Business Continuity Management: BCM

BCM คือ “กระบวนการบริหารจัดการธุรกิจแบบองค์รวม โดยมีการระบุผลกระทบที่อาจเป็นภัยคุกคามต่อองค์กร และมีกรอบในการสร้างความอ่อนตัวและขีดความสามารถที่มีประสิทธิภาพในการตอบสนอง เพื่อปกป้องผลประโยชน์ให้กับผู้มีส่วนได้ส่วนเสียที่สำคัญ รวมทั้งชื่อเสียง ตราสินค้า และกิจกรรมในการสร้างคุณค่าขององค์กร"

การบริหารธุรกิจอย่างต่อเนื่อง

(Business Continuity Management: BCM)

พันเอก มารวย ส่งทานินทร์

[email protected]

25 ตุลาคม 2557

การทดลองเรื่องกบกับน้ำร้อนเป็นข้อเตือนใจสำหรับองค์กรที่ตกอยู่ในความประมาท ไม่มีการเตรียมพร้อมต่อการเปลี่ยนแปลงของสิ่งแวดล้อม ไม่ว่าจะเป็นภัยที่เกิดจากน้ำมือของมนุษย์ เช่น เหตุวินาศกรรม 9/11 ในอเมริกา ในกรุงลอนดอน ในกรุงแมดริด นครมุมไบ หรืออุบัติเหตุจากท่อส่งน้ำมันรั่ว เป็นต้น รวมถึงภัยจากธรรมชาติ เช่น การเกิดแผ่นดินไหวและเกิดสึนามิในเอเชีย พายุเฮอร์ริเคนแคทรินา พายุไซโคลนนาร์กีส การเกิดน้ำท่วมใหญ่ในไทยและอีกหลายประเทศ หรือการเกิดไฟป่า ซึ่งเป็นสิ่งที่ไม่ได้คาดคิดมาก่อน องค์กรจึงมีความจำเป็นในการเตรียมพร้อม เพื่อรับมือกับเหตุการณ์วิกฤตที่ไม่รู้ตัวล่วงหน้า เพื่อสร้างการอ่อนตัวและฟื้นตัวจากเหตุวิกฤตให้เร็วที่สุด และเพื่อลดผลกระทบที่มีต่อองค์กรและผู้มีส่วนได้ส่วนเสียที่สำคัญ

ในหนังสือเรื่อง Business Continuity Management: A Crisis Management Approach ประพันธ์โดย Dominic Elliott, Ethne Swartz และ Brahim Herbane จัดพิมพ์เป็นครั้งที่ 2 โดยสำนักพิมพ์ Routledge ในปี ค.ศ. 2010 ได้กล่าวว่า การบริหารความต่อเนื่องทางธุรกิจ เริ่มจากการเตรียมความพร้อมของระบบสารสนเทศต่อหายนะที่อาจเกิดขึ้น แล้วขยายไปสู่ส่วนการปฏิบัติการอื่น ๆ จนเป็นส่วนหนึ่งของการดำเนินกลยุทธ์ทางธุรกิจ และนำไปสู่ความสามารถในการดำเนินทางธุรกิจอย่างต่อเนื่องเพื่อการได้เปรียบในการแข่งขัน

Dominic Elliott เป็นศาสตราจารย์ที่ University of Liverpool Management School สหราชอาณาจักร มีผลงานตีพิมพ์เรื่องการบริหารเหตุการณ์วิกฤต และการบริหารกลยุทธ์ Ethne Swartz เป็นหัวหน้าภาควิชาการตลาดและการลงทุน ที่ Siberman College of Business, Fairleigh Dickerson University สหรัฐอเมริกา มีผลงานและสอนเรื่องการลงทุน การบริหารกลยุทธ์ การบริหารความต่อเนื่องทางธุรกิจ และ Brahim Herbane เป็นอาจารย์ด้านการวางแผนกลยุทธ์ และการบริหารความต่อเนื่องทางธุรกิจ ที่ Leicester Business School, De Montfort University สหราชอาณาจักร

