Naast de inventarisatie van deze processen zul je ook moeten nadenken over welke resources je nodig hebt om deze processen continu te blijven uitvoeren. Hierbij kun je, onder andere, denken aan belangrijke leveranciers en kritieke applicaties.
Definieer en kwantificeer jouw impact
Alvorens, gelijktijdig of nadien de inventarisatie van de bedrijfsprocessen zul je de impact moeten definiëren en kwantificeren. Hiertoe kies je ‘impact categorieën’ die voor jouw business belangrijk zijn en vervolgens kwantificeer je de mogelijke impact.
Dit kan er als volgt uitzien:
| Merk & reputatie |
| Geen impact |
Geen schade voor merk en reputatie |
| Lage impact |
Negatieve reviews van enkele klanten (< 10) |
| Gemiddeld |
Negatieve reviews van meerdere klanten (10 - 250) |
| Hoge impact |
Negatieve reviews van veel klanten (> 250) |
| Kritieke impact |
Negatief trending op social media/ negatief in landelijke berichtgeving |
| Finance |
| Geen impact |
Geen financieel verlies |
| Lage impact |
< €10.000 |
| Gemiddeld |
€10.000 - €50.000 |
| Hoge impact |
€50.000 - €100.000 |
| Kritieke impact |
> €100.000 |
Nadat je samen met de relevante stakeholders, voor alle, voor je belangrijke, categorieën een kwantificatie hebt aangebracht, is het aan senior management om te bepalen welk niveau van impact nog net acceptabel is voor je business.
Verbind je acceptabele impact aan je processen
Nadat je de kritieke bedrijfsprocessen en de acceptabele impact in kaart hebt gebracht, zul je voor elk kritiek bedrijfsproces moeten bepalen welke impact plaatsvindt, wanneer deze voor een specifieke tijd niet geleverd kan worden. Dit doe je in vastgestelde tijdsvakken, bijvoorbeeld:
- Onderbreking van < 4 uur
- Onderbreking van < 1 dag
- Onderbreking van < 3 dagen
- Onderbreking van < 1 week
- Onderbreking van < 1 maand
Wanneer je dit naast jouw eerder vastgestelde ‘nog net’ acceptabele impact niveau legt, weet je precies hoe lang een kritiek bedrijfsproces onderbroken mag zijn, voordat je business impact ondergaat die je niet kunt of niet wilt accepteren. Deze tijd noemt men ‘maximum acceptable outage’ (MAO). Naast een MAO kun je ook een ‘recovery time objective’ vaststellen, dit is een tijd waarin je de business zou willen herstellen om bepaalde impact te voorkomen.
Voer leveranciers- en applicatieassessments uit
Omdat je voor elk kritiek bedrijfsproces een inventarisatie hebt gemaakt, weet je nu precies hoe lang een bepaalde resource niet beschikbaar mag zijn, voordat je business daar onacceptabele gevolgen van ondervindt. Deze informatie kun je gebruiken om de continuïteit van je resources op orde te brengen, door onder andere assessments op de verschillende resources uit te voeren.
Business Continuïteitsplan (BCP)
Na het uitvoeren van de BIA en het opstellen van continuïteitvoorwaarden, kun je een BCP opstellen om te voorkomen dat de business door een calamiteit of een dreiging wordt onderbroken. Je geeft dus antwoord op de volgende vraag: wat heb je (altijd) nodig om jouw business te continueren? In de volgende blog van deze serie zullen we hier dieper op in gaan.
Tot slot
Een correcte uitvoering van de BIA moet tot een passend BCP leiden die de continuïteit van jouw business te allen tijde zal waarborgen. Iets wat op zichzelf al de tijd en het geld waard is, want de ongewenste onderbreking van je business kan vaak snel in de kosten oplopen. Nu je weet waarom een BIA belangrijk is voor jouw organisatie en hoe je de BIA moet uitvoeren, wil je vast meer weten over het opstellen van continuïteitsvoorwaarden en het maken van een BCP. Dat lees je in de derde blog van deze serie van vier.
