MENU
TH EN

ระบบการจัดการด้านความต่อเนื่องทางธุรกิจ ISO 22301

Title Thumbnail: จาก reg7.pwa.co.th/kmr7/?attachment_id=417,  Hero Image: จาก.tuv.com//kazakhstan/en/business-continuity-management-bcm.html, วันที่เข้าถึง 4 พ.ย.2563

ระบบการจัดการด้านความต่อเนื่องทางธุรกิจโดยยึดแนวทาง ISO 22301
Business Continuity Management System: ISO 22301
First revision: Nov.04, 2020
Last change: Dec.12, 2020

เหตุผลและความจำเป็น (Rationale)

       ด้วยการหยุดชะงักอย่างไม่คาดคิด เช่น หายนะทางธรรมชาติ ไฟดับ การนัดหยุดงาน สายโซ่อุปทานชะลอการส่งมอบ โรคระบาดฯ ซึ่งส่งผลกระทบต่อการดำเนินธุรกิจขององค์กร.

       ระบบการจัดการด้านความต่อเนื่องทางธุรกิจ (BCM) เป็นกระบวนการช่วยจัดการด้านความเสี่ยงต่าง ๆ เพื่อสร้างความมั่นใจว่าการดำเนินงานขององค์กรมีความราบรื่นหรือส่งมอบบริการ. สามารถดำเนินธุรกิจในส่วนงานที่วิกฤติต่อไปได้ และทำการแก้ไขเยี่ยวยาได้อย่างมีประสิทธิผลได้ในระยะต่อไป การนำระบบ BCM ไปใช้ได้อย่างเหมาะสมนั้น จะช่วยปกป้องระบบธุรกิจที่สำคัญขององค์กร ซึ่งมีความจำเป็นที่จะต้องธำรงรักษาการดำเนินงานเอาไว้, และอนุญาตให้ผลิตภัณฑ์และบริการมีความต่อเนื่อง, อันนำไปสู่การรักษาส่วนแบ่งตลาด ชื่อเสียง และตราผลิตภัณฑ์ขององค์กรไว้.

       ระบบ BCM ที่ประสบความสำเร็จได้นั้น จะต้องได้รับการยอมรับว่าเป็นส่วนสำคัญของกระบวนการดำเนินธุรกิจปกติขององค์กร. แผนขององค์กรควรจะแสดงความเกี่ยวเนื่องในเชิงรุกของการจัดการ, การปันส่วนทรัพยากรที่เหมาะสมเพียงพอ และมีความมุ่งมั่นในการบริหารจัดการ BCM.
  • ISO 22301 เป็นกรอบการทำงานระดับนานาชาติ และเป็นการเทียบเคียง (Benchmarking) พัฒนา แนะนำไปสู่ธุรกิจให้สามารถระบุภัยคุกคาม ที่มีนัยสำคัญต่อผลิตภัณฑ์และบริการขององค์กร. เพื่อสร้างระบบสำรอง (Backup) ที่มีประสิทธิผลต่าง ๆ และกระบวนการต่าง ๆ ที่จะปกป้องประโยชน์ของผู้ที่เกี่ยวข้อง.
  • BCM จะให้แนวทางความต่อเนื่องทางธุรกิจที่เป็นทางการ ซึ่งจะรักษาการดำเนินงานทางธุรกิจในช่วงเวลาและรองรับกับการหยุดชะงัก (Disruption). ซึ่ง BCM จะหาแนวทางที่จะลดผลกระทบที่มีต่อผลิตภัณฑ์และบริการ. สร้างความมั่นใจว่าเรายังสามารถส่งมอบและกู้คืนสู้สภาวะปกติได้ทันท่วงที.
  • ISO 22301 จะระบุเฉพาะถึงข้อกำหนดในการวางแผน, นำไปปฏิบัติ, ติดตาม, ทบทวน, และปรับปรุงการจัดการความต่อเนื่องทางธุรกิจของบริษัทฯ . ด้วยกรอบ BCM อย่างเป็นทางการนี้และการจัดทำแผนต่าง ๆ ที่ได้ทดสอบเป็นอย่างดีแล้วนั้น, ซึ่งจะลดความไม่แน่นอนและความสับสนต่าง ๆ ลง.
  • ISO 22301 ครอบคลุมทุกเฟสของการดำเนินการและปฏิบัติการของระบบความต่อเนื่องทางธุรกิจ, และให้กรอบการทำงานที่สามารถช่วยองค์กรทำงานต่อไปนี้สำเร็จลุล่วง:-
    • พัฒนานโยบายองค์กรสำหรับการกู้คืนงานหลักทางธุรกิจอย่างมีประสิทธิผล.
  • จัดสร้าง วางเป้าหมาย และวัตถุประสงค์ต่าง ๆ เพื่อบรรลุเป้าประสงค์ของนโยบาย:-
    • กำหนดความเสี่ยงด้านธุรกิจและการดำเนินงานต่าง ๆ และผลกระทบทางธุรกิจที่มีความสัมพันธ์กัน (Perform Risk Assessment - RA) และการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Assessment - BIA).
    • กำหนดกลยุทธ์ความต่อเนื่องทางธุรกิจ และพัฒนาแผนความต่อเนื่องทางธุรกิจต่าง ๆ (develop Business Continuity Plan(s)) บนฐานที่เป็นผลลัพธ์มาจากการประเมินความเสี่ยง (Risk Assessment - RA) และการประเมินผลกระทบทางธุรกิจ (Business Impact Assessment - BIA) และการจัดวางตำแหน่งสู่นโยบายความต่อเนื่องทางธุรกิจ (Business Continuity Policy หรือ BC policy) และวัตถุประสงค์ต่าง ๆ .
    • จัดตั้งและปฏิบัติการตามขั้นตอนความต่อเนื่องทางธุรกิจ.
    • กำหนดทรัพยากรที่จำเป็นเพื่อสร้างความมั่นใจต่อการตระเตรียมอย่างเร่งด่วนและการตอบสนองที่เหมาะสม.
    • ดำเนินการทดสอบและฝึกฝนตามแผนความต่อเนื่องทางธุรกิจ (BC plan) ในการกำหนดขั้นตอนและแผนด้านความต่อเนื่องทางธุรกิจ จัดวางตำแหน่งตามวัตถุประสงค์ต่าง ๆ ที่มีแนวโน้มท่าทีว่าจะกู้คืนได้.
    • ติดตาม ตรวจวัด และวิเคราะห์คุณลักษณะหลัก ๆ ที่ส่งผลกระทบต่อแผนการกู้คืน (Recovery plan).
    • ทบทวนความเหมาะสม, ความเพียงพอและความมีประสิทธิผลของระบบการจัดการความต่อเนื่องทางธุรกิจ.
    • ปรับปรุงอย่างต่อเนื่องในเรื่องขีดความสามารถและผลการดำเนินงานความต่อเนื่องทางธุรกิจของบริษัทฯ .

ประโยชน์ของ ISO 22301

       ด้วยการนำ ISO 22301 ไปใช้บังคับในระบบการจัดการด้านความต่อเนื่องทางธุรกิจนั้น องค์กรสามารถบรรลุผลสำเร็จได้ตามเป้าประสงค์ดังนี้:-
  • แนะนำองค์กรให้ใช้วิธีการอันเป็นระบบ (Systematic Approach) ในการพัฒนา นำไปปฏิบัติ จัดการ ธำรงรักษา และปรับปรุงโปรแกรมความต่อเนื่องทางธุรกิจ.
  • ให้ความมั่นใจว่าเราอยู่บนเส้นทาง (การจัดการด้านความต่อเนื่องทางธุรกิจ) ที่ถูกต้องอยู่.
  • ช่วยองค์กรกำหนดและทำความเข้าใจกับความเสี่ยงต่าง ๆ ที่อาจจะสามารถทำให้ธุรกิจมีผลกระทบและหยุดชะงักได้.
  • สร้างความมั่นใจและให้ความเชื่อมั่นแก่พนักงานและลูกค้า.
  • การออกใบรับรองด้วยการประเมินที่เป็นอิสระ อันจะเป็นเครื่องหมายถึงความมุ่งมั่นขององค์กร, สร้างความมั่นใจในความต่อเนื่องของธุรกิจและการบริการสู่ลูกค้า.
  • เอื้ออำนวยให้การสื่อสารภายในองค์กรกว้างขวางมากขึ้น อันมีความจำเป็นสำหรับการตระเตรียมต่อเหตุการณ์ต่าง ๆ อันไม่คาดคิดและเหตุการณ์อันไม่เป็นที่ยินดีนัก.
  • ส่งเสริมการตระหนักรู้ถึงความสำคัญของการกู้คืนอย่างราบรื่นและรวดเร็ว.
  • ธำรงรักษาคุณภาพและประสิทธิภาพ แม้แต่เมื่อขณะมีอุบัติภัยเกิดขึ้นอยู่ก็ตาม.
  • การประเมินวัตถุประสงค์และการจัดลำดับความสำคัญในการกระจายทรัพยากรและการดำเนินการที่มีความซับซ้อน.
  • จัดให้มีการบูรณาการร่วมกับระบบการจัดการองค์กรอื่น ๆ .
  • กำหนดโอกาสต่าง ๆ สำหรับการปรับปรุงทั่วทั้งองค์กร.
  • ได้รับความเชื่อมั่นจากผู้ที่เกี่ยวข้องจากการนำแนวปฏิบัติที่เป็นเลิศ (Best Practices) ไปปฏิบัติสำหรับการต่อเนื่องทางธุรกิจ.
       ISO 22301 อันเป็นตัวแบบการจัดการความต่อเนื่องทางธุรกิจนั้น สามารถช่วยให้องค์กรต่าง ๆ จัดการทรัพยากรอันมีจำกัดได้ดีขึ้นในปัจจุบัน ในขณะที่ ISO 22301 จะสนับสนุนความพยายามในระยะยาวที่จะปรับปรุงความยืดหยุ่นด้วยเทคโนโลยี (Improve resilliency with technology).


จะตั้งระบบการจัดการด้านความต่อเนื่องทางธุรกิจตามแนวปฏิบัติ ISO 22301 ได้อย่างไร? (Establishing an ISO 22301 compliant business continuity management system?)


       การพัฒนาและการดำเนินการตามระบบการจัดการด้านความต่อเนื่องทางธุรกิจนั้นเป็นสิ่งสำคัญที่เราจะต้องดำเนินการ. สำหรับเหตุผล, คือ ความมุ่งมั่นและเป็นการสนับสนุนผู้บริหารขององค์กรที่กำลังประสบภาวะวิกฤติ.
       ขณะที่งานที่ทำอยู่นั้น จะกระจายแจกจ่ายแก่คณะที่ดำเนินการ. ความมุ่งมั่นของฝ่ายจัดการที่เพียรพยายามจะต้องมีความชัดเจน เพื่อว่าทีมงานได้มีอำนาจในการดำเนินงานตามกิจกรรมที่ได้วางแผนและมีความพยายามต่าง ๆ ไว้.
       เมื่อความมุ่งมั่นจากฝ่ายจัดการได้ถ่ายทอดลงมา, ทีมงานที่จะดำเนินการก็จะจัดตั้งขึ้น, ประกอบด้วยบุคลากรทั่วทั้งองค์กร. โดยอุดมคติแล้ว, บุคคลที่เข้าร่วมทีมงานนั้นประกอบด้วย บุคลากรจากฝ่ายปฏิบัติการ เทคโนโลยีสารสนเทศ ฝ่ายสื่อสารภายในองค์กร-(ประชาสัมพันธ์) ความเสี่ยงและการควบคุม ทรัพยากรมนุษย์ จัดซื้อ รวมทั้งบุคลากรจากแผนกซ่อมบำรุงด้วย.
       เป้าประสงค์ในการจัดตั้งทีมงาน ก็เป็นเช่นเดียวกับตารางการประชุมปกติทั่วไป สามารถช่วยสร้างความมั่นใจถึงความพยายามต่าง ๆ ของทีมงาน ที่ได้ปฏิบัติงานตามแนวทางที่วางไว้. ในตอนสุดท้ายของขั้นตอนแรกก็คือการจัดตั้งระบบการจัดการความต่อเนื่องทางธุรกิจในการกำหนดทางเลือกที่เป็นอยู่ทั้งหมดหรือบางส่วน.
       ทรัพยากรและไซต์งานต่าง ๆ บางทีอาจจะเหมาะสำหรับองค์กรในการจัดการด้านการหยุดชะหงัก (Disruption) ได้. นี่ก็คล้ายกับว่าได้รวมสาธารณูปการทางกายภาพต่าง ๆ , เช่น ที่นั่งทำงานและพื้นที่ภายในองค์กรซึ่งปัจจุบันไม่ได้ใช้กัน. เพิ่มเติมว่า, ทีมงานที่จะปฏิบัตินี้นั้นควรต้องระบุอุปกรณ์และระบบต่าง ๆ ที่อาจจะอยู่ในภาวะวิกฤติ.
       เมื่อขั้นตอนแรกเสร็จสมบูรณ์แล้ว, ก็เป็นการดำเนินงานและบำรุงรักษาตามแนวปฏิบัติของ ISO 22301 ระบบการจัดการด้านความต่อเนื่องทางธุรกิจ ซึ่งโดยทั่วไปแล้วจะเกี่ยวเนื่องกันสี่ระยะดังนี้:

   
  I. การวางแผนความต่อเนื่องทางธุรกิจ (Business Continuity Planning)
       การวางแผนเป็นระยะแรก (The First Phase) ในการจัดตั้งระบบการจัดการด้านความต่อเนื่องทางธุรกิจ. การกำหนดที่ชัดเจนและการวางแผนด้านเอกสารจะช่วยสร้างความมั่นใจถึงความพยายามโดยรวมที่จะประสบความสำเร็จโดยการจัดเตรียมกรอบการทำงานภายใต้ภาวะวิกฤติ (A Critical Framework) สำหรับงานที่จะต้องทำตามแผน.
       องค์กรจะต้องกำหนดความเสี่ยงและโอกาสต่าง ๆ ที่มีความจำเป็นระบุตำแหน่ง ที่ใด เพื่อสร้างความมั่นใจต่อระบบการจัดการซึ่งสามารถบรรลุผลสำเร็จได้ตามผลลัพธ์ที่ตั้งใจไว้, ปกป้องหรือลดผลกระทบที่ไม่น่าปรารถนาและการบรรลุถึงการปรับปรุงอย่างต่อเนื่อง. ในระดับต่ำสุดแล้ว, การวางแผนที่มีประสิทธิผล จะเกี่ยวข้องกับกิจกรรมต่าง ๆ ดังต่อไปนี้.

ทบทวนประเด็นภายนอกและภายใน และกำหนด/ทำความเข้าใจกับผู้ที่เกี่ยวข้องต่าง ๆ (Review organization external and internal issues and Identify / understand the needs of interested partieds)
  • ขั้นตอนการวางแผนแรกนั้น คือการกำหนดประเด็นปัญหาภายในและภายนอกองค์กรที่เกี่ยวข้อง ซึ่งอาจจะกระทบต่อขีดความสามารถขององค์กรในการต่อเนื่องทางธุรกิจและบริการต่าง ๆ , กำหนดกลุ่มที่คาดหวังว่าจะได้รับประโยชน์ของธุรกิจและการดำเนินงานต่าง ๆ ด้วยเป้าหมายของการกำหนดกิจกรรมต่าง ๆ ของบริษัท, งาน, บริการ, ผลิตภัณฑ์, หุ้นส่วน, ห่วงโซ่อุปทาน, และผลกระทบที่มีศักยภาพที่สัมพันธ์ต่อเหตุการณ์ที่หยุดชะงัก. กิจกรรมนี้จะช่วยองค์กรให้กำหนดปัจจัยภายในและภายนอกที่สร้างความไม่แน่นอนต่าง ๆ : และนั่นคือความเสี่ยง. ซึ่งความเสี่ยงนี้จะต้องถูกกำหนดอย่างชัดแจ้งว่าอยู่ในระดับความคาดหวังด้านบริการและการดำเนินการใด. นอกจากนี้ในวงกว้างแล้ว รายละเอียดของงานทางธุรกิจที่อยู่ในภาวะวิกฤติ จะได้รับการเรียกร้องให้สนับสนุนการส่งมอบด้านผลิตภัณฑ์และบริการให้ได้.

กำหนดนโยบายและขอบเขตสำหรับความต่อเนื่องทางธุรกิจ (Determine the policy and scope for business continuity)
  • ด้วยความเข้าใจในประเด็นปัญหาขององค์กรและความคาดหวังและข้อกำหนดของกลุ่มผู้ที่เกี่ยวข้อง (Interested Parties) (ซึ่งมีอิทธิพลส่งผลกระทบ, ได้รับอิทธิพลจากกิจกรรมต่าง ๆ ขององค์กร), ซึ่งจะให้ข้อมูลที่มีความจำเป็นสำหรับการจัดการในอันที่จะจัดวางเกณฑ์ความเสี่ยงขององค์กร (to see organization risk criteria) นำไปสู่ความกล้าที่จะเสี่ยง, จัดตั้งนโยบายและขอบเขตความต่อเนื่องทางธุรกิจและสิ่งที่องค์กรต้องการ ซึ่งจะบรรลุผลสำเร็จด้วยระบบการจัดการด้านความต่อเนื่องทางธุรกิจ.

กำหนดเป้าประสงค์ วัตถุประสงค์และการกู้คืนความต่อเนื่องทางธุรกิจ (ช่วงเวลาที่ยอมรับให้มีการหยุดชะงักได้สูงสุด, วัตถุประสงค์ให้มีการต่อเนื่องทางธุรกิจต่ำสุด) [Identify Business Continuity Objectives and Recovery Targets (Maximum Tolerable Period of Disruption, Minimum Business Continuity Objectives)]
  • วางบนฐานของความต้องการที่กำหนด, นโยบาย, และขอบเขต, องค์กร สามารถระบุวัตถุประสงค์ต่าง ๆ ของการต่อเนื่องทางธุรกิจ, เป้าหมายในการกู้คืน (Recovery) และแผนปฏิบัติการต่าง ๆ ที่จะทำให้บรรลุตามเป้าประสงค์. วัตถุประสงค์ต่าง ๆ และเป้าหมายต่าง ๆ ควรจะมีความสม่ำเสมอ ด้วยนโยบายความต่อเนื่องทางธุรกิจขององค์กร, รวมทั้งกรอบเวลาสำหรับการกู้คืน. (วัตถุประสงค์ต่าง ๆ โดยทั่วไปได้รวมเป้าหมายที่มีฐานของเวลา หรือเป็นการทำงานแข่งกับเวลา ต้องส่งมอบให้ทันกำหนด ตามสัญญาการค้าต่าง ๆ ตัวอย่าง MTPD - Maximum Tolerable Period of Disruption, RTO - Recovery Time Objective เป็นต้น). แผนปฏิบัตการต่าง ๆ อาจจะกำหนดให้ฝ่ายต่าง ๆ ที่รับผิดชอบต่อการปฏิบัติตามแผน, กรอบเวลา, และถ้อยแถลงของวิธีการที่ใช้ตรวจทาน ปรับปรุง การกู้คืนความต่อเนื่องทางธุรกิจ.

  II. การนำไปปฏิบัติและการดำเนินการ (Implementation and Operation)
       เมื่อมีแผนเตรียมไว้แล้ว, การนำไปปฏิบัติก็เริ่มได้เดี๋ยวนี้, ระยะการนำไปปฏิบัติประกอบด้วยกิจกรรมต่าง ๆ ดังนี้:-

     ความสามารถ การอบรม และการรับรู้ (Competence, Training, and Awareness)
     - ระบบการจัดการด้านความต่อเนื่องทางธุรกิจที่มีประสิทธิผลนั้น จะอยู่บนฐานขีดความสามารถของทุกคนที่เกี่ยวข้อง. องค์กรจะต้องมั่นใจว่าพนักงานทุกคน, พร้อมทั้งผู้ขายและผู้ส่งมอบนั้นมีความรู้เกี่ยวกับ:
  • ประโยชน์ต่าง ๆ ที่ได้จากการสร้างแผนที่ดีและได้ตระเตรียมไว้พร้อมแล้ว.
  • ภัยคุกคาม/ความเสี่ยงต่าง ๆ ที่ส่งผลกระทบต่อธุรกิจ.
  • วิธีดำเนินการที่ถูกต้องในการประเมินความเสี่ยงและการวิเคราะห์ผลกระทบต่อธุรกิจ.
  • กลยุทธ์ทางด้านความต่อเนื่องทางธุรกิจขององค์กรและแผนกู้คืนต่าง ๆ .
  • วัตถุประสงค์และความสำคัญของบททดสอบและแบบฝึกหัดที่ได้บูรณาการขึ้นมา.
  • ความสำคัญของความสอดคล้องระหว่างขั้นตอนการดำเนินงานและข้อกำหนดต่าง ๆ ของระบบการจัดการด้านความต่อเนื่องทางธุรกิจขององค์กร.
  • กิจกรรมต่าง ๆ สามารถเข้าช่วยให้เป้าประสงค์ของความต่อเนื่องทางธุรกิจขององค์กรนั้น ประสบความได้อย่างไร.
       สิ่งเพิ่มเติม, องค์กรควรจะกำหนดความต้องการในการฝึกอบรมใด ๆ ที่สัมพันธ์กับความพยายามในการธำรงรักษาการดำเนินงานของระบบการจัดการความต่อเนื่องทางธุรกิจ, และความพยายามในการเตรียมเอกสารอบรมไว้ด้วย.

     การสื่อสาร (Communication)
     - องค์กรควรจะมีข้อมูลข่าวสารประจำ จัดให้แก่พนักงานเกี่ยวกับภัยคุกคามต่าง ๆ /ความเสี่ยงต่าง ๆ ทั้งที่ใหม่และมีศักยภาพ. อาจจะส่งผลกระทบต่อการหยุดชะงักทางธุรกิจได้, ผลกระทบทั้งที่เป็นภัยคุกคามต่าง ๆ / ความเสี่ยงต่าง ๆ และการทำให้ทันสมัยเมื่อมีการเปลี่ยนแปลง/ปรับปรุงระบบการจัดการด้านความต่อเนื่องทางธุรกิจ, และการสร้างกระบวนการที่อนุญาตให้พนักงานและการทำงานในนามองค์กรอื่น ๆ เพื่อจะจัดทำคำแนะนำสำหรับปรับปรุงระบบ. หากองค์กรตัดสินใจที่จะจัดหาข้อมูลเกี่ยวกับนโยบายความต่อเนื่องทางธุรกิจขององค์กร ไปยังผู้คนภายนอกองค์กรที่สนใจแล้ว ก็ควรจะสร้างและปฏิบัติตามวิธีการที่เหมาะสม เพื่อจัดการการสื่อสารนี้.

     เอกสารประกอบ (Documentation)
     - องค์กรต้องมีเอกสาร, ไม่ว่าจะเป็นกระดาษหรือสื่ออิเล็กทรอนิกส์, องค์ประกอบแกนหลักของระบบการจัดการด้านความต่อเนื่องทางธุรกิจ. เอกสารประกอบควรมี:
  • ขอบเขตและกรอบของระบบการจัดการด้านความต่อเนื่องทางธุรกิจขององค์กร.
  • นโยบายด้านความต่อเนื่องทางธุรกิจขององค์กร.
  • วัตถุประสงค์ด้านความต่อเนื่องทางธุรกิจ, เป้าประสงค์, และแผนปฏิบัติการต่าง ๆ .
  • วิธีการดำเนินการเพื่อวิเคราะห์ผลกระทบทางธุรกิจ.
  • ระเบียบวิธีการประเมินความเสี่ยง.
  • กลยุทธ์ด้านความต่อเนื่องทางธุรกิจ.
  • แผนด้านความต่อเนื่องทางธุรกิจ (อาจมีหลายแผน).
  • วิธีการดำเนินการสำหรับองค์กรจะทดสอบ/ทำแบบฝึกหัก และแผนต่าง ๆ ขององค์กร.
  • เอกสารและบันทึกตามที่กำหนดโดย ISO 22301.
  • เอกสารอื่นใดที่ได้ระบุไว้แล้วว่ามีความจำเป็นสำหรับระบบการจัดการที่มีประสิทธิผล.

     การควบคุมเอกสาร (Document Control)
     - สิ่งที่เพิ่มเติมนอกเหนือจากข้อกำหนดเกี่ยวกับเอกสารประกอบนั้น, องค์กรจะต้องจัดตั้งและธำรงรักษากระบวนการต่าง ๆ ที่เหมาะสมและขั้นตอนต่าง ๆ เพื่ออนุมัติเอกสารสำหรับใช้งาน, เพื่อไว้ทบทวนเป็นระยะ ๆ และทำเอกสารให้ทันสมัยเท่าที่จำเป็น, และสร้างความมั่นใจว่าเป็น Version ที่เกี่ยวข้องของเอกสารที่จะนำไปใช้นั้น พร้อมให้ผู้จำเป็นต้องใช้งาน.

     การควบคุมการดำเนินงาน (Operational Control)
     - แง่มุมสำคัญของช่วงการนำไปปฏิบัติและการดำเนินการ คือการจัดแจงและจัดการปฏิบัติและการดำเนินงานให้เป็นลักษณะที่มีความสม่ำเสมอไปกับนโยบาย, วัตถุประสงค์ เป้าหมาย และแผนปฏิบัติงานด้านความต่อเนื่องทางธุรกิจขององค์กร. ซึ่งนี้จะประกอบด้วยการจัดตั้งระเบียบวิธีการประเมินความเสี่ยงและเกณฑ์ในการประเมินผลกระทบด้านบริการที่หยุดชะงักขององค์กร. กระบวนการและขั้นตอนต่าง ๆ ด้านเอกสารนั้นมีความจำเป็นที่ต้องเป็นตามข้อกำหนดและการนำแผนปฏิบัติการไปปฏิบัตินั้น จะต้องมีการระบุให้พัฒนาขึ้นมา.
     - แนวทางโดยทั่วไปนั้นประกอบด้วยจำนวนขั้นตอนที่ไม่ต่อเนื่อง รวบรวมไว้โดยมุ่งหมายในการบรรลุความสำเร็จในแผนความต่อเนื่องทางธุรกิจที่ครอบคลุมและทำงานได้จริง. ซึ่งจะต้องเป็นไปตามข้อกำหนดขององค์กร ในขณะที่มีการหยุดชะงัก.

a) ดำเนินการวิเคราะห์ผลกระทบทางธุรกิจ [Perform Business Impact Analysis (BIA)]
     - กิจกรรมนี้จะเปิดโอกาสให้องค์กรได้วิเคราะห์ผลกระทบที่มีศักยภาพในการทำให้มีการหยุดชะงัก, การระบุกระบวนการต่าง ๆ ที่วิกฤติ/หน้าที่ทางธุรกิจต่าง ๆ ที่สนับสนุนผลิตภัณฑ์และบริการหลัก, การพึ่งพาซึ่งกันและกันระหว่างกระบวนการและทรัพยากร จะต้องถูกนำมากำหนดเพื่อดำเนินการในกระบวนการ ณ ระดับที่ยอมรับได้ขั้นต่ำ (A minimally - acceptable level).

b) ดำเนินการประเมินความเสี่ยง [Perform Risk Assessment (RA)]
     - เป้าหมายของข้อกำหนดนี้คือจัดตั้ง, นำไปปฏิบัติ, และบำรุงรักษากระบวนการประเมินความเสี่ยงที่ได้จัดทำเป็นเอกสารอย่างเป็นทางการ ซึ่จะต้องนำมาแยกแยะ วิเคราะห์ และประเมินอย่างเป็นระบบถึงภัยคุกคาม/ความเสี่ยงที่จะทำให้มีเหตุหรือเหตุการณ์ที่หยุดชะงักอันส่งผลต่อองค์กร. องค์กรจะต้องประเมินภัยคุกคามนี้/เหตุการณืที่มีความเสี่ยงต่าง ๆ ที่ต้องมีการแก้ไข, แยกแยะ การแก้ไขรักษาที่เหมาะสมกับวัตถุประสงค์ด้านความต่อเนื่องทางธุรกิจ และเป็นไปตามความเสี่ยง (ที่องค์กรยอมรับได้).

c) จัดตั้งการจัดความสำคัญ กรอบเวลา และข้อกำหนดในการกู้คืนทางธุรกิจ (Establishing business recovery priorities, timescales, and requirements)
     - ผลลัพธ์ที่ได้จากทั้ง BIA และ RA จะอนุญาตให้องค์กรกำหนดการจัดการเรื่องความสำคัญก่อนหลังในการกู้คืนและกรอบเวลาในการกู้คืน.

d) การวางเกณฑ์กลยุทธ์ความต่อเนื่องทางธุรกิจ (Business Continuity Strategy)
     - หลังจากข้อกำหนด (Business recovery priorities และ timescales) ได้พัฒนาขึ้นแล้วโดยผ่าน BIA และ RA, กลยุทธ์ต่าง ๆ ก็ได้พัฒนาขึ้นเพื่อแยกแยะจัดแจง ซึ่งจะเป็นตัวช่วยองค์กรในการปกป่องและกู้คืนกิจกรรมที่วิกฤติต่าง ๆ บนฐานของความอดกลั้นอดทนต่อความเสี่ยงภัยขององค์กร และด้วยการแยกแยะ Recovery time priorities และ Timescales, ทรัพยากรที่ต้องการนั้น (คน; สารสนเทศและข้อมูล; อาคารตึก; สภาพแวดล้อมการทำงาน และอื่น ๆ ที่เกี่ยวข้อง; สาธารณูปโภค; อุปกรณ์และของใช้สิ้นเปลือง; ระบบสารสนเทศ และเทคโนโลยีการสื่อสาร (ICT); การขนส่ง; การเงิน; หุ้นส่วนและซัพพลายเออร์) ได้นำมาปฏิบัติตามกลยุทธ์ที่ได้คัดสรรแล้ว ซึ่งได้ตัดสินใจและจัดตั้งขึ้นไว้แล้ว. ทั้งหมดในทั้งหมด, กลยุทธ์ด้านการต่อเนื่องทางธุรกิจ ควรจะเป็นองค์ประกอบที่ได้บูรณาการขึ้นมาเป็นกลยุทธ์องค์กรอีกแกนหลักหนึ่ง.

e) พัฒนาแผนและขั้นตอนการปฏิบัติงานด้านความต่อเนื่องทางธุรกิจ (Develop business continuity plan and procedures)
     - ในขั้นตอนนี้, องค์กรจะต้องพัฒนา, เอกสาร, การปฏิบัติการและบำรุงรักษา ขั้นตอนการต่อเนื่องทางธุรกิจไว้ เพื่อจัดการและตอบสนองต่อเหตุการณ์/อุบัติการณ์ต่าง ๆ และวิธีการให้กิจกรรมต่าง ๆ มีความต่อเนื่องหรือกู้คืนขึ้นมาได้ด้วยกรอบเวลาที่กำหนดไว้ก่อนแล้ว บนฐานของวัตถุประสงค์ในการกู้คืนที่ได้แยกแยะไว้แล้วในช่วง BIA และ RA (Phase). ซึ่งเป็นไปตามมาตรฐาน ISO 22301: 2012, ขั้นตอนต่าง ๆ จะต้อง:
  • จัดตั้งมาตรการ (Protocol) การสื่อสารทั้งภายในและภายนอกองค์กรที่เหมาะสม.
  • ขั้นตอนที่เฉพาะเจาะจงว่าเป็นขั้นตอนระดับกลาง ที่จะต้องดำเนินการช่วงที่หยุดชะงัก.
  • เป็นขั้นตอนที่ยืดหยุ่นที่จะสนองต่อภัยคุกคามที่ไม่คาดคิดต่าง ๆ และการเปลี่ยนแปลงสภาวการณ์ภายในและภายนอก (องค์กร).
  • มุ่งเน้นผลกระทบจากเหตุการณ์ต่าง ๆ ที่มีศักยภาพที่จะสามารถทำให้การดำเนินงานต่าง ๆ หยุดชะงัก.
  • ได้ถูกพัฒนาขึ้นมาบนฐานของสมติฐานต่าง ๆ และการวิเคราะห์ความสัมพันธ์ซึ่งกันและกัน; และ ;
  • มีประสิทธิผลในการลดผลที่ตามมาด้วยการใช้กลยุทธ์การลดผลกระทบที่เหมาะสม.

f) วางแผนและดำเนินการในการทดสอบแผนความต่อเนื่องทางธุรกิจ (Plan and execute business continuity plan testing)
     - ขณะที่ขั้นตอนความต่อเนื่องทางธุรกิจ ไม่ใช่สิ่งที่จะปฏิบัติได้ทุกวันเหมือนอย่างขั้นตอนการดำเนินงานทางธุรกิจปกติ, แยกแยะช่องว่างที่เกิดขึ้น, หาจุดบอดหรือประเด็นปัญหาที่ฝังภายในอยู่ในขั้นตอน โพสต์หรือวางความท้าทายไว้. แบบฝึกหัดและการทดสอบในกรณีศึกษานี้, เล่นบทบาทที่สำคัญตลอดทั่วทั้งการดำเนินการ. สร้างความมั่นใจว่าขั้นตอนความต่อเนื่องทางธุรกิจนั้น มีความสม่ำเสมอเป็นไปตามวัตถุประสงค์ของความต่อเนื่องทางธุรกิจ, และองค์กรก็จะต้องทดสอบขั้นตอนความต่อเนื่องทางธุรกิจอย่างปกติ. แบบฝึกหัดและการทดสอบเป็นกระบวนการที่ใช้ตรวจสอบแผนความต่อเนื่องทางธุรกิจต่าง ๆ และเป็นขั้นตอนที่สร้างความมั่นใจว่ากลยุทธ์ที่คัดสรรนั้น สามารถที่จะกู้คืนได้ภายในกรอบเวลาที่คาดหวัง/หรือจัดวางไว้, ซึ่งมันจะกลายเป็นตัวเทียบเคียง (Benchmark) สำหรับการปรับปรุงต่อไป.


g) ธำรงรักษาแผนความต่อเนื่องทางธุรกิจให้ต่อเนื่องไปเรื่อย ๆ (Ongoing business continuity plan maintenance)
     - ขั้นตอนและแผนต่าง ๆ ของความต่อเนื่องทางธุรกิจ เหมือนกับขององค์กรต่าง ๆ ทั่วไป จะต้องรองรับการทบทวน, การปรับให้ทันสมัย, เปลี่ยนแปลงและมีการปรับปรุงอย่างต่อเนื่อง. ช่องว่างและประเด็นปัญหาที่แยกแยะในระหว่างการทำแบบฝึกหัดและการทดสอบนั้น, การทบทวนที่หลากหลาย (ตัวอย่างเช่น การทบทวนของฝ่ายจัดการ (Management Review) และการตรวจสอบภายใน) และช่องทางที่ให้คำแนะนำติชมสะท้อนกลับมาต่าง ๆ , การเปลี่ยนแปลงขององค์กรทั้งภายในและภายนอก; ผลกระทบที่เกิดตามปกติ และการทบทวนความเสียงและบางวิธีการขององค์กรที่จะช่วยรวบรวมข้อมูลนำเข้าเพื่อนำไปสู่การปรับปรุง





III. การตรวจสอบ (Checking)
       การตรวจสอบอย่างต่อเนื่อง เป็นคุณลักษณะสำคัญของความเสี่ยงและผลกระทบต่าง ๆ ขององค์กร, ขีดความสามารถและการบรรลุผลสำเร็จตามวัตถุประสงค์ด้านความต่อเนื่องทางธุรกิจ, เป้าหมายและแผนปฏิบัติงานต่าง ๆ ในอันที่จะผลิตผลลัพธ์ที่ประสงค์ ประสิทธิภาพในการคาดการณ์ความเสี่ยงต่าง ๆ . ระยะการตรวจสอบนี้ประกอบไปด้วยกิจกรรมต่าง ๆ ดังนี้:-

     ติดตาม วัด และวิเคราะห์ (Monitoring, measurement, and analysis)
     - ในแง่มุมระยะการตรวจสอบประกอบด้วยการกำกับติดตาม, การวัด, และการวิเคราะห์และเรื่องเฉพาะพิเศษดังนี้:
  • ผลลัพธ์ที่ได้จากการฝึกหัดและทดสอบ.
  • การรายงานเหตุการณ์ที่เกิดขึ้นภายหลัง.
  • ทุก ๆ การเปลี่ยนแปลงที่เกี่ยวกับภัยคุกคาม / ความเสี่ยง และผลกระทบต่าง ๆ .
  • ผลกระทบ.
  • ประสิทธิผลจากขั้นตอนและแผนความต่อเนื่องทางธุรกิจ ที่ได้พัฒนาขึ้นมาเพื่อให้บรรลุวัตถุประสงค์และเป้าหมายต่าง ๆ ทางด้านความต่อเนื่องทางธุรกิจ.
       ผลลัพธ์จากการติดตามและวัดคุณลักษณะที่สำคัญนั้น จะต้องทำเป็นเอกสาร, และองค์กรต้องตรวจสอบและตอบสนองต่อช่องว่างอันมีสาระสำคัญที่ได้กำหนดไว้. เพิ่มเติมดังนี้, องค์กรจะต้องมั่นใจว่าสถานการณ์ต่าง ๆ ที่เคยได้ฝึกหัดเพื่อทดสอบคุณลักษณะสำคัญของขั้นตอนและแผนต่าง ๆ ด้านความต่อเนื่องทางธุรกิจนั้นมีความสมจริง. การตรวจพบหาสาเหตุภายหลังเหตุการณ์ของทุก ๆ แบบทดสอบนั้น ควรจะนำไปเป็นแนวปฏิบัติและบันทึกลงในเอกสาร. ท้ายที่สุดแล้ว, องค์กรต้องทบทวนเป็นระยะ ๆ ถึงความจำเป็นต่าง ๆ ด้านมาตรการ.

     การประเมินผลการปฏิบัติตามนโยบายข้อบังคับและข้อกำหนดต่าง ๆ (Evaluation of Compliance with legal and requirements)
       - องค์กรจะต้องมีการประเมินเป็นระยะ ๆ ว่าได้มีการปฏิบัติตามกฎระเบียบที่ได้กำหนดไว้หรือไม่ และมีมาตรฐานที่สามารถนำมาปรับใช้ได้ เป็นแนวทางที่สัมพันธ์กับข้อกำหนดต่าง ๆ . ในการดำเนินการของระบบการจัดการด้านความต่อเนื่องทางธุรกิจ.

     การตรวจสอบภายในของระบบการจัดการด้านความต่อเนื่องทางธุรกิจ (Internal audit of the business continuity management system)
       - ณ ช่องว่างของแผน, องค์กรจะต้องดำเนินการตรวจสอบภายใน การจัดการความต่อเนื่องทางธุรกิจเพื่อสร้างความมั่นใจว่าระบบสอดคล้องกับวัตถุประสงค์และเป้าหมายด้านความต่อเนื่องทางธุรกิจ จะต้องได้รับการจัดตั้งขึ้น, และการปฏิบัติงานและการบำรุงรักษาของระบบคือการผลิตขีดความสามารถและการปรับปรุงที่ได้คาดการณ์ไว้แล้ว. ผลจากการตรวจสอบต่าง ๆ จะต้องมีการจัดทำเป็นเอกสารและรายงานต่อฝ่ายจัดการ.

     การดำเนินการแก้ไข (Corrective actions)
       - องค์กรควรที่จะตระเตรียมการดำเนินการแก้ไขตามความจำเป็น ยัจุดที่ไม่มีความสอดคล้องต่าง ๆ ด้วยการดำเนินงานที่ได้วางแผนไว้แล้วของระบบการจัดการด้านความต่อเนื่องของธุรกิจ. กิจกรรมที่ต้องดำเนินการแก้ไขโดยเฉพาะประกอบด้วย:
  • ทบทวนประเด็นที่ไม่สอดคล้องที่เป็นรายการจริงและที่มีศักยภาพ.
  • แยกแยะสาเหตุต่าง ๆ ที่ไม่มีความสอดคล้อง.
  • ประเมินถึงความจำเป็นในการปฏิบัติเพื่อปกป้องเหตุการณ์ที่อาจจะเกิดซ้ำ.
  • พิจารณาตัดสินใจและการปฏิบัติที่เหมาะสมในการดำเนินการแก้ไขและป้องกัน.
  • ทบทวนประสิทธิผลของการดำเนินการป้องกันและการแก้ไขต่าง ๆ .
  • เก็บรักษาบันทึกจากการดำเนินการแก้ไขไว้ทั้งหมด.
       องค์กรควรทำการเปลี่ยนสิ่งที่มีความจำเป็นบ้าง เพื่อให้ระบบการจัดการด้านความต่อเนื่องทางธุรกิจได้มีการป้องกัน นั่นคือความไม่สอดคล้องต่าง ๆ ที่จะเกิดขึ้นในอนาคต.

     การควบคุมกับบันทึก (Record control)
       - แง่มุมสุดท้ายของระยะการตรวจสอบนั้น เกี่ยวเนื่องกับการเก็บรักษา บันทึก และเอกสารที่มีความจำเป็นต่าง ๆ ไว้ เพื่อนำแสดงต่อองค์กรให้บังคับใช้ตามแนวปฏิบัติที่ได้ประกาศต่อไป ด้วยข้อกำหนดของระบบการจัดการด้านความต่อเนื่องทางธุรกิจเอง. เช่นเดียวกับ ISO 22301. การควบคุมควรจะรวมถึง บทบัญญัติสำหรับการเก็บรักษาและนำขึ้นมาใช้งาน.



IV. การทบทวนของฝ่ายจัดการ (Management review)
       ในช่วงการทบทวนของฝ่ายจัดการนั้น, องค์กรนำวัตถุประสงค์เพื่อพิจารณาภาพรวม ความพยายามทั้งหมดจากจุดที่เป็นกลยุทธ์. ระยะเวลาการทบทวน (Review Phase) นั้น โดยทั่วไปแล้วประกอบด้วย การสรุปแก่ฝ่ายจัดการชั้นสูงบนกระบวนการและผลลัพธ์ของเป้าหมายต่าง ๆ และแผนปฏิบัติการ, และความมีประสิทธิผลโดยรวมของระบบการจัดการด้านความต่อเนื่องทางธุรกิจขององค์กร (Business Continuity Management System - BCMS).
       ในการตระเตรียมรายงานการทบทวนของฝ่ายจัดการนั้น, องค์กรควรพิจารณาและประเมินผลการดำเนินงานทั้งหมดที่เชื่อมโยงกับ BCMS.
  • ดำเนินการติดตาม โดยเริ่มจากรายงานการทบทวนของฝ่ายจัดการชุดก่อน ๆ .
  • ทบทวนความเพียงพอของนโยบายด้านความต่อเนื่องทางธุรกิจขององค์กร และหากมีความจำเป็นก็ต้องเปลี่ยนทั้งนโยบายและวัตถุประสงค์ต่าง ๆ .
  • โอกาสต่าง ๆ ในการปรับปรุง.
  • ทบทวนผลจากการตรวจสอบภายใน (รวมทั้งผู้ส่งมอบหลักและหุ้นส่วนทางธุรกิจที่สำคัญ).
  • ประเมินด้านเทคนิค, ผลิตภัณฑ์หรือขั้นตอนการทำงาน, ซึ่งควรนำมาใช้ในองค์กร เพื่อปรับปรุงผลการดำเนินงานและความมีประสิทธิภาพของระบบการจัดการด้านความต่อเนื่องทางธุรกิจขององค์กร.
  • สถานะของการดำเนินการแก้ไขต่าง ๆ ขั้นต้น.
  • การทบทวนผลลัพธ์ต่าง ๆ ที่ได้จากการฝึกหัดและทดสอบ.
  • การประเมินความเสี่ยงและประเด็นปัญหาที่ไม่เพียงพอที่จะชี้ชัดถึงการประเมินความเสี่ยงที่ได้ดำเนินการก่อนหน้านี้.
  • มีการทบทวนหากมีการเปลี่ยนแปลง (ทั้งภายในและภายนอกกรอบที่จะขอใบรับรอง ISO 22301) ซึ่งส่งผลกระทบต่อ BCMS ขององค์กร.
  • ข้อเสนอแนะเพิ่มเติมสำหรับปรับปรุง.
  • ทบทวนบทเรียนที่ได้เรียนรู้ไปแล้วและกิจกรรมต่าง ๆ ที่เกิดขึ้นจากเหตุการณ์ที่หยุดชะงัก.
  • มีแนวปฏิบัติที่ดีบังเกิดขึ้น (บ้างไหม?) ซึ่งเป็นแนวทางที่จะนำมาแยกแยะ.
       การทบทวนของฝ่ายจัดการนี้ จะเป็นผลลัพธ์ตามปกติในการใช้ตัดสินใจหรือดำเนินการต่าง ๆ ที่สัมพันธ์กับโอกาสและความเปลี่ยนแปลงในการปรับปรุงอย่างต่อเนื่อง ในขอบเขตดังนี้:
  • นโยบายความต่อเนื่องทางธุรกิจขององค์กร.
  • วัตถุประสงค์และเป้าหมายต่าง ๆ และองค์ประกอบอื่น หากองค์กรมี BCMS.
  • ปรับให้ทันสมัยทางด้านการประเมินความเสี่ยง, การวิเคราะห์ผลกระทบทางธุรกิจ, แผนในการปฏิบัติต่อความเสี่ยงต่าง ๆ , ขั้นตอนและการควบคุม ที่สนองต่อเหตุการณ์ อุบัติการณ์ที่หยุดชะงัก.
  • การปันส่วนทรัพยากรต่าง ๆ เพื่อจัดการกับกิจกรรมทางด้านความต่อเนื่องทางธุรกิจต่าง ๆ .


IV. บทสรุป (Conclusion)
       การตระเตรียมระบบการจัดการด้านความต่อเนื่องทางธุรกิจอย่างมีประสิทธิผลและกลยุทธ์การกู้คืน เป็นมุมมองที่มีความสำคัยเพิ่มขึ้นขององค์กรทางด้านผลการดำเนินงาน ISO 22301 ได้กำหนดเส้นทางไว้ชัดเจนสำหรับการค้นหาขององค์กร เพื่อจะดำเนินการและธำรงรักษาระบบการจัดการด้านความต่อเนื่องทางธุรกิจไว้ ซึ่งจะช่วยให้องค์กรได้ตระเตรียมและพร้อมที่จะรับมือกับการหยุดชะงักทางธุรกิจดังกล่าว องค์กรควรต้องกู้คืนอย่างรวดเร็วและมีประสิทธิผล การดำเนินงานทางธุรกิจปกติต้องส่งผลกระทบต่อการบริการถึงลูกค้าให้น้อยที่สุด. โครงสร้างของ ISO 22301 นี้เป็นเช่นเดียวกับระบบการจัดการคุณภาพอื่น ๆ เช่น ISO 9001, ISO 27001 และ ISO 20000-1 ซึ่งอนุญาตให้องค์กรประเมินถ่วงดุลกับการลงทุนในปัจจุบันที่มีระบบการดำเนินการตามแนวปฏิบัติด้านการจัดการ.
 
 

รักษาการดำเนินงานทางธุรกิจต่อไปไว้ให้ได้ระหว่างช่วงที่มีอุบัติการณ์หยุดชะงัก
(Keep businesses operational during and following a disruption)

กรอบการทำงานของการจัดการและความยืดหยุ่นด้านความต่อเนื่องทางธุรกิจ
(Business Continuity Management and Resilience Framework)

1.  บทนำ (Introduction)
       การจัดการด้านความต่อเนื่องทางธุรกิจ (Business Continuity Management - BCM) เป็นส่วนหนึ่งของวิธีการขององค์กรในการจัดการอย่างมีประสิทธิผล.

2.  วัตถุประสงค์ของกรอบการทำงานของการจัดการและความยืดหยุ่นด้านความต่อเนื่องทางธุรกิจ (Purpose of the Business Continuity Management and Resilience Framework)
       วัตถุประสงค์ของกรอบการทำงานนี้ เป็นการให้ข้อมูลและขับเคลื่อนการวางแผนอย่างต่อเนื่องมีประสิทธิผล ข้ามสายงาน หลายระดับ ต่อเนื่องกันตลอดทั่วทั้งองค์กร, ได้รวมอยู่ในแนวปฏิบัติการจัดการด้านความเสี่ยงด้วยหนทางดังนี้:-
  • จัดตั้งสภาพแวดล้อมการควบคุมที่ต้องเชื่อมโยงกับการกำกับดูแลกิจการที่ดี, การจัดการความเสี่ยง, การวางแผนทางธุรกิจ, และผลการดำเนินงานด้านการปฏิบัติการขององค์กร (โปรแกรมความต่อเนื่องทางธุรกิจ);
  • ลงทุนด้านเวลา, เงินทุน, เครื่องมือและเทคนิค เพื่อสร้างความมั่นใจว่า BCM ได้ฝังหยั่งในระบบการจัดการอย่างสมบูรณ์, กระบวนการจัดการทางธุรกิจที่สามารถตรวจสอบได้ (การวางแผนด้านความต่อเนื่องทางธุรกิจ);
  • จัดให้ผู้บริหารได้มีโอกาสรับทราบเข้าใจการจัดการด้านความต่อเนื่องทางธุรกิจอย่างเพียงพอ, และมีทักษะที่จำเป็นในการดำเนินการด้านความต่อเนื่องทางธุรกิจอย่างมีประสิทธิผล.
  • ต้องมั่นใจได้ว่ากรอบการทำงานนี้มีความยืดหยุ่นเพียงพอที่จะรับกับความท้าทายด้านขนาด, ความต้องการของแต่ละแผนกและผู้ที่มีส่วนเกี่ยวข้องที่โยงกับการกำกับดูแลกิจการที่ดี, กฎกติกาและกรอบกฎหมาย.
  • ช่วยและจัดการเหตุ/อุบัติการณ์ต่าง ๆ ต้องการข้อมูลและทรัพยากรประสานข้ามหน่วยงาน (การวางแผนการจัดการภาวะวิกฤติ - Crisis Management Planning); และ
  • ส่งเสริมปรัชญาการทำงานแบบยืดหยุ่นภายในองค์กร เกี่ยวกับความสามารถในการดำเนินการต่อเนื่องทางธุรกิจ โดยมักจะสะท้อนความจำเป็นต่าง ๆ , เทคโนโลยี, โครงสร้าง และวัฒนธรรมของธุรกิจองค์กร.

3.  อะไรคือการจัดการด้านความต่อเนื่องทางธุรกิจ? (What is Business Continuity Management ?)
       ความต่อเนื่องทางธุรกิจ (Business Continuity - BC) หมายถึง ภาวะที่ต้องต่อเนื่อง, การดำเนินการทางธุรกิจไม่ติดขัด มุ่งไปยังความยืดหยุ่นของคน, ทรัพย์สิน, กระบวนการ, แบบ/กรอบการทำงานและผู้สนับสนุน พร้อม ๆ กับความพร้อมและความสมบูรณ์ของข้อมูลข่าวสาร.
       การหยุดชะงัก (Disruption) หมายถึง การหยุดเกี่ยวกับเวลาและมิติการดำเนินการตามลำดับ หรือธุรกรรมต่าง ๆ ของธุรกิจ แต่มิได้หมายรวมถึง ความผิดพลาดจากการดำเนินงาน ซึ่งได้รับการจัดการโดยผ่านขั้นตอนการดำเนินงานมาตรฐาน.
       ผลจากการหยุดชะงัก (Disruption results) จากอุบัติการณ์หรือเหตุการณ์ซึ่งจะขัดจังหวะกระบวนการดำเนินธุรกิจที่เป็นปกติต่าง ๆ ให้เกิดวิกฤติหรือการดำเนินการไม่ว่าจะมีการคาดการณ์มาก่อนแล้วหรือไม่ก็ตาม.
       เมื่อธุรกิจหยุดชะงัก, มันไม่ใช่เรื่องที่กล่าวว่าถ้า, แต่เป็นเรื่องเมื่อใด อย่างไร และรุนแรงเพียงใด.
       ความเสี่ยงอันมีความสัมพันธ์กับการหยุดชะงัก, อาจจะเกิดขึ้นไม่บ่อยนัก, แต่มันสามารถก่อให้เกิดผลที่ตามมารุนแรง เกิดวิกฤติต่อการบริการต่าง ๆ ซึ่งไม่สามารถแก้ปัญหาได้ด้วยการจัดการซ้ำ ๆ แบบเดิมได้. ความเสี่ยงต่าง ๆ ที่สัมพันธ์กับการหยุดชะงักประกอบด้วยอุบัติการณ์ทางกายภาพและไม่ใช่กายภาพ เช่น, หายนะภัยทางธรรมชาติ, โรคระบาด, สาธารณูปการเสียหายอย่างมีนัยสำคัญ, วิกฤตการณ์ทางการเงิน, อุบัติเหตุ, และอุบัติการณ์ที่กระทบต่อชื่อเสียงขององค์กร.
       BCM เป็นการพัฒนา, นำไปปฏิบัติและธำรงรักษานโยบายต่าง ๆ , กลยุทธ์ต่าง ๆ , และโปรแกรมต่าง ๆ ที่จะช่วยองค์กรให้จัดการกับอุบัติการณ์ที่ก่อให้เกิดการหยุดชะงักทางธุรกิจ, พร้อมทั้งสร้างความยืดหยุ่น. มันมีขีดความสามารถในการช่วยปกป้อง, ตระเตรียม, ตอบสนอง, จัดการและกู้คืนจากผลกระทบที่มาจากอุบัติการณ์ที่หยุดชะงักธุรกิจ.
       BCM เป็นเครื่องมือของการจัดการความเสี่ยง, เป็นองค์ประกอบที่บูรณาการในการกำกับดูแลกิจการที่ดี และในแง่มุมที่มีความสำคัญของการตระเตรียมอย่างเร่งด่วนและมีความยืดหยุ่นในการดำเนินงาน. BCM ที่มีประสิทธิผลจะเป็นเกราะกำบังให้แก่งานหลัก ๆ ขององค์กรและความต้องการที่มีความสัมพันธ์กับผู้มีส่วนได้เสียสำคัญ, การช่วยเหลือองค์กรด้านกฎหมาย, กฎระเบียบและข้อบังคับตามสัญญาและการปกป้องชื่อเสียง.


วัตถุประสงค์ของ BCM คือ:
  • ให้บุคลากรปลอดภัย.
  • ลดช่องโหว่ขององค์กรที่มีความไม่ต่อเนื่องทางธุรกิจในอนาคต.
  • ปกป้องทรัพย์สินสำคัญที่บริษัทเป็นเจ้าของ และทรัพย์สินของผู้อื่นที่อยู่ภายใต้ที่ทำการขององค์กร.
  • ปกป้องทรัพย์สินทางปัญญาและสัญญาต่าง ๆ ขององค์กร อันเป็นห่วงโซ่แห่งคุณค่าผ่านไปยังผู้ส่งมอบและผู้จัดจำหน่าย.
  • รักษาความสามารถในอันที่จะต้องถือปฏิบัติให้ตรงกับความคาดหวังของผู้มีส่วนได้เสียในวงที่ขยายกว้างออกไป, รวมทั้งปฏิบัติให้ตรงต่อการจัดการของบุคคลที่ 3.
  • ลดการพึ่งพาบุคคลลง (ใช้ระบบเข้ามาทดแทน).
  • ตระเตรียมให้มีการกู้คืนคำสั่งซื้อ และกู้คืนให้มีการจ่ายเป็นตามปกติ หลังจากอุบัติการณ์ด้านความชะงักและ
  • รักษาและได้เปรียบในการแข่งขัน อันเนื่องมาจากการตอบสนองที่รวดเร็วและมีประสิทธิผล.

       องค์ประกอบสำคัญของ BCM แสดงในหัวข้อดังนี้:




4.  แนวทางการต่อเนื่องทางธุรกิจ (THE  BUSINESS CONTINUITY APPROACH)
       การวางแผนการต่อเนื่องทางธุรกิจ (Business Continuity Planning - BCP) ถือเป็นงานหนึ่งใน BCM แนวทางสำหรับ BC เป็นการวางแผนที่ต่อเนื่องและเป็นการตระเตรียมกระบวนการที่จะแยกแยะช่องโหว่ที่เป็นอันตรายและขององค์กร, ความเป็นไปได้ในการหยุดชะงัก, ผลที่ตามมาอันเป็นไปได้ที่วัตถุประสงค์มีความอ่อนไหวเรื่องเวลา และความสำเร็จเชิงกลยุทธ์, ความมีประสิทธิผลในการควบคุมที่มีอยู่และทางเลือกเพื่อปรับปรุงผลการดำเนินงานและประสิทธิภาพ, BCP จะพิจารณาความเสี่ยงตลอดในขณะที่การทำงานเป็นไปตามปกติ, พนักงาน, สินทรัพย์ หรือกระบวนการนั้นมีความไม่พร้อม.

       แนวคิดสำคัญของแนวทาง BC คือ:
  • เข้าใจในธุรกิจ (Understand the business) - เพื่อพัฒนา BCP, ต้องมีความเข้าใจธุรกิจโดยตลอดทะลุปรุโปร่ง ซึ่งเป็นสิ่งที่ต้องมี. นี่เป็นการเกี่ยวข้องกับการกำหนดภารกิจทางธุรกิจและวัตถุประสงค์ที่ละเอียดอ่อนเรื่องเวลา, การแยกแยะ กระบวนการที่วิกฤติ ปัจจัยนำเข้าและนำออก และภาระงานที่ติดตามผูกพันกัน, กระบวนการที่ต้องทำขึ้นก่อนและข้อกำหนดด้านทรัพยากรและการตัดสินใจเกี่ยวกับซัพพลายเออร์ และข้อผูกพันตามสัญญาต่าง ๆ .
  • ประเมินความเสี่ยงต่าง ๆ (Assess the risks) - การประเมินความเสี่ยงเป็นกิจกรรมเริ่มแรกในการจัดทำ BCP การแยกแยะ การวิเคราะห์และการประเมินความเสี่ยงนั้น เป็นสิ่งสำคัญในขั้นตอนแรกในอันที่จะเข้าใจความเป็นไปได้และผลที่ตามมาที่มีศักยภาพและปัญหาต่าง ๆ ที่เกี่ยวข้องจากการหยุดชะงักทางธุรกิจ, กำหนดความเสี่ยงและขอบเขตนั้นมีความจำเป็นสำหรับ BCP.
  • ตระเตรียม BCP (Prepare a BCP) - ผลผลิตเบื้องต้นของกระบวนการ BC คือ BCP, ซึ่งเป็นการกำหนดไว้ก่อน, ทดสอบก่อน, ฝ่ายจัดการต้องอนุมัติการสื่อสารและตัดสินใจสนับสนุนเครื่องมือนี้ แผนต้องถูกนำมาใช้งานเพื่อตอบสนองการหยุดชะงักทางธุรกิจ;
  • การทดสอบแผน (Test the plan) - ในขณะที่มีอุบัติการณ์การหยุดชะงักทางธุรกิจ, พนักงานที่เกี่ยวข้องต้องเข้าใจในสิ่งที่คาดหวัง, พนักงานพร้อมกับความรับผิดชอบด้าน BCP ควรจะต้องซ้อมในบทบาทนี้ เพื่อทดสอบ BCP ที่สามารถปฏิบัติได้จริง, ยืนยันศักยภาพและความเชื่อมั่นและทดสอบสมมติฐานที่รายรอบในการเข้าถึงทรัพยากร.

       กระบวนการวางแผน BC ได้มุ่งไปสู่ที่ประชุมคณะกรรมการบริษัทฯ หรือองค์กรเพื่ออนุมัติ, พร้อมด้วยผู้เกี่ยวข้องขององค์กร, การสร้างความมั่นใจ ถ้าหากว่ามีสิ่งเลวร้ายเกิดขึ้นกับองค์กร BC ที่มีความสามารถกู้คืนได้อย่างรวดเร็ว, ปลอดภัยและมีประสิทธิภาพด้านต้นทุนเท่าที่เป็นไปได้.
       แนวทาง BCM นี้จะช่วยให้เกี่ยวข้องกับการบูรณาการ วินัยต่าง ๆ ของ:-
  • การจัดการความเร่งด่วน (บุคลากรและประเด็นปัญหาด้านสินทรัพย์);
  • การวิเคราะห์ภาวะวิกฤติ (เป็นประเด็นปัญหาระดับองค์กรหรือบริษัท);
  • การวางแผนความต่อเนื่องทางธุรกิจ (การสำรองเตรียมความฉุกเฉินด้านกระบวนการ);
  • การกู้คืนหายนะภัย (Disaster Recovery - IT System and data availability)
       การให้ความมุ่งมั่นแก่แนวทางความต่อเนื่องทางธุรกิจที่อยู่บนฐานแห่งการจัดการความเสี่ยงขององค์กรนั้น จะสร้างความเข้าใจที่ดีขึ้น เกี่ยวกับความเสี่ยงที่สัมพันธ์กับการหยุดชะงัก, การวางแผนด้านความต่อเนื่องและการจัดการการตอบสนองและความระมัดระวังถึงพนักงานที่เพิ่มขึ้น และศักยภาพในการทำงาน ขณะที่มีการหยุดชะงักทางธุรกิจ จนกระทั่งการทำงานในหน้าที่ต่าง ๆ ได้กู้กลับมาอย่างสมบูรณ์หรือมีแบบวิธีใหม่ ๆ ในการปฏิบัติงาน.



5.  กระบวนการความต่อเนื่องทางธุรกิจ (THE  BUSINESS CONTINUITY PROCESS)
       ภาพที่แสดงต่อไปนี้แสดงถึงเส้นทางสำหรับกระบวนการความต่อเนื่องทางธุรกิจ

 


     ขั้นตอนที่ 1: การแยกแยะความเสี่ยงและการวิเคราะห์ผลกระทบทางธุรกิจ (Risk Identification and Business Impact Analysis)
       การแยกแยะความเสี่ยง (Risk Identification)
       การวิเคราะห์เบื้องต้นจะก่อให้เกิดความเข้าใจใน:-
  • หน้าที่สำคัญเป็นแกนหลักขององค์กร.
  • กระบวนการต่าง ๆ ที่มีวิกฤติ.
  • สินทรัพย์ (สิ่งใดก็ตามที่เป็นวัตถุมีค่าและมีประโยชน์ในการใช้งาน).
  • ขอบเขตการใช้งานในแต่ละสินทรัพย์.
  • การเผยให้เห็นความไม่แข็งแรง หรือกระบวนการต่าง ๆ และสินทรัพย์ต่าง ๆ ที่จะหยุดชะงักได้.
       ฝ่ายจัดการจะต้อง:
  • แยกแยะภัยคุกคาม (ที่มีอันตราย) ต่อความต่อเนื่องของงานหลัก ๆ ที่เป็นแกนของธุรกิจและกระบวนการต่าง ๆ, ระบบต่าง ๆ, ข้อมูลข่าวสาร, บุคลากร, สินทรัพย์, หุ้นส่วนที่ Outsource และทรัพยากรอื่น ๆ ที่สนับสนุนหรือขึ้นกับสิ่งข้างต้น;
  • วิเคราะห์อย่างเป็นระบบถึงความเป็นไปได้และผลที่ตามมาของการหยุดชะงักและการจัดระดับ การวางระดับที่ตามมาภายในกรอบงานการจัดการความเสี่ยง;
  • ประเมินความเสี่ยงที่สัมพันธ์กับการหยุดชะงักที่ต้องการปฏิบัติ (เยียวยา); และ
  • การแยกแยะความสมน้ำสมเนื้อเหมาะสมในการปฏิบัติเยียวยา ด้วยวัตถุประสงค์ต่าง ๆ ด้าน BC และเป็นไปตามความเสี่ยงที่องค์กรได้วางไว้.
     ขั้นตอนการวางแผนต่าง ๆ สำหรับการประเมินและการวิเคราะห์ความเสี่ยง ควรประกอบด้วย:
  • การประเมินถึงช่องโหว่; ตัวอย่างเช่น การเปิดเผย; ความอ่อนแอ, และความมีประสิทธิผลของการควบคุมที่เป็นอยู่;
  • การแยกแยะ การปรับปรุงศักยภาพต่าง ๆ และการสร้างการวัดใหม่ ๆ ที่จะบรรเทาลดช่องโหว่, ดังนั้นจึงเป็นการลดความเสี่ยงที่ยังคงมีอยู่ ลงไปสู่ระดับความเสี่ยงที่ยอมรับได้.
​​​​​​​       หากการวิเคราะห์ความเสี่ยงไม่ได้ให้ข้อมูลข่าวสารที่น่าเชื่อถือเพียงพอ, หรือหากหลังจากการเยียวยาเบื้องต้นแล้ว ความเสี่ยงที่เหลืออยู่นั้น อยู่ในระดับที่ (ฝ่ายจัดการ) ไม่สามารถยอมรับได้, ดังนั้นจะต้องมีการศึกษาในขั้นรายละเอียดที่เรียกว่า การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis - BIA) ที่จะต้องมีการปฏิบัติดำเนินการต่อไป:-

การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Assessment - BIA)
       BIA เป็นกระบวนการแยกแยะว่าการดำเนินงานต่าง ๆ นั้นเป็นเช่นไร จะส่งผลกระทบกับเวลาขนาดไหน หากสินทรัพย์ไม่สามารถสนับสนุนการะบวนการทางธุรกิจที่กำลังวิกฤตินี้ได้ และผลกระทบนี้อาจจะเป็นงานหลักของธุรกิจ. กระบวนการทางธุรกิจได้อธิบายกลุ่มกิจกรรมต่าง ๆ ที่ทำซ้ำ ๆ . ทางเดินของข้อมูลข่าวสารและ/หรือวัตถุที่ผลิตผลผลิต - อย่างบางประการที่มีคุณค่าต่อลูกค้า, (ลูกค้าและผู้มีส่วนได้เสีย) มันเป็นสิ่งสำคัญที่จะต้องเข้าใจถึงความสัมพันธ์ระหว่างงานหลัก อันเป็นแกนขององค์กร การดำเนินงาน, กระบวนการต่าง ๆ ทางธุรกิจและระดับความคาดหวังของลูกค้าเพื่อนำมาวิเคราะห์ถึงผลที่ตามมาของการสะดุดหยุดชะงัก, และใช้ตัดสินว่ากระบวนการใดบ้างที่ส่งผลวิกฤติต่อการต่อเนื่องทางธุรกิจ.
       BIA ได้ถูกกล่าวอ้างว่าเป็นความเข้าใจที่เกิดจากผลที่ตามมาของการหยุดชะงัก หรือปัญหาสำคัญ ซึ่งต้องการแก้ไขเยียวยาและ, อื่นใดที่เป็นเช่นนี้, ที่นอกเหนือวิธีการทำงานซ้ำ ๆ ประจำของการจัดการหรือต้องการขีดความสามารถด้านการจัดการเพิ่มเติม. จะต้องมีการแยกแยะการดำเนินการ (เชิงอปริมาณ) และการเงิน (เชิงปริมาณ) ผลที่ตามมาของการหยุดชะงักและรูปแบบต่าง ๆ บนฐานสำหรับการพัฒนาถึงความต่อเนื่องที่เป็นไปได้ และกลยุทธ์การกู้คืนต่าง ๆ ที่ถูกตราไว้ (หรือแสดงบทบาทไว้ว่า) เมื่อมีความจำเป็นที่จะต้องกู้คืนการดำเนินงานภายใต้กรอบเวลาที่กำหนด.
       ผลผลิตจากการประเมินและการวิเคราะห์ความเสี่ยงเบื้องต้น/และ BIA ควรจะต้องประมวลให้เห็นถึงความเป็นไปได้ของการหยุดชะงัก ที่สัมพันธ์กับผลที่ตามมาและกลยุทธ์การบรรเทาเยียวยา (ปฏิบัติการสำรองฉุกเฉิน) จะต้องนำมาบันทึกไว้ในทะเบียนความเสี่ยงขององค์กร.



 ขั้นตอนที่ 2: แยกแยะและกำหนดทางเลือกในการตอบสนองต่าง ๆ (Identify and Define Response Options)
       การกำหนดและการเลือกกลยุทธ์ที่อยู่บนฐานที่เป็นผลลัพธ์จาก BIA และพัฒนาบนฐานของ Maximum Acceptable Outage (MAO) - จุดรับที่สามารถรับได้สูงสุด. ที่แยกแยะสำหรับแต่ละกระบวนการที่วิกฤติ. ฝ่ายจัดการจะต้องตัดสินใจทางเลือกและกลยุทธ์ด้านความต่อเนื่องทางธุรกิจที่เหมาะสม เพื่อ
  • ปกป้อง งานหลักที่เป็นแก่นขององค์กรและการะบวนการต่าง ๆ ทางธุรกิจที่อยู่ในภาวะวิกฤติ.
  • เสถียร, ยั่งยืน, กู้คืน, และกู้กลับเพื่อให้งาน, บริการ, กระบวนการที่ประสบภาวะวิกฤติต่าง ๆ และทรัพยากรที่ติดตามและสนับสนุน.
       ทางเลือกและกลยุทธ์ในการตอบสนองจะต้องได้รับข้อมูลข่าวสารโดยกรอบเวลาจากกระบวนการกู้คืนในภาวะวิกฤติ (Recovery Time Objective - RTO). นี่คือเป้าหมายด้านเวลาสำหรับดำเนินการส่งมอบต่อของงานด้าน Operations ก่อนที่ MAO จะถูกฝ่าฝืนละเมิดเลยพ้นเกณฑ์ที่ยอมรับได้สูงสุดไป และวัตถุประสงค์ต่าง ๆ ที่ได้รับผลกระทบ. ที่ใดที่มีข้อกำหนด, กลยุทธ์จะต้องถูกนำไปวางเพื่อกู้กลับคืนตามเป้าหมาย หรือ วัตถุประสงค์ของจุดที่มีการกู้คืน (Recovery Point Objective - RPO) สำหรับการบูรณาการและความพร้อมของข้อมูล (Electronic Data และกระดาษ).
       เมื่อได้มีการเลือกทางเลือกและกลยุทธ์ต่าง ๆ ในการตอบสนองแล้ว, สิ่งต่อไปนี้ก็ควรจะนำมาพิจารณา:-
  • การจัดกลุ่มประเภทของการมีอันตราย (hazard(s)) จะต้องถูกเปิดเผย;
  • ขั้นตอนการปฏิบัติงานที่เป็นทางเลือก เพื่อให้ผ่านพ้นกระบวนการเพื่อให้เกิดความสมบูรณ์ หรือเพื่อให้อยู่ในระดับที่ยอมรับได้ขั้นต่ำ (minimal acceptable level) จนกระทั่งการกู้คืนประสบความสำเร็จ;
  • ความสามารถต่าง ๆ ที่เป็นกระบวนการทำด้วยมือ (manual) และต้นทุนที่เกี่ยวข้อง;
  • ใช้ประกันภัย (นำมาทดแทน ดีกว่าการกอบกู้);
  • การจัดการด้วยบุคคลที่ 3, การเป็นหุ้นส่วนธุรกิจ/การขึ้นติดตามพ่วงกันมา, ความช่วยเหลือซึ่งกันและกันของภาคส่วน;
  • วงจรทางธุรกิจต่าง ๆ และช่วงเวลาที่อยู่ในระดับสูงสุด (Peak Periods);
  • ขีดความสามารถของทรัพยากรภายใน; ห่วงโซ่อุปทานที่วิกฤติและการจัดการคู่ค้า;
  • การตัดสินในนั้นเป็นข้อกำหนด แม้ว่าจะไม่มีทางเลือก ทำเลองค์กรก็ตาม;
  • ความสามารถในการเข้าถึงข้อมูลข่าวสาร;
  • ทางเลือกที่จะไม่ทำอะไร - ตัดสินใจว่าองค์กรต้องรับภาระความสูญเสียเท่าใด.

 ขั้นตอนที่ 3: พัฒนาแผนการต่อเนื่องทางธุรกิจต่าง ๆ (Develop Business Continuity Plans)
       แผนความต่อเนื่องทางธุรกิจ (BC Plan) นั้น เจ้าของและผู้ที่พัฒนาขึ้นมาคือ ฝ่ายจัดการที่เกี่ยวข้อง, แต่ละกระบวนการที่เกิดวิกฤติ จะต้องมีกลยุทธ์ความต่อเนื่องเป็นของแต่ละกระบวนการเอง, ซึ่งสามารถที่จะถูกขอร้องให้เป็นเรื่องงานเดี่ยว, งานกลุ่ม ก็แล้วแต่ข้อกำหนด, ในขณะที่ทุก ๆ สมมติฐานที่ได้พัฒนาขึ้นมาโดยผ่านช่วงวงจรชีวิตการวางแผน ซึ่งจะต้องถูกรวมไว้และได้รับการตรวจสอบ เพื่อมีศักยภาพที่เพียงพอให้มั่นใจได้ว่า มันจะยังมีอยู่หรือ/เมื่อมีความต้องการ.
       แผน BC ก็จะต้องเริ่มต้น (ในฐานะที่มีส่วนเกี่ยวข้อง)
  • กระบวนการต่าง ๆ ที่ประสบภาวะวิกฤติจะต้องจัดการให้ดำเนินต่อไปได้/ได้รับการกู้คืน;
  • ระบุบทบาทและความรับผิดชอบต่าง ๆ และรายละเอียดการติดต่อกับบุคคลและทีมงาน ที่มีอำนาจหน้าที่ระหว่างหรือกำลังติดตามอุบัติการณ์ที่หยุดชะงัก;
  • กระบวนการจะต้องมีการร้องขอ และขยายการตอบสนอง;
  • ทรัพยากรต่าง ๆ ที่ต้องการเพื่อสนับสนุนการตอบสนองนี้;
  • กลยุทธ์การสื่อสาร;
  • รายละเอียดของความสัมพันธ์ในการพึ่งพากันและกัน;
  • รายละเอียดของความสัมพันธ์ในการพึ่งพากันและกัน;
  • รายละเอียดซัพพลายเออร์หรือผู้ค้าที่ประสบภาวะวิกฤติและทางเลือกในการจัด;
  • รายละเอียดข้อมูลระเบียบที่สำคัญที่มีความเกี่ยวข้อง, การเก็บรักษาและการเข้าถึงรายละเอียด;
  • กลยุทธ์ต่าง ๆ เพื่อจัดการกับความสูญเสีย/และการขัดจังหวะหรือหยุดชะงัก คือ
    • บุคลากร
    • ทรัพย์สิน
    • ระบบ
    • ผู้ให้ความช่วยเหลือต่าง ๆ

 ขั้นตอนที่ 4: การพัฒนากลยุทธ์การสื่อสาร (Develop a Communication Strategy)
       ส่วนสำคัญของการจัดการอุบัติการณ์ที่หยุดชะงัก คือ เพื่อพัฒนาการสื่อสารและกลยุทธ์การให้คำปรึกษาที่ชัดเจนและมีประสิทธิผล. กลยุทธ์มักจะถูกนำมาปรับใช้ในลักษณะที่สะท้อนขนาดของผลที่ตามมาทางธุรกิจ. ฝ่ายจัดการควรจัดตั้ง, ปฏิบัติการ, และรักษาขั้นตอนต่าง ๆ ไว้ เพื่อ :-
  • ตรวจติดตามอุบัติการณ์ด้านการหยุดชะงัก;
  • เฝ้าติดตามอุบัติการณ์ต่าง ๆ ตามปกติ;
  • จัดการการสื่อสารภายในองค์กรและรับ, เอกสารและสนองตอบการสื่อสารจากกลุ่มต่าง ๆ ภายในองค์กร;
  • สร้างความมั่นใจว่ามีวิธีการต่าง ๆ ด้านการสื่อสารที่เพียงพอในระหว่างมีอุบัติการณ์เกิดขึ้น;
  • จัดเตรียมสาธารณูปการการสื่อสารที่เป็นโครงสร้างด้วย เพื่อตอบสนองเร่งด่วนต่าง ๆ ;
  • บันทึกข้อมูลข่าวสารที่สำคัญเกี่ยวกับอุบัติการณ์, การปฏิบัติ, และการตัดสินใจ;


ขั้นตอนที่ 5: การอบรม, การทดสอบ, และแผนการบำรุงรักษา (Training, Testing, and Maintaining Plans )
การอบรม (Training)
       การอบรมจะสร้างความมั่นใจว่ามีสิ่งใดที่ได้พัฒนาและจัดทำเป็นเอกสารไปแล้วภายใน BCP จะสามารถเป็นหน่วยธุรกิจเพื่อกระบวนการต่าง ๆ ทางธุรกิจที่วิกฤติมีความยั่งยืนตามอุบัติการณ์ที่หยุดชะงัก.
       การศึกษาและการอบรม เป็นองค์ประกอบที่มีความสำคัญของกระบวนการ BCM และต้องการความมุ่งมั่นจากบุคลากรอุงค์กร ที่เกี่ยวข้องกับการวางแผน, การตอบสนอง, และปฏิบัติการกู้คืน, บางแนวทางสำหรับการฝึกอบรม ประกอบด้วย:
  • คณะกรรมการและวันที่มีการประชุม/การวางแผนทีมงาน.
  • การปฐมนิเทศพนักงาน.
  • การอบรมการจัดการด้านความเสี่ยง.
  • การอบรม BC เฉพาะ.
  • การทดสอบการอพยพด่วน.
       การอบรมในการสร้าง, การนำไปปฏิบัติ, การทดสอบและการบำรุงรักษา BCPs จะต้องมีการจัดการทั่วทั้งหน่วยงานที่ทำหน้าที่ตรวจสอบ, ความเสี่ยงและการปฏิบัติตามนโยบาย เป็นต้น.

การทดสอบ (Testing)
       ในขณะที่ตัวชี้วัดความสำเร็จที่วิกฤต, ทุกแผน BCPs จะต้องถูกนำมาทดสอบและประเมินบนฐานปกติ, ผลลัพท์ที่ได้เก็บเอกสารไว้, และการปรับปรุงที่ได้นำไปปฏิบัติแล้ว. ซึ่งเป็นการสร้างความมั่นใจว่ามันยังคงมีความเกี่ยวข้อง, เป็นปัจจุบันและมีประสิทธิผล. การตอบสนองและกิจกรรมการกู้คืนเป็นการฝึกฝนภายใต้สภาพการจำลอง เพื่อ:-
  • การนำกลยุทธ์และแผนต่าง ๆ ไปปฏิบัติและเป็นการท้าทายสมมติฐานต่าง ๆ .
  • ฝึกซ้อมบุคลากรในบทบาทของ BCM และความรับผิดชอบต่าง ๆ .
       การฝึกฝนเกี่ยวกับแผนด้าน BC อาจจะใช้รูปแบบที่หลากหลายประกอบด้วย:-
  • Desk check test - ตรวจสอบโครงสร้างและเนื้อหาของแผน.
  • Walk through test - อภิปรายหลักการทฤษฎีของแผน ด้วยการตรวจสอบว่าสามารถใช้ได้จริงหรือไม่. หรือ - จัดแผนให้ผู้เข้าอบรมเดินตามเกมตามขั้นตอนของแผนตอบสนองต่อสถานการณ์ เพื่อตรวจสอบตามความถูกต้อง ในบทบาทที่มีองค์ความรู้และยืนยันว่าแผนนั้นทำได้จริง เทียบกับวัตถุประสงค์ของธุรกิจต่าง ๆ และสภาพแวดล้อมด้านความเสี่ยง.
       การอธิบายถึงวิธีการและเทคนิคต่าง ๆ ให้เพียงพอต่อการทดสอบ BCP ตามกำหนดการในตารางที่แสดงต่อไป.

การบำรุงรักษา (Maintaining)
       ตารางสำหรับการบำรุงรักษาให้ดำเนินต่อไปของ BCP นั้นจะต้องจัดตั้งขึ้นและรายงานกับส่วนของกระบวนการประกันคุณภาพ. ตารางสนับสนุนจะเตรียมให้โดยผ่านหน่วยงานที่ทำการตรวจสอบ, ความเสี่ยงและการปฏิบัติตามระเบียบ (Compliance) ภายใต้อำนาจจองฝ่ายจัดการ.
       ตารางที่แสดงรายละเอียดวิธีการที่แนะนำ

 
ตารางที่ 1: วิธีการและเทคนิคแบบฝึกหัดของ BCP
(BCP exercise methods and techniques)
ประเภทของการทดสอบ
(Type of Test)
กระบวนการ
(Process)
ผู้เข้าร่วม
(Participants)
กรอบเวลา
(Time frame)
Desk Check ตรวจสอบโครงสร้างและเนื้อหาของแผน ผู้เขียนแผน รายปี
Walk Through อภิปรายแนวคิดทฤษฎีของแผนเพื่อตรวจสอบว่ามันใช้ได้จริงหรือไม่ ผู้เขียนแผน ผู้ใช้แผน รายปี
Simulation ใช้แผนเพื่อจำลองการตอบสนองทางทฤษฎีไปยังอุบัติการณ์ Facilitators ผู้ใช้แผนอื่น ๆ ตามที่กำหนด (เช่น ผู้สังเกตการณ์) สองครั้งต่อปี
Unit Text ยืนยันขั้นตอนการกู้คืนหรือการกู้คืนชิ้นงานด้านเทคโนโลยี ผู้ใช้ขั้นตอนการทำงานหรือเทคโนโลยีอื่น ๆ ตามที่กำหนด (เช่น ช่างเทคนิค) สองครั้งต่อปี
Unit Rehearsal ฝึกฝนขั้นตอนการกู้คืนหรือการกู้คืนชิ้นส่วนทางเทคโนโลยีตามคู่มือ ผู้ใช้ขั้นตอนการทำงานหรือเทคโนโลยีอื่น ๆ ตามที่กำหนด (เช่น ช่างเทคนิค) สองครั้งต่อปี
End-to-end ยืนยันว่าได้มีการกู้คืนในพื้นที่ที่กำหนดได้เสร็จสิ้นของงานองค์กร (กระบวนการทางธุรกิจ, ผลิตภัณฑ์หรือบริการ หรือ การเชื่อมโยงภายในทางเทคโนโลยี) ในพื้นที่ขององค์กรหรือสิ่งที่ได้กำหนดไว้สำหรับกระบวนการทางธุรกิจ, ผลิตภัณฑ์หรือบริการ, หรือผู้ใช้เทคโนโลยีที่มีการเชื่อมโยงภายใน อื่น ๆ ตามที่กำหนด (เช่น ช่างเทคนิค) รายปี
ซ้อมเต็มรูปแบบ (Full Rehearsal) ฝึกฝนการกู้คืนในพื้นที่ที่สมบูรณ์ของกระบวนการธุรกิจขององค์กร, ผลิตภัณฑ์หรือบริการหรือเทคโนโลยีที่มีการเชื่อมโยงภายในเป็นไปตามคู่มือ ผู้อยู่ในพื้นที่ขององค์กร หรือผู้ที่ได้กำหนดไว้สำหรับกระบวนการทางธุรกิจ, ผลิตภัณฑ์หรือบริการ, หรือผู้ใช้ในส่วนเทคโนโลยีที่มีการเชื่อมโยงกับภายใน อื่น ๆ ตามที่กำหนด (เช่น ช่างเทคนิค) สองครั้งต่อปี
 

       ฝ่ายจัดการจะต้องทำ, จัดหาสถานที่อบรม, รับผิดชอบสำหรับการสร้างความมั่นใจในแบบฝึกหัดต่าง ๆ โดยพิจารณาต้นทุน, ความซับซ้อนและความเสี่ยงและการถูกนำไปใช้ประโยชน์ในช่องว่างที่เหมาะสม และภายหลังจากอุบัติการณ์การหยุดชะงัก.


ขั้นตอนที่ 6: การเปิดใช้งาน และการปรับใช้ตามแผน (Activation and deployment of  Plans)
       เมื่อบังเกิดอุบัติการณ์ด้านการหยุดชะงักและผลลัพท์จากการเปิดใช้งาน ขั้นตอนการทำงานตาม BC, ฝ่ายจัดการและบุคลากรที่สำคัญที่มีส่วนเกี่ยวข้อง จะต้องรับภาระ การซัก-ถาม ภายหลังที่มีอุบัติการณ์ด้านการหยุดชะงัก และบันทึกการสังเกตการณ์ทั้งหมดและแนะนำให้ข้อมูลแผนการปฏิบัติการในภายหลัง.



6.  การเชื่อมโยงระหว่าง BCP, ความฉุกเฉิน, และการวางแผนด้านวิกฤติและการกู้คืนจากอุบัติภัย (LINK BETWEEN BCP, EMERGENCY, CRISIS, ANS DISASTER RECOVERY PLANNING)
       ความเชื่อมโยงระหว่าง BCP, ความฉุกเฉิน, และการวางแผนด้านวิกฤติการกู้คืนจากอุบัติภัยนั้นเป็นสิ่งสำคัญมาก. นี่เป็นข้อกำหนดขององค์กร ที่สามารถวางตำแหน่งประเด็นปัญหาใด ๆ ของภัยคุกคามในระยะเริ่มแรก, มีความเหมาะสมมากที่สุดและเป็นลักษณะที่มีประสิทธิผล
       ภาพแสดงต่อไปนี้ แสดงความเชื่อมโยง


       มีจำนวนระยะ (Phase)
ตามลำดับของอุบัติการณ์หยุดชะงักที่เป็นการเปิด BCP ให้ใช้งานได้ ได้แก่:
  • อุบัติการณ์หยุดชะงัก เป็นเหตุให้กระบวนการล้มเหลว;
  • การตอบสนองทันที ประกอบด้วย การประเมินสภาพการณ์และความปลอดภัย และความมั่นคงของบุคลากร, สินทรัพย์และสภาพแวดล้อม;
  • แผนได้ร้องขอให้กระบวนการ (แก้ปัญหา) ด้านวิกฤติการณ์มีความยั่งยืน และเริ่มต้นระยะที่กู้คืนการดำเนินงานและ
  • ระบบเทคโนโลยีสารสนเทศ สนับสนุนการทำงานอย่างเต็มกำลัง;
  • ควรให้ BCP ไม่มีประสิทธิผล มันอาจจะจำเป็นที่จะบานปลายขยายขอบเขตกิจกรรมกู้คืนทั้งแผนการกู้คืนฉุกเฉิน หรือแผนการจัดการวิกฤติการณ์ - BCP ต้องเข้าร่วมเส้นทางที่จะบานปลายนี้.
  • แผนการย่อตัวลงจะตามติดการเริ่มต้นใหม่ของกิจกรรมปกติ.
       การตอบสนองในระยะนี้อาจจะทำให้เรื่องมันจบเร็วหรือเวลายืดเยื้อ, และมันมีความสำคัญที่จะสื่อสารอย่างชัดเจน, และสามารถบังคับบัญชานั้นแจ่มชัด.

       เส้นทางที่มีความบานปลายตามอุดมคติ ได้แสดงไว้ดังนี้:-

ภาพที่ 6: BCM Escalation Path






 


7.  บทบาทและความรับผิดชอบ (ROLES AND RESPONSIBILITIES)
       องค์กรและคณะกรรมการองค์กร มีความรับผิดชอบต่อแผนการจัดการความต่อเนื่องทางธุรกิจ และความยืดหยุ่น. ความเป็นเจ้าของในกรอบงาน BCM คือฝ่ายจัดการ ที่รับผิดชอบกรอบงานการจัดการความเสี่ยง.
       บทบาทและความรับผิดชอบด้าน BCM สัมพันธ์กับกำหนดการของกรอบการจัดการความเสี่ยงขององค์กร, เพิ่มเติมคือ, ฝ่ายจัดการ, มีความรับผิดชอบสำหรับความยั่งยืนของงานสำคัญทางธุรกิจที่มีความเสี่ยงต่อการประสบภาวะวิกฤติ.




8.  การสื่อสาร (COMMUNICATION)
       เพื่อให้การสื่อสารด้าน BCM มีความต่อเนื่องและมีการให้คำปรึกษาแก่ทุกภาคส่วนที่เกี่ยวข้อง คือ การจัดการผ่านหน่วยงานด้านตรวจสอบ, ความเสี่ยงและการนำไปปฏิบัติ (Compliance) และผู้จัดการด้านเสี่ยงและการวางแผนความต่อเนื่องทางธุรกิจ ภายใต้การกำกับของฝ่ายจัดการ (ที่เกี่ยวข้อง).
       การวางแผนจัดการด้านเสี่ยงและความต่อเนื่องทางธุรกิจ เป็นการรับผิดชอบสำหรับการเอื้ออำนวยในการบูรณาการและแนวทางการร่วมมือแก่การจัดการเรื่องความเสี่ยงและความต่อเนื่องด้วยแก่นบริการต่าง ๆ กำหนดไว้ดังนี้:-
  • พัฒนาและการธำรงนโยบาย.
  • นำไปปฏิบัติและบำรุงรักษาโปรแกรม BCM.
  • สนับสนุนการวางแผนกลยุทธ์ ความเสี่ยงและความต่อเนื่องทางธุรกิจ.
  • การให้คำปรึกษาภายในองค์กร เพื่อสร้างขีดความสามารถโดยผ่านการอบรม, ขีดความสามารถในการฝึกหัด, การติดตามผลการดำเนินงาน, การประเมินและการรายงาน; และ
  • เป็นตัวแทนในการประชุม Forum ที่เหมาะสม.



9.  กรอบงานด้านการบำรุงรักษาและประกันคุณภาพ (FRAMEWORK MAINTENANCE AND ASSURANCE)
      องค์กรจะต้องดำเนินการตรวจสอบภายใน ตามช่วงโหว่จุดอ่อนที่ได้วางแผนไว้ เพื่อให้ข้อมูลข่าวสาร และการประกันคุณภาพ ขึ้นอยู่กับว่า:-
  • กรอบงาน BCM นั้น สอดคล้องกับข้อกำหนดขององค์กร, มีมาตรฐานที่เกี่ยวข้องและมีแนวปฏิบัติที่ดี,
  • กระบวนการด้าน BCM ต่าง ๆ คือ การนำไปปฏิบัติและบำรุงรักษาอย่างมีประสิทธิผล;
  • BCPs จะได้รับการธำรงรักษาเป็นปกติโดย:
    • การอบรมเป็นประจำและการซ้อมบุคลากรที่สำคัญ.
    • ให้ความมั่นใจถึงความเพียงพอของทรัพยากรที่วิกฤติ.
    • ให้ความมั่นใจถึงข้อมูลข่าวสารด้านสกุลเงิน, รายชื่อผู้ติดต่อที่เป็นการเฉพาะ.
  • BCPs จะมีการทดสอบเป็นปกติ เพื่อสร้างความมั่นใจ BCPs มีการปรับปรุงสำหรับการเปลี่ยนแปลงทางด้านเทคโนโลยี, บุคลากร, และสภาพแวดล้อมด้านความเสี่ยง และสามารถปรับใช้ได้จริง.
 

     

​​​​​​​
info@huexonline.com