Universidade do Vale do Rio dos Sinos
GOOD PRACTICE GUIDELINES 2008 V1
SECTION 2
(UNDERSTANDING THE ORGANISATION)
Maiquel F. Schroeder, Felipe Feltes, Rodolfo Silva
[email protected], [email protected], [email protected]
Sobre a Seção 2
Compreender a organização é um elemento chave de uma boa gestão de
Continuidade de Negócios.
A seção 2 procura identificar os principais produtos e serviços de uma
organização, e conseqüentemente definir o tempo de criticidade das
atividades que lhes darão suporte. Esta parte da BCM deve ser totalmente
integrado aos objetivos da organização, obrigações e deveres.
Toda esta compreesão do negócio é adquirida através da Análise de
Impacto do Negócio (BIA) e a Avaliação de Riscos (AAR), aonde então
destacam-se as ineficiências do negócio.
BCM - "Gestão da Continuidade de Negócio"
Princípos Gerais
A organização deve ter claro se o BCM cobrirá toda a organização ou
apenas determinados produtos ou serviços. Isso define o âmbito da Análise
de Impacto do Negócio (BIA) e da Avaliação de Riscos (AR).
As ferramentas utilizadas para a compreensão das necessidades de
continuidade de negócios são:
• Análise de Impacto no Negócio (BIA): É um processo obrigatório para avaliar
o impacto ao longo do tempo no caso de uma interrupção, para assim então
definir a capacidade de uma organização operar.
• Análise de Requisitos para Recuperação da Continuidade: Estima os
recursos, instalações e serviços externos que cada atividade vai exigir na sua
retomada.
• Análise de Riscos (AR): Estima a probabilidade e o impacto sobre funções
específicas e suas ameaças conhecidas.
Sumário
2 UNDERSTANDING THE ORGANISATION
2.1 Análise de Impacto no Negócio
2.2 Estimando os Requisitos de Continuidade
2.3 Avaliação de Ameaças (Análise de Risco)
2.1 Análise de Impacto no Negócio
A Análise de Impacto nos Negócios (Business Impact Analysis – BIA) é a
fundação sobre o qual a resposta do BCM (Business Continuity Management) é
desenvolvida. Esta identifíca e classifica, quantitativa e qualitativamente o impacto
aos negócios de uma perda, interrupção ou rompimento de processos no negócio.
De forma que a gerência possa determinar a que ponto no tempo da
insdisponibilidade estas se tornam intoleráveis.
Isto é chamado de MTPD - (Maximum Tolerable Period of Disruption). É o tempo
máximo tolerado antes que comecem a ocorrer perdas significativas na
organização. Ele provê os dados para que as estratégias de continuidade sejam
determinadas.
Temos também o (RPO) - Recovery Point Objective, que é o ponto em que a
informação deve ser restaurada para permitir que uma atividade entre em operação
assim que for retomada.
2.1 Análise de Impacto no Negócio
Fatores Críticos de Sucesso:
•
•
•
Ter total apoio da diretoria da empresa.
Ter definifo o escopo na Política de Gestão da Continuidade de Negócios.
Para cada atividade, processo ou serviço:
o Documentar os impactos ao longo do tempo, dos quais resultariam em
perda ou interrupção.
o A gestão ja ter definifo o MTPD.
o Identificar dependências internas e externas, que são necessárias para que
atividades operem de forma eficaz.
2.1 Análise de Impacto no Negócio
Como estabelecer um BIA:
Identificar atividades empresariais em toda a organização qualquer que
seja o setor e os gestores desses processos.
o Identificar o pessoal adequado, para buscar informação sobre os processos
de negócios.
o Identificar os impactos que possam resultar em danos à reputação da
organização, seus bens ou financeiramente.
o Quantificar o tempo dentro do qual a interrupção de cada atividade de
negócios torna-se inaceitável para a organização.
o
2.1 Análise de Impacto no Negócio
o
Quando uma organização tem muitas filiais pode ser necessário decidir
sobre a extensão máxima da geografia de uma interrupção e extensão da
perda de recursos necessários para a organização.
Isso poderia ser determinada por exemplo:
 O alcance geográfico (ou de mercado / área de cliente).
 Regulamentos ou requisitos legais.
 Produtos, setores de mercado ou requisitos específicos do cliente.
2.1 Análise de Impacto no Negócio
Métodos, ferramentas e técnicas para realizar análise de impacto no negócio
incluem:
•
Workshops
o fornecem resultados rápidos e uma oportunidade para o envolvimento com
o programa.
•
Questionarios
o fornecem grandes quantidades de dados, mas a qualidade da informação
pode ser muito questionável se não for completado com consistência.
Entrevistas
o podem fornecer informações muito boas, mas são demoradas e de saída
podem variar no formato e detalhes.
•
2.1 Análise de Impacto no Negócio
As boas práticas indicam que um Business Impact Analysis deve ser revista no
mínimo anualmente, mas com mais frequência no caso de:
• Um ritmo particularmente agressivo na mudança dos negócios.
• Alteração significativa nos processos de negócios internos, localização ou
tecnologia.
• Alteração significativa no ambiente de negócio externo - como mercado ou
alterações da regulamentação.
Isto não quer dizer que a BIA deve ser toda refeita. Um projeto cuidadoso do
relatório do BIA pode facilitar este processo, fornecendo uma referência contra as
mudanças acima, para então medir e avaliar se o seu impacto mudou.
2.2 Estimando os Requisitos de Continuidade
Este processo coleta informações sobre o número de recursos
necessários para que as atividades do negócio continuem no nível requerido
para satisfazer as obrigações da organização.
2.2 Estimando os Requisitos de Continuidade
1. Propósito
o
Provê informações sobre os recursos necessários para que uma
estratégia de recuperação possa ser recomendada ou determinada.
o
Identificar as informações sobre os recursos relacionados com as
atividades internas e externas.
2.2 Estimando os Requisitos de Continuidade
2. Requisitos de Continuidade
o
Muitas vezes assumimos que os recursos necessários depois de um
evento de falha serão apenas uma fração dos recursos disponíveis
durante a operação normal - Pelo menos em um determinado
período.
o
Entretanto, em alguns casos os recursos necessários após um evento
de falha podem ser maiores dos que os necessários durante o
operação normal.
o
Exemplo: Em um call center mais pessoas podem ser necessárias
para lidar com ligações extras depois de uma interrupção. Os
recursos de TI também terão que possuir uma maior capacidade para
suporta o aumento do número de atendentes.
2.2 Estimando os Requisitos de Continuidade
3. Reporte
o
Obter assinatura do responsável pelo processo para assegurar a
informação levantada.
o
Obter ajuda do BCM sobre as informações/conclusões levantadas.
2.2 Estimando os Requisitos de Continuidade
4. Coleta de dados
o
o
o
Workshops.
Questionários - Papel ou software.
Entrevistas - Ocorrem juntamente com o levantamento de
informações para o BIA.
2.2 Estimando os Requisitos de Continuidade
5. Resultados
o
Obter os recursos necessários após um evento de desastre para
prover os níves de contratos acordados.
o
Levantar as interdependencias entre as atividades internas e os
fornecedores externos.
o
As informações obtidas coincidem diretamente com a estratégia de
continuidade do negócio. Os requisitos de continuidade irão prover os
dados necessários para avaliar as soluções de recuperação
adequando performance e tamanho.
2.3 Análise de Risco (AR)
•
•
Avaliação de Risco olha para a probabilidade e o impacto de uma variedade de
ameaças ESPECÍFICAS que poderíam causar uma interrupção dos negócios.
A atividade de análise de riscos deve ser focada nas funções de negócios mais
urgentes identificadas durante o processo de BIA.
2.3 Análise de Risco (AR)
•
•
O BIA é IMPRESINDÍVEL para Análise de Risco
Foco nos recursos necessário para as atividades mais urgentes.
2.3 Análise de Risco (AR) - Propósito
•
•
•
Identificar as ameaças internas e externas que poderiam causar uma ruptura e
avaliar a sua probabilidade e impacto
Priorizar as ameaças de acordo com uma fórmula acordada
Alimentar um sistema de gestão de controle de risco e plano de ação.
2.3 Análise de Risco (AR) -Sugestões
•
•
Ameaças que são mais fáceis de controlar (pessoal, prédio próprio) devem ser
priorizadas em relação as menos suscetíveis à influência (mau tempo)
Uso de escalas numéricas
2.3 Análise de Risco (AR) - Fases
• Pontuar os impactos e as probabilidades de acordo com os responsáveis
pelo negócio.
• Listar ameaças que afetam os processos de negócios mais urgentes (de
acordo com o BIA).
• Determinar a probabilidade (probabilidade ou freqüência) de cada
ocorrência de ameaça e peso de acordo com um sistema de pontuação
numérica.
2.3 Análise de Risco (AR) - Fases (cont.)
•
•
•
Calcular o risco relacionando o impacto e probabilidade de cada ameaça de
acordo com uma fórmula acordada
Priorizar os riscos de acordo com a medida da capacidade de controlar essa
ameaça (opcional)
Obter a aprovação dos diretores da organização
2.3 Análise de Risco (AR)- Medidas
•
•
•
•
Transferir o risco. Exemplo: seguros
Aceitar o risco. Exemplo: baixo impacto / probabilidade
Reduzir o risco. Exemplo: implantar mais controles
Evitar o risco. Exemplo: remover a causa ou fonte da ameaça
OBS: Garantir que as medidas de risco planejadas não aumentem outros riscos. Ex:
uma atividade de terceirização pode diminuir alguns tipos de risco, mas outros
aumentam.
2.3 Análise de Risco (AR) - Entregas
Os resultados de uma avaliação de risco incluem a identificação e
documentação de:
•
•
•
•
Pontos únicos de falha
Lista de ameaças prioritárias para a organização ou processos de negócio
específicos analisados
Informação para uma estratégia de gestão de controle de riscos e plano de
ação para os riscos de ser abordados
Aceitação documentada dos riscos identificados que não serão tratados
2.3 Análise de Risco (AR) - Revisões
Avaliação de Risco deve ser realizada conforme definido na organização da
estratégia de gestão de risco. Isto pode ser anualmente para os processos mais
sensíveis ao tempo, mas mais freqüentemente se:
• O ritmo de mudança do negócio é particularmente agressiva.
• Há uma mudança significativa nos processos de negócios internos,
localização ou tecnologia
• Há uma mudança significativa no ambiente de negócios externos - como
mercado ou alterações da regulamentação.
Referências
o
o
http://www.thebci.org/gpg/GPG2008-2Section2FINAL.pdf
http://professor.unisinos.br/fkarl/arquivos/bci%20gpg.zip
Download

Análise de Impacto no Negócio (BIA)