ขั้นตอนในการจัดทำแผนบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan : BCP) ประกอบด้วย

1. การกำหนดบทบาทหน้าที่ความรับผิดชอบของผู้บริหารและคณะทำงานการบริหารความต่อเนื่องทางธุรกิจ เนื่องจากการบริหารความต่อเนื่องทางธุรกิจนั้นเกี่ยวข้องกับการดำเนินธุรกิจขององค์กร ดังนั้นการกำหนดบทบาทหน้าที่ความรับผิดชอบของบุคคลากรในองค์กรที่เกี่ยวข้องจะต้องกำหนดบทบาทหน้าที่ความรับผิดชอบให้ครอบคลุมทุก ๆ คนที่เกี่ยวข้องตั้งแต่

• ผู้บริหารระดับสูงขององค์กร (ฺTop management)

• ผู้บริหารและคณะทำงานการบริหารความต่อเนื่องทางธุรกิจ ที่องค์กรได้มอบหมายให้ดูแลรับผิดชอบ

• บุคลากรในองค์กรที่เกี่ยวข้อง

ทั้งนี้องค์กรสามารถที่จะกำหนดผ่านการจัดทำโครงสร้างการบริหารความต่อเนื่องทางธุรกิจ การประกาศแต่งตั้ง การกำหนดบทบามหน้าที่รับผิดชอบไว้ใน Job Description หรือในขั้นตอนการปฏิบัติงานหรืออยู่ในแผน BCP ที่องค์กรได้มีการจัดทำไว้

2. การกำหนดและจัดทำนโยบายการบริหารความต่อเนื่องทางธุรกิจ เพื่อสื่อสารถึงทิศทางในการดำเนินงานด้านการบริหารความต่อเนื่องทางธุรกิจขององค์กรให้กับผู้มีส่วนได้ส่วนเสียกับการดำเนินธุรกิจขององค์กรได้รับทราบถึงทิศทางและแนวทางในการปฏิบัติงานขององค์กรที่เตรียมพร้อมรองรับการจัดการกับสถานการณ์ฉุกเฉินและการดำเนินการเพื่อให้เกิดการดำเนินงานขององค์กรในการส่งมอบผลิตภัณฑ์/บริการได้ตรงตามข้อตกลงในระยะเวลาที่กำหนดภายใต้สถานการณ์ฉุกเฉินที่เกิดขึ้นได้อย่างไรบ้าง

3. การระบุผลิตภัณฑ์/บริการและการดำเนินการวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยงต่อการดำเนินธุรกิจ โดยองค์กรต้องดำเนินการ

   • ระบุผลิตภัณฑ์/บริการที่สำคัญขององค์กรต่อการบรรลุเป้าหมายทางธุรกิจที่องค์กรได้กำหนดไว้ เพื่อพิจารณาระบุกระบวนการ (Process) /กิจกรรม (Activity) ที่จำเป็นต่อการทำให้เกิดเป็นผลิตภัณฑ์/บริการนั้น ๆ ว่ามีกระบวนการ/กิจกรรมอะไรบ้าง ที่หากเกิดการหยุดชะงักการดำเนินการจะส่งผลต่อการส่งมอบผลิตภัณฑ์/บริการให้กับลูกค้าตามข้อตกลงและระยะเวลาที่กำหนดไว้

   • ระบุภัยคุกคามที่แนวโน้มว่าจะเกิดขึ้น และเมิ่อเกิดขึ้น (เป็นสถานการณ์ฉุกเฉินทั้งแบบที่เกิดขึ้นฉับพลันทันทีหรือค่อย ๆ เกิดขึ้น/ทวีความรุนแรง) จะกระทบต่อการดำเนินงานขององค์กร (ไปกระทบกับกระบวนการ/กิจกรรมการดำเนินงานขององค์กทำให้เกิดการหยุดชะงักไม่สามารถดำเนินการตามกระบวนการ/กิจกรรมนั้นได้ ว่าน่าจะมีภัยคุกคามอะไรบ้างที่จะก่อให้เกิดสถานการณ์ฉุกเฉินกับการดำเนินงานขององค์กร เช่น ภัยธรรมชาติ (อาทิ วาตภัย อุทกภัย อัคคีภัย แผ่นดินไหว) โรคระบาด Cyber attack การก่อการร้าย การชุมนุมประท้วง การนัดหยุดงาน การสูญเสียผู้บริหาร/บุคลากรหลักที่สำคัญขององค์กร Power/Water/Communication/IT Outage เป็นต้น

   • ทำการประเมินความเสี่ยง (Risk Assessment : RA) จากภัยคุกคามที่ก่อให้เกิดสถานการณ์ฉุกเฉินกับการดำเนินงานขององค์กรนั้นตามเกณฑ์และวิธีการที่องค์กรได้กำหนด เพื่อกลั่นกรองภัยคุกคามที่อาจส่งผลให้เกิดสถานการณ์ฉุกเฉินที่มีนัยสำคัญต่อการดำเนินการที่องค์กรต้องพิจารณาในการดำเนินการจัดการต่อ

   • ทำการวิเคราะห์ผลกระทบทางธุรกิจที่จะเกิดขึ้น (Business Impact Analysis : BIA) จากความเสี่ยงของภัยคุกคามที่ก่อให้เกิดเหตุการณ์ฉุกเฉินที่มีนัยสำคัญที่มากระทบต่อการดำเนินงานขององค์กรที่ทำให้เกิดการหยุดชะงักการดำเนินการที่กระบวนการ (Process) /กิจกรรม (Activity) ตามเกณฑ์และวิธีการที่องค์กรได้กำหนด เพื่อทำการ

     1. กำหนดค่า MTPD (Maximum tolerable period of disruption : ช่วงระยะเวลาการหยุดชะงักที่ยอมรับได้สูงสุด) และค่า RTO (Recovery Time Objective : ระยะเวลาที่ใช้ในการฟื้นกลับคืนระบบการทำงานของแต่ละกระบวนการ/กิจกรรม)

     2. จัดลำดับความสำคัญในการฟื้นกลับคืนมาของแต่ละกระบวนการ/กิจกรรม พร้อมกับการพิจารณาการกำหนดทรัพยากรและสิ่งพึ่งพา (Dependencies) ที่จำเป็นต่อการดำเนินธุรกิจได้อย่างต่อเนื่อง

4. การกำหนดกลยุทธ์และแนวทางในการสร้างความต่อเนื่องทางธุรกิจขององค์กร โดยการพิจารณาข้อมูลที่ได้จากการทำ RA และ BIA กับความสามารถขององค์กรในการเตรียมความพร้อมสำหรับการจัดการ เพื่อกำหนดและคัดเลือกกลยุทธ์และแนวทางในการสร้างความต่อเนื่องของการดำเนินธุรกิจขององค์กรที่เหมาะสมภายใต้สถานการณ์ฉุกเฉินสถานการณ์ต่าง ๆ ได้อย่างครอบคลุมและมีประสิทธิผล เช่น การหา Outsource Partner การหาพื้นที่ทำงานสำรอง การทำประกัน เป็นต้น

5. การกำหนดขั้นตอนการดำเนินการและการจัดทำแผนบริหารความต่อเนื่องทางธุรกิจขององค์กร โดยกำหนดรายละเอียดของการดำเนินการใน 3 ส่วน ประกอบด้วย

   • การจัดการกับสถานการณ์ฉุกเฉินที่เกิดขึ้น ในส่วนนี้องค์กรจะกำหนดรายละเอียดเกี่ยวกับการดำเนินการกับสถานการณ์ฉุกเฉินที่เกิดขึ้น เช่น หากเกิดเพลิงไหม้องค์กรจะจัดการกับเหตุเพลิงไหม้ทำอย่างไร หรือหากเกิดเหตุการณ์สารเคมีรั่วไหลในบริษัทข้าง ๆ องค์กรแต่กระทบกับการปฏิบัติงานขององค์กรองค์กรจะดำเนินการอย่างไรกับสถานการณ์นั้น หรือหามีการนัดชุมนุมประท้วงเกิดขึ้นในองค์กรการควบคุมการชุมนุมประท้วงทำอย่างไร เป็นต้น โดยในส่วนนี้จะเรียกว่าเป็น "แผนการจัดการกับสถานการณ์ฉุกเฉิน (Incident Management Plan : IMP)"

   • การทำให้ระบบการทำงานของกระบวนการ/กิจกรรมที่หยุดชะงักกับมาทำงานในระดับที่กำหนด (แต่อาจยังไม่ใช้ระดับปกติก่อนเกิดเหตุการณ์ฉุกเฉิน) โดยนำกลยุทธ์และแนวทางในการสร้างความต่อเนื่องของการดำเนินธุรกิจมากำหนดเป็นรายละเอียดในการดำเนินการของแต่ละกระบวนการ/กิจกรรม เช่น หากใช้การย้ายพื้นที่การผลิตไปดำเนินการที่อื่น (สำหรับกระบวนการหรือขั้นตอนของการผลิต ก็ต้องกำหนดถึงการเตรียมความพร้อมของอุปกรณ์ วัตถุดิบ สถานที่ ตัวบุคลากรผู้ปฏิบัติงาน และขั้นตอนการทำงานที่จะมีการปรับไปทำงาน ณ สถานที่แห่งใหม่ในช่วงที่องค์กรใช้แผน BCP ว่าต้องมีการดำเนินการอย่างไรบ้าง เพื่อให้สามารถดำเนินการผลิตและจัดส่งได้ในระดับที่กำหนดภายใต้ระยะเวลาที่กำหนดไว้ เป็นต้น รวมถึงรายละเอียดของสิ่งที่เตรียมพร้อมที่ต้องพิ่งพิงทั้งภายในและภายนอกองค์กรที่ต้องมีรายละเอียดของการดำเนินการและการประสานงานเกิดขึ้น เพื่อให้สามารถนำไปปฏิบัติได้เมื่อองค์กรมีการเรียกใช้แผน BCP

   • การฟื้นฟูกลับสู่การทำงานในระดับปกติ โดยองค์กรต้องกำหนดรายละเอียดของการพิจารณาในการฟื้นกลับเข้าสู่การทำงานในระดับปกติ (ระดับที่ก่อนเกิดเหตุการณ์ฉุกเฉินที่ทำให้เกิดการหยุดชะงัก) ว่ามีการดำเนินการอะไรอย่างไรบ้าง เช่น การซ่อมสร้าง/ตรวจสอบโครงสร้างพื้นฐานในจุดที่ได้รับผลกระทบจากสถานการณ์ฉุกเฉิน การทดสอบระบบ การกลับเข้ามาทำงานตามปกติ และการประกาศยุติการใช้แผน BCP เป็นต้น โดยในส่วนนี้จะเรียกว่าเป็น "แผนฟื้นฟู (Recovery Plan : RP)"

ในการจัดทำแผน BCP ควรจะต้องครอบคลุมการดำเนินการตั้งแต่ก่อนเกิดสถานการณ์ฉุกเฉิน ระหว่างเกิดสถานการณ์ฉุกเฉินและการมีผลสืบเนื่องจากสถานการณ์ฉุกเฉินนั้น และหลังจากที่จบเหตุการณ์ที่เป็นผลจากสถานการณ์ฉุกเฉินนั้นแล้ว โดยรายละเอียดการดำเนินการที่องค์กรกำหนดขึ้นต้องครอบคลุมถึงการจัดเตรียม/การจัดหาทรัพยากร การติดต่อประสานงานกับผู้ที่เกี่ยวข้องทั้งภายในและภายนอกองค์กร การสื่อสารรวมถึงการกำหนดมอบหมายบทบาทหน้าที่ของบุคลากรที่เกี่ยวข้อง (กำหนด Response Structure) ที่เหมาะสมที่ครอบคลุมทุกสถานการณ์และการดำเนินการที่องค์กรได้กำหนด

6. การฝึกซ้อม/ทดสอบแผนบริหารความต่อเนื่องทางธุรกิจ และการนำไปปฏิบัติใช้ เพื่อให้แผน BCP ที่องค์กรได้กำหนดขึ้นสามารถดำเนินการได้อย่างมีประสิทธิผล องค์กรต้องดำเนินการเตรียมความพร้อมในเรื่องทรัพยากรที่ได้กำหนดไว้ในแผน BCP อย่างสม่ำเสมอ รวมถึงการกำหนดการฝึกซ้อม/ทดสอบแผน BCP เป็นประจำ เพื่อให้บุคลากรที่เกี่ยวข้องมีความพร้อมในการปฏิบัติตามแผน โดยองค์กรสามารถที่จะกำหนดการฝึกซ้อมแผน BCP ได้ทั้งการทำ CALL TREE, TABLETOP TESTING, SIMULATION, FULL EXERCISE และดำเนินการตามแผน BCP เมื่อเกิดเหตุการณ์ฉุกเฉินที่ทำให้เกิดการหยุดชะงักที่ต้องมีการดำเนินการตามแผนได้

7. การปรับปรุงแผนการบริหารความต่อเนื่องทางธุรกิจ เพื่อให้แผน BCP ยังคงเหมาะสมต่อการปฏิบัติงานได้อย่างมีประสิทธิผลและครอบคลุมทุกสถานการณ์ฉุกเฉินที่อาจมีการเปลี่ยนแปลง องค์กรควรต้องทำการทบทวน ประเมินประสิทธิผลของการบริหารความต่อเนื่องตามแผน BCP และทำปรับปรุงอย่างสม่ำเสมอ เพื่อให้องค์กรสามารถดำเนินธุรกิจได้อย่างต่อเนื่องและบรรลุผลลัพธ์ตามเป้าหมายทางธุรกิจที่องค์กรกำหนดไว้ได้อย่างยั่งยืน

ที่มาแหล่งข้อมูล :

• องค์การระหว่างประเทศว่าด้วยการมาตรฐาน (International Organization for Standardization– ISO) https://www.iso.org

• The Business Continuity Institute (BCI) https://www.thebci.org

ปรับปรุงข้อมูล : เมษายน 2565