NEW MANAGEMENT FORUM

Central Knowledge Society

แนวคิดเกี่ยวกับ Business Continuity Plan : BCP


สวัสดี ครับ

วันนี้อยากจะเล่าเรื่อง Business Continuity Plan : BCP ให้ทุกๆ ท่านเข้าใจแนวคิดเบื้องต้นของ BCP เพราะเราเชื่อว่า ในอนาคตแนวคิดเกี่ยวกับ BCP จะมีประโยชน์หลายอย่าง และมีความจำเป็นเพิ่มขึ้นเรื่อยๆ  เพราะการที่ธุรกิจถูกกระทบจากปัจจัยภายนอก  นับวันจะมีความรุนแรงมากขึ้นเรื่อยๆ  และขยายวงกว้างมากขึ้น เช่น การล้มสลายด้านการควบคุมการเงินในสหภาพยุโรป  การที่ธุรกิจด้านการเงินในสหรัฐอเมริกาปิดกิจการอย่างต่อเนื่องและเป็นสถาบันการเงินขนาดใหญ่และมีชื่อเสียงชั้นนำของโลกทั้งนั้น  ปัญหาก็คือ ทำไมสถาบันการเงินขนาดใหญ่พวกนี้ถึงล้มสลายได้ในพริบตา ด้วยประสบการณ์ทางการเงินที่มากกว่า 10 ปีขึ้นไป  ไม่ได้ช่วยปกป้องหรือมีแนวทางป้องกันปัญหาเหล่านี้เลยหรือไม่

ประเทศไทย ก็ประสบปัญหานี้มาแล้วในยุค “ต้มยำกุ้ง” ที่ค่าเงินบาทตกไปที่ 50 กว่าบาทต่อดอลลาร์ ประเทศต้องขอกู้ยืมเงินจากกองทุน IMF มาชำระหนี้สินจากค่าเงินกู้ยืมระหว่างประเทศเพื่อไม่ให้ประเทศเสียเครดิตจนกลายเป็นประเทศมีปัญหาด้านการชำระเงินระหว่างประเทศ  หรือ การที่มีกองทุน Hedge Fund ที่มีหน้าที่เก็งกำไรค่าเงินระหว่างประเทศและทำ  Arbitrage ระหว่างประเทศ โดยไม่สนใจประเทศที่ถูกเก็งกำไรจะล้มสลายทางเศรษฐกิจเท่าใดก็ตาม (พวกนี้กำลังเดินอยู่ในกรุงเทพฯ และรอเวลาที่พวกท่านๆๆ ประมาทหรือไม่มีมาตรควบคุมทางการเงินที่ไม่ดีพอ)

อ้าวถ้าอย่างนั้น BCP เป็นเครื่องมือที่เหมาะสำหรับธุรกิจขนาดใหญ่ๆ และ ธุรกิจระหว่างประเทศเท่านั้นหรอ  คำตอบ ไม่ใช่ ครับ แต่เป็นเครื่องมือสำหรับทุกธุรกิจที่ต้องการวางแผนกอบกู้ธุรกิจให้กลับมาเหมือนเดิม ในสภาวะที่เกิดวิกฤติอย่างรุนแรง  รวดเร็ว  และทำให้เกิดความเสียหายทางธุรกิจอย่างรุนแรงจนต้องมีการหยุดกิจการ (ชั่วคราว) หรือ (ถาวร)  ขึ้นอยู่กับการวางแผน BCP ของผู้เป็นเจ้าของกิจการ และคณะผู้บริหารขององค์กรนั้นๆ

คำถาม : ถ้าผมสนในเกี่ยวกับ BCP แล้วไม่มีความรู้เลยจะทำอย่างไร ?

คำตอบ : ค้นคว้าอ่านตำราจาก อินเตอร์เน็ต  หรือ เข้าอบรมเรื่อง BCP กับเว็บไซต์ http://www.interfinn.com  เพราะคุณไม่มีความรู้ ก็ต้องเริ่มต้นเรียนหนังสือก่อนครับ

คำถาม : การทำ BCP จำเป็นจะต้องใช้เงินเยอะๆ และต้องเชิญผู้เชี่ยวชาญมาให้ความเห็นและควบคุม หรือ เป็นที่ปรึกษาในการทำงานด้านนี้หรือไม่ ?

คำตอบ : การทำ BCP จำเป็นจะต้องมาจากการทำงานร่วมกันของผู้เชี่ยวชาญในแต่ละสาขาภายใน บริษัท หรือ องค์กร และเชิญผู้เชี่ยวชาญจากภายนอกมาให้ความเห็นกับกรอบแนวทางปฎิบัติ ไม่จำเป็นจะต้องทำเป็น TOR และจ้างที่ปรึกษา เพราะจำทำให้ล่าช้า  นอกจากนี้กรรมการตรวจรับก็ไม่เข้าใจ BCP ทำให้ผิดพลาดได้ง่าย และบ่อยครั้งทีทำแล้วไม่สำเร็จ

คำถาม : ถ้าอย่างนั้น เชิญผู้เชี่ยวชาญ มาให้คำแนะนำและอบรมวิธีการจะดีที่สุด และค่อยๆทำกันไปภายในองค์กร ใช่หรือไม่?

คำตอบ : ใช่ วิธีการทำ BCP ที่ดีที่สุดมาจากกระบวนการทำงานของ ผู้เชี่ยวชาญภายในองค์กรเป็นผู้ดำเนินการและกำกับควบคุมโดยผู้เชี่ยวชาญจากภายนอกมาให้ความเห็นและกรอบแนวทางปฎิบัติ จะดีที่สุด  เพราะคุณและทีมงานจะรู้ว่าต้องทำอย่างให้องค์กร กลับสภาพเดิมได้ในเวลาที่สั้นที่สุด

การวางแผนธุรกิจให้มีความต่อเนื่อง (Business Continuity Plan)  เป็นกระบวนการกู้คืนธุรกิจเพื่อเริ่มต้นใหม่ และการบำรุงรักษาธุรกิจทั้งหมดไม่ใช่แค่การกู้คืนเฉพาะเทคโนโลยีสารสนเทศ แต่ก็ต้องยอมรับว่าการกอบกู้ และฟื้นฟูระบบไอที เป็นสิ่งสำคัญเพราะการฟื้นฟูระบบเหล่านี้เป็นการฟื้นฟูการดำเนินธุรกิจ

การวางแผนธุรกิจให้มีความต่อเนื่อง (BCP) เกี่ยวข้องกับการพัฒนาองค์กร และการจัดลำดับความสำคัญของวัตถุประสงค์ทางธุรกิจ และการดำเนินงานที่สำคัญที่มีความจำเป็นสำหรับการกู้คืน  ดังนั้นองค์กรจำเป็นจะต้องพิจารณาทุกกระบวนการดำเนินงานที่สำคัญๆ ภายในองค์กร สำนัก/ฝ่าย/กอง/แผนก/ส่วน/งาน  และจัดลำดับความสำคัญของกระบวนการฟื้นฟูของแต่ละแผนก  นอกจากนี้ระบบจะต้องตอบสนองต่อการหยุดชะงักและแนวทางกู้คืนธุรกิจ  ซึ่งกรอบของ BCP นี้จำเป็นจะต้ององค์ประกอบที่เป็นแผนระยะสั้น   ระยะกลาง และระยะยาว ในการดำเนินการกอบกู้ธุรกิจ  การกำหนดมาตรฐานใหม่หลังจากการกอบกู้ธุรกิจเสร็จ เพราะมาตรฐานหลายอย่างอาจจะเปลี่ยนไปและไม่ตรงใจกลุ่มลูกค้าเดิมเพราะเพิ่งกอบกู้ธุรกิจเสร็จ เหมือนเป็นการนับ 1 ใหม่อีกครั้งเลยครับ   ดังนั้นการจัดการควรมีการจัดลำดับความสำคัญของวัตถุประสงค์ทางธุรกิจและการดำเนินงานที่สำคัญ หรือ มีความจำเป็นเร่งด่วน เพื่อความอยู่รอดขององค์กรหรือธุรกิจ  เพราะการกอบกู้ทุกอย่าง จำเป็นจะต้องใช้เงินทั้งนั้น และเวลา รวมทั้งความร่วมมือร่วมใจของพนักงานทุกคน

