Business Impact Analyse (BIA)

Binnen het vakgebied van business continuity management vormt de business impact analysis (BIA) het centrale instrument voor het bepalen van organisatorische continuïteit.
De BIA heeft tot doel inzicht te verkrijgen in de gevolgen van verstoring van organisatorische activiteiten alsook te bepalen welke activiteiten essentieel zijn voor het functioneren van de organisatie. Op grond van de analyse kunnen organisaties vaststellen welke activiteiten prioriteit moeten krijgen bij herstel en welke middelen noodzakelijk zijn om deze activiteiten te continueren wanneer verstoringen optreden (ISO, 2015).

De BIA, in het bijzonder de uitkomsten, fungeren daarmee als basis voor het ontwerpen van continuïteitsstrategieën, herstelplannen en crisismanagementprocedures. Zonder inzicht in de gevolgen van verstoringen ontbreekt evident een gedegen basis voor het bepalen van herstelprioriteiten, het toewijzen van middelen en het ontwerpen van organisatorische weerbaarheid (Herbane, Elliott & Swartz, 2004).

Een belangrijk kenmerk van de BIA is dat het zich primair richt op de gevolgen van verstoring van activiteiten en niet op de waarschijnlijkheid van verstoringen. Waar risicoanalyse zich richt op de combinatie van kans en impact, analyseert de BIA uitsluitend de gevolgen van het uitvallen van activiteiten. Hierdoor kan de analyse worden uitgevoerd onafhankelijk van specifieke dreigingsscenario’s.

Onderstaand wordt nader ingegaan op grondslagen van de BIA, uiteenzetting van de BIA zelf en de meest gemaakte fouten bij de BIA.

Grondslagen van de BIA

De BIA is geworteld in de perspectieven van socio-technical systems. Binnen socio-technical systems worden organisaties opgevat als een geïntegreerd geheel van sociale en technische componenten die onderling afhankelijk zijn. Binnen dit perspectief wordt een organisatie derhalve niet gezien als een verzameling losse systemen of technologieën, maar als een samenhangend systeem waarin menselijke actoren, werkprocessen en technologische middelen continu op elkaar inwerken (Trist & Bamforth, 1951).

Deze benadering heeft directe implicaties voor de business impact analyse. Omdat activiteiten tot stand komen door de interactie tussen mensen, processen en technologie, kan verstoring van een enkel element leiden tot verstoring van de activiteit als geheel. De BIA richt zich daarom niet op individuele systemen of middelen, maar op de organisatorische activiteit als integrerend knooppunt waarin deze afhankelijkheden samenkomen.

Hieruit volgt dat de identificatie van prioritized activities binnen de BIA een logische consequentie is van het socio-technical systems perspectief. Activiteiten vormen de eenheid waarin sociale en technische componenten samenkomen en waarop de continuïteit van de organisatie uiteindelijk rust. Het analyseren van afhankelijkheden en impact binnen de BIA kan daarom worden gezien als het expliciet in kaart brengen van deze onderlinge relaties en hun kwetsbaarheid voor verstoringen.

De Business Impact Analyse uiteengezet

Volgens de richtlijnen van ISO 22317 wordt de business impact analyse opgevat als een samenhangende analyse van activiteiten, impact, tijd en afhankelijkheden. In de praktijk wordt deze analyse gestructureerd uitgevoerd aan de hand van een aantal opeenvolgende analyseonderdelen, die gezamenlijk inzicht geven in de gevolgen van verstoringen.
De stappen betreffen als volg:

1. identificatie van producten en diensten
2. identificatie van organisatorische activiteiten
3. identificatie van kritieke activiteiten
4. analyse van afhankelijkheden
5. analyse van impact van verstoringen
6. analyse van tijdsgevoeligheid van activiteiten
7. vaststelling van herstelparameters
8. bepaling van herstelvereisten en herstelvolgorde

1. Identificatie van producten en diensten

De eerste stap binnen de BIA bestaat uit het identificeren van de producten en diensten die door de organisatie worden geleverd. Deze producten en diensten vormen het uitgangspunt voor het bepalen van de activiteiten die noodzakelijk zijn om de organisatie operationeel te laten functioneren. Bij de analyse wordt vastgesteld welke producten of diensten essentieel zijn voor de organisatie. Hierbij kan onder meer worden gekeken naar factoren zoals strategisch belang, contractuele verplichtingen tegenover klanten en wettelijke vereisten. Door deze analyse ontstaat inzicht in welke organisatorische output moet worden beschermd wanneer zich verstoringen voordoen.

2. Identificatie van organisatorische activiteiten

Wanneer de belangrijkste producten en diensten zijn vastgesteld, kan vervolgens worden onderzocht welke organisatorische activiteiten noodzakelijk zijn om deze te realiseren.

Activiteiten moeten in dit licht worden opgevat als organisatorische handelingen of processen die nodig zijn om producten of diensten te produceren, te ondersteunen of te beheren. Voorbeelden hiervan zijn operationele processen, logistieke activiteiten, administratieve processen, klantenondersteuning en ondersteunende functies zoals IT services. Door deze activiteiten systematisch in kaart te brengen ontstaat inzicht in de organisatorische structuur waarbinnen producten en diensten tot stand komen.

3. Identificatie van kritieke activiteiten

De derde stap bestaat vervolgens uit het bepalen welke van de eerder genoemde activiteiten kritisch zijn voor het functioneren van de organisatie. Niet alle activiteiten zijn hierbij even belangrijk voor het functioneren van de organisatie. Sommige activiteiten kunnen tijdelijk worden onderbroken zonder grote gevolgen, terwijl andere activiteiten direct leiden tot ernstige verstoringen wanneer zij uitvallen.

Binnen de BIA wordt daarom vastgesteld welke activiteiten als kritisch moeten worden beschouwd. Deze activiteiten worden aangeduid als prioritized activities. Bij het bepalen van kritieke activiteiten wordt gekeken naar de rol van de activiteit in het leveren van producten of diensten, de afhankelijkheid van andere activiteiten en de gevolgen wanneer de activiteit wordt onderbroken. Wanneer deze kritieke activiteiten zijn vastgesteld, dan kan worden onderzocht van welke middelen deze activiteiten afhankelijk zijn.

4. Analyse van afhankelijkheden

Deze stap binnen de BIA bestaat uit het analyseren van de afhankelijkheden van kritieke activiteiten, ook wel aangeduid als dependencies.
Activiteiten kunnen afhankelijk zijn van verschillende typen middelen, zoals personeel, informatiesystemen, data, fysieke infrastructuur, energievoorziening en externe leveranciers. Het analyseren van deze afhankelijkheden is essentieel omdat verstoringen zich vaak via dergelijke afhankelijkheden verspreiden. Wanneer een ondersteunend systeem of een externe leverancier uitvalt kan dit leiden tot verstoring van meerdere activiteiten tegelijk (Sheffi, 2005). Om deze afhankelijkheden nauwkeurig te analyseren wordt informatie doorgaans verzameld via interviews met proceseigenaren. Gedurende de interviews wordt doorgaans onderzocht:

• welke activiteiten essentieel zijn voor het functioneren van het proces
• van welke middelen deze activiteiten afhankelijk zijn
• welke gevolgen optreden wanneer de activiteit wordt onderbroken
• hoe snel deze gevolgen toenemen naarmate de verstoring voortduurt

De informatie die tijdens deze interviews wordt verzameld vormt de grondslag voor de impactanalyse.

5. Impactanalyse en impactmatrix

Binnen deze analyse wordt gekeken naar verschillende impactcategorieën, zoals financiële gevolgen, operationele verstoringen, reputatieschade, juridische gevolgen en veiligheidsrisico’s. Om activiteiten systematisch te vergelijken wordt deze informatie vaak samengebracht in een impactmatrix. Deze matrix maakt het mogelijk om activiteiten te classificeren op basis van hun impact. 

Hoewel deze analyse inzicht geeft in de ernst van verstoringen, is voor continuïteitsplanning ook inzicht nodig in de tijdsdynamiek van verstoringen.

6. Tijdsmodel van verstoringen

Binnen de BIA wordt onderzocht hoe de gevolgen van verstoringen zich ontwikkelen naarmate een activiteit langer wordt onderbroken. Hiervoor wordt vaak een tijdsmodel gebruikt waarin wordt geanalyseerd hoe de impact van een verstoring toeneemt naarmate een activiteit langer niet beschikbaar is. Door deze tijdsdynamiek te analyseren kan worden vastgesteld binnen welke tijd activiteiten moeten worden hersteld.

7. Herstelparameters

Op grond van de impactanalyse en het tijdsmodel worden verschillende herstelparameters vastgesteld. Een belangrijk aspect betreft de maximum tolerable period of disruption. Dit verwijst naar de maximale periode waarin een activiteit onderbroken kan zijn voordat de gevolgen onacceptabel worden. Ook wordt de recovery time objective vastgesteld. Dit beschrijft de tijd waarbinnen een activiteit moet worden hersteld om te voorkomen dat de maximale verstoringsperiode wordt overschreden. Voor activiteiten die afhankelijk zijn van informatiesystemen wordt vaak ook een recovery point objective vastgesteld. Deze parameter beschrijft de maximale hoeveelheid gegevensverlies die acceptabel wordt geacht bij een verstoring. Een aanvullende parameter betreft de minimum business continuity objective. Dit verwijst naar het minimale niveau waarop een activiteit moet functioneren tijdens een verstoring.

8. Herstelvereisten en herstelvolgorde

De laatste stap binnen de BIA bestaat uit het bepalen van de middelen die noodzakelijk zijn om kritieke activiteiten te herstellen en/of te continueren. Deze middelen worden aangeduid als resource requirements. Zij kunnen betrekking hebben op personeel, informatiesystemen, infrastructuur, data en externe leveranciers. Daarnaast wordt vastgesteld in welke volgorde activiteiten moeten worden hersteld wanneer meerdere activiteiten tegelijkertijd worden verstoord. Deze herstelvolgorde wordt aangeduid als recovery sequencing. Door deherstelvolgorde te bepalen kan een organisatie effectief reageren wanneer zich verstoringen voordoen.

Veelgemaakte fouten bij de uitvoering van een Business Impact Analyse

Hoewel de BIA een centraal instrument vormt binnen business continuity management, blijkt uit onderzoek en praktijkervaring dat organisaties bij de uitvoering van een BIA frequent vergelijkbare fouten maken. De meest voorkomende fouten worden onderstaand beknopt weergegeven.

1. Verwarring tussen risicoanalyse en BIA

Een van de meest voorkomende fouten is het verwarren van de BIA met een risicoanalyse. Beide analyses richten zich op verstoringen van organisatorische activiteiten, maar hebben een fundamenteel verschillend doel. Een risicoanalyse richt zich op de kans dat een bepaalde verstoring optreedt en de mogelijke gevolgen daarvan. De BIA richt zich daarentegen uitsluitend op de impact van het uitvallen van activiteiten, onafhankelijk van de oorzaak van de verstoring. Wanneer organisaties deze twee analyses met elkaar vermengen bestaat het risico dat activiteiten die een lage kans op verstoring hebben maar een hoge impact veroorzaken onvoldoende aandacht krijgen. De BIA dient daarom expliciet te worden uitgevoerd als een scenario-onafhankelijke analyse van organisatorische gevolgen.

2. Te sterke focus op technologie

Een tweede veel voorkomende fout is dat organisaties de BIA primair uitvoeren vanuit een technologisch perspectief. In dergelijke situaties wordt de analyse bijvoorbeeld beperkt tot informatiesystemen of IT-infrastructuur. Hoewel technologie een belangrijke rol speelt binnen moderne organisaties, vormt zij zoals eerder aangehaald slechts een onderdeel van een breder socio-technical system. Organisatorische activiteiten zijn vaak afhankelijk van meerdere factoren, zoals personeel, fysieke infrastructuur en externe leveranciers. Wanneer de analyse zich uitsluitend richt op technologie bestaat het risico dat andere kritieke afhankelijkheden buiten beeld blijven.

3. Onvoldoende analyse van afhankelijkheden

Een derde fout betreft het onvoldoende analyseren van afhankelijkheden tussen activiteiten en middelen. In complexe organisaties zijn activiteiten vaak sterk met elkaar verbonden. Wanneer een ondersteunende activiteit uitvalt kan dit gevolgen hebben voor meerdere andere processen. Indien deze afhankelijkheden niet systematisch worden geanalyseerd kan de impact van verstoringen aanzienlijk worden onderschat. Een verstoring van een ogenschijnlijk minder belangrijke activiteit kan in de praktijk leiden tot verstoring van meerdere kritieke activiteiten. Daarom benadrukken veel auteurs dat het in kaart brengen van dependencies een essentieel onderdeel vormt van de BIA.

4. Subjectieve impactschattingen

De impactanalyse binnen een BIA wordt in veel gevallen uitgevoerd op basis van interviews met managers en proceseigenaren. Hoewel deze aanpak noodzakelijk is vanwege de verspreide kennis binnen organisaties, brengt zij ook het risico van subjectieve inschattingen met zich mee. Managers kunnen bijvoorbeeld geneigd zijn om de kritikaliteit van hun eigen activiteiten te overschatten, omdat zij verantwoordelijk zijn voor het functioneren van deze activiteiten. Hierdoor kan een vertekend beeld ontstaan van de werkelijke prioriteiten binnen de organisatie. Om dit risico te beperken wordt vaak gebruikgemaakt van gestandaardiseerde impactcategorieen en beoordelingsschalen.

5. Gebrek aan organisatorische betrokkenheid

Een andere veel voorkomende fout is dat de BIA wordt uitgevoerd door een kleine groep specialisten zonder brede betrokkenheid van de organisatie. Omdat de BIA afhankelijk is van kennis over organisatorische activiteiten en afhankelijkheden, is het noodzakelijk dat proceseigenaren actief betrokken zijn bij de analyse. Wanneer deze betrokkenheid ontbreekt, kan belangrijke informatie over processen en afhankelijkheden verloren gaan.

6. Verouderde BIA-resultaten

Tot slot komt het regelmatig voor dat organisaties een BIA slechts eenmalig uitvoeren en de resultaten vervolgens jarenlang ongewijzigd laten. Organisaties veranderen echter voortdurend. Nieuwe technologieën, veranderende processen en nieuwe leveranciers kunnen leiden tot nieuwe afhankelijkheden en kwetsbaarheden. Wanneer de BIA niet periodiek wordt geactualiseerd kan het beeld van kritieke activiteiten verouderd raken, waardoor herstelstrategieën niet langer aansluiten op de feitelijke situatie van de organisatie.

LITERATUUR

1. Comfort, L. K., Boin, A., & Demchak, C. C. (2010). Designing resilience: Preparing for extreme events. University of Pittsburgh Press.
2. Elliott, D., Swartz, E., & Herbane, B. (2010). Business continuity management: A crisis management approach. Routledge.
3. Herbane, B. (2010). Small business research: Time for a crisis-based view. International Small Business Journal, 28(1), 43-64.
4. Herbane, B., Elliott, D., & Swartz, E. (2004). Business continuity management: Time for a strategic role? Long Range Planning, 37(5), 435-457.
5. International Organization for Standardization. (2015). ISO 22317: Security and resilience – Business continuity management systems – Guidelines for business impact analysis. ISO.
6. Sheffi, Y. (2005). The resilient enterprise: Overcoming vulnerability for competitive advantage. MIT Press.
7. Trist, E. L., & Bamforth, K. W. (1951). Some social and psychological consequences of the longwall method of coal-getting. Human Relations, 4(1), 3-38.