BCP:Business Continuity Plan เงื่อนไขและกฎเกณฑ์ภาคบังคับ
อาจารย์ จิรพร สุเมธีประสิทธิ์
การวางแผนบริหารธุรกิจไม่ใช่เรื่องง่ายอีกต่อไปเพราะกิจการไม่สามารถคำนึงถึงธุรกิจและกิจการในสภาวะปกติอย่างเดียวได้อีกต่อไป แต่ต้องพิจารณารวมไปถึงช่วงที่กิจการอาจจะประสบกับภาวะวิกฤติด้วย แม้ว่าภาวะวิกฤตินั้นจะเกิดขึ้นกับกิจการอื่นๆด้วยพร้อมกัน ก็ไม่ใช่ข้ออ้างที่จะทำให้กิจการยอมรับสภาพของความเสียหายและความสูญเสียที่อาจจะเกิดขึ้นได้
นั่นหมายความว่า กิจการที่จะอยู่รอดได้ หากเกิดวิกฤติที่อยู่นอกเหนือความคาดหมายก็ต่อเมื่อเริ่มการเตรียมความพร้อมตั้งแต่วันนี้เพื่อประกันความต่อเนื่องทางธุรกิจ(Business Continuity)
คำว่า “ความต่อเนื่องทางธุรกิจ”(Business Continuity) เป็นสภาวะของธุรกิจ ซึ่งอธิบายกระบวนการและขั้นตอนการดำเนินงานที่จำเป็นในการสร้างหลักประกันว่า ภาระหน้าที่งานสายธุรกิจที่จำเป็นสามารถดำเนินต่อไปได้หลังจากเกิดพิบัติภัยร้ายแรง หรือนอกแผนงาน
กระบวนการวางแผนบริหารความต่อเนื่องทางธุรกิจเป็นความจำเป็นของการบริหารจัดการเพื่อป้องกันการหยุดชะงักของบริการของพันธกิจวิกฤติ และกลับไปดำเนินธุรกิจได้ตามปกติเต็มรูปแบบและเป็นไปอย่างราบรื่นและรวดเร็วที่สุดเท่าที่จะเป็นไปได้
บทบาทสำคัญของการมีแผน BCP ได้แก่
(1) กิจการมีความจำเป็นต้องมีสภาวะความต่อเนื่องทางธุรกิจ
(2) กิจการถูกคาดหวังจากหน่วยงานภาครัฐที่กำกับดูแลกิจการว่ากิจการจะมีสภาวะความต่อเนื่องทางธุรกิจ
ส่วนของการกอบกู้ธุรกิจหลังพิบัติภัย (Disaster Recovery : DR) จึงเป็นส่วนสำคัญที่ต้องเข้ามามีส่วนสำคัญในการวางแผนบริหารความต่อเนื่องทางธุรกิจเนื่องจาก
|
ประการแรก |
Disaster |
ประการที่สอง |
แผน BCP ครอบคลุมประเด็นต่าง ๆ ที่จะทำให้กิจการสามารถสร้างความต่อเนื่องทางธุรกิจของกิจการได้ |
วงจรชีวิตของการทำแผน BCP
เป็นวงจรที่สร้างขึ้นเพื่อช่วยให้กิจการดำเนินกระบวนการวางแผนได้อย่างเหมาะสม ถูกทิศทางและมีประสิทธิภาพ ไม่เกิดภาวะค่าใช้จ่ายหรือการสูญเปล่าที่ไม่จำเป็น โดยวงจรชีวิตการทำแผน BCP เปรียบเสมือนการบริหารโปรแกรมหนึ่งของกิจการ
ขั้นตอนที่ 1 |
การค้นหา และระบุ วิเคราะห์ |
ขั้นตอนที่ 2 |
การวิเคราะห์ผลกระทบของความเสี่ยงที่เป็นปัจจัยหรือสาเหตุของการหยุดชะงักของการดำเนินธุรกิจต่อการดำเนินธุรกิจ เพื่อหาสภาวะทางธุรกิจ |
ขั้นตอนที่ 3 |
การเลือกกำหนดกลยุทธ์ความต่อเนื่องทางธุรกิจ |
ขั้นตอนที่ 4 |
การพัฒนาแผนกอบกู้ระบบงาน IT และคอมพิวเตอร์ การเชื่อมโยงเครือข่ายที่จำเป็น |
ขั้นตอนที่ 5 |
การพัฒนาแผนอุบัติการณ์ร้ายแรง |
ขั้นตอนที่ 6 |
การสร้างทีมรับผิดชอบ |
ขั้นตอนที่ 7 |
การนำกรอบแนวทางการบริหารอุบัติการณ์มาใช้จริง (Implement) |
ขั้นตอนที่ 8 |
การสื่อสารเพื่อสร้างความตระหนัก ชี้แจง และอบรมให้เกิดความเข้าใจและการยอมรับ |
ขั้นตอนที่ 9 |
การทดสอบและการฝึกปฏิบัติจริง (Testing and Exercising) |
ขั้นตอนที่ 10 |
การธำรงรักษาและการประเมินผลความเปลี่ยนแปลง เพื่อทบทวนและปรับปรุงตามความจำเป็น |
|
ขั้นตอนที่ 1 |
การค้นหาระบุและศึกษารายละเอียด (Risk Assessment) มีวัตถุประสงค์หลักในการ (1) ระบุภัยคุกคามต่างๆ สถานการณ์ทีมีผลต่อความต่อเนื่องทางธุรกิจที่เกินกว่าระดับ หรือเกณฑ์ที่ยอมรับได้ (2) ระบุความสามารถในการต้านทานของภัยคุกคามตามแต่ละสถานการณ์และสถานะความเสี่ยงแต่ละประเด็นของกิจการ (3) ทบทวนกิจกรรมและระบบการควบคุมที่มีอยู่แล้วเพื่อบรรเทาหรือลดระดับความเสี่ยงแต่ละสถานการณ์ลงไป (4) กำหนด “Threat Scenario” ที่กิจการควรให้ความสำคัญและควรกำหนดเป็นกลยุทธ์ด้านความต่อเนื่องทางธุรกิจ และกรอบการทำงานในแผนBCP ที่ควรจะเป็น |
โดยปกติแล้ว กิจการจะมีรูปแบบของการค้นหาและศึกษาข้อมูลความเสี่ยง 2 รูปแบบด้วยกัน คือ
รูปแบบที่ 1 |
ค้นหาและศึกษาข้อมูลความเสี่ยงทั่วไป |
รูปแบบที่ 2 |
ค้นหาและศึกษาข้อมูลความเสี่ยงเฉพาะหน่วยธุรกิจ หรือสายธุรกิจ |
ภัยคุกคามที่มีความสำคัญต่อการบริหารความต่อเนื่องทางธุรกิจมักจะประกอบด้วย
|
กลุ่มที่1 |
ภัยธรรมชาติ เช่น น้ำท่วม พายุ ฟ้าผ่า |
กลุ่มที่2 |
ภัยต่อตัวอาคาร เช่น อัคคีภัย ไฟฟ้าดับ ประกอบการไม่ได้ตามปกติ |
กลุ่มที่3 |
ภัยจากมนุษย์ เช่น สไตรท์ การสูญเสีย บุคลากรหลัก |
กลุ่มที่4 |
ภัยเทคโนโลยี เช่น ไวรัส การแฮกเกอร์ ระบบฮาร์ดแวร์ล่ม สูญเสีย Data |
กลุ่มที่5 |
ภัยด้านการดำเนินงานปฏิบัติการ เช่น การเสื่อมเสียชื่อเสี่ยง วิกฤติการณ์ทางการเงิน |
กลุ่มที่6 |
ภัยทางสังคม เช่นความไม่สงบทางการเมือง หรือทางสังคม การต่อต้านหน่วยงานภาครัฐ การขู่วางระเบิด การก่อการร้าย |
ความเห็น (0)
ไม่มีความเห็น