การบริหารความต่อเนื่องทางธุรกิจ
(Business Continuity Management : BCM)
Topic I ความเชื่อมโยงของระบบบริหารความเสี่ยงองค์กร กับ การบริหารความต่อเนื่องทางธุรกิจ (Linkage between Enterprise Risk
Management and Business Continuity Management)
ประเภทความเสี่ยงตามมาตรฐานสากล (COSO ERM)ขององค์กร ถูกแบ่งเป็น 4 ประเภท ได้แก่ ความเสี่ยงเชิงกลยุทธ์ ความเสี่ยงเชิง
ปฏิบัติการ ความเสี่ยงทางด้านการรายงาน และความเสี่ยงเชิงกฎระเบียบ ความเสี่ยงดังกล่าวมีวิธีการจัดการแตกต่างกันไปตามกลไกการ
จัดการขององค์กร เช่น บางความเสี่ยงอาจต้องยอมรับ (Accept) บางความเสี่ยงอาจต้องถ่ายโอน (Transfer) หรือบางความเสี่ยงอาจจะต้อง
มีการจัดการความเสี่ยงเพื่อลดระดับความเสี่ยงให้อยู่ในระดับที่องค์กรรับได้เป็นต้น
อย่างไรก็ตามองค์กรยังคงประสบกับความเสี่ยงด้านภัยพิบัติธรรมชาติ ความเสี่ยงทางการเมือง ความเสี่ยงของระบบสารสนเทศล่ม
ทั้งองค์กร ความเสี่ยงจากภัยสาธารณูปโภคและอื่น ฯลฯ ความเสี่ยงชุดหลังนี้หากเกิดขึ้นจะเกิดความเสียหายและเกิดการหยุดชะงักขององค์กร
(Organization-Wide Impact) เป็นความเสี่ยงที่ต้องได้รับการจัดการด้วยแผนบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan, BCP)
ดังนั้น หากองค์กรพิจารณาระบบบริหารความเสี่ยงเป็นระบบใหญ่ ในการบริหารจัดการความเสี่ยง การบริหารความต่อเนื่องทางธุรกิจถือ
เป็นส่วนหนึ่งของวิธีการจัดการความเสี่ยง (Mitigation Plan) ที่ใช้จัดการความเสี่ยงที่ส่งผลรุนแรงต่อการหยุดชะงักขององค์กร
หากมองมุมกลับกัน ทุกองค์กรไม่ควรลงทุนในการสร้างแผน BCP กับทุกกระบวนงาน เนื่องจากการจัดทำ BCP จำเป็นต้องใช้ทรัพยากร
ทั้งคน ระบบงาน และเงินลงทุน กล่าวคือ ในกระบวนการบริหารความต่อเนื่องทางธุรกิจ สิ่งที่สำคัญคือ การพิจารณาว่า “กระบวนงานที่สำคัญ
ขององค์กร ที่หากหยุดชะงัก จะส่งผลกระทบอย่างมากต่อองค์กร คืออะไร” จากคำถามดังกล่าว กลไกการบริหารความเสี่ยงจะต้องดำเนินการ
เป็นอันดับต้นๆก่อนเริ่มลงทุนจัดทำ BCP เพื่อตรวจสอบว่า ความเสี่ยงขององค์กรที่สำคัญ ขึ้นอยู่กับงานใด เพื่อลงทุนในการจัดทำ BCP ต่อไป
Topic II การเริ่มต้นในการจัดทำแผนการบริหารความต่อเนื่อง (How to start to conduct BCM)
Life cycle of BCM : BS25999 Standard
ขั้นตอนการดำเนินการตามมาตรฐาน BS25999
|
Name of Phase |
How |
Output |
|
BCM Programme Management |
- จัดทำกรอบ นโยบาย BCM - กำหนดโครงสร้าง หน้าที่และความรับผิดชอบ ของบุคลากร ตั้งแต่ผู้บริหารถึง พนง.ระดับต่างๆ - จัดตั้งทีมงานด้าน BCM - กำหนดตัวชี้วัดผลการดำเนินงานของ พนง. รวมทั้งการปรับระดับของเหตุการณ์ - กำหนดวิธีการบริหารโครงการ BCM - การติดตามรายงานความคืบหน้า |
- มีกรอบ นโยบาย - มีทีมงานในการกำหนดการ ดำเนินงาน BCM - มีตัวชี้วัดผลการดำเนินงาน - มีแนวทางการบริหารโครงการ BCM |
|
Understanding the Organization |
- ศึกษาบริบทขององค์กร - ทำการวิเคราะห์ผลกระทบทางธุรกิจและทำการ ประเมินความเสี่ยง - จัดลำดับความสำคัญของกระบวนงาน |
เข้าใจบริบทและกระบวนงานขององค์กรที่สำคัญ
|
|
Determining BCM Strategy |
กำหนดกลยุทธ์ในการตอบสนองต่อเหตุการณ์วิกฤติ เช่น การกู้คืนการดำเนินงาน การจัดการทรัพยากรที่เหมาะสม |
มีแผนงานในการปฏิบัติงานเมื่อเกิดเหตุการณ์วิกฤติ ที่จะส่งผลกระทบต่อองค์กรน้อยที่สุด |
|
Developing and Implementing BCM Response |
จัดทำแผนงานเพื่อตอบสนองต่อเหตุการณ์วิกฤติที่เกิดขึ้น เช่น แผนฉุกเฉิน แผนความต่อเนื่องทางธุรกิจ แผนการกู้คืนทางธุรกิจ |
มีแนวทางในการปฏิบัติงานที่รองรับ เหตุการณ์วิกฤติได้จริง |
|
Exercising Maintaining and Reviewing |
ทดสอบระบบ และประเมินประสิทธิภาพของแผนงาน เพื่อให้แน่ใจว่าเมื่อเกิดเหตุการณ์วิกฤติแล้ว สามารถดำเนินการได้จริง |
สามารถดำเนินการได้ตามแผนงานที่กำหนดไว้ |
|
Embedding BCM in the Organization's Culture |
ปลูกฝังให้ BCM เข้ามาเป็นส่วนหนึ่งของวัฒนธรรมองค์กร |
บุคลากรให้ความสำคัญกับแผน BCM |