BCPのプロ池田商会に問い合わせる BCPのプロ池田商会に問い合わせる

BIAとBCP対策の違いは?

BCP対策を行う際にはぜひ考慮に入れておきたい「BIA(ビジネスインパクト分析」。BIAを上手く活用することにより、BCP対策の導入効果を高めることができます。ここでは、BIAの特徴やBCPとの違い、BCP対策としてのBIAの用い方などについて紹介していきますので、参考にしてください。

BCP対策とBIAの違い

BCPとBIAは、どちらも企業のリスクヘッジにおける重要な概念です。直接的には異なる意味になりますが、両者は密接に関連し合っており、2つを組み合わせることによって、効果的なリスク対策を行うことができます。まずは、BIAの特徴や目的について説明しましょう。

BIAとは?

BIAは、Business Impact Analysisの略で、日本語ではビジネスインパクト分析と呼ばれています。その意味は、文字通り、ビジネス上の様々なリスクによる影響を分析することです。BIAでは、ある会社の製品の生産やサービスの提供など、重要な業務が不測の事態により中断された場合の影響について、詳しい分析を行います。

BIAの実施により、業務停止による会社・事業への影響、業務継続を目指す場合の優先順位、復旧までの目標時間、マンパワー・情報・技術など業務遂行に必要なリソース、といった情報を明らかにすることができます。

自然災害、事件、事故、システム障害など、何らかのリスクが発生することを前提に、その緊急事態による重要業務の中断による影響や状況を分析し、非常時の復旧に向けた手順や方法につながるデータを与えてくれるのが、BIAです。

BIAの目的

BIAの任務は上述の通り、災害などで自社の重要業務が中断した場合の事業への影響を分析することです。BIA単体の役割はこれに尽きますが、BIAを実施する究極的な目的は、BCP対策を下支えすることにあります。

BCPはBusiness Continuity Planの略で、事業継続計画と呼ばれるビジネス上のリスクヘッジにおける概念の一つです。その目的は、災害など緊急事態に直面しても、事前に策定した計画に基づいてリスク対策を行い、事業継続を目指して早期復旧に取り組むというものです。

BCPの目的(緊急時の事業継続)を実現するには、実際に業務が中断した場合の影響度を詳しく分析しなければなりません。BIAの実施はそれに大きな貢献を果たすことになります。BIAの分析で得られる結果は、業務中断による影響や、業務継続(復旧)の優先順位といったデータであり、これらのデータは、BCPの計画策定に欠かせないものだからです。

このようにBIAの目的は、BIAの分析結果を、BCPの計画策定に生かすことにあります。

BIAの考え方

BIAを用いたリスクのビジネス影響度分析では、「評価基準」と「時間軸」という2つの概念を持ってアプローチしていきます。それぞれの考え方について見ていきましょう。

評価基準から考える

BIAを“評価基準から考える”というのは、複数の基準からリスクによる影響を評価し、その中で最も影響度が高く、かつリスク対策の優先順位が高いものを総合的に評価するというものです。様々な角度(基準)でリスクによる影響を評価することで、自社に合ったリスク対策計画を作成することができます。

BIAの評価基準は多種多様です。会社の取引先や顧客、株主、委託先、従業員などステークホルダー(利害関係者)への影響を考える評価基準から、業績の低下、ビジネス機会の喪失など会社自体が受ける影響を考慮する基準、会社の評判など企業イメージや企業ブランドへの影響を考える評価基準もあります。

どの基準が一番重要ということではなく、複数の基準をそれぞれに評価して総合的な影響度を導出し、影響度の高いものから優先的に対策計画を考えていくという流れになります。

時間軸から考える

BIAを“時間軸から考える”というのは、目標や基準となる時間軸を設定し、その中でリスクによる影響を分析するということです。BIAの分析では、「最大許容停止時間」と「目標復旧時間」の2つの時間軸を考慮することができます。

最大許容停止時間

最大許容停止時間とは、非常事態で業務が停止した際、業務停止の状態を許容できるギリギリの時間のことです。業務停止の状態を10時間までは許容できるなら、この場合の最大許容停止時間は10時間になります。目的は、自社の業務の重要度をランク付けすることです。最大許容停止時間が長いほど重要度は低く、最大許容停止時間が短いほど重要度は高くなります。リスク対策計画を策定する際の優先順位をシンプルに考えられるのが特徴です。

ポイントは、ステークホルダー(利害関係者)への影響を考慮することです。最大許容停止時間の決定は、自社本位ではなく、「顧客や関係先がどれだけ待てるか」というステークホルダー本位で考える必要があります。

目標復旧時間

目標復旧時間は、業務停止の状態を「いつまでに復旧させるか」という目標時間のことです。具体的な目標時間は、それぞれの業務ごとに内容や性質を考慮して、業務ごとに時間を設定する必要があります。時間を設定する際のポイントは、ステークホルダーへの影響を考えることです。

自社の都合とは無関係に、取引先との間で決定した納期や、納期を遅延した場合のペナルティ、顧客との信頼関係が失われるまでの期間など、様々な事情があるでしょう。目標復旧時間はこのようなステークホルダーへの影響を考慮の上、適切な目標時間を設定する必要があります。

BCP対策としてのBIAの方法

BCP対策としてBIAを実施するときの手順を説明します。

優先事項を決める

災害など不測の事態により損害を受けた場合、事業継続や復旧のために投入できるリソースは限られます。その限られたリソースの範囲で事業の復旧を目指す、というのがBCPの大前提です。そのため、数ある業務の中で真っ先に復旧すべき業務を特定し、優先業務として復旧に取り組む必要があります。その優先業務を見極めるための分析を担うのがBIAです。

優先業務の見極めは、各業務の停止による影響を比較分析することによって行います。比較分析の指標として用いるのは、最大許容停止時間です。最大許容停止時間は、業務停止を許容できる時間です。この時間軸と取引先、顧客、関連会社などステークホルダーへの影響を考慮した分析により、迅速に復旧すべき優先業務が明らかになります。

復旧時間の目標設定

優先業務が決定したら、次は目標復旧時間(RTO)を設定します。目標復旧時間とは、「いつまでに事業を復旧させる」という、復旧までにかかる時間の目標値です。この目標復旧時間を明確に設定することで、取引先や顧客に復旧までの目安を示すことができ、安心感と信頼を保つことができます。

目標復旧時間を算出する際のポイントは、「取引先の要請」と「自社の経済的損失」を考慮することです。取引先の要請に関しては、BIAの分析により決定した、優先業務に関わる取引先の納期や納期遅延のペナルティなどを考慮します。自社の経済的損失に関しては、リスクの発生によって受けた自社の経済的損失について、自社がいつまで耐えられるか?という点を考慮します。

事業の性質により考慮すべき要素は増減するほか、目標復旧時間は最大許容停止時間より短く設定する必要がある、といった点もポイントとして抑えておきましょう。

復旧リソースの算出

目標復旧時間までに優先業務を復旧するには、復旧リソースの算出も必要です。目標時間内に優先業務を復旧するために「どのようなリソースが、どのぐらい必要になるのか?」という観点で、ヒト・モノ・カネ・情報の4つを軸に必要なリソースを算出して特定します。

「ヒト」の場合は人的資源、すなわち復旧のために動員可能な従業員の数です。「モノ」は、業務を行うのに必要な原材料や設備が対象になります。「カネ」は文字通り復旧に投入できる資金、「情報」は顧客データ、技術、ノウハウといった無形財産が対象です。