เนื้อหาวันที่ : 2011-04-08 16:56:26 จำนวนผู้เข้าชมแล้ว : 5883 views

มอก. 22301 มาตรฐานการบริหารความต่อเนื่องทางธุรกิจ

การบริหารความต่อเนื่องทางธุรกิจ เป็นแนวทางที่ได้มีการพัฒนาขึ้นเพื่อให้องค์กรได้ใช้ในการสร้างภูมิต้านทานให้กับองค์กร ในการรับมือกับเหตุการณ์ต่าง ๆ ที่อาจจะเกิดขึ้น และส่งผลกระทบต่อการดำเนินธุรกิจขององค์กร

กิตติพงศ์ จิรวัสวงศ์
kitroj@yahoo.com

ในปัจจุบัน การดำเนินธุรกิจเพื่อให้มีประสิทธิภาพ และประสิทธิผล บรรลุตามเป้าหมายที่ต้องการอย่างต่อเนื่อง ไม่ใช้เรื่องที่ง่ายนัก ถึงแม้จะมีการวางแผนทางธุรกิจมาเป็นอย่างดีก็ตาม เพราะในหลาย ๆ ครั้ง มักจะเกิดเหตุการณ์ที่ไม่ได้คาดหมายมาก่อนขึ้น และส่งผลกระทบต่อความสามารถในการดำเนินธุรกิจขององค์กร ก่อให้เกิดการหยุดชะงักในการดำเนินงาน เกิดความเสียหายทั้งต่อทรัพย์สินหรือชีวิตของบุคลากรในองค์กร หรืออาจถึงขั้นทำให้ธุรกิจต้องยกเลิกไปก็เป็นได้

เหตุการณ์ต่าง ๆ มีหลากหลายรูปแบบ ตั้งแต่ขนาดเล็กที่เกิดขึ้นจากปัญหาภายในองค์กร ไปจนถึงขนาดใหญ่ที่เกิดขึ้นจากภายนอกองค์กร เช่น ภัยพิบัติทางธรรมชาติ การประท้วง การจลาจล การก่อวินาศกรรม หรือการเปลี่ยนแปลงทางการเมือง เศรษฐกิจ สังคมที่สำคัญเหตุการณ์ต่าง ๆ เหล่านี้ บางเหตุการณ์อาจจะหลีกเลี่ยงได้ ถ้าองค์กรสามารถรับรู้ได้ล่วงหน้า แต่ก็มีหลายเหตุการณ์ที่ไม่อาจหลีกเลี่ยงได้เลย

ดังนั้น ถ้าองค์กรสามารถที่จะคาดการณ์ได้ว่าจะเกิดเหตุการณ์อะไรขึ้นบ้าง ที่จะส่งผลกระทบต่อการดำเนินธุรกิจขององค์กร ก็จะสามารถวางมาตรการป้องกัน เพื่อไม่ให้เกิดหรือถ้าเกิดขึ้นก็จะช่วยลดความเสียหายให้เกิดขึ้นน้อยที่สุดได้

ด้วยเหตุผลดังกล่าว จึงได้มีการพัฒนาแนวทางเกี่ยวกับการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management – BCM) ขึ้นมา เพื่อให้องค์กรได้ใช้ในการสร้างภูมิต้านทานให้กับองค์กร ในการรับมือกับเหตุการณ์ต่าง ๆ ที่อาจจะเกิดขึ้น และส่งผลกระทบต่อการดำเนินธุรกิจขององค์กร

มาตรฐาน มอก. 22301 เป็นหนึ่งในแนวปฏิบัติทางด้านการบริหารความต่อเนื่องทางธุรกิจที่ได้รับการพัฒนาขึ้นมาโดย สำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ.) โดยพัฒนาขึ้นเพื่อใช้เป็นแนวสำหรับองค์กรในการวางแผน การดำเนินการ การติดตาม การทบทวน การฝึกซ้อม การดูแลรักษา และการปรับปรุงระบบการบริหารจัดการความต่อเนื่องทางธุรกิจ

ทั้งนี้ข้อกำหนดต่าง ๆ ในมาตรฐานนี้ สามารถนำไปประยุกต์ใช้ได้ในการองค์กรต่าง ๆ ทุกขนาดและทุกประเภท โดยจะมีการปรับให้เข้ากับความเหมาะสม และความซับซ้อนของธุรกิจ และคำนึงถึงข้อกฏหมาย ระเบียบข้อบังคับ ความต้องการลูกค้า และผู้มีส่วนได้ส่วนเสียขององค์กร
 
การบริหารความต่อเนื่องทางธุรกิจ
การบริหารความต่อเนื่องทางธุรกิจ หรือ Business Continuity Management (BCM) จะหมายถึง การบริหารจัดการแบบองค์รวมที่มีการระบุถึงภัยคุกคามที่มีต่อองค์กร รวมถึงผลกระทบของภัยคุกคามนั้น ๆ อีกทั้งเป็นการสร้างขีดความสามารถขององค์กรให้มีความยืดหยุ่น เพื่อสามารถรับมือและปกป้องผลประโยชน์ของผู้มีส่วนได้ส่วนเสียที่สำคัญ รวมถึงชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างคุณค่าขององค์กร โดยระบบการบริหารจะประกอบด้วย โครงสร้างองค์กร นโยบาย การวางแผนกิจกรรม การกำหนดหน้าที่ความรับผิดชอบ ขั้นตอนการปฏิบัติงาน กระบวนการ และทรัพยากรที่ใช้