การวางแผนธุรกิจให้มีความต่อเนื่อง (BCP) ของบริษัทส่วนใหญ่จะให้ความสำคัญแต่เฉพาะระบบ IT อย่างเดียว แต่ทำให้ละเลยจุดอื่นๆ ไปอย่างหน้าเสียดาย ดังนั้นเราเสนอให้มีการจัดแบ่งสัดส่วนการตั้งกองทุนสำหรับ (BCP) ขึ้นภายในองค์กรทุกองค์กรขนาดใหญ่ และองค์กรที่มีเครือข่ายเป็นจำนวนมากๆ ดังนี้

สัดส่วนการสำรองเงินทุนและทรัพยากรสำหรับ BCP
ชื่อกิจกรรม สัดส่วนสำรอง
เงินทุนสำรองสำหรับ BCP  5% ของกำไรทุกปี
    – แบ่งซื้อทองคำเป็นทุนสำรอง เพราะเงินตรามีลดมูลค่าเร็วมาก
    – อัญมณีมูลค่าสูง เพราะมีการเคลื่อนย้ายง่าย เก็บรักษาง่าย
ทีมงานผู้เชี่ยวชาญภายในองค์กร ทดสอบ 1 ครั้ง/ปี
   – มีการทดสอบระบบสำรองในหน่วยงานหลักๆ
   – มีการทดสอบระบบสำรองจับเวลาและตรวจสอบผลลัพธ์กับข้อมูลในอดีต
   – มีการสร้างระบบข้อมูลสำรองไว้ใน Backup Site และ Data Storage ฟรี เช่น Google Drive, Sky Drive
 ของหน่วยงานต่างๆ เช่น เอกสารแบบฟอร์มต่างๆ  เอกสารรายชื่อลูกค้า ใบแจ้งหนี้ย้อนหลัง 3 เดือน
 ข้อมูลต่างๆ ที่มีลำดับชั้นความลับต่ำ และใช้บ่อย ไม่ต้องการไปรบกวน Server องค์กร
 สามารถทำได้เองในระดับเจ้าหน้าที่แผนก หรือ สำนัก
 มีการเก็บซอง Username และ Password แยกในที่ปลอดภัย เช่น ที่บ้านของหัวหน้า
   – มีการสร้างทีมผู้เชี่ยวชาญเฉพาะกิจ ที่มีความรู้จริงๆ (Dream Team)
ทำแผนที่การเคลื่อนย้ายอุปกรณ์ที่จำเป็นและสำคัญ อบรม 1 ครั้ง/ปี
   – มีการทำแผนที่และวิธีการเคลื่อนย้ายอุปกรณ์ พร้อมเครื่องมือที่สำคัญในการเคลื่อนย้ายต่างๆ
   – มีการอบรมเตรียมความพร้อมในการเคลื่อนย้าย
ติดต่อสถานที่ปฎิบัติงานหลัก (สำรอง) กรณีฉุกเฉิน อบรม 1 ครั้ง/ปี
   – มีการทำแผนที่และวิธีการเดินทางของพนักงานไปยังสถานที่สำรองแห่งใหม่
   – มีการอบรมเตรียมความพร้อมในการเคลื่อนย้ายของพนักงาน

สิ่งเหล่านี้เป็นตัวอย่าง ขั้นต้นและอย่างง่ายๆ ที่ทุกองค์กรจำเป็นจะต้องมีการวางแผนในขั้นต้น เพราะเป็นขั้นหลัก ที่ต้องดำเนินการในขั้นแรกเพื่อให้แผน BCP ดำเนินการต่อไปได้

กระบวนการวิเคราะห์ความเสี่ยงก่อนการทำแผน BCP

1. การวิเคราะห์ผลกระทบทางธุรกิจ

2. การประเมินความเสี่ยง

3. การบริหารความเสี่ยง

4. การตรวจสอบความเสี่ยงและการทดสอบ

ซึ่ง 4 ขั้นตอนนี้จะสะท้อนให้เห็นว่าเป็นกระบวนการวางแผนความต่อเนื่องทางธุรกิจ ที่ครบวงจรและควรที่จะมีการปรับเปลี่ยนตามสถานการณ์ และภัยคุกคามที่อาจจะมีขึ้นในอนาคต แสดงว่าทุกองค์กรจะต้องมีการดำเนินการทั้ง 4 ขั้นตอนใหม่ทุกๆ ปี

หน้าที่ความรับผิดชอบของผู้บริหารระดับสูงในการกำกับดูแลธุรกิจอย่างต่อเนื่องในกระบวนการวางแผน BCP

  • การกำหนดนโยบายวิธีการจัดการและควบคุมความเสี่ยง
  • การสรรหาบุคลากรที่มีความรู้ ความเชี่ยวชาญ และจัดสรรทรัพยากรทางการเงินให้เพียงพอ ที่จะดำเนินการกอบกู้ BCP
  • กำหนดให้องค์กรมีการทบทวนแผน และเตรียมความพร้อมด้าน BCP ทุกปี และทดสอบหน่วยงานจริงอย่างน้อย 1 ครั้ง/ปี
  • พนักงานได้รับการฝึกฝนเกี่ยวกับขั้นตอน BCP จนเกิดความเข้าใจ และมีความเชื่อมั่น และตระหนักถึงหน้าที่ของพวกเขาในการดำเนินการตามแผน BCP
  • ต้องเชิญผู้เชี่ยวชาญแต่ละสาขาจากภายนอกมาให้ความเห็นในการเตรียมความพร้อมในการดำเนินงานตามแผน BCP ทั่วทั้งองค์กร
  • ต้องมีการทบทวนโปรแกรมการทดสอบ BCP และผลการทดสอบเป็นประจำ เช่น ด้าน IT เทียบกับผลลัพธ์ในอดีตมีความถูกต้องตรงกัน

ข้อมูลข้างต้นเป็นหน้าที่ความรับผิดชอบของผู้บริหาร และคณะกรรมการบริหารององค์กร ที่จะต้องดำเนินการตามขั้นตอนข้างต้น เพื่อให้องค์กรแน่ใจว่า มีการประเมิน และดำเนินการตามลำดับความสำคัญของการบริหารและควบคุมความเสี่ยงให้เป็นส่วนหนึ่งของการดำเนินธุรกิจ และกระบวนการวางแผนทั้งหมด คณะกรรมการและผู้บริหารระดับสูง ควรกำหนดนโยบายว่า องค์กร จะต้องมีการจัดการควบคุม และบริหารจัดการความเสี่ยงที่มีการกล่าวไว้ข้างต้น  และคณะกรรมการและผู้บริหารระดับสูงจำเป็นจะต้องเข้าใจผลกระทบของความเสี่ยงที่ระบุเหล่านี้และสนับสนุนการวางแผนธุรกิจให้มีความต่อเนื่อง

