Análise de Impacto no Negócio (BIA): O que é! Significados e Conceitos

Análise de Impacto no Negócio (BIA): O que é! Significados e ConceitosAnálise de Impacto no Negócio ou Business Impact Analysis – BIA é um processo administrativo, uma ferramenta de gestão, que tem como finalidade identificar e analisar os processos de um negócio / atividade (incluindo os recursos necessários), com o objetivo de compreender o impacto do tempo de inatividade, e estabelecer objetivos de recuperação e priorização.

A Análise de Impacto no Negócio é um processo de análise das atividades e dos efeitos que uma interrupção de negócio pode ter sobre elas, é o ponto de partida da Gestão de Continuidade de Negócios, sendo  considerado o processo mais importante dentro do ciclo de gestão.

O que é Análise de Impacto no Negócio BIA?

A definição de Análise de Impacto no Negócio BIA é a identificação e análise de processos de negócios / atividades (incluindo os recursos necessários), com o objetivo de compreender o impacto do tempo de inatividade, o que leva a atribuição de objetivos de recuperação e priorização.

A BIA identifica o que é vital e crítico para o funcionamento do negócio, além de identificar o tempo tolerável de interrupção, calcular os possíveis impactos e a infraestrutura mínima para uma contingência.

Consideram-se como processos vitais em uma organização aqueles que resultam na atividade fim da empresa.

Análise de Impacto no Negócio – BIA é um componente essencial de um processo de Gestão de continuidade de negócios.

Um dos pressupostos básicos da Análise de Impacto no Negócio  é que existe dependência entre os processos de uma organização e que alguns são mais cruciais que outros. Por isso, a manutenção desses processos será prioritária durante uma situação de contingência.

Objetivos da  Análise de Impacto do Negócio BIA

Análise de Impacto no Negócio tem por objetivo revelar vulnerabilidades e subsidiar o desenvolvimento de estratégias para minimizar os riscos.

O resultado é um relatório de análise de impacto, que descreve os riscos potenciais específicos para a entidade no caso de uma interrupção do negócio.

O relatório  BIA quantifica a importância dos processos do negócio e sugere alocação de recursos adequados para protegê-los.

Análise de Impacto no Negócio Identificará:

  • Critérios para aferir a relevância e criticidade dos processos;
  • Atividades críticas realizadas em cada processo;
  • Necessidades de demandas regulatórias;
  • Dependências de sistemas e pessoas;
  • Impactos financeiros (perdas) que poderiam ocorrer se estes processos fossem suspensos; e
  • Impactos operacionais (segurança, por exemplo), legais de imagem (como “satisfação do cliente”), finalizando com a verificação da existência de contingência.

Aspectos a serem considerados

Na Análise de Impacto de Negócios deve ser contemplado o tempo real de recuperação para cada atividade crítica dentro da organização. Para tal, os aspectos a seguir devem ser considerados:

  • Identificação de riscos e definição de cenários possíveis de falha para cada processo crítico, levando em conta a probabilidade de ocorrência de cada falha;
  • Duração dos efeitos e consequências resultantes;
  • Custos inerentes e os limites máximos aceitáveis de permanência da falha sem a ativação da respectiva medida de contingência.

Análise de Impacto no Negócio deve contemplar:

  • Breve resumo dos processos críticos e descrição das principais atividades;
  • Perfil e quantidade dos profissionais envolvidos;
  • Dependências entre os processos da organização;
  • Tecnologias que suportam as atividades;
  • Impactos de localidade (onde é realizada a atividade);
  • Impactos financeiros, legais, operacionais e de imagem ocasionados por uma ruptura;
  • Critérios para priorização dos processos em face do tipo de impacto (financeiro, legal, operacional ou imagem);
  • Priorização por impacto;
  • Definição do nível de criticidade, ou seja, da gravidade das consequências do impacto, para cada atributo (impacto no setor e impacto corporativo, por exemplo);
  • Definição de um tempo de recuperação;
  • Determinação dos acordos com fornecedores e parceiros externos de produtos e serviços dos quais as atividades críticas dependam.

Aspectos observados na Análise de Impacto no Negócio

Na avaliação do resultado do BIA devem ser observados os seguintes aspectos:

  • Aumento de custo operacional;
  • Perda de oportunidade de negócio;
  • Impacto ao bem-estar das pessoas;
  • Dano ou perda de instalações, tecnologia ou informação;
  • Não cumprimento de deveres ou regulamentação;
  • Danos à reputação;
  • Danos à viabilidade financeira;
  • Deterioração da qualidade de produtos ou serviços; e
  • Danos ambientais.

A partir do BIA, a entidade deve identificar as medidas que reduzam o período de interrupção (mitigação de perdas e tratamento de riscos) e seus custos.

Fases da implantação da Análise de Impacto no Negócio  BIA

a) Definição do projeto

A entidade deve definir o responsável pela sua implantação e sua autoridade, escopo, objetivos e prazos.

b) Elaboração do questionário

A elaboração de um questionário para coleta das informações subsidia a análise do BIA na identificação dos impactos resultantes de interrupções ao longo do tempo, dos recursos necessários para recuperação e da existência ou não de rotinas para situações de contingência.

É uma boa prática conjugar no questionário questões qualitativas e quantitativas.

Não existe uma receita de questionário pronta, aplicável a qualquer organização, no entanto os seguintes itens podem constar do questionário:

  • número de colaboradores envolvidos,
  • custo da operação por período,
  • prejuízo por tempo parado,
  • aspectos legais de uma interrupção de serviço,
  • aspectos de imagem e demais prejuízos intangíveis.

Elaboradas as questões, os critérios devem ser definidos: se o entrevistado responder perguntas pela atribuição de valores, por exemplo, de 1 a 5, é imprescindível explicar a distinção destas cinco notas.

Não é raro que o mesmo evento seja avaliado de uma forma pelos colaboradores de nível funcional mais operacional e de outra pela alta administração.

c) Entrevista

Elaborado o questionário, parte-se para a entrevista. Os melhores resultados, com esclarecimento de questões e respostas coerentes, são obtidos quando a entrevista é realizada diretamente com o responsável por uma atividade crítica.

d) Determinação do Tempo de recuperação

Determinação dos “tempos reais de recuperação” (RTO – Recovery Time Objectives) somente depois de identificadas todas as interdependências processuais.

O Recovery Time Objective – RTO ou tempo real de recuperação é o período dentro do qual um processo deve ser  estabelecido após um incidente, a fim de evitar consequências inaceitáveis relacionadas com uma quebra na continuidade dos negócios.

Pode incluir o tempo para tentar corrigir o problema sem uma recuperação, a recuperação em si, testes e comunicação para os usuários.

A título de exemplo, com o resultado do questionário é possível concluir que para a atividade crítica “A” o tempo máximo aceitável de interrupção é de dois dias, porém, o tempo máximo aceitável de interrupção para a atividade crítica “B” é de um dia.

Além disso, esta atividade não pode ser recuperada sem a ajuda da atividade crítica “A”. Isso significa que o tempo real de recuperação para “A” será um dia e não dois.

e)Estabelecimento do “ponto real de recuperação

Estabelecimento do “ponto real de recuperação” (RPO – Recovery Point Objective) Recovery Point Objective – RPO ou ponto real de recuperação é definido pelo período máximo de tolerância em que informações podem ser perdidas ou ficarem indisponíveis devido a um incidente.

Modelo Análise de Impacto do Negócio


➡  Deixe seu comentário logo abaixo, de sua opinião e contribua com o artigo.

➡  Se gostou, curta e compartilhe as publicações com seus colegas pelas redes sociais.

As atitudes acima (comentar, curtir e compartilhar) nos ajudam a manter o Blog e a continuar as publicações de artigos de forma gratuita para todos.

Forte abraço e sucesso na sua vida e carreira profissional!

José Sérgio Marcondes – Autor Artigo


Referencias Bibliográficas

ARBELÀEZ, César A. Duque. “Gerência de Crises e Planos de Emergência”. Seminário Internacional realizado no Bureau Internacional de Negócios. São Paulo: abril de 2006.

ROPPER, Carl A. Risk Management for security professionals. Boston: Butteworth, 1999.

ABNT NBR 15999-1 Gestão de Continuidade de Negócios 

Cadastre-se gratuitamente e receba notificações sobre novas publicações. Junte-se aos mais de 10.000 inscritos.

Site Seguro e 100% livre de spam.

Para enviar seu comentário, preencha os campos abaixo:

Deixe um comentário...

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Seja o primeiro a comentar!