NEW MANAGEMENT FORUM

Central Knowledge Society

การวางแผนต่อเนื่องทางธุรกิจ : Business Continuity Planning : BCP

สวัสดีครับ

วันนี้ เราอยากจะเล่าเรื่อง Business Continuity Planning : BCP ให้หลายท่านได้ทราบว่า ต่างประเทศเขาคิดกันอย่างไร เพื่อเป็นแนวคิดในกรณีที่องค์กรของคุณจำเป็นจะต้องมีการทำ BCP ขึ้น ซึ่งส่วนตัวแล้วก็เห็นด้วยอย่างมากที่จำเป็นจะต้องทำทุกองค์กร ที่เป็นหน่วยงานของรัฐและรัฐวิสาหกิจ เพื่อที่จะได้มีแนวทางแก้ไขปัญหาที่รุนแรง “ไม่ต้องมายืนตะโกนใส่กันว่าจะต้องทำอย่างไร และหาคนผิดที่ไม่ใช่ตน มารับผิดชอบความเสียหายขององค์กร”

BCP คือ ชุดของเอกสาร คำแนะนำและวิธีการที่ช่วยให้ธุรกิจ/บริการขององค์กร / คุณ สามารถตอบสนองต่อการเกิดอุบัติเหตุ  ภัยพิบัติ  ภาวะฉุกเฉินและ/หรือภัยคุกคามได้โดยไม่ต้องหยุด หรืออุปสรรคในการที่สำคัญของการดำเนินงาน  เรียกอีกอย่างว่า “การเริ่มต้นใหม่ของธุรกิจ”  ซึ่งจำเป็นจะต้องมีแผนการกู้คืนระบบหรือแผนการกู้คืนทรัพยากรบุคคลและกระบวนการทำงาน เพื่อให้สามารถทำธุรกิจต่อไปได้ หรือ สามารถให้บริการแก่ประชาชนต่อไปได้

การวางแผนต่อเนื่องทางธุรกิจ เทียบกับ “การวางแผนเริ่มต้นใหม่ทางธุรกิจ (Business Resumption Planning) และ “การกู้คืนระบบที่เสียหาย” (Disaster Recovery Planning)

การวางแผนเริ่่มต้นใหม่ทางธุรกิจ (BRP) อธิบายถึง วิธีการดำเนินธุรกิจที่หยุดชะงักหลังจากที่ แผนการกู้คืนระบบที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT) ที่ฟื้นตัวเป็นปกติ และสินทรัพย์หลังจากที่มีการหยุดชะงักจากหายะน ซึ่งทั้งสองอย่างบ่งบอกถึงการหยุดชะงักของการแข่งขันในการดำเนินงานที่สำคัญๆ ในวงจรธุรกิจ

โปรดตระหนักว่า การให้บริการบางส่วนหรือผลิตภัณฑ์ที่เกี่ยวกับการบริโภคและอุปโภคระดับสาธารณชนจำเป็นจะต้องได้รับการส่งมอบอย่างต่อเนื่องโดยไม่หยุดชะงัก เช่น ไฟฟ้า  ประปา  โทรศัพท์   รถเมล์  รถไฟ   ฯลฯ  และได้มีการเปลี่ยนแปลงจากการวางแผนเริ่มต้นใหม่ เพื่อดำเนินการวางแผนต่อเนื่องทางธุรกิจ

แผนต่อเนื่องทางธุรกิจ BCP ช่วยให้การบริการที่สำคัญๆ หรือผลิตภัณฑ์ที่จำเป็นจะต้องส่งมอบให้กับลูกค้าอย่างต่อเนื่อง แทนที่จะมุ่งเน้นไปที่การกอบกู้ระบบ หรือ กระบวนการผลิต ของธุรกิจให้กลับมาทำงานหลังจากที่มีการดำเนินงานที่สำคัญได้หยุดหรือการกู้คืนหลังภัยพิบัติทางธุรกิจ  ความพยามวางแผนเพื่อให้มั่นใจว่าการดำเนินงานที่สำคัญยังคงใช้ได้

ผลของ 11 กันยายน 2001  

11 กันยายน 2001 แสดงให้เห็นว่าแม้ว่าผลกระทบจะสูง และมีโอกาสที่จะเกิดขึ้นต่ำ  และการกอบกู้คืนให้กับธุรกิจ เป็นไปได้ยาก ด้วยอาคารทั้งแฝดถูกทำลาย และได้รับผลกระทบทางธุรกิจต่อสถาบันการเงิน

บทเรียนที่เรียนรู้ ได้แก่

  • แผนต้องมีการปรับปรุงและทดสอบที่พบบ่อยๆ
  • ทุกประเภทของภัยคุกคามที่จะต้องพิจารณา
  • การอ้างอิงและการสัมพันธ์ควรจะวิเคราะห์อย่างรอบคอบ
  • บุคลากรที่สำคัญอาจจะไม่พร้อมใช้งาน
  • การสื่อสารโทรคมนาคมมีความจำเป็น
  • เว็บไซต์สำรองสำหรับการสำรองข้อมูลมันไม่ควรจะมีทำเลตั้งอยู่ใกล้กับเว็บไซต์หลัก ต้องแยกวงของเครือข่ายไปยัง Safe House
  • การสนับสนุนพนักงาน (การตั้งทีมงานให้ปรึกษา) ซึ่งเป็นสิ่งที่สำคัญมาก กรณีฉุกเฉิน
  • สำเนาแผนที่อาคาร และคู่มือการปฎิบัติงานที่สามารถทำด้วยระบบ Manual ได้ และเก็บข้อมูลทั้งหมดไว้ใน เว็บไซต์ที่เชื่อถือได้ login เข้าไปดาวน์โหลดได้  ภายนอกสำนักงาน
  • ระบบการรักษาความปลอดภัยขนาดใหญ่แบบทั่วทั้งพื้นที่โดยรอบระยะ 20 กม. ด้านภูมิศาสตร์ และเส้นทางจราจรที่สำคัญและซอยต่างๆ เพื่อใช้เลือกเป็นเส้นทางกรณีการเคลื่อนย้ายพนักงานจำนวนมาก พร้อมๆ กัน
  • พยามแก้ไขข้อบกพร่องของ แผนต่อเนื่องทางธุรกิจ (BCP) ด้วยเทคโนโลยีสมัยใหม่
  • ประชุมทีมงานที่เป็นหัวหน้างานและผู้เชี่ยวชาญ เพื่อสร้างสถานการณ์จำลองที่รุนแรงในกรณีต่างๆ ที่ทำให้องค์กรเสียหาย และธุรกิจเสียหายไม่สามารถดำเนินการต่อไปได้ จะเลือกแนวทางในการแก้ไขปัญหาแบบไหน ต้องการอะไรบ้าง?  อะไรที่ยังไม่มีและจำเป็น?

ประเด็นที่ฉุกเฉิน

บริการประกันการส่งสินค้าอย่างต่อเนื่อง (CSDA) คือ ความมุ่งมั่นที่จะส่งมอบอย่างต่อเนื่องของบริการที่สำคัญที่หลีกเลี่ยง จากการหยุดชะงักอย่างรุนแรงในทันทีสำหรับองค์กรที่มีการวางแผน BCP รวมถึงความเสี่ยงการประเมินผลทั้งการจัดการและการควบคุมที่มีประสิทธิภาพ และมีแผนมาตรกรและการเตรียมการสำหรับความต่อเนื่องทางธุรกิจ

การบริหารความเสี่ยงอย่างต่อเนื่อง ช่วยลดความเสี่ยงจากการหยุดชะงักและประเมินผลกระทบที่อาจจะเกิดขึ้นจากการหยุดชะงัก เมื่อพวกเขาเกิดเหตุการณ์ขึ้นจากธุรกิจได้รับผลกระทบจากการวิเคราะห์ BCP แล้ว

การวางแผนต่อเนื่องทางธุรกิจ คือ อะไร? 

บริการที่สำคัญหรือผลิตภัณฑ์ที่จำเป็นจะต้องส่งมอบเพื่อให้แน่ใจว่าวงจรชีวิตของธุรกิจที่เกี่ยวข้อง หรือ ประชาชนทั่วไปต้องได้รับความสะดวก หรือมีชีวิตรอด และหลีกเลี่ยงการก่อให้เกิดการบาดเจ็บ จากการปฎิบัติหน้าที่ ตามภาระที่กำหนด หรือตามกฎหมายอื่นๆ ขององค์กร การวางแผนต่อเนื่องทางธุรกิจ เป็นขั้นตอนการวางแผนในเชิงรุกที่ช่วยให้การบริการที่สำคัญ หรือ ผลิตภัณฑ์ที่มีการส่งมอบในระหว่างการหยุดชะงัก

แผนต่อเนื่องทางธุรกิจ รวมถึง:

  • แผนมาตรการและการเตรียมการเพื่อให้แน่ใจว่าการจัดส่งอย่างต่อเนื่องของบริการที่สำคัญ และผลิตภัณฑ์ที่อนุญาตให้องค์กรสามารถกู้คืน สิ่งอำนวยความสะดวกของข้อมูลและทรัพย์สิน
  • ทรัพยากรที่จำเป็นเพื่อสนับสนุนการต่อเนื่องทางธุรกิจ รวมถึง บุคลากร  ข้อมูล  อุปกรณ์   การจัดสรรทางการเงิน  ที่ปรึกษากฎหมาย  การป้องกันโครงสร้างพื้นฐานของอาคาร สถานที่  การเตรียมที่พักสำรอง และสถานที่สำรองในการทำงานช่วงสภาวะฉุกเฉิน

การจัดทำ BCP ช่วยเพิ่มภาพลักษณ์ขององค์กร  ขวัญและกำลังใจพนักงาน  ความน่าเชื่อถือของผู้ถือหุ้น  ความเชื่อมั่นในธุรกิจของลูกค้า  โดยแสดงทัศนคติเชิงรุก ผลประโยชน์เพิ่มเติม ได้แก่ การปรับปรุงประสิทธิภาพในองค์กรโดยรวมและการระบุความสัมพันธ์ของสินทรัพย์และทรัพยากรมนุษย์และการเงินของการบริการที่สำคัญและส่งมอบ

แผนต่อเนื่องทางธุรกิจ BCP จึงเป็นแผนที่สำคัญ 

ทุกองค์กรมีความเสี่ยงจากภัยพิบัติที่อาจจะเกิดขึ้น รวมถึง

  • ภัยธรรมชาติ เช่น พายุทอร์นาโด  น้ำท่วมสูง  พายุหิมะ  แผ่นดินไหว และไฟไหม้
  • อุบัติเหตุ
  • การก่อวินาศกรรม
  • พลังานน้ำมัน และพลังงานไฟฟ้าหยุดชะงัก
  • การสื่อสาร  การขนส่ง  ความปลอดภัย และความล้มเหลวของภาคบริการสาธารณะ
  • ภัยพิบัติทางสิ่งแวดล้อม เช่น มลพิษและสารเคมีอันตรายที่รั่วไหล
  • การโจมตีไซเบอร์ และพวกแบล็กแฮกเกอร์

การสร้างและการบำรุงรักษา BCP ช่วยให้มั่นใจว่าสถาบันการศึกษามีแหล่งข้อมูลและข้อมูลที่จำเป็นในการบริหารจัดการกับเหตุภาวะฉุกเฉินเหล่านี้

เทคนิคการสร้างแผนต่อเนื่องทางธุรกิจ BCP

BCP โดยทั่วไปจะประกอบด้วย 5 ส่วน ดังนี้

  1. การกำกับดูแลกิจการ บริษัท/องค์กร  (BCP Governance)
  2. การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis : BIA)
  3. แผนมาตรการและการเตรียมการสำหรับความต่อเนื่องทางธุรกิจ (Plans, measures, and arrangements for business continuity)
  4. ขั้นตอนการเตรียมความพร้อม (Readiness procedures)
  5. เทคนิคการประกันคุณภาพ (Quality assurance techniques)

สร้างการควบคุม (Establish Control)

BCP ที่มีโครงสร้างการกำกับดูแลมักจะอยู่ในรูปแบบของคณะกรรมการที่จะให้ภาระผูกพันที่ผู้บริหารระดับสูง และกำหนดบทบาทผู้บริหารระดับสูงและความรับผิดชอบ

คณะกรรมการ บริษัทฯ / องค์กร   ผู้บริหารระดับสูงเป็นผู้รับผิดชอบในการกำกับดูแล  การเริ่มต้นการวางแผนการอนุมัติการทดสอบและการตรวจสอบของบริษัทฯ นอกจากนี้ยังนำ BCP ไปปฎิบัติ พิกัดของกิจกรรมสำรวจอนุมัติ BIA  ดูแลการสร้างแผนความต่อเนื่องทางธุรกิจ และความคิดเห็นจากผลของกิจกรรมการประกันคุณภาพ

ผู้จัดการอาวุโส หรือ คณะกรรมการ BCP มีหน้าที่ ดังนี้ : 

  • อนุมัติโครงสร้างการกำกับดูแล (approve the governance structure)
  • ชี้แจงบทบาทของพวกเขาและบรรดาผู้เข้าร่วมในโปรแกรม
  • ดูแลการสร้างรายการของคณะกรรมการที่เหมาะสม คณะทำงานและทีมงานเพื่อพัฒนาและดำเนินการจัดทำแผน
  • กำหนดทิศทางเชิงกลยุทธ์และการสื่อสารขอ้ความที่สำคัญ
  • การอนุมัติผลของ BIA
  • ทบทวนบริการที่สำคัญ และผลิตภัณฑ์ที่จำเป็นจะต้องดำเนินการอย่างต่อเนื่องไม่มีวันหยุด
  • อนุมัติแผนความต่อเนื่องและการจัดลำดับความสำคัญ
  • ตรวจสอบกิจการที่จำเป็นต้องประกันคุณภาพ
  • แก้ไขผลประโยชน์ที่ขัดแย้งกันและลำดับความสำคัญ

คณะกรรมการ BCP ประกอบด้วยสมาชิกต่อไปนี้ : 

  • หน่วยงานที่เป็นผู้สนับสนุนผู้บริหารที่มีความรับผิดชอบโดยรวมขององค์กร เช่น คณะกรรมการบอร์ด  รัฐมนตรี  ปลัดกระทรวง หรือ กรรมการผู้จัดการ  CEO  CFO   CIO
  • ผู้ที่สนับสนุน BCP ในด้านการประสานงานและกำกับดูแลกระบวนการ BIA ; เพื่อให้มั่นใจว่า ด้านเงินทุน   นโยบายในการพัฒนา BCP ในองค์กร ในด้านการพัฒนาแผนการเตรียมความพร้อม สำหรับความต่อเนื่องทางธุรกิจ โดยแต่ละหน่วยงานที่มีความสำคัญๆ ในองค์กรจะต้องส่งตัวแทนที่มีความรู้ ความสามารถ  และเชิญผู้เชี่ยวชาญจากภายนอก หรือในองค์กรมาร่วมกันวางแผนพัฒนา BCP และกำหนดหน้าที่ความรับผิดชอบของพวกเขา  กำหนดระยะเวลาฝึกอบรมและทดสอบ BCP  ที่เหมาะสม  และทำการทบทวนแผน BCP ตามระยะเวลาที่เปลี่ยนแปลง
  • เจ้าหน้าที่รักษาความปลอดภัยก็จำเป็นที่จะต้องเข้าร่วม กับผู้ประสานงานเพื่อให้มั่นใจว่าทุกด้านของ BCP ตอบสนองความต้องการด้านความปลอดภัยขององค์กร
  • ผู้บริหารเทคโนโลยีสารสนเทศ (CIO) ความร่วมืออย่างใกล้ชินกับผู้ประสานงาน BCP และผู้เชี่ยวชาญได้ IT ในการวางแผนสำหรับความต่อเนื่องที่มีประสิทธิภาพและความกลมกลืน
  • ผู้แทนหน่วยธุรกิจให้บริการนำเข้าและช่วยในการดำเนินการและการวิเคราะห์ผลการวิเคราะห์ผลกระทบทางธุรกิจ

คณะกรรมการ บริษัทฯ จะร่วมกันเป็นประธานโดยผู้บริหารและผู้ประสานงาน

การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis) 

วัตถุประสงค์ของ BIA คือ การระบุอาณัติขององค์กรและการบริการที่สำคัญ หรือผลิตภัณฑ์จัดอันดับ และลำดับความสำคัญของการบริการ หรือผลิตภัณฑ์สำหรับการจัดส่งอย่างต่อเนื่อง หรือการฟื้นตัวอย่างรวดเร็ว  และบรรลุผลกระทบทั้งภายในและภายนอกจากการหยุดชะงัก

ระบุลักษณะอาณัติและที่สำคัญขององค์กร 

ขั้นตอนนี้จะกำหนดสิ่งที่สินค้าหรือบริการนั้นจะต้องถูกส่ง ข้อมูลสามารถได้รับจากพันธกิจขององค์กร และข้อกำหนดทางกฎหมายสำหรับการส่งมอบบริการที่เฉพาะเจาะจงและผลิตภัณฑ์

จัดลำดับความสำคัญการให้บริการหรือผลิตภัณฑ์ที่สำคัญ 

เมื่อบริการที่สำคัญหรือผลิตภัณฑ์ที่มีการระบุว่าต้องจัดลำดับความสำคัญขึ้นอยู่กับระดับต่ำที่สุด ที่ยอมรับได้  ในการส่งมอบภายในระยะเวลาสูงสุดของเวลาการให้บริการสามารถ  ก่อนที่จะเกิดความเสียหายอย่างรุนแรงต่อผลการองค์กร  การตรวจสอบการจัดอันดับของบริการที่สำคัญข้อมูลจะต้องพิจารณาผลกระทบของการหยุดชะงักในการส่งมอบบริการ  การสูญเสียรายได้จากค่าใช้จ่ายเพิ่มเติมและความสูญเสียที่ไม่มีตัวตน

ระบุผลกระทบจากการหยุดชะงัก  

ผลกระทบของการหยุดชะงักไปใช้กับผลิตภัณฑ์หรือบริการทางธุรกิจที่สำคัญกำหนดระยะเวลาที่องค์สามารถทำงานได้โดยไม่ต้องใช้บริการหรือผลิตภัณฑ์และระยะเวลาที่ลูกค้าจะยอมรับการหยุดชะงักขององค์กร  เพราะมันเป็นสิ่งที่จำเป็นในการกำหนดระยะเวลาที่ให้บริการหรือสินค้าที่อาจจะไม่พร้อมใช้งานก่อนที่จะส่งผลกระทบรุนแรง

ระบุพื้นที่ของการสูญเสียรายได้จากการที่มีศักยภาพ 

การตรวจสอบการสูญเสียรายได้ก็เป็นสิ่งจำเป็นเพื่อพิจารณาว่ากระบวนการและฟังก์ชั่นที่รองรับการให้บริการหรือส่งมอบสินค้าที่มีส่วนเกี่ยวข้องกับการสร้างรายได้  หากกระบวนการเหล่านี้ และการทำงานจะไม่ได้ดำเนินการ ทำให้รายได้ที่หายไป?  หากบริการหรือสินค้าที่ไม่สามารถดำเนินการได้และทำให้องค์กรสูญเสียรายได้?  ถ้าเป็นเช่นนั้นแล้ว รายได้เท่าไร และความยาวของระยะเวลาที่ทำให้รายได้เสียหายเป็นอย่างไร?  ถ้าหากลูกค้า ผู้รับบริการ ผู้มีส่วนได้ส่วนเสีย ไม่สามารถเข้าถึงบริการบางอย่าง หรือ ผลิตภัณฑ์นั้นจะทำให้ผู้รับบริการอื่นๆ สูญเสียรายได้ร่วมหรือไม่?

ระบุค่าใช้จ่ายเพิ่มเติม 

ถ้าฟังก์ชั่นทางธุรกิจหรือกระบวนการปฎิบัติไม่ได้เป็นไปตามปกตินานเท่าใด จำเป็นจะต้อมีค่าใช้จ่ายพิเศษเพิ่มขึ้น หรือ เริ่มจะเพิ่มขึ้นเท่าใด?  ฟังก์ชั่นนั้นอาจจะไม่พร้อมใช้งานก่อนจนกว่าที่จะเสริมบุคลากรที่จะต้องได้รับการว่างจ้าง?  การปรับหรือลงโทษจากการละเมิดของความรับผิดชอบทางกฏหมาย  สัญญาหรือข้อบังคับของภาครัฐจะเป็นปัญหาและเป็นโทษหรือไม่?

ระบุความสูญเสียที่ไม่มีตัวตน 

การประมาณการจะต้องใช้ในการตรวจสอบค่าใช้จ่าย โดยประมาณการของการสูญเสียของผู้บริโภคและความเชื่อมั่นของนักลงทุนเกิดความเสียหายต่อชื่อเสียง  การสูญเสียศักยภาพในการแข่งขันส่วนแบ่งทางการตลาดลดลงและการละเมิดกฎหมายและกฎระเบียบ การสูญเสียของภาพหรือชื่อเสียงเป็นสิ่งที่สำคัญโดยเฉพาะอย่างยิ่งสำหรับสถาบันของรัฐที่พวกเขาจะรับรู้มักจะเป็นที่มาตรฐานสูงขึ้น

ความต้องการประกันภัย

เนื่องจากองค์กรไม่สามารถที่จะจ่ายค่าใช้จ่ายเต็มรูปแบบของการกู้คืน  การมีประกันภัยในกรณีเกิดความเสียหายที่รุนแรงและสามารถให้เงินทุนเพื่อกู้คืนที่เต็มทุน หรือ บางส่วน

เมื่อพิจารณา ตัวเลือกในการประกันและการตัดสินใจสิ่งที่คุกคามที่จะครอบคลุม เป็นสิ่งที่สำคัญที่จะใช้เบี้ยที่จะช่วยให้การตัดสินใจ เกี่ยวกับการเลือกแผนความคุ้มครองประกันภัยและระดับที่สอดคล้องกันของความคุ้มครอง บางแง่มุมของการดำเนินการอาจจะเกินกว่าความคุ้มครองของประกัน หรือ ต่ำกว่าความคุ้มครองของประกันภัย  เพื่อที่จะให้เกิดความเป็นไปได้ในการมองเห็นสถานการณ์แลเพื่อให้ครอบคลุมสำหรับ การประกันภัยอย่างที่ต้องการ

เอกสารเกี่ยวกับระดับความคุ้มครองจากนโยบายของบริษัทประกัน  และจำเป็นที่จะต้องตรวจสอบนโยบายสำหรับพื้นที่ไม่มีประกันภัยและระดับที่กำหนดไว้ไม่ครอบคลุมประกันภัย  และระดับความสอดคล้องกันของความคุ้มครอง บางแง่บางมุมของการดำเนินการอาจจะเกินกว่า ความคุ้มครองของประกันภัยด้านทรัพย์สินอาจจะไม่ครอบคลุมทั้งหมด เช่น การระเบิดของ   เครื่องจักร  ความเสียหายจากน้ำท่วม ความเสียหายจากหิมะถล่ม  ความเสียหายจากแผ่นดินไหวต่ำกว่ามาตรฐานที่รุนแรง)  ซึ่งขึ้นอยู่กับนโยบายของผู้บริหารองค์กร/บริษัท จะทำการซื้อความคุ้มครองของประกันภัยเพิ่มเติมหรือไม่?

เมื่อมีการพิจารณารายละเอียดของประกันเป็นที่เรียบร้อยแล้ว ให้คุยกันเจ้าหน้าที่ตัวแทนประกันภัย และตรวจสอบให้แน่ใจว่า ตัวแทนประกันภัย เข้าใจระยะเวลาในการกู้คืนที่องค์กร/บริษัทต้องการ เมื่อมีการตรวจสอบความเสียหาย และวงเงินความคุ้มครองในประกันภัย   ภาระการพิสูจน์เอกสารและความเสียหายในกรณีมีการเรียกร้องการขอเงินคุ้มครองประกันภัยของผู้ถือกรมธรรม์และจำเป็นจะต้องเตรียมเอกสารให้ถูกต้องแม่นยำ และมีการทดสอบการเตรียมเอกสารเป็นระยะๆ เพื่อป้องกันความผิดพลาดในอนาคต

การจัดอันดับ

เมื่อข้อมูลทั้งหมดที่เกี่ยวข้องได้รับการเก็บรวบรวมและประกอบการจัดอันดับสำหรับบริการทางธุรกิจที่สำคัญหรือผลิตภัณฑ์ที่สามารถผลิตได้  การจัดอันดับจะขึ้นอยู่กับการสูญเสียที่อาจจะเกิดขึ้นของรายได้  เวลาในการกู้คืนและความรุนแรงของผลกระทบต่อการหยุดชะงักจะทำให้เกิด ระดับการให้บริการขั้นต่ำและขั้นสูงสุดที่อนุญาตให้หยุดชะงัก ที่กำหนดไว้แล้ว

ระบุการอ้างอิง 

สิ่งสำคัญ คือ ต้องระบุการอ้างอิงภายในและภายนอกของการบริการ หรือ ผลิตภัณฑ์ที่สำคัญ เนื่องจากการส่งมอบบริการต้องอาศัยการอ้างอิงนั้น

การอ้างอิงภายใน คือ พนักงาน  ทรัพย์สินของบริษัท เช่น อุปกรณ์สำนักงาน  สิ่งอำนวยความสะดวกในการปฎิบัติงานคอมพิวเตอร์  ข้อมูล   เครื่องมือ  ยานพาหนะ  และการให้บริการสนับสนุนต่างๆ ด้านการเงิน  เทคโนโลยี  การรักษาความปลอดภัย ฯลฯ

การอ้างอิงภายนอก คือ ซัพพลายเออร์ใดๆ  สินทรัพย์ขององค์กรภายนอก เช่น อุปกรณ์สิ่งอำนวยความสะดวก การใช้งานคอมพิวเตอร์  ข้อมูล    เครื่องมือ  ยานพาหนะ  และการให้บริการสนับสนุนต่างๆ จากภายนอก เช่น การจัดการสิ่งอำนวยความสะดวกด้านสาธารณะ  การติดต่อสื่อสาร  การขนส่ง  สถาบันการเงิน  หน่วยงานภาครัฐ   ระบบความปลอดภัย  การจราจร ฯลฯ

