Business Impact Analysis
Ogni azienda si deve tutelare dai possibili rischi mettendo in sicurezza la propria capacità di operare anche nel caso di guasti. Data la natura imprevedibile di eventi quali catastrofi naturali, attacchi informatici o furti di vario genere, risulta indispensabile identificare anzitempo i possibili rischi e sviluppare strategie efficaci. In quest’ottica l’analisi BIA (Business Impact Analysis) gioca un ruolo fondamentale.
La BIA serve a sintetizzare, sotto forma di rapporto, le conseguenze di una situazione di crisi ai danni dell’azienda. Per una gestione del rischio efficace, di cui l’analisi di Business Impact fa parte, è importante riconoscere le relazioni e i legami di dipendenza presenti all’interno della propria organizzazione.
Business impact analysis: definizione
Una Business Impact Analysis è un procedimento sistematico composto di due componenti, una esplorativa e una di pianificazione. Quella cosiddetta esplorativa corrisponde all’identificazione dei potenziali rischi che l’azienda deve affrontare in caso di ostacoli allo svolgimento dell’attività. Qui l’attenzione si concentra sulle conseguenze reali che eventuali accadimenti possono avere sull’organizzazione, sulla sicurezza, sul marketing, sul controllo qualità o sulla situazione finanziaria dell’azienda. La pianificazione, invece, consiste nello sviluppare una o più strategie atte a minimizzare tali rischi.
Il risultato dell’analisi BIA è il rapporto BIA che, assieme al crisis management plan, rappresenta una componente importante del piano di continuità operativa generale. Nei seguenti paragrafi vi spieghiamo procedimento e contenuto di un’analisi di business impact.
Business Impact Analysis: procedimento
Se il formato e il contenuto esatto di una BIA variano in base all’azienda, l’attuazione dell’analisi prevede quasi sempre gli stessi passaggi, elencati di seguito:
- Raccolta delle informazioni
- Valutazione delle informazioni
- Sintesi dei risultati
- Presentazione all’amministrazione
La redazione di un rapporto BIA può avvenire basandosi esclusivamente sulle risorse interne o con l’aiuto di risorse esterne. Indipendentemente da ciò, la collaborazione dei propri dipendenti risulta irrinunciabile, soprattutto nelle fasi iniziali. Infatti, è grazie al loro aiuto che riuscite a identificare tutti i processi di lavoro o attività che avvengono quotidianamente all’interno della vostra azienda e le correlazioni tra le singole funzioni e i singoli reparti.
Questa raccolta di informazioni avviene spesso attraverso colloqui diretti con il personale o con l’utilizzo di questionari, e serve a semplificare la catalogazione delle funzioni aziendali secondo la loro importanza e a valutare in caso di imprevisti le rispettive conseguenze in termini finanziari e non. Per la raccolta e la successiva compilazione dei dati utili all’analisi possono aiutare le seguenti domande:
- In che misura i vari reparti sono dipendenti da determinati sistemi e processi lavorativi?
- Quali tipi di rischio comportano i punti deboli individuati?
- Chi è il responsabile per i Service Level Agreements?
- Quali e quanti dipendenti sono necessari per una strategia di ripresa?
- Quale tipo di risorse/attrezzatura è necessaria nel caso di mancata operatività?
- Come deve essere gestita la liquidità e la cassa durante la fase di ripresa?
Confrontandosi con queste domande capite subito di quale tipo di dati avete bisogno per la vostra Business Impact Analysis. Nella maggior parte dei casi le informazioni richieste sono le seguenti:
- Nome dell’attività svolta e relativa descrizione, il più precisa possibile
- Reparto e postazione di lavoro
- Risorse umane e tecnologiche coinvolte nell’attività lavorativa
- Elenco dei relativi dati in input e in output dell’attività
- Elenco di tutti i reparti che dipendono dai suddetti output
- Tempo di inattività massima senza che si verifichino conseguenze significative
- Conseguenze interne ed economiche
- Conseguenze esterne/legali (con clienti, autorità, ecc.)
- Descrizione di guasti/fasi di inattività precedenti e delle rispettive conseguenze
- Descrizione delle procedure di ripresa o del dislocamento/esternalizzazione dell’attività lavorativa
In una seconda fase, tutte le informazioni raccolte devono essere validate da una revisione per poi essere successivamente analizzate. Indipendentemente che si conduca un’analisi dei dati computerizzata o manuale, l’obiettivo è quello di evidenziare le funzioni, i sistemi, i lavoratori e le risorse strettamente essenziali per la continuità operativa. A questo scopo diventa chiaro anche quali sono le tempistiche da rispettare per ripristinare le funzioni operative soggette a blocco, prima che si verifichino ritardi nel pagamento dei salari, danni di immagine, sanzioni o insoddisfazione diffusa tra i clienti.
