Arkusz kalkulacyjny rejestruje dane bez mechanizmów weryfikacji logiki i spójności odpowiedzi. Każdy właściciel ocenia procesy według własnej interpretacji skali, a parametry procesów i infrastruktury są szacowane niezależnie, bez bieżącej weryfikacji wzajemnej spójności. Impact App wymusza jedną, wspólną skalę ocen, a logikę powiązań między procesami a zasobami weryfikuje automatycznie. System uniemożliwia błąd, w którym zasób ICT ma zaplanowane odtworzenie późniejsze niż wymaga tego proces biznesowy, a to jest jedna z najczęstszych przyczyn niezgodności wymagań w planach ciągłości działania. 

Norma ISO 22301:2019 w punkcie 8.2 wymaga przeprowadzenia analizy wpływu biznesowego jako podstawy planowania ciągłości działania. Rozporządzenie DORA (UE 2022/2554) w artykule 11 nakłada na instytucje finansowe obowiązek identyfikacji i klasyfikacji funkcji krytycznych i istotnych z dokumentacją wymagań odtworzeniowych. Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) nakłada obowiązek zarządzania ciągłością i systematycznego szacowania ryzyka, co audytorzy weryfikują przez obecność udokumentowanej analizy wpływu. Impact App dostarcza dokumentację spełniającą te wymagania bez konieczności utrzymywania równoległych procesów lub opracowań dla każdej regulacji.

System stosuje jedną, zdefiniowaną skalę ocen widoczną dla wszystkich uczestników analizy. Każda odpowiedź jest weryfikowana pod kątem spójności wewnętrznej – system identyfikuje niespójności między zadeklarowanym wpływem a przyjętymi parametrami odtworzenia. Wyniki poszczególnych właścicieli trafiają do rejestru zbiorczego dopiero po weryfikacji i imiennym zatwierdzeniu przez właściciela, co eliminuje sytuację, w której niepełne lub niepotwierdzone dane stają się podstawą planowania ciągłości działania.

Impact App wdrażamy na infrastrukturze chmurowej Davidson Consulting lub w środowisku SharePoint organizacji klienta. Standardowe wdrożenie zajmuje kilka dni roboczych. Dla organizacji z dużą liczbą właścicieli procesów lub rozbudowaną infrastrukturą czas wdrożenia i zakres wsparcia metodycznego określamy indywidualnie.

Tak. Dane istniejące w organizacji – listy procesów, parametry odtworzenia, opisy zasobów – mogą być zaimportowane do systemu jako punkt wyjścia. Impact App weryfikuje ich spójność, uzupełnia brakujące elementy i dostarcza wyniki w formacie zgodnym z wymaganiami ISO 22301, DORA i ustawy o KSC. Organizacja zachowuje ciągłość dokumentacji, a jednocześnie uzyskuje ślad audytowy, którego dotychczasowe arkusze zwykle nie zawierały. 

Możliwe są oba modele współpracy. Organizacje dysponujące wewnętrznymi kompetencjami w zakresie analizy BIA mogą przeprowadzić analizę samodzielnie. Możliwe jest też dokupienie weryfikacji wyników analizy BIA przez eksperta Davidson Consulting lub pełna realizacja projektu, w którym nasi eksperci prowadzą analizę i dostarczają gotową dokumentację, a narzędzie pozostaje do dyspozycji dla zachowania ciągłości śladu audytowego i przyszłych analiz. Zakres zaangażowania ustalamy podczas demonstracji, po zapoznaniu się z kontekstem regulacyjnym i operacyjnym organizacji.

Klasyfikacja dostawców według krytyczności nie powinna wynikać z wartości umowy ani z kategorii zakupowej, powinna wynikać z analizy wpływu biznesowego. Dostawca krytyczny to taki, którego przerwa w dostawie usługi przekłada się na przerwę w procesie krytycznym organizacji lub narusza wymagania interesariuszy (regulatora, klientów, partnerów). W projektach, które realizujemy, regularnie spotykamy organizacje, które traktują jako krytycznych kilku największych dostawców ICT, pomijając podmioty o mniejszej wartości umów, ale wysokim wpływie operacyjnym, np. dostawcę usługi uwierzytelniania, bez której nie działa żaden z systemów produkcyjnych. Właśnie dlatego klasyfikację dostawców w programie VRM zawsze zaczynamy od wyników analizy BIA, a nie od rejestru zakupów.