El business impact analysis

Toda empresa debe protegerse de los efectos de situaciones críticas para mantener su capacidad de operar en caso de una interrupción del negocio. Incidentes como las catástrofes naturales, los ciberataques o los robos suelen ocurrir de forma inesperada, por lo que es aún más importante identificar los riesgos y las estrategias de contingencia más eficaces con antelación. En este contexto, el business impact analysis (BIA) o análisis de impacto de negocio desempeña un papel fundamental: en un informe BIA se registran los efectos de una crisis en la empresa. Los requisitos imprescindibles para que una gestión de riesgos tenga éxito incluyen reconocer las conexiones y las dependencias mutuas dentro de una empresa u organización.

Un análisis BIA es un proceso sistemático formado por un componente exploratorio y otro de planificación. El componente exploratorio abarca la identificación de los posibles riesgos a los que se enfrenta una empresa en caso de interrupción de los negocios. Este indaga principalmente en los efectos concretos que determinadas situaciones podrían tener en la organización y en ámbitos como las finanzas, la seguridad, el marketing o la garantía de calidad.

El componente de planificación consiste en la elaboración de estrategias destinadas a reducir al mínimo los riesgos. El resultado de este análisis es un informe BIA, una parte importante de la planificación de contingencia, además de un plan de gestión de crisis. En este artículo te mostramos el procedimiento y el contenido de un business impact analysis.

El formato y el contenido exacto de un análisis de impacto de negocio varían de una empresa a otra. Sin embargo, su aplicación suele basarse siempre en los siguientes pasos:

1. Recopilación de información
2. Evaluación de la información
3. Resumen de los resultados
4. Presentación al equipo de dirección

Un análisis BIA puede crearse de forma interna o con la ayuda de recursos externos. Sin embargo, la cooperación con los propios empleados suele ser esencial, ya que pueden aportar valiosos conocimientos para el primer paso de este proceso. En esta etapa, de hecho, es necesario identificar todos los procesos empresariales existentes y las relaciones entre las diferentes funciones y áreas.

Esta recopilación de información suele facilitarse mediante entrevistas personales o encuestas automatizadas. Esto permite la clasificación de las funciones comerciales según su importancia y la evaluación de los efectos financieros y no financieros en caso de errores. Al reunir los datos para el análisis BIA, es útil tener en cuenta las siguientes preguntas:

• ¿En qué medida los distintos departamentos dependen de determinados sistemas y procesos comerciales?
• ¿Qué tipo de riesgos implican las vulnerabilidades identificadas?
• ¿Quién es responsable de los acuerdos de nivel de servicios (service-level agreements)?
• ¿Cuáles y cuántos son los empleados necesarios en un lugar de recuperación?
• ¿Qué tipo de recursos/equipos son necesarios en caso de una interrupción?
• ¿Cómo se deben manejar la gestión del efectivo y la liquidez durante la fase de recuperación?

Una vez encontrada la respuesta a estas preguntas, se podrá determinar más rápidamente el tipo de datos necesarios para el business impact analysis. En la mayoría de los casos, se deberá tener en cuenta la siguiente información:

• Nombre de los procesos y descripción exacta
• Departamento responsable y ubicación
• Recursos humanos y técnicos que participan en el proceso
• Lista de las contribuciones y los resultados del proceso
• Lista de todos los departamentos que dependen de los resultados
• Máximo tiempo de inactividad sin impacto notable
• Efectos operacionales y financieros en caso de fallo
• Efectos externos/legales de la interrupción (por ejemplo, clientes, autoridades, etc.)
• Descripción de las interrupciones anteriores y sus consecuencias
• Descripción del procedimiento de recuperación o desplazamiento de trabajo

En un segundo momento, se valida toda la información recopilada en la fase uno con la ayuda de auditores, para a continuación proceder a analizarla. Durante el proceso de análisis de los datos, manual o a través de un ordenador, es importante prestar atención a las funciones, los sistemas, los empleados y los recursos necesarios para la continuidad de la empresa. Este proceso también revela el plazo de tiempo dentro del cual las funciones fallidas deben ser restauradas para poder evitar, en la medida de lo posible, efectos como el pago tardío de salarios, daños en la imagen, penalizaciones o la insatisfacción del cliente.