ท่านที่สนใจเอกสารเรื่องเดียวกันแบบ powerPoint (PDF file) สามารถ download โดยคลิ๊กตาม link ที่ให้ไว้คือ http://www.slideshare.net/maruay/bcm-31513808

คำนิยามของการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) ของ Business Continuity Institute (BCI, 2007a) ซึ่งมีพื้นฐานเดียวกันกับคำนิยามของ British Standard 25999 กล่าวว่า BCM คือ “กระบวนการบริหารจัดการธุรกิจแบบองค์รวม โดยมีการระบุผลกระทบที่อาจเป็นภัยคุกคามต่อองค์กร และมีกรอบในการสร้างความอ่อนตัวและขีดความสามารถที่มีประสิทธิภาพในการตอบสนอง เพื่อปกป้องผลประโยชน์ให้กับผู้มีส่วนได้ส่วนเสียที่สำคัญ รวมทั้งชื่อเสียง ตราสินค้า และกิจกรรมในการสร้างคุณค่าขององค์กร"

เกณฑ์หรือมาตรฐานในการดำเนินธุรกิจอย่างต่อเนื่องมี 2 รูปแบบคือ ที่มีกฎหมายบังคับ และที่กฎหมายไม่ได้บังคับ เกณฑ์ที่กฎหมายไม่ได้บังคับเป็นสิ่งที่องค์กรทำด้วยความสมัครใจ เพื่อเกิดความอ่อนตัวและนวัตกรรม เช่น การใช้หลักการของ The Coalition for Environmentally Responsible Economies (CERES) ปี ค.ศ. 1989 ซึ่งผู้มีส่วนได้ส่วนเสียจะมีบทบาทสำคัญต่อเกณฑ์ที่กฎหมายไม่ได้บังคับ ส่วนการปฏิบัติตามกฎหมายขององค์กร เพื่อให้เกิดความน่าเชื่อถือและความมีประสิทธิภาพ เช่น The Sarbanes-Oxley Act (SOX) ปี ค.ศ. 2002 เป็นกฎหมายของอเมริกาซึ่งใช้บังคับกับการทำบัญชีของสถาบันทางการเงินที่เป็นองค์การมหาชน เพื่อให้เกิดความมั่นใจว่ารายงานทางการเงินมีความน่าเชื่อถือ และ The National Institute of Standards and Technology (NIST) ที่กำหนดระเบียบเรื่องแผนการกู้ภัยฉุกเฉินสำหรับระบบสารสนเทศ เป็นต้น

ความยืดหยุ่นทางดิจิตอล (Digital Resilience) หมายถึงความสามารถ ความทนทาน หรือการฟื้นตัว ที่มีต่อภัยคุกคามที่ทำให้ระบบดิจิตอลขององค์กรเกิดความล้มเหลว ในยุคดิจิตอลที่บุคลากรและองค์กรมีการติดต่อเชื่อมโยง ซึ่งต้องการความปลอดภัยสูง มีความเร็วและมีการเข้าถึงที่สะดวก มีความทันสมัยและมีความเป็นมิตรต่อผู้ใช้งาน มีการควบคุมการเข้าถึงข้อมูล ฯลฯ

ความยืดหยุ่นทางดิจิตอลคือการเตรียมพร้อมต่อภัยคุกคามที่อาจมาจากภายนอกหรือเกิดจากภายใน ความยืดหยุ่นทางดิจิตอลคล้ายกับข้อกำหนดของ CERT ที่ระบุความอยู่รอดจากการโจมตีและสามารถบรรลุพันธกิจ นอกจากนั้นความยืดหยุ่นทางดิจิตอลยังรวมถึงส่วนประกอบที่เป็นมนุษย์ในการใช้เทคโนโลยีนั้นด้วย การมีระบบป้องกันที่เข้มแข็งทั้งด้านโครงสร้างและด้านดิจิตอล รวมถึงบุคลากรที่มีความใส่ใจ จึงเป็นการป้องกันระบบดิจิตอลขององค์กรได้

