การบริหารธุรกิจอย่างต่อเนื่อง
(Business Continuity Management: BCM)
พันเอก มารวย ส่งทานินทร์
25 ตุลาคม 2557
การทดลองเรื่องกบกับน้ำร้อนเป็นข้อเตือนใจสำหรับองค์กรที่ตกอยู่ในความประมาท ไม่มีการเตรียมพร้อมต่อการเปลี่ยนแปลงของสิ่งแวดล้อม ไม่ว่าจะเป็นภัยที่เกิดจากน้ำมือของมนุษย์ เช่น เหตุวินาศกรรม 9/11 ในอเมริกา ในกรุงลอนดอน ในกรุงแมดริด นครมุมไบ หรืออุบัติเหตุจากท่อส่งน้ำมันรั่ว เป็นต้น รวมถึงภัยจากธรรมชาติ เช่น การเกิดแผ่นดินไหวและเกิดสึนามิในเอเชีย พายุเฮอร์ริเคนแคทรินา พายุไซโคลนนาร์กีส การเกิดน้ำท่วมใหญ่ในไทยและอีกหลายประเทศ หรือการเกิดไฟป่า ซึ่งเป็นสิ่งที่ไม่ได้คาดคิดมาก่อน องค์กรจึงมีความจำเป็นในการเตรียมพร้อม เพื่อรับมือกับเหตุการณ์วิกฤตที่ไม่รู้ตัวล่วงหน้า เพื่อสร้างการอ่อนตัวและฟื้นตัวจากเหตุวิกฤตให้เร็วที่สุด และเพื่อลดผลกระทบที่มีต่อองค์กรและผู้มีส่วนได้ส่วนเสียที่สำคัญ
ในหนังสือเรื่อง Business Continuity Management: A Crisis Management Approach ประพันธ์โดย Dominic Elliott, Ethne Swartz และ Brahim Herbane จัดพิมพ์เป็นครั้งที่ 2 โดยสำนักพิมพ์ Routledge ในปี ค.ศ. 2010 ได้กล่าวว่า การบริหารความต่อเนื่องทางธุรกิจ เริ่มจากการเตรียมความพร้อมของระบบสารสนเทศต่อหายนะที่อาจเกิดขึ้น แล้วขยายไปสู่ส่วนการปฏิบัติการอื่น ๆ จนเป็นส่วนหนึ่งของการดำเนินกลยุทธ์ทางธุรกิจ และนำไปสู่ความสามารถในการดำเนินทางธุรกิจอย่างต่อเนื่องเพื่อการได้เปรียบในการแข่งขัน
Dominic Elliott เป็นศาสตราจารย์ที่ University of Liverpool Management School สหราชอาณาจักร มีผลงานตีพิมพ์เรื่องการบริหารเหตุการณ์วิกฤต และการบริหารกลยุทธ์ Ethne Swartz เป็นหัวหน้าภาควิชาการตลาดและการลงทุน ที่ Siberman College of Business, Fairleigh Dickerson University สหรัฐอเมริกา มีผลงานและสอนเรื่องการลงทุน การบริหารกลยุทธ์ การบริหารความต่อเนื่องทางธุรกิจ และ Brahim Herbane เป็นอาจารย์ด้านการวางแผนกลยุทธ์ และการบริหารความต่อเนื่องทางธุรกิจ ที่ Leicester Business School, De Montfort University สหราชอาณาจักร
ท่านที่สนใจเอกสารเรื่องเดียวกันแบบ powerPoint (PDF file) สามารถ download โดยคลิ๊กตาม link ที่ให้ไว้คือ http://www.slideshare.net/maruay/bcm-31513808
คำนิยามของการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) ของ Business Continuity Institute (BCI, 2007a) ซึ่งมีพื้นฐานเดียวกันกับคำนิยามของ British Standard 25999 กล่าวว่า BCM คือ “กระบวนการบริหารจัดการธุรกิจแบบองค์รวม โดยมีการระบุผลกระทบที่อาจเป็นภัยคุกคามต่อองค์กร และมีกรอบในการสร้างความอ่อนตัวและขีดความสามารถที่มีประสิทธิภาพในการตอบสนอง เพื่อปกป้องผลประโยชน์ให้กับผู้มีส่วนได้ส่วนเสียที่สำคัญ รวมทั้งชื่อเสียง ตราสินค้า และกิจกรรมในการสร้างคุณค่าขององค์กร"
เกณฑ์หรือมาตรฐานในการดำเนินธุรกิจอย่างต่อเนื่องมี 2 รูปแบบคือ ที่มีกฎหมายบังคับ และที่กฎหมายไม่ได้บังคับ เกณฑ์ที่กฎหมายไม่ได้บังคับเป็นสิ่งที่องค์กรทำด้วยความสมัครใจ เพื่อเกิดความอ่อนตัวและนวัตกรรม เช่น การใช้หลักการของ The Coalition for Environmentally Responsible Economies (CERES) ปี ค.ศ. 1989 ซึ่งผู้มีส่วนได้ส่วนเสียจะมีบทบาทสำคัญต่อเกณฑ์ที่กฎหมายไม่ได้บังคับ ส่วนการปฏิบัติตามกฎหมายขององค์กร เพื่อให้เกิดความน่าเชื่อถือและความมีประสิทธิภาพ เช่น The Sarbanes-Oxley Act (SOX) ปี ค.ศ. 2002 เป็นกฎหมายของอเมริกาซึ่งใช้บังคับกับการทำบัญชีของสถาบันทางการเงินที่เป็นองค์การมหาชน เพื่อให้เกิดความมั่นใจว่ารายงานทางการเงินมีความน่าเชื่อถือ และ The National Institute of Standards and Technology (NIST) ที่กำหนดระเบียบเรื่องแผนการกู้ภัยฉุกเฉินสำหรับระบบสารสนเทศ เป็นต้น
ความยืดหยุ่นทางดิจิตอล (Digital Resilience) หมายถึงความสามารถ ความทนทาน หรือการฟื้นตัว ที่มีต่อภัยคุกคามที่ทำให้ระบบดิจิตอลขององค์กรเกิดความล้มเหลว ในยุคดิจิตอลที่บุคลากรและองค์กรมีการติดต่อเชื่อมโยง ซึ่งต้องการความปลอดภัยสูง มีความเร็วและมีการเข้าถึงที่สะดวก มีความทันสมัยและมีความเป็นมิตรต่อผู้ใช้งาน มีการควบคุมการเข้าถึงข้อมูล ฯลฯ
ความยืดหยุ่นทางดิจิตอลคือการเตรียมพร้อมต่อภัยคุกคามที่อาจมาจากภายนอกหรือเกิดจากภายใน ความยืดหยุ่นทางดิจิตอลคล้ายกับข้อกำหนดของ CERT ที่ระบุความอยู่รอดจากการโจมตีและสามารถบรรลุพันธกิจ นอกจากนั้นความยืดหยุ่นทางดิจิตอลยังรวมถึงส่วนประกอบที่เป็นมนุษย์ในการใช้เทคโนโลยีนั้นด้วย การมีระบบป้องกันที่เข้มแข็งทั้งด้านโครงสร้างและด้านดิจิตอล รวมถึงบุคลากรที่มีความใส่ใจ จึงเป็นการป้องกันระบบดิจิตอลขององค์กรได้
ขั้นตอนทั่ว ๆ ไปของการบริหารความต่อเนื่องทางธุรกิจ (BCM) แบ่งได้เป็น 4 ขั้นตอนใหญ่ ๆ คือ การเริ่มต้นและให้คำนิยามใหม่ (Initiation and Redefinition) การวางแผนความต่อเนื่องทางธุรกิจ (Planning for Business Continuity) การนำแผนไปปฏิบัติ (Implementation) และ การบริหารการปฏิบัติการ (Operational Management)
1.การเริ่มต้นและให้คำนิยามใหม่ เป็นขั้นของการทบทวนและประเมินความต่อเนื่องทางธุรกิจ ที่ผู้นำระดับสูงมีความตระหนักถึงภัยคุกคาม โดยมีการกำหนดนโยบาย ระบุโครงสร้างทีมงานต่าง ๆ การจัดสรรทรัพยากร การจัดทำโครงการ และมีกลไกการทบทวนตรวจสอบ องค์กรมีการกำหนดวัตถุประสงค์และขอบเขตของความต่อเนื่องทางธุรกิจ ซึ่งเป็นการเปลี่ยนแนวคิดของบุคลากรจากการฟื้นฟูสภาพ มาเป็นการฟื้นฟูและการป้องกัน ที่เป็นการเปลี่ยนแปลงพฤติกรรมของผู้จัดการและบุคลากร
2.การวางแผนความต่อเนื่องทางธุรกิจ จุดสำคัญหรือหัวใจของขั้นตอนนี้คือ การวิเคราะห์ผลกระทบที่มีต่อธุรกิจ (Business Impact Analysis: BIA) โดยการวิเคราะห์ทั้งปัจจัยภายนอกและปัจจัยภายใน ปัจจัยภายนอกได้แก่ สิ่งแวดล้อมทางการตลาด การวิเคราะห์ผู้มีส่วนได้ส่วนเสีย และห่วงโซ่อุปทาน เป็นต้น ปัจจัยภายในได้แก่ ผลิตภัณฑ์และบริการ กิจกรรมและทรัพยากร ความเชื่อมโยงและการพึ่งพาอาศัยซึ่งกันและกัน เป็นต้น
ผลจากการวิเคราะห์จะนำมาใช้ในการสร้างแผนการบริหารธุรกิจอย่างต่อเนื่องต่อไป โดยจะมีการตั้งวัตถุประสงค์ การประเมินความเสี่ยง การจัดลำดับความสำคัญ การจำลองสถานการณ์ที่อาจเกิดขึ้น และการสร้างแผนรองรับ
การวิเคราะห์ผลกระทบที่มีต่อธุรกิจ (BIA) มี 9 ขั้นตอนคือ
ผลการสำรวจอาจมีความแตกต่างกันตามลักษณะขององค์กร ผลจากการวิเคราะห์ผลกระทบที่มีต่อธุรกิจจะนำไปกำหนดความเร่งด่วนของแผนฟื้นฟูโดยการทำการประเมินผลกระทบต่อธุรกิจ (Business Impact Evaluation: BIE) ซึ่งมี 4 ขั้นตอน คือ
แผนงานที่เป็นแนวทางปฏิบัติการในการบริหารความต่อเนื่องทางธุรกิจ มี 4 องค์ประกอบคือ
3.การนำแผนไปปฏิบัติ การทำให้แผนการหรือแนวทางการบริหารความต่อเนื่องทางธุรกิจไปใช้ประโยชน์ เพื่อให้ฝังตัวอยู่ในเนื้อของการปฏิบัติงานประจำ มี 2 แนวทางใหญ่ ๆ คือโครงสร้างองค์กร ที่มีสายการบังคับบัญชา การควบคุม และการสื่อสารที่ชัดเจน และสภาพแวดล้อมขององค์กรที่เอื้อต่อการปฏิบัติ คือ การสื่อสาร วัฒนธรรมองค์กร การควบคุม การให้รางวัล และการฝึกอบรม
การจะนำแนวทางใหม่ ๆ มาใช้ในองค์กรต้องมีการบริหารการเปลี่ยนแปลง การที่จะชนะแรงต่อต้านได้ต้องอาศัยผู้จัดการซึ่งอยู่ระหว่างกลางของผู้บริหารและพนักงาน กลยุทธ์ที่นิยมใช้ในการบริหารการเปลี่ยนแปลงเรียงตามลำดับ คือ การให้ความรู้ มีสื่อสารอย่างสม่ำเสมอ ให้พนักงานเข้ามามีส่วนร่วม มีการช่วยเหลือและให้กำลังใจ มีการทำสัญญา มีการต่อรอง และสุดท้ายคือ ใช้การบังคับ
ทีมบริหารความต่อเนื่องทางธุรกิจถ้าจะให้ได้ผลดี ควรประกอบด้วยสหสาขาวิชาชีพ บุคลากรมีความหลากหลาย มีความสัมพันธ์ที่ดีต่อกัน มีการประชุมสม่ำเสมอ และมีบุคคลสำคัญที่อยู่ในตำแหน่งสำคัญที่ผู้บริหารสูงสุดให้การสนับสนุนเป็นหัวหน้าทีมคือจุดเริ่มต้น
4.การบริหารการปฏิบัติงาน เป็นการทดสอบ การทดลอง และการบริหารเหตุการณ์ การที่จะจัดการกับเหตุการณ์ได้ดีขึ้นกับการสื่อสารตามลำดับขั้นที่ลงตัวพอดี เวลาเป็นสิ่งสำคัญ โดยเฉพาะ 24 ชั่วโมงแรก ว่าจะจัดการเหตุการณ์ได้ดีเพียงไร
ทีมบริหารจัดการเหตุวิกฤตอาจเกิดข้อผิดพลาดได้โดย
แนวทางการแก้จุดบกพร่องที่อาจเกิดขึ้นมีดังนี้
โครงสร้างการบังคับบัญชาในการบริการความต่อเนื่องทางธุรกิจ ที่แนะนำแบ่งได้เป็น 3 ระดับ เพื่อให้สายการบังคับบัญชาสั้น แต่สามารถนำไปดัดแปลงใช้ได้ ซึ่งขึ้นกับขนาดขององค์กร คือ
การทดสอบแผนการบริหารความต่อเนื่องทางธุรกิจ เป็นการทำแผนให้ทันสมัยอยู่เสมอ เพื่อให้มีการรับมือกับเหตุการณ์วิกฤตได้ดีที่สุด เพื่อการตอบสนองที่ถูกต้องและมีความปลอดภัย และเพื่อให้แน่ใจว่าสามารถดำเนินการต่อเนื่องทางธุรกิจได้ตามแผนที่วางไว้ การฝึกซ้อมแผนมีทั้งแบบแจ้งล่วงหน้าและไม่ได้แจ้งล่วงหน้า การทดสอบโดยแจ้งล่วงหน้าสามารถทำได้บ่อยกว่า ส่วนการทดสอบโดยไม่แจ้งล่วงหน้าให้ระวังการเกิดความเข้าใจผิดของผู้มีส่วนได้ส่วนเสีย เพราะอาจคิดว่าเกิดเหตุการณ์ขึ้นจริงจนกว่าจะทราบว่าเป็นแค่การซ้อม รูปแบบของการทดสอบแผนที่วางไว้มีวิธีปฏิบัติดังนี้ คือ
ภายหลังการทดสอบแผน จะมีการประเมิน เพื่อดูประสิทธิภาพของแผน บุคลากรได้ทำตามแผนหรือแตกต่างออกไป จุดใดที่เกิดความล่าช้า บุคลากรทำหน้าที่ได้ดีหรือไม่ มีการปฏิบัติได้ตามคาดหวังหรือไม่ มีอะไรต้องปรับเปลี่ยน และจะทำให้ดีขึ้นได้อย่างไร
การธำรงไว้ซึ่งแผนการดำเนินการทางธุรกิจอย่างต่อเนื่องนั้น คือการทำให้ทันสมัย ให้เป็นปัจจุบันที่สุด ส่วนการตรวจสอบดูความเหมาะสมของแผนกับสถานการณ์ปัจจุบันนั้น อาจต้องทำการวิเคราะห์ผลกระทบต่อธุรกิจ (BIA) และมีการประเมินผลกระทบต่อธุรกิจ (BIE) ใหม่อีกรอบ เอกสารที่ใช้ในการบริหารความต่อเนื่องทางธุรกิจเป็นสิ่งที่ไม่หยุดนิ่ง สมควรมีการปรับปรุงแก้ไข มิฉะนั้นจะกลายเป็นการลงทุนที่สูญเปล่า การบริหารความต่อเนื่องทางธุรกิจไม่ควรทำเป็นแค่โครงการเท่านั้น แต่ควรทำเป็นสิ่งปกติขององค์กร
สรุป การบริหารความต่อเนื่องทางธุรกิจ มีวิวัฒนาการจากการเตรียมความพร้อมเพื่อความต่อเนื่องของระบบสารสนเทศ แล้วขยายตัวสู่ปฏิบัติการอื่น ๆ เพื่อใช้ในการเพิ่มคุณค่าให้กับองค์กร และต่อมาถือว่าเป็นความสามารถขององค์กรในการได้เปรียบในการแข่งขัน คือ มีความสามารถในการป้องกัน และความสามารถในการฟื้นฟูจากภัยพิบัติ การบริหารความต่อเนื่องทางธุรกิจ ยังคงมีความสำคัญในการเพิ่มคุณค่า การได้เปรียบในการแข่งขัน รวมถึงในประเด็นกลยุทธ์ทั้งในปัจจุบันและในอนาคต
************************************************
ไม่มีความเห็น