ما هو تحليل تأثير الأعمال (BIA)؟
تحليل تأثير الأعمال (BIA) هو عملية منهجية لتحديد وتقييم الآثار المحتملة لانقطاع العمليات التجارية الهامة نتيجة لكارثة أو حادث أو حالة طوارئ. غالبًا ما تستخدم المؤسسة البيانات من تقييم تقييم الأعمال (BIA) عند تطوير خطة استمرارية الأعمال (BCP) أو خطة التعافي من الكوارث (درب).
تؤدي عملية BIA إلى تقرير يوثق نتائج BIA. يحتوي التقرير على مكون استكشافي يصف التهديدات ونقاط الضعف المحتملة الخاصة بالمنظمة التي تتم دراستها. ثم يوفر عنصر تخطيط يصف استراتيجيات تقليل تأثير الأحداث غير المخطط لها. ويعمل التحليل تحت افتراضين أساسيين:
- تعتمد كل عملية للمنظمة على استمرار عمل جميع العمليات الأخرى.
- تعتبر بعض العمليات أكثر أهمية من غيرها وتتطلب تخصيص أموال وموارد تشغيلية أكبر في حالة وقوع كارثة. على سبيل المثال، من المحتمل أن يكون العمل التجاري قادرًا على الاستمرار بشكل طبيعي أكثر أو أقل إذا كانت هناك حاجة لإغلاق الكافتيريا، ولكنه سيتوقف إذا كان نظم المعلومات و البنية التحتية لتكنولوجيا المعلومات يتحطم.
كيفية إجراء BIA
المنظمة الدولية للتقييس (ايزو) يقدم إرشادات لتنفيذ وصيانة عملية تقييم الأثر الاقتصادي الرسمية والموثقة. يتم نشر المبادئ التوجيهية في آيزو/تي إس 22317:2021, الأمن والمرونة – أنظمة إدارة استمرارية الأعمال – إرشادات لتحليل تأثير الأعمال. ISO/TS 22317:2021 عبارة عن مواصفات فنية (TS) متاحة لأي نوع أو حجم مؤسسة، والتي يمكنها تكييف الإرشادات مع ظروفها الخاصة.
لا يحدد معيار ISO/TS 22317:2021 عملية موحدة لتنفيذ تقييم الأعمال المنهجيات غالبًا ما تختلف من منظمة إلى أخرى. ومع ذلك، تتضمن العملية عادةً الخطوات التالية:
- الاستعداد لمشروع BIA. ينبغي التعامل مع جهد BIA مثل أي مشروع آخر. أولئك الذين يقودون تخطيط المشروع يجب أن يضمن الجهد المبذول موافقة الإدارة العليا على المشروع ثم إعداد خطة تفصيلية لتقييم الأثر البيئي. ويجب عليهم أيضًا تشكيل فريق من الأفراد المدربين لإجراء تقييم الأثر البيئي. قد يتكون الفريق من موظفين داخليين أو مستشارين خارجيين أو مزيجًا من الاثنين معًا. تقوم بعض المنظمات بإجراء جلسة تعليمية للموظفين الرئيسيين الذين لديهم معرفة بالأعمال. يمكن أن يساعد ذلك في إعدادهم لعملية تقييم المصالح التجارية وجمع المعلومات المصاحبة لها. تعد مرحلة الإعداد أيضًا وقتًا مناسبًا لمراجعة ISO/TS 22317:2021.
- جمع المعلومات ذات الصلة بالتحليل. لا يوجد نهج واحد لجمع المعلومات. قد يرسل الفريق استبيانات أو يجري مقابلات شخصية أو يراجع الوثائق الموجودة. يجب على أعضاء الفريق جمع مجموعة متنوعة من المعلومات، بما في ذلك تفاصيل محددة حول تطبيقات المهام الحرجة والعمليات التجارية، والموارد المطلوبة لدعم تلك العمليات والتبعيات بين الكيانات المشاركة. ويشمل ذلك التبعيات الداخلية والخارجية، بالإضافة إلى المدخلات والمخرجات ذات الصلة. تعتبر هذه المعلومات ضرورية في تقييم التأثير المحتمل لحدث تخريبي.
- تقييم وتحليل البيانات المجمعة. يجب على أعضاء الفريق مراجعة البيانات المجمعة للتأكد من أن لديهم كل ما يحتاجون إليه لفهم وظائف العمل وتحديد أولوياتها. قد تكون مقابلات المتابعة أو الاتصالات الأخرى ضرورية. بمجرد أن يتأكد أعضاء الفريق من حصولهم على البيانات التي يحتاجون إليها، يمكنهم البدء في تحليل البيانات لتحديد العمليات التجارية الهامة والتقنيات التي تعتمد عليها تلك العمليات. وينبغي عليهم بعد ذلك تحديد التأثير الذي سيحدث إذا تعذر تنفيذ هذه العمليات، باستخدام مقاييس الأداء، مثل هدف وقت الاسترداد (RTO)، هدف نقطة الانتعاش (RPO) والحد الأقصى لوقت التوقف المسموح به (مليون دينار). قد تكون عملية التحليل يدوية أو بمساعدة الكمبيوتر.
- إعداد تقرير لتوثيق النتائج. يتضمن التقرير عادة ملخص تنفيذيومعلومات عن منهجية جمع البيانات وتحليلها، ونتائج تفصيلية حول وحدات الأعمال المختلفة والمجالات الوظيفية، والرسوم البيانية والرسوم البيانية لتوضيح الخسائر المحتملة وتوصيات الاسترداد. ويعطي التقرير الأولوية لأهم وظائف العمل، ويفحص تأثير انقطاع الأعمال، ويحدد الجوانب القانونية والتنظيمية المتطلبات التنظيمية، يعرض تفاصيل المستويات المقبولة لوقت التوقف عن العمل والخسائر، ويسرد RTOs وRPOs وMTDs. قد يسرد التقرير أيضًا ترتيب الأنشطة اللازمة لاستعادة الأعمال، والحد الأدنى لعدد الموظفين اللازمين لاستعادة العمليات، والأموال التقريبية اللازمة للاسترداد وما إذا كان الاسترداد سيحدث في الموقع الأصلي أو في موقع بديل.
- عرض النتائج على الإدارة العليا. بعد اكتمال التقرير، يجتمع فريق BIA عادةً مع كبار المديرين لمناقشة النتائج التي توصلوا إليها. قد يقدم الفريق التقرير في هذا الوقت أو يرسله مسبقًا لإعداد المشاركين بشكل أفضل. يقوم المديرون بمراجعة التقرير، وإذا تمت الموافقة عليه، يستخدمونه لتطوير خطة استمرارية الأعمال وخطة الاستجابة لخطة التنمية. غالبًا ما يتم استخدام تقرير BIA جنبًا إلى جنب مع تقييم المخاطر (را) للمساعدة في تحديد استراتيجيات التعافي واستعادة العمليات ذات المهام الحرجة.
يجب على فريق BIA أو المديرين أو الأفراد المعينين الآخرين مراجعة بيانات BIA وتحديثها سنويًا على الأقل، وكذلك كلما حدث تغيير كبير في العمليات التجارية.
ما هو الهدف من BIA؟
يخدم تحليل تأثير الأعمال العديد من الأغراض. فهو يحدد وظائف الأعمال والأنظمة والموظفين والموارد التكنولوجية الأكثر أهمية لتشغيل العمليات على النحو الأمثل. ويصف أيضًا آثار أو عواقب انقطاع وظائف العمل الحيوية، ويحاول تحديد التكاليف المالية وغير المالية المرتبطة بالكارثة. بالإضافة إلى ذلك، يقوم تقييم BIA بتقدير المدة التي يجب أن يستغرقها استرداد كل وظيفة عمل لتجنب أي تأثيرات كبيرة على العمليات.
كل BIA فريد من نوعه بالنسبة لظروفه الخاصة. على سبيل المثال، قد يبدأ تقييم الأعمال لقسم تكنولوجيا المعلومات بتحديد التطبيقات التي تدعم وظائف العمل الأساسية. ثم سيتم بعد ذلك وصف أوجه الترابط بين الأنظمة الحالية، إن أمكن نقاط الفشل الفردية والتكاليف المرتبطة بانقطاع النظام. يقوم BIA بفحص المخاطر المتعلقة بتكنولوجيا المعلومات ويعطي الأولوية لمتطلبات وقت التشغيل، باستخدام مقاييس مثل RTO وRPO وMTD.
إن إجراء تقييم BIA لا يخلو من التحديات. على سبيل المثال، قد يكون من الصعب في بعض الأحيان تحديد التأثير الكامل على الإيرادات نتيجة لتعطل الأعمال أو تحديد العواقب طويلة المدى للخسائر في حصة السوق أو سمعة الأعمال أو العملاء. قد يؤثر تعطل الأعمال على المؤسسة بعدة طرق، بما في ذلك ما يلي:
- تأخر المبيعات أو الدخل.
- زيادة تكاليف العمالة.
- الغرامات التنظيمية.
- العقوبات التعاقدية
- استياء العملاء.
على الرغم من هذه التحديات، لا يزال تقييم أفضل الأعمال أداة قيمة لمجموعة واسعة من المنظمات، لا سيما أثناء قيامها بإعداد خطط استمرارية الأعمال وخطط الاستجابة الإقليمية الخاصة بها. ومع ذلك، يجب أن تكون تقارير تقييم الأعمال شاملة ودقيقة للغاية، ولهذا السبب تلجأ العديد من المنظمات إلى الموارد للمساعدة في هذه العملية، مثل:
- استشاريين. يمكن أن يكون المستشارون الخارجيون المتخصصون في BIA مفيدًا جدًا للمؤسسات التي تفتقر إلى الخبرة الداخلية. ومع ذلك، عند التعاقد مع شركة استشارية، يجب على المنظمة التحقق من أن أعضاء فريق الشركة لديهم خبرة يمكن إثباتها في تنفيذ عمليات تقييم الأعمال.
- برنامج بيا. يمكن للتطبيق المناسب تبسيط وتبسيط عملية BIA، مع المساعدة في ضمان الدقة والاتساق. غالبًا ما يتم توفير إمكانات BIA كوحدة ضمن تطبيق أكبر وأكثر شمولاً.
- استمرارية الأعمال كخدمة. BCaaS يقدم العديد من المزايا النموذجية للمنصات السحابية. فهي تلغي الحاجة إلى نشر البرامج داخل الشركة، وتجعل البدء أسرع وأسهل، ويمكن الوصول إليها من أي مكان تقريبًا وفي أي وقت. غالبًا ما تشتمل هذه الخدمات على مكون BIA الذي يعمل على تبسيط عملية التحليلات.
دور BIA في التخطيط للتعافي من الكوارث
خطة التعافي من الكوارث هي وثيقة منظمة تصف كيف يمكن للمؤسسة أن تفعل ذلك استئناف العمل بسرعة بعد وقوع حادث غير مخطط له يعطل العمليات العادية. يتضمن DRP عادةً بيانات من BIA، بما في ذلك التكاليف المرتبطة بالاضطرابات التشغيلية. يمكن أن تعكس التكاليف حالات مثل فقدان التدفق النقدي أو استبدال المعدات أو الرواتب المدفوعة لمواكبة الأعمال المتراكمة. وقد تشمل أيضًا خسارة الأرباح أو الموظفين أو البيانات.
تحدد بيانات BIA المستخدمة في DRP أهمية مكونات الأعمال وتقترح تخصيص الأموال المناسبة لحمايتها والتكنولوجيا الداعمة لها. غالبًا ما يتم تقييم الاضطرابات المحتملة من حيث تأثيرها على اهتمامات عمل محددة، مثل السلامة أو الشؤون المالية أو التسويق أو السمعة أو الامتثال القانوني أو تاكيد الجودة.
حيثما أمكن، يتم التعبير عن التأثير والاسترداد نقديًا لأغراض المقارنة. على سبيل المثال، قد تقوم إحدى الشركات بتخصيص ثلاثة أضعاف المبلغ الطبيعي للتسويق لإعادة بناء ثقة العملاء بعد وقوع كارثة. ينبغي أن يقوم تقييم الأثر البيئي بتقييم تأثير الكارثة مع مرور الوقت ووضع استراتيجيات التعافي والأولويات والمتطلبات من الموارد والوقت. يمكن بعد ذلك استخدام كل هذه المعلومات في DRP.
دور BIA في تخطيط استمرارية الأعمال
غالبًا ما تقوم المنظمة بإجراء BIA لتوفير البيانات لكل من DRP وBCP. خطة استمرارية الأعمال هي وثيقة تحتوي على المعلومات الهامة التي تحتاجها المنظمة لمواصلة العمل أثناء حدث غير مخطط له. فهو يحدد وظائف العمل، والأنظمة والعمليات التي يجب الحفاظ عليها، وكيفية الاستمرار في صيانتها.
غالبًا ما يستخدم BCP البيانات من BIA. وتحدد البيانات العمليات التجارية الهامة للمنظمة، والتقنيات اللازمة لدعمها، والموظفين اللازمين لاستعادة الأعمال والمرافق المطلوبة لدعم الأعمال – وهي معلومات ضرورية لتطوير خطة استمرارية الأعمال الشاملة. ومن الناحية المثالية، يجب أن تكمل خطط BC وDR بعضها البعض، ما لم ترغب الإدارة، على سبيل المثال، في التركيز على حماية التكنولوجيا، مع اهتمام أقل بالعمليات التجارية.
BIA مقابل تقييم المخاطر
في بعض الأحيان يتم الخلط بين تقييم المخاطر وتقييم المخاطر الحيوية، ولكن اثنان مختلفان بشكل أساسي. يحدد RA المخاطر التجارية الكامنة وكيفية تقليل تأثير هذه المخاطر على العمليات التجارية.
يمكن أن تشمل المخاطر الكوارث الطبيعية (مثل الأعاصير أو الزلازل)، والحرائق، الموردين الفشل أو انقطاع التيار الكهربائي أو غيرها من المرافق ، هجوم المقهى وأكثر بكثير. يصف RA مجالات الضعف الرئيسية ونقاط الضعف.
وفي المقابل، يركز تقييم الأعمال على العمليات التجارية الهامة للمنظمة والموارد اللازمة لدعمها. يعد كل من RA وBIA ضروريين لتطوير خطط BC وDR شاملة ودقيقة.
تقوم بعض المؤسسات بتنفيذ BIA قبل RA، بينما يفضل البعض الآخر تنفيذ RA أولاً. وفي كلتا الحالتين، كلاهما يسبق BCP وDRP. يعمل كل من BIA وRA معًا كنقطة انطلاق لجهود BC وDR الأكبر. يمكن أن تكون مفيدة في تحليل تأثير RTOs وRPOs وتحديد الموارد والمواد اللازمة لاستعادة الأعمال واستئنافها.
تعرف على المزيد حول تقييمات المخاطر، واحصل على قالب تقييم المخاطر مجاني وقابل للتنزيل.
