BS 25999 มาตรฐานการบริหารความต่อเนื่องทางธุรกิจ ตอนที่ 4

การนำไปปฏิบัติและการดำเนินการ

 

การวิเคราะห์ผลกระทบทางธุรกิจ (Business impact analysis)

องค์กรจะต้องมีการพิจารณาถึงผลกระทบของการหยุดชะงักที่มีต่อกิจกรรมต่างๆ ซึ่งสนับสนุนต่อผลิตภัณฑ์และบริการหลักขององค์กร โดยจะต้องมีการจัดทำกระบวนการ แนวทางในการค้นหา และการจัดทำข้อสรุปไว้เป็นเอกสารอย่างชัดเจนด้วย ทั้งนี้ขั้นตอนหลักๆ ของการวิเคราะห์ผลกระทบทางธุรกิจ จะประกอบด้วย

·        การระบุถึงกิจกรรมที่ให้การสนับสนุนต่อผลิตภัณฑ์และบริการหลัก

·        การระบุถึงผลกระทบที่เกี่ยวข้องกับกิจกรรมเหล่านั้น

·        การประเมินเวลาส่วนเกินของกิจกรรมที่ได้รับผลกระทบ

·        การกำหนดช่วงเวลาที่มากที่สุดของการหยุดชะงักที่สามารถยอมรับได้ ในแต่ละกิจกรรม

·        การระบุถึงความเกี่ยวข้องกันของกิจกรรมต่างๆ รวมถึงผู้ส่งมอบ และที่มีการจ้างงานจากภายนอก

·        ประเภทของกิจกรรมที่มีความสอดคล้องกันกับลำดับความสำคัญในการฟื้นฟูสภาพ  

·        การคาดการณ์ทรัพยากรในแต่ละกิจกรรมที่จะต้องใช้ตามความต้องการของผู้มีส่วนได้เสีย

·        การกำหนดเป้าหมายของเวลาที่ใช้ในการฟื้นฟูแก้ไขสำหรับกิจกรรมหลัก ภายในช่วงเวลาที่มากที่สุดที่ยอมรับได้

·        การทบทวนถึงความเพียงพอของการวิเคราะห์ผลกระทบทางธุรกิจเป็นระยๆ หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้นกับองค์กร 

 

การประเมินความเสี่ยง

ในการประเมินความเสี่ยง จะต้องมีการกำหนดไว้เป็นกระบวนการ และมีการจัดทำเป็นเอกสารอย่างชัดเจนด้วย โดยการประเมินความเสี่ยงจะช่วยให้องค์กรมีความเข้าใจในภัยอันตรายต่างๆ ที่จะเกิดขึ้นกับกิจกรรมหลักๆ ขององค์กร รวมถึงทรัพยากรที่ต้องใช้ในการสนับสนุน นอกจากนั้น องค์กรจะต้องทำความเข้าใจถึงผลกระทบที่จะเกิดขึ้นจากภัยอันตรายที่ได้ระบุไว้ ซึ่งจะนำไปสู่เหตุการณ์ความไม่ต่อเนื่อง (Incident) และเป็นสาเหตุทำให้เกิดการหยุดชะงักทางธุรกิจได้  

 

ในขั้นตอนต่างๆ ของการประเมินความเสี่ยง จะประกอบด้วย

·        การระบุถึงภัยอันตราย (Treat)

·        การระบุถึงจุดอ่อนของกิจกรรม หรือกระบวนการที่จะทำให้เกิดภัยอันตรายนั้นๆ  

·        การจัดทำเอกสารแสดงถึงผลกระทบที่เกี่ยวกับการระบุภัยอันตราย และจุดอ่อน รวมถึงความเสี่ยงที่เกี่ยวข้อง

·        การขึ้นทะเบียนความเสี่ยง

·        การระบุและจัดทำเป็นเอกสาร สำหรับแนวทางในการขจัดความสูญเสีย และการจัดการกับความเสี่ยงต่างๆ  

·        การทบทวนถึงความเพียงพอของการประเมินความเสี่ยงที่ได้ดำเนินการไปแล้ว รวมถึงเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้นกับกิจกรรมขององค์กร

 

การพิจารณาทางเลือก

เมื่อทำการประเมินความเสี่ยงแล้ว ขั้นตอนถัดไป องค์กรจะต้องทำการพิจาณาถึงทางเลือกต่างๆ ที่จะใช้ในการขจัดความเสี่ยงที่สำคัญที่ได้จากการประเมิน รวมถึงแนวทางในการบรรเทาความสูญเสียต่างๆ ที่อาจจะเกิดขึ้นด้วย ทั้งนี้แนวทางที่จะใช้ ประกอบด้วย 

·        ลดโอกาสของการหยุดชะงักลง

·        ทำให้ช่วงเวลาในการหยุดชะงักเกิดขึ้นน้อยที่สุด และ

·        ควบคุมผลกระทบของการหยุดชะงักที่มีต่อผลิตภัณฑ์และบริการหลักขององค์กรให้เกิดขึ้นน้อยที่สุด

 

การกำหนดกลยุทธ์ความต่อเนื่องทางธุรกิจ

นอกจากนั้น องค์กรจะต้องกำหนดแนวทางในการฟื้นฟูสภาพ (Recovery) สำหรับกิจกรรมที่สำคัญ (Critical) จากแนวทางการจัดการความเสี่ยงที่ได้เลือกไว้ โดยแนวทางในการฟื้นฟูจะต้อง

·        กำหนดให้เหมาะสมกับวัตถุประสงค์ และโครงสร้างการตอบสนองต่อเหตุการณ์ ที่จะช่วยให้การตอบสนองเป็นไปอย่างมีประสิทธิผล และสามารถฟื้นฟูสภาพจากการหยุดชะงักได้

·        พิจารณาแนวทางในการฟื้นฟูกิจกรรมสำคัญแต่ละรายการ ภายในเป้าหมายของเวลาในการฟื้นฟู (Recovery time objective)

·        การกำหนดแนวทางในการจัดการกับความสัมพันธ์กับผู้มีส่วนได้เสียหลัก และหน่วยงานภายนอกที่เกี่ยวข้องกับการฟื้นฟูสภาพ

 

การพัฒนาและการดำเนินการตอบสนอง

ในขั้นตอนนี้ จะต้องทำการระบุถึงผู้ที่ทำหน้าที่ในการตอบสนองต่อเหตุการณ์ต่างๆ ที่ไม่ต้องการให้เกิดขึ้น โดยผู้ที่รับผิดชอบจะต้องมีความอาวุโสพอสมควร มีอำนาจหน้าที่และความสามารถในการดำเนินการควบคุมสถานการณ์ และสื่อสารไปยังผู้มีส่วนได้เสียขององค์กรได้เป็นอย่างดี  

 

ทั้งนี้ผู้ที่ทำหน้าที่ในการตอบสนองต่อเหตุการณ์ จะต้อง

·        มีความสามารถในการยืนยันสภาพและขอบเขตของเหตุการณ์ และการจัดการต่อเหตุการณ์ที่เกิดขึ้น  

·        รับผิดชอบในการกระตุ้น และส่งเสริมให้เกิดการตอบสนองต่อความต่อเนื่องทางธุรกิจได้อย่างเหมาะสม

·        จัดทำแผนงาน กระบวนการ และวิธีการปฏิบัติงานในการจัดการกับเหตุการณ์ต่างๆ

·        จัดทำแผนในการกระตุ้น การดำเนินงาน การประสานงานและการสื่อสารการตอบสนอง

·        จัดให้มีทรัพยากรอย่างเพียงพอต่อการสนับสนุนแผนงาน กระบวนการ และวิธีการปฏิบัติงาน

 

การวางแผน

นอกจากนั้น องค์กรจะต้องมีการจัดทำเอกสารการวางแผน ที่ระบุรายละเอียดแนวทางที่องค์กรจะใช้ในการจัดการเหตุการณ์ความไม่ต่อเนื่องต่างๆ ที่เกิดขึ้น รวมถึงแนวทางในการฟื้นฟูสถานการณ์ หรือการดูแลรักษากิจกรรมต่างๆ ทั้งนี้แผนการดำเนินการ จะต้อง

·        สามารถเข้าถึงได้โดยผู้รับผิดชอบที่มี่การระบุไว้ในแผน

·        ได้รับการเห็นชอบโดยผู้บริหารระดับสูง และสร้างความเข้าใจในแผนงานให้กับบุคคลที่ต้องนำแผนไปปฏิบัติ

·        มีการระบุถึงชื่อของผู้รับผิดชอบในการทบทวน ปรับปรุง และอนุมัติแผน

·        ได้รับการควบคุมตามแนวทางในการควบคุมระบบเอกสาร การเปลี่ยนแปลง และบันทึกการแจกจ่าย

·        ได้รับการทบทวนตามช่วงเวลาที่กำหนด รวมถึงเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้นกับองค์กร 

·        สอดคล้องกับการจัดเตรียมเหตุฉุกเฉินจากภายนอกองค์กร  

 

เนื้อหาในแผนการดำเนินงาน จะประกอบด้วย

·        การระบุถึงช่องทาง บทบาทหน้าที่และความรับผิดชอบ ในการสื่อสาร รวมถึงข้อมูลสารสนเทศที่ใช้ในการอ้างอิง

·        การกำหนดวัตถุประสงค์และขอบเขต

·        การกำหนดบทบาท อำนาจหน้าที่ และความรับผิดชอบ สำหรับบุคลากรและทีมงาน ทั้งในระหว่าง และภายหลังการเกิดเหตุการณ์ขึ้น

·        แนวทางและเกณฑ์ที่ระบุถึงการเรียกใช้แต่ละแผน ภายใต้สถานการณ์ต่างๆ  

·        การอ้างอิงถึงการติดต่อที่จำเป็นกับผู้มีส่วนได้เสียหลักๆ

·        รายละเอียดในการจัดการกับเหตุการณ์ความไม่ต่อเนื่อง ประกอบด้วย

o       ผลที่เกิดขึ้นโดยทันทีที่มีต่อการหยุดชะงักทางธุรกิจ

o       การดำเนินการจัดการ ในระหว่างการเกิดเหตุการณ์

o       กระบวนการ และวิธีการปฏิบัติงาน ในการรักษาความต่อเนื่อง และการฟื้นฟูกิจกรรมหลัก

·        รายละเอียดของการจัดการกับผลที่เกิดขึ้นโดยทันทีของการหยุดชะงักทางธุรกิจ ที่เกี่ยวกับ สวัสดิการของพนักงานแต่ละคน ทางเลือกกลยุทธ์ และกลวิธี รวมถึงการป้องกันความสูญเสียเพิ่มเติม หรือความไม่พร้อมของกิจกรรมที่สำคัญ

·        รายละเอียดของแนวทาง และสถานการณ์ ในการสื่อสารกับพนักงาน และบุคคลที่เกี่ยวข้อง ผู้มีส่วนได้หลักๆ รวมถึงการติดต่อในกรณีฉุกเฉิน 

·        รายละเอียดในการตอบสนองต่อสื่อ (Media) ต่างๆ ขององค์กร ตามลักษณะของความไม่ต่อเนื่องที่เกิดขึ้น รวมถึงกลยุทธ์ในการสื่อสารความไม่ต่อเนื่อง การติดด่อประสานงานกับสื่อมวลชน แนวปฏิบัติในการร่างคำแถลงการณ์สำหรับสื่อมวลชน และบุคคลที่ทำหน้าที่ในการให้ข้อมูลกับสื่อ

·        วิธีการในการบันทึก ข้อมูลสำคัญที่เกี่ยวกับความไม่ต่อเนื่อง การดำเนินการ และการตัดสินใจ

·        รายละเอียดของการดำเนินการและภารกิจที่จำเป็น

·        รายละเอียดของทรัพยากรที่จำเป็นสำหรับความต่อเนื่องทางธุรกิจ และการฟื้นฟูธุรกิจ

·        วัตถุประสงค์ตามลำดับความสำคัญในรูปของกิจกรรมหลักที่จะต้องได้รับการฟื้นฟู กรอบระยะเวลา รวมถึงระดับการฟื้นฟูที่จำเป็นของแต่ละกิจกรรมที่สำคัญ

·        บุคลากรที่รับผิดชอบในการจัดการความต่อเนื่องและการฟื้นฟูทางธุรกิจ

 

การฝึกปฏิบัติ (Exercising) และ การดูแลรักษาระบบ

องค์กรจะต้องมั่นใจว่าในการจัดเตรียมระบบบริหารความต่อเนื่องธุรกิจ ได้ผ่านการยืนยันความถูกต้อง โดยมีการฝึกซ้อมปฏิบัติ (Exercising) และได้รับการทบทวน รวมถึงปรับปรุงให้ทันสมัยอยู่เสมอ ทั้งนี้ องค์กรจะต้อง

·        กำหนดแนวทางในการฝึกซ้อม ที่สอดคล้องกับขอบเขตของการวางแผนความต่อเนื่องทางธุรกิจ

·        จัดทำโปรแกรม เพื่อให้มั่นใจว่าการฝึกซ้อมปฏิบัติ ได้รับการดำเนินการตามช่วงเวลาที่กำหนดโดยผู้บริหารระดับสูง รวมถึงเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้นในองค์กร

·        ดำเนินการฝึกซ้อมด้วยแนวทางที่แตกต่างกันไป เพื่อยืนยันความถูกต้องของการจัดเตรียมความต่อเนื่องทางธุรกิจ

·        วางแผนการฝึกซ้อม โดยที่ มีความเสี่ยงต่อการหยุดชะงัก (Disruption) และเกิดความไม่ต่อเนื่อง (Incident) ขึ้นน้อยที่สุด

·        กำหนดเป้าหมายของการฝึกซ้อมปฏิบัติในทุกๆ ครั้ง  

·        จัดทำรายงานของการฝึกซ้อม ผลลัพธ์ และข้อมูลป้อนกลับ รวมถึงข้อเสนอแนะ และกรอบระยะเวลาในการดำเนินการ และ

·        ดำเนินการทบทวนภายหลังการฝึกซ้อมในแต่ละครั้ง รวมถึงการประเมินถึงความสำเร็จของเป้าหมายในการฝึกซ้อม

 

องค์กรจะต้องดูแลความสมบูรณ์ของระบบบริหารความต่อเนื่อง รวมถึงการรักษาความมีประสิทธิผลของระบบให้เหมาะสมต่อวัตถุประสงค์ และปรับปรุงให้ทันสมัยตรงตามความต้องการที่ได้กำหนดไว้