I due passaggi seguenti riguardano invece il resoconto dei risultati e la presentazione del rapporto di BIA all’amministrazione aziendale. Il rapporto può contenere grafici e diagrammi per una migliore chiarezza nell’illustrazione delle possibili perdite e delle misure di ripresa consigliate. Per supportare al meglio quanto evidenziato dall’analisi, aggiungete informazioni relative al procedimento di redazione dell’analisi BIA, così come i risultati dettagliati dei questionari di cui vi siete serviti. Con la guida che trovate qui di seguito potete redigere e personalizzare il vostro modello di Business Impact Analysis, adattandolo di volta in volta a seconda delle vostre esigenze.
L’ultima versione del programma di fogli di calcolo Excel rappresenta la soluzione migliore per redigere un rapporto di BIA chiaro. Potete ottenerlo assieme ad altri programmi per ufficio (per esempio PowerPoint) acquistando il pacchetto Microsoft 365 Business di IONOS. Grazie alle funzioni come “Dynamic Link” potete adattare automaticamente i diagrammi delle vostre presentazioni PowerPoint ai dati contenuti nei file Excel collegati.
Business Impact Analysis di esempio: i contenuti di un’analisi BIA
Nel modello di Business Impact Analysis fornito qui di seguito trovate quattro tabelle che dovete compilare nel modo più preciso possibile. Più descrivete nel dettaglio i processi, i relativi rapporti e le loro implicazioni, maggiore sarà l’efficacia del piano di continuità operativa.
Tabella 1: settori di attività e processi genitore
- Colonna A: settore di impiego – autoesplicativo
- Colonna B: numero di impiegati – numero degli impiegati a tempo pieno nel rispettivo settore
- Colonna C: processo di lavoro – descrizione della principale funzione del proprio settore di impiego
- Colonna D: scala delle priorità – elenco delle funzioni secondo il grado di importanza per il corretto svolgimento del lavoro nel rispettivo settore di impiego
- Colonna E: Recovery Time Objective – il tempo necessario per il ripristino del processo di lavoro dopo il guasto
- Colonna F: Recovery Point Objective – il termine entro il quale il processo di lavoro deve essere stato ripristinato
- Colonna G: processo dipendente da – i nomi dei processi o delle organizzazioni dai quali dipende il processo di lavoro
- Colonna H: dipendente dal processo – il nome dei processi o delle organizzazioni dipendenti dal processo di lavoro
Tabella 2: i sottoprocessi
- Colonna A: sottoprocesso – descrizione delle funzioni secondarie legate al proprio settore di impiego
- Colonna B: scala delle priorità – elenco delle funzioni secondo il grado di importanza per il corretto svolgimento del lavoro nel rispettivo settore di impiego
- Colonna C: Recovery Time Objective – il tempo necessario per il ripristino del sottoprocesso dopo il guasto
- Colonna D: Recovery Point Objective – il termine entro il quale il sottoprocesso deve essere stato ripristinato
- Colonna E: sottoprocesso dipendente da – i nomi dei processi o delle organizzazioni dai quali dipende il sottoprocesso
- Colonna F: dipendente dal sottoprocesso – nome dei processi o delle organizzazioni dipendenti dal sottoprocesso
- Colonna G: conseguenze quantitative – implicazioni finanziarie connesse al sottoprocesso, per esempio il relativo fatturato generato
Tabella 3: tempo necessario per la ripresa del personale
- Colonna A: conseguenze qualitative – implicazioni di natura non finanziarie, come per esempio i danni d’immagine
- Colonne B-G: il tempo necessario per la ripresa del personale – indicate quanto tempo è necessario per far sì che i vostri dipendenti possano tornare a lavorare in condizioni di semi-normalità (“business almost as usual”)
Tabella 4: tempo necessario per tecnologia e servizi
- Colonna A: strategia di ripresa – descrivete i passaggi necessari per riprendere il normale flusso di lavoro, come lavorando da casa o in un ufficio provvisorio
- Colonna B-G: il tempo necessario per il ripristino delle tecnologie e dei servizi – elenco dei servizi di rete e dei sistemi informatici necessari che devono essere ripristinati entro un determinato periodo di tempo
Analisi BIA vs valutazione dei rischi
La Business Impact Analysis non deve essere confusa con la valutazione dei rischi. Entrambe sono elementi fondamentali di una strategia di continuità operativa, che tra gli altri comprende anche la crisis communication. Un’analisi BIA viene solitamente redatta precedentemente alla valutazione dei rischi. Serve infatti all’amministrazione aziendale come punto di partenza per l’elaborazione delle strategie di continuità operativa.
Una BIA si concentra sulle conseguenze di guasti o incidenti sui processi di lavoro, valutando i danni sia in termini monetari che non. Al contrario, la valutazione del rischio tenta di individuare i possibili pericoli, come incendi, terremoti o altre catastrofi naturali. Qui viene analizzato come il personale, gli immobili o l’intera filiera potrebbero essere messi in pericolo da situazioni di crisi di questo tipo.
Dato che i processi di lavoro sono soggetti a cambiamento, assicuratevi sempre che anche la Business Impact Analysis sia costantemente aggiornata. Solo in questo modo l’amministrazione aziendale può agire efficacemente e minimizzare i danni in caso di crisi.