リスク管理Naviリスクマネジメントの情報サイト

事業インパクト分析

掲載:2009年04月05日

用語集

BIA(事業インパクト分析)とは、組織にとって重要な事業(製品及びサービスの提供)について、以下を明らかにする目的で実施する分析を指します。
・業務の中断による事業への影響
・業務の継続(復旧)優先順位
・業務の目標復旧時間(または復旧レベル)
・業務に必要なリソース(経営資源:人・サイト・技術・情報・供給)

BIAの分析手順

それでは、以下に詳細の手順をご紹介します。
  1. 事業を支える業務の洗い出し(業務、その概要、主管部署など)
  2. 業務が中断することによる影響の特定(定量的または定性的に特定)
  3. 業務復旧優先度の決定
  4. 目標復旧時間(RTO)目標復旧レベル(RLO)の設定
  5. 各業務に必要なリソースの特定(人であれば「どのような力量を持った要員を何名」など)

【事業インパクト分析(BIA)イメージ図】

1.事業を支える業務の洗い出し
経験則から重要な事業を支える業務は何か、ある程度あたりをつけることは可能です。しかし、重要な業務の抜け・漏れを防ぐために、また各業務が何に依存しているかを明らかにするためには、すべての業務についていったん棚卸しすることが重要です。これがBIAの最初のステップとなります。
2.業務が中断することによる影響の特定
各業務が中断した場合に、その中断が、時間の経過とともに事業に対してどのような影響を与えるかを特定します。影響を特定する方法は、定量的であっても定性的であっても構いません。例えば、定性的な方法としては、「顧客からのクレーム」という観点から、どれくらい業務が中断するとクレームが発生するのかを想定する、などの例が挙げられます。
このように特定した中断による影響をもとに、「何時間(何日・何週間)までなら、その業務の中断を許容できるか」という「最大許容停止時間(MTPD)」も、あわせて特定します。
3.業務復旧優先度の決定
2の情報をもとに、各業務の復旧優先度を特定します。例えば、①で洗い出した業務のうち、②の分析の結果として、「1ヶ月以上停止しても事業継続できる(つまり事業継続上は影響がない)」と判断される業務もあるかもしれません。このような業務については、復旧優先度は「低い」ということになります。復旧優先度が低いものは、事業継続上「重要ではない業務」として以降の分析対象からはずしてしまう場合もあります。
4.目標復旧時間(RTO)・目標復旧レベル(RLO)の決定
業務を復旧させるまでの目安となる時間(RTO)と、その復旧の時点でどの程度の操業レベルを目指すのか(RLO)を決定します。
5.業務に必要なリソースの特定
各業務の遂行に必要なリソース(経営資源)を特定します。この際、「人・サイト・技術・情報・供給」など、グループの別に洗い出しを行うと、抜け・漏れの防止に効果的です。なお、これらのリソースを確保できなければその業務を遂行できない(=ボトルネックとなる)という意味で、ここで洗い出したリソースを「ボトルネック資源」と呼ぶ場合もあります。

BIAの主要なステップはここまでです。

続くステップとしては、業務を支えるリソースに潜在するリスクを特定し、そのリスクの大きさを評価する「リスクアセスメント(RA)」があります。RAでは、各リソースについて事前対策・事後対策の必要性を検討するために、BIAの過程で特定した情報のうち、以下の情報を引き継ぐことになります。
関連サービス