Анализ воздействия на бизнес BIA (англ. Business Impact Analysis) – это метод оценки риска, позволяющий изучить, как различные виды негативных событий (нарушений, отказов или разрушений) могут влиять на основные направления деятельности компании и ключевые бизнес-процессы. Также метод BIA позволяет выявить и оценить (в том числе количественно) имеющиеся возможности организации по митигации риска.
В целом, оценка риска по методу воздействия на бизнес обеспечивает достижение следующих целей:
- выявление и ранжирование (по степени критичности) различных функций и бизнес-процессов организации, идентификацию их взаимосвязей, и описание ресурсов;
- формирование оценки влияния рисковых событий (различных нарушений, отказов и разрушений) на способность организации в достижении ключевых целевых показателей;
- выявление и разработка мер по воздействию на риск в целях скорейшего восстановления функционирования процессов организации после наступления рискового события (реализации риска).
Когда применяется метод оценки риска BIA?
Метод BIA применяют, если требуется ранжировать бизнес-процессы организации по их критичности, оценить показатель RTO (Recovery Time Objective), т.е. время их восстановления, а также определить ресурсы (персонал, активы, технологии, данные и т.д.), требуемые для достижения целей организации.
Метод BIA также может быть полезен для идентификации и описания взаимосвязей между различными процессами, контрагентами и цепочками поставок (supply chains) организации.
Исходные данные для анализа риска
Для того, чтобы выполнить оценку рисков по данному методу, необходимы следующие входные условия:
- группа экспертов для оценки и разработки плана непрерывного ведения бизнеса;
- исходная информация по целевым показателям организации, бизнес-процессам и внешней среде;
- детальное описание бизнес-процессов организации, включая все взаимодействия и связи с внешними контрагентами;
- историческая информация, описывающая последствия, вызванные нарушениями функционирования критических процессов;
- список интервьюируемых (владельцев процессов);
- анкеты (опросные листы).
Как выполняется оценка риска по методу BIA?
Как и в большинстве аналитических методов, в методе BIA для целей первичного сбора информации используется анкетирование и интервьюирование ключевых сотрудников организации и владельцев бизнес-процессов.
Основные этапы оценки риска по методу BIA:
- идентификация критичных бизнес-процессов, а также ключевых продуктов организации;
- идентификация последствий реализации рисковых событий в отношении указанных процессов;
- определение взаимосвязей между внешними и внутренними агентами, к примеру, составление схем взаимосвязей в цепи поставок;
- выявление ресурсов, имеющихся для обеспечения непрерывности бизнеса в случае реализации риска;
- разработка альтернативных способов осуществления деятельности в случае реализации риска и отсутствия или недостатка ресурсов для обеспечения непрерывности бизнеса;
- определение MAO (Maximum Acceptable Outage Time) – максимального допустимого времени простоя при нарушении бизнес-процесса. MAO определяется исходя из возможных последствия реализации риска и критичности процесса. МАО – это максимальный период времени, при превышении которого с большой долей вероятности организация утратит жизнеспособность;
- определение RTO (Recovery Time Objective) – целевого времени восстановления для любого актива организации (включая информационные системы). RTO – это плановое время, в течение которого процесс должен должен восстановиться после нарушения;
- установление требований к критическим процессам с точки зрения уровня резервирования процессов или наличия альтернативных путей реализации процессов.
Результаты оценки рисков по методу BIA
Результаты оценки рисков по методу воздействия на бизнес:
- реестр бизнес-процессов организации, ранжированный в соответствии с их критичностью и приоритетами, а также описание их взаимосвязей;
- реестр фактов реализации рисков и их последствий, вызванных реализацией рисков;
- реестр ресурсов, требующихся для функционирования критических процессов;
- сроки простоя и сроки восстановления (RTO) бизнес-процессов и связанных информационных систем.

Преимущества оценки риска по методу BIA
Оценка риска по методу BIA предоставляет организации следующие возможности:
- наглядное представления критических бизнес-процессов, показывающее возможности достижения организацией установленных целевых показателей;
- понимание требуемых для достижения целей ресурсов;
- возможность анализа и оптимизации производственных процессов организации в целях повышения их непрерывности и устойчивости компании в целом.
Недостатки метода Business Impact Analysis
Недостатки оценки рисков по методу BIA исходят из процесса оценки, и определяются, в основном, человеческим фактором.
Например, возможны такие сложности:
- компетенция участников рабочих групп и интервью может быть недостаточной;
- особенности работы группы напрямую могут влиять на результаты анализа функционирования бизнес-процессов;
- возможны субъективные оценки требований к RTO (времени восстановления) – как слишком оптимистичные, так и слишком пессимистичные;
- достичь адекватного уровня понимания бизнес-процессов организации и ее деятельности весьма непросто.