Různá témata, různé příběhy a různé zkušenosti spojené jednou ústřední myšlenkou: „Zajistit existenci společnosti či organizace a kontinuitu obchodních či zákonem stanovených činností.“
kontinuita Business Impact Analysis analýza dopadů know-how
Analýza dopadů – BIA
BIA je objektivní odpovědí na otázku, co je pro společnost a organizaci vskutku důležité. Při správném provedení poskytuje velmi užitečné výstupy pro řízení organizace, kritické situace i pro běžný provoz ICT.
V tomto dílu antologie BCM se budeme věnovat analýze dopadů, také nazývané zkráceně BIA neboli Business Impact Analysis. Popis celé BIA by byl nad rámec tohoto článku, ale z vlastních zkušeností jsem vybral části BIA, které je mnohdy obtížné uchopit, a části, kde by vám mé tipy mohly pomoci.
Pokud vzpomenete či v archivu nalistujete článek z časopisu DSM [1], můžete si připomenout, co analýza dopadů obnáší, k čemu se používá, jaké oblasti řeší a jaký má pro společnosti a organizace přínos. To vše Kamil Rečičár popsal v rámci dílu seriálu „Jak na rizika“, kde se analýze dopadů věnoval z pohledu identifi kace a řízení rizik.
Nyní se podíváme na analýzu dopadů více prakticky a podělím se s vámi o své zkušenosti, jak pomocí ní získat reálné výsledky a použitelné výstupy pro řízení kontinuity činností a provozu ICT služeb.
Pro existenci organizace je klíčové plnit účel, za jakým byla zřízena. Podnikatel založí organizaci za účelem zisku, někdo jiný vytvoří nadaci za účelem poskytování pomoci tam, kde je potřeba, státní správa zřídí úřad za účelem poskytování služeb občanům a dalším státním příslušníkům, které stanovuje daná legislativa. Přerušení činností naplňující účel organizace pak má přímý dopad na její existenci, jelikož: „Proč by existovala organizace, která neplní svůj účel?“ Tuto vazbu je velmi důležité si uvědomit, je to základ, na který by se měla dobrá analýza dopadů zaměřit.
Zajištěním existence organizací se zabývá oblast BCM (Business Continuity Management) zajišťující kontinuitu obchodních činností. Odborníci sesbíráním nejlepší praxe z této oblasti vytvořili standard defi nující systém řízení kontinuity činností BCMS (Business Continuity Management System), který je popsán v ISO 22301 [2], a příručku k jeho budování ISO 22313. [3]
BCMS je jako jiné systémy řízení rovněž založen na řízení rizik, které v tomto případě začíná analýzou dopadů, pokračuje výběrem a implementací opatření k zajištění kontinuity činností, následnou kontrolou jejich účinnosti a dalším kolem analýzy dopadů identifikující nové hrozby a zranitelnosti organizace, jak je pěkně znázorněno v úvodu předchozí části antologie BCM [4] na obrázku znázorňujícím Demingův PDCA cyklus v oblasti BCM stanovený. [2]
Analýza dopadů je prakticky hodnocení rizik, jejichž snižováním se zvyšuje odolnost organizace.
Jistě se mnou budete souhlasit, že analýza rizik obecně je velmi abstraktní disciplína. Při hodnocení rizik se pracuje s pravděpodobnostmi působení hrozeb a odhady dopadů, které způsobí. Zdá se být nemožné, že by tyto vstupy mohly přinést konkrétní a hmatatelné výstupy. Analýza dopadů je možná ještě o něco abstraktnější, jelikož vyhodnocuje dopady na základě výpadku procesů (obchodních činností), které zákazníkům doručují produkty a služby nebo klientům (ve státní správě nelze hovořit o zákaznících) očekávané služby úřadů a institucí. Pro mnohé je nepředstavitelné, že by došlo k přerušení výrobního procesu nebo že by se organizace mohla „zastavit“ a přestat existovat.
Nejlépe tuto abstraktní oblast uchopíte zaměřením se na praktické výstupy a jejich použitelnost. K těmto praktickým výstupům se lze dostat následujícím způsobem:
- vhodná definice kritérií pro hodnocení dopadů,
- kvantifikace dopadů, kde je to alespoň trochu možné,
- použití metody hodnocení (výpočtu) odrážející realitu,
- konverze výstupů BIA do oblastí, kde mají být použity.
Než se pustíte do analýzy dopadů, je dobré si etablovat následující zásady.
Zásada první: Použitelnost výsledků
Věřím, že mnozí s vás, co tento článek čtete, pamatují analýzu rizik či analýzu dopadů, která po prezentaci výsledků vedení skončila na dně nejspodnějšího šuplíku. Pár realizovaných opatření z plánu zvládání rizik vyhaslo jak prskavky na vánočním stromečku. Musíme si uvědomit, že analýza dopadů není jen o dokončených opatřeních, ale zasahuje do každodenního života společnosti či organizace. Je velmi dobré oprostit se od omezení modelem „analýza – rizika – opatření“ a rozšířit vnímání o použití výsledků BIA v dennodenním životě organizace (sdílení know- -how minimalizující klíčové pracovníky, provozní parametry ICT služeb). Aby výsledky byly opravdu použitelné, je důležité s tímto přístupem analýzu dopadů již plánovat a následně realizovat.
Zásada druhá: Reálnost výsledků
Reálnost výsledků analýzy dopadů je založena na dvou klíčových bodech:
- vhodná definice kritérií pro hodnocení dopadů,
- výběr vhodných respondentů pro BIA interview.
Kritéria pro hodnocení dopadů musejí refl ektovat stav a pozici organizace v reálném světě. To znamená, kolik si může dovolit ztratit sama o sobě (fi nanční ztráty, ztráty zaměstnanců,…) a jaké ztráty si může dovolit ve vazbách na své okolí (ztráta dobrého jména, ztráta zákazníků a partnerů,…).
Analýzu dopadů je nevhodnější provádět formou interview s relevantními pracovníky. Tito pracovníci by měli mít dostatečný přehled v činnostech organizace a měli by být schopni objektivně hodnotit výpadek jejich organizačními jednotkami realizovaných procesů v kontextu celé organizace (pro vedoucího oddělení se může zdát výpadek jeho činností katastrofi cký, ale ve srovnání s jinými dopady v organizaci může být i nízký). Dobrou praxí je na BIA interview vybírat respondenty z vrcholového a vyššího vedení, ideálně CEO-1 (ředitelé úseků a divizí).
Zásada třetí: Efektivita
Analýza dopadů je časově dost náročná, je tedy vhodné brát ohled na její efektivitu. Nemá příliš smysl hodnotit veškeré činnosti, produkty či dodávané služby. Analýza dopadů takovéhoto rozsahu může podle velikosti organizace trvat půl roku i déle. Proto je velmi dobré stanovit rozsah analýzy dopadů, který pokryje klíčové části organizace, kde je předpoklad významných ztrát při jejich výpadku.
Provedení analýzy dopadů
Pro realizaci analýzy dopadů můžete zvolit obdobný postup jako u každé jiné analýzy rizik založené na obecném modelu řízení rizik uvedeném v [5] nebo se můžete inspirovat metodikou připravenou přímo pro BIA ISO 22317. [6] Tento nový standard již pracuje nejen s obchodními činnostmi (business procesy) ale rozšiřuje záběr BIA o produkty určené k prodeji a poskytované služby zákazníkům, do nichž lze kromě služeb na přepážce nebo konzultačních služeb zahrnout i služby cloudové. Jaký postup zvolíte, je na vás. Také bude ovlivněn stanovenými postupy a prostředím vaší organizace, ale vždy byste se měli dobrat očekávaných výsledků.
Definice kritérií pro hodnocení dopadů
Dobře definovaná kritéria umožní hodnotit jak finanční, tak nefinanční dopady. Osobně se mi osvědčilo následující rozdělení oblastí pro hodnocení dopadů:
- Finanční – přímé či nepřímé fi nanční ztráty (legislativní nebo smluvní sankce, zvýšené výdaje, ztráta zakázek, ztráta zákazníků).
- Provozní – dopady na další části organizace, dceřiné společnosti, dopady na klienty a partnery, ztráty zákazníků (nejdou-li vyčíslit finančně).
- Reputační – dopad na dobrou pověst organizace, negativní vnímání organizace veřejností.
Velice obtížně se určuje konkrétní ztráta, ale ztráta v rozmezí od-do se stanoví mnohem snáze. Pro hodnocení dopadů proto doporučuji využívat tzv. ztrátová pásma rozdělená do čtyř úrovní. Příklad je uveden v Tab. 1.
Počet úrovní dopadů se může měnit podle potřeb organizace, na druhou stranu použití čtyřúrovňové škály při sledění kritérií umožní provazbu např. na analýzu rizik bezpečnosti informací.
Tab. 1: Příklad ztrátových pásem
Kvantitativní hodnocení dopadů a metoda výpočtu ztrát odrážející realitu
Hodnocení dopadů, zvláště těch fi nančních, není vůbec jednoduché. Navíc fi nální ztráta by měla prezentovat reálný svět. Napočítat stovky miliónů za škody způsobené např. tornádem v oblasti, kde se tornáda vyskytují maximálně 2× za 10 let, prostředí reálného světa moc neodráží.
