Adapted and translated in Thai language by
Guidebook on
SME Business Continuity Planning
2
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
คูมือการจัดทําแผนการดําเนินธุรกิจ อยางตอเนื่อง (BCP) บทนํา ..................................................................................................................................................... 3 10 ขั้นตอนการจัดทํา BCP .................................................................................................................... 3 ขั้นตอนที่ 1 กรอบการวางแผนการดําเนินธุรกิจอยางตอเนื่อง........................................................ 4 ขั้นตอนที่ 2 กิจกรรมหลัก และระยะเวลาเปาหมายในการฟนคืนสภาพ .......................................... 6 ขั้นตอนที่ 3 ทรัพยากรที่จาํ เปนตอการฟนฟู.................................................................................. 9 ขั้นตอนที่ 4 การระบุความเสี่ยง .................................................................................................. 11 ขั้นตอนที่ 5 การปองกันกอนเกิดเหตุ และการบรรเทาความเสียหาย............................................ 16 ขั้นตอนที่ 6 การรับมือฉุกเฉินเพื่อปองกันการหยุดชะงักของธุรกิจ ............................................... 18 ขั้นตอนที่ 7 กลยุทธความตอเนื่องทางธุรกิจ ............................................................................... 27 ขั้นตอนที่ 8 การเตรียมพรอมดานการเงิน.................................................................................. 32 ขั้นตอนที่ 9 การฝกซอมเพื่อเพิ่มประสิทธิภาพให BCP ของคุณ .................................................. 35 ขั้นตอนที่ 10 การทบทวนและพัฒนาอยางตอเนื่อง .................................................................... 37 ภาคผนวก ............................................................................................................................................ 40 ฟอรมเปลา ................................................................................................................................ 41 BCP Checklist.......................................................................................................................... 62 APEC Guidebook on SME BCP (2013)
3
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
บทนํา บริษัทของคุณพรอมรับมือกับภัยพิบัติแลวหรือยัง หากไรซึ่งการเตรียมการรับมือกับเหตุการณตางๆแลว ก็เทากับวาคุณกําลังเตรียมพรอมรับความลมเหลวเมื่อบริษัท เผชิญกับภัยพิบัติ แผนการดําเนินธุรกิจอยางตอเนื่อง (Business Continuity Plan - BCP) ที่มีประสิทธิภาพเปนวิธีการ ปกปองธุรกิจของคุณทามกลางวิกฤต คูมือเลมนี้แนะนําวิธีการสราง BCP ใหบริษัทของคุณ โดยมีขั้นตอนงายๆ 10 ขั้นตอน ซึ่งยึดหลัก ISO22301 มาตรฐานระบบบริหารความตอเนื่องทางธุรกิจ
10 ขั้นตอนการจัดทํา BCP ขั้นตอนที่ 1 กําหนดเปาหมาย ขอบเขต และทีมงาน ขั้นตอนที่ 2 กิจกรรมหลัก และระยะเปาหมายในการฟนคืนสภาพ ขั้นตอนที่ 3 ทรัพยากรที่จําเปนตอการฟนฟู ขั้นตอนที่ 4 การระบุความเสี่ยง ขั้นตอนที่ 5 การปองกันกอนเกิดเหตุและการบรรเทาความเสียหาย ขั้นตอนที่ 6 การรับมือฉุกเฉินเพื่อปองกันการหยุดชะงักของธุรกิจ ขั้นตอนที่ 7 กลยุทธความตอเนื่องทางธุรกิจ ขั้นตอนที่ 8 เตรียมพรอมดานการเงิน ขั้นตอนที่ 9 การฝกซอมพื่อเพิ่มประสิทธิภาพให BCP ของคุณ ขั้นตอนที่ 10 การทบทวนและพัฒนาอยางตอเนื่อง
4
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ขั้นตอนที่ 1 กรอบการวางแผนการดําเนินธุรกิจอยางตอเนื่อง เมื่อคุณเริ่มวางแผนการดําเนินธุรกิจอยางตอเนื่อง หรือ BCP (Business Continuity Plan) คุณจําเปนตอง ปูพื้นฐานที่มั่นคงใหกับ BCP ของบริษัท โดยคํานึงถึงสิ่งตอไปนี้ 1) เปาหมาย: ทําไมบริษัทจึงริเริ่มทํา BCP 2) ขอบเขต: บริษัทจะจัดทํา BCP ในภาคสวนใด 3) ผูนํา: ใครจะเปนผูนํากิจกรรม BCP (1) เปาหมาย คุณควรตั้งเปาหมายที่ชัดเจนวาทําไมบริษัทจึงตองจัดทํา BCP ทั้งนี้ BCP นั้นมีไวเพื่อปองกันการดําเนินธุรกิจจากภัย พิบัติและอุบัติเหตุตางๆ เปาหมายที่ชัดเจนจะเปนเกณฑสําคัญในการจัดลําดับความสําคัญของสินคาหรือบริการหลักๆ ของบริษัท รวมถึงการกําหนดกลยุทธการวางแผนความตอเนื่องทางธุรกิจ เปาหมายของ BCP คืออะไร? ลําดับแรกคือเพื่อปกปองชีวิต ทั้งพนักงานและผูที่มาติดตอกับบริษัท ลําดับที่สองคือเพื่อ ปกปองธุรกิจของคุณ ตอบสนองตอความตองการของลูกคาและผูใช และแสดงความรับผิดชอบตอสังคมและ เอื้อประโยชนตอสังคมและเศรษฐกิจทองถิ่น สิ่งเหลานี้จะชวยรับประกันการจางงาน และคุมครองความเปนอยูของ พนักงาน (2) ขอบเขต คําถามคือ สวนใดของบริษัทที่คุณประสงคที่จะจัดทํา BCP คุณสามารถจํากัดการจัดทํา BCP แคเฉพาะแผนกหลักๆ ของบริษัท เชน เลือกจัดทํา BCP เฉพาะสวนโรงงานหลักซึ่งผลิตสินคาขายดีอันดับตนๆของบริษัท หรือรานคาที่ขายดี ที่สุด เปนตน คุณสามารถกําหนดขอบเขตของ BCP โดยคํานึงถึงความจําเปนทางธุรกิจและปจจัยแวดลอมอื่นๆ ทั้งนี้ คุณจําเปนตองผนวกแผนกสําคัญอันมีผลตอความอยูรอดของบริษัทไวใน BCP ดวย (3) ผูนํา BCP คุณตองกําหนดผูนํา BCP ซึ่งเปนผูรับผิดชอบดําเนินกิจกรรม BCP ของทั้งบริษัท โดยมอบหมายอํานาจและ ความรับผิดชอบที่จําเปนตอการปฏิบัติหนาที่ BCP นั้นถือเปนกิจกรรมของทั้งบริษัท เปนงานที่แผนกตางๆที่เกี่ยวของควรมีสวนรวมและใหความรวมมืออยางแข็งขัน ผูนํา BCP จึงควรเปนบุคคลที่ไดรับการไววางใจจากบุคลากรของบริษัท ทั้งนี้ ในบริษัทขนาดใหญ อาจมีการจัดตั้ง ทีมงาน BCP ใหทํางานภายใตการบริหารของผูนํา BCP ทีมบริหารควรจัดหาทรัพยากรที่จําเปนซึ่งรวมถึงงบประมาณ ในการดําเนินงาน นอกจากนี้ เจาของกิจการ SMEs (ผูบริหารระดับสูง) ควรทุมเทใหกับกิจกรรม BCP และควร ตระหนักวาคําสั่งทางวาจาเพียงลําพังไมสามารถจะนําไปสูผลสําเร็จได
5
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 1: กรอบ BCP เปาหมายของ BCP ปกปองชีวิตคน
ปกปองกิจกรรมทางธุรกิจ
ฟนฟูไปพรอมกับชุมชนทองถิ่น
ขอบเขตของ BCP หนวยงาน/แผนกที่จะจัดทําBCP
ผูนําและทีมงาน BCP ผูนํา BCP
สมาชิกทีม BCP
6
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ขั้นตอนที่ 2 กิจกรรมหลัก และระยะเวลาเปาหมายในการฟนคืนสภาพ ในขั้นตอนที่ 2 นี้ คุณจะตองพิจารณาวาสินคาหรือบริการใดของบริษัทที่มีผลตอความอยูรอด สินคาหรือบริการใดที่ ควรฟนฟูหรือจัดสงเปนอยางแรกเมื่อภัยธรรมชาติ (หรืออุบัติเหตุ) ทําใหการดําเนินธุรกิจหยุดชะงัก กิจการใดที่มีสินคา ที่มียอดขายสูงสุด รานไหนของบริษัทที่ขายไดมากที่สุด กิจกรรมทางธุรกิจที่สําคัญเหลานี้เรียกวากิจกรรมหลัก (Prioritized Activities - PA) คุณจะตองระบุกิจกรรมหลักของบริษัท ในขั้นตอนที่ 2 นี้ คุณควรจะรูผลกระทบ (กรอบเวลา) เมื่อกิจกรรมหลักเหลานี้หยุดชะงักโดยสิ้นเชิง เมื่อกิจกรรมเหลานี้หยุดชะงักบริษัทจะทนรับความเสียหาย ไดนานที่สุดทาไหร (ระยะเวลาดังกลาวเรียกวา ระยะเวลาสูงสุดในการทนรับภาวะหยุดชะงัก หรือ Maximum Tolerable Period of Disruption – MTPD) จะตองทําอยางไรเพื่อกอบกูกิจการของบริษัทใหไดเร็วที่สุดกอนที่จะตองปดกิจการ หรือลมละลาย การวิเคราะหอยางงายๆนี้มุงไปที่ผลกระทบจากการหยุดชะงักโดยไมคํานึงถึงปจจัยเสี่ยง โดยจะชวยให คุณเห็นภาพที่ชัดเจนขึ้นวาตองใชเวลามากนอยเพียงใดบริษัทจึงจะกลับมาดําเนินกิจการไดทันกอนที่จะลมละลาย เริ่มจากประเมินผลกระทบเมื่อกิจกรรมหลักของบริษัทตองหยุดชะงักเพราะภัยธรรมชาติหรืออุบัติเหตุ ใสกิจกรรมทาง ธุรกิจ(กลุมสินคา หรือบริการ) ลงในคอลัมนดานซายของฟอรม 2-1 จากนั้นจึงเปรียบเทียบความสําคัญของกิจกรรมแต ละอยาง จัดลําดับความสําคัญของกิจกรรม (กลุมสินคาหรือบริการ) โดยแบงเปนสองประเภทไดแก ผลกระทบภายนอก และผลกระทบภายใน ขั้นแรก ประเมินความรุนแรงของผลกระทบภายนอกซึ่งเกิดกับลูกคา ผูใช และสังคมในวงกวาง หากการผลิตสินคาหรือ บริการของบริษัทตองหยุดชะงักจะมีผลกระทบตอกลุมคนเหลานี้รายแรงมากนอยเพียงใด ลูกคาพรอมจะรอไดนาน เทาไหรใหคุณกลับมาดําเนินกิจการใหมอีกครั้ง ลูกคารายใหญของคุณจะเปลี่ยนไปหาผูใหบริการรายอื่นชาเร็วแคไหน ถาหากคุณเปนผูสงสินคาเชน ยา เมื่อไมสามารถสงสินคาได จะทําใหชีวิตของผูใชตกอยูในอันตรายหรือไม ประเมิน ความรุนแรงของผลกระทบภายนอกเหลานี้วามี มาก ปานกลาง หรือนอย เปรียบเทียบความแตกตางในแตละระดับโดย ใชวิจารณญาณของตนเอง สําหรับผลกระทบภายในนั้น ควรพิจารณาโดยคํานึงถึงเกณฑตางๆ เชน สถานภาพทางการเงิน (เชน การไหลเวียน ของเงินสด) ปญหาในเชิงปฏิบัติการ และชื่อเสียงของบริษัท เมื่อสายการผลิตของสินคา A ปดตัวลง จะมีผลกระทบ รายแรงมากนอยเพียงใดตอรายรับของบริษัทในชวงเวลาดังกลาว ถาหากบริการชั้นนําของบริษัทถูกระงับ จะกระทบตอ การไหลเวียนเงินสดของบริษัทในระดับไหน ประเมินระดับความรุนแรงของผลกระทบภายในวามี มาก ปานกลาง หรือ นอย ในขั้นตอนถัดมา คุณควรจะทราบกรอบเวลาของผลกระทบจากการหยุดชะงัก บริษัทจะทนรับความเสียหายไดนานที่สุด เทาไหรเมื่อกิจกรรมเหลานี้หยุดชะงัก (ระยะเวลาดังกลาวเรียกวา ระยะเวลาสูงสุดในการทนรับภาวะหยุดชะงัก หรือ Maximum Tolerable Period of Disruption – MTPD) ถือเปนเสนตายที่บริษัทจะตองฟนฟูกิจกรรมที่ระบุมาทั้งหมดให ได มิฉะนั้นจะตองเผชิญกับสภาพการณที่เลวรายที่สุดซึ่งจะจบลงดวยการลมละลาย
7
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ใสกิจกรรมหลักลงในแบบฟอรม (คอลัมนซาย) พิจารณาระยะเวลาสูงสุดในการทนรับภาวะหยุดชะงักของแตละกิจกรรม โดยเลือกหนึ่งคอลัมนจากหาคอลัมนซึ่งระบุระยะเวลาตางๆ (3 วัน, 1 สัปดาห, 2 สัปดาห, 1 เดือน, 2 เดือน หรือ มากกวานั้น) กําหนดระยะเวลาที่จะตองฟนฟูแตละกิจกรรมใหเสร็จสิ้น ตัวอยางเชน ถา MTPD ของกิจกรรมแรกคือ 1 เดือน ทําเครื่องหมายถูกลงในคอลัมนที่เขียนวา “1 เดือน” ถาคุณตองกลับมาจัดสงของใหลูกคาสําคัญภายในระยะเวลา 2 สัปดาห เขียน “2 สัปดาห” ลงในคอลัมนแรกทางดานซายซึ่งเขียนวา ระยะเวลาเปาหมายในการฟนคืนสภาพ (RTO) ทําตามขั้นตอนนี้จนครบทุกกิจกรรม หลังจากวิเคราะหและประเมินผลกระทบภายในและภายนอก รวมทั้งกําหนดระยะเวลาเปาหมายในการฟนคืนสภาพ (RTO) ของกิจกรรมหลักๆของบริษัท ในฟอรม 2-3 ใหคุณเลือกวากิจกรรมใดเปนกิจกรรมหลัก (PA) ของบริษัท และ กําหนดระยะเวลาเปาหมายในการฟนคืนสภาพ (Recovery Time Objective - RTO) ของบริษัทโดยพิจารณาจาก ภาพรวม บริษัทของคุณอาจมีกิจกรรมหลัก (PA) หนึ่งถึงสองอยางขึ้นอยูกับการดําเนินธุรกิจของบริษัท ฟอรม 2-1 ตารางเปรียบเทียบระดับผลกระทบ ระดับผลกระทบ ผลกระทบภายนอก ผลกระทบภายใน
แผนกที่รับผิดชอบสินคา/บริการ
ฟอรม 2-2 ระยะเวลาสูงสุดในการทนรับภาวะหยุดชะงัก (MTPD) แผนกที่รับผิดชอบสินคา/ บริการ
ระยะเวลาสูงสุดในการทนรับภาวะหยุดชะงัก (MTPD) ~3 วัน ~3 วัน ~3 วัน ~3 วัน ~3 วัน
~1 สัปดาห ~1 สัปดาห ~1 สัปดาห ~1 สัปดาห ~1 สัปดาห
~2 สัปดาห ~2 สัปดาห ~2 สัปดาห ~2 สัปดาห ~2 สัปดาห
~1 เดือน ~1 เดือน ~1 เดือน ~1 เดือน ~1 เดือน
~2 เดือน ~2 เดือน ~2 เดือน ~2 เดือน ~2 เดือน
ระยะเวลา เปาหมายในการ ฟนคืนสภาพ (RTO)
8
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 2-3 กิจกรรมหลัก (PA) และระยะเวลาเปาหมายในการฟนคืนสภาพ (RTO) กิจกรรมหลัก (PA)
ระยะเวลาเปาหมายในการฟนคืนสภาพ (RTO)
9
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ขั้นตอนที่ 3 ทรัพยากรที่จําเปนตอการฟนฟู เนื่องจากกิจกรรมหรือกระบวนการหลัก (PA) ตองพึ่งพาทรัพยากรหลายประการทั้งจากภายในและภายนอก การฟนฟู กิจกรรมหลักซึ่งหยุดชะงักจําเปนตองใชทรัพยากรเหลานี้ ในขั้นตอนนี้ใหคุณระบุและทํารายการทรัพยากรที่จําเปนลงใน ฟอรม 3-1 จากนั้น ทบทวนความเสี่ยงและจุดออนของทรัพยากรเหลานี้ แลวพิจารณามาตรการปองกันเพื่อใหแนใจวา จะหาทรัพยากรเหลานี้ได หรือเตรียมแผนการสํารอง รายการทรัพยากรนี้มีความสําคัญมาก และนับเปนขอมูลพื้นฐาน ในการจัดทํา BCP ระบุทรัพยากรที่จาํ เปนลงในฟอรม 3-1 โดยแบงเปนสามประเภท ไดแก 1)ทรัพยากรภายใน 2) สาธารณูปโภคที่จําเปน และ 3) หุนสวนทางธุรกิจ ทรัพยากรประเภทแรกคือทรัพยากรภายในซึ่งบริษัทสามารถควบคุมได ไดแก อาคารสถานที่ อุปกรณ เครื่องจักร เครื่องมือ คลังสินคา วัตถุดิบ ระบบ IT เอกสาร ภาพราง เปนตน นอกจากนี้ยังควรใหความสําคัญ กับทรัพยากรบุคคล โดยคํานึงถึงทักษะพิเศษและความชํานาญเฉพาะทางของบุคลากร ประเภทที่สองคือสาธารณูปโภคที่จําเปน เชน ไฟฟา แกส เชื้อเพลง ประปา และ น้ําทิ้ง เปนตน ทั้งนี้ยังรวมไปถึง เครือขายการสื่อสาร (โทรศัพทและอินเตอรเน็ต) และระบบคมนาคมขนสง (ถนน ทางรถไฟ และทาเรือ) ทรัพยากร เหลานี้รัฐเปนผูจัดหา ไมอยูใตการควบคุมของบริษัท โดยสวนมากแลว บริษัททั่วไปมักไมสามารถหาแหลงสํารองหรือ ทดแทนสาธารณูปโภคที่จําเปนเหลานี้ได เพราะทั้งหายากและมีตนทุนสูงเกินไป ดังนั้นทรัพยากรเหลานี้จึงเปนเงื่อนไข พื้นฐานในการกูกิจกรรมหลัก(PA) ของบริษัท ประเภทที่สามคือหุนสวนทางธุรกิจของบริษัท รวมทั้งกลุมบริษัทแม หรือกลุมบริษัทยอย ทรัพยากรประเภทนี้ (ทั้ง หุนสวนโดยตรงและโดยออม) นอกจากผูสงวัตถุดิบหรือซัพพลายเออรแลว ยังรวมถึงลูกคาของบริษัท ในชวงภัย ธรรมชาติรุนแรง ไมวาจะเปนเหตุแผนดินไหวทางตะวันออกของญี่ปุนหรืออุทกภัยในประเทศไทยในป 2554 บริษัท หลายแหงตองระงับการผลิตเพราะปญหาในหวงโซอุปทาน แมบางแหงจะไมไดรับความเสียหายโดยตรงจากภัย ธรรมชาติ
10
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 3-1 ทรัพยากรที่จําเปนตอกิจกรรมหลัก (PA) ทรัพยากรที่จําเปนตอกิจกรรมหลัก (PA) ประเภททรัพยากร รายการ อาคาร อุปกรณ/ เครื่องจักร สินคา ทรัพยากรภายใน คน ระบบ IT เงินทุน อื่นๆ: ไฟฟา แกส ประปา สาธารณูปโภคที่ โทรศัพท/การสื่อสาร จําเปน คมนาคม/ ถนน อื่นๆ: ผูสงวัตถุดิบโดยตรง วัตถุดิบ
ผูสงวัตถุดิบรายยอย 1, 2 ลูกคา อื่นๆ
(หมายเหตุ: ขั้นตอนการกําหนดกิจกรรมหลัก (PA) ตั้งระยะเวลาเปาหมายในการฟนคืนสภาพ (RTO) และทํารายการ ทรัพยากรที่จําเปนนั้น รวมกันเรียกวา การวิเคราะหผลกระทบทางธรุกิจ (Business Impact Analysis – BIA) เปนศัพท ที่ใชกันทั่วไปในเรื่อง BCP)
11
