บทนำ
หากเกิดเหตุภัยพิบัติส่งผลให้ธุรกิจหยุดชะงัก ไม่สามารถส่งมอบผลิตภัณฑ์และบริการให้ลูกค้าได้ หัวหน้าได้มอบหมายให้คุณกู้ระบบกลับคืนมาหลังเกิดเหตุ คุณจะทราบได้อย่างไรว่า คุณจะต้องดำเนินการกู้คืนอะไรบ้าง และต้องกู้คืนอะไรก่อนและหลังเพื่อให้ธุรกิจสามารถดำเนินงานต่อไปได้อย่างต่อเนื่อง
การวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยงมีความสำคัญอย่างไร ทำไมองค์กรที่จัดทำการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management หรือ BCM) ต้องทำกิจกรรมนี้ สามารถติดตามได้จากบทความนี้
การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis หรือ BIA) และการประเมินความเสี่ยง (Risk Assessment หรือ RA) เป็นกิจกรรมสำคัญที่ต้องดำเนินการในการจัดทำการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management หรือ BCM) ผลลัพธ์ที่ได้จากการวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยงคือข้อมูลสำคัญที่นำไปกำหนดกลยุทธ์ความต่อเนื่องทางธุรกิจ (Business Continuity Strategy) และนำไปประกอบการจัดทำเอกสารแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan หรือ BCP) ซึ่งเป็นกรอบและแนวทางในการปฏิบัติงานให้กับองค์กรเพื่อให้องค์กรสามารถดำเนินการกู้คืนกิจกรรมสำคัญ (Critical Business Function) หลังจากเกิดเหตุหยุดชะงัก และสามารถกลับมาดำเนินธุรกิจได้อีกครั้งภายในระยะเวลาเป้าหมายที่กำหนด
การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA)
การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis หรือ BIA) คือกระบวนการวิเคราะห์กิจกรรมการดำเนินงานในองค์กร และผลกระทบที่อาจเกิดขึ้นต่อการดำเนินธุรกิจหากกิจกรรมดังกล่าวเกิดการหยุดชะงักขึ้น ในการวิเคราะห์ผลกระทบทางธุรกิจ มีขั้นตอนหลัก ๆ 4 ขั้นตอน ดังนี้คือ
- การระบุกิจกรรมการดำเนินงาน (Business Process) เพื่อส่งมอบผลิตภัณฑ์หรือบริการขององค์กร
- การประเมินผลกระทบหากกิจกรรมดังกล่าวเกิดการหยุดชะงักตามระยะเวลาที่กำหนด เพื่อหากิจกรรมสำคัญ (Critical Business Process) ขององค์กร
- การกำหนดกรอบระยะเวลาและเป้าหมายในการกลับมาดำเนินงานได้ของกิจกรรมสำคัญ (Critical Business Process) ขององค์กรหลังการหยุดชะงัก ซึ่งกรอบระยะเวลาและเป้าหมายที่ต้องกำหนดประกอบด้วยค่าต่าง ๆ ดังนี้คือ
- วัตถุประสงค์ความต่อเนื่องทางธุรกิจขั้นต่ำสุด (Minimum Business Continuity Objective หรือ MBCO) หมายถึง ระดับต่ำสุดของการบริการ และ/หรือ ผลิตภัณฑ์ที่องค์กรยอมรับโดยยังคงสามารถบรรลุวัตถุประสงค์ทางธุรกิจในระหว่างเกิดการหยุดชะงัก
- ช่วงเวลาการหยุดชะงักที่ยอมรับได้สูงสุด (Maximum Tolerable Period of Disruption หรือ MTPD) หมายถึง ช่วงเวลาที่ส่งผลกระทบต่อองค์กรทำให้ไม่สามารถยอมรับได้จากการจัดส่งสินค้า หรือให้บริการ หรือดำเนินกิจกรรม หรือระยะเวลาที่การดำเนินงานขององค์กรสามารถหยุดชะงักได้นานที่สุด
- ระยะเวลาเป้าหมายในการฟื้นคืนสภาพ (Recovery Time Objective หรือ RTO) หมายถึง ระยะเวลาภายหลังจากเกิดอุบัติการณ์ขึ้นที่ทำให้ผลิตภัณฑ์หรือบริการต้องกลับคืนสภาพเดิม กิจกรรมต้องกลับมาดำเนินการได้ และทรัพยากรต้องได้รับการฟื้นฟู
- เป้าหมายของการฟื้นคืนสภาพ (Recovery Point Objective หรือ RPO) หมายถึง จุดซึ่งสารสนเทศที่ใช้ในกิจกรรมต้องได้รับการฟื้นฟูเพื่อให้สามารถกลับมาดำเนินกิจกรรมต่อไปได้ หรือ ความถี่ในการสำรอง (backup) ข้อมูลขององค์กร
- การระบุทรัพยากรที่สนับสนุนกิจกรรมสำคัญ เพื่อให้กิจกรรมสำคัญเหล่านี้สามารถกลับมาดำเนินการได้ตามกรอบระยะเวลาที่กำหนดไว้หลังจากเกิดเหตุหยุดชะงัก
ผลลัพธ์ที่ได้จากการวิเคราะห์ผลกระทบทางธุรกิจคือ กิจกรรมสำคัญขององค์กร (Critical Business Function) รวมถึงลำดับของกิจกรรมที่ต้องได้รับการกู้คืนตามระยะเวลาเป้าหมายที่กำหนด โดยใช้ทรัพยากรสนันสนุนตามที่ได้ระบุไว้ ซึ่งข้อมูลเหล่านี้จะถูกนำไปประกอบกับผลลัพธ์ที่ได้จากการประเมินความเสี่ยง เพื่อใช้กำหนดกลยุทธ์ความต่อเนื่องทางธุรกิจ (Business Continuity Strategy) และจัดทำเอกสารแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan หรือ BCP) ขององค์กร
การประเมินความเสี่ยง (Risk Assessment: RA)
การประเมินความเสี่ยง (Risk Assessment หรือ RA) คือการวิเคราะห์ความเสี่ยงของภัยคุกคามต่าง ๆ ที่อาจส่งผลกระทบต่อการหยุดชะงักของกิจกรรมการดำเนินงานในองค์กร โดยในแต่ละภัยคุกคามจะมีโอกาสการเกิดและมีผลกระทบต่อการดำเนินงานขององค์กรในระดับที่แตกต่างกัน เพื่อให้ทราบถึงความยืดหยุ่นขององค์กรต่อภัยคุกคามต่างๆ โดยในการประเมินความเสี่ยงมีขั้นตอนหลัก ๆ 4 ขั้นตอนดังนี้ คือ
- ระบุภัยคุกคามต่าง ๆ ที่มีความเสี่ยงต่อการหยุดชะงักของกิจกรรมการดำเนินงานขององค์กร โดยประเภทของภัยคุกคามที่นำมาพิจารณาสามารถแบ่งได้เป็น
- ภัยคุกคามที่เกิดขึ้นเองจากธรรมชาติ (Natural Disaster) เช่น ไฟไหม้ แผ่นดินไหว อุทกภัย วาตภัย โรคระบาด ฯลฯ
- ภัยคุกคามที่เกิดจากมนุษย์ (Manmade Disaster) เช่น การก่อการร้าย การชุมนุมประท้วง การชุมนุมทางการเมือง ฯลฯ
- ภัยคุกคามด้านเทคโนโลยี (Technology Disaster) เช่น ไฟฟ้าดับ การโจมตีทางไซเบอร์ ระบบสื่อสารใช้งานไม่ได้ ระบบไอทีล่ม ข้อมูลสูญหาย ฯลฯ
- ประเมินระดับผลกระทบ (Impact) ของภัยคุกคามดังกล่าวต่อองค์กรและวิเคราะห์โอกาสการเกิด (Likelihood) ของภัยคุกคามดังกล่าว เพื่อนำมาหาระดับความเสี่ยง (Risk Score) ของแต่ละภัยคุกคามที่มีต่อองค์กร
- พิจารณาระดับความเสี่ยงของแต่ละภัยคุกคาม เพื่อประเมินว่ามีความเสี่ยงที่เกี่ยวข้องกับการหยุดชะงักใดที่จำเป็นต้องมีการจัดการความเสี่ยง
- กรณีเป็นความเสี่ยงที่อยู่ในระดับที่องค์กรไม่สามารถยอมรับได้ องค์กรต้องมีการระบุมาตรการจัดการความเสี่ยงที่มีความเหมาะสม
ผลลัพธ์ที่ได้จากการประเมินความเสี่ยงคือ ภัยคุกคามต่าง ๆ ที่อาจส่งผลกระทบต่อการดำเนินกิจกรรมสำคัญขององค์กร (Critical Business Function) และระดับความเสี่ยงของภัยคุกคามดังกล่าวที่องค์กรยอมรับได้และยอมรับไม่ได้ กรณีที่องค์กรยอมรับไม่ได้ต้องมีการจัดการความเสี่ยงเพื่อลดหรือบรรเทาผลกระทบที่อาจเกิดขึ้น ซึ่งข้อมูลที่ได้จากการประเมินความเสี่ยงจะถูกนำไปประกอบกับผลลัพธ์ที่ได้จากการวิเคราะห์ผลกระทบทางธุรกิจ เพื่อใช้กำหนดกลยุทธ์ความต่อเนื่องทางธุรกิจ (Business Continuity Strategy) และจัดทำเอกสารแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan หรือ BCP) ขององค์กร
หากบริษัท/องค์กรของท่านมีความสนใจจัดทำและขอใบรับรองมาตรฐาน ISO 22301 ติดต่อเราได้ที่นี่
