Disciplina de Gestão de Continuidade do Negócio Componentes: Vitor Hugo Marques Jones Jardel Proersch Business Impact Analysis Sobre o DRII DRI International (originalmente conhecido como Disaster Recovery Institute) Organização sem fins lucrativos Global BCM education Organismo de Certificação Sobre o DRII O DRII define o padrão de profissionalismo no planejamento do continuidade do negócio. Fornece Certificação Premier e programas de educação profissional desde 1988. Mais de 8000 profissionais certificados DRI no mundo. SDO (Standard Development Organization) do ANSI (American National Standards Institute) Subject Area 3 Business Impact Analisys Objetivo Identificar o impacto resultante da interrupção do negócio que pode afetar a organização e técnicas que podem ser utilizadas para quantificar e qualificar tais impactos. Identificar funções críticas em relação ao tempo, suas prioridades de recuperação e inter-dependências para que os tempos de recuperação possam ser definidos e aprovados. Subject Area 3 Business Impact Analisys A. - O papel do profissional é: A.1 - Estabelecer o processo do BIA e sua metodologia; A.2 - Planejar e coordenar a análise e coleta dos dados; A.3 - Preparar e apresentar o relatório do BIA à gerencia; Subject Area 3 Business Impact Analisys B. - O profissional deve demonstrar conhecimento nas seguintes áreas: B.1 - Estabelecer o processo do BIA e sua metodologia ○ B.1a– Identificar e obter um sponsor (responsável) para o BIA; ○ B.1b– Definir objetivos e escopo para o processo do BIA; ○ B.1c– Identificar, definir e obter aprovação gerencial para critérios críticos; (i) – Recomendar e obter acordo sobre como potenciais impactos financeiros e não-financeiros podem ser qualificados e avaliados; (ii) – Identificar e obter acordo sobre os requisitos para informações de impacto sobre não - quantificáveis; (iii) – Estabelecer definições e escalas de criticidade; (ex: Alto, Médio, Baixo); (iv) – Negociar com a administração para a aceitação da escala de criticidade. Subject Area 3 Business Impact Analisys ○ B.1d– Escolher uma metodologia/ferramenta de planejamento apropriada para o BIA; (i) – Desenvolver questionários e instruções conforme requerido; (ii) – Determinar o método de análise dos dados (manual ou computador); (iii) – Coletas de dados através de questionários; - a. Entender a necessidade de um design e distribuição apropriada do questionário, incluindo a descrição da proposta, para gerentes dos departamentos participantes e para a alta diretoria; - b. Gerenciar reuniões de kick-off do projeto para distribuir e explicar o questionário; - c. Apoiar os entrevistados durante o preenchimento do questionário; - d. Revisar os questionários preenchidos e identificar aqueles que necessitam de entrevistas de acompanhamento; - e. Conduzir discussões de acompanhamento quando esclarecimentos e/ou dados adicionais forem necessários; Subject Area 3 Business Impact Analisys (iv) – Coleta de dados através de entrevistas apenas; Garantir consistência com a estrutura de cada entrevista requer a definição de um formato comum: - Garanta que a base das informações coletadas estejam pré-definidas; - Permita que cada entrevistado analise e verifique os dados recolhidos; - Agende entrevistas de acompanhamento, se a analise inicial mostrar a necessidade de esclarecimento e/ou adição de dados já disponibilizados; (v) – Coleta de dados através de Workshops; - a. Definir uma agenda clara e objetivos; - b. Identificar o nível apropriado dos participantes do workshop e obter autorização da administração; - c. Escolha um local apropriado, avalie a localização, as instalações e a disponibilidade dos participantes; - d. Apóie e conduza o workshop; - e. Garanta que os objetivos do workshop foram atingidos; - f. Assegure-se que todas as questões pendentes foram identificadas no final do workshop e que o acompanhamento foi conduzido de forma adequada. Subject Area 3 Business Impact Analisys o B.1e– Determinar o formato e conteúdo do relatório e obter aprovação da gerência para seguir com os próximos passos do programa; o B.1f – Obter acordo da gerência no tempo agendado e iniciar o processo de Análise de Impacto do Negócio (BIA); Subject Area 3 Business Impact Analisys B.2 - Planejar e coordenar a análise e coleta de dados ○ B.2a– Identificar todas as funções da organização; (i) – Coletar e revisar organogramas existentes; (ii) – Desenvolver as atividades em conjunto com o sponsor (responsável) do programa com a finalidade de identificar as principais áreas da organização; ○ B.2b– Identificar e capacitar os representantes da gerência (i) – Juntamente com os patrocinadores do BIA, identificar pessoas específicas para representar as principais áreas da organização; (ii) – Identificar os membros da gerência para participar do processo de coleta; (iii) – Informar as pessoas selecionadas do processo do BIA e a finalidade da seleção de cada um; (iv) – Identificar os requisitos de treinamento e estabelecer um treinamento agendado e adequado; Subject Area 3 Business Impact Analisys o B.2c– Avaliar os efeitos das interrupções, impacto ao negócio e suas perdas; (i) – Efeitos das interrupções a) Perda de pessoal-chave e avaliação (física, financeira, informações e imaterial; - b) Interrupções para a continuidade de serviços e operações; - c) Violação de leis e regulamentos; - d) Percepção por parte do público (reputação/imagem da organização); (ii) – Impacto ao negócio - a) Financeiro; - b) Consumidores e fornecedores; - c) Relações com o público, credibilidade, reputação; - d) Jurídico; - e) Requisitos regulatórios; - f) Ambientais; - g) Operacional; - h) Pessoal; - i) Outros recursos envolvidos; - Subject Area 3 Business Impact Analisys • (iii) – Exposição à perdas - a) Quantitativo; - Perda de propriedade; - Perda de receita; - Multas; - Fluxo de caixa; - Contas a pagar; - Contas a receber; - Responsabilidade legal; - Recursos humanos; - Despesas adicionais ou aumento do custo de trabalho; - b) Qualitativo; - Recursos humanos; - Moral; - Confiança das partes interessadas; - Jurídico; - Social e imagem corporativa; - Credibilidade financeira na comunidade; Subject Area 3 Business Impact Analisys ○ B.2d – Determinar objetivos de recuperação (RPO – Recovery Point Objective) e os requisitos mínimos de recursos; (i) - Determinar os objetivos de recuperação e suporte para as funções/serviços de acordo com o nível de criticidade; (ii) – Determinar a priorização dos processos de negócio; - a) Determinar a ordem de recuperação para o núcleo e funções de suporte ao negócio e sistemas baseados em paralelo e atividades interdependentes; - b) Interdependências entre processos de negócio, processos de tecnologia e tecnologia (intra-departamentos, inter-departamentos e relacionamentos externos); Subject Area 3 Business Impact Analisys (iii) – Determinar os requisitos mínimos de recursos para o recomeço e recuperação do núcleo e funções de suporte ao negócio; - a) Recursos internos e externos; - b) Proprietários e não proprietários de recursos; - c) Recursos existentes e recursos adicionais requeridos. ○ B.2e – Avaliar tempo de substituição e custos (i) Pessoal chave; (ii) Equipamentos; (iii) Dados; (iv) Materiais brutos/matéria prima; (v) Outros. Subject Area 3 Business Impact Analisys ○ B.2f – Gerenciamento de registros vitais (i) Identificar registros vitais dentro da organização, incluindo documentos impressos e digitais e estabelecer quando os registros serão solicitados no processo de recuperação; (ii) Avaliar cópias de segurança existentes e procedimentos de restauração para garantir que eles são adequados para proteger os registros vitais; (iii) Assessorar e implementar procedimentos de backup e restauração adequados e viáveis para proteger os registros vitais; (iv) Estabelecer diretrizes e procedimentos para assegurar a disponibilidade da atual versão dos registros vitais deleção/destruição de backups antigos. e procedimento adequado para Subject Area 3 Business Impact Analisys B.3 - Preparar e apresentar o relatório do BIA à direção ○ B.3a– Preparar o relatório de análise de impacto do negócio; (i) – Preparar o projeto do relatório do BIA utilizando inicialmente as descobertas de impacto e questões vistas em B.1d e B.1e (ii) – Fornecer uma declaração de metas e objetivos organizacionais (iii) – Resumir os impactos para as metas e objetivos como resultado de uma interrupção (iv) – Fornecer um resumo dos recursos requeridos no tempo em que o processo de recuperação estiver rodando, bem como o resumo das operações (v) – Fornecer o projeto do relatório para os representantes da gerência e solicitar crítica dos mesmos (vi) – Revisar a crítica dos representantes da gerência e, onde apropriado, revisar as conformidades, ou adicionar questões não abordadas anteriormente (vii) – Agendar um workshop ou reunião com os representantes da gerência para discutir achados iniciais, quando necessário (viii) Garantir que os achados iniciais estão atualizados, quando necessário, para refletir mudanças decorrentes dessas reuniões; Subject Area 3 Business Impact Analisys ○ B.3b– Apresentar o relatório de análise de impacto do negócio (i) – Preparar e submeter uma apresentação formal das descobertas da análise de impacto do negócio para a gerência sênior (ii) – Obter apoio do patrocinador do programa de Gestão de Continuidade de Negócio (GCN) para relatório de análise de impacto do negócio e aprovação para passar à fase de avaliação de riscos do programa de GCN. Subject Area 3 Business Impact Analisys Questões: Quais os principais objetivos na realização de uma Análise de Impacto do Negócio (BIA)? Identificar os impactos da interrupção do negócio, técnicas para quantificá-los e qualificá-los, alem de identificar as funções críticas e a sua prioridade de recuperação; Subject Area 3 Business Impact Analisys Questões: Quais são, segundo o DRII, as três principais atividades para a realização de uma Análise de Impacto do Negócio (BIA)? Estabelecer o processo/metodologia do BIA, planejar/coordenar a análise e coleta dos dados e preparar e apresentar o relatório do BIA à gerencia; Subject Area 3 Business Impact Analisys Questões: Quais são, segundo o DRII, os três modelos sugeridos para coleta de dados? Através de: - questionário; - entrevistas; - ou workshops. Subject Area 3 Business Impact Analisys Referências http://professor.unisinos.br/fkarl/arquivos/profprac_details.pdf http://www.dri.org