O que é o BIA?

Sexta, 20 Setembro 2019 14:55 Administrador
Print

A análise de impacto nos negócios (BIA) tem sido um marco na continuidade dos negócios por décadas. Naquela época, o BIA cresceu, expandiu-se e tornou-se bastante nebuloso em seu escopo, objetivos e valor. Ao explorar tanto seu propósito inicial quanto sua implementação atual, podemos concluir que os benefícios iniciais obtidos com o BIA não superam mais suas desvantagens, e por conta disso, os profissionais devem eliminar o uso do BIA tanto quanto possível.

Primeira parte: gênese

A intenção original do BIA era estimar o impacto que um incidente significativo teria sobre o negócio. Mais precisamente, foi para estimar os diferentes tipos de impacto que um incidente significativo teria em diferentes partes do negócio. Como o Glossário do BCI/DRJ afirma, ainda hoje o BIA é definido simplesmente como o “Processo de análise de atividades e o efeito que uma interrupção pode ter sobre elas”.  

Por que os profissionais querem saber como os incidentes podem afetar as atividades de uma organização? Por que os especialistas acham que essa análise é importante? Provavelmente, os profissionais empregaram um BIA para tentar obter um ou ambos os tipos de resultados:

Legitimidade e financiamento:
•    Se os executivos perceberem os efeitos potencialmente catastróficos que um incidente pode ter em sua organização, eles estarão dispostos a pagar pelas atividades de preparação. Sabendo como os incidentes podem afetar negativamente a marca, o capital, a segurança pessoal, a reputação, os recursos, a receita e outros aspectos essenciais da organização, os executivos concordariam em gastar tempo e dinheiro para preparar a organização para responder adequadamente a esses incidentes.
•    Aprendendo quanto dinheiro cada serviço gera (ou economiza) e, em seguida, quantificando possíveis impactos, podemos usar essas informações para obter financiamento contínuo e suporte do programa de continuidade de negócios. Podemos trabalhar com a liderança para determinar o financiamento com base em uma porcentagem explícita ou implícita da quantia que o serviço gera ou economiza.
Priorização:
•    Se soubermos quais serviços geram (ou economizam) mais dinheiro ou benefícios e o quanto cada um pode ser afetado, essas informações levarão a uma priorização dos serviços. Podemos fazer um cálculo rápido entre esses dois fatores para cada tipo de impacto, calcular a média dos resultados e priorizar a importância dos serviços com base no resultado.
•    Com base em uma priorização de serviços, podemos priorizar adequadamente o trabalho de nosso programa de continuidade dos negócios. O profissional de continuidade começa com o serviço mais importante e trabalha a lista a partir daí.

Essa abordagem deve ter funcionado bem o suficiente. A crescente dependência da tecnologia da informação, mainframes e desktops deu origem à continuidade dos negócios. No entanto, embora a metodologia do BIA tenha sido útil na época, ela colocou os profissionais em um caminho cheio de problemas e armadilhas.

Parte dois: problemas e armadilhas

Pare e reflita por um momento - qual foi sua experiência com o BIA? Quão valiosa você e os outros acham essa prática? Abaixo listo alguns problemas comuns citados por profissionais:
•    Demora muito: embora não existam estudos oficiais, o tempo médio necessário para realizar um BIA é de cerca de 3-9 meses e, frequentemente, pode demorar um pouco mais. Este é um período muito longo em uma "Idade Ágil", na qual espera-se que o software e outros sprints de desenvolvimento agreguem valor ao cliente a cada 2-4 semanas.
•    Demora demais para entregar um valor muito pequeno: a duração do esforço pode ser aceitável se as partes interessadas considerarem os resultados valiosos, mas a maioria não o faz. Um lamento comum em blogs, artigos e apresentações é a falta de receptividade para o processo e seus resultados.
•    Os resultados ficam obsoletos: trabalhamos em organizações complexas e num mundo complexo. Quando a tinta está seca e ele é colocado na prateleira, os resultados já estão desatualizados.
•    Os resultados não são usados para ação: uma vez que os resultados são entregues aos executivos, uma das duas coisas geralmente acontece. Ou os rankings estão alinhados com as prioridades dos executivos, caso em que você perdeu 3 a 9 meses para mostrar a eles algo que eles já sabiam - ou - os rankings não estão alinhados com as prioridades do executivo, caso em que você perdeu de 3 a 9 meses. Agora diga-lhes que eles não entendem nada do negócio.
•    Os resultados não são usados para nada: se o impacto na reputação causado por um incidente significativo mudar este ano de “3” para “2” para a área de contabilidade? E se a insatisfação do cliente passar de “1” para “2” com relação a folha de pagamento? A priorização dos serviços permanece a mesma, o programa de continuidade dos negócios permanece o mesmo, a participação permanece a mesma e o financiamento permanece o mesmo. Os resultados do BIA não são significativos para os executivos, partes interessadas, participantes ou, na maioria das vezes, para o próprio profissional de GCN.

