ビジネスインパクト分析 (BIA) とは？4 ステップでさまざまな事態に備える

「Be prepared. (準備をしておけ)」

この考え方は、ビジネスでもライオン・キングでも同じです。アフリカのサバンナで歌っていても、デスクでプロジェクトの管理をしていても、最悪の事態を想定し、必要な時に行動できるように備える必要があります。

そこで役立つのがビジネスインパクト分析 (BIA) です。BIA によって予期せぬトラブルが発生した際に予想される事態を明らかにし、できる限り早くビジネスを復旧させるための計画を立てることができます。

ビジネスインパクト分析 (BIA) とは？

ビジネスインパクト分析は、ビジネスのプロセスに障害が発生した場合に起こりうる結果の予測に役立ちます。ビジネスインパクト分析を行うことで、前もって復旧計画を準備するためのデータが手に入ります。たとえば、製造会社は BIA を使うことで、重要なサプライヤーを失った場合会社の運営や収益にどう影響するのか分析できます。

わかりやすくいうと、サーバーがクラッシュしてしまったらどうなるか、世界的なパンデミックで市況が変化したらどうなるかなど、BIA を使うことで障害がもたらす運用上または財務上の影響を特定できます。ビジネスインパクト分析で集めたデータはこういった潜在的な障害の把握や障害へ向けた準備に役立ち、分析を行っておくことで実際に障害が発生したときにすばやく行動し、課題に取り組むことができます。たとえば、BIA で集めたデータを利用して、予期せぬビジネスの変化への対処方法を示す事業継続計画を作成することもできます。

ビジネスの障害と考えられる影響の例としては、こんなものがあります。

ビジネスの障害の例

• データセキュリティの侵害やサイバー攻撃

• スケジュールの遅延

• 自然災害

• 停電やその他の公共サービスの提供停止

• 機器の故障

• 主力となる社員の喪失

• 主力となるサプライヤーの喪失

ビジネスへの影響の例

• 製造のダウンタイムによる売り上げや収益の減少

• 売り上げや収益の遅延 (支払いの遅延など)

• 予期せぬ出費 (残業代やアウトソーシングの費用など)

• 法的な罰金や契約上のペナルティの発生

• 障害によるビジネス計画の遅延

• 顧客の喪失

ビジネスインパクト分析とリスクアセスメントの違い

リスクアセスメントでは潜在的な脅威とその発生確率を分析し、ビジネスインパクト分析ではそのような脅威の深刻度と、脅威がもたらすビジネスの運用面と財務面への影響を分析します。つまり潜在的なリスクを特定し、その影響を分析するビジネスインパクト分析はリスクアセスメントの延長線上にあるといえるでしょう。

ビジネスインパクト分析とプロジェクトリスク管理の違い

プロジェクトリスク管理とは、プロジェクトの潜在的なリスクを特定、分析し、対処するまでの一連のプロセスです。ここでいうリスクとは、プロジェクトタイムラインの遅れ、プロジェクト予算の超過、パフォーマンスの低下などを引き起こし、プロジェクトの失敗の要因となるもののことを指します。

プロジェクトリスク管理は特定のプロジェクトに関して発生しうる障害の予測と対応に特化している一方、ビジネスインパクト分析ではより広範囲での予測を行います。BIA は特定のプロジェクトに限らず、包括的なビジネス機能やプロセスを対象とします。たとえば、部門をまたいでアプリのリニューアルを行う場合はプロジェクトリスク管理を用いますが、人員配置に問題が発生した場合のアプリ制作への影響を調査する場合は BIA を使用します。

ビジネスインパクト分析がなぜ重要なのか

障害は発生してしまうものです。だからこそ、ビジネスを復旧し、利益の損失を最小限に抑えられるよう備える必要があります。ビジネスインパクト分析を行うことで、障害に備えて計画し、実際に障害が発生してしまったときにうまく対処するためのデータを集めることができます。