Los dos pasos siguientes consisten en resumir claramente los resultados y presentar un informe BIA al equipo directivo. El informe puede incluir cuadros y gráficos para ilustrar las posibles pérdidas, así como recomendaciones para la recuperación. A fin de apoyar las conclusiones de la mejor manera, se debe añadir la información sobre el procedimiento y los resultados detallados del estudio en el apéndice. Utilizando las siguientes instrucciones, puedes crear tu propia plantilla de análisis de impacto en la empresa y adaptarla según sea necesario.

La plantilla de business impact analysis que te mostramos a continuación presenta cuatro cuadros que deben rellenarse con la mayor precisión posible. Cuanto mejor se describan los procesos, sus relaciones e implicaciones, mejor funcionará el plan de contingencia.

• Columna A: área de negocio.
• Columna B: número de empleados - número de empleados a tiempo completo dentro de cada área de negocio.
• Columna C: proceso padre (PP) - descripción de la función principal de cada una de las áreas de negocio.
• Columna D: clasificación de prioridades - clasificación de la función o funciones según su importancia para los procesos de la respectiva área de negocio.
• Columna E: RTO o tiempo objetivo de recuperación - tiempo requerido para restaurar el proceso padre después de la interrupción.
• Columna F: RPO o punto objetivo de recuperación - momento exacto en que el proceso padre debe ser restaurado.
• Columna G: proceso padre dependiente de - nombre de la organización/procesos de los que depende el proceso padre.
• Columna H: proceso padre requerido por - nombre de la organización/procesos dependientes de los procesos padre.

• Columna A: subproceso - descripción de las funciones de apoyo de las que es responsable la respectiva área de negocio.
• Columna B: clasificación de prioridades - clasificación de la función o funciones según su importancia para los procesos de la respectiva área de negocio.
• Columna C: objetivo de tiempo de recuperación - tiempo necesario para restaurar el subproceso después de una interrupción.
• Columna D: objetivo de punto de recuperación - momento exacto en el que el subproceso debe ser restaurado.
• Columna E: subproceso dependiente de - nombre de la organización/proceso que depende de los subprocesos.
• Columna F: subproceso requerido por - nombre de la organización/proceso que depende de los subprocesos.
• Columna G: efectos cuantitativos - consecuencias financieras relacionadas con el subproceso, por ejemplo, el volumen de negocios anual.

• Columna A: efectos cualitativos - efectos no financieros, por ejemplo, el daño a la imagen.
• Columnas B-G: tiempo requerido para la recuperación del personal. Muestra cuánto tiempo se necesita hasta que el personal pueda volver a una situación de “negocio casi estándar” (Business almost as usual).

• Columna A: estrategia de recuperación. Describe las medidas que cada área de negocio debe actuar para recuperar un flujo de trabajo normal (por ejemplo, teletrabajo, espacio de oficina provisional, etc.).
• Columnas B-G: tiempo necesario para recuperar tecnologías y servicios. Lista de servicios de red o sistemas informáticos necesarios que deben proporcionarse durante un período de tiempo definido.

El business impact analysis no debe de confundirse con la evaluación de riesgos. Ambos son componentes importantes de un plan de contingencia que también incluye la comunicación de crisis. Sin embargo, un business impact analysis se crea antes de una evaluación de riesgos. Este sirve como punto de partida para que la dirección pueda idear estrategias para la continuidad del negocio basadas en los resultados del informe de un análisis BIA.

Por lo tanto, un business impact analysis se centra en los efectos que los incidentes tienen en los procesos comerciales y cuantifica los costos monetarios y no monetarios. La evaluación de riesgos, en cambio, trata de identificar peligros específicos en los que pueden incurrir los negocios, como incendios, terremotos u otros desastres naturales. Esta práctica evalúa en qué medida los empleados, los bienes inmuebles o la cadena de suministro de una empresa corren el riesgo de sufrir de las crisis mencionadas.