ขั้นตอนทั่ว ๆ ไปของการบริหารความต่อเนื่องทางธุรกิจ (BCM) แบ่งได้เป็น 4 ขั้นตอนใหญ่ ๆ คือ การเริ่มต้นและให้คำนิยามใหม่ (Initiation and Redefinition) การวางแผนความต่อเนื่องทางธุรกิจ (Planning for Business Continuity) การนำแผนไปปฏิบัติ (Implementation) และ การบริหารการปฏิบัติการ (Operational Management)

1.การเริ่มต้นและให้คำนิยามใหม่ เป็นขั้นของการทบทวนและประเมินความต่อเนื่องทางธุรกิจ ที่ผู้นำระดับสูงมีความตระหนักถึงภัยคุกคาม โดยมีการกำหนดนโยบาย ระบุโครงสร้างทีมงานต่าง ๆ การจัดสรรทรัพยากร การจัดทำโครงการ และมีกลไกการทบทวนตรวจสอบ องค์กรมีการกำหนดวัตถุประสงค์และขอบเขตของความต่อเนื่องทางธุรกิจ ซึ่งเป็นการเปลี่ยนแนวคิดของบุคลากรจากการฟื้นฟูสภาพ มาเป็นการฟื้นฟูและการป้องกัน ที่เป็นการเปลี่ยนแปลงพฤติกรรมของผู้จัดการและบุคลากร

2.การวางแผนความต่อเนื่องทางธุรกิจ จุดสำคัญหรือหัวใจของขั้นตอนนี้คือ การวิเคราะห์ผลกระทบที่มีต่อธุรกิจ (Business Impact Analysis: BIA) โดยการวิเคราะห์ทั้งปัจจัยภายนอกและปัจจัยภายใน ปัจจัยภายนอกได้แก่ สิ่งแวดล้อมทางการตลาด การวิเคราะห์ผู้มีส่วนได้ส่วนเสีย และห่วงโซ่อุปทาน เป็นต้น ปัจจัยภายในได้แก่ ผลิตภัณฑ์และบริการ กิจกรรมและทรัพยากร ความเชื่อมโยงและการพึ่งพาอาศัยซึ่งกันและกัน เป็นต้น

ผลจากการวิเคราะห์จะนำมาใช้ในการสร้างแผนการบริหารธุรกิจอย่างต่อเนื่องต่อไป โดยจะมีการตั้งวัตถุประสงค์ การประเมินความเสี่ยง การจัดลำดับความสำคัญ การจำลองสถานการณ์ที่อาจเกิดขึ้น และการสร้างแผนรองรับ

การวิเคราะห์ผลกระทบที่มีต่อธุรกิจ (BIA) มี 9 ขั้นตอนคือ

  • การกำหนดขอบเขตของโครงการ
  • การสำรวจหรือออกแบบสอบถามเพื่อรวบรวมข้อมูล
  • กำหนดกลุ่มที่จะสำรวจความเห็น
  • แจกจ่ายและรวบรวมแบบสอบถาม
  • ทบทวนข้อมูลที่ได้และสัมภาษณ์เพิ่มเติมถ้าจำเป็น
  • การปรับปรุงข้อมูลภายหลังการสัมภาษณ์
  • วิเคราะห์ข้อมูลของการสำรวจ
  • ยืนยันผลลัพธ์กับกลุ่มที่สอบถาม
  • รายงานผลสำรวจต่อผู้นำระดับสูง

ผลการสำรวจอาจมีความแตกต่างกันตามลักษณะขององค์กร ผลจากการวิเคราะห์ผลกระทบที่มีต่อธุรกิจจะนำไปกำหนดความเร่งด่วนของแผนฟื้นฟูโดยการทำการประเมินผลกระทบต่อธุรกิจ (Business Impact Evaluation: BIE) ซึ่งมี 4 ขั้นตอน คือ

  • การทบทวนวัตถุประสงค์ให้สมบูรณ์ยิ่งขึ้น
  • การประเมินความเสี่ยงอีกครั้ง
  • การกำหนดและลำดับความเร่งด่วน
  • การพัฒนาแบบจำลองของการเกิดเหตุการณ์