เราขอจบการอธิบายเกี่ยวกับแนวคิด BCP ในเบื้องต้นไว้เพียงเท่านี้ก่อนเพื่อจะได้ไม่เครียด หรือ เบื่อที่จะอ่านไปเสียก่อน เพราะเรื่องนี้จะต้องเล่าให้ฟังในหลายด้าน หลายมุมมอง  และมีเครื่องมือที่เข้ามาเกี่ยวข้องหลายประเภทพอสมควร  ขอให้ทุกๆ ท่าน คอยติดตามอ่านใน บล็อกนี้ต่อไป

ขอให้ทุกๆ ท่านมีความสุข สมหวัง ดังที่ปรารถนา

เอกกมล  เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

https://eiamsri.wordpress.com 

โฆษณา

มีนาคม 24, 2013 Posted by | Business Continuity Plan : BCP | | ใส่ความเห็น

การวางแผนต่อเนื่องทางธุรกิจ : Business Continuity Planning : BCP


สวัสดีครับ

วันนี้ เราอยากจะเล่าเรื่อง Business Continuity Planning : BCP ให้หลายท่านได้ทราบว่า ต่างประเทศเขาคิดกันอย่างไร เพื่อเป็นแนวคิดในกรณีที่องค์กรของคุณจำเป็นจะต้องมีการทำ BCP ขึ้น ซึ่งส่วนตัวแล้วก็เห็นด้วยอย่างมากที่จำเป็นจะต้องทำทุกองค์กร ที่เป็นหน่วยงานของรัฐและรัฐวิสาหกิจ เพื่อที่จะได้มีแนวทางแก้ไขปัญหาที่รุนแรง “ไม่ต้องมายืนตะโกนใส่กันว่าจะต้องทำอย่างไร และหาคนผิดที่ไม่ใช่ตน มารับผิดชอบความเสียหายขององค์กร”

BCP คือ ชุดของเอกสาร คำแนะนำและวิธีการที่ช่วยให้ธุรกิจ/บริการขององค์กร / คุณ สามารถตอบสนองต่อการเกิดอุบัติเหตุ  ภัยพิบัติ  ภาวะฉุกเฉินและ/หรือภัยคุกคามได้โดยไม่ต้องหยุด หรืออุปสรรคในการที่สำคัญของการดำเนินงาน  เรียกอีกอย่างว่า “การเริ่มต้นใหม่ของธุรกิจ”  ซึ่งจำเป็นจะต้องมีแผนการกู้คืนระบบหรือแผนการกู้คืนทรัพยากรบุคคลและกระบวนการทำงาน เพื่อให้สามารถทำธุรกิจต่อไปได้ หรือ สามารถให้บริการแก่ประชาชนต่อไปได้

การวางแผนต่อเนื่องทางธุรกิจ เทียบกับ “การวางแผนเริ่มต้นใหม่ทางธุรกิจ (Business Resumption Planning) และ “การกู้คืนระบบที่เสียหาย” (Disaster Recovery Planning)

การวางแผนเริ่่มต้นใหม่ทางธุรกิจ (BRP) อธิบายถึง วิธีการดำเนินธุรกิจที่หยุดชะงักหลังจากที่ แผนการกู้คืนระบบที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ (IT) ที่ฟื้นตัวเป็นปกติ และสินทรัพย์หลังจากที่มีการหยุดชะงักจากหายะน ซึ่งทั้งสองอย่างบ่งบอกถึงการหยุดชะงักของการแข่งขันในการดำเนินงานที่สำคัญๆ ในวงจรธุรกิจ

โปรดตระหนักว่า การให้บริการบางส่วนหรือผลิตภัณฑ์ที่เกี่ยวกับการบริโภคและอุปโภคระดับสาธารณชนจำเป็นจะต้องได้รับการส่งมอบอย่างต่อเนื่องโดยไม่หยุดชะงัก เช่น ไฟฟ้า  ประปา  โทรศัพท์   รถเมล์  รถไฟ   ฯลฯ  และได้มีการเปลี่ยนแปลงจากการวางแผนเริ่มต้นใหม่ เพื่อดำเนินการวางแผนต่อเนื่องทางธุรกิจ

แผนต่อเนื่องทางธุรกิจ BCP ช่วยให้การบริการที่สำคัญๆ หรือผลิตภัณฑ์ที่จำเป็นจะต้องส่งมอบให้กับลูกค้าอย่างต่อเนื่อง แทนที่จะมุ่งเน้นไปที่การกอบกู้ระบบ หรือ กระบวนการผลิต ของธุรกิจให้กลับมาทำงานหลังจากที่มีการดำเนินงานที่สำคัญได้หยุดหรือการกู้คืนหลังภัยพิบัติทางธุรกิจ  ความพยามวางแผนเพื่อให้มั่นใจว่าการดำเนินงานที่สำคัญยังคงใช้ได้

ผลของ 11 กันยายน 2001  

11 กันยายน 2001 แสดงให้เห็นว่าแม้ว่าผลกระทบจะสูง และมีโอกาสที่จะเกิดขึ้นต่ำ  และการกอบกู้คืนให้กับธุรกิจ เป็นไปได้ยาก ด้วยอาคารทั้งแฝดถูกทำลาย และได้รับผลกระทบทางธุรกิจต่อสถาบันการเงิน

บทเรียนที่เรียนรู้ ได้แก่

  • แผนต้องมีการปรับปรุงและทดสอบที่พบบ่อยๆ
  • ทุกประเภทของภัยคุกคามที่จะต้องพิจารณา
  • การอ้างอิงและการสัมพันธ์ควรจะวิเคราะห์อย่างรอบคอบ
  • บุคลากรที่สำคัญอาจจะไม่พร้อมใช้งาน
  • การสื่อสารโทรคมนาคมมีความจำเป็น
  • เว็บไซต์สำรองสำหรับการสำรองข้อมูลมันไม่ควรจะมีทำเลตั้งอยู่ใกล้กับเว็บไซต์หลัก ต้องแยกวงของเครือข่ายไปยัง Safe House
  • การสนับสนุนพนักงาน (การตั้งทีมงานให้ปรึกษา) ซึ่งเป็นสิ่งที่สำคัญมาก กรณีฉุกเฉิน
  • สำเนาแผนที่อาคาร และคู่มือการปฎิบัติงานที่สามารถทำด้วยระบบ Manual ได้ และเก็บข้อมูลทั้งหมดไว้ใน เว็บไซต์ที่เชื่อถือได้ login เข้าไปดาวน์โหลดได้  ภายนอกสำนักงาน
  • ระบบการรักษาความปลอดภัยขนาดใหญ่แบบทั่วทั้งพื้นที่โดยรอบระยะ 20 กม. ด้านภูมิศาสตร์ และเส้นทางจราจรที่สำคัญและซอยต่างๆ เพื่อใช้เลือกเป็นเส้นทางกรณีการเคลื่อนย้ายพนักงานจำนวนมาก พร้อมๆ กัน
  • พยามแก้ไขข้อบกพร่องของ แผนต่อเนื่องทางธุรกิจ (BCP) ด้วยเทคโนโลยีสมัยใหม่
  • ประชุมทีมงานที่เป็นหัวหน้างานและผู้เชี่ยวชาญ เพื่อสร้างสถานการณ์จำลองที่รุนแรงในกรณีต่างๆ ที่ทำให้องค์กรเสียหาย และธุรกิจเสียหายไม่สามารถดำเนินการต่อไปได้ จะเลือกแนวทางในการแก้ไขปัญหาแบบไหน ต้องการอะไรบ้าง?  อะไรที่ยังไม่มีและจำเป็น?

ประเด็นที่ฉุกเฉิน

บริการประกันการส่งสินค้าอย่างต่อเนื่อง (CSDA) คือ ความมุ่งมั่นที่จะส่งมอบอย่างต่อเนื่องของบริการที่สำคัญที่หลีกเลี่ยง จากการหยุดชะงักอย่างรุนแรงในทันทีสำหรับองค์กรที่มีการวางแผน BCP รวมถึงความเสี่ยงการประเมินผลทั้งการจัดการและการควบคุมที่มีประสิทธิภาพ และมีแผนมาตรกรและการเตรียมการสำหรับความต่อเนื่องทางธุรกิจ

การบริหารความเสี่ยงอย่างต่อเนื่อง ช่วยลดความเสี่ยงจากการหยุดชะงักและประเมินผลกระทบที่อาจจะเกิดขึ้นจากการหยุดชะงัก เมื่อพวกเขาเกิดเหตุการณ์ขึ้นจากธุรกิจได้รับผลกระทบจากการวิเคราะห์ BCP แล้ว

การวางแผนต่อเนื่องทางธุรกิจ คือ อะไร? 

บริการที่สำคัญหรือผลิตภัณฑ์ที่จำเป็นจะต้องส่งมอบเพื่อให้แน่ใจว่าวงจรชีวิตของธุรกิจที่เกี่ยวข้อง หรือ ประชาชนทั่วไปต้องได้รับความสะดวก หรือมีชีวิตรอด และหลีกเลี่ยงการก่อให้เกิดการบาดเจ็บ จากการปฎิบัติหน้าที่ ตามภาระที่กำหนด หรือตามกฎหมายอื่นๆ ขององค์กร การวางแผนต่อเนื่องทางธุรกิจ เป็นขั้นตอนการวางแผนในเชิงรุกที่ช่วยให้การบริการที่สำคัญ หรือ ผลิตภัณฑ์ที่มีการส่งมอบในระหว่างการหยุดชะงัก

แผนต่อเนื่องทางธุรกิจ รวมถึง:

  • แผนมาตรการและการเตรียมการเพื่อให้แน่ใจว่าการจัดส่งอย่างต่อเนื่องของบริการที่สำคัญ และผลิตภัณฑ์ที่อนุญาตให้องค์กรสามารถกู้คืน สิ่งอำนวยความสะดวกของข้อมูลและทรัพย์สิน
  • ทรัพยากรที่จำเป็นเพื่อสนับสนุนการต่อเนื่องทางธุรกิจ รวมถึง บุคลากร  ข้อมูล  อุปกรณ์   การจัดสรรทางการเงิน  ที่ปรึกษากฎหมาย  การป้องกันโครงสร้างพื้นฐานของอาคาร สถานที่  การเตรียมที่พักสำรอง และสถานที่สำรองในการทำงานช่วงสภาวะฉุกเฉิน

การจัดทำ BCP ช่วยเพิ่มภาพลักษณ์ขององค์กร  ขวัญและกำลังใจพนักงาน  ความน่าเชื่อถือของผู้ถือหุ้น  ความเชื่อมั่นในธุรกิจของลูกค้า  โดยแสดงทัศนคติเชิงรุก ผลประโยชน์เพิ่มเติม ได้แก่ การปรับปรุงประสิทธิภาพในองค์กรโดยรวมและการระบุความสัมพันธ์ของสินทรัพย์และทรัพยากรมนุษย์และการเงินของการบริการที่สำคัญและส่งมอบ

แผนต่อเนื่องทางธุรกิจ BCP จึงเป็นแผนที่สำคัญ 

ทุกองค์กรมีความเสี่ยงจากภัยพิบัติที่อาจจะเกิดขึ้น รวมถึง

  • ภัยธรรมชาติ เช่น พายุทอร์นาโด  น้ำท่วมสูง  พายุหิมะ  แผ่นดินไหว และไฟไหม้
  • อุบัติเหตุ
  • การก่อวินาศกรรม
  • พลังานน้ำมัน และพลังงานไฟฟ้าหยุดชะงัก
  • การสื่อสาร  การขนส่ง  ความปลอดภัย และความล้มเหลวของภาคบริการสาธารณะ
  • ภัยพิบัติทางสิ่งแวดล้อม เช่น มลพิษและสารเคมีอันตรายที่รั่วไหล
  • การโจมตีไซเบอร์ และพวกแบล็กแฮกเกอร์

การสร้างและการบำรุงรักษา BCP ช่วยให้มั่นใจว่าสถาบันการศึกษามีแหล่งข้อมูลและข้อมูลที่จำเป็นในการบริหารจัดการกับเหตุภาวะฉุกเฉินเหล่านี้

เทคนิคการสร้างแผนต่อเนื่องทางธุรกิจ BCP

BCP โดยทั่วไปจะประกอบด้วย 5 ส่วน ดังนี้

  1. การกำกับดูแลกิจการ บริษัท/องค์กร  (BCP Governance)
  2. การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis : BIA)
  3. แผนมาตรการและการเตรียมการสำหรับความต่อเนื่องทางธุรกิจ (Plans, measures, and arrangements for business continuity)
  4. ขั้นตอนการเตรียมความพร้อม (Readiness procedures)
  5. เทคนิคการประกันคุณภาพ (Quality assurance techniques)

สร้างการควบคุม (Establish Control)

BCP ที่มีโครงสร้างการกำกับดูแลมักจะอยู่ในรูปแบบของคณะกรรมการที่จะให้ภาระผูกพันที่ผู้บริหารระดับสูง และกำหนดบทบาทผู้บริหารระดับสูงและความรับผิดชอบ

คณะกรรมการ บริษัทฯ / องค์กร   ผู้บริหารระดับสูงเป็นผู้รับผิดชอบในการกำกับดูแล  การเริ่มต้นการวางแผนการอนุมัติการทดสอบและการตรวจสอบของบริษัทฯ นอกจากนี้ยังนำ BCP ไปปฎิบัติ พิกัดของกิจกรรมสำรวจอนุมัติ BIA  ดูแลการสร้างแผนความต่อเนื่องทางธุรกิจ และความคิดเห็นจากผลของกิจกรรมการประกันคุณภาพ

ผู้จัดการอาวุโส หรือ คณะกรรมการ BCP มีหน้าที่ ดังนี้ : 

  • อนุมัติโครงสร้างการกำกับดูแล (approve the governance structure)
  • ชี้แจงบทบาทของพวกเขาและบรรดาผู้เข้าร่วมในโปรแกรม
  • ดูแลการสร้างรายการของคณะกรรมการที่เหมาะสม คณะทำงานและทีมงานเพื่อพัฒนาและดำเนินการจัดทำแผน
  • กำหนดทิศทางเชิงกลยุทธ์และการสื่อสารขอ้ความที่สำคัญ
  • การอนุมัติผลของ BIA
  • ทบทวนบริการที่สำคัญ และผลิตภัณฑ์ที่จำเป็นจะต้องดำเนินการอย่างต่อเนื่องไม่มีวันหยุด
  • อนุมัติแผนความต่อเนื่องและการจัดลำดับความสำคัญ
  • ตรวจสอบกิจการที่จำเป็นต้องประกันคุณภาพ
  • แก้ไขผลประโยชน์ที่ขัดแย้งกันและลำดับความสำคัญ

คณะกรรมการ BCP ประกอบด้วยสมาชิกต่อไปนี้ : 

  • หน่วยงานที่เป็นผู้สนับสนุนผู้บริหารที่มีความรับผิดชอบโดยรวมขององค์กร เช่น คณะกรรมการบอร์ด  รัฐมนตรี  ปลัดกระทรวง หรือ กรรมการผู้จัดการ  CEO  CFO   CIO
  • ผู้ที่สนับสนุน BCP ในด้านการประสานงานและกำกับดูแลกระบวนการ BIA ; เพื่อให้มั่นใจว่า ด้านเงินทุน   นโยบายในการพัฒนา BCP ในองค์กร ในด้านการพัฒนาแผนการเตรียมความพร้อม สำหรับความต่อเนื่องทางธุรกิจ โดยแต่ละหน่วยงานที่มีความสำคัญๆ ในองค์กรจะต้องส่งตัวแทนที่มีความรู้ ความสามารถ  และเชิญผู้เชี่ยวชาญจากภายนอก หรือในองค์กรมาร่วมกันวางแผนพัฒนา BCP และกำหนดหน้าที่ความรับผิดชอบของพวกเขา  กำหนดระยะเวลาฝึกอบรมและทดสอบ BCP  ที่เหมาะสม  และทำการทบทวนแผน BCP ตามระยะเวลาที่เปลี่ยนแปลง
  • เจ้าหน้าที่รักษาความปลอดภัยก็จำเป็นที่จะต้องเข้าร่วม กับผู้ประสานงานเพื่อให้มั่นใจว่าทุกด้านของ BCP ตอบสนองความต้องการด้านความปลอดภัยขององค์กร
  • ผู้บริหารเทคโนโลยีสารสนเทศ (CIO) ความร่วมืออย่างใกล้ชินกับผู้ประสานงาน BCP และผู้เชี่ยวชาญได้ IT ในการวางแผนสำหรับความต่อเนื่องที่มีประสิทธิภาพและความกลมกลืน
  • ผู้แทนหน่วยธุรกิจให้บริการนำเข้าและช่วยในการดำเนินการและการวิเคราะห์ผลการวิเคราะห์ผลกระทบทางธุรกิจ

คณะกรรมการ บริษัทฯ จะร่วมกันเป็นประธานโดยผู้บริหารและผู้ประสานงาน

การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis) 

วัตถุประสงค์ของ BIA คือ การระบุอาณัติขององค์กรและการบริการที่สำคัญ หรือผลิตภัณฑ์จัดอันดับ และลำดับความสำคัญของการบริการ หรือผลิตภัณฑ์สำหรับการจัดส่งอย่างต่อเนื่อง หรือการฟื้นตัวอย่างรวดเร็ว  และบรรลุผลกระทบทั้งภายในและภายนอกจากการหยุดชะงัก

ระบุลักษณะอาณัติและที่สำคัญขององค์กร 

ขั้นตอนนี้จะกำหนดสิ่งที่สินค้าหรือบริการนั้นจะต้องถูกส่ง ข้อมูลสามารถได้รับจากพันธกิจขององค์กร และข้อกำหนดทางกฎหมายสำหรับการส่งมอบบริการที่เฉพาะเจาะจงและผลิตภัณฑ์

จัดลำดับความสำคัญการให้บริการหรือผลิตภัณฑ์ที่สำคัญ 

เมื่อบริการที่สำคัญหรือผลิตภัณฑ์ที่มีการระบุว่าต้องจัดลำดับความสำคัญขึ้นอยู่กับระดับต่ำที่สุด ที่ยอมรับได้  ในการส่งมอบภายในระยะเวลาสูงสุดของเวลาการให้บริการสามารถ  ก่อนที่จะเกิดความเสียหายอย่างรุนแรงต่อผลการองค์กร  การตรวจสอบการจัดอันดับของบริการที่สำคัญข้อมูลจะต้องพิจารณาผลกระทบของการหยุดชะงักในการส่งมอบบริการ  การสูญเสียรายได้จากค่าใช้จ่ายเพิ่มเติมและความสูญเสียที่ไม่มีตัวตน

ระบุผลกระทบจากการหยุดชะงัก  

ผลกระทบของการหยุดชะงักไปใช้กับผลิตภัณฑ์หรือบริการทางธุรกิจที่สำคัญกำหนดระยะเวลาที่องค์สามารถทำงานได้โดยไม่ต้องใช้บริการหรือผลิตภัณฑ์และระยะเวลาที่ลูกค้าจะยอมรับการหยุดชะงักขององค์กร  เพราะมันเป็นสิ่งที่จำเป็นในการกำหนดระยะเวลาที่ให้บริการหรือสินค้าที่อาจจะไม่พร้อมใช้งานก่อนที่จะส่งผลกระทบรุนแรง

ระบุพื้นที่ของการสูญเสียรายได้จากการที่มีศักยภาพ 

การตรวจสอบการสูญเสียรายได้ก็เป็นสิ่งจำเป็นเพื่อพิจารณาว่ากระบวนการและฟังก์ชั่นที่รองรับการให้บริการหรือส่งมอบสินค้าที่มีส่วนเกี่ยวข้องกับการสร้างรายได้  หากกระบวนการเหล่านี้ และการทำงานจะไม่ได้ดำเนินการ ทำให้รายได้ที่หายไป?  หากบริการหรือสินค้าที่ไม่สามารถดำเนินการได้และทำให้องค์กรสูญเสียรายได้?  ถ้าเป็นเช่นนั้นแล้ว รายได้เท่าไร และความยาวของระยะเวลาที่ทำให้รายได้เสียหายเป็นอย่างไร?  ถ้าหากลูกค้า ผู้รับบริการ ผู้มีส่วนได้ส่วนเสีย ไม่สามารถเข้าถึงบริการบางอย่าง หรือ ผลิตภัณฑ์นั้นจะทำให้ผู้รับบริการอื่นๆ สูญเสียรายได้ร่วมหรือไม่?

ระบุค่าใช้จ่ายเพิ่มเติม 

ถ้าฟังก์ชั่นทางธุรกิจหรือกระบวนการปฎิบัติไม่ได้เป็นไปตามปกตินานเท่าใด จำเป็นจะต้อมีค่าใช้จ่ายพิเศษเพิ่มขึ้น หรือ เริ่มจะเพิ่มขึ้นเท่าใด?  ฟังก์ชั่นนั้นอาจจะไม่พร้อมใช้งานก่อนจนกว่าที่จะเสริมบุคลากรที่จะต้องได้รับการว่างจ้าง?  การปรับหรือลงโทษจากการละเมิดของความรับผิดชอบทางกฏหมาย  สัญญาหรือข้อบังคับของภาครัฐจะเป็นปัญหาและเป็นโทษหรือไม่?

ระบุความสูญเสียที่ไม่มีตัวตน 

การประมาณการจะต้องใช้ในการตรวจสอบค่าใช้จ่าย โดยประมาณการของการสูญเสียของผู้บริโภคและความเชื่อมั่นของนักลงทุนเกิดความเสียหายต่อชื่อเสียง  การสูญเสียศักยภาพในการแข่งขันส่วนแบ่งทางการตลาดลดลงและการละเมิดกฎหมายและกฎระเบียบ การสูญเสียของภาพหรือชื่อเสียงเป็นสิ่งที่สำคัญโดยเฉพาะอย่างยิ่งสำหรับสถาบันของรัฐที่พวกเขาจะรับรู้มักจะเป็นที่มาตรฐานสูงขึ้น

ความต้องการประกันภัย

เนื่องจากองค์กรไม่สามารถที่จะจ่ายค่าใช้จ่ายเต็มรูปแบบของการกู้คืน  การมีประกันภัยในกรณีเกิดความเสียหายที่รุนแรงและสามารถให้เงินทุนเพื่อกู้คืนที่เต็มทุน หรือ บางส่วน

เมื่อพิจารณา ตัวเลือกในการประกันและการตัดสินใจสิ่งที่คุกคามที่จะครอบคลุม เป็นสิ่งที่สำคัญที่จะใช้เบี้ยที่จะช่วยให้การตัดสินใจ เกี่ยวกับการเลือกแผนความคุ้มครองประกันภัยและระดับที่สอดคล้องกันของความคุ้มครอง บางแง่มุมของการดำเนินการอาจจะเกินกว่าความคุ้มครองของประกัน หรือ ต่ำกว่าความคุ้มครองของประกันภัย  เพื่อที่จะให้เกิดความเป็นไปได้ในการมองเห็นสถานการณ์แลเพื่อให้ครอบคลุมสำหรับ การประกันภัยอย่างที่ต้องการ

เอกสารเกี่ยวกับระดับความคุ้มครองจากนโยบายของบริษัทประกัน  และจำเป็นที่จะต้องตรวจสอบนโยบายสำหรับพื้นที่ไม่มีประกันภัยและระดับที่กำหนดไว้ไม่ครอบคลุมประกันภัย  และระดับความสอดคล้องกันของความคุ้มครอง บางแง่บางมุมของการดำเนินการอาจจะเกินกว่า ความคุ้มครองของประกันภัยด้านทรัพย์สินอาจจะไม่ครอบคลุมทั้งหมด เช่น การระเบิดของ   เครื่องจักร  ความเสียหายจากน้ำท่วม ความเสียหายจากหิมะถล่ม  ความเสียหายจากแผ่นดินไหวต่ำกว่ามาตรฐานที่รุนแรง)  ซึ่งขึ้นอยู่กับนโยบายของผู้บริหารองค์กร/บริษัท จะทำการซื้อความคุ้มครองของประกันภัยเพิ่มเติมหรือไม่?

เมื่อมีการพิจารณารายละเอียดของประกันเป็นที่เรียบร้อยแล้ว ให้คุยกันเจ้าหน้าที่ตัวแทนประกันภัย และตรวจสอบให้แน่ใจว่า ตัวแทนประกันภัย เข้าใจระยะเวลาในการกู้คืนที่องค์กร/บริษัทต้องการ เมื่อมีการตรวจสอบความเสียหาย และวงเงินความคุ้มครองในประกันภัย   ภาระการพิสูจน์เอกสารและความเสียหายในกรณีมีการเรียกร้องการขอเงินคุ้มครองประกันภัยของผู้ถือกรมธรรม์และจำเป็นจะต้องเตรียมเอกสารให้ถูกต้องแม่นยำ และมีการทดสอบการเตรียมเอกสารเป็นระยะๆ เพื่อป้องกันความผิดพลาดในอนาคต

การจัดอันดับ

เมื่อข้อมูลทั้งหมดที่เกี่ยวข้องได้รับการเก็บรวบรวมและประกอบการจัดอันดับสำหรับบริการทางธุรกิจที่สำคัญหรือผลิตภัณฑ์ที่สามารถผลิตได้  การจัดอันดับจะขึ้นอยู่กับการสูญเสียที่อาจจะเกิดขึ้นของรายได้  เวลาในการกู้คืนและความรุนแรงของผลกระทบต่อการหยุดชะงักจะทำให้เกิด ระดับการให้บริการขั้นต่ำและขั้นสูงสุดที่อนุญาตให้หยุดชะงัก ที่กำหนดไว้แล้ว

ระบุการอ้างอิง 

สิ่งสำคัญ คือ ต้องระบุการอ้างอิงภายในและภายนอกของการบริการ หรือ ผลิตภัณฑ์ที่สำคัญ เนื่องจากการส่งมอบบริการต้องอาศัยการอ้างอิงนั้น

การอ้างอิงภายใน คือ พนักงาน  ทรัพย์สินของบริษัท เช่น อุปกรณ์สำนักงาน  สิ่งอำนวยความสะดวกในการปฎิบัติงานคอมพิวเตอร์  ข้อมูล   เครื่องมือ  ยานพาหนะ  และการให้บริการสนับสนุนต่างๆ ด้านการเงิน  เทคโนโลยี  การรักษาความปลอดภัย ฯลฯ

การอ้างอิงภายนอก คือ ซัพพลายเออร์ใดๆ  สินทรัพย์ขององค์กรภายนอก เช่น อุปกรณ์สิ่งอำนวยความสะดวก การใช้งานคอมพิวเตอร์  ข้อมูล    เครื่องมือ  ยานพาหนะ  และการให้บริการสนับสนุนต่างๆ จากภายนอก เช่น การจัดการสิ่งอำนวยความสะดวกด้านสาธารณะ  การติดต่อสื่อสาร  การขนส่ง  สถาบันการเงิน  หน่วยงานภาครัฐ   ระบบความปลอดภัย  การจราจร ฯลฯ

การวางแผน BCP 

ขั้นตอนนี้ประกอบด้วยการจัดทำแผนการตอบสนอง/การกู้คืนรายละเอียดและการเตรียมความพร้อมสำหรับการต่อเนื่องทางธุรกิจ  ซึ่งแผนการเหล่านี้และรายละเอียดเกี่ยวกับการเตรียมความพร้อมและวิธีการให้บริการที่สำคัญ  และมีการส่งมอบผลิตภัณฑ์ที่ระดับการให้บริการขั้นต่ำ ภายในระยะเวลาที่เหมาะสม   แผนความต่อเนื่องทางธุรกิจนี้ควรจะทำสำหรับการให้บริการหรือผลิตภัณฑ์ที่สำคัญๆ

ภัยคุกคามและความเสี่ยงในการบรรเทา 

ภัยคุกคามและความเสี่ยงที่จะมีการระบุใน BIA หรือการประเมินภัยคุกคามที่เต็ม หรือไม่มีความเสี่ยง ที่จะต้องมีการกลั่นกรองความเสี่ยงเป็นกระบวนการต่อเนื่องและควรจะดำเนินการได้เมื่อ BCP ไมได้ดำเนินการวางแผน เช่น ถ้าองค์กรต้องการไฟฟ้าสำหรับการผลิต ความเสี่ยงของไฟฟ้าดับระยะสั้นๆ สามารถยอมรับได้เพราะมีระบบไฟฟ้าสำรอง และมีเครื่องปั่นไฟฟ้าด้วยระบบน้ำมัน

หรือ กรณีที่องค์กรจะต้องอาศัยการสื่อสารโทรคมนาคมทั้งภายในและภายนอก เพื่อให้ทำหน้าที่ได้อย่างมีประสิทธิภาพ  ความล้มเหลวของการสื่อสารสามารถลดได้โดยการใช้การสื่อสารผ่านเครือข่ายอื่นๆ เช่น การส่งวิทยุเคลื่อนสั้นแบบต่อเนื่อง

วิเคราะห์ความสามารถในการกู้คืนในปัจจุบัน

พิจารณาการเตรียมการฟื้นตัวขององค์กรทีมีอยู่แล้วในสถานที่และการบังคับใช้อย่างต่อเนื่องของพวกเขา รวมไว้ใน BCP ถ้าพวกเขามีความเกี่ยวข้อง

สร้างแผนความต่อเนื่อง 

แผนการสำหรับความต่อเนื่องของบริการและผลิตภัณฑ์จะขึ้นอยู่กับผลของการทำ BIA และตรวจสอบให้แน่ใจว่าแผนการ ที่จะทำในระดับเพิ่มขึ้นของความรุนแรงของผลกระทบจากการหยุดชะงัก เช่น ถ้าเกิดน้ำท่วมขึ้นจำกัดบริเวณชั้นล่างของอาคาร ก็จะใช้กระสอบทรายมากั้นน้ำ แต่ถ้าน้ำท่วมสูง มากๆ จำเป็นจะต้องย้ายสถานที่ทำงานไปยังสถานที่สำรองที่มีการจัดเตรียมไว้  ซึ่งขึ้นอยู่กับสนถานการณ์และความรุนแรง

การเตรียมการตอบสนอง 

การตอบสนองที่เหมาะสมต่อภาวะวิกฤติสำหรับองค์กรที่ต้องการทีมงานเพื่อนำไปสู่การสนับสนุนการดำเนินงานและการกู้คืนและการตอบสนอง สมาชิกในทีมงานที่ควรจะมีการฝึกอบรมความรู้เกี่ยวกับวิธีการตอบสนองในสภาวะฉุกเฉิน ในสถานการณ์ความรุนแรงต่างๆ ตามหน้าที่ความรับผิดชอบที่ได้รับมอบหมายของพวกเขา

จำนวนของขอบเขตของทีมงานจะมีความแตกต่างกันขึ้นอยู่กับขนาดของธุรกิจและหน้าที่ขององค์กร และโครงสร้าง อาจจะรวมถึง:

  • ทีมสั่งการและทีมควบคุมสำหรับผู้ปฎิบัติการบริหารวิกฤติและตอบสนองความต่อเนื่องของนโยบายผู้บริหารและธุรกิจด้วยการกู้คืนธุรกิจ
  • ทีมงาน ประสานงานและจัดเตรียมการอพยพ เช่น เตรียมการสถานที่สำรอง ประสานงานและจัดหาอุปกรณ์สำนักงานขั้นพื้นฐานที่จำเป็นเพื่อให้สามารถทำธุรกิจได้  การประเมินสถานการณ์และความเสียหาย ทีมกู้ภัยด้านระบบคอมพิวเตอร์  ทีมกู้ภัยด้านเครื่องจักร  ทีมกู้ภัยด้านการเงินและการบัญชี  ทีมกู้ภัยด้านระบบติดต่อสื่อสารโทรคมนาคม  ทีมติดต่อเจ้าหน้าที่หน่วยงานของรัฐในท้องถิ่น

หน้าที่และความรับผิดชอบสำหรับแต่ละทีมงานจะต้องกำหนดและรวมถึงการระบุสมาชิกให้สมาชิกในทีมและโครงสร้างอำนาจในการสั่งการ และความรับผิดชอบการสร้างรายการ Checklist ที่จำเป็นจะต้องทำในสภาวะฉุกเฉิน  และการเป็นศูนย์กลางในการติดต่อประสานงานกับทีมงานย่อยๆ ทุกทีมให้มีความเข้าใจสถานะการณ์ที่ตรงกัน

สำหรับทีมที่จะต้องทำงานในพื้นที่เสี่ยงภัย อาจจะมีการสูญเสียบุคลากรระหว่างการปฎิบัติหน้าที่ จำเป็นจะต้องมีการตั้งสมาชิกในทีมหลายคน และให้มีการฝึกฝนอบรมหน้าที่ความรับผิดชอบข้ามทีมงานได้

สิ่งอำนวยความสะดวกอื่นๆ 

ถ้าสถานที่หลักขององค์กรหรือข้อมูลสินทรัพย์เทคโนโลยีเครือข่ายและการประยุกต์ใช้จะหายไป สิ่งอำนวยความสะดวกสำรองอื่นๆ ก็ควรใช้ได้ อาทิ:

  • เว็บไซต์ เป็นสิ่งอำนวยความสะดวกอื่นๆ ที่ดำเนินการ โดยหน่วยงานภายนอกเป็นผู้เก็บฐานข้อมูล ดังนั้นจำเป็นจะต้องมีระบบการส่งข้อมูล และการสื่อสารกันภายในกลุ่มที่เป็นทีมกู้ภัยผ่านเว็บไซต์ หรือ โทรศัพท์เคลื่อนที่ Smart Phone
  • ระบบ Cloud Computing นำข้อมูลพื้นฐานที่จำเป็นของแต่ละแผนกและคู่มือการปฎิบัติงานของทุกแผนในองค์กรไปเก็บไว้ใน Cloud Computing เพื่อให้เกิดความสะดวกในการนำข้อมูล และระบบฐานข้อมูลสำรองที่จำเป็นมาใช้ในสภาวะฉุกเฉิน
  • การตั้ง Off-site Backup ที่จะเก็บข้อมูลสำคัญๆ ทั้งหมดขององค์กรไว้ภายนอกวงเครือข่ายของระบบคอมพิวเตอร์ในปัจจุบัน และตั้งอยู่ในพื้นที่ปลอดภัย และจำเป็นที่จะต้องมีการ Backup ทุกๆ 3-5 วันทำการ และพร้อมใช้ได้ทุกเมื่อ มีการทดสอบการใช้งานตามระยะเวลาที่กำหนดล่วงหน้า

เมื่อพิจารณาประเภทของสิ่งอำนวยความสะดวกอื่นๆ ให้พิจารณาปัจจัยทั้งหมดรวมทั้งภัยคุกคามและความเสี่ยงที่ระบบหยุดการทำงานสูงสุดเกินกว่าที่จะยอมรับได้ หรือมีค่าใช้จ่ายที่สูงมากขณะที่ระบบหยุดทำงาน  

สำเหตุผลด้านความปลอดภัยบางองค์กรอาจจะจ้างบริษัทเอกชนที่มีความเชี่ยวชาญด้านเว็บไซต์ ทำการ Backup ข้อมูลขององค์กรให้ทุกๆ 3-5 วันทำการ เพื่อป้องกันการหยุดชะงักของเว็บไซต์หลักขององค์กร เพื่อเป็นการสำรองระบบการติดต่อสื่อสาร  หรือการสั่งซื้อระบบเครื่องกำเนิดไฟฟ้าสำรอง และระบบป้องกันไวรัส หรือ การบุกรุกด้านคอมพิวเตอร์ ฯลฯ

ขั้นตอนการเตรียมความพร้อม 

การอบรม 

แผนความต่อเนื่องทางธุรกิจสามารถดำเนินการได้อย่างราบรื่นและมีประสิทธิภาพ คือ :