การวางแผน BCP 

ขั้นตอนนี้ประกอบด้วยการจัดทำแผนการตอบสนอง/การกู้คืนรายละเอียดและการเตรียมความพร้อมสำหรับการต่อเนื่องทางธุรกิจ  ซึ่งแผนการเหล่านี้และรายละเอียดเกี่ยวกับการเตรียมความพร้อมและวิธีการให้บริการที่สำคัญ  และมีการส่งมอบผลิตภัณฑ์ที่ระดับการให้บริการขั้นต่ำ ภายในระยะเวลาที่เหมาะสม   แผนความต่อเนื่องทางธุรกิจนี้ควรจะทำสำหรับการให้บริการหรือผลิตภัณฑ์ที่สำคัญๆ

ภัยคุกคามและความเสี่ยงในการบรรเทา 

ภัยคุกคามและความเสี่ยงที่จะมีการระบุใน BIA หรือการประเมินภัยคุกคามที่เต็ม หรือไม่มีความเสี่ยง ที่จะต้องมีการกลั่นกรองความเสี่ยงเป็นกระบวนการต่อเนื่องและควรจะดำเนินการได้เมื่อ BCP ไมได้ดำเนินการวางแผน เช่น ถ้าองค์กรต้องการไฟฟ้าสำหรับการผลิต ความเสี่ยงของไฟฟ้าดับระยะสั้นๆ สามารถยอมรับได้เพราะมีระบบไฟฟ้าสำรอง และมีเครื่องปั่นไฟฟ้าด้วยระบบน้ำมัน

หรือ กรณีที่องค์กรจะต้องอาศัยการสื่อสารโทรคมนาคมทั้งภายในและภายนอก เพื่อให้ทำหน้าที่ได้อย่างมีประสิทธิภาพ  ความล้มเหลวของการสื่อสารสามารถลดได้โดยการใช้การสื่อสารผ่านเครือข่ายอื่นๆ เช่น การส่งวิทยุเคลื่อนสั้นแบบต่อเนื่อง

วิเคราะห์ความสามารถในการกู้คืนในปัจจุบัน

พิจารณาการเตรียมการฟื้นตัวขององค์กรทีมีอยู่แล้วในสถานที่และการบังคับใช้อย่างต่อเนื่องของพวกเขา รวมไว้ใน BCP ถ้าพวกเขามีความเกี่ยวข้อง

สร้างแผนความต่อเนื่อง 

แผนการสำหรับความต่อเนื่องของบริการและผลิตภัณฑ์จะขึ้นอยู่กับผลของการทำ BIA และตรวจสอบให้แน่ใจว่าแผนการ ที่จะทำในระดับเพิ่มขึ้นของความรุนแรงของผลกระทบจากการหยุดชะงัก เช่น ถ้าเกิดน้ำท่วมขึ้นจำกัดบริเวณชั้นล่างของอาคาร ก็จะใช้กระสอบทรายมากั้นน้ำ แต่ถ้าน้ำท่วมสูง มากๆ จำเป็นจะต้องย้ายสถานที่ทำงานไปยังสถานที่สำรองที่มีการจัดเตรียมไว้  ซึ่งขึ้นอยู่กับสนถานการณ์และความรุนแรง

การเตรียมการตอบสนอง 

การตอบสนองที่เหมาะสมต่อภาวะวิกฤติสำหรับองค์กรที่ต้องการทีมงานเพื่อนำไปสู่การสนับสนุนการดำเนินงานและการกู้คืนและการตอบสนอง สมาชิกในทีมงานที่ควรจะมีการฝึกอบรมความรู้เกี่ยวกับวิธีการตอบสนองในสภาวะฉุกเฉิน ในสถานการณ์ความรุนแรงต่างๆ ตามหน้าที่ความรับผิดชอบที่ได้รับมอบหมายของพวกเขา

จำนวนของขอบเขตของทีมงานจะมีความแตกต่างกันขึ้นอยู่กับขนาดของธุรกิจและหน้าที่ขององค์กร และโครงสร้าง อาจจะรวมถึง:

  • ทีมสั่งการและทีมควบคุมสำหรับผู้ปฎิบัติการบริหารวิกฤติและตอบสนองความต่อเนื่องของนโยบายผู้บริหารและธุรกิจด้วยการกู้คืนธุรกิจ
  • ทีมงาน ประสานงานและจัดเตรียมการอพยพ เช่น เตรียมการสถานที่สำรอง ประสานงานและจัดหาอุปกรณ์สำนักงานขั้นพื้นฐานที่จำเป็นเพื่อให้สามารถทำธุรกิจได้  การประเมินสถานการณ์และความเสียหาย ทีมกู้ภัยด้านระบบคอมพิวเตอร์  ทีมกู้ภัยด้านเครื่องจักร  ทีมกู้ภัยด้านการเงินและการบัญชี  ทีมกู้ภัยด้านระบบติดต่อสื่อสารโทรคมนาคม  ทีมติดต่อเจ้าหน้าที่หน่วยงานของรัฐในท้องถิ่น

หน้าที่และความรับผิดชอบสำหรับแต่ละทีมงานจะต้องกำหนดและรวมถึงการระบุสมาชิกให้สมาชิกในทีมและโครงสร้างอำนาจในการสั่งการ และความรับผิดชอบการสร้างรายการ Checklist ที่จำเป็นจะต้องทำในสภาวะฉุกเฉิน  และการเป็นศูนย์กลางในการติดต่อประสานงานกับทีมงานย่อยๆ ทุกทีมให้มีความเข้าใจสถานะการณ์ที่ตรงกัน

สำหรับทีมที่จะต้องทำงานในพื้นที่เสี่ยงภัย อาจจะมีการสูญเสียบุคลากรระหว่างการปฎิบัติหน้าที่ จำเป็นจะต้องมีการตั้งสมาชิกในทีมหลายคน และให้มีการฝึกฝนอบรมหน้าที่ความรับผิดชอบข้ามทีมงานได้

สิ่งอำนวยความสะดวกอื่นๆ 

ถ้าสถานที่หลักขององค์กรหรือข้อมูลสินทรัพย์เทคโนโลยีเครือข่ายและการประยุกต์ใช้จะหายไป สิ่งอำนวยความสะดวกสำรองอื่นๆ ก็ควรใช้ได้ อาทิ:

  • เว็บไซต์ เป็นสิ่งอำนวยความสะดวกอื่นๆ ที่ดำเนินการ โดยหน่วยงานภายนอกเป็นผู้เก็บฐานข้อมูล ดังนั้นจำเป็นจะต้องมีระบบการส่งข้อมูล และการสื่อสารกันภายในกลุ่มที่เป็นทีมกู้ภัยผ่านเว็บไซต์ หรือ โทรศัพท์เคลื่อนที่ Smart Phone
  • ระบบ Cloud Computing นำข้อมูลพื้นฐานที่จำเป็นของแต่ละแผนกและคู่มือการปฎิบัติงานของทุกแผนในองค์กรไปเก็บไว้ใน Cloud Computing เพื่อให้เกิดความสะดวกในการนำข้อมูล และระบบฐานข้อมูลสำรองที่จำเป็นมาใช้ในสภาวะฉุกเฉิน
  • การตั้ง Off-site Backup ที่จะเก็บข้อมูลสำคัญๆ ทั้งหมดขององค์กรไว้ภายนอกวงเครือข่ายของระบบคอมพิวเตอร์ในปัจจุบัน และตั้งอยู่ในพื้นที่ปลอดภัย และจำเป็นที่จะต้องมีการ Backup ทุกๆ 3-5 วันทำการ และพร้อมใช้ได้ทุกเมื่อ มีการทดสอบการใช้งานตามระยะเวลาที่กำหนดล่วงหน้า

เมื่อพิจารณาประเภทของสิ่งอำนวยความสะดวกอื่นๆ ให้พิจารณาปัจจัยทั้งหมดรวมทั้งภัยคุกคามและความเสี่ยงที่ระบบหยุดการทำงานสูงสุดเกินกว่าที่จะยอมรับได้ หรือมีค่าใช้จ่ายที่สูงมากขณะที่ระบบหยุดทำงาน  

สำเหตุผลด้านความปลอดภัยบางองค์กรอาจจะจ้างบริษัทเอกชนที่มีความเชี่ยวชาญด้านเว็บไซต์ ทำการ Backup ข้อมูลขององค์กรให้ทุกๆ 3-5 วันทำการ เพื่อป้องกันการหยุดชะงักของเว็บไซต์หลักขององค์กร เพื่อเป็นการสำรองระบบการติดต่อสื่อสาร  หรือการสั่งซื้อระบบเครื่องกำเนิดไฟฟ้าสำรอง และระบบป้องกันไวรัส หรือ การบุกรุกด้านคอมพิวเตอร์ ฯลฯ

ขั้นตอนการเตรียมความพร้อม 

การอบรม 

แผนความต่อเนื่องทางธุรกิจสามารถดำเนินการได้อย่างราบรื่นและมีประสิทธิภาพ คือ :

  • มีพนักงานที่มีความพร้อมทัั้งด้านร่างกายและจิตใจ เพื่อเข้าฟังการบรรยายเนื้อหาของ BCP และมีความตระหนักถึงความรับผิดชอบของตน (ห้ามมาโดยตำแหน่ง หรือ มาแทนนายสั่ง)
  • มีพนักงานที่มีความรับผิดชอบในหน้าที่ ได้รับการฝึกอบรมเกี่ยวกับการกู้ภัยในสภาวะฉุกเฉิน และมีความเข้าใจในสถานะและการดำเนินงานทั้งหมดขององค์กร

Action Plan 

หลังจากการฝึกอบรมการทำ Action Plan ควรได้รับการพัฒนาและกำหนดเพื่อให้บรรลุและรักษาระดับสูงสุดของการเตรียมความพร้อม ในขณะที่การทำ Action Plan เป็นเวลานานและใช้ทรัพยากรเป็นจำนวนมาก จำเป็นที่จะต้องมีการแบ่งระยะการทำงานของแผน และความคุ้มค่าด้านการลงทุนประกอบด้วย รายการต่อไปนี้เป็นตัวอย่างของ Action Plan ที่จำเป็นจะต้องทำ :

เป้าหมาย ส่วนหนึ่งของ BCP ที่จะนำมาทดสอบ
วัตถุประสงค์ ผลที่คาดว่า วัตถุประสงค์ที่ควรจะมีการความท้าทายเฉพาะการวัดที่สามารถทำได้จริง และทันต่อเวลา
ขอบเขต ระบุหน่วยงานหรือองค์กรที่เกี่ยวข้องกับพื้นที่ทางภูมิศาสตร์และเงื่อนไขการทดสอบและการนำเสนอ
ด้านการตั้งสมมติฐาน กำหนด Action Plan ด้วยการตั้งสมมติฐาน เช่น ใช้ข้อมูลพิบัติภัยในอดีต  และทดลองทำให้ห้องว่างๆ ของสำนักงาน
จัดทำเอกสารเผยแพร่การเข้าร่วม อธิบายการทำงานของ Action Plan และเหตุผลในการทำงาน อธิบายการทำงานในขั้นตอนที่สำคัญๆ
การจัดฝึกอบรมและบรรยาย ทีมงานกู้ภัยจำเป็นจะต้องมีการจัดฝึกอบรม และทดสอบการปฎิบัติงานในสภาวะวิกฤตอย่างน้อย เดือนละ 2 ครั้ง เพื่อเตรียมความพร้อมของสมาชิกในทีมและให้เกิดการปฎิบัติงานได้อย่างต่อเนื่องจริงๆ  เก็บรวบรวมปัญหาและอุปสรรคต่างๆ ที่เกิดขึ้นในขณะการทดสอบ เช่น เวลาในการปฏิบัติงานจริง  สถานที่และอุปกรณ์ที่ใช้ในการปฏิบัติงาน  การติดต่อประสานงานกับหน่วยงานภายนอก เป็นต้น
การติดต่อสื่อสารกับผู้เข้าร่วมกิจกรรม ความสมจริงที่จะสามารถติดต่อผู้เข้าร่วมโครงการได้จริงในสภาวะฉุกเฉิน การติดต่อด้านเอกสารและการปฎิบัติงานในสถานที่สำรองและส่งผลงานกลับมายังสำนักงานใหญ่เพื่อตรวจสอบความถูกต้อง
การทดสอบและประเมินผลการปฏิบัติงาน การทำ Action Plan จะต้องตรวจสอบความถูกต้องของการปฏิบัติงาน  ความตั้งใจและรับผิดชอบในหน้าที่ของสมาชิก ในระหว่างการทดสอบ  ความเด็ดขาดในการสั่งการและประสานงาน การติดต่อสื่อสารและการควบคุมสถานการณ์ เพื่อให้ประสบความสำเร็จในการดำเนินการธุรกิจอย่างต่อเนื่อง

ระดับความซับซ้อนของ Action Plan นี้เป็นเพียงตัวอย่าง ซึ่งจำเป็นจะต้องมีการปรับปรุงให้สอดคล้องกับวัฒนะธรรมองค์กรและธุรกิจ ภาระกิจของแต่ละองค์กร เพื่อนำไปประกอบใน BCP

เทคนิคการประกันคุณภาพ

ทบทวน BCP ควรประเมินความถูกต้องความเกี่ยวข้องของแผนและความมีประสิทธิผล นอกจากนี้ยังควรมีการเปิดเผยด้านการปรับปรุงความต้องการของ BCP  การประเมินผลอย่างต่อเนื่องของบริษัท  เป็นสิ่งที่จำเป็นเพื่อรักษาประสิทธิภาพกรประเมินความสามารถทำได้โดยการทบทวนภายในองค์กร หรือ หน่วยงานตรวจสอบภายนอก

ความคิดเห็นภายใน

ขอแนะนำว่าองค์กรของพวกควรทบทวน BCP :

  • บนพื้นฐานที่กำหนด ( 6 เดือน – 1 ปี ครั้ง)
  • เมื่อมีการเปลี่ยนแปลงต่อสภาพแวดล้อมภัยคุกคามที่เกิดขึ้น
  • เมื่อมีการเปลี่ยนแปลงเนื่อหาสาระให้แก่องค์กร เช่น การใช้สถานที่สำรองสำหรับปฎิบัติการ
  • เมื่อมีการเปลี่ยนแปลงเนื้อหาสาระให้แก่องค์กรในการใช้สถานที่
  • หลังจากที่มีการทำแผน Action Plan จำเป็นจะต้องมีการทดสอบและเก็บรวบรวมปัญหาต่างๆ

การตรวจสอบภายนอก

เมื่อตรวจสอบ BCP ที่ปรึกษาจะตรวจสอบในด้าน :

  • ขั้นตอนการใช้และการกำหนดขั้นตอนการให้บริการที่สำคัญๆ ของกระบวนการทั้งหมด
  • ระเบียบวิธีการควบคุม และความถูกต้องของขั้นตอนการทำ BCP

สุดท้ายนี้ก็ขอจบเกี่ยวกับการเตรียมความพร้อมสำหรับ BCP ที่หลายๆ ท่านได้สอบถามมาและอยากได้ความเข้าใจในความหมาย และขั้นตอนเบื้องต้นของ BCP  ซึ่งผมหวังเป็นอย่างสูงว่า คงจะมีประโยชน์สำหรับหลายๆ ท่านที่ต้องการทำความเข้าใจเกี่ยวกับ BCP   ในกรณีที่ องค์กรของท่านต้องการที่จะจัดทำแผน BCP หรือ BIA หรือ BCM ก็สามารถติดต่อผมและทีมงานได้ ซึ่งจะเข้าไปอธิบายแผนงานของ BCP และองค์ประกอบอื่นๆ พร้อมช่วยกันทำ Action Plan ของหน่วยงานที่สำคัญๆ สำหรับการทำ BCP ต่อไป

ขอให้ทุกๆ ท่านโชคดี มีความสุขครับ

เอกกมล เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

https://eiamsri.wordpress.com 

สิงหาคม 13, 2012 - Posted by | Business Continuity Plan : BCP, Risk Management

ยังไม่มีความเห็น

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: