El análisis de impacto en el negocio (también conocido como BIA o Business Impact Analysis, por sus siglas en inglés) es una fase del Plan de Continuidad de Negocio (PCN) con el que debe contar cualquier empresa u organización. Este análisis predice las consecuencias de la interrupción de una función o un proceso del negocio, y reúne la información necesaria para desarrollar estrategias o acciones de recuperación.
El objetivo del BIA es identificar los procesos críticos para la continuidad de los servicios de la empresa. Este análisis permite detectar, cuantificar y calificar el impacto que tendría sobre el negocio una interrupción de su actividad, y también proporciona información para determinar las estrategias de continuidad más adecuadas en cada caso. A diferencia de una evaluación de riesgos, el BIA examina cómo se vería afectada la actividad de la organización y las consecuencias en su productividad; además, se indican acciones para lograr la recuperación, ordenadas de más a menos prioritarias.
El análisis de impacto en el negocio examina los riesgos de ocurrencia de un escenario de indisponibilidad, cuantificando la probabilidad de que cada amenaza se materialice. En base a ello se determinan las medidas adicionales a aplicar para detectar o mitigar sus consecuencias. Algunos escenarios de interrupción del negocio podrían ser:
- Daños físicos en los edificios o instalaciones.
- Daños o averías en maquinaria, sistemas o equipos.
- Acceso restringido a un sitio o instalación.
- Interrupción de la cadena de suministro, incluido el fallo de un proveedor o la interrupción del transporte de mercancías desde el proveedor.
- Corte de los servicios públicos (por ejemplo, corte de energía eléctrica).
- Daños, ataques, pérdida o corrupción de la tecnología de la información, incluidas las comunicaciones de voz y datos, servidores, ordenadores, sistemas operativos, aplicaciones y datos.
- Ausencia de empleados esenciales.
El momento y duración de la interrupción también es un factor crítico. El momento en que se interrumpe una función o un proceso empresarial puede ser determinante en las pérdidas sufridas, por ejemplo, una tienda que ve interrumpida su actividad en plena temporada de compras navideñas puede perder una cantidad sustancial de sus ventas anuales. Un corte de luz de unos minutos sería un inconveniente menor para la mayoría de las empresas, pero podría ser crítico para un hospital.
La realización de un BIA permite:
- Identificar la criticidad de los procesos en función, es decir, los impactos operativos y financieros, a nivel interno, externo, legal y reputacional, de la interrupción de las funciones y procesos empresariales. Los impactos que considerar incluyen:
- Pérdida de ventas e ingresos.
- Retraso en las ventas o los ingresos.
- Aumento de los gastos (por ejemplo, horas extras, subcontratación, costes de expedición, etc.).
- Multas reglamentarias.
- Sanciones contractuales o pérdida de bonificaciones contractuales.
- Insatisfacción o deserción de clientes.
- Cancelación o retraso de nuevos planes de negocio.
- Obtener el Tiempo de Recuperación Objetivo (RTO) para cada proceso, es decir, el periodo de recuperación a un nivel mínimo y aceptable de las actividades que se han identificado. Por ejemplo, supongamos que el administrador de la aplicación móvil de un centro sanitario nos dice que el tiempo máximo en el que puede estar caída la función de pedir cita previa es de 24 h; en este caso, el RTO asociado a dicho proceso sería de 24h.
- Obtener el Tiempo de Inactividad Máximo Tolerable (MTD): periodo máximo tolerable durante el cual puede estar caído un proceso antes de que se produzcan efectos desastrosos en la organización y afecte al negocio. Siguiendo con el caso anterior, supongamos que el proceso de asignación de citas médicas por la app no puede estar interrumpido por un periodo superior a 48 h. En este caso, estableceríamos que el MTD asociado a dicho proceso es de 48 h.
- Delimitar el Punto de Recuperación Objetivo (RPO), que es el punto al cual la información debe ser restaurada para que un proceso opere de nuevo una vez que se haya reiniciado. En este sentido, imaginemos que el responsable de la app sanitaria nos indica que podrían tolerar una pérdida de la información generada durante un día completo. Por lo tanto, estableceríamos que el RPO es de 24h.
Para elaborar el BIA y recabar la información necesaria suele utilizarse un cuestionario BIA, dirigido a directivos, responsables de departamento, coordinadores, personal técnico y, en general, a las personas que tengan un conocimiento detallado de cómo la empresa desarrolla su actividad. El personal entrevistado deberá proporcionar información sobre los procesos empresariales críticos y los recursos necesarios para que la empresa siga operando a diferentes niveles. Deberán identificar los impactos potenciales si se interrumpe la función o el proceso empresarial del que son responsables. Todo ello se reflejará en el BIA.
El análisis no sigue siempre la misma metodología, cada organización suele adaptarlo a sus necesidades. Normalmente, en el proceso se recopilan riesgos potenciales, los impactos que pueden tener y tiempos y formas de actuación.
El BIA concluye con un informe de impacto en el negocio que suele dividirse en dos partes: una parte exploratoria en la que se indican las vulnerabilidades identificadas, y otra parte de planificación y desarrollo de estrategias, donde se establecen las acciones y medidas a aplicar para minimizar los riesgos y hacerles frente si se materializan y ocurre algún incidente.
La pandemia de la COVID-19 ha incrementado la importancia de la gestión de riesgos en las organizaciones. Todas ellas, desde PYMEs a grandes multinacionales, tomaron conciencia, en primera persona y a marchas forzadas, de la importancia de tener un buen plan para garantizar la continuidad de su negocio ante circunstancias tan inesperadas como súbitas, con muchos escenarios posibles que deben ser considerados.
