การบริหารความเสี่ยงองค์กรด้วยกลยุทธ์การบริหารความต่อเนื่องทางธุรกิจ
25
Jan
การบริหารความเสี่ยงองค์กรด้วยกลยุทธ์การบริหารความต่อเนื่องทางธุรกิจ
Business Continuity Management Strategy of Enterprise Risk Management
ปุณณภา น้อยจาด
Punnapa Noijad
punnapa.jia@gmail.com
นักศึกษาหลักสูตรบัญชีมหาบัณฑิต คณะบัญชี มหาวิทยาลัยศรีปทุม
บทคัดย่อ
บทความนี้มีวัตถุประสงค์เพื่อนำเสนอถึงความสำคัญ และแนวทางการบริหารความเสี่ยงองค์กรด้วยกลยุทธ์การบริหารความต่อเนื่องทางธุรกิจ เพื่อให้ผู้ที่สนใจได้ทราบถึงความหมาย หลักการ และองค์ประกอบของการบริหารความเสี่ยงตามแนวคิด COSO ERM 2017 และการบริหารความต่อเนื่องทางธุรกิจตามมาตรฐานสากล ISO 22301:2012 โดยแนวคิดเหล่านี้มีความสำคัญต่อการเชื่อมโยงของการบริหารความเสี่ยงองค์กรเข้ากับการวางแผนเชิงกลยุทธ์ โดยการบริหารความเสี่ยงองค์กรจะช่วยเป็นแม่แบบและแนวคิดในการพัฒนาการตัดสินใจในด้านการกำกับดูแลกิจการ กลยุทธ์การกำหนดวัตถุประสงค์และการดำเนินงาน เพื่อลดความรุนแรงจากผลกระทบที่เกิดขึ้น ด้วยกลยุทธ์การบริหารความต่อเนื่องทางธุรกิจที่จะช่วยให้องค์กรสามารถดำเนินธุรกิจหลักได้โดยไม่หงุดชะงักเมื่อประสบกันเหตุการณ์ที่เกิดจากความเสี่ยงขององค์กร
คำสำคัญ : การบริหารความเสี่ยงองค์กร, การบริหารความต่อเนื่องทางธุรกิจ, โคโซ่ อีอาร์เอ็ม 2017
Abstract
This article aims to present the importance and guidelines of enterprise risk management with business continuity management strategies. For interested parties to know the meaning, principles and elements of enterprise risk management according to the COSO ERM 2017 concept and business continuity management according to international standards ISO 22301:2012. These concepts are important for linking enterprise risk management with strategic planning. Enterprise risk management will serve as a model and concept for the development of corporate governance decisions, strategies for setting objectives and operations to reduce the impact of risk with a business continuity management strategy that will help the organization to run its core business without interruption in the face of organizational risk incidents.
Keywords : Business Continuity Management, Enterprise Risk Management, COSO ERM 2017
บทนำ
การบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management) เป็นหนึ่งในกลยุทธ์ความท้าทายที่แต่ละธุรกิจควรให้ความสำคัญในการกำหนด และหาแนวทางปฏิบัติเมื่อความเสี่ยงของธุรกิจได้เกิดขึ้นจริง และผลของความเสี่ยงนั้นได้ส่งผลให้ธุรกิจเกิดความเสียหายขึ้น เนื่องจากโอกาสที่จะทำให้การดำเนินงานหลักของธุรกิจนั้นหงุดชะงักลงสามารถเกิดขึ้นได้ตลอดเวลา อีกทั้งความเสี่ยงของแต่ละธุรกิจก็มีความแตกต่างกันออกไป ดังเช่นทฤษฎี Black Swan จากหนังสือ The Black Swan: The Impact of the Highly Improbable ของ Nassim Nicholas Taleb นักคณิตศาสตร์ และนักซื้อขายหุ้น ชาวเลบานอน ที่กล่าวว่าสิ่งที่เราไม่เคยเจอ ไม่ได้แปลว่าไม่มี สิ่งที่ไม่คาดฝันนั้นเกิดขึ้นได้เสมอ เช่นเดียวกับช่วงก่อนการเกิดวิกฤติการเงินในเอเชียปี พ.ศ.2540 เศรษฐกิจไทยในช่วงนั้นเติบโตในระดับ 9-10% ต่อปี คนส่วนมากคงไม่คิดว่าประเทศไทยจะเกิดวิกฤติเศรษฐกิจขึ้นจนลามไปยังประเทศอื่น ๆ อีกหลายประเทศ ค่าเงินบาทที่อยู่ในระดับ 25 บาทต่อดอลลาร์สหรัฐ โดนลอยตัวไปจนถึง 56 บาทต่อดอลลาร์สหรัฐ ธุรกิจที่มีหนี้ต่างประเทศจำนวนมากต้องล้มละลายและปิดกิจการลง ส่วนทางด้านตลาดหุ้น Nasdaq ที่เพิ่มขึ้นจาก 800 จุดในปี พ.ศ.2538 มาอยู่ในระดับที่สูงกว่า 5,000 จุด ในปี พ.ศ.2543 ก่อนที่ฟองสบู่แตกและลดลงมาเหลือเพียง 1,100 จุดใน 2 ปีต่อมา หรือแม้แต่เหตุการณ์การแพร่ระบาดของไวรัสโคโรน่า-2019 ที่สร้างความเสียหายให้แก่ทั่วโลก เพราะก่อนหน้านั้นไม่เคยมีใครคิดว่าจะมีการแพร่ระบาดแบบนี้เกิดขึ้น ซึ่งสร้างความสูญเสียต่อชีวิตคนเป็นจำนวนมาก จะเห็นได้ว่าเหตุการณ์เหล่านี้แทบไม่มีใครคิดมาก่อนว่าจะเกิดขึ้น เพราะ ณ เวลานั้น ทุกคนที่อยู่ในเหตุการณ์ไม่รู้สึกถึงความอันตรายที่กำลังจะเข้ามา สุดท้ายเมื่อเกิดเหตุการณ์ที่ไม่คาดคิดขึ้นจึงส่งผลเสียหายในวงกว้างอย่างมหาศาล และในอนาคตก็น่าจะมีอีกหลายเหตุการณ์ที่จะเป็น Black Swan เพราะมนุษย์ทุกคนจะมีกรอบความเชื่อในวงความรู้ของตนเองอยู่เสมอว่าอะไรที่ตนไม่เคยพบเห็นมาก่อน ก็เลือกที่จะปฏิเสธสิ่งนั้นว่ามันคงจะไม่เกิดขึ้น หลายคนอาจเห็นว่าเรื่องภาวะโลกร้อนเป็นเรื่องเล็ก ไม่ส่งผลกระทบอะไรต่อการดำเนินชีวิต ซึ่งหลายคนก็อาจเห็นว่า Artificial Intelligence หรือ AI นั้นอีกนานกว่าที่จะสามารถก้าวตามทันมนุษย์ได้ โดยสิ่งเหล่านี้เป็นสิ่งที่ไม่เคยเกิดขึ้นมาก่อนเช่นกัน แต่ก็ไม่ได้หมายความว่ามันจะไม่เกิดขึ้น และถ้ามันเกิดขึ้นแล้ว ก็จะมีผลกระทบมหาศาลตามมาอย่างหลีกเลี่ยงไม่ได้
จากทฤษฎี Black Swan นี้ก็สามารถส่งผลกระทบต่อการดำเนินธุรกิจได้เช่นกัน ทำให้ภาคธุรกิจในปัจจุบันนี้เริ่มให้ความสำคัญกับการบริหารความเสี่ยงมากขึ้น ตั้งแต่การกำหนดพันธกิจ กลยุทธ์ และการบริหารจัดการความเสี่ยง จากรายงาน The Global Risks Report 2021 จัดทำโดย World Economic Forum (WEF) พบว่า 5 อันดับแรกของความเสี่ยงที่ธุรกิจให้ความสำคัญในปี พ.ศ. 2564 คือ ความเสี่ยงจากภัยพิบัติที่เกิดจากการเปลี่ยนแปลงสภาพอากาศแบบกะทันหัน (Extreme weather) ความเสี่ยงจากการจัดการสภาพภูมิอากาศที่ล้มเหลว (Climate action failure) ความเสี่ยงจากความเสียหายต่อสิ่งแวดล้อมของมนุษย์ (Human environmental damage) ความเสี่ยงจากโรคติดเชื้อ (Infectious diseases) และความเสี่ยงการสูญเสียความหลากหลายทางชีวภาพ (Biodiversity loss) ซึ่งล้วนเป็นความเสี่ยงที่ภาคธุรกิจสามารถรับมือได้ด้วยการบริหารความต่อเนื่องทางธุรกิจที่เป็นหนึ่งในกลยุทธ์ในการช่วยลดความเสียหายจากผลกระทบของความไม่แน่นอนที่จะเกิดขึ้นในอนาคตได้
วัตถุประสงค์
เพื่อนำเสนอถึงความสำคัญ และแนวทางของการบริหารความเสี่ยงองค์กรด้วยกลยุทธ์การบริหารความต่อเนื่องทางธุรกิจ
เนื้อหาของบทความ
องค์กรส่วนใหญ่ในปัจจุบันยอมรับว่าเหตุผลเบื้องต้นที่สนับสนุนให้มีการบริหารความเสี่ยง ในองค์กร คือ การที่ทุกองค์กรต้องพยายามสร้าง หรือเพิ่มมูลค่าให้กับผู้ที่มีส่วนได้ส่วนเสีย แม้ว่ามีความไม่แน่นอนหลายประการที่อาจกระทบต่อการดำเนินธุรกิจ มูลค่าขององค์กรเหล่านี้จะเกิดขึ้นได้มากเพียงใด ขึ้นอยู่กับความสามารถของผู้บริหารในการตัดสินใจ การกำหนดกลยุทธ์ การบริหารงานประจำวันในองค์กร
ความไม่แน่นอนทางธุรกิจเป็นเสมือนดาบสองคมที่อาจก่อให้เกิดผลลัพธ์ในทางบวก ซึ่งเป็นการให้โอกาสแก่องค์กร หรืออาจก่อให้เกิดผลลัพธ์ในทางลบ ซึ่งถือว่าเป็นความเสี่ยง ดังนั้นจึงเป็นสิ่งที่ท้าทายของผู้บริหารที่ต้องใช้โอกาสให้เป็นประโยชน์ในการกำหนดกลยุทธ์องค์กร และกำหนดระดับความเสี่ยงที่เหมาะสม การบริหารความเสี่ยง (Enterprise Risk Management) ตามแนวคิดของ COSO ERM 2017 เป็นกระบวนการที่มีระบบสามารถนำไปใช้ได้กับทุกองค์กรและทุกธุรกิจ เพื่อบ่งชี้เหตุการณ์ความเสี่ยง ประเมินความเสี่ยง จัดลำดับความสำคัญ และจัดการกับความเสี่ยง ด้วยการบริหารความเสี่ยงขององค์กร ซึ่งจะช่วยให้เกิดผลต่อไปนี้
(1) สนับสนุนให้องค์กรสามารถพิจารณาระดับความเสี่ยงที่องค์กรยอมรับได้ หรือต้องการที่จะยอมรับเพื่อสร้างมูลค่าให้กับผู้ถือหุ้น
(2) กำหนดกรอบการดำเนินงานให้แก่องค์กรเพื่อให้สามารถบริหารความไม่แน่นอน ความเสี่ยงและโอกาสของธุรกิจอย่างมีประสิทธิภาพ
ประโยชน์ของการบริหารความเสี่ยง สามารถช่วยให้องค์กรสามารถบรรลุเป้าหมาย ในขณะที่ลดอุปสรรค หรือสิ่งที่ไม่คาดหวังที่อาจเกิดขึ้นทั้งในด้านผลกำไรและการปฏิบัติงาน ป้องกันความเสียหายต่อ ทรัพยากรขององค์กร และสร้างความมั่นใจในการรายงานและการปฏิบัติตามกฎระเบียบ การบริหารความเสี่ยงจึงมีประโยชน์หลายประการ ดังนี้
(1) ความสอดคล้องกันระหว่างความเสี่ยงที่ยอมรับได้ (Risk Appetite) และกลยุทธ์ ขององค์กรความเสี่ยงที่ยอมรับได้ คือ ความไม่แน่นอนโดยรวมที่องค์กรยอมรับได้โดยยังคงให้ธุรกิจ สามารถบรรลุเป้าหมาย ความเสี่ยงที่ยอมรับได้เป็นปัจจัยที่สำคัญในการประเมินทางเลือกในการดำเนินกลยุทธ์ การบริหารความเสี่ยงช่วยให้ผู้บริหารพิจารณาความเสี่ยงที่ยอมรับได้ที่สอดคล้องกับกลยุทธ์ขององค์กร
(2) ความสัมพันธ์ระหว่างการเติบโต ความเสี่ยงและผลตอบแทนของธุรกิจ การบริหารความเสี่ยงสนับสนุนให้องค์กรสามารถบ่งชี้เหตุการณ์ ประเมินความเสี่ยง และจัดการความเสี่ยงให้สอดคล้องกับวัตถุประสงค์ด้านการเติบโตและผลตอบแทนของธุรกิจ
(3) การจัดการความเสี่ยง เนื่องจากการบริหารความเสี่ยงครอบคลุมเหตุการณ์ทั้งหมดที่อาจเกิดขึ้น โดยไม่จำกัดเพียงแต่สิ่งที่เป็นความเสียหาย จึงช่วยให้ผู้บริหารสามารถบ่งชี้ และใช้ประโยชน์จากเหตุการณ์ในเชิงบวกได้อย่างรวดเร็วและมีประสิทธิภาพ
(4) การลดความสูญเสียและสิ่งที่ไม่คาดหวังจากการดำเนินงาน การบริหารความเสี่ยงจะช่วยให้องค์กรตระหนักถึงเหตุการณ์ที่อาจเกิดขึ้นในทางเสียหาย ประเมินความเสี่ยง และกำหนดวิธีจัดการ ดังนั้นจึงลดสิ่งที่ไม่คาดหวังและการสูญเสียต่อธุรกิจ
(5) การบริหารความเสี่ยงทั่วทั้งองค์กร องค์กรทุกแห่งประสบกับความเสี่ยงมากมายซึ่งมีผลต่อหน่วยงานและการปฏิบัติงานต่าง ๆ การบริหารความเสี่ยงช่วยให้เห็นว่าความเสี่ยงมีความเชื่อมโยงกัน ดังนั้นการจัดการความเสี่ยงทั้งหมดจึงควรมองความเสี่ยงในภาพรวมขององค์กร
(6) การสร้างโอกาส การพิจารณาเหตุการณ์ทั้งหมดที่อาจเกิดขึ้นต่อองค์กรโดยไม่จำกัดเฉพาะความเสี่ยงที่เป็นความเสียหาย ช่วยให้ผู้บริหารสามารถบ่งชี้และใช้ประโยชน์จากเหตุการณ์ในเชิงบวกได้มี ประสิทธิภาพมากขึ้น
จากอดีตที่ผ่านมาได้เกิดภัยพิบัติทางธรรมชาติและด้วยฝีมือมนุษย์หลายครั้งขึ้นทั่วโลก เช่น เหตุก่อการร้ายในประเทศสหรัฐอเมริกาในปี พ.ศ.2544 คลื่นยักษ์สึนามิที่ถล่มชายฝั่งของประเทศไทยของเราในปี พ.ศ.2547 หรือ การแพร่ระบาดของไวรัสโคโรน่า-2019 ในปี พ.ศ.2562 ซึ่งการเกิดภัยพิบัติในแต่ละครั้งนั้นได้สร้างความเสียหายต่อภาคธุรกิจที่ต้องสูญทุนและกำไร เสียภาพลักษณ์รวมทั้งส่วนแบ่งทางธุรกิจ (market share) และหลายกิจการต้องปิดกิจการไป แต่อย่างไรก็ตามยังคงมีบางกิจการที่สามารถผ่านช่วงวิกฤตินี้ไปได้โดยได้รับความเสียหายเพียงเล็กน้อย ซึ่งเกิดจากความพร้อมที่จะตอบสนองต่อภาวะวิกฤติดังนั้นทุกองค์กรจึงจำเป็นต้องมีแผนสำรองทางธุรกิจที่ดีและมีประสิทธิผลที่จะช่วยให้การบริหารธุรกิจมีความต่อเนื่องและสูญเสียน้อยเมื่อต้องประสบภาวะวิกฤติด้วยการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management) หรือ BCM
มาตรฐาน BS 25999 เป็นพื้นฐานและหลักการสากลด้านการบริหารจัดการความต่อเนื่องทางธุรกิจที่ออกแบบให้องค์การสามารถเข้าใจ พัฒนา และประยุกต์ใช้การจัดการวามเสี่ยงที่มีโอกาสเกิดขึ้นกับองค์การ ซึ่งถูกออกแบบให้เหมาะสมกับองค์การทุกประเภทธุรกิจและทุกขนาด และยังเหมาะสมอย่างยิ่งกับองค์การที่ดำเนินการในสภาวะความเสี่ยงสูง เช่น ธุรกิจการเงิน การธนาคาร ธุรกิจการสื่อสาร ธุรกิจการขนส่ง และธุรกิจการบริการอื่น ๆ รวมถึงธุรกิจการโรงงานโดยเฉพาะธุรกิจข้ามชาติ ซึ่งการมีความสามารถในการปฏิบัติการบริหารจัดการความต่อเนื่องของธุรกิจเหล่านี้มีความสำคัญอย่างยิ่งกับองค์การเอง และลูกค้า รวมถึงผู้ถือหุ้นด้วย ซึ่งองค์กรจะได้รับประโยชน์หลายด้าน ได้แก่
(1) ลดความสูญเสียอันเนื่องจากอุบัติการณ์ในภาวะฉุกเฉิน หรือภาวะวิกฤตที่อาจเกิดขึ้นแบบไม่คาดคิดมาก่อน เช่น ภัยจากการก่อการร้าย ภัยจากภัยธรรมชาติ ปัญหาระบบสารสนเทศล่ม เป็นต้น
(2) เพิ่มขีดความสามารถในการดำเนินการโดยเฉพาะกิจกรรมวิกฤตขององค์การ และขีดความสามารถการแข่งขันเชิงธุรกิจ
(3) ควบคุม และลดความเสี่ยงต่อการเกิดปัญหาจากภาวะฉุกเฉิน หรือภาวะวิกฤต เช่น การสูญเสียชีวิตและทรัพย์สิน การสูญเสียเชิงธุรกิจ และการสูญเสียภาพลักษณ์ขององค์การต่อสาธารณชน
(4) สร้างความเชื่อมั่นในความพร้อมดำเนินงานงานของธุรกิจ รวมถึงการกลับมาดำเนินธุรกิจภายหลังภาวะฉุกเฉิน หรือภาวะวิกฤตต่อพนักงาน ลูกค้า ตลอดจนสาธารณชน
(5) เพิ่มความเชื่อมั่นในการปฏิบัติที่สอดคล้องต่อข้อกำหนดกฎหมายที่เกี่ยวข้องรวมถึงการประกันทางธุรกิจ
จุดเริ่มต้นของมาตรฐาน BS 25999:2007 เกิดมาจากที่ประเทศอังกฤษต้องการออกมาตรฐานใหม่ทดแทนมาตรฐาน PAS 56:2003 และจะกลายเป็นมาตรฐานสากล ISO 22301 ในเวลาต่อมา โดยตัวมาตรฐานถูกเขียนขึ้น 2 ส่วน ส่วนที่แรกเป็นพื้นฐานและหลักการด้านการบริหารจัดการความต่อเนื่องทางธุรกิจ เพื่อช่วยในการทำความเข้าใจและการปฏิบัติ และส่วนที่ 2 เป็นข้อกำหนดเฉพาะ เพื่อการตรวจสอบความสามารถขององค์การในการปฏิบัติได้ตามข้อกำหนดของกฎหมาย ข้อกำหนดของลูกค้าและขององค์การเอง
แนวทางปฏิบัติที่ดีเกี่ยวกับ BCM ตามมาตรฐาน ISO 22301:2012 นั้น ประกอบด้วย 6 องค์ประกอบหลัก หรือเรียกว่าวงจรการบริหารจัดการความต่อเนื่องทางธุรกิจ (BCM Life Cycle) ได้แก่
(1) (BCM Programme Management) BCM BCM BCM Incident Escalation Process) BCM Program Management) ถือว่าเป็นหัวใจหลักของ BCM โดยเป็นขั้นตอนการจัดทำกรอบนโยบาย BCM โครงสร้างหน้าที่และความรับผิดชอบของบุคลากรตั้งแต่ผู้บริหารระดับสูงลงมาถึงพนักงานระดับต่าง ๆ ในการจัดตั้งทีมด้าน BCM กำหนดตัวชี้วัดผลการดำเนินงานของพนักงาน รวมถึงขั้นตอนการปรับระดับของเหตุการณ์ (Incident Escalation Process) วิธีการบริหารโครงการ BCM และการติดตามพร้อมทั้งรายงานความคืบหน้า
(2) การทำความเข้าใจกับธุรกิจขององค์การเอง (Understanding the Organization) เป็นการวิเคราะห์ผลกระทบทางธุรกิจ และการประเมินความเสี่ยง เพื่อทำความเข้าใจสภาพองค์กรว่าจะรับผลกระทบทางธุรกิจหรือความเสี่ยงได้เท่าใด ระบุความความเร่งด่วนของกิจกรรมต่าง ๆ และระดับความสามารถที่ต้องการ เพื่อนำไปเป็นข้อมูลในการจัดลำดับความสำคัญและกำหนดกลยุทธ์ BCM ในข้อต่อไปนี้
(2.1) การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis – BIA) ทำได้ 3 วิธี คือ
2.1.1 การทำแบบสอบถาม (Survey) 0tทำให้ได้ข้อมูลจำนวนมาก แต่อาจมีปัญหาด้านคุณภาพข้อมูลหากการตอบคำถามไม่สมบูรณ์
2.1.2 การสัมภาษณ์ (Interview) จะทำให้ได้ข้อมูลที่ดีแต่ใช้เวลานาน
2.1.3 การประชุมเชิงปฏิบัติการ (Focus Group) จะทำให้ได้คำตอบรวดเร็วและเปิดโอกาสให้ทุกฝ่ายได้แสดงความคิดเห็น
(2.2) การประเมินความเสี่ยง (Risk Assessment - RA) เพื่อทำให้รู้จุดอ่อนและสิ่งที่คุกคามต่อการดำเนินงานขององค์กร และนำผลการประเมินไปกำหนดวิธีดำเนินการเพื่อลดโอกาส และจำกัดผลกระทบของการดำเนินงานหยุดชะงัก
(3) การตัดสินใจในเรื่องกลยุทธ์การบริหารจัดการความต่อเนื่องทางธุรกิจ (Determining BCM Strategy) เป็นการคิดและดำเนินการกำหนดกลยุทธ์เพื่อเตรียมการไว้ล่วงหน้า เช่น กลยุทธ์การกู้คืนการดำเนินงาน กลยุทธ์ด้านการจัดการทรัพยากรที่เหมาะสมหากต้องย้ายที่ทำงานชั่วคราว
(4) การพัฒนาและการประยุกต์ใช้ระบบการบริหารจัดการความต่อเนื่องทางธุรกิจ (Developing and Implementing BCM Response) เป็นการจัดทำแผนงานเพื่อตอบโต้ในสิ่งที่เราคิดหรือยุทธศาสตร์ที่องค์กร โดยการจัดทำทั้ง 3 แผนงาน ได้แก่
(4.1) แผน IMP (Incident Management Plans) เพื่อจัดการกับวิกฤตที่เกิดขึ้น
(4.2) แผน BCP (Business Continuity Plans) เพื่อให้กิจการดำเนินงานต่อไปได้โดยไม่จำเป็นต้องทำทุกแผนงาน ให้เลือกทำงานที่จะส่งผลกระทบกับงานที่เป็นหัวใจหลักก่อน
(4.3) แผน DRP (Disaster Recovery Plans) เป็นแผนที่กู้คืนกิจการภายหลังภัยพิบัติผ่านพ้นไป
(5) การซ้อมปฏิบัติการการรักษา และทบทวนระบบการบริหารจัดการความต่อเนื่องทางธุรกิจ (Exercising, Maintaining and Reviewing) เป็นการซ้อมหรือทดสอบเพื่อให้แน่ใจว่า BCM ที่ทำไว้สามารถใช้ได้จริง มีข้อมูลที่เป็นปัจจุบันไม่ล้าหลัง และเป็นข้อมูลอ้างอิงที่ถูกต้อง รวมทั้งเพื่อตรวจสอบความสามารถของบุคลากรและประสิทธิภาพของแผนที่จัดทำไว้ด้วยซึ่งรูปแบบทดสอบมีตั้งแต่ระดับง่ายไปหายาก ได้แก่
(5.1) Call Tree การซ้อมแจ้งเหตุฉุกเฉินให้กับสมาชิกทีมงานที่เกี่ยวข้องทางโทรศัพท์
(5.2) Tabletop Testing การประชุมแลกเปลี่ยนความคิดเห็นกับทุกหน่วยงานที่เกี่ยวข้อง โดยจำลองโจทย์สถานการณ์ขึ้นมา และลองนำแผน BCP มาพิจารณาใช้ตอบโจทย์แต่ละขั้นตอน
(5.3) Simulation การทดสอบโดยจำลองสถานการณ์เสมือนจริง และลองใช้แผน BCP มาประยุกต์ใช้
(5.4) Full BCP Exercise การทดสอบเต็มรูปแบบและใกล้เคียงสถานการณ์จริงมากที่สุด
(6) การปลูกฝัง BCM เข้าในวัฒนธรรมขององค์การ (Embedding BCM in the Organization’s Culture) เป็นการปลูกฝัง BCM ให้เป็นส่วนหนึ่งของวัฒนธรรมองค์กร เพื่อให้บุคลากรได้เข้าใจถึงความสำคัญของ BCM ตลอดจนบทบาทหน้าที่ที่ทุกคนต้องกระทำเพื่อให้กิจการของเราดำเนินต่อไปได้หากเกิดภัยพิบัติหรือภาวะวิกฤต
ดร.จุฑามน สิทธิผลวนิชกุล. (2561). แนวทางการบริหารความเสี่ยงองค์กร COSO Enterprise Risk Management 2017. สืบค้นเมื่อ 12 กรกฎาคม 2564 จากเว็บไซต์: https://bit.ly/3xqzELe
ปัทมา เอโกบล. (2554). BCMs Business Continuity Management Standard ความเป็นมา และโครงสร้างของมาตรฐาน. สืบค้นเมื่อ 12 กรกฎาคม 2564 จากเว็บไซต์: https://bit.ly/3rWPxI9
ไพร้ซวอเตอร์เฮาส์คูเปอร์ส. (2547). แนวทางการบริหารความเสี่ยง. สืบค้นเมื่อ 12 กรกฎาคม 2564 จากเว็บไซต์: https://www.setsustainability.com/download/zx1t6qbafkg7h28
ลงทุนแมน. (2562). ทฤษฎี Black Swan สิ่งที่เราไม่เคยเจอ ไม่ได้แปลว่าไม่มี. สืบค้นเมื่อ 12 กรกฎาคม 2564 จากเว็บไซต์: https://www.longtunman.com/17469
World Economic Forum. (2021). The Global Risks Report 2021. Access online: 12/07/2021, Website: https://bit.ly/3lEazdx
บทความนี้มีวัตถุประสงค์เพื่อนำเสนอถึงความสำคัญ และแนวทางการบริหารความเสี่ยงองค์กรด้วยกลยุทธ์การบริหารความต่อเนื่องทางธุรกิจ เพื่อให้ผู้ที่สนใจได้ทราบถึงความหมาย หลักการ และองค์ประกอบของการบริหารความเสี่ยงตามแนวคิด COSO ERM 2017 และการบริหารความต่อเนื่องทางธุรกิจตามมาตรฐานสากล ISO 22301:2012 โดยแนวคิดเหล่านี้มีความสำคัญต่อการเชื่อมโยงของการบริหารความเสี่ยงองค์กรเข้ากับการวางแผนเชิงกลยุทธ์ โดยการบริหารความเสี่ยงองค์กรจะช่วยเป็นแม่แบบและแนวคิดในการพัฒนาการตัดสินใจในด้านการกำกับดูแลกิจการ กลยุทธ์การกำหนดวัตถุประสงค์และการดำเนินงาน เพื่อลดความรุนแรงจากผลกระทบที่เกิดขึ้น ด้วยกลยุทธ์การบริหารความต่อเนื่องทางธุรกิจที่จะช่วยให้องค์กรสามารถดำเนินธุรกิจหลักได้โดยไม่หงุดชะงักเมื่อประสบกันเหตุการณ์ที่เกิดจากความเสี่ยงขององค์กร
คำสำคัญ : การบริหารความเสี่ยงองค์กร, การบริหารความต่อเนื่องทางธุรกิจ, โคโซ่ อีอาร์เอ็ม 2017
Abstract
This article aims to present the importance and guidelines of enterprise risk management with business continuity management strategies. For interested parties to know the meaning, principles and elements of enterprise risk management according to the COSO ERM 2017 concept and business continuity management according to international standards ISO 22301:2012. These concepts are important for linking enterprise risk management with strategic planning. Enterprise risk management will serve as a model and concept for the development of corporate governance decisions, strategies for setting objectives and operations to reduce the impact of risk with a business continuity management strategy that will help the organization to run its core business without interruption in the face of organizational risk incidents.
Keywords : Business Continuity Management, Enterprise Risk Management, COSO ERM 2017
บทนำ
การบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management) เป็นหนึ่งในกลยุทธ์ความท้าทายที่แต่ละธุรกิจควรให้ความสำคัญในการกำหนด และหาแนวทางปฏิบัติเมื่อความเสี่ยงของธุรกิจได้เกิดขึ้นจริง และผลของความเสี่ยงนั้นได้ส่งผลให้ธุรกิจเกิดความเสียหายขึ้น เนื่องจากโอกาสที่จะทำให้การดำเนินงานหลักของธุรกิจนั้นหงุดชะงักลงสามารถเกิดขึ้นได้ตลอดเวลา อีกทั้งความเสี่ยงของแต่ละธุรกิจก็มีความแตกต่างกันออกไป ดังเช่นทฤษฎี Black Swan จากหนังสือ The Black Swan: The Impact of the Highly Improbable ของ Nassim Nicholas Taleb นักคณิตศาสตร์ และนักซื้อขายหุ้น ชาวเลบานอน ที่กล่าวว่าสิ่งที่เราไม่เคยเจอ ไม่ได้แปลว่าไม่มี สิ่งที่ไม่คาดฝันนั้นเกิดขึ้นได้เสมอ เช่นเดียวกับช่วงก่อนการเกิดวิกฤติการเงินในเอเชียปี พ.ศ.2540 เศรษฐกิจไทยในช่วงนั้นเติบโตในระดับ 9-10% ต่อปี คนส่วนมากคงไม่คิดว่าประเทศไทยจะเกิดวิกฤติเศรษฐกิจขึ้นจนลามไปยังประเทศอื่น ๆ อีกหลายประเทศ ค่าเงินบาทที่อยู่ในระดับ 25 บาทต่อดอลลาร์สหรัฐ โดนลอยตัวไปจนถึง 56 บาทต่อดอลลาร์สหรัฐ ธุรกิจที่มีหนี้ต่างประเทศจำนวนมากต้องล้มละลายและปิดกิจการลง ส่วนทางด้านตลาดหุ้น Nasdaq ที่เพิ่มขึ้นจาก 800 จุดในปี พ.ศ.2538 มาอยู่ในระดับที่สูงกว่า 5,000 จุด ในปี พ.ศ.2543 ก่อนที่ฟองสบู่แตกและลดลงมาเหลือเพียง 1,100 จุดใน 2 ปีต่อมา หรือแม้แต่เหตุการณ์การแพร่ระบาดของไวรัสโคโรน่า-2019 ที่สร้างความเสียหายให้แก่ทั่วโลก เพราะก่อนหน้านั้นไม่เคยมีใครคิดว่าจะมีการแพร่ระบาดแบบนี้เกิดขึ้น ซึ่งสร้างความสูญเสียต่อชีวิตคนเป็นจำนวนมาก จะเห็นได้ว่าเหตุการณ์เหล่านี้แทบไม่มีใครคิดมาก่อนว่าจะเกิดขึ้น เพราะ ณ เวลานั้น ทุกคนที่อยู่ในเหตุการณ์ไม่รู้สึกถึงความอันตรายที่กำลังจะเข้ามา สุดท้ายเมื่อเกิดเหตุการณ์ที่ไม่คาดคิดขึ้นจึงส่งผลเสียหายในวงกว้างอย่างมหาศาล และในอนาคตก็น่าจะมีอีกหลายเหตุการณ์ที่จะเป็น Black Swan เพราะมนุษย์ทุกคนจะมีกรอบความเชื่อในวงความรู้ของตนเองอยู่เสมอว่าอะไรที่ตนไม่เคยพบเห็นมาก่อน ก็เลือกที่จะปฏิเสธสิ่งนั้นว่ามันคงจะไม่เกิดขึ้น หลายคนอาจเห็นว่าเรื่องภาวะโลกร้อนเป็นเรื่องเล็ก ไม่ส่งผลกระทบอะไรต่อการดำเนินชีวิต ซึ่งหลายคนก็อาจเห็นว่า Artificial Intelligence หรือ AI นั้นอีกนานกว่าที่จะสามารถก้าวตามทันมนุษย์ได้ โดยสิ่งเหล่านี้เป็นสิ่งที่ไม่เคยเกิดขึ้นมาก่อนเช่นกัน แต่ก็ไม่ได้หมายความว่ามันจะไม่เกิดขึ้น และถ้ามันเกิดขึ้นแล้ว ก็จะมีผลกระทบมหาศาลตามมาอย่างหลีกเลี่ยงไม่ได้
จากทฤษฎี Black Swan นี้ก็สามารถส่งผลกระทบต่อการดำเนินธุรกิจได้เช่นกัน ทำให้ภาคธุรกิจในปัจจุบันนี้เริ่มให้ความสำคัญกับการบริหารความเสี่ยงมากขึ้น ตั้งแต่การกำหนดพันธกิจ กลยุทธ์ และการบริหารจัดการความเสี่ยง จากรายงาน The Global Risks Report 2021 จัดทำโดย World Economic Forum (WEF) พบว่า 5 อันดับแรกของความเสี่ยงที่ธุรกิจให้ความสำคัญในปี พ.ศ. 2564 คือ ความเสี่ยงจากภัยพิบัติที่เกิดจากการเปลี่ยนแปลงสภาพอากาศแบบกะทันหัน (Extreme weather) ความเสี่ยงจากการจัดการสภาพภูมิอากาศที่ล้มเหลว (Climate action failure) ความเสี่ยงจากความเสียหายต่อสิ่งแวดล้อมของมนุษย์ (Human environmental damage) ความเสี่ยงจากโรคติดเชื้อ (Infectious diseases) และความเสี่ยงการสูญเสียความหลากหลายทางชีวภาพ (Biodiversity loss) ซึ่งล้วนเป็นความเสี่ยงที่ภาคธุรกิจสามารถรับมือได้ด้วยการบริหารความต่อเนื่องทางธุรกิจที่เป็นหนึ่งในกลยุทธ์ในการช่วยลดความเสียหายจากผลกระทบของความไม่แน่นอนที่จะเกิดขึ้นในอนาคตได้
วัตถุประสงค์
เพื่อนำเสนอถึงความสำคัญ และแนวทางของการบริหารความเสี่ยงองค์กรด้วยกลยุทธ์การบริหารความต่อเนื่องทางธุรกิจ
เนื้อหาของบทความ
องค์กรส่วนใหญ่ในปัจจุบันยอมรับว่าเหตุผลเบื้องต้นที่สนับสนุนให้มีการบริหารความเสี่ยง ในองค์กร คือ การที่ทุกองค์กรต้องพยายามสร้าง หรือเพิ่มมูลค่าให้กับผู้ที่มีส่วนได้ส่วนเสีย แม้ว่ามีความไม่แน่นอนหลายประการที่อาจกระทบต่อการดำเนินธุรกิจ มูลค่าขององค์กรเหล่านี้จะเกิดขึ้นได้มากเพียงใด ขึ้นอยู่กับความสามารถของผู้บริหารในการตัดสินใจ การกำหนดกลยุทธ์ การบริหารงานประจำวันในองค์กร
ความไม่แน่นอนทางธุรกิจเป็นเสมือนดาบสองคมที่อาจก่อให้เกิดผลลัพธ์ในทางบวก ซึ่งเป็นการให้โอกาสแก่องค์กร หรืออาจก่อให้เกิดผลลัพธ์ในทางลบ ซึ่งถือว่าเป็นความเสี่ยง ดังนั้นจึงเป็นสิ่งที่ท้าทายของผู้บริหารที่ต้องใช้โอกาสให้เป็นประโยชน์ในการกำหนดกลยุทธ์องค์กร และกำหนดระดับความเสี่ยงที่เหมาะสม การบริหารความเสี่ยง (Enterprise Risk Management) ตามแนวคิดของ COSO ERM 2017 เป็นกระบวนการที่มีระบบสามารถนำไปใช้ได้กับทุกองค์กรและทุกธุรกิจ เพื่อบ่งชี้เหตุการณ์ความเสี่ยง ประเมินความเสี่ยง จัดลำดับความสำคัญ และจัดการกับความเสี่ยง ด้วยการบริหารความเสี่ยงขององค์กร ซึ่งจะช่วยให้เกิดผลต่อไปนี้
(1) สนับสนุนให้องค์กรสามารถพิจารณาระดับความเสี่ยงที่องค์กรยอมรับได้ หรือต้องการที่จะยอมรับเพื่อสร้างมูลค่าให้กับผู้ถือหุ้น
(2) กำหนดกรอบการดำเนินงานให้แก่องค์กรเพื่อให้สามารถบริหารความไม่แน่นอน ความเสี่ยงและโอกาสของธุรกิจอย่างมีประสิทธิภาพ
| กรอบการบริหารความเสี่ยง COSO ERM 2017 | ||
| Governance & Culture | หลักการที่ 01 | คณะกรรมการบริษัทกำกับดูแลความเสี่ยง (Exercise Board Oversight) |
| หลักการที่ 02 | จัดโครงสร้างสายการบังคับบัญชา (Establishes Operating Structure) |
|
| หลักการที่ 03 | กำหนดวัฒนธรรมองค์กร (Defines Desired Culture) |
|
| หลักการที่ 04 | แสดงความมุ่งมั่นในค่านิยมองค์กร (Demonstrate Commitment to Core Values) |
|
| หลักการที่ 05 | จูงใจ พัฒนา และรักษาไว้ซึ่งบุคลากรที่มีความสามารถ (Attracts, Develops, and Retains Capable Individuals) |
|
| Strategy & Objective Setting | หลักการที่ 06 | วิเคราะห์โครงสร้างของธุรกิจ (Analyze Business Context) |
| หลักการที่ 07 | กำหนดความเสี่ยงที่องค์กรยอมรับได้ (Define Risk Appetite) |
|
| หลักการที่ 08 | ประเมินกลยุทธ์ในรูปแบบต่าง ๆ (Evaluate Alternative Strategies) |
|
| หลักการที่ 09 | กำหนดวัตถุประสงค์ในการดำเนินธุรกิจ (Formulate Business Objectives) |
|
| Performance | หลักการที่ 10 | ระบุความเสี่ยง (Identify Risk) |
| หลักการที่ 11 | ประเมินความรุนแรงของความเสี่ยง (Assesses Severity of Risk) |
|
| หลักการที่ 12 | จัดลำดับความเสี่ยง (Prioritize Risk) |
|
| หลักการที่ 13 | ดำเนินการตอบสนองของความเสี่ยง (Implements Risk Response) |
|
| หลักการที่ 14 | จัดทำภาพรวมความเสี่ยงขององค์กร (Develops Portfolio View) |
|
| Review & Revision | หลักการที่ 15 | ประเมินความเปลี่ยนแปลงที่มีสาระสำคัญ (Assesses Substantial Change) |
| หลักการที่ 16 | ทบทวนความเสี่ยงและผลารดำเนินงาน (Reviews Risk and Performance) |
|
| หลักการที่ 17 | หาแนวทางในการปรับปรุงการบริหารความเสี่ยงขององค์กร (Pursue Improvement in ERM) |
|
| Information, Communication & Reporting | หลักการที่ 18 | ผลักดันการใช้เทคโนโลยีสารสนเทศ (Leverage Information Technology) |
| หลักการที่ 19 | สื่อสารข้อมูลความเสี่ยง (Communicate Risk Information) |
|
| หลักการที่ 20 | รายงานความเสี่ยง วัฒนธรรม และผลการดำเนินงาน (Reports on Risk, Culture, and Performance) |
|
ประโยชน์ของการบริหารความเสี่ยง สามารถช่วยให้องค์กรสามารถบรรลุเป้าหมาย ในขณะที่ลดอุปสรรค หรือสิ่งที่ไม่คาดหวังที่อาจเกิดขึ้นทั้งในด้านผลกำไรและการปฏิบัติงาน ป้องกันความเสียหายต่อ ทรัพยากรขององค์กร และสร้างความมั่นใจในการรายงานและการปฏิบัติตามกฎระเบียบ การบริหารความเสี่ยงจึงมีประโยชน์หลายประการ ดังนี้
(1) ความสอดคล้องกันระหว่างความเสี่ยงที่ยอมรับได้ (Risk Appetite) และกลยุทธ์ ขององค์กรความเสี่ยงที่ยอมรับได้ คือ ความไม่แน่นอนโดยรวมที่องค์กรยอมรับได้โดยยังคงให้ธุรกิจ สามารถบรรลุเป้าหมาย ความเสี่ยงที่ยอมรับได้เป็นปัจจัยที่สำคัญในการประเมินทางเลือกในการดำเนินกลยุทธ์ การบริหารความเสี่ยงช่วยให้ผู้บริหารพิจารณาความเสี่ยงที่ยอมรับได้ที่สอดคล้องกับกลยุทธ์ขององค์กร
(2) ความสัมพันธ์ระหว่างการเติบโต ความเสี่ยงและผลตอบแทนของธุรกิจ การบริหารความเสี่ยงสนับสนุนให้องค์กรสามารถบ่งชี้เหตุการณ์ ประเมินความเสี่ยง และจัดการความเสี่ยงให้สอดคล้องกับวัตถุประสงค์ด้านการเติบโตและผลตอบแทนของธุรกิจ
(3) การจัดการความเสี่ยง เนื่องจากการบริหารความเสี่ยงครอบคลุมเหตุการณ์ทั้งหมดที่อาจเกิดขึ้น โดยไม่จำกัดเพียงแต่สิ่งที่เป็นความเสียหาย จึงช่วยให้ผู้บริหารสามารถบ่งชี้ และใช้ประโยชน์จากเหตุการณ์ในเชิงบวกได้อย่างรวดเร็วและมีประสิทธิภาพ
(4) การลดความสูญเสียและสิ่งที่ไม่คาดหวังจากการดำเนินงาน การบริหารความเสี่ยงจะช่วยให้องค์กรตระหนักถึงเหตุการณ์ที่อาจเกิดขึ้นในทางเสียหาย ประเมินความเสี่ยง และกำหนดวิธีจัดการ ดังนั้นจึงลดสิ่งที่ไม่คาดหวังและการสูญเสียต่อธุรกิจ
(5) การบริหารความเสี่ยงทั่วทั้งองค์กร องค์กรทุกแห่งประสบกับความเสี่ยงมากมายซึ่งมีผลต่อหน่วยงานและการปฏิบัติงานต่าง ๆ การบริหารความเสี่ยงช่วยให้เห็นว่าความเสี่ยงมีความเชื่อมโยงกัน ดังนั้นการจัดการความเสี่ยงทั้งหมดจึงควรมองความเสี่ยงในภาพรวมขององค์กร
(6) การสร้างโอกาส การพิจารณาเหตุการณ์ทั้งหมดที่อาจเกิดขึ้นต่อองค์กรโดยไม่จำกัดเฉพาะความเสี่ยงที่เป็นความเสียหาย ช่วยให้ผู้บริหารสามารถบ่งชี้และใช้ประโยชน์จากเหตุการณ์ในเชิงบวกได้มี ประสิทธิภาพมากขึ้น
จากอดีตที่ผ่านมาได้เกิดภัยพิบัติทางธรรมชาติและด้วยฝีมือมนุษย์หลายครั้งขึ้นทั่วโลก เช่น เหตุก่อการร้ายในประเทศสหรัฐอเมริกาในปี พ.ศ.2544 คลื่นยักษ์สึนามิที่ถล่มชายฝั่งของประเทศไทยของเราในปี พ.ศ.2547 หรือ การแพร่ระบาดของไวรัสโคโรน่า-2019 ในปี พ.ศ.2562 ซึ่งการเกิดภัยพิบัติในแต่ละครั้งนั้นได้สร้างความเสียหายต่อภาคธุรกิจที่ต้องสูญทุนและกำไร เสียภาพลักษณ์รวมทั้งส่วนแบ่งทางธุรกิจ (market share) และหลายกิจการต้องปิดกิจการไป แต่อย่างไรก็ตามยังคงมีบางกิจการที่สามารถผ่านช่วงวิกฤตินี้ไปได้โดยได้รับความเสียหายเพียงเล็กน้อย ซึ่งเกิดจากความพร้อมที่จะตอบสนองต่อภาวะวิกฤติดังนั้นทุกองค์กรจึงจำเป็นต้องมีแผนสำรองทางธุรกิจที่ดีและมีประสิทธิผลที่จะช่วยให้การบริหารธุรกิจมีความต่อเนื่องและสูญเสียน้อยเมื่อต้องประสบภาวะวิกฤติด้วยการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management) หรือ BCM
| องค์ประกอบสำคัญของ BCM | ||
|
||
|
||
|
มาตรฐาน BS 25999 เป็นพื้นฐานและหลักการสากลด้านการบริหารจัดการความต่อเนื่องทางธุรกิจที่ออกแบบให้องค์การสามารถเข้าใจ พัฒนา และประยุกต์ใช้การจัดการวามเสี่ยงที่มีโอกาสเกิดขึ้นกับองค์การ ซึ่งถูกออกแบบให้เหมาะสมกับองค์การทุกประเภทธุรกิจและทุกขนาด และยังเหมาะสมอย่างยิ่งกับองค์การที่ดำเนินการในสภาวะความเสี่ยงสูง เช่น ธุรกิจการเงิน การธนาคาร ธุรกิจการสื่อสาร ธุรกิจการขนส่ง และธุรกิจการบริการอื่น ๆ รวมถึงธุรกิจการโรงงานโดยเฉพาะธุรกิจข้ามชาติ ซึ่งการมีความสามารถในการปฏิบัติการบริหารจัดการความต่อเนื่องของธุรกิจเหล่านี้มีความสำคัญอย่างยิ่งกับองค์การเอง และลูกค้า รวมถึงผู้ถือหุ้นด้วย ซึ่งองค์กรจะได้รับประโยชน์หลายด้าน ได้แก่
(1) ลดความสูญเสียอันเนื่องจากอุบัติการณ์ในภาวะฉุกเฉิน หรือภาวะวิกฤตที่อาจเกิดขึ้นแบบไม่คาดคิดมาก่อน เช่น ภัยจากการก่อการร้าย ภัยจากภัยธรรมชาติ ปัญหาระบบสารสนเทศล่ม เป็นต้น
(2) เพิ่มขีดความสามารถในการดำเนินการโดยเฉพาะกิจกรรมวิกฤตขององค์การ และขีดความสามารถการแข่งขันเชิงธุรกิจ
(3) ควบคุม และลดความเสี่ยงต่อการเกิดปัญหาจากภาวะฉุกเฉิน หรือภาวะวิกฤต เช่น การสูญเสียชีวิตและทรัพย์สิน การสูญเสียเชิงธุรกิจ และการสูญเสียภาพลักษณ์ขององค์การต่อสาธารณชน
(4) สร้างความเชื่อมั่นในความพร้อมดำเนินงานงานของธุรกิจ รวมถึงการกลับมาดำเนินธุรกิจภายหลังภาวะฉุกเฉิน หรือภาวะวิกฤตต่อพนักงาน ลูกค้า ตลอดจนสาธารณชน
(5) เพิ่มความเชื่อมั่นในการปฏิบัติที่สอดคล้องต่อข้อกำหนดกฎหมายที่เกี่ยวข้องรวมถึงการประกันทางธุรกิจ
จุดเริ่มต้นของมาตรฐาน BS 25999:2007 เกิดมาจากที่ประเทศอังกฤษต้องการออกมาตรฐานใหม่ทดแทนมาตรฐาน PAS 56:2003 และจะกลายเป็นมาตรฐานสากล ISO 22301 ในเวลาต่อมา โดยตัวมาตรฐานถูกเขียนขึ้น 2 ส่วน ส่วนที่แรกเป็นพื้นฐานและหลักการด้านการบริหารจัดการความต่อเนื่องทางธุรกิจ เพื่อช่วยในการทำความเข้าใจและการปฏิบัติ และส่วนที่ 2 เป็นข้อกำหนดเฉพาะ เพื่อการตรวจสอบความสามารถขององค์การในการปฏิบัติได้ตามข้อกำหนดของกฎหมาย ข้อกำหนดของลูกค้าและขององค์การเอง
แนวทางปฏิบัติที่ดีเกี่ยวกับ BCM ตามมาตรฐาน ISO 22301:2012 นั้น ประกอบด้วย 6 องค์ประกอบหลัก หรือเรียกว่าวงจรการบริหารจัดการความต่อเนื่องทางธุรกิจ (BCM Life Cycle) ได้แก่
(1) (BCM Programme Management) BCM BCM BCM Incident Escalation Process) BCM Program Management) ถือว่าเป็นหัวใจหลักของ BCM โดยเป็นขั้นตอนการจัดทำกรอบนโยบาย BCM โครงสร้างหน้าที่และความรับผิดชอบของบุคลากรตั้งแต่ผู้บริหารระดับสูงลงมาถึงพนักงานระดับต่าง ๆ ในการจัดตั้งทีมด้าน BCM กำหนดตัวชี้วัดผลการดำเนินงานของพนักงาน รวมถึงขั้นตอนการปรับระดับของเหตุการณ์ (Incident Escalation Process) วิธีการบริหารโครงการ BCM และการติดตามพร้อมทั้งรายงานความคืบหน้า
(2) การทำความเข้าใจกับธุรกิจขององค์การเอง (Understanding the Organization) เป็นการวิเคราะห์ผลกระทบทางธุรกิจ และการประเมินความเสี่ยง เพื่อทำความเข้าใจสภาพองค์กรว่าจะรับผลกระทบทางธุรกิจหรือความเสี่ยงได้เท่าใด ระบุความความเร่งด่วนของกิจกรรมต่าง ๆ และระดับความสามารถที่ต้องการ เพื่อนำไปเป็นข้อมูลในการจัดลำดับความสำคัญและกำหนดกลยุทธ์ BCM ในข้อต่อไปนี้
(2.1) การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis – BIA) ทำได้ 3 วิธี คือ
2.1.1 การทำแบบสอบถาม (Survey) 0tทำให้ได้ข้อมูลจำนวนมาก แต่อาจมีปัญหาด้านคุณภาพข้อมูลหากการตอบคำถามไม่สมบูรณ์
2.1.2 การสัมภาษณ์ (Interview) จะทำให้ได้ข้อมูลที่ดีแต่ใช้เวลานาน
2.1.3 การประชุมเชิงปฏิบัติการ (Focus Group) จะทำให้ได้คำตอบรวดเร็วและเปิดโอกาสให้ทุกฝ่ายได้แสดงความคิดเห็น
(2.2) การประเมินความเสี่ยง (Risk Assessment - RA) เพื่อทำให้รู้จุดอ่อนและสิ่งที่คุกคามต่อการดำเนินงานขององค์กร และนำผลการประเมินไปกำหนดวิธีดำเนินการเพื่อลดโอกาส และจำกัดผลกระทบของการดำเนินงานหยุดชะงัก
(3) การตัดสินใจในเรื่องกลยุทธ์การบริหารจัดการความต่อเนื่องทางธุรกิจ (Determining BCM Strategy) เป็นการคิดและดำเนินการกำหนดกลยุทธ์เพื่อเตรียมการไว้ล่วงหน้า เช่น กลยุทธ์การกู้คืนการดำเนินงาน กลยุทธ์ด้านการจัดการทรัพยากรที่เหมาะสมหากต้องย้ายที่ทำงานชั่วคราว
(4) การพัฒนาและการประยุกต์ใช้ระบบการบริหารจัดการความต่อเนื่องทางธุรกิจ (Developing and Implementing BCM Response) เป็นการจัดทำแผนงานเพื่อตอบโต้ในสิ่งที่เราคิดหรือยุทธศาสตร์ที่องค์กร โดยการจัดทำทั้ง 3 แผนงาน ได้แก่
(4.1) แผน IMP (Incident Management Plans) เพื่อจัดการกับวิกฤตที่เกิดขึ้น
(4.2) แผน BCP (Business Continuity Plans) เพื่อให้กิจการดำเนินงานต่อไปได้โดยไม่จำเป็นต้องทำทุกแผนงาน ให้เลือกทำงานที่จะส่งผลกระทบกับงานที่เป็นหัวใจหลักก่อน
(4.3) แผน DRP (Disaster Recovery Plans) เป็นแผนที่กู้คืนกิจการภายหลังภัยพิบัติผ่านพ้นไป
(5) การซ้อมปฏิบัติการการรักษา และทบทวนระบบการบริหารจัดการความต่อเนื่องทางธุรกิจ (Exercising, Maintaining and Reviewing) เป็นการซ้อมหรือทดสอบเพื่อให้แน่ใจว่า BCM ที่ทำไว้สามารถใช้ได้จริง มีข้อมูลที่เป็นปัจจุบันไม่ล้าหลัง และเป็นข้อมูลอ้างอิงที่ถูกต้อง รวมทั้งเพื่อตรวจสอบความสามารถของบุคลากรและประสิทธิภาพของแผนที่จัดทำไว้ด้วยซึ่งรูปแบบทดสอบมีตั้งแต่ระดับง่ายไปหายาก ได้แก่
(5.1) Call Tree การซ้อมแจ้งเหตุฉุกเฉินให้กับสมาชิกทีมงานที่เกี่ยวข้องทางโทรศัพท์
(5.2) Tabletop Testing การประชุมแลกเปลี่ยนความคิดเห็นกับทุกหน่วยงานที่เกี่ยวข้อง โดยจำลองโจทย์สถานการณ์ขึ้นมา และลองนำแผน BCP มาพิจารณาใช้ตอบโจทย์แต่ละขั้นตอน
(5.3) Simulation การทดสอบโดยจำลองสถานการณ์เสมือนจริง และลองใช้แผน BCP มาประยุกต์ใช้
(5.4) Full BCP Exercise การทดสอบเต็มรูปแบบและใกล้เคียงสถานการณ์จริงมากที่สุด
(6) การปลูกฝัง BCM เข้าในวัฒนธรรมขององค์การ (Embedding BCM in the Organization’s Culture) เป็นการปลูกฝัง BCM ให้เป็นส่วนหนึ่งของวัฒนธรรมองค์กร เพื่อให้บุคลากรได้เข้าใจถึงความสำคัญของ BCM ตลอดจนบทบาทหน้าที่ที่ทุกคนต้องกระทำเพื่อให้กิจการของเราดำเนินต่อไปได้หากเกิดภัยพิบัติหรือภาวะวิกฤต
สรุป
การบริหารความต่อเนื่องทางธุรกิจเป็นหนึ่งในกลยุทธ์ที่จะช่วยให้องค์กรสามารถดำเนินธุรกิจไม่ให้หยุดชะงักลงเมื่อต้องเผชิญกับภัยพิบัติหรือภาวะวิกฤตต่าง ๆ โดย BCM ที่ดีและมีประสิทธิภาพนั้นต้องเริ่มต้นที่ความรู้และเข้าใจสภาพขององค์กรว่าจะรับผลกระทบทางธุรกิจหรือความเสี่ยงได้เท่าใด ผ่านการวิเคราะห์และประเมินความเสี่ยง เพื่อระบุถึงความสำคัญของกระบวนการงานที่องค์กรต้องการ แล้วจึงกำหนดวิธีการดำเนินการเพื่อลดโอกาสและผลกระทบของการหยุดดำเนินงานในธุรกิจหลักอย่างชะงัก ซึ่งได้มีการกำหนดขึ้นมาทั้งหมด 3 แผนงาน คือ (1) แผน IMP เพื่อจดการกับวิกฤตที่เกิดขึ้น (2) แผน BCP เพื่อให้กิจกรรมดำเนินงานต่อไปได้โดยไม่หยุดชะงัก และ(3) แผนDRP เป็นแผนกู้คืนหลังจากผ่านพ้นวิกฤตไปแล้ว อีกทั้งการบริหารความเสี่ยงไม่ได้เป็นเพียงหน้าที่หรือแผนกภายในองค์กรเท่านั้น แต่เป็นสิ่งที่ต้องให้ความสำคัญโดยการปลูกฝังและสร้างความตระหนักถึงความเสี่ยงว่าเป็นความรับผิดชอบของทุกคนในองค์กร มีการแบ่งปันความรู้ด้านการบริหารความเสี่ยงในองค์กร เพื่อส่งเสริมการบูรณาการการบริหารความเสี่ยงทั่วทั้งองค์กรอย่างเต็มรูปภายใต้วัฒนธรรมองค์กร ความสามารถ และแนวปฏิบัติขององค์กรที่แตกต่างกัน เพื่อลดความสูญเสียและสิ่งที่ไม่คาดหวังที่เกิดขึ้นจากการดำเนินงาน
ข้อเสนอแนะ
ในการบริหารความเสี่ยงให้ประสบความสำเร็จนั้นควรมีการจัดโครงสร้างให้เอื้ออำนวยต่อการดำเนินงานขององค์กร รวมถึงมีความเป็นอิสระ และมีการถ่วงดุลอำนาจอย่างเหมาะสม ซึ่งจะช่วยในการประเมิน ควบคุม และติดตามความเสี่ยงของแต่ละหน่วยงาน และทำให้เกิดความมั่นใจว่าทุกคนจะมีความรับผิดชอบต่อความเสี่ยงในองค์กรภายใต้กรอบเดียวกัน อีกทั้งหากได้รับการสนับสนุนด้วยนโยบายที่ชัดเจนจากผู้บริหารระดับสูงขององค์กรแล้วก็จะสามารถกำหนดกรอบนโยบายของการบริหารความเสี่ยงที่สำคัญ รวมทั้งออกแบบระบบกลไกในการดำเนินการของระบบบริหารความเสี่ยงองค์กรที่ชัดเจน เพื่อให้เกิดการปฏิบัติที่ถูกต้องสอดคล้องกับวัตถุประสงค์และเป้าหมายที่กำหนดไว้ และเพิ่มมูลค่าองค์กรให้พัฒนาอย่างยั่งยืนและเจริญเติบโตต่อไปได้ในระยะยาว
บรรณานุกรม
ดร.จุฑามน สิทธิผลวนิชกุล. (2561). แนวทางการบริหารความเสี่ยงองค์กร COSO Enterprise Risk Management 2017. สืบค้นเมื่อ 12 กรกฎาคม 2564 จากเว็บไซต์: https://bit.ly/3xqzELe
ปัทมา เอโกบล. (2554). BCMs Business Continuity Management Standard ความเป็นมา และโครงสร้างของมาตรฐาน. สืบค้นเมื่อ 12 กรกฎาคม 2564 จากเว็บไซต์: https://bit.ly/3rWPxI9
ไพร้ซวอเตอร์เฮาส์คูเปอร์ส. (2547). แนวทางการบริหารความเสี่ยง. สืบค้นเมื่อ 12 กรกฎาคม 2564 จากเว็บไซต์: https://www.setsustainability.com/download/zx1t6qbafkg7h28
ลงทุนแมน. (2562). ทฤษฎี Black Swan สิ่งที่เราไม่เคยเจอ ไม่ได้แปลว่าไม่มี. สืบค้นเมื่อ 12 กรกฎาคม 2564 จากเว็บไซต์: https://www.longtunman.com/17469
World Economic Forum. (2021). The Global Risks Report 2021. Access online: 12/07/2021, Website: https://bit.ly/3lEazdx
Share this post
View 324