V tomto ohledu jsem se nechal inspirovat rozpočtováním. Organizace většinou připravují rozpočty na jeden rok, pro porovnatelnost dopadů k rozpočtu organizace je vhodné absolutní ztráty přepočítávat na potenciální ztráty, které mohou nastat v jednom roce.
Na tento přepočet se výborně hodí metoda ALE (Annualized Loss Expectancy), která umožňuje kvantitativní hodnocení dopadů (tzn. určení výše fi nanční ztráty) kalkulované jako očekávané roční ztráty. Konkrétní výše fi nanční ztráty se kalkuluje jako součet jednotlivých očekávaných ztrát SLE (Single Loss Expectancy) z událostí, které již v minulosti nastaly, anebo z kvalifi kovaného odhadu jednotlivých potencionálních ztrát, které by nastaly v důsledku výpadku obchodních činností násobených pravděpodobností ARO (Awerange Rate of Occurrence), s jakou tyto ztráty nastávají, nebo se očekává, že nastanou.
Vzorec pro výpočet očekávaných ročních fi nančních ztrát potom vypadá následovně:
ALE = (SLE1 × ARO1) + (SLE2 × ARO2) … + (SLEn × AROn)
Kde:
ALE (Annualized Loss Expectancy) – celkové očekávané roční ztráty, které by mohly nastat v důsledku výpadku hodnocené obchodní činnosti, produktu či poskytované služby
SLE1-n (Single Loss Expectancy) – absolutní hodnota jednotlivé fi nanční ztráty (historicky nastalá nebo odhadovaná) v důsledku výpadku hodnocené obchodní činnosti, produktu či poskytované služby
ARO1-n (Awerange Rate of Occurrence) – pravděpodobnost výskytu události způsobující konkrétní fi nanční ztrátu (např. výskyt tornáda)
Pro určení pravděpodobnosti výskytu události způsobující fi nanční ztrátu se vzhledem k historické významnosti je možné stanovit periodu např. 10 let. Pro události, které nastaly (nebo se očekává, že by mohly nastat), se pak hodnota ARO stanovuje podle vzorce (viz Box 1).
Vhodný rozsah analýzy dopadů
Rozsah analýzy dopadů doporučuji stanovit přiměřeně, avšak tak, aby postihl všechny obchodní činnosti, produkty či poskytované služby, kde mohou nastat významné dopady. Rozsah může být definován organizačními jednotkami, lokalitami, ale také výběrem klíčových obchodních činností, produktů a poskytovaných služeb. Výběr je vhodné stanovit expertním hodnocením, kde expertem je pracovník vrcholového vedení znalý dané oblasti, který vybere za svou oblast klíčové obchodní činnosti, produkty či poskytované služby. Expertní hodnocení doporučuji provést formou interview. Do detailní analýzy dopadů pak vstupují pouze klíčové obchodní činnosti, produkty či poskytované služby, ze kterých se na základě stanovených kritérií určí kritické obchodní činnosti, produkty či poskytované služby. To znamená ty, které v ročních dopadech překročí hodnotu maximálních akceptovatelných ztrát (risk appetite).
Hodnocení a interpretace výsledků BIA
Analýza dopadů kromě výše rizik prezentovaných očekávanými ztrátami poskytuje mnoho dalších parametrů, které definují požadavky na zajištění dostupnosti obchodních činností, produktů a poskytovaných služeb:
RTO – Recovery Time Objective (doba obnovy na požadovanou úroveň)
Optimální doba, do které je nutné obnovit danou obchodní činnost, produkt nebo poskytovanou službu alespoň na minimální požadovanou úroveň (LBC min.), aby se předešlo nežádoucím ztrátám a dopadům.
MAO – Maximum Acceptable Outage (maximální akceptovatelná doba výpadku)
Maximální doba, do které když nebude obnovena daná obchodní činnost, produkt nebo poskytovaná služba, dojde k nevratným následkům až likvidaci organizace (obchodní činnosti budou neobnovitelné nebo je již nebude mít smysl obnovovat, např. odebrání licence, zrušení organizace vlastníky či masové ztráty klientů v důsledku negativního PR).
LBC – Level of Business Continuity (úroveň kontinuity služeb)
Úroveň obchodní činnosti, produktu nebo služby poskytované organizací zákazníkům, veřejnosti nebo partnerům (omezení nedůležitých funkcí, snížení výkonnosti apod.).
LBC min. – Minimal Level of Business Continuity (minimální úroveň kontinuity služeb)
Minimální úroveň poskytované činnosti, produktu nebo služby (snížená výkonnost, částečná funkčnost) – pokud jí je dosaženo v čase RTO, zajistí eliminaci závažnějších dopadů plynoucích z výpadku na organizaci. Určuje se, pouze pokud je omezení možné, popřípadě zda omezení dává smysl z pohledu spotřeby zdrojů a priorit při obnově.
Max. LBC Time – Max. period for LBC min. operation (max. perioda po provoz LBC min.)
Maximální časová perioda, po kterou je možné provozovat obchodní činnost, produkt nebo poskytovanou službu se sníženou výkonností.
RPO – Recovery Point Objective (bod obnovy)
Specifikuje, o jakou historii dat si organizace může dovolit přijít (tzn. časové období, po které byla data pořizována a mohou být nenávratně ztracena), aniž by se obchodní činnost, produkt nebo poskytovaná služba staly neobnovitelnými. Tento parametr prakticky stanovuje požadavky na strategii zálohování.
Z těchto BCM parametrů nemusejí být nutně vyhodnoceny všechny. Pokud provádíte minimalizovanou analýzu dopadů, aby tato dávala smysl, musí být minimálně stanoveny RTO a RPO.
BCM parametry prakticky defi nují objektivní požadavky na zajištění dostupnosti obchodních činností, produktů a poskytovaných služeb opřenou o dopady, které by začaly v případě jejich výpadku.
Obr. 1: Princip specifi kace požadavků BCM a jejich přenesení na ICT služby
Konverze výstupů BIA do dalších oblastí
Výstupy BIA ve formě BCM parametrů umožňují defi novat opodstatněné požadavky do dalších oblastí, jako je provoz ICT, správa budov, zajištění lidských zdrojů apod.
Na Obr. 1 je znázorněno, jak požadavky na zajištění obchodních činností (procesů) identifi kované pomocí BIA mohou být převedeny na provozní SLA a OLA parametry jako požadavky na zajištění dostupnosti ICT služeb, které jsou dále v provozu ICT přeneseny na jednotlivé komponenty dané ICT služby (server, aplikace, …).
Při definování BCM požadavků na provoz ICT je nutné si uvědomit, že různé obchodní činnosti, produktu a poskytované služby využívají různé ICT služby. V případě, že více obchodních činností, produktů či poskytovaných služeb využívá stejnou ICT službu nebo služby, musejí být jako požadavek na ICT službu vyhodnoceny nejnižší parametry RTO, MAO, Max. LBC Time, RPO a maximální parametry LBC min. aby byly pokryty požadavky všech obchodních činností, produktů a poskytovaných služeb, které danou ICT službu využívají.
Vybrané BCM parametry mohou obdobným způsobem defi - novat požadavky na zajištění prostor pro realizaci obchodních činností, prodej produktů nebo poskytování služeb. Prakticky by tyto požadavky měly být zohledněny v nájemních smlouvách a ve smlouvách na zajištění náhradních prostor.
BCM parametry také poskytují základní vstupy pro přípravu plánů kontinuity. Prakticky defi nují, do kdy a do jaké míry mají být jednotlivé obchodní činnosti, produkty a poskytované služby obnoveny, aby nedošlo k nežádoucím ztrátám.
Plány kontinuity jsou širším tématem, a tak se přípravě plánů kontinuity, zásadám, které z „papíru“ udělají funkční postupy obnovy procesů nebo informačních systémů či ICT služeb a jejich testování, budeme věnovat v příštím dílu antologie BCM.
V antologii (neboli výběru) nemusejí na sebe články navazovat jako v seriálu, což nám dává možnost zapojit do tvorby i naše čtenáře. Pokud Vás nějaké téma z oblasti BCM zajímá, pište do redakce časopisu DSM a my se pokusíme najít vhodného autora, který na toto téma pro vás článek připraví.
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
Použité zdroje:
[ 1 ] Seriál: Jak na rizika část II., Analýza dopadů, časopis DSM 2/2018
[ 2 ] ČSN ISO 22301:2020 „Bezpečnost a odolnost – Systémy managementu kontinuity podnikání – Požadavky“, Úřad pro technickou normalizaci, metrologii a státní zkušebnictví.
[ 3 ] ČSN ISO 22313:2020 „Bezpečnost a odolnost – Systémy managementu kontinuity podnikání – Pokyny pro používání ISO 22301“, Úřad pro technickou normalizaci, metrologii a státní zkušebnictví.
[ 4 ] Antologie BCM – část 1., Řízení kontinuity činností s důrazem na zachování dostupnosti know-how, časopis DSM 3/2021
[ 5 ] „ČSN ISO 31000:2018 Management rizik – Směrnice“, Úřad pro technickou normalizaci, metrologii a státní zkušebnictví.
[ 6 ] ISO/TS 22317:2021 „Security and resilience — Business continuity management systems — Guidelines for business impact analysis“ (https://www.iso.org/standard/79000.html)
