Risk Management Forum

ศูนย์ข้อมูลความรู้เกี่ยวกับ การบริหารจัดการความเสี่ยง

BCP แผนบริหารความต่อเนื่องทางธุรกิจสำหรับบริหารภัยพิบัติ-เรื่องที่ 331

อาจารย์จิรพร สุเมธีประสิทธิ์

sumetheeprasit@hotmail.com

https://chirapon.wordpress.com

ในกิจการที่ยอมรับความเสี่ยงจากมหันตภัยว่ามีอยู่จริง และกิจการจะต้องเตรียมความพร้อมก่อนล่วงหน้า และพัฒนาศักยภาพของตนเองเพื่อรับมือและตอบโต้กับความเสี่ยงที่รุนแรงและกระทบต่อการดำเนินงานอย่างเต็มกำลัง แผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan จะต้องจัดทำขึ้นโดยใช้ความรอบคอบและความระมัดระวังอย่างยิ่งในการดำเนินการ และต้องมั่นใจด้วยว่าแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan จะต้องใช้ได้จริงในภาคปฏิบัติด้วย ตลอดจนแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan นั้นจะต้องเป็นแผนที่เตรียมสำหรับสถานการณ์มหันตภัยแต่ละกรณีไป ไม่ใช่ใช้แผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan เดียวกันในทุกกรณี

สิ่งที่ควรจะให้ความสำคัญและมีความเข้าใจและการรับรู้ในการจัดทำแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan ประกอบด้วย

ประการที่ 1 ก่อนการบริหารแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan กิจการจะต้องๆได้ผลลัพธ์จากกระบวนการวิเคราะห์ผลกระทบทางธุรกิจ (BIA : Business Impact Analysis) อย่างเพียงพอ และมั่งใจว่าใช้ได้ในแง่ที่ได้ระบุถึง1) ภัยคุกคามและอุปสรรค

2) ข้อมูลความเสี่ยง ประกอบด้วยกระบวนการที่เสี่ยง เหตุการณ์ความเสี่ยงในแต่ละกระบวนการ และปัจจัยความเสี่ยงที่ทำให้เกิดเหตุการณ์ความเสี่ยงที่กระทบต่อการดำเนินงานของกิจการ

นอกจากนั้น  กิจการจะต้องใช้กระบวนการบริหารความเสี่ยงภายในกิจการอย่างต่อเนื่องและเต็มที่โดยไม่ต้องคำนึงว่ามีแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan หรือไม่  เพื่อบรรเทาระดับความเสี่ยงจากเหตุการณ์ความเสี่ยงในลักษณะต่าง ๆ ลงให้มากที่สุดเท่าที่จะเป็นไปได้  เพื่อให้ภาระที่หลงเหลือที่จะป้อนเข้าไปสู่กระบวนการพัฒนาแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan ลดลงให้มากที่สุด

ตัวอย่างเช่น การจัดซื้อเครื่องปั่นไฟฟ้าสำรอง (Generator) เพื่อรองรับการหยุดชะงักของการจ่ายกระแสไฟฟ้า หรือการจัดหาเครือข่ายการเชื่อมโยงโทรคมนาคมต่างช่องทางต่างเครือข่าย ที่ทำให้ดึงข้อมูลขึ้นมาใช้งานไดเ หากเกิดการหยุดชะงักของระบบโทรคมนาคมที่กระทบการเชื่อมโยงเครือข่าย

ประการที่ 2 การวิเคราะห์ศักยภาพการกอบกู้ธุรกิจที่กิจการมีอยู่ในปัจจุบันก่อนการแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Planการสำรวจและวิเคราะห์ศักยภาพและความพร้อมในการกอบกู้ธุรกิจที่มีอยู่แล้วในปัจจุบัน ซึ่งจะช่วยให้เห็นสภาพแวดล้อมของการเตรียมการและความพร้อมที่จะต้องนำไปต่อยอดในการทำแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan แต่ไม่ใช่การดำเนินการที่ซ้ำซ้อนกัน และต้องแยกส่วนที่มีอยู่แล้วออกจากส่วนที่ต้องมีการพัฒนาต่อไปภายใต้แผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan ได้อย่างเหมาะสม โดยไม่ได้ละเลยส่วนใดส่วนหนึ่งไป
ประการที่ 3 กรอบแนวทางปฏิบัติในการทำแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan1) กรอบของแผนต้องยึดและเชื่อมโยงกับผลการวิเคราะห์ผลกระทบทางธุรกิจหรือ BIA อย่างแน่นหนา  เพื่อให้แผนสนองตอบรับกับความต้องการป้องกันจุดอ่อนอย่างแท้จริง