กระบวนการต่าง ๆ ในการบริหารความต่อเนื่องทางธุรกิจตามมาตรฐานนี้จะประกอบด้วย การวางแผนระบบ BCM การนำไปปฏิบัติ การติดตามและทบทวนระบบ BCM และการดูแลรักษาและปรับปรุงระบบ BCM ซึ่งจะเป็นการจัดการในแนวทางเดียวกันกับวงจรการบริหารงาน PDCA (Plan – Do – Check – Act) ดังแสดงในรูป

รูปที่ 1 แสดงกระบวนการ BCM

การวางแผนระบบ BCM
ในมาตรฐาน มอก.22301 นี้ จะเริ่มต้นด้วยการระบุให้องค์กรจะต้องมีการจัดทำระบบ BCM ไว้เป็นลายลักษณ์อักษรอย่างชัดเจน รวมถึงมีการนำไปปฏิบัติ ดูแลรักษา และปรับปรุงระบบอย่างต่อเนื่องด้วย
นอกจากนั้น องค์กรจะต้องมีการกำหนดขอบเขตของการทำ BCM วัตถุประสงค์ของการดำเนินธุรกิจอย่างต่อเนื่อง รวมถึงผลิตภัณฑ์และบริการหลักที่อยู่ในขอบเขตของ BCM โดยพิจารณาถึง
• ความต้องการในการดำเนินธุรกิจอย่างต่อเนื่อง
• วัตถุประสงค์ และความจำเป็นขององค์กร
• ระดับความเสี่ยงที่องค์กรสามารถยอมรับได้
• ข้อกฏหมาย ระเบียบข้อบังคับ และข้อตกลง
• ประโยชน์ของผู้มีส่วนได้ส่วนเสียที่สำคัญ

นโยบาย BCM
ผู้บริหารระดับสูงจะมีหน้าที่ความรับผิดชอบในการกำหนดนโยบายของ BCM ที่จะอธิบายถึงวัตถุประสงค์ในการดำเนินธุรกิจอย่างต่อเนื่อง และขอบเขตของความต่อเนื่องทางธุรกิจ โดยผู้บริหารระดับสูงจะต้องแสดงให้เห็นถึงความมุ่งมั่นในการดำเนินการตามนโยบายที่ได้กำหนดไว้ โดยการประกาศนโยบาย BCM สื่อสารให้บุคลากรในองค์กร และที่ดำเนินการในนามขององค์กรได้เข้าใจ และนำไปปฏิบัติ และทำการทบทวนนโยบาย BCM ในช่วงเวลาที่กำหนด หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้น

การจัดสรรทรัพยากร
องค์กรจะต้องมีการกำหนด และจัดสรรทรัพยากรที่จำเป็นอย่างเพียงพอสำหรับการพัฒนาระบบ BCM รวมถึงมีการกำหนดบทบาทหน้าที่และความรับผิดชอบ รวมถึงความรู้ความสามารถที่จำเป็นของบุคลากรต่าง ๆ ที่เกี่ยวข้องกับระบบ BCM ไว้อย่างชัดเจนด้วย นอกจากนั้น ผู้บริหารระดับสูงจะต้องมีการมอบหมายหรือแต่งตั้งผู้บริหารขององค์กร เพื่อมาทำหน้าที่รับผิดชอบในการกำกับดูแลการนำนโยบาย BCM ไปปฏิบัติ รวมถึงการแต่งตั้งบุคลากร หรือทีมงานที่รับผิดชอบในการนำระบบ BCM ไปปฏิบัติ

ความสามารถของบุคลากร
ในส่วนของบุคลากรที่ได้รับมอบหมายให้มีหน้าที่รับผิดชอบในการดูแลความต่อเนื่องทางธุรกิจ จะต้องมีความสามารถอย่างเพียงพอในการดำเนินการ โดยมีการ
• กำหนดความสามารถที่จำเป็นสำหรับบุคลากร
• วิเคราะห์ความจำเป็นในการฝึกอบรมของบุคลากรตามบทบาทหน้าที่และความรับผิดชอบที่ได้รับมอบหมาย
• จัดให้มีการฝึกอบรม และดูแลให้มั่นใจว่าบุคลากรมีความสามารถตามที่กำหนด
• จัดทำ และดูแลจัดเก็บบันทึกของบุคลากรที่แสดงถึงการศึกษา การฝึกอบรม ทักษะ และประสบการณ์ รวมถึงคุณสมบัติอื่น ๆ ที่เกี่ยวข้อง

การสร้างวัฒนธรรมองค์กรด้าน BCM
องค์กรจะต้องมีการสร้างให้เกิดวัฒนธรรมที่ส่งเสริมให้การดำเนินงานของระบบ BCM เป็นส่วนหนึ่งของค่านิยมขององค์กร และการบริหารที่มีประสิทธิผล โดยจะต้อง

• สร้างให้เกิดจิตสำนึกทางด้าน BCM ให้เกิดขึ้นกับบุคลากรในองค์กร โดยให้มีความรู้ ความเข้าใจ และความตระหนักถึง BCM รวมถึงมีการประเมินความมีประสิทธิผลของการดำเนินการอย่างสม่ำเสมอ

• สื่อสารให้บุคลากรในองค์กรได้เห็นถึงความสำคัญของการบรรลุวัตถุประสงค์ของ BCM การปฏิบัติตามนโยบาย BCM และการปรับปรุงระบบอย่างต่อเนื่อง

• ดูแลให้มั่นใจได้ว่าบุคลากรในองค์กร มีความตระหนักถึงการมีส่วนร่วมที่จะทำให้วัตถุประสงค์ BCM ประสบความสำเร็จตามที่กำหนด

เอกสารและบันทึก
เอกสารที่องค์กร ควรจะมีการจัดทำสำหรับระบบ BCM จะประกอบด้วย
• ขอบเขต วัตถุประสงค์ และขั้นตอนการปฏิบัติงานของ BCM
• นโยบาย BCM
• การจัดสรรทรัพยากร
• ความสามารถของบุคลากร และบันทึกการฝึกอบรมที่เกี่ยวข้อง
• การวิเคราะห์ผลกระทบทางธุรกิจ
• การประเมินความเสี่ยง
• กลยุทธ์การสร้างความต่อเนื่องทางธุรกิจ
• โครงสร้างการตอบสนองต่ออุบัติการณ์
• แผนการสร้างความต่อเนื่องทางธุรกิจ (BCP) และแผนการจัดการอุบัติการณ์ (IMP)
• การฝึกซ้อม BCM
• การดูแลรักษา และการจัดการในการเตรียมความพร้อมสำหรับ BCM
• การตรวจประเมินภายใน
• การทบทวนระบบ BCM
• การปฏิบัติการแก้ไข และการปฏิบัติการป้องกัน
• การปรับปรุงอย่างต่อเนื่อง

บันทึกที่องค์กรจัดทำขึ้น เพื่อใช้เป็นหลักฐานแสดงถึงความมีประสิทธิผลของการดำเนินการระบบ BCM และความสอดคล้องตามข้อกำหนดต่าง ๆ จะต้องได้รับการควบคุมด้วย โดยจะต้องมีการจัดทำเอกสารขั้นตอนการปฏิบัติงานที่อธิบายถึงแนวทางที่นำมาใช้ในการควบคุมบันทึกต่าง ๆ ตั้งแต่ การชี้บ่ง การจัดเก็บ การป้องกัน การนำมาใช้งาน ระยะเวลาในการจัดเก็บ และการทำลายบันทึก ทั้งนี้ บันทึกที่จัดทำขึ้นจะต้องอ่านออกได้ง่าย และสามารถนำมาใช้ได้อย่างสะดวก

ทั้งนี้ องค์กรจะต้องมีการจัดทำเอกสารขั้นตอนการปฏิบัติงานสำหรับการควบคุมเอกสารประเภทต่าง ๆ โดยระบุถึง
• การอนุมัติเอกสารก่อนนำมาใช้งาน
• การทบทวน และปรับปรุงเอกสาร รวมถึงการอนุมัติใหม่
• การชี้บ่งถึงการเปลี่ยนแปลง รวมถึงสถานะปัจจุบันของเอกสาร
• การแจกจ่ายเอกสารที่เกี่ยวข้องไปยังจุดปฏิบัติงาน
• การทำให้อ่านได้ง่าย และชี้บ่งได้โดยสะดวก
• การชี้บ่ง และควบคุมเอกสารที่มาจากภายนอก
• การชี้บ่งด้วยวิธีการที่เหมาะสม กรณีจำเป็นที่จะต้องมีการจัดเก็บเอกสารที่ยกเลิกหรือล้าสมัยแล้ว เพื่อป้องกันการนำไปใช้งานโดยไม่ได้ตั้งใจ

การนำไปปฏิบัติ

การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis)
การวิเคราะห์กระทบทางธุรกิจ หรือ Business Impact Analysis (BIA) จะหมายถึง กระบวนการในการวิเคราะห์ถึงกิจกรรมทางธุรกิจ และผลกระทบที่จะเกิดขึ้นจากการหยุดชะงักของกิรกรรมนั้น ๆ โดยการ
1. ระบุถึงกิจกรรม หรือกระบวนการผลิตผลิตภัณฑ์ หรือการให้บริการที่สำคัญ
2. ระบุถึงผลกระทบที่จะเกิดขึ้นจากการหยุดชะงัก และพิจารณาถึงการเปลี่ยนแปลงของผลกระทบเมื่อเวลาผ่านไป
3. กำหนดช่วงเวลาหยุดชะงักที่ยอมรับได้สูงสุดของแต่ละกิจกรรม หรือกระบวนการ
4. จัดกลุ่มกิจกรรม หรือกระบวนการตามลำดับความสำคัญในการฟื้นคืนกลับมาสู่ระดับปกติ
5. ระบุถึงสิ่งที่เกี่ยวข้องทั้งหมดที่มีผลต่อกิจกรรมหรือกระบวนการหลัก รวมถึงผู้ส่งมอบและผู้รับจ้างช่วง
6. กรณีผู้ส่งมอบ และผู้รับจ้างช่วงที่มีผลต่อกิจกรรมหลัก ต้องกำหนดการจัดเตรียมการ BCM เพื่อรองรับผลิตภัณฑ์ หรือบริการที่จัดหาจากผู้ส่งมอบและผู้รับจ้างเหล่านี้ด้วย
7. กำหนดเป้าหมายเวลาในการฟื้นคืนกลับมาสู่สภาพปกติของกิจกรรม หรือกระบวนการหลัก ซึ่งต้องอยู่ภายในช่วงเวลาหยุดชะงักที่ยอมรับได้สูงสุด
8. คาดการณ์ถึงทรัพยากรที่ต้องใช้ในการฟื้นฟูกลับมาของแต่ละกิจกรรม หรือกระบวนการหลัก

ช่วงเวลาหยุดชะงักที่ยอมรับได้สูงสุด หรือ Maximum Tolerable Period of Disruption จะหมายถึง ช่วงเวลาสูงสุดที่ธุรกิจเกิดการหยุดชะงัก โดยหากเกินกว่าช่วงเวลาที่ยอมรับได้นี้จะส่งผลให้ไม่สามารถทำให้ธุรกิจกลับสู่สภาพปกติได้ ทั้งนี้ จะต้องมีการระบุถึง
• ระยะเวลาสูงสุดที่ใช้ในการเริ่มฟื้นฟูให้คืนกลับมาของกิจกรรม หรือกระบวนการต่าง ๆ หลังจากที่เริ่มหยุดชะงัก
• ระยะเวลาสูงสุดที่ใช้ในการฟื้นฟูกลับมาถึงระดับต่ำสุดที่สามารถดำเนินการได้
• ระยะเวลาที่ใช้ในการฟื้นฟูกลับมาสู่ระดับปกติ

ส่วนระยะเวลาเป้าหมายในการฟื้นคืนกลับมาสู่สภาพปกติ หรือ Recovery Time Objectives จะเป็นระยะเวลาเป้าหมายที่จะใช้ในการดำเนินการเพื่อให้การส่งมอบผลิตภัณฑ์ บริการ หรือกิจกรรม ได้กลับเข้าสู่ภาวะปกติภายหลังจากเกิดอุบัติการณ์ หรือ Incident ขึ้น โดยอุบัติการณ์จะหมายถึง เหตุการณ์ที่เมื่อเกิดขึ้นแล้วจะส่งผลให้เกิดการหยุดชะงักทางธุรกิจ เกิดความสูญเสีย เหตุฉุกเฉิน หรือภาวะวิกฤตกับองค์กรได้

การประเมินความเสี่ยง
นอกจากนั้น องค์กรจะต้องมีการกำหนดวิธีการที่จะนำมาใช้ในการประเมินความเสี่ยง เพื่อให้สามารถรับรู้ถึงจุดอ่อน และภัยคุกคามที่มีต่อกิจกรรมหรือกระบวนการหลักขององค์กร รวมถึงทรัพยากรที่จะต้องใช้ และผลิตภัณฑ์หรือบริการที่จัดหาจากผู้ส่งมอบ และผู้รับจ้าง

การกำหนดทางเลือก
เมื่อทำการวิเคราะห์ความเสี่ยงแล้ว องค์กรจะต้องมีการระบุถึงวิธีการดำเนินการกับความเสี่ยงในแต่ละกิจกรรม หรือกระบวนการหลัก ซึ่งประกอบด้วย
• การลดโอกาสของการหยุดชะงัก
• การลดระยะเวลาของการหยุดชะงัก
• การลดผลกระทบของการหยุกชะงักที่มีต่อผลิตภัณฑ์ และบริการที่สำคัญ

ทั้งนี้องค์กรจะต้องเลือกวิธีการในการลดความเสี่ยงในแต่ละกิจกรรมที่สำคัญ เพื่อให้ความเสี่ยงอยู่ในระดับที่ยอมรับ และสามารถนำไปปฏิบัติได้

การกำหนดกลยุทธ์การสร้างความต่อเนื่องทางธุรกิจ
ในขั้นตอนถัดไป องค์กรจะต้องกำหนดโครงสร้างในการตอบสนองต่ออุบัติการณ์ โดยมีรูปแบบและวิธีการที่จะช่วยให้สามารถฟื้นฟูกลับสู่สภาพเดิมอย่างมีประสิทธิผล จากนั้นกำหนดวิธีการที่จะช่วยให้แต่ละกิจกรรม หรือกระบวนการที่สำคัญ สามารถฟื้นคืนสู่สภาพเดิมได้ในระยะเวลาเป้าหมายที่กำหนดไว้ภายใต้สิ่งที่ได้มีการเตรียมการไว้ รวมถึงทรัพยากรที่ต้องใช้ และผลิตภัณฑ์ และบริการจากผู้ส่งมอบ และผู้รับจ้าง สุดท้ายองค์กร จะต้องกำหนดวิธีการในการบริหารความสัมพันธ์กับผู้มีส่วนได้ส่วนเสีย และหน่วยงานภายนอกที่มีส่วนร่วมในการฟื้นฟูสภาพขององค์กร

การจัดทำแผน BCM และการนำไปปฏิบัติ
องค์กรจะต้องมีการนำกลยุทธ์ต่าง ๆ ที่ได้กำหนดไว้ มาใช้ในการจัดทำแผน BCM โดยหากเกิดอุบัติการณ์ขึ้น จะได้มีการจัดการอย่างเหมาะสม เพื่อให้กิจกรรมหรือกระบวนการหลักยังสามารถดำเนินการได้อย่างต่อเนื่อง โดยการดำเนินการจะประกอบด้วย

1. กำหนดโครงสร้างการตอบสนองต่ออุบัติการณ์
องค์กรจะต้องมอบหมายให้มีผู้รับผิดชอบในการตอบสนองต่ออุบัติการณ์ พร้อมกำหนดหน้าที่ ความรับผิดชอบ และความสามารถในการจัดการกับอุบัติการณ์นั้น ๆ ทั้งนี้ การจัดโครงสร้างองค์กร เพื่อการตอบสนองต่ออุบัติการณ์ จะกำหนดให้มีบุคลากรที่ทำหน้าที่
• ประเมินสถานการณ์ ลักษณะ ขอบเขต และแนวโน้มของอุบัติการณ์
• ตัดสินใจในการใช้แผนตอบสนองต่ออุบัติการณ์ที่เหมาะสม
• จัดทำแผนงาน กระบวนการ และขั้นตอนการปฏิบัติงานในการเริ่มต้น การปฏิบัติการ การประสานงาน และการสื่อสารในการตอบสนองต่ออุบัติการณ์
• จัดเตรียมทรัพยากร เพื่อดำเนินการตามแผนงาน กระบวนการ และขั้นตอนการปฏิบัติงานในการจัดการกับอุบัติการณ์
• สื่อสารกับผู้มีส่วนได้ส่วนเสีย

2. จัดทำแผนความต่อเนื่องทางธุรกิจ (BCP)
แผนความต่อเนื่องทางธุรกิจ หรือ Business Continuity Plan (BCP) จะเป็นเอกสารที่อธิบายถึงขั้นตอน และข้อมูลที่จะช่วยให้องค์กรมีความพร้อมเมื่อเกิดอุบัติการณ์ (Incident) เพื่อให้สามารถดำเนินกิจกรรม หรือกระบวนการหลักตามที่ได้กำหนดไว้ ทั้งนี้ องค์กรจะต้องมีการจัดทำแผนไว้เป็นลายลักษณ์อักษร โดยแต่ละแผนงานจะต้อง
• กำหนดวัตถุประสงค์ และขอบเขตของการดำเนินการ
• เป็นที่รับรู้ และเข้าใจได้ของผู้ที่จะนำไปใช้
• กำหนดบุคคลที่รับผิดชอบในการทบทวน ปรับปรุง และอนุมัติ
• เชื่อมโยงกับการเตรียมการ เพื่อรองรับเหตุฉุกเฉินของหน่วยงานภายนอกที่เกี่ยวข้อง

รายละเอียดของแผนความต่อเนื่องทางธุรกิจ จะประกอบด้วย
• การชี้บ่งสายงานการสื่อสาร
• ภารกิจ และข้อมูลที่ใช้อ้างอิงที่สำคัญ
• บทบาทและความรับผิดชอบของผู้ที่มีอำนาจหน้าที่ทั้งในขณะที่เกิด และภายหลังการเกิดอุบัติการณ์
• แนวทางและหลักเกณฑ์ ซึ่งผู้มีอำนาจหน้าที่ตามที่กำหนดไว้ในแต่ละแผนงาน สามารถประกาศใช้แผนงานในแต่ละสถานการณ์
• วิธีการที่จะประกาศใช้แต่ละแผน
• จุดนัดพบ และสถานที่สำรอง รายชื่อบุคคลที่ต้องติดต่อที่เป็นปัจจุบันและรายละเอียด เพื่อใช้ในการระดมพลจากหน่วยงานและองค์กรต่าง ๆ ที่เกี่ยวข้อง และทรัพยากรที่จำเป็นต้องใช้ เพื่อรองรับเหตุการณ์ต่าง ๆ
• กระบวนการที่ใช้ เพื่อการถอนตัวออกเมื่อเหตุการณ์ยุติลง
• รายละเอียดสำคัญที่ใช้ในการติดต่อผู้มีส่วนได้ส่วนเสียหลักที่สำคัญ
• รายละเอียดที่ใช้ในการจัดการกับผลกระทบที่ตามมาทันทีที่ธุรกิจหยุดชะงัก โดยพิจารณาถึงสวัสดิการของบุคคลต่าง ๆ ทางเลือกสำหรับกลยุทธ์และแนวปฏิบัติเพื่อใช้ตอบสนองต่อการหยุดชะงัก การป้องกันการที่ไม่สามารถดำเนินกิจกรรมหรือกระบวนการหลักได้ หรือความสูญเสียที่อาจเพิ่มขึ้น
• รายละเอียดที่ใช้เพื่อการจัดการกับอุบัติการณ์ รวมถึงการจัดการกับประเด็นต่าง ๆ ระหว่างเกิดอุบัติการณ์ รวมถึงกระบวนการที่ทำให้กิจกรรม หรือกระบวนการหลักสามารถดำเนินการต่อเนื่องและฟื้นคืนสภาพได้
• รายละเอียดเกี่ยวกับวิธีการสื่อสารภายใต้สถานการณ์ต่าง ๆ ขององค์กรกับพนักงาน เจ้าหน้าที่และญาติ ผู้มีส่วนได้ส่วนเสีย รวมถึงการติดต่อในกรณีฉุกเฉิน
• รายละเอียดเกี่ยวกับพิธีการปฏิสัมพันธ์กับสื่อเมื่อเกิดอุบัติการณ์ขึ้น ต้องครอบคลุมถึงกลยุทธ์การสื่อสารเกี่ยวกับอุบัติการณ์
• วิธีการบันทึกข้อมูลที่สำคัญเกี่ยวกับอุบัติการณ์ การดำเนินการ และการตัดสินใจที่ได้ดำเนินการไปแล้ว
• รายละเอียดเกี่ยวกับการดำเนินการและภารกิจที่จำเป็นต้องใช้ เพื่อให้สามารถดำเนินธุรกิจได้อย่างต่อเนื่อง และฟื้นคืนสู่สภาพปกติตามช่วงเวลาต่าง ๆ
• จัดลำดับความสำคัญของกิจกรรม หรือกระบวนการหลักในการฟื้นคืนสภาพโดยพิจารณาจากกิจกรรม หรือกระบวนการหลัก ระยะเวลา และระดับการฟื้นคืนที่จำเป็นในการดำเนินธุรกิจอย่างต่อเนื่อง

3. การฝึกซ้อม การรักษา และการทบทวนการจัดเตรียมการเกี่ยวกับ BCM
องค์กรจะต้องจัดให้มีการดำเนินการฝึกซ้อม ทบทวน และปรับปรุงให้ทันสมัย เพื่อให้มั่นใจได้ว่าระบบ BCM ที่ได้จัดเตรียมไว้ สามารถนำไปปฏิบัติได้อย่างมีประสิทธิผลตามที่ต้องการ โดยการ
• กำหนดให้มีการฝึกซ้อมในขอบเขตของระบบ BCM
• มีโปรแกรมการฝึกซ้อมที่ผู้บริหารระดับสูงเห็นชอบ เพื่อให้มั่นใจว่าการฝึกซ้อมจะมีการดำเนินการตามช่วงเวลาที่กำหนดไว้ และเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญเกิดขึ้น
• ดำเนินการฝึกซ้อมในทุกเรื่องที่เกี่ยวข้องในแต่ละสถานการณ์ เพื่อทดสอบ ยืนยันสิ่งที่ได้มีการเตรียมการไว้นั้น ทำให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง
• วางแผนเพื่อให้ความเสี่ยงอันเนื่องมาจากการฝึกซ้อมให้เกิดขึ้นน้อยที่สุด
• กำหนดเป้าหมาย และวัตถุประสงค์ของการฝึกซ้อมทุกครั้ง
• ดำเนินการทบทวนหลังการฝึกซ้อมทุกครั้ง เพื่อประเมินการบรรลุเป้าหมายของการฝึกซ้อมนั้น ๆ
• จัดทำเอกสารรายงานการฝึกซ้อม ผลลัพธ์ และข้อมูลป้อนกลับ รวมถึงสิ่งที่ต้องดำเนินการ
• การรักษา และทบทวนการเตรียมการเกี่ยวกับ BCM
• องค์กรจะต้องมีการทบทวนการเตรียมการเกี่ยวกับ BCM ตามช่วงเวลาที่กำหนด และเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญเกิดขึ้น เพื่อให้มั่นใจว่ายังมีความสามารถที่เหมาะสม เพียงพอ และมีประสิทธิผลอย่างต่อเนื่อง
• องค์กรต้องทบทวนการเตรียมการ BCM อย่างสม่ำเสมอ โดยการประเมินตนเอง หรือการตรวจประเมิน

นอกจากนั้น เมื่อมีอุบัติการณ์ที่ทำให้ต้องประกาศใช้แผนความต่อเนื่องทางธุรกิจ (BCP) และแผนการจัดการอุบัติการณ์ (IMP) แล้ว องค์กรจะต้องจัดให้มีการทบทวนภายหลังการเกิดอุบัติการณ์เพื่อ
• ชี้บ่งลักษณะและสาเหตุของการเกิดอุบัติการณ์
• ประเมินความเพียงพอในการดำเนินการต่อการตอบสนองอุบัติการณ์ที่เกิดขึ้น
• ประเมินความมีประสิทธิผลในการบรรลุเป้าหมายระยะเวลาที่ใช้ในการฟื้นคืนสภาพ
• ประเมินความเพียงพอของการเตรียมความพร้อมของพนักงาน เจ้าหน้าที่ ต่อการเกิดอุบัติการณ์
• ระบุถึงสิ่งที่จะต้องปรับปรุงในการเตรียมการ BCM

การติดตามและการทบทวนระบบ BCM

การตรวจประเมินภายใน (Internal Audit)
องค์กรจะต้องดำเนินการตรวจประเมินภายในระบบ BCM ตามช่วงเวลาที่กำหนด เพื่อชี้ให้เห็นว่าระบบ BCM ได้ดำเนินการตามสิ่งที่ได้จัดเตรียมไว้ และสอดคล้องกับข้อกำหนดต่าง ๆ อีกทั้งมีการนำไปปฏิบัติและรักษาไว้อย่างเหมาะสม รวมถึงสามารถบรรลุนโยบายและวัตถุประสงค์ BCM ขององค์กรอย่างมีประสิทธิผล ทั้งนี้ จะต้องมีการรายงานผลการตรวจประเมินภายในต่อผู้บริหารขององค์กรด้วย

ในการตรวจประเมินภายใน จะต้องมีการวางแผนการตรวจประเมินโดยคำนึงถึงการประเมินผลกระทบทางธุรกิจ (BIA) การประเมินความเสี่ยง การควบคุมมาตรการลดความเสี่ยง และผลจากการตรวจประเมินครั้งก่อน ทั้งนี้ องค์กรจะต้องมีการจัดทำเอกสารขั้นตอนการปฏิบัติงานในการตรวจประเมินภายใน

โดยระบุถึงหน้าที่ความรับผิดชอบ ความสามารถในการดำเนินการ และข้อกำหนดที่เกี่ยวกับการวางแผนการดำเนินการตรวจสำหรับในการจัดทำแผน และตรวจประเมิน การรายงานผล และการเก็บรักษาบันทึกที่เกี่ยวข้องไว้ รวมถึงการกำหนดเกณฑ์ ขอบเขต ความถี่ และวิธีการตรวจประเมิน โดยองค์กรจะต้องคัดเลือกผู้ตรวจประเมิน และดำเนินการให้การตรวจประเมินได้ข้อมูลที่เป็นจริงและเป็นกลาง

การทบทวนการบริหารในระบบ BCM
องค์กรจะต้องจัดให้มีการทบทวนระบบ BCM ตามช่วงเวลาที่ได้กำหนดไว้ รวมถึงเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้น เพื่อให้มั่นใจได้ว่าระบบ BCM ยังมีความเหมาะสม เพียงพอ และมีประสิทธิผลอย่างต่อเนื่อง โดยในการทบทวนนี้ จะต้องครอบคลุมถึงการประเมินโอกาสในการปรับปรุง และความจำเป็นในการเปลี่ยนแปลงระบบ BCM นโยบายและวัตถุประสงค์ BCM ด้วย สิ่งที่จะต้องนำมาทบทวนโดยฝ่ายบริหารจะประกอบด้วย

• ผลการตรวจประเมิน และการทบทวนระบบ BCM
• ข้อมูลป้อนกลับจากผู้มีส่วนได้ส่วนเสีย รวมถึงความคิดเห็นจากผู้สังเกตการณ์
• เทคนิค ผลิตภัณฑ์ หรือขั้นตอนการปฏิบัติงานที่สามารถนำมาใช้ในการปรับปรุงสมรรถนะ และประสิทธิผลของระบบ BCM
• สถานะของการปฏิบัติการแก้ไข และการปฏิบัติการป้องกัน
• ระดับความเสี่ยงที่เหลืออยู่ และระดับความเสี่ยงที่ยอมรับได้
• จุดอ่อนหรือภัยคุกคาม ที่ยังไม่สำคัญเพียงพอสำหรับการนำมาพิจารณาในการประเมินความเสี่ยงที่ผ่านมา
• การเปลี่ยนแปลงทั้งภายในและภายนอกที่มีผลกระทบต่อระบบ BCM
• ข้อเสนอแนะเพื่อการปรับปรุง
• ผลของการฝึกซ้อม
• วิธีการและแนวปฏิบัติที่เกิดขึ้นใหม่
• บทเรียนจากอุบัติการณ์ต่าง ๆ ที่เกิดขึ้น รวมถึงผลที่เกิดขึ้นจากการศึกษา และโปรแกรมการสร้างจิตสำนึก

ทั้งนี้ ผลการทบทวนจะเป็นการตัดสินใจและการดำเนินการเกี่ยวกับ
• การปรับเปลี่ยนขอบเขตของระบบ BCM
• การปรับปรุงประสิทธิผลของระบบ BCM
• การปรับเปลี่ยนกลยุทธ์ BCM และขั้นตอนการปฏิบัติงานที่จำเป็นสำหรับการตอบสนองต่อเหตุการณ์ทั้งภายใน และภายนอก ซึ่งอาจส่งผลกระทบต่อระบบ BCM รวมถึงการเปลี่ยนแปลงต่าง ๆ ที่เกี่ยวข้อง เช่น ข้อกำหนดทางธุรกิจ ข้อกำหนดในการฟื้นคืนสู่สภาพปกติ กระบวนการทางธุรกิจ ซึ่งมีผลต่อข้อกำหนดทางธุรกิจที่มีอยู่ กฏหมาย ระเบียบข้อบังคับ และข้อกำหนดตามสัญญา หรือระดับความเสี่ยง หรือระดับความเสี่ยงที่ยอมรับได้
• ทรัพยากรที่จำเป็น
• ข้อกำหนดด้านทุนและงบประมาณ

การดูแลรักษาและปรับปรุงระบบ BCM
ในการดูแลรักษาและปรับปรุงระบบ BCM ขององค์กร จะประกอบด้วย การปฏิบัติการแก้ไข การปฏิบัติการป้องกัน และการปรับปรุงระบบ ซึ่งจะต้องสอดคล้องกันกับนโยบาย และเป้าหมายในการสร้างความต่อเนื่องของธุรกิจ และแสดงถึงความเปลี่ยนแปลงที่เกิดขึ้นไว้ในเอกสารของระบบ BCM

การปฏิบัติการป้องกัน (Preventive Action)
การดำเนินการปฏิบัติการป้องกัน จะเป็นการดำเนินการที่มีเป้าหมายเพื่อเป็นการป้องกันการเกิดข้อบกพร่องขึ้น โดยจะมีการจัดทำเป็นเอกสารขั้นตอนการปฏิบัติงานสำหรับการปฏิบัติการป้องกัน โดยเอกสารนี้จะกำหนดถึง

• การระบุถึงข้อบกพร่องที่มีโอกาสเกิดขึ้น รวมถึงสาเหตุของข้อบกพร่องนั้น ๆ
• การกำหนดและดำเนินมาตรการปฏิบัติการป้องกัน
• การบันทึกผลการดำเนินการ
• การทบทวนผลการดำเนินการปฏิบัติการป้องกัน
• การระบุถึงความเสี่ยงที่เปลี่ยนแปลงไป และการให้ความสำคัญกับการเปลี่ยนแปลงความเสี่ยงที่มีนัยสำคัญ
• การสื่อสารให้บุคลากรที่เกี่ยวข้องได้รับทราบถึงข้อบกพร่องและการดำเนินการปฏิบัติการป้องกัน
• การพิจารณาถึงลำดับความสำคัญของการดำเนินการ โดยประเมินจากการประเมินความเสี่ยง และผลกระทบทางธุรกิจ

การปฏิบัติการแก้ไข (Corrective Action)
ในการดำเนินการปฏิบัติการแก้ไข จะมีเป้าหมายที่จะป้องกันการเกิดขึ้นซ้ำของข้อบกพร่องต่าง ๆ ที่เกิดขึ้นจากการดำเนินการตามระบบ BCM โดยจะต้องมีการจัดทำเป็นเอกสารขั้นตอนการปฏิบัติงานสำหรับการปฏิบัติการแก้ไขไว้อย่างชัดเจนด้วย ทั้งนี้ สิ่งที่จะต้องระบุไว้ในเอกสารขั้นตอนการปฏิบัติงาน จะประกอบด้วย

• การระบุถึงข้อบกพร่องที่เกิดขึ้น
• การค้นหาสาเหตุของข้อบกพร่องนั้น ๆ
• การพิจารณาถึงความจำเป็นในการดำเนินการ เพื่อให้มั่นใจได้ถึงความเหมาะสมของการดำเนินการ
• การกำหนดและดำเนินการปฏิบัติการแก้ไข
• การบันทึกผลลัพธ์ของการปฏิบัติการแก้ไข
• การทบทวนผลการปฏิบัติการแก้ไขที่ได้มีการดำเนินการไปแล้ว

การปรับปรุงอย่างต่อเนื่อง
การปรับปรุงอย่างต่อเนื่องความมีประสิทธิผลของระบบ BCM จะดำเนินการโดยผ่าน
• การทบทวนนโยบายและวัตถุประสงค์ในการสร้างความต่อเนื่องทางธุรกิจ
• ผลลัพธ์ที่ได้จากการตรวจประเมิน
• ผลจากการวิเคราะห์เหตุการณ์ที่ได้มีการเฝ้าติดตาม
• การปฏิบัติการแก้ไข และการปฏิบัติการป้องกัน
• ผลของการทบทวนการบริหารจัดการ

จากประเด็นต่าง ๆ ของข้อกำหนดในมาตรฐาน มอก.22301 นี้ จะเห็นได้ว่ามุ่งเน้นให้องค์กรได้มีการบริหารจัดการอย่างเป็นระบบ ในการจัดทำแนวทางในการป้องกัน และลดผลกระทบจากการเกิดอุบัติการณ์ต่าง ๆ ที่จะส่งผลให้เกิดการหยุดชะงัก และความเสียหายขึ้นกับองค์กรให้ไม่เกิดขึ้นเลยหรือเกิดขึ้นน้อยที่สุด ดังนั้น องค์กรต่าง ๆ สามารถที่จะนำมาตรฐานนี้ไปประยุกต์ใช้ได้เพื่อให้มั่นใจได้ถึงโอกาสที่สูงขึ้นในการสร้างความสำเร็จตามวัตถุประสงค์ขององค์กรตามที่ได้กำหนดไว้

สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.

ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด

Articles Category
WEB EDITOR
Sedthakarn Anuwatwong
 sedthakarn@se-ed.com

 Teerin Yoochareon
 teerin@se-ed.com

 WEB MASTER
Thitikorn Samranrit
 thitikorn@se-ed.com
SE-EDUCATION PLC.,LTD.
Thailandindustry.com Dept.
 itr@se-ed.com
 Tel: +66-2-739-8190
Fax: +66-2-739-8117-8

ADVERTISING DEPARTMENT
Wannapa Klaibubpha
 Wannapa@se-ed.com
 Tel: +66-2-739-8124
Mobile: 098-253-9319

1858/87-90 Interlink Tower, 19 th Floor,
Bangna-Trad Rd., Bangkok 10260, Thailand

ABOUT US

Thailandindustrycom_official
Copyright © 2016 Thailandindustry.com . All right reserved.