در این مقاله با مفاهیم اصلی تحلیل پیامد کسب و کار (Business Impact Analysis) که با نام BIA هم شناخته میشود به عنوان یکی از فرایندهای اصلی مدیریت تداوم کسب و کار آشنا میشوید. چنانچه با موضوع و فرایند پیادهسازی سیستم مدیریت تداوم کسب و کار آشنایی ندارید پیشنهاد میکنم در ابتدا مقالات “مدیریت تداوم کسب و کار (BCMS) چیست؟” و “پیاده سازی سیستم مدیریت تداوم کسب و کار (BCMS) در 30 گام” را بخوانید و سپس این مقاله را مطالعه نمایید.
تحلیل پیامد کسب و کار (BIA) چیست؟
تحلیل پیامد کسب و کار که از آن با نام “آنالیز ضربه کسب و کار” هم یاد میشود، سازمان را قادر میسازد تا اولویت هایی را برای از سرگیری فعالیتهای مختل شده، تعیین کند. هدف اصلی BIA این است که سازمان را قادر سازد تا هر فعالیتی را که به اقدام فوری نیاز داشته باشد، شناسایی و طبقه بندی کند. زیرا عدم از سرگیری سریع چنین فعالیتهایی می تواند منجر به ایجاد سطوح غیرقابل قبولی از اثرات نامطلوب شود. شاید لازم باشد که سازمان فعالیتهایی غیر از مواردی که نیاز به بازیابی سریع دارند را نیز اولویت بندی نماید. به عنوان مثال، فعالیتی که نیازی به از سرگیری در بازه شش ماهه ندارد، اما حداقل هشت ماه طول میکشد تا از سر گرفته شود، باید اولویت بندی شود. بنابراین، فعالیتهای اولویتدار را میتوان فعالیتهایی در نظر گرفت که الزام به پیادهسازی راهکارهای تداوم کسبوکار قبل از مختل شدن آنها وجود دارد.
در این نوشته از اصطلاح «فعالیت اولویتدار» استفاده میکنیم، اما سازمانها ممکن است از اصطلاحات، دورههای زمانی یا ترتیب اولویتهای منحصر به خودشان استفاده کنند. نمونههایی از این اصطلاحات عبارتند از: «بحرانی»، «ضروری»، «حیاتی» و «کلیدی». نمونههایی از دورههای زمانی عبارتند از «۰ تا ۲ ساعت»، «۰ تا ۱ روز» و «۱ تا ۳ روز». نمونه هایی از اولویت ها عبارتند از «بالا»، «متوسط» و «کم»، یا «اول»، «دوم» و «سوم».
نقش شناسایی و تعریف فعالیتها در تحلیل پیامد کسب و کار (BIA)
هر سازمان میتواند روش عملکرد خود را به روش خود شرح دهد. به عنوان مثال، یک سازمان ممکن است فعالیتها را به عنوان وظایف یا مجموعه ای از وظایف توصیف کند که سازمان به منظور تولید یا ارائه محصولات و خدمات خود انجام می دهد (شکل زیر را ببینید). سازمان دیگری ممکن است محصولات و خدمات را بگونهای تعریف کند که توسط فرآیندهای متشکل از فعالیتها ایجاد و ساخته میشوند.
تحلیل پیامد کسب و کار (BIA) باید تمام فعالیتهای موجود در محدوده سیستم مدیریت تداوم کسب و کار (BCMS) را پوشش دهد. انجام تحلیل بر روی فعالیتها بصورت گروهی نیز قابل قبول است. به عنوان مثال فعالیتهای مربوط به یک محصول یا خدمت خاص (شکل زیر را ببینید). هنگام تحلیل پیامد کسب و کار، اصطلاحات مورد استفاده باید منعکس کننده روشی باشد که سازمان عملیات خود را توصیف می کند.
تحلیل پیامد کسب و کار چه تأثیری بر سازمان دارد؟
تحلیل پیامد کسب و کار (BIA)، سازمان را قادر می سازد تا تأثیرات نامطلوب ناشی از اختلالات را بر عملیات خود تعیین نماید و در نتیجه، بیانیه و توجیهی برای الزامات تداوم کسب و کار در اختیارش باشد.
این تحلیل همچنین سازمان را قادر می سازد:
- درک درستی از محصولات و خدمات خود و فعالیتهایی که باعث شکل گیری و تحویل محصولات و خدمات میشود، بدست آورد.
- تعیین اولویت ها و چارچوب های زمانی برای ازسرگیری تحویل محصولات و خدمات؛
- شناسایی منابعی که میتواند برای تداوم و بازیابی مورد نیاز باشد.
- شناسایی وابستگی ها (هم داخلی و هم خارجی).
معیارهای ارزیابی برای تحلیل پیامد کسب و کار (BIA)
فرایند تحلیل پیامد کسب و کار (BIA) برای تعیین اولویتها و الزامات تداوم کسب و کار استفاده میشود. این فرآیند باید دربرگیرنده تعریف معیارهای ارزیابی برای تحلیل پیامد کسب و کار (BIA) شامل انواع تأثیرات و چارچوب های زمانی که باید در نظر گرفته شوند، باشد. هر دوی این موارد باید بر اساس زمینه، اهداف کسب و کار و اهداف سازمان باشد و نیازهای افراد ذینفع را در نظر بگیرند. معیارهای ارزیابی باید به طور منظم و در زمانهای تغییر با تکرار بیشتری بازنگری شوند.
انواع پیامدها که از آنها به عنوان «طبقهبندیهای پیامد» نیز یاد میشود شامل مواردی است که در جدول زیر آمده است.
نوع |
توضیحات |
مالی |
زیان ناشی از جریمه، مجازات، سود از دست رفته یا کاهش سهم بازار |
شهرت و وجهه |
نگاه منفی و آسیب به برند |
عملیاتی |
دامنه و مدت اختلال به جریان عملیاتی کسب و کار |
قانونی و نظارتی |
ایجاد دعوی قضائی و لغو مجوزهای کسب و کار |
قراردادی |
نقض قراردادها یا تعهدات بین سازمانی |
اهداف کسب و کار |
عدم تحقق اهداف یا عدم بهرهمندی از فرصتها |
حساسیت زمانی محصولات و خدمات نسبت به اختلالات
زمان قرارگیری پیامدها در بازه غیرقابل قبول شدن میتواند بین ثانیه تا چند ماه متفاوت باشد. این بازههای زمانی به حساسیت زمانی محصولات و خدمات سازمان بستگی دارد. مثلا برای محصولاتی که بسیار حساس به زمان هستند، ممکن است لازم باشد بازه های زمانی در حد دقیقه یا ساعت تعریف شود. بازه های زمانی طولانی تر برای سازمان هایی با محصولات و خدماتی که کمتر به زمان حساس هستند، مناسب است.
اختلال در فعالیتها می تواند باعث ایجاد تأثیر غیر مستقیم بر تحویل محصولات و خدمات شود. به عنوان مثال، از دست دادن توانایی پرداخت به تأمین کنندگان می تواند به وجهه سازمان آسیب برساند و منجر به امتناع تأمین کنندگان از عرضه کالا شود، که در نتیجه مانع از تولید محصولات یا ارائه خدمات می شود. همچنین محصولات و خدمات ممکن است دارای تغییرات روزانه در تقاضا باشند و یا ممکن است ماهیت چرخهای و دورهای داشته باشند. همچنین تغییرات فصلی و یا سررسیدهای هفتگی، ماهانه، سالانه و یا تاریخ های تحویل پروژه ممکن است سطح نیاز به بعضی از فعالیتها را در برخی برههها بالا ببرد. در نظر داشتن پیامدهای غیرمستقیم و در نظر گرفتن این فرض که اختلال در بدترین زمان ممکن است رخ دهد، تضمین می کند که حداکثر پیامدهای ممکن مورد ارزیابی قرار گیرند.
حداکثر دوره قابل تحمل اختلال (MTPD) و هدف کمینه تداوم کسب و کار (MBCO)
این وظیفه مدیریت ارشد سازمان است که آستانههای پیامدی را که برای سازمان قابل قبول نیست، تعیین کند. مدت زمانی که طول میکشد تا پیامدها وارد سطح غیرقابل قبول شوند را می توان به عنوان “حداکثر دوره قابل تحمل اختلال (MTPD)” (maximum tolerable period of disruption)، حداکثر دوره قابل تحمل” یا “حداکثر قطعی قابل قبول” نامید. حداقل سطح محصول یا خدمت که برای سازمان قابل قبول باشد را میتوان به عنوان «هدف کمینه تداوم کسب و کار (MBCO)» (minimum business continuity objective) بیان کرد.
تحلیل پیامد کسب و کار (BIA) همچنین باید شامل شناسایی وابستگی های فعالیت های اولویت بندی شده باشد. این امر به سازمان اطمینان میدهد که این وابستگیها در ارزیابی ریسک گنجانده و برای تعیین استراتژیها و راهکارهای تداوم کسب و کار در دسترس باشند.
سازمان باید قبل از انتخاب راهکارهای تداومی نسبت به تعیین نیازهای منابع فعالیتهای اولویت بندی شده توجه لازم را داشته باشد زیرا ممکن است وابستگیهای فعالیتهای اولویتبندی شده مرتبط با راهکارهای تداومی انتخاب شده نباشد.
مراحل تشکیلدهنده فرایند تحلیل پیامد کسب و کار (BIA)
فرایند تحلیل پیامد کسب و کار (BIA) باید شامل موارد زیر باشد:
- الف) تعریف معیارهای ارزیابی مرتبط با زمینه سازمان، از جمله:
1) انواع پیامدها؛ 2) بازههای زمانی؛
- شناسایی فعالیت هایی که از ارائه محصولات و خدمات سازمان پشتیبانی میکند.
- استفاده از معیارهای سنجش برای ارزیابی پیامدهای پیشبینیشده در طول زمان ناشی از اختلال در این فعالیتها.
- تخمین زمانی که در آن پیامدهای عدم از سرگیری فعالیتها غیرقابل قبول میشود.
- تعیین بازههای زمانی در زمان مشخص شده، برای ازسرگیری فعالیتها در حداقل ظرفیتهای قابل قبول تعریف شده.
- شناسایی فعالیتهای اولویت بندی شده.
- شناسایی وابستگیهای فعالیتهای اولویتدار شامل افراد، اطلاعات و دادهها، ساختمانها، محلهای کار و تاسیسات مرتبط، تجهیزات و مواد مصرفی، سیستمهای ICT، حملونقل و تدارکات، امور مالی، و شرکا و زنجیره تامین؛
- شناسایی وابستگی های متقابل فعالیتهای اولویت بندی شده (به عنوان مثال تدارکات برای آزادسازی وجوه به واحد مالی وابسته است).
زمان بازیابی هدف (RTO) و نقطه بازیابی هدف (RPO)
چارچوب زمانی برای از سرگیری یک فعالیت به عنوان ” زمان بازیابی هدف (RTO)” (Recovery Time Objective) فعالیت نامیده میشود. تعیین RTO یک فعالیت ممکن است نیاز به در نظر گرفتن موارد زیر داشته باشد:
- وابستگی به فعالیت های مرتبط؛
- پیچیدگی فرایند بازیابی
شاید برای سازمانهایی با فرآیندهای پیچیده بازیابی، تعیین چندین RTO برای طیف وسیعی از ظرفیت های قابل قبول مناسب باشد.
هنگامی که وابستگی فعالیتها به اطلاعات و دادهها را در نظر می گیریم، سازمان باید اطمینان یابد که اطلاعات و داده های مورد نیاز برای از سرگیری فعالیت به طور مناسب به روز هستند. سازمان ممکن است از اصطلاح ” نقطه بازیابی هدف (RPO)” (Recovery Point Objective) برای دستیابی به این هدف استفاده کند. RPO نقطهای از زمان قبل از وقوع اختلال است که تا آن زمان اطلاعات و داده های مورد استفاده توسط یک فعالیت بازیابی میشود تا فعالیت بر روی آن وضعیت فعال شود. از سرگیری RPO همچنین میتواند برای تعیین تعداد دفعات پشتیبانگیری مورد نیاز برای جلوگیری از از دست رفتن غیرقابل قبول دادهها و اطلاعات و سایر کارهای در حال انجام که میتواند مانع از سرگیری یک فعالیت شود، استفاده شود.
چند نکته مهم در تحلیل پیامد کسب و کار (BIA)
تحلیل پیامد کسب و کار (BIA) باید مستند شود و موارد زیر را در برگیرد:
- شناسایی الزامات قانونی، مقرراتی و قراردادی (تعهدات) و تأثیر آنها بر الزامات تداوم کسب و کار؛
- تأیید یا اصلاح دامنه BCMS سازمان؛
- سنجش پیامد بر سازمان در طول زمان بهمنظور وجود دلایل توجیهی برای الزامات تداوم کسب و کار (زمان و قابلیت).
- شناسایی روابط بین محصولات و خدمات، فعالیتها و منابع؛
- شناسایی منابع پشتیبان که به فعالیت های اولویتبندی شده وابسته هستند.
- شناسایی وابستگیها به سایر فعالیتها، زنجیرههای تأمین، شرکا و سایر طرف های ذینفع.
اطلاعات مورد نیاز میتواند از طرق زیر بدست آید:
- مصاحبهها؛
- پرسشنامهها؛
- کارگاهها؛
- سایر منابع داخلی و خارجی
چنانچه علاقمند به آشنایی با خدمات شرکت آبشار در حوزه سیستم مدیریت تداوم کسب و کار هستید صفحه “سیستم مدیریت تداوم کسب و کار (BCMS)” را ببینید.