2) วัตถุประสงค์สำคัญของแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan คือ การพัฒนากิจกรรมที่จะบกระดับความสามารถ ศักยภาพ ความพร้อมในการตอบโต้ เพื่อลดความรุนแรงของพิบัติภัยหรือมหันตภัยที่กระทบต่อการกิจการจนต้องหยุดชะงักทางธุรกิจ

3) กิจกรรมในแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan จึงขึ้นอยู่กับการรับรู้ความเสี่ยงจากมหันตภัย และความรุนแรงของผลกระทบจากการหยุดชะงักการดำเนินธุรกิจในแต่ละสถานการณ์

เช่น การซื้อกระสอบทรายสามารถบริหารจัดการได้เฉพาะภาวะน้ำท่วมที่ไม่สูงมากนัก แต่ถ้าจะบริหารน้ำท่วมในกระดับสูงขึ้นไปอีก เช่น ท่วมชั้นล่างของสถานประกอบการ ก็ต้องย้ายสิ่งของทุกอย่างขึ้นไปไว้ที่ชั้นสองทั้งหมด แต่ถ้าระดับน้ำสูงกว่านั้น หรือเกิดในวงกว้างเชิงพื้นที่ และติดต่อกันเป็นระยะเวลายาวนาน ก็อาจจะต้องย้ายไปตั้งทำธุรกิจในสถานประกอบการแห่งอื่น  ที่อยู่นอกพื้นที่น้ำท่วม

หรือกรณีของระบบงานคอมพิวเตอร์ล่ม ไม่สามารถทำงานได้ตามปกติ กิจการก็อาจจะหันไปใช้แบบฟอร์มกระดาษและทำงานด้วยมือ (manual) แทนไปพลางก่อน ในขณะที่บางกิจการอาจจะยอมให้สถานการณ์และช่วงเวลาการล่มของระบบงานคอมพิวเตอร์จำกัดเพียงไม่กี่นาที จะต้องกอบกู้ระบบงานให้ได้ เช่น ตลาดหลักทรัพย์ สถาบันการเงิน ที่อาจจะต้องสลับการใช้ระบบงานไปยังระบบงานสำรองที่อยู่นอกพื้นที่ปกติโดยทันที 

4) ทางเลือกของกิจกรรมที่เป็นไปได้ในจะบรรจุไว้ในแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan จะต้องผ่านขั้นตอนของการวิเคราะห์ความคุ้มค่า โดยเปรียบเทียบต้นทุนและผลประโยชน์ที่จะได้รับในแต่ละทางเลือก  และจัดเรียงลำดับทางเลือกที่เหมาะสมมากที่สุดตามลำดับ

5) ทางเลือกที่ใช้เป็นกิจกรรมในแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan ไม่ควรติดตรึง และควรมีเพียงพอหลากหลายทางเลือก เพื่อให้มีทางออกที่ยืดหยุ่น และสร้างทางเลือกสำรอง 2 หรือ 3 ทางเลือกตามความจำเป็น เผื่อไว้ใช้ได้ในกรณีฉุกเฉินที่ไม่อาจจะปฏิบัติตามทางเลือกแรกได้ หรือสถานการณ์จริงไม่ตรงกับการใช้ทางเลือกแรก เพราะการสร้างแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan อยู่บน Scenario ที่สร้างขึ้นจากการกำหนดภาพของสถานการณ์เอง อาจจะไม่ตรงกับความความจริงที่เกิดขึ้น

ประการที่ 4 การเตรียมการเพื่อตอบโต้หากเกิดภาวะหยุดชะงักทางธุรกิจ1) จะต้องมีทีมงานเพื่อเข้าไปจัดการในลักษณะ (ก) บัญชาการเพื่อป้องกันความเสียหาย (ข) มีทีมงานที่สนับสนุนการปฏิบัติการพลิกฟื้นธุรกิจ และ (ค) ทีมงานปฏิบัติการตอบโต้กับพิบัติภัยหรือมหันตภัยระหว่างเกิดเหตุอย่างครบถ้วนและเพียงพอ

2) บุคลากรที่เป็นทีมงานจะต้องเลือกจากคุณสมบัติและประสบการณ์ที่กำหนดไว้ล่วงหน้าอย่างเข้มงวด หรือเป็นบุคคลที่ผ่านหลักสูตรการอบรม และผ่านประสบการณ์จนมีความรอบรู้เกี่ยวกับหน้าที่ความรับผิดชอบอย่างดี

3) จำนวนบุคลากรและขอบเขตหน้าที่ความรับผิดชอบของแต่ละคนในทีมงาน อาจจะแตกต่างกันออกไปในแต่ละกิจการตาม (ก) ขนาดของกิจการ (ข) ประเภทและลักษณะของธุรกิจ (ค) โครงสร้างของภาสระงานวิกฤติที่เกี่ยวข้องกับการพลิกฟื้นธุรกิจ โดยควรจะรวมถึงอำนาจหน้าที่และบทบาทของ

