見出し画像

#3 ビジネスインパクト分析の進め方

昆 正和(BCP・気候リスク管理アドバイザー, 文筆家)

BIA調査票の目的

ビジネスインパクト分析(BIA)のプロセスは、「調査」とその結果の「とりまとめ」から成る。このために用いられるツールは「BIA調査票」と呼ばれる。BIA調査票は、BCPで守るべき事業を構成するさまざまな業務について、事業停止の影響と迅速な復旧のための要件を洗い出すことを目的としたシートである。どの部門にどのような業務があり、そこではどのようなリソース(経営資源)が使われているか、業務が停止するとどこにどのような影響が及ぶか、遅くともいつまでに停止した業務を復旧すれば深刻な影響を免れるのか、といったことを可視化する。

BIA調査票の作成

BIA調査票には次の質問項目を記載する。

  1. 部門名(部署名)

  2. 業務名

  3. 業務担当者名

  4. 業務に求められる経験・スキル

  5. 業務に使われているリソース(PC、〇〇装置など)

  6. 業務が停止すると(社内外に)どのような影響が及ぶか?

  7. 遅くともいつまでに停止した業務を復旧すれば手遅れにならずに済むか?

  8. この業務の目標復旧時間

6と7については、時系列(業務が1時間停止したら、3時間停止したら、3日停止したら…)で評価できるように表形式にしておくとよい。また、8の目標復旧時間は6と7から導くことができる。

BIA調査票は、業務一件ごとに記入し、業務一件ごとに目標復旧時間を導く。一人で複数の業務を受け持っている担当者はその件数に応じてBIA調査票を配布する(一人で3件の業務を担当する人が10人いる場合は3×10=30枚の質問票が必要)。

BIA調査の実施

BIA調査は、経営陣が決定した最優先で守るべき事業を構成する業務群を対象に実施する。調査方法は様々で、各部門の責任者にアンケートとして記入してもらう、インタビューを行う、大企業では独自にBIA調査用のアプリケーションを開発してウェブベースで記入してもらっているかもしれない。
 中小企業のBCP策定指導が専門の筆者の場合は、関係者に集まってもらい、レクチャーしながら書いてもらうのが最も誤解の少ない的確な方法と考えている。レクチャーでBIAの意図や書き方をしっかり理解してもらわないと、トンチンカンな回答データが集まってくる可能性があるからだ。また、調査の精度を上げるには、顧客の代表や主要な外注先、サプライチェーン構成企業の担当者など、外部の人にもオブザーバーとして参加してもらうのが理想的である。なにぶん、外部との緊密なつながりがあってのビジネス、BCPだからである。

BIAレポートの作成

関係者からBIA調査票を回収したら、次はこれをBIAレポートにまとめる作業となる。BIA調査票のデータの中でとくに重要なのは、「業務が停止するとどのような影響が顕在化するのか?」、「遅くともいつまでに停止した業務を復旧すれば手遅れにならずに済むか?」の部分である。

この2つのデータから分かることは、業務中断の影響レベルとタイムリミット(これ以上の業務停止は許されない!)で、ここから「目標復旧時間(RTO:Recovery Time Objectives)」を導くことになる。

なお、目標復旧時間(RTO)の他に、どのレベルまで復旧させるかを決める目標復旧レベル(RLO:Recovery Level Objectives)というのがあるが、これはまた後日のテーマとしよう。

BIAレポートのレビュー

BIAレポートは、1行単位で目標復旧時間(RTO)/業務名/業務リソースなどを並べた一覧表である。この表はあらかじめ、RTOを基準に優先順位をつけておくと分かりやすい。例えばRTO=1日の業務は、RTO=3日の業務よりも早く復旧(=業務を再開)すべきとの意味となる。上から順に各業務のRTOが小さい順に並んでいれば、どの業務の復旧が先で、どれが後回しでよいかが判別できるのである。

このようにして完成したBIAレポートの内容は、BIA調査票を記入した各担当者にレビューしてもらう必要がある。業務Xが業務Yよりも復旧が先の場合、業務Yの担当者から「えっ、業務Xの復旧の方が先って矛盾してないか?」といった疑問が稀に出ることもあるからだ。この場合、再度業務XとYの重要度や依存関係を見直し、RTOを再調整してもらう必要があるだろう。

関係者個別のBIAレポートの確認を終えたら、最終的に経営陣に報告しよう。「インシデントが起こって事業が停止した場合は、この復旧目標を目安に各重要業務を立ち上げます」と伝える。経営陣のコンセンサスが得られたBIAレポートの一覧表は、そのままBCP文書の「事業継続対応」のセクションにコピー&ペーストして完成となる。

マルチハザードBCPへのBIAの適用

参考までにマルチハザードBCPテンプレートを引用すると、このドキュメントの事業継続対応のセクションには、目標復旧時間(RTO)の代わりに「S、A、B、C…」といった記号でランク付けした表が記載されている。これらの記号の部分がRTOという時間に置き換わることで、より明確に復旧のゴールが設定しやすくなるのである。例えば「注文処理」という業務が「RTO=1日」ならば、業務が停止してから遅くとも24時間以内に業務を再開すべきと判断できる。

ビジネスインパクト分析テンプレート

最新版の「マルチハザードBCPテンプレート1.1」には、本記事でご紹介したビジネスインパクト分析の「BIA調査票」と「BIAレポート」のサンプル・テンプレート・ファイル(PDF)が付録として含まれています。ご希望の方は「マルチハザードBCPテンプレート1.1」をご購入ください。

なお、「BIA調査票」と「BIAレポート」が付録として含まれていない以前の「マルチハザードBCPテンプレート」をご購入いただいた方は、お手数ですが、フォームメーラーに「ビジネスインパクト分析テンプレート希望」とご記入のうえ、次のいずれかの方法でお申込みください。

①note会員様:「ユーザー名」「購入日時」「メールアドレス」をお知らせください。
②noteに会員登録せずに「そのまま購入」を利用してご購入いただいたお客様:「購入日時」「注文ID」「メールアドレス」をお知らせください。

フォームメールを受理次第、こちらよりPDFファイル2本を添付メールにてお送りいたします。


この記事が気に入ったらサポートをしてみませんか?