Анализ воздействия на бизнес BIA (англ. Business Impact Analysis) – это метод оценки риска, позволяющий изучить, как различные виды негативных событий (нарушений, отказов или разрушений) могут влиять на основные направления деятельности компании и ключевые бизнес-процессы. Также метод BIA позволяет выявить и оценить (в том числе количественно) имеющиеся возможности организации по митигации риска.

В целом, оценка риска по методу воздействия на бизнес обеспечивает достижение следующих целей:

  • выявление и ранжирование (по степени критичности) различных функций и бизнес-процессов организации, идентификацию их взаимосвязей, и описание ресурсов;
  • формирование оценки влияния рисковых событий (различных нарушений, отказов и разрушений) на способность организации в достижении ключевых целевых показателей;
  • выявление и разработка мер по воздействию на риск в целях скорейшего восстановления функционирования процессов организации после наступления рискового события (реализации риска).

Когда применяется метод оценки риска BIA?

Метод BIA применяют, если требуется ранжировать бизнес-процессы организации по их критичности, оценить показатель RTO (Recovery Time Objective), т.е. время их восстановления, а также определить ресурсы (персонал, активы, технологии, данные и т.д.), требуемые для достижения целей организации.

Метод BIA также может быть полезен для идентификации и описания взаимосвязей между различными процессами, контрагентами и цепочками поставок (supply chains) организации.

Исходные данные для анализа риска

Для того, чтобы выполнить оценку рисков по данному методу, необходимы следующие входные условия:

  • группа экспертов для оценки и разработки плана непрерывного ведения бизнеса;
  • исходная информация по целевым показателям организации, бизнес-процессам и внешней среде;
  • детальное описание бизнес-процессов организации, включая все взаимодействия и связи с внешними контрагентами;
  • историческая информация, описывающая последствия, вызванные нарушениями функционирования критических процессов;
  • список интервьюируемых (владельцев процессов);
  • анкеты (опросные листы).

Как выполняется оценка риска по методу BIA?

Как и в большинстве аналитических методов, в методе BIA для целей первичного сбора информации используется анкетирование и интервьюирование ключевых сотрудников организации и владельцев бизнес-процессов.

Основные этапы оценки риска по методу BIA:

  • идентификация критичных бизнес-процессов, а также ключевых продуктов организации;
  • идентификация последствий реализации рисковых событий в отношении указанных процессов;
  • определение взаимосвязей между внешними и внутренними агентами, к примеру, составление схем взаимосвязей в цепи поставок;
  • выявление ресурсов, имеющихся для обеспечения непрерывности бизнеса в случае реализации риска;
  • разработка альтернативных способов осуществления деятельности в случае реализации риска и отсутствия или недостатка ресурсов для обеспечения непрерывности бизнеса;
  • определение MAO (Maximum Acceptable Outage Time) – максимального допустимого времени простоя при нарушении бизнес-процесса. MAO определяется исходя из возможных последствия реализации риска и критичности процесса. МАО – это максимальный период времени, при превышении которого с большой долей вероятности организация утратит жизнеспособность;
  • определение RTO (Recovery Time Objective) – целевого времени восстановления для любого актива организации (включая информационные системы). RTO – это плановое время, в течение которого процесс должен должен восстановиться после нарушения;
  • установление требований к критическим процессам с точки зрения уровня резервирования процессов или наличия альтернативных путей реализации процессов.

Результаты оценки рисков по методу BIA

Результаты оценки рисков по методу воздействия на бизнес:

  • реестр бизнес-процессов организации, ранжированный в соответствии с их критичностью и приоритетами, а также описание их взаимосвязей;
  • реестр фактов реализации рисков и их последствий, вызванных реализацией рисков;
  • реестр ресурсов, требующихся для функционирования критических процессов;
  • сроки простоя и сроки восстановления (RTO) бизнес-процессов и связанных информационных систем.
Метод оценки риска BIA
Метод оценки риска BIA

Преимущества оценки риска по методу BIA

Оценка риска по методу BIA предоставляет организации следующие возможности:

  • наглядное представления критических бизнес-процессов, показывающее возможности достижения организацией установленных целевых показателей;
  • понимание требуемых для достижения целей ресурсов;
  • возможность анализа и оптимизации производственных процессов организации в целях повышения их непрерывности и устойчивости компании в целом.

Недостатки метода Business Impact Analysis

Недостатки оценки рисков по методу BIA исходят из процесса оценки, и определяются, в основном, человеческим фактором.

Например, возможны такие сложности:

  • компетенция участников рабочих групп и интервью может быть недостаточной;
  • особенности работы группы напрямую могут влиять на результаты анализа функционирования бизнес-процессов;
  • возможны субъективные оценки требований к RTO (времени восстановления) – как слишком оптимистичные, так и слишком пессимистичные;
  • достичь адекватного уровня понимания бизнес-процессов организации и ее деятельности весьма непросто.