  • มีพนักงานที่มีความพร้อมทัั้งด้านร่างกายและจิตใจ เพื่อเข้าฟังการบรรยายเนื้อหาของ BCP และมีความตระหนักถึงความรับผิดชอบของตน (ห้ามมาโดยตำแหน่ง หรือ มาแทนนายสั่ง)
  • มีพนักงานที่มีความรับผิดชอบในหน้าที่ ได้รับการฝึกอบรมเกี่ยวกับการกู้ภัยในสภาวะฉุกเฉิน และมีความเข้าใจในสถานะและการดำเนินงานทั้งหมดขององค์กร

Action Plan 

หลังจากการฝึกอบรมการทำ Action Plan ควรได้รับการพัฒนาและกำหนดเพื่อให้บรรลุและรักษาระดับสูงสุดของการเตรียมความพร้อม ในขณะที่การทำ Action Plan เป็นเวลานานและใช้ทรัพยากรเป็นจำนวนมาก จำเป็นที่จะต้องมีการแบ่งระยะการทำงานของแผน และความคุ้มค่าด้านการลงทุนประกอบด้วย รายการต่อไปนี้เป็นตัวอย่างของ Action Plan ที่จำเป็นจะต้องทำ :

เป้าหมาย ส่วนหนึ่งของ BCP ที่จะนำมาทดสอบ
วัตถุประสงค์ ผลที่คาดว่า วัตถุประสงค์ที่ควรจะมีการความท้าทายเฉพาะการวัดที่สามารถทำได้จริง และทันต่อเวลา
ขอบเขต ระบุหน่วยงานหรือองค์กรที่เกี่ยวข้องกับพื้นที่ทางภูมิศาสตร์และเงื่อนไขการทดสอบและการนำเสนอ
ด้านการตั้งสมมติฐาน กำหนด Action Plan ด้วยการตั้งสมมติฐาน เช่น ใช้ข้อมูลพิบัติภัยในอดีต  และทดลองทำให้ห้องว่างๆ ของสำนักงาน
จัดทำเอกสารเผยแพร่การเข้าร่วม อธิบายการทำงานของ Action Plan และเหตุผลในการทำงาน อธิบายการทำงานในขั้นตอนที่สำคัญๆ
การจัดฝึกอบรมและบรรยาย ทีมงานกู้ภัยจำเป็นจะต้องมีการจัดฝึกอบรม และทดสอบการปฎิบัติงานในสภาวะวิกฤตอย่างน้อย เดือนละ 2 ครั้ง เพื่อเตรียมความพร้อมของสมาชิกในทีมและให้เกิดการปฎิบัติงานได้อย่างต่อเนื่องจริงๆ  เก็บรวบรวมปัญหาและอุปสรรคต่างๆ ที่เกิดขึ้นในขณะการทดสอบ เช่น เวลาในการปฏิบัติงานจริง  สถานที่และอุปกรณ์ที่ใช้ในการปฏิบัติงาน  การติดต่อประสานงานกับหน่วยงานภายนอก เป็นต้น
การติดต่อสื่อสารกับผู้เข้าร่วมกิจกรรม ความสมจริงที่จะสามารถติดต่อผู้เข้าร่วมโครงการได้จริงในสภาวะฉุกเฉิน การติดต่อด้านเอกสารและการปฎิบัติงานในสถานที่สำรองและส่งผลงานกลับมายังสำนักงานใหญ่เพื่อตรวจสอบความถูกต้อง
การทดสอบและประเมินผลการปฏิบัติงาน การทำ Action Plan จะต้องตรวจสอบความถูกต้องของการปฏิบัติงาน  ความตั้งใจและรับผิดชอบในหน้าที่ของสมาชิก ในระหว่างการทดสอบ  ความเด็ดขาดในการสั่งการและประสานงาน การติดต่อสื่อสารและการควบคุมสถานการณ์ เพื่อให้ประสบความสำเร็จในการดำเนินการธุรกิจอย่างต่อเนื่อง

ระดับความซับซ้อนของ Action Plan นี้เป็นเพียงตัวอย่าง ซึ่งจำเป็นจะต้องมีการปรับปรุงให้สอดคล้องกับวัฒนะธรรมองค์กรและธุรกิจ ภาระกิจของแต่ละองค์กร เพื่อนำไปประกอบใน BCP

เทคนิคการประกันคุณภาพ

ทบทวน BCP ควรประเมินความถูกต้องความเกี่ยวข้องของแผนและความมีประสิทธิผล นอกจากนี้ยังควรมีการเปิดเผยด้านการปรับปรุงความต้องการของ BCP  การประเมินผลอย่างต่อเนื่องของบริษัท  เป็นสิ่งที่จำเป็นเพื่อรักษาประสิทธิภาพกรประเมินความสามารถทำได้โดยการทบทวนภายในองค์กร หรือ หน่วยงานตรวจสอบภายนอก

ความคิดเห็นภายใน

ขอแนะนำว่าองค์กรของพวกควรทบทวน BCP :

  • บนพื้นฐานที่กำหนด ( 6 เดือน – 1 ปี ครั้ง)
  • เมื่อมีการเปลี่ยนแปลงต่อสภาพแวดล้อมภัยคุกคามที่เกิดขึ้น
  • เมื่อมีการเปลี่ยนแปลงเนื่อหาสาระให้แก่องค์กร เช่น การใช้สถานที่สำรองสำหรับปฎิบัติการ
  • เมื่อมีการเปลี่ยนแปลงเนื้อหาสาระให้แก่องค์กรในการใช้สถานที่
  • หลังจากที่มีการทำแผน Action Plan จำเป็นจะต้องมีการทดสอบและเก็บรวบรวมปัญหาต่างๆ

การตรวจสอบภายนอก

เมื่อตรวจสอบ BCP ที่ปรึกษาจะตรวจสอบในด้าน :

  • ขั้นตอนการใช้และการกำหนดขั้นตอนการให้บริการที่สำคัญๆ ของกระบวนการทั้งหมด
  • ระเบียบวิธีการควบคุม และความถูกต้องของขั้นตอนการทำ BCP

สุดท้ายนี้ก็ขอจบเกี่ยวกับการเตรียมความพร้อมสำหรับ BCP ที่หลายๆ ท่านได้สอบถามมาและอยากได้ความเข้าใจในความหมาย และขั้นตอนเบื้องต้นของ BCP  ซึ่งผมหวังเป็นอย่างสูงว่า คงจะมีประโยชน์สำหรับหลายๆ ท่านที่ต้องการทำความเข้าใจเกี่ยวกับ BCP   ในกรณีที่ องค์กรของท่านต้องการที่จะจัดทำแผน BCP หรือ BIA หรือ BCM ก็สามารถติดต่อผมและทีมงานได้ ซึ่งจะเข้าไปอธิบายแผนงานของ BCP และองค์ประกอบอื่นๆ พร้อมช่วยกันทำ Action Plan ของหน่วยงานที่สำคัญๆ สำหรับการทำ BCP ต่อไป

ขอให้ทุกๆ ท่านโชคดี มีความสุขครับ

เอกกมล เอี่ยมศรี

ผู้เรียบเรียง

http://www.interfinn.com 

https://eiamsri.wordpress.com 

สิงหาคม 13, 2012 Posted by | Business Continuity Plan : BCP, Risk Management | ใส่ความเห็น

   

%d bloggers like this: