Las organizaciones están continuamente expuestas a situaciones que pueden afectar la continuidad de sus operaciones: Huelgas, interrupción de energía, desastres naturales, ciberdelitos, entre otros; aquellas organizaciones que estén mejor preparadas podrán superar exitosamente dichas contingencias. El High Performance Business Impact Analysis (HPBIA) plantea un modelo ágil de Análisis de Impacto al Negocio (BIA) que homogeneiza el establecimiento de requisitos de recuperación, incrementando el entendimiento del impacto al negocio así como establecimiento de criterios de priorización de Procesos de Negocio o Servicios de TI en el Programa de Gestión de la Continuidad.

La Gestión de Riesgos permite a las organizaciones identificar escenarios de vulnerabilidad y su impacto en caso de materializarse; generando información clave para un plan de tratamiento de riesgos donde se busca eliminar, reducir o transferir los riesgos de una manera racional y optimizando la asignación de recursos. El enfoque es en la operación y  se atiende generalmente desde el marco de Control Interno.  Sin embargo para los escenarios de eventos importantes que afectan la capacidad operativa de los procesos de negocio, es decir la continuidad de la operación, se requiere contar con un programa de Gestión de la Continuidad.

La Gestión de Continuidad del Negocio busca proteger a la organización sobre cualquier tipo de desastre que pueda tener repercusiones y evitar procesos críticos, así como saber responder ante un desastre ya sea externo o interno.

La priorización se basa en un ejercicio denominado Análisis de Impacto al Negocio (BIA) que le permite identificar la afectación a la organización en caso de que un proceso o servicio no se puedan operar por algún motivo.

Te invitamos a leer más del tema en nuestro artículo: La importancia de Gestionar la Continuidad del Negocio.

El Análisis de Impacto al Negocio (BIA) debe ser claro, objetivo y repetible para permitir la adecuada toma de decisiones que guíen la implementación de las medidas de recuperación más adecuadas para la organización, sin un BIA que guíe los esfuerzos en Actividades de Contingencia y/o Planes de Recuperación los resultados serán inadecuados. Muchas organizaciones no implementan un programa de Gestión de la Continuidad porque no tienen claro cómo realizar el BIA o porque se sienten abrumados por la magnitud del trabajo que representa ejecutarlo.

 

¿Por qué High Performance Business Impact Analysis?

Basado en más de 15 años de experiencia ISM ha desarrollado una práctica de Gestión de la Continuidad ágil, efectiva y repetible, alineada a la estrategia de las organizaciones donde se implementa,  así como con mejores prácticas internacionales como son  el Modelo de Capacidad de GRC, ISO 31000, e ISO 22301. Todas las prácticas de ISM inician con el entendimiento de negocio continúa con la determinación de objetivos específicos para el proyecto, análisis, planeación, desarrollo, medición y cierra el ciclo con la mejora continua. Se trata de un modelo integral que se acopla a otras soluciones para en conjunto conformar el Modelo de Capacidad de GRC.

Parte fundamental es la ejecución de un Análisis de Impacto del Negocio ágil, efectivo y repetible que refleje las necesidades de negocio, que proporcione información concreta y clara para la toma de decisiones y que se pueda realizar de manera ágil.  Todos estos elementos se conjugan en el High Performance Business Impact Analysis (HPBIA).

 

Taxonomía del High Performance Business Impact Analysis

Alineación estratégica

El primer elemento necesario para lograr un BIA exitoso es entender la organización. En este sentido se debe haber realizado el análisis de contexto como parte del mismo proyecto de BIA o como parte de un proyecto más amplio como podría ser la Gestión de la Continuidad (BCM) o incluso GRC.

A partir del entendimiento de la organización:

  • Sus objetivos estratégicos,
  • las partes interesadas con sus respectivas inquietudes y necesidades,
  • la estructura,
  • los requerimientos de cumplimiento y legales,
  • así como la cultura organizacional

Alcance y objetivos

El alcance y los objetivos del programa se determinan a partir de las necesidades de la organización. El alcance debe documentarse especificando claramente las fronteras del programa, así mismo los objetivos del BIA deben estar alineados a los objetivos estratégicos.   Se debe responder las siguientes preguntas al menos:

  • ¿Qué parte(s) de la organización debe cubrir este BIA?
  • ¿Qué se pretende lograr con el resultado del BIA?
  • ¿Cómo se relacionan los objetivos del BIA con los objetivos estratégicos de la organización?

Objetivos fundamentales HPBIA

HPBIA considera cuatro objetivos fundamentales, los cuales pueden ser adaptados o complementados de acuerdo al análisis de contexto y la alineación estratégica.

  1. Identificar el impacto que cualquier departamento o función de negocio tendría en la Organización si no estuviera disponible por cualquier motivo.
  2. Contar con un entregable que satisfaga el objetivo #1 de manera clara y concreta permitiendo la determinación de: RTO, RPO y MTD.
  3. Contar con un proceso ágil, efectivo y repetible.
  4. Que el proceso sea sencillo y claro para las áreas de negocio.

Criterios BIA

El Análisis de Impacto debe ser homogéneo, repetible y comparable.  Para esto es necesario regirse por una serie de criterios claramente definidos independientemente de las herramientas y circunstancias de la evaluación u operación.  Lo anterior no significa que no puede haber mediciones muy concretas y especializadas para ciertas situaciones, sin embargo deberá haber una forma definida de convertir los resultados obtenidos a los criterios de evaluación comunes para poder integrar el impacto de diferentes áreas de la organización y verlo de manera consolidada.

Es indispensable que los criterios estén documentados y aprobados formalmente por el Comité BIA además de representantes de las áreas de negocio y/o la Dirección General.

Impacto crítico

Es necesario definir que será considerado un impacto crítico para el ejercicio. Esto determinará cuando el impacto llega a un punto en que no es tolerable y deben establecerse los objetivos de recuperación antes de llegar a dicho punto. Por ejemplo:

  • Impacto financiero crítico = afectación económica mayor o igual a $1,000,000 MN por día.
  • Impacto reputacional crítico = Incidente en redes sociales como trending topic regional o Incidente en prensa nacional.
  • Impacto regulatorio crítico = Incidente que provoque paro de operaciones por parte de la autoridad.

Lo anterior implicaría que los tiempos de resolución deben suceder antes de que la interrupción acumule pérdidas por $1,000,000 M.N. y/o el incidente llegue a ser reportado a nivel nacional, lo que suceda antes.

Considerar los criterios de Evaluación de Riesgos

Como parte del análisis de contexto específico para la gestión de la continuidad es necesario haber obtenido y analizado la Metodología de Análisis de Riesgos y los criterios definidos para dicho fin. Aunque sea necesario definir criterios adicionales, específicos para el BIA, se debe respetar el estilo y lenguaje de lo ya existente para facilitar la asimilación y la homologación en la organización.

Criterios para análisis de Impacto Cuantitativo

El principal objetivo del BIA es determinar cómo afecta la interrupción a la organización y pocas respuestas son mejores que poder determinar cuánto le cuesta a la organización dicha interrupción.  Es necesario entonces definir criterios que permitan determinar el impacto financiero. Para este fin hay que decidir que costos compondrán el impacto financiero que quiere medir la organización:

  • Pérdidas por ventas no realizadas durante la interrupción,
  • costos consecuenciales (costos incurridos en consecuencia y mientras se resuelva la situación),
  • costos por multas de incumplimiento regulatorio (únicamente si aplica),
  • costos por penalizaciones (únicamente si aplica),

Cuando se determinen los costos a considerar se debe recordar que en muchas ocasiones menos es más y que más vale tener una medida inicial que nos permita llegar a una conclusión y tomar de decisiones que tratar de tener todas la mediciones y que esto evite el poder realizar el ejercicio y llegar a una conclusión.

Criterios para análisis de Impacto Cualitativo

No basta medir el impacto financiero, dependiendo de la organización el impacto reputacional y/o regulatorio puede ser tan o más importante para la organización. Por ejemplo, basado en un análisis meramente financiero se podría determinar que el tiempo de recuperación adecuado es menor a 48 horas, sin embargo podría ser que después de cuatrohoras hubiera pérdidas permanentes de clientes que consideraran que la organización ya no es confiable. Algunos de los posibles tipos de impactos no financieros son:

  • Salud y preservación de la vida,
  • reputacional,
  • regulatorio y legal,
  • ecológico,

Lineamientos para la definición de criterios de Análisis de Impacto

Cuando se definen y escriben los criterios a utilizar en el BIA considerar los siguientes puntos:

  • Utilizar lenguaje llano y accesible.
  • Cada criterio debe tener fronteras claramente establecidas, en el caso de rangos especificar los puntos en que inicia y termina cada rango.
  • Determinar si los factores de los criterios se tomarán por:

o   Evento.

o   Periodo (Día, semana, mes, año).

  • Para los criterios de impactos cualitativos se debe analizar si ya están definidos en los criterios de análisis de riesgos y en dado caso tomar esos.
  • Para todos los casos es necesario definir la línea de tiempo y los rangos en que se dividirá para considerar el impacto en cada rango de tiempo.

o   1-4 horas, 5 a 12 horas, 13 a 24 horas, …

Objetivos de recuperación en base al Impacto al Negocio

Uno de los objetivos del BIA es llegar a la conclusión de los objetivos de recuperación, en tiempo y en retrabajo.  Estos objetivos se conocen por sus siglas en inglés:

  • Maximum Tolerable Downtime (MTD): El tiempo máximo que la organización puede soportar sin que se pueda ejecutar un proceso o acceder a un servicio de TIantes que haya consecuencias críticas.
  • Recovery Time Objective (RTO): El tiempo objetivo en que se debe recuperar la operatividad del proceso o servicio.
  • Recovery Point Objective: El punto en el tiempo en que la información, o estado, de un proceso se puede perder y por ende debe ser retrabajado.

Para que haya congruencia en el proceso es necesario definir puntualmente lo que RTO, RPO y MTD significarán en la organización, que “incluyen” y que no.

Una vez definidos los términos y sus fronteras se deberán determinar los valores de MTD, RTO y RPO en función del momento en el tiempo en que una interrupción genere un impacto crítico según el resultado del BIA. Por ejemplo:

  • MTD = límite superior del rango de tiempo anterior a donde sucede el impacto crítico
  • RTO = 70% o menos del MTD
  • RPO = 50% de la capacidad de recuperación

Resultados del HPBIA

Al final del ejecicio se deben documentar los resultados de manera que se puedan analizar los resutlados y tomar decisiones. Para este fin se generan reportesque atienden los cuatro objetivos fundamentales de HPBIA.

  1. Reporte de Criticidad por servicio o función de negocio, combinando impacto CUANTITATIVO e impacto CUALITATIVO.
  2. Reporte BIA por Función de negocio o Servicio de TI que presente:
    1. Relación de impactos CUANTITATIVOS y el cálculo de su RTO, RPO y MTD.
    2. Relación de impactos CUALITATIVOS y el cálculo de su RTO, RPO y MTD.
    3. RTO, RPO y MTD recomendados en función de los impactos CUANTITATIVOS y CUALITATIVOS combinados.

Únicamente si se entienden las consecuencias de negocio cuando hay un problema de continuidad se podrán tomar decisiones adecuadas y razonables para la recuperación operacional.

#HighPerformanceBusinessImpactAnalysis #ContinuidadDelNegocio #HPBIA #BIA #BCP #GRC

 

Elaborado por ISM