Há também problemas "humanos" com o BIA. O profissional de GCN gasta uma quantia desproporcional de esforço e de negociação com os participantes para identificar as estimativas de impacto. Frequentemente, os participantes, inclusive os gerentes, sentem que a atividade é arbitrária e artificial, buscando algo que não é realista e não reflete o que realmente aconteceria em caso de desastre. Como essas conversas geralmente acontecem no início do trabalho, ela pode definir um tom negativo e às vezes contraditório para o restante das atividades de realização do BIA.

Existem outros problemas potencialmente mais sérios com o BIA. Muitos argumentaram que o BIA é fundamentalmente falho e inerentemente problemático. O espaço impede uma discussão detalhada desses argumentos, mas existem falhas profundas devido:
•    A incapacidade de prever com precisão qual desastre específico irá acontecer e quais serão os efeitos reais desse desastre;
•    A incapacidade de encapsular completamente e mapear com precisão todas as funções e interdependências para cada serviço;
•    A incapacidade de traduzir o valor comercial relativo para ‘Reais’ ou 'pontuações' em uma planilha eletrônica;
•    A incapacidade de um departamento para estimar adequadamente a criticidade de seus serviços dentro do contexto e missão maiores de toda a organização;
•    O tempo, o esforço e a dificuldade em determinar com precisão as perdas monetárias reais por impactos imprevisíveis dentro de prazos específicos ao longo do tempo;
•    A tendência de um departamento para (consciente ou inconscientemente) inflar e superestimar a criticidade de seus serviços.

E finalmente, até que ponto um evento significativo impactaria a marca, a satisfação do cliente, a reputação, a receita, o tempo de comercialização etc.? "Depende" é a resposta mais precisa. O impacto dependerá de um grande e complexo número de fatores e variáveis, a maioria dos quais não são conhecidas com antecedência. Considere esta lista simples de considerações sensíveis ao contexto em algum momento imprevisível do desastre:
•    Contratos e acordos legais;
•    Modelos de negócios atuais, objetivos estratégicos, cultura, visão e/ou missão de departamentos individuais e da organização em geral;
•    Tempo estimado de lançamento no mercado ou tempo para lançamento de projetos e iniciativas;
•    Influências do conselho de administração, partes interessadas, acionistas, clientes, concorrentes e mercado;
•    Liderança e gestão de prioridades;
•    Liquidez, capital e fluxos de receita;
•    Lucro, percepção, promoção e bônus;
•    Regulamentos e requisitos de conformidade de organismos reguladores e de acreditação federais, estaduais e locais e outros;
•    O tamanho, o intervalo, a duração e o impacto real do evento;
•    As condições gerais de mercado pós-desastre, incluindo os afetos aos clientes e concorrentes;
•    O status pós-desastre de outras organizações afetadas pelo mesmo desastre;
•    O status pós-desastre de outros processos, funções, sistemas e serviços;
•    Ou simplesmente: a época do ano, semana ou dia em que o desastre aconteceu.

Profissionais herdaram uma ferramenta que já foi útil em um momento, talvez durante o bug do milênio. Podemos ter uma dívida de gratidão com os profissionais que trabalharam arduamente para estabelecer a continuidade dos negócios como uma prática legítima. Mas neste tempo complexo de Bitcoin e Blockchain, virtualização e computação em nuvem, fusões e aquisições, o BIA está desatualizado.

Parte três: "Nós apenas chamamos isso de BIA"

Enquanto muitos praticantes ainda realizam um BIA tradicional como prescrito, na maioria das vezes, porque é exigido deles, outros profissionais estão trabalhando em torno da prática prescrita, a fim de fornecer um valor melhor para suas organizações. Tais atividades são benéficas em si, seja por causa das vantagens encontradas no processo, na discussão ou nos resultados (ou todos os três). Os praticantes executarão essas atividades, documentarão os resultados conforme necessário e, em seguida, “simplesmente chamarão de BIA” para atender aos requisitos externos/legais.

Aqui estão alguns exemplos (em nível departamental):
•    Uma lista simples de serviços: Essa é uma coisa muito útil de se ter. Isso força as pessoas a categorizar o trabalho que fazem. Isso é necessário para quase todas as etapas subsequentes na melhoria dos recursos de recuperação.
•    Uma breve entrevista com os executivos: Poucos minutos com aqueles que fundaram ou lideraram a empresa podem fornecer uma riqueza de informações úteis em um curto período de tempo. Os executivos conhecem e definem a direção do negócio e planejam os próximos anos. Como eles definirão as prioridades em um ambiente pós-desastre, é bom saber o que eles estão pensando e como eles veem o valor comercial relativo de cada unidade.
•    Um SIPOC simples : SIPOC (fornecedores, entradas, processo, saída, clientes, requisitos) é uma ferramenta ‘Six Sigma’ para dar uma ideia do que um processo faz. Independentemente do que você chama, em cerca de 20 minutos, o profissional pode criar uma visão geral de uma ou duas páginas dos serviços de um departamento.
•    Uma lista de prioridades de valor: por que esse departamento existe? Por que eles fazem o que fazem? Em uma situação pós-desastre, o que é importante não é uma classificação relativamente arbitrária de serviços, mas um conjunto prioritário de valores através dos quais a equipe pode se auto organizar, se auto direcionar e se recuperar o mais breve possível.
•    Um diagrama de dependência: o que precisamos para funcionar? De onde isso vem? E a quem entregamos nossos 'produtos'? Embora o autor não ache isso útil, muitos profissionais o usam para ajudar os participantes a entender onde eles se encaixam na organização, bem como influenciam e são influenciados por outras pessoas/unidades.

A lista continua. Profissionais inovadores e responsáveis estão criando novas formas de obter informações práticas e significativas. E eles estão fazendo isso de maneira cada vez mais eficaz e eficiente. A gerência executiva e as partes interessadas têm razão em rejeitar um BIA que leva de 3 a 9 meses para ser concluído e oferece pouco ou nenhum valor quando os profissionais de continuidade dos negócios podem fornecer bons resultados em questão de horas.

O escopo do BIA tornou-se cada vez mais nebuloso ao longo do tempo. Lembre-se de que o escopo definido é simplesmente uma estimativa dos diferentes tipos de impacto que um incidente significativo teria em diferentes partes da organização. Alguns profissionais tentaram expandir esse escopo para incluir tudo, desde rastreamento de ativos até estratégias de recuperação. A minuta de 2014 da ISO / DTS 22317, focada exclusivamente no BIA, requer mesmo uma “priorização do nível de atividade para obter uma compreensão detalhada dos requisitos diários de recursos… para ajudar a confirmar as conclusões relacionadas ao impacto desenvolvidas no nível do processo” uma “compreensão das dependências de outras atividades, fornecedores, parceiros terceirizados e outras partes interessadas”, tudo o que “… serve como justificativa para os requisitos de continuidade dos negócios…”. Esse escopo cada vez maior para o BIA representará apenas mais problemas para o profissional e para a indústria de continuidade dos negócios. Exigir atividades adicionais como uma maneira de tentar sustentar uma prática inerentemente problemática, não pode ser uma resposta sábia.

Quarta parte: êxodo

Eliminar o BIA tradicional pode parecer contra intuitivo, mas, devido aos problemas inerentes a ele, pode ser inevitável. A boa notícia é que ele não é mais necessário. Vamos revisitar rapidamente os propósitos originais do BIA, ou seja, legitimidade, financiamento e priorização. No que diz respeito à primeira, a continuidade dos negócios obteve legitimidade suficiente para garantir dezenas de milhões de dólares em financiamento, estabelecer instituições de apoio e fornecer empregos. Com respeito a este último, podemos e devemos mudar nosso pensamento (e o pensamento daqueles com autoridade) de rankings arbitrários de serviços para membros da equipe cada vez mais autossuficientes que podem operar efetivamente em uma situação pós-desastre precisamente porque eles entendem o negócios e o valor que seus serviços fornecem dentro do contexto desse negócio.

As práticas de continuidade dos negócios devem se tornar mais adaptáveis para se ajustar ao ambiente atual. Disciplinas relacionadas como Agile, Lean, PM 2.0, Scrum e Six Sigma podem ajudar a nos mostrar o caminho. Em uma estrutura de continuidade dos negócios tradicional (legado?), a eliminação do BIA pode ser desconcertante. Mas dentro de uma abordagem de Continuidade dos Negócios Adaptativa(CNA), omitir o BIA libera o profissional, de forma rápida e eficiente, para obter informações significativas para a melhoria contínua dos recursos de recuperação. Como o gerenciamento ágil de projetos fornece uma alternativa robusta ao gerenciamento tradicional de projetos, a CNA oferece uma alternativa robusta à continuidade dos negócios tradicionais.

O que "toma o lugar" do BIA daqui para frente? Nada. Tudo. Apenas as coisas que fornecem valor para a organização dentro do contexto de sua visão, missão e cultura, melhorando continuamente as capacidades de cada departamento para se recuperar. Legitimidade para a continuidade dos negócios pode agora vir de melhorias mensuradas nessas capacidades. O financiamento pode ser alocado proporcionalmente às lacunas identificadas nas capacidades cruzadas com o valor comercial relativo fornecido por cada serviço. A priorização estrita pode ser substituída por equipes departamentais autossuficientes e com poderes para se ajustar de forma flexível a uma situação pós-desastre, à medida que ele se desdobre imprevisivelmente em tempo real. Os esforços de continuidade dos negócios podem ser substituídos por uma abordagem mais cirúrgica informada por métricas e indicadores significativos. A lista sequencial de etapas da continuidade dos negócios pode ser substituída por uma abordagem não linear e iterativa para aproveitar as oportunidades imediatas e as nuances de cada grupo de trabalho, reconhecendo que não existe um modelo único, que sirva para todos. E o trabalho do profissional de continuidade dos negócios pode alinhar-se mais adequadamente às realidades e expectativas de um mundo cada vez mais complexo.

Adendo: auditorias, regulamentos e conformidade

Nós passamos a maior parte destas duas décadas convencendo os auditores de que o BIA é importante e que sua conclusão é uma questão de conformidade. Talvez tenhamos feito nosso trabalho muito bem. Um número crescente de profissionais gostaria de eliminar o BIA, mas agora estão limitados por exigências regulatórias.

A maioria dos auditores não é especialista em continuidade dos negócios. Eles são responsáveis por auditar uma ampla variedade de programas e processos. Para auditar um programa de continuidade, eles devem confiar em alguns critérios muito específicos. Sem uma maneira de medir a eficácia de um programa de continuidade dos negócios, o auditor é forçado a medir a implementação do programa de continuidade dos negócios. Em outras palavras, como não houve maneira de determinar em que grau um programa de continuidade está melhorando a capacidade de recuperação de uma organização, os auditores foram obrigados a se concentrar na composição e nos produtos do próprio programa.

Gostaríamos de sugerir uma maneira melhor e que está totalmente alinhada com o espírito da ISO22301: medir capacidades. Como você atende aos requisitos de “avaliação dos procedimentos de continuidade dos negócios” encontrados na seção 9.1.2? Avalie os recursos, procedimentos e competências necessários para a recuperação. Como você cumpre o objetivo, estabelecido na primeira sentença da ISO22301, de ajudar a “proteger, reduzir a probabilidade de ocorrência, preparar-se, responder e se recuperar de incidentes disruptivos quando eles surgirem”? Meça a prontidão, não os entregáveis do programa.

Embora isso certamente leve tempo e possa ir contra o estabelecido, pedimos aos profissionais de continuidade dos negócios que trabalhem em parceria com os auditores para reformular seu pensamento sobre como atender aos requisitos como a seção 9.1.2 da ISO22301 empregando medições de recursos de recuperação. Os auditores provavelmente terão que considerar a estrutura do programa e sua eficácia por enquanto, mas a esperança é que a ênfase possa começar a mudar do primeiro para o último no devido tempo, e podemos eliminar os artefatos do legado, como o BIA.

Tradução livre do artigo de David Lindstedt, PhD, PMP, CBCP.
Fonte: www.continuitycentral.com