3.1) ทีมออกคำสั่งและบัญชาการ ประกอบด้วย ทีมบริหารวิกฤติ ทีมตอบโต้ระหว่างวิกฤติ และทีมงานบริหารงานพลิกฟื้นกิจการ

3.2) ทีมที่เน้นการปฏิบัติงานเฉพาะทางธุรกิจ ประกอบด้วย

     ก) ทีมประสานงาน ณ สถานประกอบการสำรอง

     ข) ทีมที่ว่าจ้างมาเป็นพิเศษตามสัญญา

     ค) ทีมดูแลวัสดุในการบริหารพิบัติภัย

     ง) ทีมประสานงานกับประกันภัย และทีมงานกฎหมาย

     จ) ทีมกอบกู้ระบบโทรคมนาคม  การเชื่อมโยงเครือข่าย 

     ฉ) ทีมบริหารเครื่องมือ อุปกรณ์

     ช) ทีมดูแล mainframe

     ซ) ทีมประกาศเตือน

     ฌ) ทีมมวลชนสัมพันธ์และ Call Center

ประการที่ 5 สิ่งอำนวยความสะดวก โครงสร้างพื้นฐานสำรองกรณีสิ่งอำนวยความสะดวก โครงสร้างพื้นฐาน สินทรัพย์ IT เครือข่าย และแอบพิเคชั่นหลัก ๆ สูญเสียไปพร้อมกับการเกิดพิบัติภัยหรือมหันตภัย กิจการจะต้องจัดหาสิ่งอำนวยความสะดวก โครงสร้างพื้นฐานสำรองขึ้นใหม่  เพื่อทำงานทดแทน

โดยทั่วไป สิ่งอำนวยความสะดวกและโครงสร้างพื้นฐานสำรอง มักจะมี 3 ประเภท

1) Cold Site ไม่ได้มีไว้เพื่อพร้อมกับการดำเนินงาน  จะต้องมีการปรับปรุง เพิ่มเติม ติดตั้งอุปกรณ์ก่อนจึงจะเริ่มดำเนินงานอีกครั้งได้  ซึ่งเป็นงานที่ต้องเผื่อเวลาส่วนนี้ไว้ก่อนจะเริ่มดำเนินการอีกครั้ง

2) Warm Site มีการเตรียมการอุปกรณ์ทางอิเล็กทรอนิกส์ อุปกรณ์อื่น เฟอร์นิเจอร์ เพื่อให้พร้อมสำหรับเข้าไปดำเนินงานได้ทันที

กิจการอาจจะใช้เวลาช่วงสั้น ๆ เป็นชั่วโมง ในการตรวจตราความพร้อมก่อนที่จะเริ่มดำเนินงานได้เต็มที่ แต่ระยะเวลาการเตรียมการนี้จะน้อยกว่ากรณีของ Cold Site

3) Hot Site จะมีอุปกรณ์ เฟอร์นิเจอร์เหมือนกับ Warm Site แต่เพิ่มเติมบุคลากรสำรองรอพร้อมไว้ สามารถเริ่มปฏิบัติงานแทนได้ภายในเวลาไม่กี่นาที  แต่กิจการต้องลงทุนด้วยเงินงบประมาณสูงสุด

ประการที่ 6 ขั้นตอนและวิธีปฏิบัติในการเตรียมความพร้อมของแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan1) การอบรม จะช่วยให้การปฏิบัติจริงตามแผนมีความราบรื่น และใช้งานได้จริงอย่างมีประสิทธิภาพ โดย

  ก) มีบุคลากรเต็มที่ตามแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan และแต่ละคนเข้าใจและมีศักยภาพในการปฏิบัติงานได้จริงตามบทบาทและความรับผิดชอบ

  ข) มีบุคลากรที่มีความรับผิดชอบและรับมอบหมายโดยตรงเข้ารับการอบรมบทบาทของตน และความรับผิดชอบที่มีต่อทีมงาน

2) การทดสอบปฏิบัติเสมือนจริง (Exercise Test) เกิดขึ้นภายหลังจากการอบรม ด้วยการพัฒนาและวางตารางเวลาและกำหนดการเพื่อให้บรรลุผลและสะท้อนความพร้อมและสมรรถนะในภาคปฏิบัติจริง

การทดสอบปฏิบัติเสมือนจริงนี้อาจจะใช้เวลาและทรัพยากรค่อนข้างมาก เพื่อให้ได้วิธีการปฏิบัติงานที่ดีที่สุด และให้ผลที่เที่ยงตรงตามแผนที่วางไว้

สิ่งที่ควรจะพิจารณาในการจัดการทดสอบปฏิบัติเสมือนจริง ได้แก่

ก) เป้าประสงค์ที่จะทำการทดสอบ

ข) ผลที่คาดว่าจะเกิดจากการทดสอบ

ค) เกณฑ์การวัดผลสำเร็จ

ง) เงื่อนไขสภาพแวดล้อมในการทดสอบ

จ) ข้อมูลพื้นฐานก่อนการทดสอบ

ฉ) ขั้นตอนปฏิบัติที่เป็นสคลิปต์ในการปฏิบัติงาน

ช) อุปกรณ์ เครื่องมือ ระบบงานที่เกี่ยวข้อง

ซ) คู่มือของผู้ปฏิบัติงานแต่ละคน

ฌ) การสื่อสาร ซักซ้อม ทำความเข้าใจจนชัดเจน

ประการที่ 7 การทบทวนแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan ควรจะดำเนินการเพื่อวิเคราะห์ความถูกต้อง เหมาะสม ประสิทธิผลของแผน  และบทสรุปเกี่ยวกับประเด็นที่สำคัญของแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan ที่ควรมีการปรับปรุงใหม่ให้ดีขึ้นการประเมินสถานะของแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan เป็นเรื่องที่ควรจะดำเนินการบ่อยครั้งและมีความถี่ตามความจำเป็น เพื่อให้เกิดความคงที่ด้านประสิทธิผลของแผนรูปแบบของการทบทวนแผน ควรจะประกอบด้วยประเด็นต่อไปนี้

1)  การทบทวนประเด็นเฉพาะที่อยู่ภายในกิจการเอง ในกรณีที่

    ก) ครบกำหนดเวลาที่วางไว้ล่วงหน้า เช่น ทุก 6 เดือน หรือปีละ 2 ครั้งเป็นอย่างน้อย

    ข) สภาพแวดล้อมที่เป็นภัยคุกคามเกิดภาวะที่มีการเปลี่ยนแปลง

    ค) มีการปรับโครงสร้างองค์กรที่ส่งผลต่อการโยกย้ายสับเปลี่ยนตำแหน่งงาน

2)  การทบทวนประเด็นจากการตรวจสอบอิสระโดยภายนอก

สำหรับผู้ตรวจสอบอิสระจากภายนอก ที่เข้าไปตรงจสอบกิจการในส่วนของแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan อาจจะพิจารณาประเด็นที่เกี่ยวกับ

    ก) ความเหมาะสมของกระบวนการ ขั้นตอนที่ใช้ในการกำหนดภาวะงานวิกฤติ

    ข) วิธีการ ความถูกต้อง ความซับซ้อนของแผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan

3) สิ่งที่ต้องดำเนินการ หากเกิดภาวการณ์หยุดชะงักทางธุรกิจ

ประการที่ 8 การตอบโต้กับพิบัติภัยหรือมหันตภัย มักจะกำหนดออกเป็น 3 ส่วน ได้แก่ส่วนที่ 1

การบริหารเพื่อควบคุมเหตุ ด้วยการแจ้งข่าวกับผู้บริหารบุคลากรที่เกี่ยวข้อง  การเข้าดำเนินการควบคุมเหตุ ระบุขนาดและขอบเขตของความเสียหาย เริ่มต้นการใช้แผนบริหารความต่อเนื่องทางธุรกิจหรือแผน BCP : Business Continuity Plan การประสานงานเพื่อขอความสนับสนุนจากแหล่งภายในและภายนอกกิจการ

ส่วนที่ 2

การบริหารการสื่อสาร เพื่อควบคุมข่าวลือ ข่าวที่ไม่จริง ข่าวที่สร้างความเสียหาย การรักษาความสัมพันธ์กับสื่อ หน่วยงานที่ให้บริการในภาวะฉุกเฉิน ผู้ขายระบบงานหลัก สร้างความมั่นใจลดความสับสน และความวิตกกังวล

ส่วนที่ 3

การบริหารงานพลิกฟื้นธุรกิจ ด้วยการตั้งศูนย์ปฏิบัติการในภาวะฉุกเฉิน เพื่อเริ่มทำการพลิกฟื้น

สนใจเชิญบรรยายหัวข้อนี้ติดต่อ sumetheeprasit@hotmail.com

Advertisements

มิถุนายน 4, 2012 - Posted by | BCM และDRP | , , , , , , , , , , , , , ,

ยังไม่มีความเห็น

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out /  เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out /  เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out /  เปลี่ยนแปลง )

w

Connecting to %s

%d bloggers like this: