Business Continuity Management: the time has come for developing/improving business continuity plan & process to ensure business survival

ถึงเวลาหรือยังที่องค์กรจะจัดทำ/ปรับปรุงแผน BCP และกระบวนการ BCM ให้มีประสิทธิภาพ เพื่อความอยู่รอดของธุรกิจ

By Sasawat Malaivongs, Executive Consultant, ACinfotec

 นช่วงหลายปีที่ผ่านมาประเทศไทยต้องเผชิญกับเหตุวิกฤติหลายครั้ง ทั้งเหตุการณ์ความไม่สงบทางการเมือง เหตุการที่มีผู้ก่อการร้ายวางแผนก่อเหตุในเมืองหลวง ไปจนถึงเหตุการณ์มหาอุทกภัย ทำให้ประเทศไทยถูกเลื่อนอันดับไปเป็นหนึ่งในประเทศที่มีความเสี่ยงสูงเป็นอันดับต้นๆ ของโลก  และยังถูกหยิบยกไปเป็นกรณีศึกษา (Case Study) ในหลักสูตรฝึกอบรมและการสัมมนาด้านการวางแผนความต่อเนื่องในการดำเนินธุรกิจในต่างประเทศมากมาย นับว่าประเทศไทยช่วยจุดประกายให้ต่างชาติต้องหันกลับมาวางแผน BCP เพื่อรับมือเหตุการณ์ในลักษณะนี้ หรือปรับปรุงแผนที่มีอยู่เดิมให้ครอบคลุมมากยิ่งขึ้น

Global Terrorism Risk Index

 

2011-terror-chart-3

Test photo02

source: http://www.gccapitalideas.com/2011/08/22/terrorism-global-terror-attacks-and-hotspots/

จากภาพ ประเทศไทยถูกจัดอยู่ในกลุ่มเสี่ยงที่จะเกิดเหตุก่อการร้าย

Global  Peace  Index

Global Peace Index

source: http://www.visionofhumanity.org/gpi-data/#/2011/scor

จากภาพ ประเทศไทยมีความสงบเรียบร้อยอยู่ในลำดับที่ 107 หรือมองในมุมกลับ ก็หมายความว่าประเทศไทยไม่มีความสงบเรียบร้อยนั่นเอง

“ต่างชาติเค้ามองดูประเทศไทย และเริ่มจัดทำ/ปรับปรุงแผน BCP แล้ว องค์กรต่างๆ ในประเทศไทยล่ะจะเริ่มเมื่อไหร่”

ที่จริงแล้วการวางแผนความต่อเนื่องในการดำเนินธุรกิจไม่ใช่เรื่องใหม่ของประเทศไทย แต่คำถามคือจะมีสักกี่องค์กรที่มีแผนที่ครอบคลุมและสามารถใช้งานได้อย่างมีประสิทธิผลภายใต้รูปแบบของภัยคุกคาม (Threat) เฉพาะของเมืองไทยที่อาจเรียกได้ว่าไม่เหมือนที่ใดในโลก ในช่วงที่มีการชุมนุมทางการเมืองและมีการปิดถนนสายหลัก บางบริษัทที่มีระบบคอมพิวเตอร์สำรอง (แต่ไม่มีกระบวนการที่ดีรองรับ) ก็ได้ทำการย้ายฐานปฏิบัติการและสำนักงานไปยัง Office สำรอง ซึ่งก็พบปัญหาอุปสรรคมากมาย ตั้งแต่ระบบสำรองไม่มีประสิทธิภาพเพียงพอที่จะให้บริการลูกค้า ไปจนถึงความยากลำบากในการติดต่อสื่อสารกับลูกค้าในระหว่างที่เกิดภาวะวิกฤติ ส่งผลให้เกิดความเสียหายต่อธุรกิจเป็นอย่างมาก

ในช่วงที่เกิดน้ำท่วม (ซึ่งมีการคาดการณ์ว่าอาจเกิดซ้ำขึ้นอีก) หลายองค์กรไม่สามารถรับมือได้อย่างเหมาะสมเพราะไม่เคยมีแผน BCP สำหรับเหตุการณ์น้ำท่วมเมืองหลวง หรือมีแผน BCP แต่แผนที่วางไว้ไม่เพียงพอหรือไม่เหมาะสมต่อสถานการณ์ องค์กรส่วนมากมักกำหนดทีมรับมือสถานการณ์ฉุกเฉินพร้อมทั้งหน้าที่และความรับผิดชอบไว้ว่าหากเกิดเหตุการณ์ใดก็ตาม ทีมนี้จะมีหน้าที่ในการกู้ระบบงานหรือกระบวนการธุรกิจขององค์กร แต่เมื่อเกิดน้ำท่วมใหญ่ขึ้นและบ้านของพนักงานได้รับความเดือดร้อน ทุกคนต้องมุ่งแก้ปัญหาเฉพาะหน้าของตนเองก่อน จึงไม่มีใครว่างมาดูแลการปฏิบัติตามแผน BCP ขององค์กร

หรืออีกปัญหาหนึ่งที่พบมากคือ การขาดการวางแผน BCP แบบบูรณาการระหว่างองค์กรต่างๆ ที่ทำงานเกี่ยวข้องกัน หรืออยู่ในห่วงโซ่อุปทาน (Supply Chain) เดียวกัน เช่น มีการ Stock สินค้าเครื่องอุปโภคบริโภคเกินความจำเป็นต้องใช้ทำให้เกิดภาวะสินค้าขาดแคลนในตลาด

การจัดทำแผน BCP และการสร้างกระบวนการ BCM ที่เป็น Living Process ในองค์กร จึงเป็นกลยุทธ์ที่เหมาะสมที่สุด ที่ทุกองค์กรควรพิจารณาดำเนินการโดยเร่งด่วน และกำหนดเป็นโร้ดแมพ หรือยุทธศาสตร์ในการบริหารองค์กร

“แล้วจะเริ่มอย่างไรดี”

ตำราหรือหลักสูตรฝึกอบรมด้าน BCM นั้นมีให้เลือกมากมาย แต่ละตำราก็มีทฤษฎี กระบวนการ ตลอดจนคำศัพท์เฉพาะที่แตกต่างกัน ทำให้เกิดความสับสนต่อผู้บริหารหรือเจ้าหน้าที่ขององค์กรที่ได้รับมอบหมายภารกิจในการจัดทำแผน BCP เป็นอย่างมาก ดังนั้น ขอแนะนำให้เริ่มจากการศึกษามาตรฐานสากลด้าน BCM ซึ่งในปัจจุบันมาตรฐานที่ได้รับการยอมรับสูงสุดคือ BS 25999 หรือ British Standard หมายเลข 25999 (กำลังจะได้รับการปรับปรุงให้กลายเป็นมาตรฐาน ISO 22301 ในเร็วๆ นี้) ซึ่งได้รับการจัดทำขึ้นโดยคณะผู้เชี่ยวชาญจากหลายภาคส่วนทั่วโลก เพื่อให้เป็นมาตรฐานที่ชัดเจน ครอบคลุม และสามารถใช้เป็นเกณฑ์ในการตรวจประเมินและออกประกาศนียบัตรรับรองกระบวนการ BCM ขององค์กรได้

แนวทางการจัดทำ/ปรับปรุงแผน BCP และสร้างกระบวนการ BCM ตามแนวทางของมาตรฐาน BS 25999 / ISO 22301 สามารถอธิบายได้โดยสังเขป ดังนี้

“เริ่มต้นจากการวางรากฐานและศึกษาตนเอง”

1.    การวางรากฐานเพื่อขับเคลื่อนกระบวนการ BCM (BCM program management) ประกอบด้วยการขอความสนับสนุนจากผู้บริหาร (Management Support and Commitment) ในด้านบุคลากร งบประมาณ ตลอดจนทรัพยากรอื่นๆ ที่จำเป็นต่อการจัดทำแผน BCP และการสร้างกระบวนการ BCM รวมถึงการกำหนดหน้าที่และความรับผิดชอบด้าน BCM ในการนี้ องค์กรขนาดใหญ่ที่มีทรัพยากรและเงินทุนมาก อาจพิจารณาจัดตั้งหน่วยงานเฉพาะขึ้น เพื่อทำหน้าที่ในการผลักดันการจัดทำแผน BCP และกำกับดูแลกระบวนการ BCM ภายในองค์กร ซึ่งถือว่าเป็นวิธีการที่มีประสิทธิผลสูงสุด ในขณะที่องค์กรที่ไม่มีทรัพยากรเพียงพอก็อาจกำหนดบทบาท (Role) และหน้าที่ (Responsibilities) ให้กับพนักงานจำนวนหนึ่งที่มีคุณสมบัติเหมาะสมได้เช่นกัน

2.    ศึกษาตนเอง (Understanding the organization) หมายถึง การประเมินความเสี่ยง (Risk Assessment) และการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis) เพื่อให้สามารถระบุลักษณะของเหตุการณ์หรือความเสี่ยงที่ต้องมีการจัดทำแผน BCP รองรับ ตลอดจนกระบวนการธุรกิจที่สำคัญต่อความอยู่รอดขององค์กรและต้องการกลยุทธ์ในการกู้คืนที่เหมาะสม การศึกษาตนเองในขั้นตอนนี้ถือว่ามีความสำคัญมาก และเป็นสาเหตุหนึ่งของข้อผิดพลาดในการจัดทำแผน BCP ของหลายๆ องค์กร นั่นคือไม่ได้ทำการศึกษาตนเองก่อนที่จะเขียนแผน ทำให้แผนนั้นไม่ครอบคลุมความเสี่ยงที่อาจเกิดขึ้น หรือกลยุทธ์ในการกู้คืนที่เลือกใช้ไม่สามารถทำงานได้อย่างมีประสิทธิภาพ

3.    กำหนดกลยุทธ์ในการกู้คืน (Determining BCM strategy) หมายถึง การกำหนดกลยุทธ์ที่เหมาะสมในการกู้คืน (Recovery Strategy) ซึ่งต้องสอดคล้องกับผลการประเมินความเสี่ยง และผลการวิเคราะห์ผลกระทบทางธุรกิจในขั้นตอนก่อนหน้า ตัวอย่างกลยุทธ์ในการกู้คืนได้แก่ การจัดให้มีศูนย์คอมพิวเตอร์สำรอง และสถานที่ปฏิบัติงานสำรอง (Backup Site) การใช้กระบวนการทำงานแบบแมนนวลทดแทนระบบคอมพิวเตอร์ (Manual Workaround) การกระจายงานหรือการประมวลผล (Distributed Processing Center) เพื่อรับมือกับปัญหาน้ำท่วม การจัดเตรียมงบประมาณและเงินสดสำรองเพื่อใช้ในยามฉุกเฉิน ตลอดจนการว่าจ้างหรือทำสัญญากับผู้ให้บริการหรือหน่วยงานภายนอกในการให้ความช่วยเหลือในระหว่างเกิดเหตุ

4.     เตรียมความพร้อม (Developing and implementing BCM response) เมื่อได้กลยุทธ์แล้ว ก็ต้องดำเนินการเตรียมความพร้อม เพื่อให้สามารถปฏิบัติใช้กลยุทธดังกล่าวได้จริง เช่น หากกำหนดกลยุทธ์ในการกู้คืนว่าองค์กรต้องมีกระบวนการทำงานแบบแมนนวลทดแทนระบบคอมพิวเตอร์ การเตรียมความพร้อมก็อาจหมายถึงการจัดเตรียมกระบวนการทำงานแบบแมนนวล จัดทำแบบฟอร์มหรือเอกสารสำหรับใช้บันทึกข้อมูล จัดฝึกอบรมเพื่อให้ความรู้แก่พนักงาน รวมถึงเขียนวิธีการทั้งหมดไว้ในเอกสาร ซึ่งในที่นี้ก็คือแผน BCP นั่นเอง

5.    ทดสอบ ทบทวน และปรับปรุงอย่างต่อเนื่อง (Exercising, maintaining and reviewing) เมื่อมีแผน BCP แล้ว ก็ต้องหมั่นทดสอบเพื่อให้มั่นใจว่าแผนนั้นสามารถใช้งานได้จริง ประกอบกับพนักงานมีความเข้าใจและสามารถปฏิบัติตามแผนได้อย่างถูกต้อง โดยทั่วไปแล้วองค์กรควรทบทวนเนื้อหาและทบสอบแผน BCP อย่างน้อยปีละ 1 ครั้ง ซึ่งการทดสอบควรทำแบบค่อยเป็นค่อยไป หรือคือมีความเข้มข้นขึ้นตามลำดับ เริ่มตั้งแต่การทบทวนเนื้อหาและตรรกะของแผน BCP ร่วมกันระหว่างผู้ที่เกี่ยวข้อง ไปจนถึงการทดสอบในสถานการณ์จำลองหรือการทดสอบแบบเสมือนจริง

6.    สร้างวัฒนธรรมองค์กร (Embedding BCM in the organization’s culture) หมายถึง การทำให้กระบวนการ BCM กลายเป็น Living Process ที่พร้อมจะเติบโตไปกับองค์กร และสร้างความสามารถในการรับมือภัยคุกคามและความเสี่ยงในรูปแบบต่างๆ ที่อาจส่งผลกระทบต่อกระบวนการธุรกิจที่สำคัญได้อย่างมีประสิทธิภาพ ในการนี้ จะต้องมีการผนวก BCM ให้เป็น Core Value ขององค์กร โดยการกำหนด KPI และสร้างความตระหนักให้แก่พนักงานอย่างต่อเนื่อง

หากดำเนินการตามขั้นตอนหลักๆ ข้างต้นครบถ้วน ก็จะทำให้องค์กรมีแผน BCP ที่ครอบคลุมและกระบวนการ BCM ที่มีประสิทธิผล และยังสามารถดำเนินการเพิ่มเติมเพื่อขอประกาศนียบัตรรับรอง ด้วยการเชิญผู้ตรวจสอบจากภายนอกเข้าทำการ Audit กระบวนการ BCM ขององค์กร เพื่อค้นหาจุดอ่อน หรือข้อบกพร่องในกระบวนการจากมุมมองของผู้เชี่ยวชาญ และสร้างความเชื่อมั่นว่าองค์กรมีแผน BCP และกระบวนการ BCM ที่ได้มาตรฐานระดับโลก ซึ่งจุดนี้สามารถมองเป็น Strategic Goal ขององค์กรได้ เนื่องจากผลที่ได้รับไม่ใช่เพียงลดผลกระทบหรือความเสียหายที่อาจเกิดขึ้นจากภัยคุกคามหรือความเสี่ยง แต่ยังช่วยเสริมสร้างภาพลักษณ์ และความเชื่อมั่นในสายตาของลูกค้าและนักลงทุนอีกด้วย

พบกับตอนต่อไปได้ในบทความฉบับถัดไป ซึ่งเราจะมาลงรายละเอียดในส่วนของข้อกำหนดที่สำคัญของมาตรฐาน BS 25999 / ISO 22301 ขั้นตอนการวิเคราะห์ผลกระทบทางธุรกิจ และการทดสอบแผน BCP ในแบบที่ถูกต้อง รวมถึงบทวิเคราะห์สาเหตุของความผิดพลาดของแผน BCP ของธุรกิจต่างๆ ในประเทศไทย รวมถึงเทคโนโลยีใหม่ๆ ที่องค์กรควรพิจารณานำมาใช้เป็นเครื่องมือในการบริหารความต่อเนื่องในการดำเนินธุรกิจ