BIA プロセスは特に以下のような目的で活用できます。

• 重要なビジネス活動やリソースの特定。 BIA を行うことによって最も重要な製品やサービスを提供するのに必要不可欠なプロセスが明らかになります。これにより、どんな状況でも必須となる作業を把握できます。

• ビジネスの障害がもたらす財務的影響の分析。 潜在的な障害が会社の財務に与える影響を理解することで、予期せぬ障害が発生したときに対処できるよう前もって戦略を立て、資金を割り当てることができます。BIA を行うことで、必要なリソースの把握や予算請求の理由付け、経営陣への事業継続計画 (BCP) の提案などが可能です。

• 事業継続計画の作成に必要なデータの収集。 事業継続計画ではビジネスの障害を防止するため、または障害発生時に対処するための戦略を示します。しかし、対処方法を計画するには、まずその障害がビジネスに与える影響を理解する必要があります。

ビジネスインパクト分析の 4 ステップ

ビジネスインパクト分析は大変な作業に感じられるかもしれませんが、わかりやすく 4 つのステップにまとめてみました。まずはステップ 1 から始めてみましょう。

1. BIA の実施方法を計画する

BIA では会社全体のプロセスの分析を行いますが、まずはビジネスインパクト分析そのものをひとつのプロジェクトとして捉え、計画を立てましょう。通常のプロジェクトと同様、プロジェクト計画の作成から始め、分析のスコープ、BIA の目的、作業に関わるステークホルダー (利害関係者) など、BIA の概要をまとめましょう。BIA の実施に関する明確な道筋を示す、よくまとまったプロジェクト計画があれば、ステークホルダーはそれぞれの担当範囲を把握しやすくなり、プロジェクト開始前に必要なリソースが揃っていることも確認できます。

プロジェクト計画を作成するときは、チームメンバーが必要な情報を確認、理解し、効果的に動けるよう、ビジネスインパクト分析に含まれるさまざまな要素をどのように整理するかも考えるようにしましょう。Asana のようなプロジェクト管理ソフトウェアを使えば、すべての仕事をひとつのツールにまとめられるので、プロジェクトの要素ごとに信頼できる唯一の情報源を用意することができます。また、Asana では仕事が完了するとリアルタイムでその状況が反映されるため、スケジュール通りに進んでいるかどうかも常に確認できます。

2. 情報を収集する

ビジネスの障害がもたらす影響を予測する前に、まずは重要なビジネスプロセスがどのように機能しているかを知る必要があります。専門家、つまり調査するビジネスプロセスを管理、実行しているステークホルダーに尋ねてみましょう。プロジェクトマネージャーはプロセスの全体像や大まかな需要を理解しているかもしれませんが、より仕事に近い人の話を聞くことが重要です。そうすることでビジネスの障害が実際の現場にもたらす影響と、これから導入しようとしている解決策について考えることができます。

一般的な情報収集手段としては、以下の 2 つがあります。

1. ステークホルダーに直接質問する機会を作る

2. ビジネスインパクト分析に関するアンケートを作成し、非同期的にステークホルダーに回答してもらう

直接質問する場合の質問と、アンケートを取る場合の質問は似たようなものになりますが、直接質問する場合はより個人的な話を聞くことができる一方で、アンケートは時間の節約になり、複数人から共通形式のデータを収集できます。