แผนงานที่เป็นแนวทางปฏิบัติการในการบริหารความต่อเนื่องทางธุรกิจ มี 4 องค์ประกอบคือ

  • แผนงานเมื่อเกิดเหตุการณ์วิกฤต เป็นคู่มือหรือแนวทางปฏิบัติ
  • รายการที่ต้องปฏิบัติ เป็นแนวทางการรายงานตามลำดับขั้น
  • ระยะเวลาการฟื้นฟู เป็นรายการที่ต้องทำโดยมีการจับเวลาตั้งแต่เกิดเหตุการณ์
  • การปฏิบัติตนของแผนในระดับแผนกต่าง ๆ ตามแผนกลยุทธ์ของการฟื้นฟู

3.การนำแผนไปปฏิบัติ การทำให้แผนการหรือแนวทางการบริหารความต่อเนื่องทางธุรกิจไปใช้ประโยชน์ เพื่อให้ฝังตัวอยู่ในเนื้อของการปฏิบัติงานประจำ มี 2 แนวทางใหญ่ ๆ คือโครงสร้างองค์กร ที่มีสายการบังคับบัญชา การควบคุม และการสื่อสารที่ชัดเจน และสภาพแวดล้อมขององค์กรที่เอื้อต่อการปฏิบัติ คือ การสื่อสาร วัฒนธรรมองค์กร การควบคุม การให้รางวัล และการฝึกอบรม

การจะนำแนวทางใหม่ ๆ มาใช้ในองค์กรต้องมีการบริหารการเปลี่ยนแปลง การที่จะชนะแรงต่อต้านได้ต้องอาศัยผู้จัดการซึ่งอยู่ระหว่างกลางของผู้บริหารและพนักงาน กลยุทธ์ที่นิยมใช้ในการบริหารการเปลี่ยนแปลงเรียงตามลำดับ คือ การให้ความรู้ มีสื่อสารอย่างสม่ำเสมอ ให้พนักงานเข้ามามีส่วนร่วม มีการช่วยเหลือและให้กำลังใจ มีการทำสัญญา มีการต่อรอง และสุดท้ายคือ ใช้การบังคับ

ทีมบริหารความต่อเนื่องทางธุรกิจถ้าจะให้ได้ผลดี ควรประกอบด้วยสหสาขาวิชาชีพ บุคลากรมีความหลากหลาย มีความสัมพันธ์ที่ดีต่อกัน มีการประชุมสม่ำเสมอ และมีบุคคลสำคัญที่อยู่ในตำแหน่งสำคัญที่ผู้บริหารสูงสุดให้การสนับสนุนเป็นหัวหน้าทีมคือจุดเริ่มต้น

4.การบริหารการปฏิบัติงาน เป็นการทดสอบ การทดลอง และการบริหารเหตุการณ์ การที่จะจัดการกับเหตุการณ์ได้ดีขึ้นกับการสื่อสารตามลำดับขั้นที่ลงตัวพอดี เวลาเป็นสิ่งสำคัญ โดยเฉพาะ 24 ชั่วโมงแรก ว่าจะจัดการเหตุการณ์ได้ดีเพียงไร

ทีมบริหารจัดการเหตุวิกฤตอาจเกิดข้อผิดพลาดได้โดย

  • ปฏิเสธแนวทางแก้ไขที่ถูกต้อง
  • ยอมรับแนวทางแก้ปัญหาที่ผิด
  • แก้ปัญหาผิดจุด
  • แก้ปัญหาถูกจุด แต่ช้าเกินไป

แนวทางการแก้จุดบกพร่องที่อาจเกิดขึ้นมีดังนี้

  • ยอมรับวิธีการแก้ปัญหาใหม่ ๆ ที่เป็นวิธีการสร้างสรรค์
  • สลับหมุนเวียนสมาชิกในทีม
  • รวมผู้เชี่ยวชาญจากภายนอกไว้ในทีมด้วย
  • ปกป้องความคิดเห็นของเสียงส่วนน้อย
  • พัฒนาการรวบรวมข้อมูลให้ดีขึ้น
  • มีการสมมุติบทบาทเป็นตัวร้าย
  • ส่งเสริมการแสดงออกถึงความเป็นห่วงต่อประเด็นต่าง ๆ
  • พัฒนากระบวนการที่ปรับเปลี่ยนได้
  • จัดทำแผนกู้ภัย
  • จำลองเหตุการณ์วิกฤต
  • สร้างเครือข่ายที่มีความไว้วางใจกันระหว่างแผนกต่าง ๆ

โครงสร้างการบังคับบัญชาในการบริการความต่อเนื่องทางธุรกิจ ที่แนะนำแบ่งได้เป็น 3 ระดับ เพื่อให้สายการบังคับบัญชาสั้น แต่สามารถนำไปดัดแปลงใช้ได้ ซึ่งขึ้นกับขนาดขององค์กร คือ

  • ระดับทอง (ด้านกลยุทธ์) เป็นระดับของผู้บริหารสูงสุดขององค์กร มีหน้าที่ควบคุมกลยุทธ์ การให้ข่าวกับสื่อมวลชน และติดต่อสื่อสารกับผู้มีส่วนได้ส่วนเสีย จะไม่ลงมายุ่งกับรายระเอียดของการจัดการเหตุการณ์วิกฤต
  • ระดับเงิน (ด้านกลวิธี) เป็นศูนย์ประสานงาน มีหัวหน้าศูนย์ประสานงานเป็นผู้รับผิดชอบ เป็นผู้ออกแบบกลวิธีในการรับมือกับเหตุการณ์วิกฤต จัดสรรทรัพยากรให้กับทีมงานปฏิบัติการต่าง ๆ และเป็นผู้ออกคำสั่งเมื่อเกิดเหตุการณ์วิกฤต
  • ระดับทองแดง (ด้านปฏิบัติการ) เป็นผู้ปฏิบัติในด่านหน้า ที่เมื่อพบเหตุการณ์วิกฤตแล้ว จะต้องรายงานให้กับหัวหน้าศูนย์ประสานงานได้รับทราบ และเป็นผู้ลงมือปฏิบัติการเมื่อเกิดเหตุการณ์ขึ้นจริง

การทดสอบแผนการบริหารความต่อเนื่องทางธุรกิจ เป็นการทำแผนให้ทันสมัยอยู่เสมอ เพื่อให้มีการรับมือกับเหตุการณ์วิกฤตได้ดีที่สุด เพื่อการตอบสนองที่ถูกต้องและมีความปลอดภัย และเพื่อให้แน่ใจว่าสามารถดำเนินการต่อเนื่องทางธุรกิจได้ตามแผนที่วางไว้ การฝึกซ้อมแผนมีทั้งแบบแจ้งล่วงหน้าและไม่ได้แจ้งล่วงหน้า การทดสอบโดยแจ้งล่วงหน้าสามารถทำได้บ่อยกว่า ส่วนการทดสอบโดยไม่แจ้งล่วงหน้าให้ระวังการเกิดความเข้าใจผิดของผู้มีส่วนได้ส่วนเสีย เพราะอาจคิดว่าเกิดเหตุการณ์ขึ้นจริงจนกว่าจะทราบว่าเป็นแค่การซ้อม รูปแบบของการทดสอบแผนที่วางไว้มีวิธีปฏิบัติดังนี้ คือ

  • การทดสอบบนโต๊ะ (desk check) เป็นการตรวจเอกสาร เพื่อตรวจความเป็นปัจจุบันที่สุด ไม่ว่าจะเป็นบุคคลที่มีรายชื่อในแผน เบอร์โทรศัพท์ หรือ หน่วยปฏิบัติการ ว่ายังคงมีอยู่จริง เป็นวิธีการที่นิยมใช้มากที่สุด
  • การตรวจสถานที่ (walk-through or talk-through) ยังเป็นการตรวจเอกสาร โดยตรวจผู้ที่มีส่วนเกี่ยวข้องจริง ในสถานที่จริง ทุกคนมาแสดงบทบาทที่ตนเองรับผิดชอบ มีการจับเวลา และทดสอบระบบการรายงาน
  • การจำลองสถานการณ์ (simulation exercise) มีผู้ที่เกี่ยวข้องเพิ่มขึ้นเพื่อศึกษาการบูรณาการของแผนต่าง ๆ และหน่วยงานที่เกี่ยวข้องในการฟื้นฟู เริ่มจับเวลาตั้งแต่ชั่วโมงที่ 0 ถึงชั่วโมงที่ 72 หรือมากกว่า แต่ย่นย่อเวลาเหลือ 1 ใน 4 โดยไม่จำเป็นต้องทำได้สมบูรณ์ แต่รู้ว่าจะต้องทำอะไร อย่างไร
  • การทดสอบหน้าที่หรือการปฏิบัติการ (function or operational testing) เป็นทดสอบแบบจำกัดวงแค่ 1 หรือ 2 แผนก โดยสถานที่เดิมจะถูกปิดลง แล้วให้บุคลากรไปฟื้นฟูในสถานที่ใหม่ที่กำหนด เพื่อทดสอบการทำหน้าที่ของแผนกต่าง ๆ ว่าสามารถทำได้ตามที่กำหนดหรือไม่
  • การทดสอบเต็มรูปแบบ (full or live exercise) เป็นการทดสอบที่โดยมากจะทำปีละครั้ง หรือปีละ 2 ครั้งเท่านั้น เพราะต้องลงทุนมากและไม่มีการแจ้งล่วงหน้า เพื่อทดสอบความเชื่อมโยงของแผนงานที่วางไว้ เพราะระยะเวลาการฟื้นฟูของแผนกต่าง ๆ จะมีความเร่งด่วนไม่เท่ากัน

ภายหลังการทดสอบแผน จะมีการประเมิน เพื่อดูประสิทธิภาพของแผน บุคลากรได้ทำตามแผนหรือแตกต่างออกไป จุดใดที่เกิดความล่าช้า บุคลากรทำหน้าที่ได้ดีหรือไม่ มีการปฏิบัติได้ตามคาดหวังหรือไม่ มีอะไรต้องปรับเปลี่ยน และจะทำให้ดีขึ้นได้อย่างไร

การธำรงไว้ซึ่งแผนการดำเนินการทางธุรกิจอย่างต่อเนื่องนั้น คือการทำให้ทันสมัย ให้เป็นปัจจุบันที่สุด ส่วนการตรวจสอบดูความเหมาะสมของแผนกับสถานการณ์ปัจจุบันนั้น อาจต้องทำการวิเคราะห์ผลกระทบต่อธุรกิจ (BIA) และมีการประเมินผลกระทบต่อธุรกิจ (BIE) ใหม่อีกรอบ เอกสารที่ใช้ในการบริหารความต่อเนื่องทางธุรกิจเป็นสิ่งที่ไม่หยุดนิ่ง สมควรมีการปรับปรุงแก้ไข มิฉะนั้นจะกลายเป็นการลงทุนที่สูญเปล่า การบริหารความต่อเนื่องทางธุรกิจไม่ควรทำเป็นแค่โครงการเท่านั้น แต่ควรทำเป็นสิ่งปกติขององค์กร

สรุป การบริหารความต่อเนื่องทางธุรกิจ มีวิวัฒนาการจากการเตรียมความพร้อมเพื่อความต่อเนื่องของระบบสารสนเทศ แล้วขยายตัวสู่ปฏิบัติการอื่น ๆ เพื่อใช้ในการเพิ่มคุณค่าให้กับองค์กร และต่อมาถือว่าเป็นความสามารถขององค์กรในการได้เปรียบในการแข่งขัน คือ มีความสามารถในการป้องกัน และความสามารถในการฟื้นฟูจากภัยพิบัติ การบริหารความต่อเนื่องทางธุรกิจ ยังคงมีความสำคัญในการเพิ่มคุณค่า การได้เปรียบในการแข่งขัน รวมถึงในประเด็นกลยุทธ์ทั้งในปัจจุบันและในอนาคต

************************************************

บันทึกนี้เขียนที่ GotoKnow โดย  ใน Work Process



ความเห็น (0)