Business impact analyse voorbeeld (BIA, RTO en RPO)
Een business impact analyse (BIA) laat zien wat het je kost als een proces uitvalt. Je bepaalt per proces hoe snel het terug moet zijn (RTO) en hoeveel data je mag verliezen (RPO). Binnen ISO 22301 is de BIA het fundament onder elke continuiteitskeuze, met praktische uitleg in ISO 22313 . Toetsing gebeurt door instellingen onder toezicht van de RvA . Hieronder vind je een uitgewerkt voorbeeld plus een stappenplan om er zelf een te maken.
Een BIA is geen risicoanalyse. Een risicoanalyse kijkt naar oorzaken (wat kan er misgaan), een BIA kijkt naar gevolgen (wat kost uitval ons).
Wat is een business impact analyse?
Een BIA is een overzicht van je processen, gerangschikt op hoe erg het is als ze stilvallen. Je schat de impact in op verschillende momenten: na 1 uur, 4 uur, 1 dag en 1 week. Hoe sneller de impact oploopt, hoe hoger de herstelprioriteit.
Drie begrippen komen steeds terug. We zetten ze kort op een rij voordat je het voorbeeld bekijkt.
| Begrip | Volledige naam | Betekenis in gewone taal |
|---|---|---|
| MTPD | Maximum Tolerable Period of Disruption | Hoe lang uitval maximaal mag duren voor het echt misgaat |
| RTO | Recovery Time Objective | Hoe snel je het proces terug wilt hebben (korter dan MTPD) |
| RPO | Recovery Point Objective | Hoeveel data je maximaal mag verliezen |
Business impact analyse voorbeeld: een webshop
Stel je voert een BIA uit voor een middelgrote webshop. Hieronder zie je vijf kernprocessen, hoe de impact oploopt in de tijd, en welke hersteldoelen daarbij horen. Dit is een ingevulde voorbeeldtabel die je als basis kunt gebruiken.
| Proces | Afhankelijkheden | Impact na 1u | Impact na 4u | Impact na 1 dag | Impact na 1 week | MTPD | RTO | RPO | Prioriteit |
|---|---|---|---|---|---|---|---|---|---|
| Bestelproces (checkout) | Webserver, betaalprovider, voorraad-DB | Laag | Middel | Hoog | Kritiek | 8u | 4u | 15 min | 1 |
| Betalingsverwerking | Betaalprovider, bank-API | Laag | Hoog | Kritiek | Kritiek | 8u | 4u | 5 min | 1 |
| Magazijn/orderpicking | WMS, scanners, koppeling vervoerder | Geen | Laag | Middel | Hoog | 24u | 12u | 4u | 2 |
| Klantenservice | Telefonie, CRM, e-mail | Geen | Laag | Middel | Hoog | 24u | 8u | 1u | 2 |
| Financiele administratie | Boekhoudsysteem, bank | Geen | Geen | Laag | Middel | 1 week | 72u | 24u | 3 |
Wat valt op? Het bestelproces en de betalingsverwerking zijn prioriteit 1: zonder die twee verdient de webshop geen euro. De administratie kan een paar dagen wachten zonder dat klanten er iets van merken. Zo zie je in een oogopslag waar je herstelbudget naartoe moet.
Let op het verschil tussen MTPD en RTO. De RTO zet je altijd ruim onder de MTPD, zodat je een veiligheidsmarge hebt. Een RTO gelijk aan de MTPD betekent dat je geen enkele fout mag maken tijdens herstel.
Hoe lees je de impactkolommen?
De impact loopt vaak niet lineair op. Een uur zonder klantenservice merkt niemand, maar na een dag stapelen klachten en annuleringen zich op. Daarom schat je de impact op meerdere momenten in, niet als één getal.
Gebruik een vaste schaal zodat je processen onderling kunt vergelijken:
| Niveau | Betekenis | Voorbeeld webshop |
|---|---|---|
| Geen | Geen merkbare schade | Administratie staat 1 uur stil |
| Laag | Hinder, geen omzetverlies | Magazijn loopt iets achter |
| Middel | Omzet- of reputatieschade begint | Klanten wachten op antwoord |
| Hoog | Serieuze schade, klanten lopen weg | Checkout ligt een dag plat |
| Kritiek | Bedreiging voor het voortbestaan | Geen betalingen mogelijk, dagenlang |
Zelf een business impact analyse maken: stappenplan
Een BIA hoeft geen maandenlang project te zijn. Met de juiste mensen aan tafel kom je in een paar sessies ver. Volg deze stappen.
Stap 1: Bepaal je scope en processen
Lijst alle bedrijfsprocessen op die je wilt beoordelen. Houd het concreet: “bestelproces”, niet “verkoop”. Vraag proceseigenaren om de lijst aan te vullen, zij kennen de details.
Stap 2: Breng afhankelijkheden in kaart
Per proces noteer je waar het van afhangt: systemen, mensen, leveranciers, locaties. Een proces is nooit sneller hersteld dan zijn traagste afhankelijkheid.
Stap 3: Schat de impact in de tijd in
Loop met proceseigenaren de momenten 1u, 4u, 1 dag en 1 week langs. Gebruik de vaste impactschaal hierboven, zodat de inschattingen vergelijkbaar blijven.
Stap 4: Bepaal MTPD, RTO en RPO
De MTPD volgt uit het moment waarop de impact “kritiek” wordt. De RTO zet je daar ruim onder. De RPO bepaal je op basis van hoe vaak je back-ups maakt en hoeveel verlies acceptabel is.
Stap 5: Stel een prioriteitsvolgorde vast
Rangschik processen op herstelprioriteit. Laat het management deze volgorde formeel goedkeuren, want hierop baseer je je hele continuiteitsstrategie.
Veelgemaakte fouten in een BIA
Een BIA wordt pas waardevol als de cijfers kloppen en gedragen worden. Deze fouten zien auditors vaak terug.
| Fout | Gevolg | Beter alternatief |
|---|---|---|
| Impact als één getal schatten | Verkeerde prioriteiten | Schat impact per tijdsmoment in |
| RTO gelijk aan MTPD zetten | Geen marge bij herstel | Zet RTO ruim onder de MTPD |
| RPO kiezen zonder back-upcheck | Doel is technisch onhaalbaar | Stem RPO af op je back-upfrequentie |
| Geen managementakkoord | Prioriteiten worden later betwist | Laat de volgorde formeel vaststellen |
Hoe de BIA terugkomt in de ISO 22301 audit
Auditors toetsen niet alleen of je een BIA hebt, maar of die klopt en gebruikt wordt. Ze willen zien:
- een navolgbare methodiek en onderbouwing;
- vastgelegde en goedgekeurde RTO/RPO per proces;
- een logische link tussen hersteldoelen en je continuiteitsmaatregelen;
- testresultaten die laten zien dat de doelen haalbaar zijn.
Hoe dit precies wordt beoordeeld lees je op de pagina over het auditproces.