ビジネスインパクト分析に関するアンケートの例

まずは BIA アンケートとその回答例をご紹介します。

担当しているビジネスプロセス

オンライン決済プロセス

プロセスが実行される場所を説明してください。

顧客の支払い情報の処理に使用しているサーバー

プロセスのインプット情報とアウトプット情報をすべて記載してください。

• インプット: カート内のアイテム、顧客の支払い情報、請求先住所、配送先住所

• アウトプット: 顧客によるアイテムへの支払い、配送センターへの配送情報の送信、確認メールの送信

プロセスに必要なリソースとツールをすべて記載してください。

e コマースプラットフォーム (Shopify)、メール自動化ソフトウェア、カスタマーサービスチーム

プロセスのユーザーをすべて記載してください。

顧客

プロセスのタイミングを説明してください。

決済プロセスには 3 ～ 5 分間かかり、カートへのアイテム追加後、アイテムの配送前に発生します。

プロセスに発生しうる障害をすべて記載してください。

サーバーのクラッシュ、メール自動化のバグ、e コマースプラットフォームのダウン、セキュリティの侵害

プロセスで発生した障害の結果として考えられる財務面、運用面、または法律や規則の面での影響をすべて記載してください。

• 財務的影響: サーバーがクラッシュした場合、1 分あたり 1000 ドルの損失が予想されます。

• 運用的影響: e コマースプラットフォームが 1 日以上ダウンした場合、売り上げが減少し、リソースに余剰が出ることが予想されます。

• 規則的影響: セキュリティの侵害が発生した場合、顧客情報に関する規則へのコンプライアンス違反により罰金が発生する可能性があります。

該当する場合は、これまでのビジネスの障害に関するデータとその障害の影響を教えてください。

昨年発生したサーバークラッシュによる決済プロセスへの影響、財務的損失、復旧スケジュールなどをまとめた添付のレポートをご参照ください。

3. データを分析する

各ビジネスプロセスの情報が集まったら、いよいよ分析に入ります。以下の質問を参考に調査を進めましょう。

• ビジネス運用を継続するにあたり、最も重要なプロセスはどれか？ 優先すべき重要なビジネス機能のリストを作成することで、障害が発生した際に最初に復旧すべきプロセスと、優先順位の低いプロセスを把握できます。

• 各プロセスを正常に機能させるために必要なリソースは何か？ リソースの例としてはチームメンバーやテクノロジー、また原材料や職場などの物理的なものも挙げられます。絶対に欠かすことのできないリソースを特定できれば、ビジネスに障害が発生した際のリソース割り当ての優先順位がつけやすくなります。

• 障害発生時、各プロセスの復旧にはどのくらいの費用と時間がかかるか？ これを考えることにより、障害復旧計画に必要となる正確なタイムラインと予算を予測でき、潜在的な損失に備えるとともに、可能な限り迅速な復旧を実現できます。

4. レポートを作成する

集めたデータの分析が完了したら、最後はビジネスインパクト分析レポートの作成です。BIA レポートはプロセスの専門家から集めたデータに基づく、信頼できる復旧戦略の作成に役立ちます。このレポートは経営陣との話し合いや、ビジネスの復旧に最適なコンティンジェンシープランの特定に使われるため、BIA から得られる最も重要な成果物といえます。

ビジネスインパクト分析レポートのテンプレート

BIA レポートには、以下の要素を取り入れましょう。

- エグゼクティブサマリー

- 目的とスコープ

- 調査方法

- 調査結果の概要

- 以下を含む、各プロセスに関する調査結果の詳細

• 優先すべき最重要ビジネスプロセスのリスト

• そのプロセスに障害が発生した場合に考えられる各ビジネス分野への影響

• 合理的に許容できる障害発生期間の長さ。目標復旧時間 (RTO) とも呼ばれます。

• 許容できる最大ビジネス損失額。目標復旧時点 (RPO) とも呼ばれます。

• 障害発生時に予想される財務コストとビジネス復旧戦略のコストの比較 

- 参考資料

- 復旧に関する推奨事項

戦略を立てる前に、まずは分析から

詳細なビジネスインパクト分析を行うことで、障害が発生してしまった場合に起こりうる事態を把握できます。さらに、ビジネスをできるだけ早く復旧させるために、取るべき選択肢もわかります。集めたデータを使って、プロセスの専門家によるデータに裏付けられた事業継続計画も作成でき、障害発生時に役立つソリューションとして活用できます。