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ขั้นตอนที่ 4 การระบุความเสี่ยง คุณตองระบุความเสี่ยงซึ่งเปนภัยคุกคามบริษัทของคุณ (หรืออาจนําไปสูสถานการณรายแรง) ใหชัดเจน โดยทํา รายการประเภทของความเสี่ยงที่บริษัทอาจตองเผชิญ วิเคราะหและประเมินความเสี่ยงเหลานั้น จากนั้นจึงเลือก ความเสี่ยงที่บริษัทจะตองใหความสําคัญสูงสุดในการรับมือ คุณอาจตองคาดการณวาจะมีทรัพยากรเสียหายเนื่องจาก ความเสี่ยงเหลานั้นในปริมาณเทาไหร และตองใชระยะเวลาเทาไหรในการฟนฟู เพื่อหลีกเลี่ยงเหตุการณรายแรง คุณจะตองเปรียบเทียบชวงเวลาประมาณการณในการฟนตัวกับระยะเวลาเปาหมายในการฟนคืนสภาพ (Recovery Time Objective - RTO) ที่บริษัทตั้งไว จากนั้นจึงกําหนดวาทรัพยากรใดบางที่สําคัญ ทรัพยากรจําเปนนั้น อาจเปนทั้งทรัพยากรที่ระยะฟนตัวเกิน RTO และทรัพยากรที่ระยะฟนตัวไมเกิน RTO หากบริการ อันเปนปจจัยหลัก เชน ไฟฟา น้ํา และ โทรศัพท ใชเวลานานในการฟนตัวมากกวา RTO คุณอาจตองปรับ RTO ใหม โดยยืดระยะเวลาออกไปจนกวาทรัพยากรและบริการเหลานี้จะใชการได แบบฟอรม 4-1ชวยในกระบวนการระบุ ประเมิน และจัดลําดับความเสี่ยง อันดับแรก ระบุความเสี่ยงของบริษัทลงใน คอลัมนดานซายสุด ความเสี่ยงเหลานี้คือความเสี่ยงที่อาจทําใหการดําเนินงานหยุดชะงัก หรือนําไปสูเหตุขั้นรายแรง ที่สุด (การลมละลาย) เชน ความเสี่ยงจากภัยธรรมชาติ อาทิ แผนดินไหว น้ําทวม และไตฝุน รวมถึงภัยจาก อุตสาหกรรม อาทิ ไฟไหม การระเบิด ไฟดับ การรั่วไหลของสารเคมี หรือการกระทําโดยเจตนา เชน การโจมตีโดย ผูกอการราย และการกอวินาศกรรม ทั้งนี้ คุณอาจหาขอมูลเกี่ยวกับภัยธรรมชาติในอดีต แผนที่ภัยพิบัติ และขอมูล ความเสี่ยงตางๆ ไดจากรัฐบาลทองถิ่นหรือหนวยงานรัฐ ซึ่งหากทางภาครัฐไดจัดทําขอมูลดังกลาวไวแลวจะเปน ประโยชนมากในการประเมินความเสี่ยงในขั้นตอนนี้ ตอจากนั้น จึงประเมิน “ผลกระทบ” และ “ความเปนไปได” ของแตละความเสี่ยง และจัดลําดับวาความเสี่ยงนั้นมี ผลกระทบ และความเปนไปได ‘สูง’ ‘ปานกลาง’ หรือ ‘ต่ํา’ ตามตารางดานลาง ตาราง 4-1 การจัดลําดับผลกระทบและความเปนไปไดของความเสี่ยง ลําดับความเสี่ยง ความเปนไปได สูง สูง ปานกลาง
ปานกลาง
ต่ํา
ต่ํา
ผลกระทบ หายนะ, บริษัทเสียหายรายแรง , ถึงแกชีวิต , บาดเจ็บจํานวนมาก เสียหายปานกลางกระทบการดําเนินกิจการ , บาดเจ็บจํานวนมาก เสียหายเล็กนอย, บาดเจ็บจํานวนนอย
หลังจากระบุ ‘สูง’ ‘ปานกลาง’ หรือ ‘ต่ํา’ ในชอง “ผลกระทบ” และ “ความเปนไปได” ในแบบฟอรม 4-1 แลวใหจัดลําดับ ความสําคัญในการรับมือลงในชองตารางดานขวาสุด
12
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 4-1ตารางเปรียบเทียบผลกระทบความเสี่ยงและความเปนไปไดของภัยพิบัติ ความเสี่ยง ผลกระทบ ความเปนไปได แผนดินไหว สูง กลาง ต่ํา สูง กลาง ต่ํา น้ําทวม สูง กลาง ต่ํา สูง กลาง ต่ํา สูง กลาง ต่ํา สูง กลาง ต่ํา
ลําดับความสําคัญ 1 2
ตอจากนั้น ใหเลือกความเสี่ยงที่มีความสําคัญที่สุด (เชน แผนดินไหว) และประเมินระดับของความเสียหายและ ชวงเวลาที่จําเปนสําหรับการฟนฟูทรัพยากรที่เสียหายจากภัยพิบัติ โดยควรเปรียบเทียบชวงเวลาประมาณการณในการ ฟนตัวกับ RTO ของบริษัทซึ่งกําหนดไวในฟอรม 2-3 จากนั้นใหกําหนดวาทรัพยากรใดที่จําเปนตองมีมาตรการการ จัดการ ใสขอมูลลงในแบบฟอรม 4-2 ตาม 8 ขั้นตอนดังตอไปนี้ ทั้งนี้ ควรแยกหนึ่งความเสี่ยงตอหนึ่งแบบฟอรมเนื่องจากแตละ ความเสี่ยงสรางความเสียหายแตกตางกัน 1) ใสทรัพยากรที่จําเปนตามขั้นตอนที่ 3 2) ใสความเสี่ยงที่สําคัญ 3) ใสความเสียหายตออาคารสถานที่และทรัพยสินอยางคราวๆ 4) ประมาณการณระดับความเสียหาย 5) ประมาณการณระยะเวลาที่ใชในการซอมบํารุงและฟนฟู 6) วาดแทงกราฟตามระยะเวลาที่ระบุไวในขอ 5 7) ลากเสน RTO ตามฟอรม 2-3 8) กําหนดวาจําเปนตองมีมาตรการจัดการทรัพยากรที่ระบุไวหรือไม เพื่อใหฟนตัวไดทันตาม RTO และทําเครื่องหมาย ไวในชองที่กําหนด (ตองมีมาตรการ) ทรัพยากรที่จําเปนตองมีมาตรการการจัดการอาจเปนไดทั้งจําพวกที่ใชเวลาในการฟนฟูเกิน RTO และจําพวกที่ไมเกิน RTO หากบริการอันเปนปจจัยหลัก เชน ไฟฟา น้ํา และ โทรศัพท ใชเวลานานในการฟนตัวมากกวา RTO คุณอาจ จําเปนตองปรับ RTO ใหม โดยตองคํานึงถึงระยะเวลาที่ตองรอจนกวาจะเริ่มฟนฟูทรัพยากรเหลานี้ได
2 เดือน
ตองมี มาตรการ
3เดือน ◦ ◦
◦
◦ ◦
◦ ◦ ◦
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง
3 วัน
ระยะเวลาฟนตัวที่คาดการณไว วัน (แสดงเปนกราฟ) 1 สัปดาห 2 สัปดาห 1 เดือน
13
ฟอรม 4-2 ตารางประมาณการณความเสียหายของทรัพยากร (ตัวอยาง) ความเสี่ยง แผนดินไหว ความเสียหายที่คาดไว ◦◦◦ วัน ทรัพยากรที่จําเปนตางๆ ความเสียหาย ทรัพยากรภายใน อาคาร 7 ◦◦◦ อุปกรณ/ เครื่องจักร ◦◦◦ 30 สินคา 3 ◦◦◦ คน 3 ◦◦◦ ระบบ IT 10 ◦◦◦ เงินทุน ◦◦◦ อื่นๆ: สาธารณูปโภคที่ ไฟฟา 3 ◦◦◦ จําเปน แกส 30 ◦◦◦ ประปา 15 ◦◦◦ โทรศัพท/การสื่อสาร ◦◦◦ 10 คมนาคม/ ถนน 8 ◦◦◦ อื่นๆ: วัตถุดิบ ผูสงวัตถุดิบโดยตรง ◦◦◦ 30 ผูสงวัตถุดิบรายยอย ◦◦◦ 20 1, 2 ลูกคา 10 ◦◦◦ อื่นๆ
14
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
กลยุทธการฟนฟูธุรกิจ (Business Resumption Strategies) ตัวอยางของมาตรการรับมือในแตละขั้นตอนมีดังนี้ 1) การปองกันกอนเกิดเหตุ และการบรรเทาความเสียหาย - การเสริมความแข็งแรงของตัวอาคารใหทนแรงแผนดินไหว - การติดตั้งเครื่องยึดอุปกรณ 2) การรับมือฉุกเฉินเพื่อปองกันการหยุดชะงักของธุรกิจ - การวางแผนการอพยพ - การพัฒนาระบบยืนยันความปลอดภัย 3) กลยุทธความตอเนื่องทางธุรกิจ - การฟนฟูโดยใชสถานที่สํารอง - การสํารองขอมูล (back-up) ระบบ IT มาตรการที่จําเปนนั้นจะแตกตางกันไปตามประเภทของภัยพิบัติที่เผชิญเนื่องจากผลประเมินความเสียหายในแตละ ประเภทนั้นอาจแตกตางกันมาก คูมือนี้แนะใหคณ ุ ทําตามกระบวนการ โดยเลือกความเสี่ยงมาหนึ่งอยาง จากนั้นจึง ประมาณการณความเสียหาย เจาของธุรกิจSMEอาจลําบากในการเตรียมรับมือความเสี่ยงหลายๆอยางพรอมๆกัน เรา แนะนําใหเริ่มจากความเสี่ยงที่สําคัญที่สุดกอน จากนั้นถาหากสามารถทําไดจึงคอยวิเคราะหความเสี่ยงอื่นๆซ้ํา ตามลําดับขั้นตอน สวนนี้ถือเปนหัวใจของ BCP คุณจะไดวางแผน BCP ของบริษัทและนําไปใชเพื่อใหกลับมาดําเนินธรุกิจไดตาม ระยะเวลาเปาหมายในการฟนคืนสภาพ (RTO) ซึ่งตั้งไวในขั้นตอนที่ 2 (ฟอรม 2-3) กลยุทธความตอเนื่องทางธุรกิจนั้น แบงเปนสามสวน ทุกสวนลวนสําคัญตอการฟนฟูธุรกิจใหทันตาม RTO ใหคุณกําหนดมาตรการที่จําเปนสําหรับบริษัท ของคนโดยพิจารณาตามทั้งสามขั้นตอนดังนี้ (1) การปองกันกอนเกิดเหตุ และการบรรเทาความเสียหาย สวนแรกนี้วาดวยการปองกันกอนเกิดเหตุ และการบรรเทาความเสียหายจากเหตุการณเพื่อกูกิจกรรมหลักของบริษัท กลับมาในเวลาสั้นๆ เพื่อใหทันตาม RTO แมการปองกันกอนเกิดเหตุและการบรรเทาความเสียหายจะเกี่ยวของกับ มาตรการกอนเกิดเหตุเปนหลัก แตก็ยังรวมไปถึงมาตรการหลังเกิดเหตุที่จําเปนที่จะชวยจํากัดขอบเขตและลดความ เสียหาย (2) การรับมือฉุกเฉินเพื่อปองกันการหยุดชะงักของธุรกิจ เมื่อการดําเนินธุรกิจของบริษัทตองหยุดชะงัก คุณจําเปนตองควบคุมสถานการณไว โดยขจัดอันตรายและปกปอง บุคลากร สินทรัพย และธุรกรรมตางๆ โดยควรลงมือในทันทีเพื่อปองกันมิใหสถานการณฉุกเฉินกลายเปนวิกฤตการณที่ ไมอาจควบคุมได สิ่งที่สําคัญที่สุดในการรับมือกับสถานการณฉุกเฉินคือจะตองปกปองและชวยชีวิตคน รองลงมาคือ การขจัดภัยคุกคาม ปกปองทรัพยสิน และปองกันความเสียหายที่อาจเกิดขึ้นและภัยพิบัติปลีกยอย
15
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
(3) กลยุทธความตอเนื่องทางธุรกิจ ขั้นตอนนี้วาดวยการวางแผนและดําเนินกลยุทธเพื่อใหกิจกรรมหลัก (PA) ดําเนินไปไดอยางตอเนื่อง และฟนฟูบริษัทสู สภาพปกติ กลยุทธความตอเนื่องทางธุรกิจมุงนนการฟนฟูกิจกรรมหลักในเวลาอันสั้นโดยใหมาตรการสํารองหรือ มาตรการชั่วคราว สวนกลยุทธการฟนฟูจะฟนกิจการของบริษัทกลับสูสภาพกอนเกิดเหตุ
รูปที่ 5-1 กลยุทธ BCP 3 ขั้นตอน
16
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ขั้นตอนที่ 5 การปองกันกอนเกิดเหตุ และการบรรเทาความเสียหาย ในการฟนฟูกิจการใหทันตามระยะเวลาที่กําหนดได จําเปนตองควบคุมและจํากัดความเสียหายที่เกิดกับทรัพยากร สนับสนุน เพื่อใหสามารถดําเนินการซอมบํารุงไดตั้งแตในระยะแรก หากทรัพยากรสําคัญเสียหายรุนแรง บริษัทอาจตก อยูในสถานการณวิกฤต และตองลมเลิกการกอบกูกิจการ หรือปดกิจการเปนระยะเวลานาน ซึ่งอาจจะเปนจุดจบของ บริษัท ดังนี้แลวมาตรการเตรียมการกอนเกิดเหตุและการบรรเทาความเสียหายจึงสําคัญมาก ในขั้นตอนที่ 4 ฟอรม 4-2 คุณไดระบุทรัพยากรที่จําเปนสําหรับในการฟนฟูกิจการใหทันตามระยะเวลาเปาหมายในการ ฟนคืนสภาพ (RTO) ทรัพยากรเหลานี้มีความเสี่ยงและอาจเปนอุปสรรคตอการฟนฟูกิจการใหทันตาม RTO ในขั้นตอน ที่ 5 นี้ ใหคุณเลือกทรัพยากรที่จําเปนตองมีมาตรการปองกันและบรรเทาความเสียหาย และกําหนดมาตรการโดย ละเอียดเพื่อหลีกเลี่ยงมิใหเกิดความเสียหายรายแรงซึ่งทําใหไมสามารถกูกิจกรรมหลักไดทันตาม RTO ในฟอรม 5-1 ใหคุณใส 1) ทรัพยากรที่ตองมีมาตรการดูแล 2) วัตถุประสงคของมาตรการ 3) มาตรการที่จะใช 4) แผนการปฏิบัติ 5) กําหนดการนําไปปฏิบัติจริง 6) ภาคสวนที่รับผิดชอบ
บุคลากร
อาคาร
อุปกรณ เครื่องมือ ระบบตางๆ
วัตถุประสงค
มาตรการ
แผนการปฏิบัติ
วางแผนการอพยพ เผยแพรใหพนักงาน เพื่อใหบุคลากรปลอดภัย รับทราบ ซอมอพยพ ตรวจสอบความทนทาน ตรวจสอบความทนทาน ตอแผนดินไหวของ แผนดินไหวของตัวอาคาร อาคารสํานักงานใหญ ปองกันและบรรเทาความ เสียหายของอาคาร ปรับปรุงใหอาคาร ปรับปรุงใหอาคาร สํานักงานใหญทนทาน ทนทานทนทาน แผนดินไหวได แผนดินไหวได ปองกันและบรรเทาความ ติดตั้งตัวยึดปองกัน ยึดเครื่องจักรไวกับพื้น เสียหายของอุปกรณ อุปกรณหลนลงมา โรงงาน เครื่องมือ ปองกันและบรรเทาความ ติดตั้งตัวยึดปองกัน ใสเซิฟเวอรที่สํานักงาน เสียหายของอาคาร คอมพิวเตอรหลนลงมา ใหญไวในตูเก็บเซิฟเวอร ชี้แจงขั้นตอนเกี่ยวกับ ความปลอดภัยในการ อพยพ
กําหนดการนําไปปฏิบัติจริง ระยะ ทันที ภายใน 1 ป กลาง- ยาว
แผนกที่รับผิดชอบ
◦
แผนกธุรการ
◦
แผนกธุรการ
◦
◦
แผนกธุรการ
◦
แผนกการผลิต แผนกสารนิเทศ
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง
ทรัพยากร
17
ฟอรม 5-1 มาตรการปองกันและบรรเทาความเสียหายที่เกิดกับทรัพยากรสําคัญ
18
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ขั้นตอนที่ 6 การรับมือฉุกเฉินเพื่อปองกันการหยุดชะงักของธุรกิจ ขั้นตอนนี้ ใหคุณหาวิธีการรับมือฉุกเฉินเมื่อเกิดอุบัติเหตุหรืออุบัติภัยขึ้น เพื่อปองกันไมใหสถานการณฉุกเฉินกลายเปน สถานการณวิกฤตที่ไมอาจควบคุม โดยอาจเรียกวาเปนการรับมือฉุกเฉินหรือการรับมือขณะเกิดเหตุ สิ่งที่สําคัญที่สุดใน การรับมือฉุกเฉินคือการปกปองและชวยชีวิตคน การควบคุมสถานการณ ขจัดภัยคุกคามและรักษาความปลอดภัยใน อาคารสถานที่ คุมครองชีวิตของตนเอง พนักงาน และลูกคา รวมไปถึงปกปองทรัพยสิน และปองกันความเสียหายที่ อาจเกิดขึ้น นอกจากนี้ยังตองพึงระวังถึงความเปนไปไดที่จะเกิดภัยพิบัติปลีกยอยตามมา ขั้นแรก คุณจะตองเขาใจภาพรวมการรับมือฉุกเฉิน รูปที่ 6-1 แสดงขั้นตอนปฏิบัติตางๆที่จําเปนในการรับมือเหตุ ฉุกเฉิน ขั้นตอนเหลานี้จะตองปฎิบัติใหตรงตามลําดับเวลาที่กําหนด ไมลาชา เมื่อเกิดเหตุขึ้นบุคลากรควรจะเริ่ม “(1) อพยพและชวยชีวิต” ในทันที อาจจําเปนตองมีศูนยปฏิบัติการฉุกเฉิน (EOC) เพื่อประสานมาตรการของภาคสวน ตางๆในบริษัท โดยถามี หนวยปฏิบัติการฉุกเฉินจะรับผิดชอบขั้นตอนที่ 3 ถึง 8 ขั้นตอนที่จําเปนมีดังนี้ 1) อพยพและชวยชีวิต 2) ตั้งศูนยปฏิบัติการฉุกเฉิน 3) ยืนยันความปลอดภัยของพนักงาน 4) ควบคุมสถานการณและปองกันความเสียหายปลีกยอย 5) สํารวจความเสียหาย 6) คุมครองทรัพยสิน 7) ยืนยันความ ปลอดภัยในการเดินทางของพนักงาน 8) รวบรวมและแบงปนขอมูลอุบัติภัยและความเสียหาย รูป 6-1 การรับมือฉุกเฉินเมื่อเกิดภัยพิบัติ
19
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
รายละเอียดในแตละขั้นตอนมีดังนี้ (1) อพยพและชวยชีวิต ประการแรก บริษัทของคุณควรจะมีแผนการอพยพ ประกอบดวยขั้นตอนในการอพยพ สถานที่ที่จะอพยพไป คูมือ แนะนําผูอพยพ และรายชื่อผูนําในการอพยพ โดยคุณสามารถใชฟอรม 6-1 จัดทําแผนการอพยพของบริษัท บุคลากร ทุกคนในบริษัทจําเปนตองเขาใจแผนการอพยพ และสามารถปฎิบัติตามไดอยางปลอดภัย บริษัทหลายแหงแจกการด ฉุกเฉินใบเล็กๆใหกับพนักงาน ในการดมีขอมูลสําคัญ เชนจะตองทําอยางไรบาง ตองอพยพไปที่ไหน ติดตอใครยาม ฉุกเฉิน พนักงานจะตองพกการดนี้ไวกับตัวตลอดเพื่อใชในยามฉุกเฉิน ถือเปนแนวฏิบัติที่ควรนําไปใชอยางยิ่ง ฟอรม 6-1 แผนการอพยพและชวยชีวิต (ตัวอยาง) แผนก/โรงงาน สํานักงานใหญ สถานที่อพยพ ที่จอดรถหนาอาคารสํานักงานใหญ (จุดรวมพล) ผูนํา ผูรับผิดชอบ: ผูจ ัดการแผนกธุรการ ผูชวย: ผูชวยผูจัดการแผนกธุรการ ผูชวยเหลือและปฐมพยาบาล ผูรับผิดชอบ: ผูจ ัดการแผนกธุรการ ผูชวย: ผูชวยผูจัดการแผนกธุรการ โรงพยาบาล (ชื่อ, ที่อยู, เบอรโทรศัพท) ชื่อ: รพ. ◦◦◦ ที่อยู: ◦◦◦ โทร: xx-xxx-xxxx ในกรณีเกิดภัยธรรมชาติเชน แผนดินไหว หรืออุทกภัย สาธารณูปโภค (เชน ระบบคมนาคม) อาจไดรับความเสียหาย พนักงานอาจจะไมสามารถกลับบานไดและตองอยูในอาคารสถานที่ของบริษัทหรือที่หลบภัย บริษัทจะตองเตรียมอาหาร น้ําและเครื่องอุปโภคบริโภคอื่นๆ ใหพนักงาน (เชน ผาหม วิทยุ เปนตน) และควรสํารองเครื่องอุปโภคบริโภคที่จําเปน (เชน อาหารและน้ํา) ไวใหเพียงพอสําหรับ 3 วัน (ดูฟอรม 6-5) (2) ตั้งศูนยปฏิบัติการฉุกเฉิน เมื่อเกิดเหตุการณที่อาจกระทบตอธุรกิจ บริษัทจะรับมือฉุกเฉินเพื่อปกปองชีวิตคนและกิจการตางๆ ที่สําคัญคือจะตอง มิใหเกิดความตื่นตระหนก หรือสับสนอลหมาน หากแตจะตองมีสติและมีการตัดสินใจที่ดีเมื่อเลือกใชมาตรการรับมือกับ สถานการณ เพื่อใหทั้งบริษัทดําเนินการรับมือไดอยางพรอมเพรียงและมีการประสานงานที่ดี จําเปนตองตั้งศูนย ปฏิบัติการฉุกเฉินใหทําหนาที่เปนศูนยบัญชาการกลาง ควรกําหนดกรอบการทํางานของศูนยปฏิบัติการฉุกเฉิน สมาชิก และหนาที่ รวมกระบวนการทํางานๆไวลวงหนา โดย บันทึกเปนลายลักษณอักษร คุณสามารถใชฟอรม 6-2 จัดทํากรอบการทํางานของศูนยปฏิบัติการฉุกเฉินของบริษัท
20
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ก) หัวหนาศูนยปฏิบัติการฉุกเฉิน หัวหนาจะรับผิดชอบกิจกรรมในภาพรวมทั้งหมายของศูนยปฏิบัติการ อาจแตงตั้งรองหรือผูชวยซึ่งจะเขามาทําหนาที่ แทนหากหัวหนาไมอยู โดยจะตองมีการกําหนดลําดับขั้นการเขารับหนาที่และความรับผิดชอบแทนหัวหนา ข) ทีมปฏิบัติการฉุกเฉิน และหนาที่ จะตองมีการแตงตั้งสมาชิกทีมศูนยปฏิบัติการฉุกเฉิน ทํารายชื่อ และอัพเดตเปนระยะ สมาชิกทีมจะตองมาประชุมกันที่ ศูนยปฏิบัติการฉุกเฉินเมื่อไหรก็ตามที่ศูนยปฏิบัติการฉุกเฉินมีภารกิจ อาจเลือกสมาชิกทีมที่สามารถมาประชุมกันไดใน เวลาอันสั้น ในฟอรม 6-2 ระบุหนาที่ 4 ประการของศูนยปฏิบัติการฉุกเฉิน หากบริษัทมีขนาดใหญพอ อาจมีการตั้งทีม ขึ้นมาแบงกันรับผิดชอบแตละหนาที่ ควรพิจารณากรอบการทํางานของศูนยปฏิบัติการฉุกเฉินและหนาที่ใหเหมาะสม กับความตองการของบริษัท 1. วิเคราะหและวางแผน 2. รวบรวมขอมูล 3. ลงพื้นที่ - ควบคุมสถานการณ - กูภัยและปฐมพยาบาล - ยืนยันความปลอดภัยของพนักงาน - ดูแลดานอนามัย - ลอจิสติกส (จัดหาเครื่องอุปโภคบริโภคและสิ่งจําเปนอื่นๆ) 4. ประชาสัมพันธ มีหนาที่รายงานสภาพของบริษัทใหผูถือผลประโยชนรวมทั้งในและนอกบริษัททราบ ค) เกณฑการเรียกรวมพลศูนยปฏิบัติการฉุกเฉิน เมื่อไหรควรเรียกรวมพลศูนยปฏิบัติการฉุกเฉิน คุณจะตองกําหนดเกณฑขั้นต่ําที่จําเปนตองเรียกรวมพลศูนยปฏิบัติการ ฉุกเฉินและสมาชิก คุณอาจตั้งเกณฑนี้โดยกําหนดประเภทของอุบัติภัยและระดับความรุนแรง เชน “แผนดินไหว ความ รุนแรง 6 ริกเตอร” หรือ “มีประกาศแจงเตือนอุทกภัย” ง) ที่ตั้งศูนยปฏิบัติการฉุกเฉิน ควรกําหนดที่ตั้งศูนยปฏิบัติการฉุกเฉินไวลวงหนา ควรเตรียมหาที่ตั้งสํารองไวกรณีไมสามารถใชที่แรก (เชนอาคาร สํานักงานใหญ) ได ที่ตั้งศูนยปฏิบัติการฉุกเฉิน (และที่ตั้งสํารอง) ควรอยูในสภาพพรอมใชงานตลอดเวลา โดยมีเครื่อง สื่อสาร อุปกรณไอที และเครื่องมือในสํานักงาน รวมทั้งทรัพยากรสนับสนุนอื่นๆ
21
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 6-2 ศูนยปฏิบัติการฉุกเฉิน (ตัวอยาง) หนาที่ หัวหนา (และรอง)
สมาชิก
เกณฑการเรียก รวมพลเกณฑการ เรียกรวมพล ที่รวมพล (และที่ตั้งสํารอง)
แผนก/ ชื่อ ซีอีโอ/ ◦◦◦◦ ผอ./ ◦◦◦◦ ผอ./ ◦◦◦◦ แผนก◦◦/◦◦◦◦ แผนก◦◦/◦◦◦◦ แผนก◦◦/◦◦◦◦ แผนก◦◦/◦◦◦◦ แผนก◦◦/◦◦◦◦ แผนก◦◦/◦◦◦◦ แผนก◦◦/◦◦◦◦ แผนก◦◦/◦◦◦◦
**-***-****
ที่ปฏิบัติการ
ที่อยู
เบอรติดตอ
สํานักงานใหญ แผนก ก โรงงาน ข
◦◦◦◦ ◦◦◦◦ ◦◦◦◦
**-***-**** **-***-**** **-***-****
วิเคราะหและวางแผน รวบรวมขอมูล ลงพื้นที่ (ควบคุมสถานการณ กูภัยและปฐม พยาบาล ยืนยันความปลอดภัยของ พนักงาน ดูแลดานอนามัย ลอจิสติกส) ประชาสัมพันธ - แผนดินไหวระดับ 6 ริกเตอร - มีประกาศแจงเตือนอุทกภัย ลําดับ ความสําคัญ 1 2 3
เบอรติดตอ **-***-**** **-***-**** **-***-**** **-***-**** **-***-**** **-***-**** **-***-**** **-***-**** **-***-**** **-***-****
3) ยืนยันความปลอดภัยของพนักงาน กอนเกิดเหตุ คุณจะตองกําหนดขั้นตอนในการยืนยันความปลอดภัยของพนักงาน พนักงานจะตองทําตามขั้นตอนที่ กําหนดไดทันทีที่เกิดเหตุขึ้น บริษัทควรจัดฝกซอมเพื่อทดสอบวาพนักงานสามารถทําตามขั้นตอนไดหรือไม และตองใช เวลาเทาไหรในการยืนยันความปลอดภัยของพนักงานทั้งหมด ควรมีขั้นตอนกําหนดวาพนักงานจะติดตอกับบริษัทได อยางไร ควรระบุชองทางการสื่อสารหลายๆชองทาง (เชน โทรศัพท อีเมลล กระดานสนทนาในอินเตอรเน็ต) ไวเปน ชองทางสํารอง เราอาจศึกษาบทเรียนจากเหตุการณแผนดินไหวครั้งใหญทางตอนใตของญี่ปุน เดือนมีนาคมป 2554 หลังเกิดเหตุ ระบบโทรศัพทมือถือในบริเวณดังกลาวไดใชการไมได เนื่องจากไดรับความเสียหายอยางหนักและมีการ เขาใชบริการมากเกินไป ความเสี่ยงลักษณะนี้เกิดขึ้นไดหากเราพึ่งพาระบบสื่อสารเชน โทรศัพทมือถือ เพียงระบบเดียว ดังนั้นจึงตองเตรียมชองทางสํารองไว ฟอรม 6-3 เปน รายชื่อติดตอสําหรับพนักงานแตละแผนก ประกอบดวยชื่อ เบอรโทรศัพท และอีเมลล เราสามารถใช ฟอรมนี้เปนใบเช็คชื่อพนักงานในขั้นตอนการยืนยันความปลอดภัยไดดวย
22
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 6-3 รายชื่อติดตอยามฉุกเฉิน (ตัวอยาง) แผนก แผนก◦◦ แผนก◦◦ แผนก◦◦
ชื่อ ◦◦◦ ◦◦◦ ◦◦◦
เบอรโทร **-****-**** **-****-**** **-****-****
อีเมลล
สถานะความ ปลอดภัย (ระบุใน กรณีฉุกเฉิน)
*******@****.*** ******@****.*** ******@****.***
4) ยืนยันความปลอดภัยในการเดินทาง เพื่อเกิดภัยพิบัติเปนวงกวางทั่วทั้งภูมิภาค สาธารณูปโภคอาจไดรับความเสียหาย บริษัทตองตัดสินใจวาหากให พนักงานกลับบานจะปลอดภัยหรือไม หรือจําเปนตองใหอยูในอาคารสถานที่ของบริษัท โดยอาจพิจารณาจากการเฝา สังเกตภัยพิบัติ และขอมูลทางคมนาคม 5) ควบคุมสถานการณและปองกันความเสียหายปลีกยอย เมื่อเกิดอุบัติภัย และสถานการณอันตราย คุณจะตองพยายามควบคุมสถานการณ ดูแลความปลอดภัยของพนักงาน และปองกันความเสียหายปลีกยอย อาจรวมถึงการดับเพลิงหรือจํากัดการแพรกระจายของสารเคมี 6) ตรวจสอบความเสียหาย เมื่อควบคุมสถานการณไดแลวและแนใจวาปลอดภัย ควรเริ่มตรวจสอบความเสียหายในบริษัททันที บริษัทจะตองวาง แผนการซอมแซมหรือฟนฟูตามจําเปน และตองเริ่มกระบวนการฟนฟูทันที่ที่สามารถทําได ฟอรม 6-6 เปนตัวอยาง แบบสํารวจอยางงายๆ 7) คุมครองทรัพยสิน คุณจะตองคุมครองและรักษาอุปกรณและเครื่องมือ โดยใชผลจากการสํารวจความเสียหาย เชน อาจจะตองวาง มาตรการปองกันไมใหเกิดความเสียหายเพิ่มมากขึ้น หรือปองกันการลักขโมย 8) รวบรวมและแบงปนขาวสาร เมื่อเกิดภัยพิบัติในภูมิภาค การติดตามขอมูลขาวสารจากหลายชองทางเปนเรื่องจําเปนอยางยิ่ง ไมวาจะเปนทาง โทรทัศน วิทยุ หรือ อินเตอรเน็ต โดยควรมีขอมูลดังตอไปนี้ - รายละเอียดเกี่ยวกับภัยพิบัติ - ความเสียหายในภูมิภาค (รวมถึงภาพสาธารณูปโภคที่จําเปนและชองทางคมนาคม)
23
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
- การแจงเตือนและประกาศเตือนจากรัฐบาลกลางหรือเจาหนาที่ทองถิ่น บริษัทควรสื่อสาร รวบรวมและแบงบันขอมูลดานภัยพิบัติกับผูถือผลประโยชน เชน ซัฟพลายเออร (ผูสงวัตุดิบ) ลูกคา องคกรรัฐ และสถาบันการเงิน การแจงความคืนหนากับหุนสวนทางธุรกิจเกี่ยวกับสภาพการณและขอมูลเกี่ยวกับ แผนการณฟนฟูของบริษัทนั้นสําคัญตอการคงความสัมพันธทางธุรกิจในขณะที่คณ ุ มุงฟนฟูกิจการ
24
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 6-4 ขอมูลติดตอหนวยงานภายนอก (ตัวอยาง) หุนสวนภายนอก ผูจัดสงวัตุดิบ และชิ้นสวน
ชื่อ
เบอรโทรศัพท
อีเมลล
◦◦◦◦
***-***-****
****@***.***.***
◦◦◦◦
***-***-****
****@***.***.***
◦◦◦◦
***-***-****
****@***.***.***
◦◦◦◦
***-***-****
****@***.***.***
◦◦◦◦
***-***-****
****@***.***.***
◦◦◦◦
***-***-****
****@***.***.***
บริษัทบํารุงและ ซอมแซม เครื่องมือ
◦◦◦◦
***-***-****
****@***.***.***
◦◦◦◦
***-***-****
****@***.***.***
◦◦◦◦
***-***-****
****@***.***.***
ลูกคา
◦◦◦◦
***-***-****
****@***.***.***
◦◦◦◦
***-***-****
****@***.***.***
◦◦◦◦
***-***-****
****@***.***.***
◦◦◦◦
***-***-****
****@***.***.***
◦◦◦◦
***-***-****
****@***.***.***
◦◦◦◦
***-***-****
****@***.***.***
องคกรรัฐ, ◦◦◦◦ หนวยงานราชการ ◦◦◦◦ ทองถิ่น ◦◦◦◦ ผูใหบริการ ◦◦◦◦ สาธารณูปโภค ◦◦◦◦
***-***-****
****@***.***.***
***-***-****
****@***.***.***
***-***-****
****@***.***.***
***-***-****
****@***.***.***
***-***-****
****@***.***.***
◦◦◦◦
***-***-****
****@***.***.***
ผูใหบริการ ลอจิสติกส
สถาบันการเงิน
สถานะ (เติมหลังเกิดเหตุ)
25
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 6-5 รายการสิ่งของกักตุนในชวงภัยพิบัติ ประเภท สิ่งของ อาหาร/น้ํา น้ําดื่ม เสบียงอาหาร เครื่องอุปโภค อุปกรณรักษาสุขอนามัย (ทิชชู, ทิชชู เปยก, กระดาษชําระ เปนตน) ภาชนะ เครื่องใชในครัว สุขาเคลื่อนที่ ถุงพลาสติก, เทป ผาหม, ถุงนอน แกสถัง และเตา หมอและกาตมน้ํา ฮีทเตอรพกพา ฮีทเตอรน้ํามัน, น้ํามัน ยารักษาโรค ชุดปฐมพยาบาล เปลพยาบาล เครื่องมือ เครื่องมือชาง (ชะแลง, คีม, คอน, พลั่ว, เทปผา, บันไดพับ) ผาพลาสติก, ผาใบกันน้ํา ถังขยะ, ถังน้ํา อุปกรณชวยเหลือในการสงคนกลับ เสื้อกันฝน บาน แผนที่ การหาขอมูลและการสื่อสาร วิทยุ, ถาน ที่ชารตโทรศัพท ลําโพง อื่นๆ เครื่องปนไฟ, เชื้อเพลิงเครื่องปนไฟ
จํานวนที่ตองเตรียม 3 ลิตรตอคน สําหรับ 3 วัน อาหารสําหรับ 3 วันตอคน 3 วัน เหมาะกับจํานวนคน 3 วัน เทากับจํานวนคน เทากับจํานวนคน 3 วัน อยางละ 3 จํานวนสําหรับ 3 วันตอคน เทากับจํานวนคน 3 อยางละ 3 3 ผืน (10ม X 10ม) อยางละ 3 เทากับจํานวนคน เทากับจํานวนคน อยางละ 3 รุนละ 3 ชิ้น 3 เชื้อเพลิงปริมาณ 2 หนวยสําหรับ 3 วัน
26
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 6-6 ฟอรมสํารวจความเสียหาย สถานที่ที่สํารวจ อาการบาดเจ็บ ผูบาดเจ็บ ความเสียหายของอาคาร สภาพภายนอก สภาพภายใน เขาไดอยางปลอดภัย ความเสียหายของ เครื่องมือ ทรัพยสิน อุปกรณสื่อสาร อุปกรณIT สิ่งติดตรึง ยานพาหนะ ความเสียหายของ ไฟฟา สาธารณูปโภค แกส ประปา โทรศัพทพื้นฐาน บริการโทรศัพทมือถือ อินเตอรเน็ต สถานการณโดยรอบ อัคคีภัย อื่นๆ ความตอเนื่องทางธุรกิจ ผูติดตอ อื่นๆ
ชื่อ: มาก / ปานกลาง / นอย / ไมมี มาก / ปานกลาง / นอย / ไมมี ได / ไมได (อุปกรณที่เสียหาย / จํานวน) (อุปกรณที่เสียหาย / จํานวน) (อุปกรณที่เสียหาย / จํานวน) (สิ่งที่เสียหาย / จํานวน) (พาหนะที่เสียหาย / จํานวน) ใชการได / ใชการไมได ใชการได / ใชการไมได ใชการได / ใชการไมได ใชการได / ใชการไมได ใชการได / ใชการไมได ใชการได / ใชการไมได มี / ไมมี (ชะงัก / ไมชะงัก) (ผูบาดเจ็บ)
27
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ขั้นตอนที่ 7 กลยุทธความตอเนื่องทางธุรกิจ ในขั้นตอนที่ 7 คุณจะไดพัฒนากลยุทธความตอเนื่องทางธุรกิจของบริษัทเพื่อที่จะฟนฟูกิจกรรมหลักของบริษัทใหทัน ตามระยะเวลาเปาหมายในการฟนคืนสภาพ (RTO) คุณตองกําหนดและเตรียมทรัพยากรสนับสนุนทั้งภายในและ ภายนอกซึ่งจําเปนในการฟนฟูกิจกรรมดังกลาว ในการฟนฟูกิจกรรมหลัก(PAs) ใหทันตาม RTOนั้น มีกรอบหลักๆในการการวางกลยุทธความตอเนื่องทางธุรกิจควร คํานึงถึงดังนี้ กลยุทธที่ 1: ดําเนินกิจกรรมหลักอีกครั้ง ณ สถานที่ตั้งเดิมซึ่งไดรับความเสียหาย กลยุทธที่ 2: ดําเนินกิจกรรมหลักอีกครั้ง ณ สถานที่อื่น (อาจเปนสถานที่ของบริษัทเอง หรือของบริษัทหรือ บุคคลภายนอก) กลยุทธที่ 3: ดําเนินกิจกรรมหลักอีกครั้งดวยวิธีการใหม (หรือวิธีแกไขสถานการณ) กลยุทธความตอเนื่องทางธุรกิจของคุณควรผสานเอากลยุทธทั้งสามเขาไวดวยกัน ในขั้นตอนแรกๆในการวางแผนฟนฟู คุณจะตองตัดสินใจวาบริษัทจะดําเนินกิจกรรมหลักใหมอีกครั้งที่ไหน ที่สถานที่ เดิมซึ่งไดรับความเสียหาย หรือสถานที่ใหม ทั้งสองทางเลือกลวนสําคัญ บริษัทควรเตรียมรับมือกับสถานการณเมื่อ สถานที่หลัก เชน อาคารสํานักงานใหญ หรือโรงงานหลักใชการไมได สําหรับกิจการ SMEs ที่มีทุนทรัพยจํากัด การหา สถานที่สํารองอาจเปนเรื่องยาก และอาจมีเพียงทางเลือกเดียวคือการเตรียมกลยุทธ ฟนฟูกิจการ ณ สถานที่เดิมซึ่ง ไดรับความเสียหาย ควรพึงระวังวาหากสถานที่ประกอบการหลักเสียหายจนใชการไมได บริษัทจะตกอยูในสภาพที่ไม สามารถชวยเหลือตนเองได ควรเตรียมการรับมือในระยะกลางถึงยาวเอาไว กระบวนการนี้ไมใชเพียงการรางลงบน กระดาษ แตเจาของกิจการหรือผูบริหารระดับสูงจะตองตัดสินวาจะกูกิจกรรมหลักจากการหยุดชะงักอยางไรและที่ไหน ฟอรม 7-1 สรุปกลยุทธความตอเนื่องทางธุรกิจของบริษัทของคุณ โดยควรจะกรอกขอมูลตามแนวคิดขางตน ใสกลยุทธที่คุณเลือกลงไปในคอลัมนที่ตรงกัน เริ่มจากกลยุทธที่ 1 การดําเนินกิจกรรมหลักอีกครั้ง ณ สถานที่เดิมซึ่ง ไดรับความเสียหาย กลยุทธที่ 1: คุณจะตองฟนฟูทรัพยากรที่เสียหาย เชน อาคารสถานที่ อุปกรณหรือเครื่องจักร โดยอาจตองใชบริการ บริษัทกอสรางภายนอก หรือผูเชี่ยวชาญดานเครื่องจักร การฟนฟูกิจการที่หยุดชะงักยังจําเปนตองพึ่งพาสาธารณูปโภค หลัก ซึ่งเปนปจจัยหลักในการฟนฟู เชนไฟฟา แกส และประปา ดังนั้นคุณควรประมาณการณวาหนวยงานรัฐจะกลับมา ใหบริการเหลานี้ไดเร็วแคไหน คุณอาจจะตองปรับกลยุทธความตอเนื่องทางธุรกิจตามระยะเวลาในการฟนฟู สาธารณูปโภคหลัก กลยุทธถัดไปวาดวยการฟนฟูกิจการ ณ สถานที่อื่น
28
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
กลยุทธที่ 2: คุณควรพิจารณาสถานที่ตั้งใหมวาไกลจากที่ตั้งปจจุบันพอหรือไม จะไดรับผลกระทบหรือไดรับความ เสียหายจากภัยพิบัติเดียวกันไหม ควรดูใหแนใจวาสาธารณูปโภคและบริการที่จําเปนตอบริษัทจะใชการไดและไมไดรับ ผลกระทบ สถานที่นี้จะตองมีทรัพยากรที่จําเปนทั้งหมด เชน อาคาร เครื่องมือ และเครื่องจักร คุณควรจะหาวิธีการ เคลื่อนยายพนักงานและขนยายวัตถุดิบหรือสวนประกอบไปยังสถานที่ตั้งใหมดวย คุณควรใหความสําคัญกับการรักษา ความสัมพันธที่ดีกับผูสงวัตถุดิบ เพราะอาจจะตองขอความชวยเหลือหรือขอความรวมมือจากหุนสวนภายนอก กลยุทธถัดไป วาดวยการดําเนินกิจกรรมหลักอีกครั้งดวยวิธีการใหม กลยุทธที่ 3: กลยุทธนี้สามารถใชควบคูกับกลยุทธที่ 1 (ฟนฟู ณ สถานที่เดิม) และกลยุทธที่ 2(ฟนฟู ณ สถานที่อื่น) เชน การนําเครื่องมือเกาที่เก็บสํารองไวมาใชแทนเครื่องใหมที่เสียหาย หรือการใชแรงงานคนแทนระบบ IT ที่ลม บริษัท ควรเลือกวิธีการที่เหมาะกับรูปแบบธุรกิจของบริษัท นอกจากนี้คุณอาจจะตองพิจารณาวาจําเปนตองขอความชวยเหลือ จากหุนสวนภายนอกในดานใด หุนสวนภายนอกทางธุรกิจนั้นอาจมีอิทธิพลอยางมากตอการดําเนินกิจการและกลยุทธความตอเนื่องทางธุรกิจของ บริษัท เมื่อคุณไมสามารถควบคุมหุนสวนทางธุรกิจได คุณควรจะทําอยาไรในการดึงหุนสวนทางธุรกิจมาเปนสวนหนึ่ง ของกลยุทธ เรื่องนี้ขึ้นอยูกับความสัมพันธทางธุรกิจ คุณอาจลดความเสี่ยงไดดวยวิธีการเหลานี้ ประการแรก คุณควร ตรวจสอบวาหุนสวนของคุณมีการรับมือกับภัยพิบัติอยูในระดับใดและ BCP เปนอยางไร พวกเขาสนใจเรื่องนี้หรือเปลา หรือวาไมสนใจเลย ถาสนใจ คุณควรจะพูดคุยแลกเปลี่ยนมาตรการการจัดการดานภัยพิบัติและ BCP กับหุนสวนของ คุณ จะดีมากหากสามารถนัดประชุมกันเปนระยะ จัดการประชุมรวม หรือฝกปฏิบัติรวมกัน
29
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 7-1 สรุปกลยุทธความตอเนื่องทางธุรกิจ สรุปกลยุทธความตอเนื่องทางธุรกิจ ความสําคัญ โครงรางกลยุทธ
กิจกรรมการฟนฟู
ทรัพยากรที่จําเปน
หุนสวนภายนอกที่ จําเปน กลยุทธที่ 1: ดําเนินกิจกรรมหลักอีกครั้ง ณ สถานที่ตั้งเดิมซึ่งไดรับความเสียหาย (ตัวอยาง) ซอมแซมอาคาร และเครื่องมือ ที่เสียหาย และดําเนินกิจกรรม หลักอีกครั้ง กลยุทธที่ 2: ดําเนินกิจกรรมหลักอีกครั้ง ณ สถานที่อื่น (ตัวอยาง) เปดโรงงาน สํานักงาน หรือ รานใหม (ตัวอยาง) เปดใชศูนย IT สํารอง กลยุทธที่ 3: ดําเนินกิจกรรมหลักอีกครั้งดวยวิธีการใหม (ตัวอยาง) กลับไปใชวิธีการเดิม, ใช อุปกรณเกาซึ่งสํารองไว กลยุทธ: อื่นๆ
เมื่อวางกลยุทธความตอเนื่องทางธุรกิจโดยใชฟอรม 7-1 แลว คุณจะตองระบุทรัพยากรที่จําเปนในการดําเนินกลยุทธ ในฟอรม 7-2 ใหคุณระบุทรัพยากรที่จําเปนสําหรับแตละกลยุทธซึ่งเขียนไวในฟอรม 7-1 โดยทําฟอรม 7-2 หนึ่งฟอรม ตอหนึ่ง กลยุทธ ดานบนฟอรม 7-2 ใหใสกิจกรรมหลักและโครงรางกลยุทธที่คุณคิดขึ้น คอลัมนทรัพยากรนั้นจะแบง ตามประเภท มีสามประเภท ไดแก ทรัพยากรภายใน สาธารณูปโภคที่จําเปน และหุนสวนภายนอก (เหมือนฟอรม 3-1)
30
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 7-2 ตารางวางแผนกลยุทธความตอเนื่องทางธุรกิจ กิจกรรมหลัก ประเภท
ทรัพยากร
สิ่งที่ตองทํา/ตองมี
โครงรางกลยุทธ รายละเอียดมาตรการ
ตองทําภายใน ระยะ แผนกที่ ระยะ กลาง- รับผิดชอบ สั้น ยาว
อาคาร อุปกรณ/ เครื่องจักร สินคา ทรัพยากร คน ภายใน ระบบ IT เงินทุน อื่นๆ: ไฟฟา/แกส/ประปา สาธารณูปโภค โทรศัพท/ การสื่อสาร ที่จําเปน การคมนาคม/ถนน ผูสงวัตถุดิบ หุนสวน ลูกคา ภายนอก อื่นๆ ตอจากนั้น ใสมาตรการที่จําเปนในคอลัมนถัดจากทรัพยากรนั้น ในขั้นตอนนี้คุณควรจะเทียบกับฟอรม 4-2 ตาราง ประมาณการณทรัพยากรที่เสียหาย (ดูคอลัมนที่ 8 ซึ่งคุณระบุทรัพยากรที่จําเปนในการฟนฟูใหทัน RTO) กําหนดวา ควรใชมาตรการอะไรเพื่อปองกันหรือลดความเสียหายที่จะเกิดกับทรัพยากรนั้นๆ และรนระยะเวลาการฟนฟู คุณควรจะพิจารณาอยางรอบคอบวาอะไรเปนทรัพยากรที่มีผลอยางมากตอการกําหนดระยะเวลาฟนคืนสภาพ ควรพิจารณาเปนพิเศษวาตองใชเวลามากนอยแคไหนกวาทรัพยากรที่ควบคุมไมไดเหลานี้จะกลับมาใชการได หลังจาก พิจารณาแลว คุณอาจจะตองแก RTO และกลยุทธความตอเนื่องทางธุรกิจ ใสกําหนดเวลาในการดําเนินมาตรการแตละ ขอ รุบะวาตองทําใหดําเนินการในระยะสั้น (ภายในหนึ่งป) หรือระยะกลางถึงยาว (2-3 ป หรือมากกวา) พรอมทั้งระบุ แผนกที่รับผิดชอบมาตรการเหลานั้น เมื่อระบุแผนกและระยะเวลาในฟอรม 7-2 แลว คุณสามารถใชฟอรมนี้ติดตาม ความคืบหนาในการดําเนินมาตรการที่ระบุ ดังที่ไดกลาวไวตอนตน ขั้นตอนนี้นั้นเปนมากกวางานเอกสาร แตเปนเรื่องที่ เจาของกิจการ (หรือผูบริหารระดับสูง)จะตองตัดสินใจในเรื่องการจัดการ โดยประสานงานกับทีม BCP ทีมผูบริหาร จะตองแสดงความเปนผูนําในการดําเนินกลบุทธความตอเนื่องทางธุรกิจ หุนสวนภายนอกทางธุรกิจนั้นอาจมีอิทธิพลอยางมากตอการดําเนินกิจการและกลยุทธความตอเนื่องทางธุรกิจของ บริษัท เมื่อคุณไมสามารถควบคุมหุนสวนทางธุรกิจได คุณควรจะทําอยาไรในการดึงหุนสวนทางธุรกิจมาเปนสวนหนึ่ง
31
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ของกลยุทธ เรื่องนี้ขึ้นอยูกับความสัมพันธทางธุรกิจ คุณอาจลดความเสี่ยงไดดวยวิธีการเหลานี้ ประการแรก คุณควร ตรวจสอบวาหุนสวนของคุณมีการรับมือกับภัยพิบัติอยูในระดับใดและ BCP เปนอยางไร พวกเขาสนใจเรื่องนี้หรือเปลา หรือวาไมสนใจเลย ถาสนใจ คุณควรจะพูดคุยแลกเปลี่ยนมาตรการการจัดการดานภัยพิบัติและ BCP กับหุนสวนของ คุณ จะดีมากหากสามารถนัดประชุมกันเปนระยะ จัดการประชุมรวม หรือฝกปฏิบัติรวมกัน
32
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ขั้นตอนที่ 8 การเตรียมพรอมดานการเงิน ในทางการเงินแลว คุณจะอยูรอดหรือไมถากิจกรรมตอง หยุดชะงักไปหนึ่งหรือสองเดือน ขั้นตอนนี้มุงใหคุณ ตระหนักถึงสภาพดานการเงินของบริษัทในกรณีฉุกเฉิน และเตรียมมาตรการที่เหมาะสมไวลวงหนาเพื่อหลีกเลี่ยง การลมละลายแมขาดรายไดไปชั่วคราว หากไมสามารถ ดําเนินกิจการได บริษัทยอมสูญเสียรายรับแตยังตอง รับภาระรายจายประจํา เชน เงินเดือน หรือ คาเชา หาก สถานประกอบการเสียหาย อาจจะจะตองเสียคาซอมแซม ในขั้นตอนนี้ใหคุณประมาณการณวาจะตองใชเงินเทาไหร หากบริษัทไดรับความเสียหายจากภัยพิบัติ และกําหนด มาตรการที่จะมาเติมเต็มความขาดแคลนนั้น องคประกอบหลักๆในการวิเคราะหดานการเงินของ บริษัทมีดังนี้ - ทราบวารายรับจะลดลงเทาไหรหากกิจการหยุดชะงัก - ประมาณการณวาจะตองใชเงินฟนฟูเทาไหรเพื่อใหสามารถกลับมาดําเนินกิจการได - ทราบวามีรายจายประจําเทาไหรในชวงที่กิจการหยุดชะงัก - คํานวณปริมาณเงินทุนทดแทนในสวนที่ขาด (สวนที่ 4) หมายเหตุ บริษัทควรจะมีเงินสดและเงินฝากสํารอง เทากับรายรับหนึ่งเดือนของบริษัท คุณสามารถประเมินสภาพทางการเงินของบริษัทโดยการกรอกฟอรม 8-1 (1) ตรวจสอบเงินทุนที่มีอยู คุณควรตรวจสอบวามีเงินทุนในมือที่สํารองไวหรือที่สามารถนํามาใชไดอยูเทาใด หากจําเปนตองใชในชวงที่กิจการ หยุดชะงัก กอนอื่นระบุปริมาณเงินทุนทั้งหมดที่มีลงในฟอรม 8-1 ตัวอยางของเงินทุนที่มีอยูไดแก เงินสด งานฝาก และ หลักทรัพยค้ําประกันระยะสั้น นอกจากนี้บริษัทอาจไดรับเงินทุนสวนตัวจากเจาของบริษัท ในขั้นตอนถัดไป คุณควร ตรวจสอบกรรมธรรมประกันภัยของบริษัทวาเปนกรรมธรรมประเภทไหน และคุมครองกรณีเกิดภัยพิบัติหรืออุบัติเหตุ ดังกลาวหรือไม และตรวจสอบดวยวามีขอบเขตการคุมครองเปนวงเงินเทาไหร คุณควรจะพึงตระหนักวา การจายเงิน ชดเชยตองใชเวลาระยะหนึ่งเนื่องจากตองมีตรวจสอบขอเท็จจริงและเจรจาตอรอง แถวสุดทายของฟอรม 8-1 แสดงปริมาณเงินทุนทั้งหมดที่มี (ก)
33
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 8-1 เงินทุนที่มี (ตัวอยาง) ชนิด เงินสดและเงินฝาก ประกันภัย เงินทุนที่มี (ก)
จํานวน 100,000 50,000 150,000
อื่นๆ อัคคีภัย/อุทกภัย/แผนดินไหว
(2) ประมาณการณคาฟนฟู ในขั้นตอนถัดไป ใหคุณประเมินรายจายที่บริษัทตองแบกรับซึ่งเปนผลจากภัยพิบัติในชวงที่กิจการหยุดชะงัก หลังจากที่ คุณไดประเมินความเสียหายและระยะเวลาการฟนคืนสภาพสําหรับทรัพยากรที่จําเปนไปแลวในขั้นตอนกอนๆ ใน ขั้นตอนนี้ใหคุณประเมินวาจะตองใชเงินเทาไหรในการซอมแซมและฟนฟูทรัพยากรเสียหายเหลานั้นซึ่งจําเปนตอการ กลับมาดําเนินกิจกรรมหลัก(PA) อีกครั้ง ประมาณการณคา ฟนฟูของทรัพยากรหลักแตละประเภทตามที่ระบุไวในฟอรม 8-2 ตัวอยาง ไดแก อาคาร เครื่องมือและเครื่องจักร สิ่งติดตรึง และสินคา ใหคุณระบุคาฟนฟูของทรัพยากรแตละ ประเภททั้งหมดตามที่ประเมิน แถวสุดทายของฟอรม 8-2 แสดงคาฟนฟูทั้งหมดตามการประเมิน (ข) ฟอรม 8-2 คาฟนฟู คาฟนฟู อาคาร เครื่องมือและเครื่องจักร สิ่งติดตรึง สินคา คาฟนฟูทั้งหมด (ข)
จํานวน
อื่นๆ
10,000 5,000 5,000 5,000 25,000
(3) สรุปรายจายประจํา แมในชวงที่กิจการหยุดชะงัก บริษัทยอมมีรายจายประจํา ซึ่งประกอบไปดวยรายจายคงที่ เชน เงินเดือน และคาเชา สถานที่และคลังสินคา และรายจายผกผันเชน การชําระหนี้ ในชวงที่กิจการหยุดชะงักคุณจะตองทราบปริมาณรายจาย ประจําทั้งหมดของบริษัทในหนึ่งเดือน ในฟอรม 8-3 ใหคุณใสรายจายและจํานวนรายจายทั้งหมด แถวสุดทายของ ตารางแสดงรายจายประจําทั้งหมด (ค)
34
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 8-3 รายจายประจํา รายจายประจํา เงินเดือน คาวัตถุดิบ/วัสดุอุปกรณ คาเชา อื่นๆ รายจายประจําทั้งหมด (ค)
จํานวน
อื่นๆ
(4) ประเมินสภาพการไหลเวียนเงินสด หลังจากปฏิบัติตามขั้นตอนที่ 1 2 และ 3 ขางตน คุณจะทราบปริมาณเงินทุนที่มีอยูทั้งหมด (ก) คาฟนฟู (ข) และ รายจายประจํา (ค) ใสจํานวนเหลานี้คงในฟอรม 8-4 เพื่อคํานวณงบดุล ถางบดุลติดลบแสดงวาบริษัทมีเงินุทนไมพอใน ปริมาณที่จําเปน ถาเปนบวก เปนไปไดสูงวาบริษัทจะมีเงินทุนพออยูรอดในภาวะหยุดชะงัก ฟอรม 8-4 ตารางสภาพทางการเงิน ปริมาณเงินทุนที่มีอยูทั้งหมด (ก) คาฟนฟู (ข) รายจายประจํา (ค) งบดุล (= ก-ข-ค) (5) วางมาตรการทางการเงิน ถางบดุลในฟอรม 8-4 ติดลบ (ซึ่งแสดงใหเห็นการขาดแคลนเงินทุน) บริษัทจะตองดําเนินมาตรการงานการเงินเพื่อ ทดแทนเงินทุนสวนที่ขาดไป คุณอาจจะตองเพิ่มเงินทุนโดยการกูจากทางธนาการ หรือตัดคาใชจายซ้ําซอนเพื่อลด รายจาย ในหลายกรณี รัฐบาลและหนวยงานทองถิ่นของรัฐไดจัดหาเงินกูดอกเบี้ยต่ําในกรณีภัยพิบัติใหกับSMEซึ่ง ไดรับผลกระทบทางการเงินจากภัยพิบัติ ดังนั้นจึงจําเปนตองศึกษาวามีโปรแกรมการชวยเหลือทางการเงินใดบางที่ บริษัทสามารถพึ่งพาได ฟอรม 8-5: มาตรการทางการเงิน (ตัวอยาง) มาตรการทางการเงิน (ตัวอยาง) กูจากธนาคาร 100,000 (ตัวอยาง) เงินกูบรรเทาภัยพิบัติ 150,000
จํานวน
รายละเอียด ตรวจสอบจํานวนทุกๆเดือนธันวาคม สมัครเมื่อเสียหายจากไตฝุน
35
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ขั้นตอนที่ 9 การฝกซอมเพื่อเพิ่มประสิทธิภาพให BCP ของคุณ ในขั้นตอนกอนหนา บริษัทของคุณไดจัดทําแผนกลยุทธ BCP ขึ้นมามากมาย ดานลางเปนคําถามที่เกี่ยวของกับ แผนการเหลานั้น คุณมั่นใจแคไหนที่จะตอบวา “ใช” -
พนักงานทุกคน(รวมถึงลูกคา) สามารถอพยพอยางรวดเร็วและปลอดภัยตรงตามแผนการอพยพของบริษัทได หรือไม พนักงานทุกคนสามารถโทรเขามาที่เบอรฉุกเฉินเพื่อยืนยันความปลอดภัยของตนไดหรือไม สมาชิกทีมศูนยปฏิบัติการฉุกเฉินสามารถมารวมตัวกันอยางรวดเร็วพรอมเพรียง ณ จุดนัดพบและรับผิดชอบ หนาที่ที่ไดรับมอบหมายไดหรือไม
การวางแผนกับการปฏิบัติจริงนั้นเปนคนละเรื่องกัน BCP ของบริษัทคุณควรจะใชการไดอยางมีประสิทธิภาพในกรณี ฉุกเฉินตามแผนที่วางไว การฝกซอมนั้นจะชวยใหแนใจวาแผนของบริษัทจะใชการไดอยางมีประสิทธิภาพและบรรลุ จุดประสงคที่วางไว การฝกซอมไมเพียงแตทดสอบประสิทธิภาพ แตยังชวยเพิ่มสมรรถภาพใหกับพนักงานผานการ ฝกอบรมใหมีความรูและความเชี่ยวชาญ ตัวอยางของการฝกซอมมีดังนี้ -
การซอมอพยพ: ทดสอบและฝกอพยพไปยังสถานที่ที่กําหนดอยางรวดเร็วและปลอดภัย การฝกซอมยืนยันความปลอดภัย: ทดสอบและฝกใหพนักงานโทรเพื่อยืนยันความปลอดภัยในกรณีฉุกเฉิน การฝกซอมรวมพลทีมศูนยปฏิบัติการฉุกเฉิน: ทดสอบและฝกใหทีมศูนยปฏิบัติการฉุกเฉินรวมตัวและปฏิบัติ หนาที่ตามมอบหมาย การฝกซอมกูคืนขอมูลสํารอง: ทดสอบและฝกซอมการกูคืนโดยการสํารองขอมูล การฝกซอมการเริ่มดําเนินกิจการใหมอีกครั้ง: ทดสอบและฝกซอมการเริ่มดําเนินกิจการใหมอีกครั้งหลักการ หยุดชะงัก การฝกซอมการปฏิบัติการ ณ ที่ตั้งใหม: ทดสอบและฝกซอมการเริ่มดําเนินกิจการอีกครั้ง ณ ที่ตั้งใหม
มีการฝกซอมหลายอยางที่สามารถนําไปใชได คุณควรดําเนินการฝกซอมทุกรูปแบบที่บริษัทเห็นวาจําเปนและสามารถ ทําได และควรทําใหการฝกซอมซับซอนและหลากหลายมากขึ้นเพื่อเพิ่มขีดความสามารถในการดําเนินธุรกิจอยาง ตอเนื่องของบริษัท ใหคุณใชฟอรม 9-1 จัดทําแผนการฝกซอมของบริษัท ผลการฝกซอมถือเปนสวนสําคัญในการหาขอบกพรองและปญหา เพื่อใหบริษัทสามารถปรับปรุงในสวนที่จําเปน
36
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 9-1 แผนการฝกซอม ประเภทการฝกซอม
เปาหมาย
กลุมเปาหมาย
วันที่
ผลการฝกซอม
37
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ขั้นตอนที่ 10 การทบทวนและพัฒนาอยางตอเนื่อง PDCA: การพัฒนาอยางตอเนื่อง แผนการดําเนินธุรกิจอยางตอเนื่องนั้นวาดวยความพยายามในระดับ บริษัทเพื่อที่จะเพิ่มขีดความสามารถของบริษัทในการฟนฟูกิจกรรมหลัก (PA) หลังจากการหยุดชะงักอันเนื่องมาจากภัยพิบัติ การพัฒนาขีด ความสามารถในระยะเวลาสั้นๆ นั้นไมงาย แตการปรับปรุงและพัฒนา อยางตอเนื่องก็ยังเปนเรื่องจําเปน เราสนับสนุนใหคุณใชวงจร PDCA (Plan, Do, Check, Act) เพื่อพัฒนา BCP ของบริษัทอยางตอเนื่อง คุณไดผานสองขั้นตอนแรก (Plan และ Do) จากสี่ขั้นตอนแลว ตอนนี้คุณ จะตองทําใหอีกสองขั้นตอนที่เหลืออันไดแก Check- การตรวจสอบและ ทบทวน และ Act-การรักษาไวและพัฒนา ใหสมบูรณ (1) ตรวจสอบและทบทวน BCP ของคุณ เพื่อให BCP ของบริษัทมีประสิทธิภาพสูงสุด คุณควรตรวจสอบและทบทวนกิจกรรมดาน BCP ของบริษัท ทั้งกอน ขณะและหลังเกิดเหตุ ในขั้นตอนนี้ ใหคุณใชฟอรม 10-1 เพื่อทบทวนทั้ง 10 ขั้นตอนใน Guidebook คุณควรถามคําถามตอไปนี้ในขณะที่ทบทวนแตละขั้นตอน - กิจกรรม BCP (ที่กําหนดและวางแผนแลว) มีประสิทธิผลหรือไม - มีเรื่องหรือปญหาที่ตองแกไขปรับปรุงหรือไม - มีความเปลี่ยนแปลงภายในหรือภายนอกอะไรที่ตองนํามาพิจารณานาหรือไม - มีเรื่องหรือกิจกรรมใดที่ไมไดอยูใน BCP แตควรอยูหรือไม
38
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 10-1 ฟอรมการทบทวน BCP ขั้นตอน รายการที่จะตองทบทวนและ ที่ ตรวจสอบ 1 กรอบ BCP, จุดประสงค, ขอบเขตุ , และสมาชิกทีม 2 กิจกรรมหลัก (PA) และ ระยะเวลา เปาหมายในการฟนคืนสภาพ (RTO) 3 ทรัพยากรสนับสนุนและทรัพยากร จําเปน 4 ความเสี่ยงแวดลอม และความ เสียหายที่คาดการณ 5 มาตรการปองกันและบรรเทาความ เสียหาย 6 การรับมือฉุกเฉิน, ศูนยปฏิบัติการ ฉุกเฉิน, การยืนยันความปลอดภัย, และการสื่อสารเกี่ยวกับความเสี่ยง 7 8
9 10
ฟอรมที่ ใชการได เกี่ยวของ อยูหรือไม 1-1 ได / ไมได 2-1 2-2 2-3 3-1
ได / ไมได ได / ไมได ได / ไมได ได / ไมได
4-1 4-2 5-1
ได / ไมได ได / ไมได ได / ไมได
6-1 6-2 6-3 6-4 มาตรการความตอเนื่องและการฟน 7-1 คืนสภาพ 7-2 การฝกฝนและอบรม 8-1 8-2 8-3 8-4 8-5 การหมุนเวียนเงินสดและมาตรการ 9-1 ทางการเงินในกรณีฉุกเฉิน การตรวจสอบ ทบทวนและ 10-1 ปรับปรุง 10-2
ความเปลี่ยนแปลง ทางธรุกิจ
ปญหาที่ตอง ทบทวน
ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได
ขั้นตอนการตรวจสอบและทบทวนนี้จะตองทําเปนระยะๆ อยางนอยปละหนึ่งครั้ง หากมีความเปลี่ยนแปลงทางธุรกิจใน บริษัท เชน เปลี่ยนบริษัทหุนสวน (ผูสงวัตถุดิบ หรือผูจําหนาย) เปลี่ยนธุรกิจหลักๆ (สินคาหรือบริการ) เปลี่ยนระบบ IT เกิดการควบรวมกิจการ เปลี่ยนสถานที่ตั้ง เปนตน คุณควรใสใจผลของความเปลี่ยนแปลงเหลานี้ คุณอาจไมได คํานึงถึงปจจัยเหลานี้หรือไมไดนํามาทบทวนขณะที่จัดทํา BCP ดังนั้นคุณอาจจะตองทบทวนและเปลี่ยนแปลงกิจกรรม BCP ตามความเหมาะสม คุณจําเปนจะตองทบทวน BCP เปนระยะเพื่ออัพเดต BCP การทบทวนภายในมักจะเปน หนาที่ของทีมผูนํา BCP แผนกหลัก และแผนกตรวจสอบภายใน
39
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
(2) การทบทวนการจัดการ นอกเหนือจากขั้นตอนการทบทวนและตรวจสอบขางตนแลว ผูบริหารระดับสูงจะตองริเริ่มผลักดันใหมีการทบทวน BCP ของบริษัทอยางนอยปละหนึ่งครั้ง เพื่อใหแนใจวา BCP ของบริษัทนั้นมีการจัดการที่มีประสิทธิภาพและเปนไปตาม วงจร PDCA ฟอรม 10-2 เปนฟอรมสําหรับการทบทวนการจัดการ ซึ่งถือเปนตัวกระตุนวงจร PDCA ที่ดี ฟอรม 10-2 ตารางทบทวนการจัดการ สิ่งที่ตองตรวจสอบและทบทวน
ผูรับผิดชอบ
กําหนดเวลา
ผูบริหารระดับสูง
40
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ภาคผนวก ฟอรมเปลา ...........................................................................................................................................................................................41 ฟอรม 1: กรอบ BCP ...............................................................................................................................................................41 ฟอรม 2-1: ตารางเปรียบเทียบระดับผลกระทบ .........................................................................................................................42 ฟอรม 2-2: ระยะเวลาสูงสุดในการทนรับภาวะหยุดชะงัก (MTPD)............................................................................................43 ฟอรม 2-3: กิจกรรมหลัก (PA) และระยะเวลาเปาหมายในการฟนคืนสภาพ (RTO) ...................................................................43 ฟอรม 3-1: ทรัพยากรที่จําเปนตอกิจกรรมหลัก (PA) ................................................................................................................44 ฟอรม 4-1: ตารางเปรียบเทียบผลกระทบความเสี่ยงและความเปนไปไดของภัยพิบัติ .................................................................45 ฟอรม 4-2: ตารางประมาณการณความเสียหายของทรัพยากร ..................................................................................................46 ฟอรม 5-1: มาตรการปองกันและบรรเทาความเสียหายที่เกิดกับทรัพยากรสําคัญ ......................................................................47 ฟอรม 6-1: แผนการอพยพและชวยชีวิต ...................................................................................................................................48 ฟอรม 6-2: ศูนยปฏิบัติการฉุกเฉิน ...........................................................................................................................................49 ฟอรม 6-3: รายชื่อติดตอยามฉุกเฉิน ........................................................................................................................................50 ฟอรม 6-4: ขอมูลติดตอหนวยงานภายนอก ..............................................................................................................................51 ฟอรม 6-5: รายการสิ่งของกักตุนในชวงภัยพิบัติ .......................................................................................................................52 ฟอรม 6-6: ฟอรมสํารวจความเสียหาย .....................................................................................................................................53 ฟอรม 7-1: สรุปกลยุทธความตอเนื่องทางธุรกิจ ........................................................................................................................54 ฟอรม 7-2: ตารางวางแผนกลยุทธความตอเนื่องทางธุรกิจ ........................................................................................................55 ฟอรม 8-1: เงินทุนที่มี ..............................................................................................................................................................56 ฟอรม 8-2: คาฟนฟู .................................................................................................................................................................56 ฟอรม 8-3: รายจายประจํา .......................................................................................................................................................57 ฟอรม 8-4: ตารางสภาพทางการเงิน.........................................................................................................................................57 ฟอรม 8-5: มาตรการทางการเงิน .............................................................................................................................................58 ฟอรม 9-1: แผนการฝกซอม.....................................................................................................................................................59 ฟอรม 10-1: ฟอรมการทบทวน BCP .......................................................................................................................................60 ฟอรม 10-2 ตารางทบทวนการจัดการ ......................................................................................................................................61 BCP Checklist .....................................................................................................................................................................................62
41
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
อรมเปลา ฟอรม 1: กรอบ BCP เปาหมายของ BCP ปกปองชีวิตคน
ปกปองกิจกรรมทางธุรกิจ
ฟนฟูไปพรอมกับชุมชนทองถิ่น
ขอบเขตของ BCP หนวยงาน/แผนกที่จะจัดทําBCP
ผูนําและทีมงาน BCP ผูนํา BCP
สมาชิกทีม BCP
42
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 2-1: ตารางเปรียบเทียบระดับผลกระทบ แผนกที่รับผิดชอบสินคา/บริการ
ระดับผลกระทบ ผลกระทบภายนอก ผลกระทบภายใน
43
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 2-2: ระยะเวลาสูงสุดในการทนรับภาวะหยุดชะงัก (MTPD) แผนกที่รับผิดชอบสินคา/ บริการ
ระยะเวลาสูงสุดในการทนรับภาวะหยุดชะงัก (MTPD)
~3 วัน
~1 สัปดาห
~2 สัปดาห
~1 เดือน
~2 เดือน
~3 วัน
~1 สัปดาห
~2 สัปดาห
~1 เดือน
~2 เดือน
~3 วัน
~1 สัปดาห
~2 สัปดาห
~1 เดือน
~2 เดือน
~3 วัน
~1 สัปดาห
~2 สัปดาห
~1 เดือน
~2 เดือน
~3 วัน
~1 สัปดาห
~2 สัปดาห
~1 เดือน
~2 เดือน
ฟอรม 2-3: กิจกรรมหลัก (PA) และระยะเวลาเปาหมายในการฟนคืนสภาพ (RTO)
กิจกรรมหลัก (PA)
ระยะเวลาเปาหมายใน การฟนคืนสภาพ (RTO)
ระยะเวลา เปาหมายในการ ฟนคืนสภาพ (RTO)
44
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 3-1: ทรัพยากรที่จําเปนตอกิจกรรมหลัก (PA) ทรัพยากรที่จําเปนตอกิจกรรมหลัก (PA) ประเภททรัพยากร อาคาร อุปกรณ/ เครื่องจักร สินคา ทรัพยากรภายใน
คน ระบบ IT เงินทุน อื่นๆ: ไฟฟา แกส
สาธารณูปโภคที่ จําเปน
ประปา โทรศัพท/การสื่อสาร คมนาคม/ ถนน อื่นๆ: ผูสงวัตถุดิบโดยตรง
วัตถุดิบ
ผูสงวัตถุดิบรายยอย 1, 2 ลูกคา อื่นๆ
รายการ
45
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 4-1: ตารางเปรียบเทียบผลกระทบความเสี่ยงและความเปนไปไดของภัยพิบัติ ความเสี่ยง
ผลกระทบ
ความเปนไปได
ลําดับความสําคัญ
สูง
กลาง
ต่ํา
สูง
กลาง
ต่ํา
สูง
กลาง
ต่ํา
สูง
กลาง
ต่ํา
สูง
กลาง
ต่ํา
สูง
กลาง
ต่ํา
ระยะเวลาฟนตัวที่คาดการณไว
ความเสี่ยง วัน ความเสียหาย
วัน (แสดงเปนกราฟ) วัน 3
สัปดาห 1 สัปดาห 2
เดือน 1
เดือน 2
3 เดือน
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง
ความเสียหายที่คาดไว ทรัพยากรที่จําเปนตางๆ อาคาร อุปกรณ/ เครื่องจักร สินคา ทรัพยากรภายใน คน ระบบ IT เงินทุน อื่นๆ: ไฟฟา แกส ประปา สาธารณูปโภค โทรศัพท/ ที่จําเปน การสื่อสาร คมนาคม/ ถนน อื่นๆ: ผูสงวัตถุดิบโดยตรง ผูสงวัตถุดิบรายยอย 1, 2 วัตถุดิบ ลูกคา อื่นๆ
ตองมี มาตรการ
46
ฟอรม 4-2: ตารางประมาณการณความเสียหายของทรัพยากร
วัตถุประสงค
มาตรการ
แผนการปฏิบัติ
กําหนดการนําไปปฏิบัติจริง ทันที
ภายใน 1 ป
ระยะ กลาง- ยาว
แผนกที่รับผิดชอบ
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง
ทรัพยากร
47
ฟอรม 5-1: มาตรการปองกันและบรรเทาความเสียหายที่เกิดกับทรัพยากรสําคัญ
48
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 6-1: แผนการอพยพและชวยชีวิต
แผนก/โรงงาน
สถานที่อพยพ (จุดรวมพล)
ผูนํา
ผูรับผิดชอบ: ผูชวย:
ผูชวยเหลือและปฐมพยาบาล
ผูรับผิดชอบ: ผูชวย:
โรงพยาบาล
(ชื่อ, ที่อยู, เบอรโทรศัพท)
49
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 6-2: ศูนยปฏิบัติการฉุกเฉิน หนาที่
แผนก/ ชื่อ
เบอรติดตอ
ที่อยู
เบอรติดตอ
หัวหนา (และรอง)
วิเคราะหและวางแผน
สมาชิก
รวบรวมขอมูล ลงพื้นที่ (ควบคุมสถานการณ กูภัยและปฐม พยาบาล ยืนยันความปลอดภัยของ พนักงาน ดูแลดานอนามัย ลอจิสติกส) ประชาสัมพันธ
เกณฑการเรียก รวมพลเกณฑการ เรียกรวมพล ลําดับ ความสําคัญ 1 ที่รวมพล (และที่ตั้งสํารอง)
2 3
ที่ปฏิบัติการ
50
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 6-3: รายชื่อติดตอยามฉุกเฉิน แผนก
ชื่อ
เบอรโทร
อีเมลล
สถานะความ ปลอดภัย (ระบุ ในกรณีฉุกเฉิน)
51
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 6-4: ขอมูลติดตอหนวยงานภายนอก หุนสวนภายนอก
ชื่อ
เบอรโทรศัพท
อีเมลล
สถานะ (ระบุหลังเกิดเหตุ)
52
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 6-5: รายการสิ่งของกักตุนในชวงภัยพิบัติ ประเภท อาหาร/น้ํา เครื่องอุปโภค
ยารักษาโรค เครื่องมือ
อุปกรณชวยเหลือในการสงคนกลับ บาน การหาขอมูลและการสื่อสาร
อื่นๆ
สิ่งของ น้ําดื่ม เสบียงอาหาร อุปกรณรักษาสุขอนามัย (ทิชชู, ทิชชู เปยก, กระดาษชําระ เปนตน) ภาชนะ เครื่องใชในครัว สุขาเคลื่อนที่ ถุงพลาสติก, เทป ผาหม, ถุงนอน แกสถัง และเตา หมอและกาตมน้ํา ฮีทเตอรพกพา ฮีทเตอรน้ํามัน, น้ํามัน ชุดปฐมพยาบาล เปลพยาบาล เครื่องมือชาง (ชะแลง, คีม, คอน, พลั่ว, เทปผา, บันไดพับ) ผาพลาสติก, ผาใบกันน้ํา ถังขยะ, ถังน้ํา เสื้อกันฝน แผนที่ วิทยุ, ถาน ที่ชารตโทรศัพท ลําโพง เครื่องปนไฟ, เชื้อเพลิงเครื่องปนไฟ
จํานวนที่ตองเตรียม 3 ลิตรตอคน สําหรับ 3 วัน อาหารสําหรับ 3 วันตอคน 3 วัน เหมาะกับจํานวนคน 3 วัน เทากับจํานวนคน เทากับจํานวนคน 3 วัน อยางละ 3 จํานวนสําหรับ 3 วันตอคน เทากับจํานวนคน 3 อยางละ 3 3 ผืน (10ม X 10ม) อยางละ 3 เทากับจํานวนคน เทากับจํานวนคน อยางละ 3 รุนละ 3 ชิ้น 3 เชื้อเพลิงปริมาณ 2 หนวยสําหรับ 3 วัน
53
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 6-6: ฟอรมสํารวจความเสียหาย สถานที่ที่สํารวจ อาการบาดเจ็บ
ความเสียหายของอาคาร
ความเสียหายของ ทรัพยสิน
ความเสียหายของ สาธารณูปโภค
สถานการณโดยรอบ
ผูบาดเจ็บ
ชื่อ:
สภาพภายนอก
มาก / ปานกลาง / นอย / ไมมี
สภาพภายใน
มาก / ปานกลาง / นอย / ไมมี
เขาไดอยางปลอดภัย
ได / ไมได
เครื่องมือ
(จํานวน /อุปกรณที่เสียหาย)
อุปกรณสื่อสาร
(จํานวน /อุปกรณที่เสียหาย)
อุปกรณIT
(จํานวน /อุปกรณที่เสียหาย)
สิ่งติดตรึง
(จํานวน /สิ่งที่เสียหาย)
ยานพาหนะ
(จํานวน /พาหนะที่เสียหาย)
ไฟฟา
ใชการได / ใชการไมได
แกส
ใชการได / ใชการไมได
ประปา
ใชการได / ใชการไมได
โทรศัพทพื้นฐาน
ใชการได / ใชการไมได
บริการโทรศัพทมือถือ
ใชการได / ใชการไมได
อินเตอรเน็ต
ใชการได / ใชการไมได
อัคคีภัย
มี / ไมมี
อื่นๆ
ความตอเนื่องทางธุรกิจ
ชะงัก) / ไมชะงัก(
ผูติดตอ
(ผูบาดเจ็บ)
อื่นๆ
54
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 7-1: สรุปกลยุทธความตอเนื่องทางธุรกิจ ความสําคัญ
โครงรางกลยุทธ
กิจกรรมการฟนฟู
ทรัพยากรที่จําเปน
กลยุทธที่ :1ดําเนินกิจกรรมหลักอีกครั้ง ณ สถานที่ตั้งเดิมซึ่งไดรับความเสียหาย
กลยุทธที่ 2: ดําเนินกิจกรรมหลักอีกครั้ง ณ สถานที่อื่น
กลยุทธที่ 3: ดําเนินกิจกรรมหลักอีกครั้งดวยวิธีการใหม
กลยุทธอื่นๆ :
หุนสวนภายนอกที่ จําเปน
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
55
ฟอรม 7-2: ตารางวางแผนกลยุทธความตอเนื่องทางธุรกิจ กิจกรรมหลัก ประเภท
ทรัพยากร อาคาร อุปกรณ/ เครื่องจักร สินคา
ทรัพยากร ภายใน
คน ระบบ IT เงินทุน อื่นๆ:
ไฟฟา/ประปา/ แกส สาธารณูปโภค โทรศัพท/การ สื่อสาร ที่จําเปน ถนน/การ คมนาคม ผูสงวัตถุดิบ หุนสวน ภายนอก
ลูกคา อื่นๆ
สิ่งที่ตองทํา/ ตองมี
โครงรางกลยุทธ ตองทําภายใน รายละเอียด ระยะ ระยะ มาตรการ กลางสั้น ยาว
แผนกที่ รับผิดชอบ
56
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 8-1: เงินทุนที่มี ชนิด
จํานวน
อื่นๆ
จํานวน
อื่นๆ
เงินทุนที่มี (ก)
ฟอรม 8-2: คาฟนฟู คาฟนฟู
คาฟนฟูทั้งหมด (ข)
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
57
ฟอรม 8-3: รายจายประจํา รายจายประจํา
รายจายประจําทั้งหมด (ค)
ฟอรม 8-4: ตารางสภาพทางการเงิน ปริมาณเงินทุนที่มีอยูทั้งหมด (ก) คาฟนฟู (ข) รายจายประจํา (ค) งบดุล = (ก-ข-ค)
จํานวน
อื่นๆ
58
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 8-5: มาตรการทางการเงิน มาตรการทางการเงิน
จํานวน
รายละเอียด
59
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 9-1: แผนการฝกซอม ประเภทการฝกซอม
เปาหมาย
กลุมเปาหมาย
วันที่
ผลการฝกซอม
60
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 10-1: ฟอรมการทบทวน BCP ขั้นตอน ที่
รายการที่จะตองทบทวนและ ตรวจสอบ
ฟอรมที่ เกี่ยวของ
ใชการได อยูหรือไม
1
กรอบ BCP, จุดประสงค, ขอบเขตุ, และสมาชิกทีม กิจกรรมหลัก (PA) และ ระยะเวลาเปาหมายในการฟน คืนสภาพ (RTO) ทรัพยากรสนับสนุนและ ทรัพยากรจําเปน ความเสี่ยงแวดลอม และ ความเสียหายที่คาดการณ มาตรการปองกันและบรรเทา ความเสียหาย การรับมือฉุกเฉิน, ศูนย ปฏิบัติการฉุกเฉิน, การยืนยัน ความปลอดภัย, และการ สื่อสารเกี่ยวกับความเสี่ยง มาตรการความตอเนื่องและ การฟนคืนสภาพ การฝกฝนและอบรม
1-1
ได / ไมได
2-1 2-2 2-3 3-1
ได / ไมได ได / ไมได ได / ไมได ได / ไมได
4-1 4-2 5-1
ได / ไมได ได / ไมได ได / ไมได
6-1 6-2 6-3 6-4 7-1 7-2 8-1 8-2 8-3 8-4 8-5 9-1
ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได ได / ไมได
10-1 10-2
ได / ไมได ได / ไมได
2
3 4 5 6
7 8
9
10
การหมุนเวียนเงินสดและ มาตรการทางการเงินในกรณี ฉุกเฉิน การตรวจสอบ ทบทวนและ ปรับปรุง
ความเปลี่ยนแปลง ทางธรุกิจ
ปญหาที่ตอง ทบทวน
61
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
ฟอรม 10-2 ตารางทบทวนการจัดการ สิ่งที่ตองตรวจสอบและทบทวน
ผูรับผิดชอบ
กําหนดเวลา
ผูบริหารระดับสูง
62
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP)
BCP Checklist ลําดับ 1 2 3 4 5 6 7 8 9
10 11
12 13 14 15 16 17 18 19
คําถาม มีการแตงตั้งผูจัดการดาน BCP และมีการจัดสรรงบประมาณให กิจกรรม BCP เปาประสงค ขอบเขต และผูนํา BCP เปนที่ทราบโดยทั่วกันในบริษัท ผูบริหารระดับสูงแสดงความเปนผูนําและแสดงความทุมเทในกิจกรรม ดาน BCP ใหเปนที่ประจักษแกพนักงาน บริษัททราบวาจะเกิดผลอยางไรหากกิจการตองหยุดชะงักไปหนึ่ง สัปดาห หรือหนึ่งเดือน บริษัททราบวาจะตองกลับมาดําเนินกิจการใหไดชาเร็วเพียงใดหลังการ หยุดชะงักเพื่อหลีกเหลี่ยงผลกระทบรายแรงตอความอยูรอดของบริษัท บริษัทไดกําหนดธุรกิจหลักที่จะตองฟนฟูสภาพเปนลําดับตนๆ บริษัทไดกําหนดทรัพยากร หรือสาธารณูปโภคภายนอกที่สําคัญ ที่อาจ เปนอุปสรรคตอการฟนฟูกิจการแลว บริษัทไดระบุวัตุดิบหรือชิ้นสวนประกอบจําเปนที่มาจากผูสงวัตถุดิบ รายเดียว บริษัทไดคนควาเกี่ยวกับประวัติการเกิดภัยพิบัติและขอมูลดานความ เสี่ยง (เชนแผนที่ภัยพิบัติ) ซึ่งรัฐบาลทองถิ่นหรือหนวยงานราชการ ตีพิมพเผยแพร บริษัทสามารถรับความเสียหาย (ในระดับสูง) จากภัยพิบัติที่มีความ เปนไปไดสูงที่จะเกิดขึ้นได บริษัทไดระบุทรัพยากรจําเปนที่อาจจะไดรับความเสียหายรุนแรงหาก เกิดภัยพิบัติขางตน(ขอ 10)แลว เนื่องความเสียหายของทรัพยากรหลัก อาจเปนอุปสรรคตอการฟนฟูกิจการ บริษัทมีแผนปองกันและบรรเทาภัยพิบัติเพื่อดูแลความปลอดภัยและ สวัสดิภาพของพนักงานจากภัยพิบัติที่คาดวาจะเกิดขึ้น บริษัทมีแผนปองกันและมาตรการบรรเทาภัยพื่อปกปองทรัพยสินจาก ภัยพิบัติ (แผนดินไหว อุทกภัย ไตฝุน) และอุบัติเหตุ บริษัทมีการเตรียมรายการติดตอในยามฉุกเฉินใหพนักงาน บริษัทจัดทํากรอบการทํางานของศูนยปฏิบัติการฉุกเฉินแลว เชน จุด รวมพล สมาชิก เกณฑการเรียกรวมพล บริษัทมีขอมูลติดตอของลูกคา หุนสวนธุรกิจ และเจาหนาที่รัฐ บริษัททําการสํารองขอมูลเปนระยะ บริษัทมีสถานที่ทํางานสํารองกรณีสํานักงานใหญหรือที่ตั้งกิจการหลัก ไมสามารถใชการได บริษัทไดเตรียมอุปการณสํารอง(และทรัพยากรอื่นๆ) กรณีที่อุปกรณ หลักใชการไมได
ขั้นตอน ที่ ไม 1 0
คําตอบ บางสวน ใช 2 4
1 1
0 0
2 2
4 4
2
0
2
4
2
0
2
4
2 3
0 0
2 2
4 4
3
0
2
4
4
0
2
4
4
0
2
4
4
0
2
4
5
0
2
4
5
0
2
4
6 6
0 0
2 2
4 4
6 7 7
0 0 0
2 2 2
4 4 4
7
0
2
4
63 20
21 22 23 24 25 26 27 28
คูมือการจัดทําแผนการดําเนินธุรกิจอยางตอเนื่อง (BCP) บริษัททราบสถานะการบริหารจัดการดานภัยพิบัติและแผนการดําเนิน ธุรกิจอยางตอเนื่องของผูจัดสงวัตถุที่จัดสงวัตุดิบหลักแลวชิ้นสวน สําคัญ บริษัททราบวายังขาดเงินทุนอีกเทาไหรในกรณีที่กิจการตองหยุดชะงัก ไปหนึ่งเดือน บริษัทไดสํารวจแลววารัฐบาลทองถิ่นและหนวยงานรัฐอื่นๆมีโปรแกรม ชวยเหลือดานภัยพิบัติใดบาง บริษัทไดสํารองเงินสดไวในกรณีภัยพิบัติเปนจํานวนเทากับรายรับหนึ่ง เดือน บริษัทมีการซอมอพยพเปนระยะ บริษัทมีการฝกซอมเพื่อทดสอบวาสามารถกูขอมูลจากแหลงสํารอง ขอมูลได บริษัทมีการฝกซอมรวมพลศูนยปฏิบัติการฉุกเฉิน บริษัททบทวนแผนการจัดการภัยพิบัติและ BCP และปรับปรุง มาตรการตางๆเปนระยะ ฝายบริหารระดับสูงมีสวนรวมอยางเต็มที่ในการวิเคราะหทบทวน กิจกรรมดาน BCP
7
0
2
4
8
0
2
4
8
0
2
4
8
0
2
4
9 9
0 0
2 2
4 4
9 10
0 0
2 2
4 4
10
0
2
4
ระดับ BCP ของคุณ คะแนนรวม บริษัทของคุณไมสามารถรับมือกับภัยพิบัติและอุบัติเหตุตางๆได หากเกิดภัยพิบัติ เปนไปไดสูงวา 0-36 บริษัทจะเสียหายรุนแรงและธุรกิจอาจหยุดชะงักเปนระยะเวลานาน บริษัทควรทราบวามีภัยคุกคาม อะไรบางและควรดําเนินการอยางไรเพื่อลดความเสียหายจากภัยนั้นใหเหลือนอยที่สุด บริษัทของคุณทราบถึงความเสี่ยงที่อาจเผชิญและไดดําเนินมาตรการรับมือไปบางแลว แตอาจไมมี 37-74 ประสิทธิผลมากนัก บริษัทยังมีโอกาสเสียหายรุนแรงเนื่องจากความบกพรองของกิจกรรม BCP ควรใหความสําคัญกับ BCP เปนลําดับตนๆ เพื่อให BCP มีประสิทธิภาพมากขึ้น บริษัทของคุณมี BCP ที่เกือบจะเสร็จสมบูรณแลว และมีมาตรการที่นาจะมีประสิทธิภาพหากตอง เผชิญกับความเสี่ยงในระดับที่คาดการณไว ใหคุณดําเนินการตามวงจร PDCA ตอไปเพื่อ พัฒนาการเตรียมการเพื่อความตอเนื่องทางธุรกิจ และเพื่อใหแนใจวาคุณจะสามารถรับมือกับ เหตุการณหรือภัยพิบัติที่ไมไดคาดคิดไดอยางมีประสิทธิภาพ
75-112
Asia-Pacific Economic Cooperation
Guidebook on SME Business Continuity Planning
APEC Small and Medium Enterprise Working Group (SMEWG) August 2013
02
BCP Guidebook 2013
Guidebook on SME Business Continuity Planning 0. How to Use This Guidebook.................................................03 1. Introduction...........................................................................03 2. Warm Up................................................................................03 3. BCP Framework....................................................................05
Step 1 Determine BCP Purpose, Scope, and Team........................05
4. Your Lifeline Businesses and the Threatening Risks...........06
Step 2 Prioritized Activities (PA) and Recovery Time Objective (RTO)........................................................................................07 Step 3 What Do You Need to Resume Key Activities?....................09 Step 4 Risk Assessment – Know Your Disaster Scenarios..................10
5. Your Survival Strategies........................................................14 Step 5 Do Not Forget Pre-Disaster Protection and Mitigation........15 Step 6 Emergency Response to Disaster..........................................17 Step 7 BC Strategies to Early Resumption.........................................24 Step 8 Be Financially Prepared..........................................................28 Step 9 Exercise Makes Your Plan Functional....................................31
6. PDCA: Continuous Improvement........................................32 Step 10 Ongoing Review and Improvement...................................32
Appendix..................................................................................35
1. Blank Forms......................................................................................36 2. BCP Checklist...................................................................................57
03
BCP Guidebook 2013
0. How to Use This Guidebook
This Guidebook is intended to help small and medium-sized enterprises (SME) introduce business continuity plan (BCP). It presents 10 easy steps that SME readers can follow to develop their own BCP. In each step, forms have been prepared to assist readers. You should fill in those forms to suit the needs of your company. When you finish all the forms, you will have a complete business continuity plan for your company. There is one important point you should remember: introducing BCP is not a simple matter of drafting a business continuity plan on paper. Adopting BCP is a decision making by a business owner to protect their company from various disasters and accidents and to enhance their company’s ability to survive by carrying out planned continuity strategies. Let’s proceed with this in mind.
1. Introduction
Every business owner wants to expand their business, protect their employees, and contribute to society by supplying their products or services. You, as a business owner, have to protect your business not only on a fine day but also on a rainy day and even on a stormy day. You have to successfully compete in a tough market under ordinary circumstances, but also need resilience if you are to successfully survive a crisis such as a natural disaster or a fire. You do not want to see your business destroyed by a disaster, accident, terrorist attack, or other incident. Is your company prepared for disasters? “Failing to prepare is preparing to fail” said Benjamin Franklin. If you have not prepared for such incidents, you are (unconsciously) preparing for failure when a disaster or accident strikes. Business continuity plan (BCP) is the solution for protecting your business during a crisis.
2. Warm Up
Consider the simple example of a traffic accident. Even if you always try to drive safely, there is no 100% guarantee that you will be able to avoid a traffic accident. What is the disaster (or worst-case) scenario for a traffic accident? One in which you, the driver, are killed or sustain a severe injury that causes permanent disability and keeps you from returning to life as you knew it before. What is the disaster scenario for your company in a disaster? Your company would be fatally wounded if critical resources sustain devastating damage that would force you to give up on recovery (death scenario). Or your company might sustain severe damage that would cause an extensive disruption in your business. As a result, you might lose important customers and be forced to scale down your operations (permanent disability scenario). These are the worst-case scenarios that your company should avoid at all costs. But if you are lucky and only sustain minor injuries in a traffic accident, you will be able to recover in a short period of time and return to normal life. Likewise, the better scenario for your company is to keep damage contained to a low
04
BCP Guidebook 2013
level such that it would be able to resume operations at a normal or higher level of functionality in a short period of time. This is your survival scenario. BCP is all about your company’s ability to achieve its survival scenario. Here are some warm-up questions to get you started! Q1: What is your company's disaster scenario that might lead to bankruptcy? Q2: How soon does your company have to recover to survive from a disasterrelated disruption? Q3: What are the critical resources whose availability determines the life or death of your company? Q4: Within 5 to 10 years, what kinds of disasters and accidents are most likely to impact you, potentially triggering a worst-case scenario? Were you able to answer the above questions easily? If not, don't worry, this Guidebook is here to help you. But if you were, you already have a mindset prepared for BCP. This Guidebook will guide you through 10 easy steps to build your company’s Business Continuity Plan (BCP) program. These 10 steps are based on the International Standard ISO22301, for Business Continuity Plan. 10 Steps for BCP Step 1
Determine BCP Purpose, Scope, and Team
Step 2
Prioritized Activities (PA) and Recovery Time Objective (RTO)
Step 3
What Do You Need to Resume Key Activities?
Step 4
Risk Assessment – Know Your Disaster Scenarios
Step 5
Do Not Forget Pre-Disaster Protection and Mitigation
Step 6
Emergency Response to Disaster
Step 7
BC Strategies to Early Resumption
Step 8
Be Financially Prepared
Step 9
Exercise Makes Your Plan Functional
Step 10
Ongoing Review and Improvement
05
BCP Guidebook 2013
3. BCP Framework
When you start BCP planning, you need to create a solid foundation (or framework) for your company’s BCP program by addressing these three elements: 1) Purpose: Why is your company introducing BCP? 2) Scope: Which parts of your company will introduce BCP? 3) Leader: Who will serve as leader of your BCP activities? It is very important that not only top management show visible strong leadership, but also that all employees are fully aware of the BCP framework (purpose, scope, and leader).
Step 1 Determine BCP Purpose, Scope, and Team (1) Purpose You should make the purpose clear as to why your company is going to introduce BCP. BCP is to protect your business operation from disasters and accidents. Your clear purpose will be a very important criterion in determining priorities of your key products or services and selections of your business continuity strategies. What is your BCP purpose? The first priority is to protect people, your employees and visitors to your premises. The second is to protect your business, fulfilling your contractual obligations to your customers and users, meeting social responsibility and contributing to the local society and economy. It will secure employment and protect employees’ livelihoods. (2) Scope The question is which section(s) of your company would you want to introduce BCP? You can limit the scope to key sections (or departments) which introduce BCP. For example, you can select the main factory which manufactures the company’s top brand product or NO.1 shop which sells most. You can decide the scope of the BCP based on your business needs and own circumstances. You have to include the core sections which are very critical to your company's survival. (3) BCP Leader You need to appoint a BCP leader who takes the initiative in company-wide BCP activities. BCP leaders should be given authority and responsibility, which are necessary to carry out his or her role. BCP is the company-wide activities that require active participation and cooperation from the relevant sections. It is desirable to nominate a person who is widely trusted in the company. If the company size requires it, a support team should be selected to work under the direction of the BCP leader. Management need to ensure the necessary resources, including a budget which is available for the BCP leader and team to carry out their duties. The SME owner (senior management) should demonstrate a visible commitment to BCP activities and should know that only verbal instructions are not enough to achieve successful results.
06
BCP Guidebook 2013
Fill in Form 1 regarding your company’s BCP framework. Form 1 BCP Framework BCP Purpose Protect People
Protect Business Activities
Recover with Local Community
BCP Scope Departments to introduce BCP
BCP Leader and Team BCP Leader
BCP Team Members
4. Your Lifeline Businesses and the Threatening Risks
The purpose of BCP is to protect your company and business operations even when a disaster or accident occurs and disrupts operations. First, you will focus only on your company’s operations. Of your various business activities, which are your company’s lifeline (or critical) businesses? Which business activities should be given top priority for recovery if disrupted by a disaster? What resources are necessary to keep those lifeline businesses operating? Without those resources, the company’s top priority activities will not be able to be resumed. Second, consider the risks to your company. What kinds of risks, such as natural disasters or accidents, are most likely to seriously damage the company’s assets, businesses, and supporting resources? In this chapter, you will gain a renewed understanding of your company’s operations by looking at these two elements: lifeline (critical) business activities and the risks that threaten them.
07
BCP Guidebook 2013
Step 2 Prioritized Activities (PA) and Recovery Time Objective (RTO) In Step 2, you will consider what is your company’s lifeline product or service? Which product or service should be recovered (be delivered) as the first priority when a natural disaster (or an accident) disrupts the company’s operations? Which business activity makes a top selling product? Which shop sells most in your company? Those critically important business activities are called Prioritized Activities (PAs). You have to identify the Prioritized Activities of your company. As the second step, you should know the impact (timeline) of total disruption to the main activities listed. How soon would the total disruption of these activities become unacceptable to your company? (This period is called Maximum Tolerable Period of Disruption / MTPD). What must be done to get your business operational again in the shortest possible timeframe, before heading towards exiting the business or filing for bankruptcy? The importance of this simple analysis is to focus only on the impacts of disruption, setting aside risk factors. By disregarding risk factors, such as occurrence probability and severity of damage, during the process of analyzing your business and identifying Prioritized Activities, you will gain a clearer understanding of how soon your company has to resume operations to avoid bankruptcy. Start by assessing the impacts of your company’s main business activities when those are disrupted by a natural disaster or accident. Enter your company’s business activities (product/service lines) in the left column of Form 2-1. You will compare the importance of the activities listed. The level of importance of each business activity (product/service line) should be rated using two criteria: external and internal impacts. First rate the external impacts, those which might affect customers, users, and society at large. How seriously might your customers, users, the environment, or society at large be impacted if your product or service were to stop being delivered? How long will your customers willingly wait for you to resume operations? How soon might your key customers switch to another provider? If you deliver certain types of products, such as medical supplies, the disruption of such deliveries could threaten the lives of end users. Rate the degree of the external impact as large (L), medium (M) or small (S), using your subjective judgment to determine the relative differences between those three levels. Internal impacts should be reviewed based on various criteria such as financial status (e.g. cash flow), operational problems, and the reputation of the company. When the production line of product A is shut down, how serious of an impact will it have, over time, on the company’s revenue? If your top brand service is suspended, what level of impact might it have on the company's cash flow? Rate the degree of the internal impact as large (L), medium (M) or small (S). Next, you should know the timeline of the impact of a total disruption. How soon would a total disruption in those activities become unacceptable to your company? This period is called the Maximum Tolerable Period of Disruption, or
08
BCP Guidebook 2013
MTPD. This is the very latest time at which your company would have to resume the listed activities before reaching a worst-case scenario that would end in bankruptcy. Enter the listed activities in Form 2-2 (left column). Consider the MTPD for each activity listed and select one of the five columns showing periods of time (3 days, 1 week, 2 weeks, 1 month, 2 months or more). Determine the period by which each listed activity has to be resumed. For example, if the first activity’s MTPD is one month, place a checkmark ( ) in the "1 month" column. If you have to restore delivery to a key customer within 2 weeks, write "2 weeks" in the rightmost column entitled Recovery Time Objective (RTO). Repeat this process for all listed activities. Now that you have analyzed and evaluated the internal and external impacts and identified the Recovery Time Objective of the main activities of your company, you will select and identify your company’s Prioritized Activities and set Recovery Time Objective (RTO) from a company-wide perspective in Form 2-3. Your company may select one or more PA(s) depending on your business operations. Form 2-1 Impact Level Comparison Chart Impact Levels
Departments Handling Each Product/Service
External Impact
Internal Impact
Product / Service A
L:M:S
L:M:S
Product / Service B
L:M:S
L:M:S
Product / Service C
L:M:S
L:M:S
Product / Service D
L:M:S
L:M:S
Product / Service E
L:M:S
L:M:S
Form 2-2 Maximum Tolerable Period of Disruption Departments Handling Each Product/Service
Time When Impact Becomes Unacceptable MTPD
Product / Service A
~3 ds
~1 wk
~2 wks
~1 mo
~2 mos.
Product / Service B
~3 ds
~1 wk
~2 wks
~1 mo
~2 mos.
Product / Service C
~3 ds
~1 wk
~2 wks
~1 mo
~2 mos.
~3 ds
~1 wk
~2 wks
~1 mo
~2 mos.
~3 ds
~1 wk
~2 wks
~1 mo
~2 mos.
Form 2-3 Prioritized Activities and RTOs Prioritized Activity(ies)
Recovery Time Objective(s)(RTO)
Recovery Time Objective (RTO)
09
BCP Guidebook 2013
Step 3 What Do You Need to Resume Key Activities? Prioritized Activities (PAs) are supported by various internal and external resources. When disrupted, PAs are going to be resumed and those supporting resources should be available and ready. In Step 3, you need to identify and list the necessary resources in Form 3-1. In the subsequent steps, you will review risks to the listed resources, and their vulnerabilities. You will consider what measures are necessary to protect, secure availability, or prepare alternative options. Therefore, this list is very important and basic information in your BCP planning. List the necessary resources in Form 3-1, dividing them into three categories (1) internal resources, (2) essential services, and (3) business partners. The first category is internal resources, which are usually under your company’s control. These include buildings, equipment, machinery, tools, stock, materials, IT systems, documents, and drawings, etc. It is also important that human resources be reviewed from the perspective of employees’ special skills and expertise. The second group is, Essential Utilities such as electricity, gas, fuel, water, and sewage etc. Communication network (phone and Internet) and transportation network (roads, railroads, and ports) are included. These resources are provided by public entities. They are not usually under your control. Typically, ordinary companies cannot afford to arrange alternative sources for essential services due to the prohibitively high costs, and their availability. Therefore, these would become a basic condition for resumption of your PAs. The third group is, your company’s Business Partners and your upstream and downstream business chains. This group (direct and indirect partners) is not only your suppliers, but also your customers. In the two catastrophic natural disasters, the East Japan Earthquake and Thailand’s Floods which occurred in 2011, many companies were seriously affected by disruptions to their supply chains. Many companies, which were not directly damaged by the natural disasters, were also seriously affected. Form 3-1 Necessary Resources for Prioritized Activities Necessary Resources for Prioritized Activities Type of Resources Building Equipment / Machinery Inventory Internal Resources
People IT System Fund Other:
Contents
10
BCP Guidebook 2013
Electricity Gas Essential Social Services
Water Phone / Communication Traffic / Roads Other: Direct supplier
Supplies
2nd, 3rd Supplier Customer Other:
(Note: The processes of identifying Prioritized Activities, setting Recovery Time Objectives, and listing necessary resources constitute a Business Impact Analysis (BIA). This term is commonly used in BCP.)
Step 4 Risk Assessment – Know Your Disaster Scenarios In Step 4, you need to clearly identify risks which may seriously threaten your company (or may lead to a catastrophic scenario). You list the kinds of risks your company is exposed to. You analyze and evaluate those risks, and select risks which your company needs to take measures with ‘high priority’. You also need to analyze and estimate to what extent your critical resources may be damaged by such risks, and how long it will take to restore such damaged resources. You compare the estimated restoration period with your company’s Recovery Time Objective (RTO), set in Step 2, and determine which resources are critical to avoid catastrophic scenarios. The resources which need attention include those where the restoration period exceeds the RTO and those that do not exceed it. If essential services such as electricity, water, phone etc, take a longer period for the service to be restored than your RTO, you may need to reconsider your RTO and wait until such resources and services become available. Form 4-1 assists in the process of identifying, evaluating, and prioritizing risks. First, enter the risks your company is exposed to in the leftmost column. These are risks which could potentially cause a disruption in your business operations or could lead to a worst-case scenario (bankruptcy). For example, risks to your company might include natural disasters such as earthquakes, floods, and typhoons, or industrial disasters such as fire, explosion, blackout, leakage of chemical substances or intentional acts such as terrorist attacks, sabotage. The past history of such natural disasters, hazard maps, and risk information for your local area may be published by local governments and public organizations. If available, these can be very useful resources in conducting the risk assessment in this step.
11
BCP Guidebook 2013
Next, evaluate the “Impact” and “Likelihood” of each risk, marking each as either H (high), M (medium), or L (low) in the columns indicated. The criteria for rating these items are shown in Table 4-1. Table 4-1 Risk - Likelihood/Impact Scoring Scale Rank
Likelihood
Impact
High
Likely
Disastrous, Severe damage Threatening the company Death, multiple injuries
Middle
Moderate likely
Medium level damage Affecting operations, Multiple injuries
Low
Unlikely
Insignificant damage Minor injuries
After you have entered L ,M or S in both the “Impact” and “Likelihood” columns of Form 4-1, assign them an order of priority in which measures need to be taken. Indicate the priority number in the rightmost “Priority” column. Form 4-1 Risk Impact and Likelihood Comparison Chart (sample) Risk
Impact
Likelihood
Priority
Earthquake
HML
HML
1
Flood
HML
HML
2
HML
HML
HML
HML
Next, select a top priority risk (e.g. earthquake) and estimate the level of damage and length of time needed for the restoration of resources should they be damaged as the result of an incident or a disaster. The estimated restoration period should be compared against your company’s Recovery Time Objective (RTO), which was established in Form 2-3. Determine the resources for which measures need to be taken. Proceed through the following eight steps and enter the appropriate data in the columns indicated (by arrows) in Form 4-2. Separate forms should be completed for each selected risk because the expected damage could vary widely by risk. 1) Enter the critical resources that were identified in Step 3 2) Enter the prioritized risk 3) Enter an outline of estimated damages to your facilities
12
BCP Guidebook 2013
4) Enter estimated levels of damage 5) Enter estimated periods for repair, restoration, or recovery 6) Mark the graph bars to correspond to the length indicated in item (5) above 7) Draw your RTO line (see your Form2-3) 8) Determine whether measures need to be taken for each listed resource to achieve RTO and place a mark in the column indicated The resources for which measures may need to be taken may include both those whose restoration period exceeds your RTO and those that do not. If essential services such as electricity, water, and phone service take longer to get back online than your RTO, you may need to reconsider your RTO in consideration of the wait-time needed for the restoration of those resources.
Supplies
Essential Social Services
Internal Resources ○○○ ○○○
IT System
Fund
○○○ ○○○ ○○○ ○○○
Gas
Water
Phone / Communication
Traffic / Roads
○○○ ○○○
2nd, 3rd Supplier
Customer
other
○○○
Direct supplier
Other:
○○○
Electricity
Other:
○○○
○○○
People
Inventory
○○○
/
Equipment Machinery
Damage
Necessary resources ○○○
○○○
Assumed damage
Building
Earthquake
Risk
10 ds
20 ds
30 ds
8 ds
10 ds
15 ds
30 ds
3 ds
10 ds
3 ds
3 ds
30 ds
7 ds
Day
Form 4-2 Resource Damage Estimate Sheet (sample)
3 days
1 wk
2 wks
1 mo
Day (shown by graph)
Assumed recovery period
2 mos
3 mos
○
○
○
○
○
○
○
○
Measures needed
13 BCP Guidebook 2013
14
BCP Guidebook 2013
The details regarding measures to be taken will be reviewed in Steps 5 to 7 below. Examples of such measures are as follows: 1) Protection (Prevention) and Mitigation- see Step 5 - Anti-earthquake reinforcements to buildings - Installation of equipment restraints 2) Emergency Response (Incident Response)- see Step 6 - Evacuation plan formulation - Development of safety confirmation procedures 3) Strategies for the Early Resumption of Prioritized Activities- see Step 7 - Alternate site recovery - IT system back ups The required measures differ depending on the type of disaster experienced since damage estimates can vary widely. This Guidebook guides you through a process in which you select one risk and then proceed to estimate the damage that would be sustained as a result. For SME owners, it might be difficult at first to prepare for multiple risks. We suggest starting with your top priority risk first, and then repeat the process for other risks if your company can afford to do so.
5. Your Survival Strategies
In this section, you are going to work on the core items of your company’s BCP. You will plan and implement your company’s Business Continuity (BC) Strategies to achieve the Recovery Time Objective (RTO) you set in Step 2 (Form 2-3). There are three phases to a BC Strategy, all of which are important and necessary for achieving your RTOs. You will identify the necessary measures for your company in consideration of these three phases
(1) Protection and mitigation (Step 5) This phase involves the protection (prevention) or mitigation of the damage caused by an incident so that Prioritized Activities can be resumed quickly in accordance with their RTOs. Protection and mitigation measures primarily consist of pre-incident measures, but can also include important post-incident measures intended to contain and minimize damage. (2) Emergency response (Step 6) When a disruption affects your company, you have to stabilize the situation by eliminating danger and protecting your people, assets, and business operations. This should be done immediately to prevent an emergency
15
BCP Guidebook 2013
situation from becoming an uncontrollable crisis. The first priority of emergency response is to protect and rescue people. Subsequent priorities are to eliminate threats and secure safety, protect assets, and prevent further damage and secondary disasters. (3) Continuity and recovery strategies (Step 7) This phase involves planning and implementing strategies for continuing (or resuming) Prioritized Activities and then restoring normal operations. Continuity strategies focus on restarting Prioritized Activities immediately using alternative or temporary measures. Recovery strategies focus on restoring operations to pre-incident levels.
Protection & Mitigation (for an earthquake) ‧Seismic reinforcement of structures ‧Installation of equipment restraints ‧Data back-up
Incident Response
Continuity/ Recovery Options
‧Evacuation ‧Confirmation of employee safety ‧EOC mobolization ‧Relocation to alternate site ‧Recovery at affected site ‧Workaround options ‧Outsourcing ‧return to normal operation
Figure 5-1 Three phases of a Business Continuity Strategy
Step 5 Do Not Forget Pre-Disaster Protection and Mitigation To successfully resume operations as planned, the damage to the supporting resources should be contained, to the extent that early repair and restoration would be possible. If such important resources sustain very severe damaged, your company may fall into a disaster scenario, and be forced to give up the recovery effort, or shut down for a long period of time. This would be the end of the business and therefore, the story! This is why pre-incident strategies of protection and mitigation are very important. In Step 4 (Form 4-2) you identified which resources require that measures be taken to achieve your company’s Recovery Time Objective (RTO). Those identified resources are vulnerable and might hinder the achievement of your RTO. In this step, you will select resources that require protection and mitigation measures and determine the details of those measures in order to avoid a level of damage that would make it impossible to recover your Prioritized Activities by the established RTOs. In Form 5-1, enter (1) resources that require measures be taken, (2) objectives of those measures, (3) what measures to take, (4) specific plans for taking those measures, (5) implementation deadlines, and (6) the department in charge of implementation.
○
Put servers at headquarters in a server rack
Install restraints to prevent computers from falling over
Protect/mitigate damage to buildings
Systems
○
Fix machine tools to the factory floor
Install restraints to prevent equipment from falling over
Facilities
○
Check earthquakeresistance of the building in which the headquarters is located
Check earthquakeresistance of buildings
Protect/mitigate damage to facilities
Protect/mitigate damage to buildings
Buildings
○
Make the headquarters building earthquakeresistant
Keep personnel safe
Personnel
Make an evacuation plan and disseminate it to employees Conduct evacuation drills
Provide instructions on evacuation safety
Within1 year
○
Mid to Long Term
Implementation Deadlines Immediately
Your Plan
What To Do
Make buildings earthquake-resistant
Objectives
Resources
Form 5-1 Protection and Mitigation Measures for Key Resources (sample)
Information systems dept.
Manufacturing dept.
General affairs dept.
General affairs dept.
General affairs dept.
Department in Charge
16 BCP Guidebook 2013
17
BCP Guidebook 2013
Step 6 Emergency Response to Disaster In Step 6, you consider immediate necessary responses to take, when the incidents occurs, to prevent the emergency situation from becoming an uncontrollable crisis. It is called emergency response or incident response. The first priority of emergency response is to protect and rescue people. Stabilization, to remove harm and secure premises, ensure safety and security of yourself, staff and customers protection of assets, and prevention of further damage. The potential for secondary disasters should also be considered. First, you should understand the general picture of emergency response. As shown in Figure 6-1, there are a series of necessary activities in an emergency response. These activities have to be carried out, following necessary timelines and without delay. “(1) Evacuation and rescue” should start immediately by individual people when an incident occurs. Emergency Operation Center (EOC) should be called, if necessary, to take coordinated measures under unified command in your company. The activities of (3) to (8) are performed by the Emergency Operation Center, if it is set up. The main necessary activities are (1) Evacuation and rescue, (2) Setting up Emergency Operation Center, (3) Safety confirmation of employees, (4) Stabilizing the situation and prevention of secondary damage, (5) Survey of damage, (6) Assets protection, (7) Safety confirmation of employees’ commuting, and (8) Gathering and sharing information of incident/damage. These eight activities are described in further detail below.
Emergency response to disaster
Evacuation and rescue Safety Confirmation of employees
Emergency Operation Center
Safety Confirmation of employee’ s commuting Stabilizing the situation and prevention of secondary damage Survey of damage Assets protection Gathering and sharing information of incident/ damage
strarting up continuity/ recovery strategy Figure 6-1 Emergency response to disaster
18
BCP Guidebook 2013
(1) Evacuation and Rescue First, your company should have a general evacuation plan, which includes evacuation procedures, evacuation sites, evacuee guidance procedures, and names of evacuation activity leaders. You will use Form 6-1 to create your company’s evacuation plan. You need to make sure all employees understand the evacuation plan and are able to safely evacuate as planned. Many companies give all employees a small emergency card containing such key information as what actions to take, where to evacuate, and emergency contacts. Employees are asked to carry the card with them at all times so that they can refer to it whenever necessary. Such an emergency card is highly recommended. Form 6-1 Evacuation and Rescue Plan (sample) Office/Factory
Head office
Evacuation site (meeting place)
Parking lot in front of the head office building
Leader
Person in charge: Manager of the general affairs department Assistant: Deputy manager of general affairs department
Person in charge of rescue and medical care
Person in charge: Manager of general affairs department Assistant: Deputy manager of the general affairs department
Hospital
(name, address, telephone number) Name: ○○hospital Address: ○○○ Tel: **-****-****
In case of a natural disaster such as an earthquake or flood, the infrastructure (such as the traffic network) may be damaged. Your employees may not be able to get home and may have to stay on the company’s premises or at an emergency shelter. Your company needs to prepare food, water, and other supplies (e.g., blankets, radios) for employees, and it is recommended to store enough necessary supplies (e.g., food and water) to shelter them for 3 days (see Form 6-5). (2) Setting up an Emergency Operation Center When an incident occurs that could affect your business, the company has to respond immediately to protect its people and operations. It is critical not to succumb to panic or chaos, but to behave calmly and make the best decisions possible while taking the necessary measures under the circumstances. In order for the company to carry out those activities in a unified and coordinated manner, you should establish an Emergency Operation Center (EOC) that can serve as a central command center. The EOC’s framework, members, duties, and procedures must be decided on in advance and put down on paper. Form 6-2 will assist you in creating an EOC framework for your company.
19
BCP Guidebook 2013
a) EOC Leader The leader is in charge of the overall activities of the EOC. The deputies must also be identified who will take over for the leader when he/she is absent. The order of succession for the authority and responsibilities of the leader should also be decided. b) EOC members and roles The members of the EOC should be appointed and a list of their names created and periodically updated. EOC members are required to convene at the EOC whenever the EOC is mobilized. EOC members must be selected from among those employees who would be able to convene on short notice. Form 6-2 lists the four functions shown below. If the size of the company requires, a team can be formed to carry out each function. You should decide on your company’s EOC framework and the functions that best suit your company's needs. 1.Analysis and planning 2.Information gathering 3.Site operations - Stabilization - Rescue and medical care - Confirmation of employee safety - Sanitation - Logistics 4.Public relations This function is for keeping internal and external stakeholders informed about the status of the company. c) EOC mobilization criteria When should an EOC be mobilized? You must decide the thresholds that must be met for the EOC to be mobilized and its members called to duty. You can establish these criteria by incident type and magnitude, such as “an earthquake measuring 6 on the Richter scale” or "a flood warning is issued.” d) EOC locations The location where EOC members are to convene must be decided in advance. You should prepare for a situation in which your first choice location (e.g., the head office building) is unusable by selecting alternate EOC locations as well. EOC centers (including alternate sites) should be prepared for mobilization at any time, and thus equipped with communication equipment, IT and office equipment, and other supporting resources.
20
BCP Guidebook 2013
Form 6-2 Emergency Operation Center (sample)
Members
Mobilization thresholds
Roles
department/ name
Tel
Leaders (including deputies)
CEO/ ○○○○ Director/ ○○○○ Director/ ○○○○
**-****-**** **-****-**** **-****-****
Analysis and planning
○○dept./ ○○○○
**-****-****
Information function
○○dept./ ○○○○
**-****-****
Site operation function (stabilization, rescue and medical care, confirmation of employee safety, sanitation, logistics)
○○dept./○○○○ ○○dept./ ○○○○ ○○dept./ ○○○○ ○○dept./ ○○○○ ○○dept./ ○○○○
**-****-**** **-****-**** **-****-**** **-****-**** **-****-****
Public relations
○○dept./ ○○○○
**-****-****
- Earthquake measuring 6 on the Richter scale - Flood warning is issued
Meeting place (including alternate locations)
Order of priority
Workplace
Address
Tel
1
Head office
○○○○
**-****-****
2
A office
○○○○
**-****-****
3
B factory
○○○○
**-****-****
(3) Confirmation of employee safety You must establish procedures for confirming the safety of your employees in advance. You will have to make sure that all employees promptly follow the established procedures in the event of a disaster. Your company should test its procedures by conducting drills, as these show how well employees follow the established instructions and how long it takes to complete a confirmation of the safety of all employees. Your safety confirmation procedures should include a way for employees to contact the company. Multiple means of communication should be identified (e.g. phone calls, e-mail, and Internet bulletin board) so that redundancies are built in. Remember the lesson learned from the catastrophic Great East Japan Earthquake of March 2011 (M9.0), after which the mobile phone network was non-operational across a wide area due to extensive damage and congestion. Since such risks are inherent when relying on a single mode of communication that utilizes the mobile phone network, backup methods must be identified. Form 6-3 is an employee contact list with columns for each employee's department, name, telephone number, and e-mail address. This form can also be used as a checklist when confirming employee safety. Form 6-3 Emergency Contact list (sample) Department
Name
Telephone number
E-mail address
○○dept.
○○○○
**-****-****
****@***.***.***
○○dept.
○○○○
**-****-****
****@***.***.***
○○dept.
○○○○
**-****-****
****@***.***.***
Safety status (to be entered in an emergency)
21
BCP Guidebook 2013
(4) Confirmation of safe commuting conditions When a disaster affects a widespread area across an entire region, the social infrastructure may be damaged. Your company has to decide whether it is safe to let employees go home or whether they will need to stay on the premises. You can do this by monitoring disaster and traffic information. (5) Stabilization of the situation and prevention of secondary damage When an incident occurs and creates a dangerous situation, you must work on stabilizing the situation to ensure employee safety and prevent secondary damage. This may include efforts to fight fires or prevent the spread of harmful substances. (6) Survey of damage Once the situation has been stabilized and safety has been secured, the damage to your company should be immediately surveyed. Your company will have to decide on any necessary repair and recovery plans, and must start on its recovery process as soon as possible. A sample survey form is shown in Form 6-6. (7) Asset protection Based on the damage survey results, you must protect and preserve your facilities and equipment. For example, you will want to take measures to prevent the damage from spreading and to secure your assets against theft. (8) Compilation and sharing of information When a disaster hits your region, it is critical that you gather the following information using various media, including television, radio, and the Internet: -Disaster details -Damage to the region (including the status of essential services and traffic conditions) -Alerts and warnings from central/local government authorities Your company should maintain communication with stakeholders such as suppliers, customers, public agencies, and financial institutions by gathering and sharing relevant disaster information. It is important to give your business partners status updates and information on your recovery plans so as to maintain your business relationships while you are engaged in recovery efforts. Form 6-4 is a sample External Contact List.
22
BCP Guidebook 2013
Form 6-4 External Contact List (sample) External Partners
Materials & Parts Suppliers
Logistics Service Providers
Equipment Maintenance Co.
Customers
Financial Institutions
Public Agencies, Local Government Offices
Essential Service Providers
Name
Tel.
E-mail address
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
○○○○
**-****-****
****@***.***.***
Status (complete when an incident occurs)
23
BCP Guidebook 2013
Form 6-5 Storage List for Disasters Categories Food / Water
Living supplies
Medical supplies
Tools
Support for getting people home
Information gathering, communication
Other
Items
Numbers of items to prepare
Drinking water
3 liters/person for 3 days
Emergency food
3 day supply/person
Sanitation supplies (tissues, wet tissues, toilet paper, etc.)
3 days
Utensils
Necessary numbers for people
Portable toilets
3 days
Plastic bags, tape
Equal to the number of people
Blankets, sleeping bags
Equal to the number of people
Portable gas and stoves
3 days
Pots and kettles
3 each
Pocket warmers
3 day supply/person
Oil heaters, oil
Fuel for 3 days
First aid kits
Equal to the number of people
Folding stretcher
3
Tools (crow bar, pliers, hammer, shovel, cloth tape, stepladder)
3 each
Helmet and gloves
Equal to the number of people
Plastic sheets, tarps
3 sheets (10mĂ—10m)
Garbage cans, buckets
3 each
Rainwear
Equal to the number of people
Maps
Equal to the number of people
Radios, dry batteries
3 each
Cell phone chargers
3 units per each model
Loudspeakers
3 units
Generators, generator fuel
2 units of fuel for 3 days
24
BCP Guidebook 2013
Form 6-6 Damage Survey Form Surveyed location Employee injuries
Damage to buildings
Damage to assets
Damage to essential services
Neighboring situations
Injured employees
Names:
Appearance
Large/ Medium/ Small/ None
Inside
Large/ Medium/ Small/ None
Safe entry
Yes/ No
Equipment
(Damaged equipment / number of items)
Communication equipment
(Damaged equipment / number of items)
IT apparatus
(Damaged equipment / number of items)
Fixtures and fittings
(Damaged items / number of items)
Vehicles
(Damaged vehicles / number of items)
Electricity
Available/ Not Available
Gas
Available/ Not Available
Water
Available/ Not Available
Landline phone service
Available/ Not Available
Mobile phone service
Available/ Not Available
Internet
Available/ Not Available
Fire
Available/ Not Available
Other
Business continuity
Disrupted/ Not Disrupted
Visitors
(Injured people)
Others
Step 7 BC Strategies to Early Resumption In Step 7, you develop your company’s Business Continuity Strategies (BC Strategies) for resumption of Prioritized Activities (PAs) within Recovery Time Objectives (RTOs). You need to identify and prepare the internal and external supporting resources that are necessary to resume those activities. There are key concepts for planning your BC Strategies that you need to consider to resume Prioritized Activities (PAs). In considering the concepts of BC Strategies, you are going to make plans for your own BC Strategies to achieve RTO of PAs. Strategy 1: Resume PA at the damaged/affected site. Strategy 2: Resume PA at an alternative site (either in-house or external facility) Strategy 3: Resume PA by alternative methods (or workaround methods)
25
BCP Guidebook 2013
Your BC Strategies might be a combination of the above three strategies. In the very early stage of your recovery planning, you have to decide where your company will restart critical operations (or PAs). One strategy is to resume at the damaged or affected site, another is to resume at an alternative site. Both strategies are necessary. Your company should be prepared for a scenario when the main facilities, such as, headquarter building or main factory are not usable. For SMEs that have limited resources, it might be very hard to prepare an alternate site. SMEs may only have one option to prepare a BC Strategy- to restore damage and recover at the affected site. You should remember that your company will be defenseless if your key facility is damaged to the extent that it becomes unusable. In the mid to long term, you should consider how to deal with this challenge. This process is not simply a paper exercise. The owner and/or senior management has to make business decisions as to how and where to recover prioritized activities from the disruption. Form 7-1 summarizes the BC Strategies for your company, and should be completed based on the concepts listed above. Enter your selected BC Strategy into the appropriate column of the form. Let’s start with BC Strategy to resume at the damaged/affected site. Strategy 1: You have to restore the damaged resources. The buildings and equipment/machinery may be damaged, and assistance by external construction company and machinery experts may be necessary. Essential services such as electricity, gas, and water are necessary to resume disrupted operations. Recovery of such essential services to your company may become the key to your company resuming operations. Therefore, you should estimate how soon those public companies are able to resume services. You may need to review your BC Strategy based on essential service restoration periods. The next strategy is to resume at an alternative site. Strategy 2: You need to consider the location of the alternative site, and see if it is sufficiently distant from the current site and therefore is less likely to have been impacted/damaged by the same disaster. You should make sure that the essential services your company needs, are not be affected and will be available. This strategy requires that all necessary resources, for example, buildings, equipment, and machinery are available at this site. You also need to consider how to transfer the workforce, and that supplies of materials and parts are transported to this site. It will be important that you have built relationships with your suppliers, as you will need to find other sources of assistance and seek also corporation from external partners. This strategy is to resume PA by the alternative method. Strategy 3: This strategy can be used in strategy 1: damaged site recovery and strategy 2: alternative site recovery. For example, old reserve equipment is used to replace the damaged, newer equipment. Manual work by human hand replaces disrupted IT systems. Your company selects what alternate methods that fit your company’s operations. You also need to identify what kind of assistance is necessary from external partners.
26
BCP Guidebook 2013
External business partners can have significant impact on your business operations and BC Strategies. You cannot control your business partners. Therefore, what can you do with external partners in your BC Strategies? This will depend on your business relationship, but here some measures you can take to help mitigate the risk. First of all, you can check their preparedness levels in disaster management and BCP. Are they supportive of these matters or not interested at all? If they are interested, it is recommended to exchange what you and your partners have been doing in disaster management and BCP. It would be more desirable that you and your partners have periodical meetings and plan joint meetings or exercises. Form 7-1 Continuity Strategy Summary Continuity Strategy Summary
Priority
Strategy Outline
Activities to Resume
Key Resources (bottleneck resources)
Necessary External Partners
Strategy 1: Resume at the damaged/affected site (ex.) Restore damaged buildings and equipment and resume PA Strategy 2: Resume at an alternate site (ex.) Start up an alternate factory/ office / shop (ex) Activate back-up IT center Strategy 3: Resume using alternate methods (ex) Start up using older methods, using spare (old) equipment Strategy: Other
Now that you have decided on your company’s BC Strategy using Form 7-1, you need to identify the resources necessary for executing this strategy. Complete Form 7-2 to identify the necessary resources for each BC Strategy listed in Form 7-1. You will prepare Form 7-2 for each BC Strategy. At the top of Form 7-2, enter the Prioritized Activity and strategy outline you are going to consider. There are columns of resources categorized into three groups: internal resources, essential social services, and external partners (same as Form 3-1).
27
BCP Guidebook 2013
Form 7-2 BC Strategy Planning sheet Prioritized Activity
Categories
Resources
Strategy Outline What’s to be done / needed
Details of Measures
To be done by when Short Term
Mid- Long Term
Department in charge
Building Equipment / Machinery Internal Resources
Stock People IT System (others ) Electricity/Gas/ Water
Essential Social Services
Phone/ Communication Traffic / Roads (others ) Suppliers
External Partners
Customer (others )
Next, enter the necessary measures in the relevant column for each resource. In this process, you should check your review results in Form 4-2, the Resource Damage Estimate Sheet (see column 8 where you identified which resources are needed for achieving the RTO). For the resources identified, decide what measures should be taken from the perspective of preventing and/or minimizing damage and expediting restoration. The resources that are critical in determining the restoration period required (or bottleneck resources) should be carefully reviewed. Particular attention should be paid to finding out how soon those resources that are not under your control will be become available to you. You may need to flexibly revise your RTO and BC Strategy based on that review. Enter the deadline for implementing each measure, indicating whether it must be implemented in the short term (within 1 year) or the mid to long term (2 to 3 years or more). Also enter the departments in charge of those measures. Once Form 7-2 has been completed with the designated departments and deadlines, you can use the form for managing progress on the implementation of measures. As stated above, this process
28
BCP Guidebook 2013
takes more than mere paperwork; it requires management decisions to be made by the business owner (or top management) in cooperation with their BCP Team. It is very important that top management exercise its leadership in implementing BC Strategies. Your outside business partners have a significant impact on your business operations and BC Strategies. Since you cannot control your business partners, what role do they play in your BC Strategies? It depends on your business relationship you have with them, but you can start by checking into their preparedness levels by asking about their disaster management and BCP programs. Are they aware of such matters or uninterested? If they are interested, both parties would be well served by sharing what they are doing in terms of their disaster management and BCP activities. Ideally, you and your partners would hold regular meetings on this topic and plan joint meetings or exercises.
Step 8 Be Financially Prepared Can you survive financially if your operation is disrupted Disaster for one or two months? The objective of Step 8 is Revenue to recognize the financial conditions of your company Expenditure in case of an emergency, and to prepare appropriate Need to prepare measures in advance, to measure to fulfill Deficit the shortage av oid bankruptcy even if income is suspended. If your company’s operation is Resumption suspended, your company will lose revenue but still be Figure 8-1 Deficit Occurs After Disaster required to pay ordinary expenditure such as, payroll and rent. And if your facilities are damaged, you will need cost recovery of your damaged facilities. What you need to do in Step 8, is to estimate how much money will needed if your company sustains damage by a disaster ; and consider measures that could be taken to fulfill any shortage. Key factors to consider in your financial analysis include. - Understand how much revenue will decrease due to business disruption (Section 1) - Estimate how much the recovery costs will be to resume your business operations (Section 2) - Recognize how much ordinary expenditure will be incurred during disruption (Section 3)
29
BCP Guidebook 2013
- Calculate the level of funds needed to fulfill the shortage. (Section 4)Note: It is recommended that a company should reserve cash and deposits equivalent to its one month revenue. You can assess your financial status by completing Form 8-1. (1) Check your available funds You should check the amount of funds that you have on hand in reserves or that would otherwise be available if needed during a business disruption. First, fill in the total amount of available funds in Form 8-1. Examples of available funds include cash, deposits, and short-term securities. Additionally, your company might be able to get private funding from an owner of the company. Next you should check your company’s insurance policies. Find out what types of insurance policies your company has and whether such insurance policies cover the disaster or accident in question. Also find out how much coverage you have. You should be aware that in most cases, it takes some time for insurance payouts to be made due the time required for investigations and settlement negotiations. The bottom line of Form 8-1 shows the total amount of available funds (A). Form 8-1 Available Funds (sample) Type
Amount
Cash and Deposits
100,000
Insurance
50,000
Available Funds (A)
150,000
Other Fire / Flood /Earthquake
(2) Estimate recovery costs Next you will assess the expenditures your company would incur as the result of a disaster and during the disruption period. You have already estimated damages and restoration periods for your important resources (Steps 4, 5, 6, and 7). Now you have to do some guesswork regarding how much it would cost to repair and restore the damaged resources that are essential to the resumption of your Prioritized Activities. Estimate the recovery cost for each main category of resources, as shown in Form 8-2. Buildings, equipment and machinery, fixtures and fittings, and inventory are listed as examples. Enter the expected total recovery cost for each category. The bottom line of Form 8-2 shows the total amount of estimated recovery costs (B). Form 8-2 Recovery Costs Recovery Cost
Amount
Building
10,000
Equipment and machinery
5,000
Fixtures and fittings
5,000
Inventory
5,000
Total Recovery Costs (B)
25,000
Other
30
BCP Guidebook 2013
(3) Summarize ordinary expenditures There are ordinary expenditures that your company has to pay even during a disruption. These expenses include fixed costs such as payroll and rents on real estate and warehouses, as well as variable costs such as debt payments. You need to know the total monthly amount of your ordinary expenditures during a disruption period. Use Form 8-3 to enter the expense items and total amounts. The bottom line shows the total ordinary expenditures (C). Form 8-3 Ordinary Expenditures Ordinary Expenditure
Amount
Other
Payroll Purchased supplies Rent Others Total Ordinary Expenditures (C)
(4) Assess cash flow status By completing processes (1), (2) and (3) above, you will have obtained the total amounts of your available funds (A), recovery costs (B), and ordinary expenditures (C). Enter those amounts in Form 8-4 and calculate the balance (=A-B-C). If the balance is negative, your company will have a shortfall in necessary funds. If it is positive, your company is likely to have sufficient funds for weathering a disruption. Form 8-4 Financial Status Sheet Available Funds (A) Recovery Costs (B) Ordinary Expenditures (C) Balance (=A-B-C)
(5) Financial measures If the balance shown in Form 8-4 is negative (indicating a fund shortage), your company needs to take financial measures to make up for that shortfall. You may need to increase available funds by taking out a loan from your bank or by cutting down on redundant costs to decrease expenditures. In many cases, the national and local governments provide low interest disaster loans for SMEs that have been affected financially by a disaster. It is therefore important to research what kinds of financial support programs might be available to your company.
31
BCP Guidebook 2013
Form 8-5 Financial Measures (sample) Financial Measures
Amount
Detail
(example) Borrow from bank
100,000
Check the amount every December
(example) Disaster loan
150,000
Apply when hit by a typhoon
Step 9 Exercise Makes Your Plan Functional In Steps 5, 6, and 7, your company has made various plans of BC Strategies. Below are questions related to some of those plans. How confident can you answer "Yes" to the following questions? - Can all employees (and customers) evacuate promptly and safely, following your evacuation plan? - Can all employees call your emergency phone number to report safety confirmation? - Can EOC members gather properly and immediately at the meeting place and undertake their designated role? Planning and executing plans are different tasks. Your company’s Business Continuity Plans should effectively work in the case of an emergency as planned. The purpose of exercise is to ensure that your company’s plans work effectively and achieve its objectives. Exercise is intended to not only test its performance, but also to empower employees and provide them with education and training to enhance their knowledge and expertise. Some examples of the main exercises are listed below. - Evacuation Drill: test and practice safe and prompt evacuation to the designated location. - Safety Confirmation Exercise: test and practice employees’ emergency calls and safety confirmation. - Launching EOC Exercise: test and practice starting up EOC launch and conducting designated roles by EOC members. - Backup Data Recovery Exercise: test and practice recovery by backing up data. - Re-starting Operation Exercise: test and practice resuming operations after disruption. - Launching Alternative Site Exercise: test and practice starting up operations at an alternate site.
32
BCP Guidebook 2013
There are many types of exercises that can be conducted. It is recommended that you conduct any exercises that your company thinks necessary and feasible. You can increase the level of complexity of your exercises and adopt different types of exercises to improve your company’s business continuity capabilities. Use Form 9-1 to create an exercise plan for your company. The post-exercise review is important for identifying any deficiencies or problems, so that your company can make any necessary improvements. Form 9-1 Exercise Plan Type of Exercise
Aim
Target Group
Date of Exercise
Post Review
6. PDCA: Continuous Improvement
Business Continuity Plan refers to your company-wide efforts to develop your capabilities for resuming critical operations (Prioritized Activities) after a disruption caused by a disaster. It is not easy to establish such capabilities in a short period of time, but it is essential to continuously improve and enhance them over time. We strongly recommend that you utilize the PDCA Cycle (Plan, Do, Check, Act) for your company’s continuous BCP improvement.
Step 10 Ongoing Review and Improvement You have already gone through the first two phases (Plan and Do) of four phases. In Step 10, you finish the remaining Check (monitor and review) and Act (maintain and improve) phases. (1)Review and Check Your BCP To make your company’s BCP most effective, you should monitor and review your company’s BCP activities. Your entire BCP activities – before, during and after an incident - should be reviewed. Use Form 10-1 to assist in this process, proceeding through each of the 10 steps outlined in this Guidebook.
Business Continuity Planning System Act
Plan
Maintain and improve
Establish
BCM
Business Continuity Management
Check
Monitor and review
Do
Implement and operate
PDCA cycle
33
BCP Guidebook 2013
You should ask the following questions for the review of each step. - Are BC activities (which have been decided and planned) effectively done? - Are there any tasks and problems for improvement? - Are there any changes to internal and external circumstances which are needed to be considered? - Are there any areas or items which were not included in your BCP, but should be included? Form 10-1: BCP Review Form Step
Items to Review and Check
1
BCP Framework Purpose, scope, BCP leaders and team members
2
Prioritized activities, recovery time objectives
3
Supporting resources Bottleneck resources
4
Surrounding risks Expected damages
5
Protection and mitigation measures
6
Emergency response, EOC, safety confirmation, risk communication
7
Continuity and recovery measures
8
Exercises, training
9
Cash flow for emergencies Financial measures
10
Monitor, review, and improvement
Related Forms 1-1, 1-2, 1-3
Currently Effective
Y/ N
Changes in Business Environment
Issues to Review
34
BCP Guidebook 2013
This review and check process should be conducted periodically, at least once per year. If there is any business environmental change in your company, such as, change of partner companies (suppliers or vendors), core business operations (products or services), IT system or M&A, location changes etc., you should pay attention to possible effects of these changes. These factors may have not been considered or may have been omitted in your reviews, and therefore, you may need to reconsider and make the necessary changes to your BCP activities. It is important to periodically review and not miss the opportunity to update your BCP. These internal reviews are usually done by BCP teams, lead departments and internal audit departments. (2) Management Review In addition to the above Review and Check processes, senior management have to proactively initiate a review of the company’s BCP at least annually, and ensure that your company’s BCP has been managed effectively and the PDCA cycle is working. Form 10-2 is for management review. It should be understood that management review works as strong drive to cycle PDCA cycle. Form 10-2 Management Review Sheet Check & Review Items
Person in Charge
Due Date
Top Management
APEC Project: MSCE 02 11A Produced by: APEC SME Crisis Management Center 3F, No. 16-8, Dehuei St., Jhongshan District, Taipei 10461, Taiwan Tel: (886)-2-2586-5000 #364 Fax: (886)-2-2598-1122 Email: apecscmc@tier.org.tw Website: www.apecscmc.org For Asia Pacific Economic Cooperation Secretariat 35 Heng Mui Keng Terrace, Singapore, 119616 Tel: (65) 68919 600 Fax: (65) 68919 690 Email: info@apec.org Website: www.apec.org 2013 APEC Secretariat