การตรวจติดตามภายใน ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301

2,835 views

Published on

Published in: Business
1 Comment
7 Likes
Statistics
Notes
No Downloads
Views
Total views
2,835
On SlideShare
0
From Embeds
0
Number of Embeds
36
Actions
Shares
0
Downloads
217
Comments
1
Likes
7
Embeds 0
No embeds

No notes for slide

การตรวจติดตามภายใน ระบบบริหารความต่อเนื่องทางธุรกิจ ISO 22301

  1. 1. Copyright © 2014 BSI. All rights reserved. ISO 22301: 2012 ระบบบริหารความต่อเนื่องทางธุรกิจ การตรวจประเมินภายใน
  2. 2. 2 Copyright © 2014 BSI. All rights reserved. ยินดีต้อนรับสู่ BCM Auditor มารู้จัก ทักทายกันก่อน 16/04/2014
  3. 3. 3 Copyright © 2014 BSI. All rights reserved. 9.2 การตรวจประเมินภายใน องค์กรต้องตรวจประเมินภายในองค์กรตามช่วงเวลาที่กาหนดไว้ เพื่อให้ได้ สารสนเทศมาประกอบ การพิจารณาว่าระบบการบริหารความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกาหนดสาหรับระบบการบริหารความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกาหนดของมาตรฐานนี้ ข) มีการนาไปปฏิบัติและรักษาไว้ได้อย่างมีประสิทธิผล องค์กรต้อง - วางแผน จัดทา นาไปปฏิบัติ และรักษาไว้ซึ่งโปรแกรมการตรวจประเมิน รวมทั้ง ความถี่ วิธีการ ความรับผิดชอบ ข้อกาหนดในการวางแผน และการรายงาน โดย โปรแกรมการตรวจประเมิน ต้องคานึงถึงความสาคัญของกระบวนการที่เกี่ยวข้อง และผลจากการตรวจประเมินครั้งก่อน - ระบุเกณฑ์การตรวจประเมินและขอบข่ายสาหรับการตรวจประเมินแต่ละครั้ง 16/04/2014
  4. 4. 4 Copyright © 2014 BSI. All rights reserved. 9.2 การตรวจประเมินภายใน คัดเลือกผู้ตรวจประเมินและดาเนินการตรวจประเมินเพื่อให้มั่นใจถึงความเป็น รูปธรรมและความเป็นกลางของกระบวนการตรวจประเมิน - มั่นใจว่ามีการรายงานผลการตรวจประเมินให้ผู้บริหารที่เกี่ยวข้อง - เก็บรักษาเอกสารสารสนเทศเพื่อเป็นหลักฐานแสดงการนาโปรแกรมการตรวจ ประเมินไปปฏิบัติและผลการตรวจประเมิน โปรแกรมการตรวจประเมิน รวมทั้งกาหนดการใดๆ ต้องอยู่บนพี้นฐานจากผลการ ประเมินความเสี่ยงจากกิจกรรมต่างๆ ขององค์กร และผลของการตรวจประเมินที่ ผ่านมา ขั้นตอนการดา เนินงานการตรวจประเมินต้องครอบคลุมถึงขอบข่าย ความถี่ วิธีการ และความสามารถ รวมทั้งความรับผิดชอบและข้อกาหนดสาหรับ การตรวจประเมินและการรายงานผล ผู้บริหารที่รับผิดชอบในพื้นที่ที่รับการตรวจประเมินต้องมั่นใจว่าได้ทาการแก้ไขและ การปฏิบัติการแก้ไขที่จาเป็นโดยไม่ชักช้าเพื่อกาจัดสิ่งที่ไม่เป็นไปตามข้อกาหนด ที่ตรวจพบรวมทั้งสาเหตุ กิจกรรมในการตรวจติดตามผลต้องรวมถึงการทวนสอบ ผลของการดาเนินการและการรายงานผลของการทวนสอบ 16/04/2014
  5. 5. 5 Copyright © 2014 BSI. All rights reserved. การตรวจประเมินภายใน ISO 22301 ช่วงเวลาในการตรวจประเมิน ภายในที่เหมาะสมเป็น อย่างไรสาหรับ ระบบบริหาร ความต่อเนื่องทางธุรกิจ ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กาหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกาหนดสาหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกาหนดของมาตรฐานนี้ ข) มีการนาไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 16/04/2014
  6. 6. 6 Copyright © 2014 BSI. All rights reserved. การตรวจประเมินภายใน ISO22301 อย่างไรเรียกว่าเป็นการตรวจ ติดตามภายในเพื่อ เป็นไป ตามข้อกาหนดสาหรับระบบ การบริหารความต่อเนื่องทาง ธุรกิจขององค์กร ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กาหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกาหนดสาหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกาหนดของมาตรฐานนี้ ข) มีการนาไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 16/04/2014
  7. 7. 7 Copyright © 2014 BSI. All rights reserved. การตรวจประเมินภายใน ISO22301 อย่างไรเรียกว่าเป็นการตรวจ ติดตามภายในเพื่อ เป็นไป ตามข้อกาหนดของ มาตรฐานนี้ ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กาหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกาหนดสาหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกาหนดของมาตรฐานนี้ ข) มีการนาไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 16/04/2014
  8. 8. 8 Copyright © 2014 BSI. All rights reserved. การตรวจประเมินภายใน ISO22301 อย่างไรเรียกว่าเป็นการตรวจ ติดตามภายในเพื่อ ประเมิน ว่าได้มีการนาไปปฏิบัติ อย่างมีประสิทธิผล ? องค์กรต้องตรวจประเมินภายในองค์กรตาม ช่วงเวลาที่กาหนดไว้ เพื่อให้ได้สารสนเทศ มาประกอบ การพิจารณาว่าระบบการบริหาร ความต่อเนื่องทางธุรกิจ ก) เป็นไปตาม 1) ข้อกาหนดสาหรับระบบการบริหาร ความต่อเนื่องทางธุรกิจขององค์กร 2) ข้อกาหนดของมาตรฐานนี้ ข) มีการนาไปปฏิบัติและรักษาไว้ได้อย่างมี ประสิทธิผล 16/04/2014
  9. 9. 9 Copyright © 2014 BSI. All rights reserved. หน้าที่ของ BCMS Auditor •ส่งเสริมสนับสนุนการปรับปรุงอย่างต่อเนืองสาหรับBCMS และ สมรรถนะของระบบ •ติดตามและวัด ระบบการจัดการ รวมถึงการพิสูจน์การสอดคล้องกับ ข้อกาหนด •สร้างความตระหนักและความเข้าใจใน BCM • เป็นส่วนหนึ่งของการวัดประสิทธิผลของระบบการจัดการให้กับ ผู้บริหารระดับสูง • ลดความเสี่ยงของความล้มเหลวของระบบจัดการ และสร้างความ เชื่อมั่นในการจัดการกับสถานการณ์ที่ส่งผลกระทบต่อ
  10. 10. 10 Copyright © 2014 BSI. All rights reserved. หน้าที่ของ BCMS Auditor •ระบุโอกาสในการปรับปรุงและการลดต้นทุนผ่านการทบทวน กระบวนการ • ทาให้มั่นใจว่าทรัพยากรได้รับการจัดสรร เตรียมพร้อมตามความ จาเป็น • ปรับปรุงกระบวนการทางธุรกิจและปรับปรุงสมรรถนะธุรกิจโดยองค์ รวม • ยืนยันการสอดคล้องกับ ISO 22301 ข้อ 9.2 – 1st-party audits • ใช้ในการเลือก ประเมิน และ ปรับปรุง ผู้ส่งมอบเหมาช่วงและ ผู้ขาย– 2nd-party audits (ISO 22301 ข้อ 8.3.1) • สาหรับการตรวจรับรองระบบ – 3rd-party audits
  11. 11. 11 Copyright © 2014 BSI. All rights reserved. คุณสมบัติผู้ตรวจประเมิน ISO22301 BCM •คุณลักษณะส่วนบุคคล •ความรู้ทั่วไปและทักษะสาหรับการตรวจประเมิน •ความรู้และทักษะเฉพาะสาหรับการตรวจ กระบวนการ BCM
  12. 12. 12 Copyright © 2014 BSI. All rights reserved. ประโยชน์ของการรับรองระบบ BCMS? •สร้างความเชื่อมั่นในกระบวนการบริหาร จัดการสาหรับ BCM •สร้างความน่าเชื่อถือกับบุคคลที่สนใจ •เป็นการประกันให้แก่บุคคลที่สนใจ ว่า ระบบ BCM มีประสิทธิผล •เป็นการตรวจสอบยืนยัน ที่เป็นอิสระ ของระบบ BCM การปฏิบัติตาม สอดคล้อง และการปรับปรุง •เพิ่มชื่อเสียงทั้งภายในและภายนอก •สร้างความได้เปรียบในการแข่งขัน
  13. 13. 13 Copyright © 2014 BSI. All rights reserved. อะไรคือ การตรวจประเมิน •การตรวจประเมิน (audit) หมายถึง กระบวนการที่จัดทาขึ้นอย่าง เป็นระบบ เป็นอิสระ และเป็นลายลักษณ์อักษร เพื่อให้ได้มาซึ่ง หลักฐานการตรวจประเมิน (audit evidence) (ข้อ 3.3) และการ ตรวจประเมินผลอย่างเป็นรูปธรรมเพื่อตัดสินระดับการบรรลุผลตาม เปูาหมายของเกณฑ์การตรวจประเมิน (audit criteria) (ข้อ 3.2) 16/04/2014 ผลการประเมินหลักฐาน การตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจ ประเมิน (audit findings)
  14. 14. 14 Copyright © 2014 BSI. All rights reserved. 3.3 หลักฐานการตรวจประเมิน (audit evidence) หมายถึง บันทึก ข้อเท็จจริง หรือข้อมูลอื่นที่เกี่ยวข้องกับเกณฑ์การตรวจประเมิน (audit criteria) (3.2) และ สามารถทวนสอบได้ หมายเหตุ หลักฐานการตรวจประเมินอาจเป็นเชิงคุณภาพหรือเชิงปริมาณ 16/04/2014 ผลการประเมินหลักฐาน การตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจ ประเมิน (audit findings)
  15. 15. 15 Copyright © 2014 BSI. All rights reserved. 3.2 เกณฑ์การตรวจประเมิน (audit criteria) หมายถึง ชุดของนโยบาย ขั้นตอนการ ดาเนินการ หรือข้อกาหนดที่ ใช้อ้างอิงเพื่อนาไปเปรียบเทียบกับหลักฐานการตรวจประเมิน (audit evidence) (ข้อ 3.3) หมายเหตุ 1 ปรับปรุงมาจากมาตรฐาน ISO 9000 : 2005 บทนิยาม 3.9.3 หมายเหตุ 2 ถ้าเกณฑ์การตรวจประเมินเป็นข้อกาหนดตามกฎหมาย (ที่รับรู้โดยทั่วไปโดย ไม่มีบทบัญญัติหรือที่มี บทบัญญัติเฉพาะ) มักจะใช้คาว่า ―เป็นไปตามข้อกาหนด‖ หรือ ―ไม่ เป็นไปตามข้อกาหนด‖ ในสิ่งที่พบจาก การตรวจประเมิน (audit finding) (ข้อ 3.4) 16/04/2014 ผลการประเมินหลักฐาน การตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจ ประเมิน (audit findings)
  16. 16. 16 Copyright © 2014 BSI. All rights reserved. 3.4 สิ่งที่พบจากการตรวจประเมิน (audit findings) หมายถึง ผลการประเมินหลักฐานการ ตรวจประเมิน (audit evidence) (ข้อ 3.3) ที่เก็บรวบรวมได้เปรียบเทียบกับเกณฑ์การตรวจ ประเมิน (audit criteria) (ข้อ 3.2) หมายเหตุ 1 สิ่งที่พบจากการตรวจประเมินชี้บอกความสอดคล้องหรือความไม่สอดคล้อง หมายเหตุ 2 สิ่งที่พบจากการตรวจประเมินสามารถนาไปสู่การชี้บ่งโอกาสสาหรับการ ปรับปรุง หรือเพื่อเป็นการบันทึก แนวปฏิบัติที่ดี หมายเหตุ 3 ถ้าเกณฑ์การตรวจประเมินเป็นข้อกาหนดตามกฎหมายหรือข้อกาหนดอื่น สิ่งที่ พบจากการตรวจประเมินจะระบุว่า ―เป็นไปตามข้อกาหนด‖ หรือ ―ไม่เป็นไปตามข้อกาหนด‖ หมายเหตุ 4 ปรับปรุงมาจากมาตรฐาน ISO 9000 : 2005 บทนิยาม 3.9.5 16/04/2014 ผลการประเมินหลักฐาน การตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจ ประเมิน (audit findings)
  17. 17. 17 Copyright © 2014 BSI. All rights reserved. เกณฑ์การตรวจประเมินมีอะไรบ้าง ผลการประเมินหลักฐาน การตรวจประเมิน (audit evidence) เกณฑ์การตรวจประเมิน (audit criteria) สิ่งที่พบจากการตรวจ ประเมิน (audit findings) 16/04/2014 การตรวจประเมิน (audit)
  18. 18. มาทบทวนข้อกาหนด BCM ISO 22301 กัน 16/04/2014
  19. 19. 19 Copyright © 2014 BSI. All rights reserved. High Level Structure 4 Context of the organization Understanding of the organization and its context Expectations of interested parties Legal and regulatory Scope of management system 5 Leadership Management commitment BC policy Roles, responsibilities and authorities 6 Planning Actions to address risk and opportunity BC objectives 7 Support Resources Competence Awareness Communication 8 Operation Operations of planning and control BIA and risk assessment BC strategy Establish and implement BC procedures Exercising and testing 9 Performance and Evaluation Monitoring, measurement, analysis and evaluation Internal audit Management review 10 Improvement Nonconformity and corrective action Continual improvement PLAN DO CHECK ACT BCMS Documented information
  20. 20. 20 Copyright © 2014 BSI. All rights reserved. มาทบทวนข้อกาหนด ISO 22301 BCM •ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 16/04/2014 Case Study
  21. 21. มาวางแผนการตรวจ ISO22301 BCM กัน 16/04/2014
  22. 22. 22 Copyright © 2014 BSI. All rights reserved. วางแผนการตรวจ ISO 22301 BCM •ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 16/04/2014 Case Study
  23. 23. 23 Copyright © 2014 BSI. All rights reserved. Information that is required:  Location  Scope and duration  Objectives  Criteria  Any documentation that may be relevant  Contact names and details  Any previous audit finding (if applicable)  Any language issues  Logistics and timings if more than one site is involved 16/04/2014
  24. 24. มาเตรียม รายการตรวจสอบกัน ISO 22301 BCM 16/04/2014
  25. 25. 25 Copyright © 2014 BSI. All rights reserved. รายการตรวจสอบ ISO 22301 BCM •ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 16/04/2014
  26. 26. การทบทวนเอกสาร ISO 22301 BCM 16/04/2014
  27. 27. 27 Copyright © 2014 BSI. All rights reserved. การทบทวนเอกสาร ISO 22301 BCM •ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 16/04/2014 Case Study
  28. 28. การหาหลักฐาน ISO 22301 BCM 16/04/2014
  29. 29. 29 Copyright © 2014 BSI. All rights reserved. การหาหลักฐานการสอดคล้องและ… ISO 22301 BCM •ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 16/04/2014 Case Study
  30. 30. การรายงานความไม่สอดคล้องและ สอดคล้อง ISO 22301 BCM 16/04/2014
  31. 31. 31 Copyright © 2014 BSI. All rights reserved. การรายงาน ความไม่สอดคล้องและ… ISO 22301 BCM •ความเหมือน ความต่างกับ ISO 9001 / ISO14001 /OHSAS18001/ ISO27001 / ISO50001 16/04/2014 Case Study
  32. 32. 32 Copyright © 2014 BSI. All rights reserved. ANNEX 16/04/2014
  33. 33. ประโยชน์ของระบบ ISO 22301 16/04/2014
  34. 34. 34 Copyright © 2014 BSI. All rights reserved. เรื่องของการบริหารความต่อเนื่องทางธุรกิจ • สร้างหลักประกันให้ลูกค้าและ ผู้ลงทุน • ลดผลกระทบด้าน การเงิน • สร้างความสามารถในการแข่งขันในช่วงที่ เกิดภัยพิบัติ ภัยคุกคาม • ทาให้มั่นใจในเรื่องเวลาที่สามารถกลับมา ให้บริการ • สร้างความได้เปรียบในกรณีที่คู่แข่งไม่มี แผน • ลดความสับสนและลดการตัดสินใจที่ ผิดพลาด • ทาให้เกิดความปลอดภัยต่อ • พนักงาน • ผู้รับเหมา • ผู้เยี่ยมชม • ผู้ที่เกี่ยวช้ออื่นๆ Iso 22301 3.4 การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคาม ที่อาจจะเกิดขึ้นต่อองค์กร และผลกระทบของภัย คุกคามนั้นต่อการดาเนินธุรกิจ และให้แนวทางใน การสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น (resilience) เพื่อการตอบสนองและปกป้อง ผลประโยชน์ของผู้มีส่วนได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มี ประสิทธิผล 16/04/2014
  35. 35. 35 Copyright © 2014 BSI. All rights reserved. เรื่องของการบริหารความต่อเนื่องทางธุรกิจ การบริหารความต่อเนื่อง : ส่วนหนึ่ง ของการบริหารความเสี่ยง •เน้นที่ การ กู้กลับคืนฟังชั่นทาง ธุรกิจที่สาคัญหลังจากการ หยุดชะงัก •ธุรกิจจานวนมากไม่สามารถเปิด ดาเนินการใหม่หลังเกิดภัยพิบัติ ต่างๆ 16/04/2014
  36. 36. มาตรฐาน ความต่อเนื่องทางธุรกิจ มี อะไรบ้าง 16/04/2014
  37. 37. 37 Copyright © 2014 BSI. All rights reserved. 16/04/2014
  38. 38. 38 Copyright © 2014 BSI. All rights reserved.
  39. 39. 39 Copyright © 2014 BSI. All rights reserved. 16/04/2014
  40. 40. ทาไมต้องทา ระบบการบริหารความต่อเนื่อง ทางธุรกิจ ISO22301 16/04/2014
  41. 41. 41 Copyright © 2014 BSI. All rights reserved. ทาไมถึงต้องทา ระบบบริหารความต่อเนื่องทาง ธุรกิจ ISO 22301 งานที่ต้องทาทุกวันก็เยอะ ทาไมเราไม่ยอมรับความเสี่ยง ! •หากเกิดภาวะวิกฤติ ท่านแน่ใจว่าจะสามารถจัดการภาวะวิกฤติได้ ดีกว่าคู่แข่ง และ หากไม่ดีกว่าเราจะสูญเสียอะไรไปและเท่าไหร่ •พนักงานท่านและลูกค้าท่านมีความปลอดภัยในชีวิตและทรัพสินย์ หรือไม่ •ท่านวางแผนรองรับสื่อมวลชน ผู้ถือหุ้น พนักงานท่านได้ดีเพียงใด เมื่อเกิดภาวะวิกฤติ •ท่านได้เริ่มลด หรือ กาจัด เหตุที่อาจทาให้ไม่เกิดความต่อเนื่องบ้าง หรือยัง เช่น เหตุแห่งก่อให้เกิด ไฟใหม้ น้าท่วม การโจรกรรมข้อมูล หรือยัง 16/04/2014
  42. 42. 42 Copyright © 2014 BSI. All rights reserved. ทาไมถึงต้องทา ระบบบริหารความต่อเนื่องทาง ธุรกิจ ISO 22301 หลังวิกฤติ •โอกาสทางธุรกิจ •ได้มีโอกาสลูกค้าใหม่ๆ •สนับสนุนลูกค้าเก่า •ชื่อเสียง •บริการชุมชน •กลยุทธ์การสื่อสาร สร้าง กระแสดี 16/04/2014
  43. 43. 43 Copyright © 2014 BSI. All rights reserved. 1. ขอบข่าย มาตรฐานนี้ใช้สาหรับการบริหารความต่อเนื่องทางธุรกิจ โดยระบุข้อกาหนดเพื่อ วางแผน จัดทา นาไปปฏิบัติ ดาเนินการ เฝูาระวัง ทบทวน รักษาไว้ และปรับปรุง ระบบการจัดการที่เป็นเอกสารอย่างต่อเนื่อง เพื่อปกปูอง ลดโอกาสของการเกิด เตรียมการ ตอบสนอง และฟื้นฟูจากอุบัติการณ์ที่ทาให้เกิดการหยุดชะงักขึ้น. ข้อกาหนดในมาตรฐานนี้เป็นข้อกาหนดทั่วไปและตั้งใจให้นาไปประยุกต์ใช้ได้กับ ทุกองค์กร (หรือบางส่วน) โดยไม่คานึงถึงประเภท ขนาด และลักษณะขององค์กร ขอบเขตของการประยุกต์ใช้ข้อกาหนดนี้ขึ้นอยู่กับ สภาพแวดล้อมและความ ซับซ้อนของการดาเนินการขององค์กร. มาตรฐานนี้ไม่ได้ตั้งใจให้มีการนาไปปฏิบัติโดยมีการจัดทาโครงสร้างของระบบการ บริหารความต่อเนื่องทางธุรกิจที่เหมือนกันในทุกองค์กร แต่ต้องการให้แต่ละ องค์กรมีการออกแบบระบบการบริหารความต่อเนื่องทางธุรกิจที่เหมาะสมกับความ ต้องการและเป็นไปตามข้อกาหนดของผู้มีส่วนได้เสีย รวมทั้งต้องเป็นไปตาม กฎหมายกฎระเบียบ ข้อกาหนดขององค์กรและภาคอุตสาหกรรม ผลิตภัณฑ์ และ บริการ กระบวนการในการจ้างงาน ขนาด และโครงสร้างขององค์กร และ ข้อกาหนดของผู้มีส่วนได้เสีย.16/04/2014 ทาไมถึงต้องทา ระบบบริหารความต่อเนื่องทาง ธุรกิจ ISO 22301
  44. 44. 44 Copyright © 2014 BSI. All rights reserved. สาหรับหน่วยงานภาครัฐ หรือ รัฐวิสาหกิจ •สาหรับแนวคิดการบริหารความต่อเนื่องของหน่วยงานภาครัฐ หน่วยงานควรเน้นการควบคุมดูแลและปูองกันทรัพยากรที่สาคัญต่อ การดาเนินงานหรือให้บริการ เพื่อสร้างประโยชน์สูงสุดสาหรับ ผู้รับบริการและผู้มีส่วนได้ส่วนเสีย •โดยหากการควบคุมภายในที่มีอยู่ ไม่สามารถควบคุมดูแลและ ปูองกันได้ทั้งหมด เมื่อเกิดอุบัติการณ์ขึ้น ระดับการดาเนินงานหรือ ให้บริการของหน่วยงานจะลดลง •ดังนั้น บทบาทหน้าที่ของหน่วยงานภาครัฐ คือต้องรีบดาเนินการให้ ระดับการดาเนินงานหรือให้บริการกลับมาในระดับที่เหมือนภาวะ ปกติซึ่งจาเป็นต้องใช้เวลา 16/04/2014
  45. 45. 45 Copyright © 2014 BSI. All rights reserved. อะไรคือภัยภิบัติ ที่อาจมีต่อองค์กรคุณ 16/04/2014
  46. 46. 46 Copyright © 2014 BSI. All rights reserved. 16/04/2014
  47. 47. 47 Copyright © 2014 BSI. All rights reserved. 16/04/2014
  48. 48. 48 Copyright © 2014 BSI. All rights reserved. 16/04/2014
  49. 49. อะไรคือ ระบบบริหารความต่อเนื่องทางธุรกิจ อะไรคือ การบริหารความพร้อมต่อสภาวะวิกฤติ 16/04/2014
  50. 50. 50 Copyright © 2014 BSI. All rights reserved. อุบัติการณ์, การชะงัก และ ผลกระทบ.. อุบัติการณ์ : ไฟใหม้ สถานการณ์ที่อาจทาให้หรือสามารถ นาไปสู่การหยุดชะงัก ความสูญเสีย ภาวะฉุกเฉิน หรือ สภาวะวิกฤต หยุดชะงัก เพราะเครื่องจักร เสียหาย หรือ พนักงานไม่อาจ เข้าพื้นที่ทางานเพื่อปฎิบัติงานได้ ผลกระทบ ทาให้ไม่อาจทางานหรือดาเนิน กิจกรรม ตามปกติได้
  51. 51. 51 Copyright © 2014 BSI. All rights reserved. อะไรคือ การชะงักทางธุรกิจ •ธุรกิจไม่สามารถดาเนินการได้ในระดับเดียวกันก่อนหน้า เกิดอุบัติการณ์ •มีการเสียรายได้ และ ลูกค้า •มีการเสียชื่อเสียง ภาพพจน์ 16/04/2014
  52. 52. 52 Copyright © 2014 BSI. All rights reserved. อะไรทาให้เกิดความชะงักทางธุรกิจ เกิดความเสียหายต่อ….. จนเกิดความชะงักทางธุรกิจ •อาคาร สถานที่ พื้นที่ •ชีวิตหรือบาดเจ็บ ท่านและพนักงาน •เครื่องมือ เครื่องจักร •บันทึก เอกสารทางบัญชี •วัตถุดิบ •เครื่องคอมพิวเตอร์ ฮาร์ดแวร์ ซ๊อฟแวร์ •ผลิตภัณฑ์สาเร็จ / สินค้าคงคลัง •ระบบน้า ไฟ ปรับอากาศ สื่อสาร •อื่นๆ 16/04/2014
  53. 53. 53 Copyright © 2014 BSI. All rights reserved. ประเภทของสิ่งที่ทาให้ธุรกิจหยุดชะงัก ภัยพิบัติทางธรรมชาติ น้าท่วม พายุ etc ภัยคุกคาม ที่อาจมีได้บ่อยกว่า ไม่มีน้า ไม่มีพลังงาน การล้มเหลวทางเทคโนโลยี เส้นทางถูกปิดกั้น ประตูถูกปิดล้อม Etc. 16/04/2014
  54. 54. 54 Copyright © 2014 BSI. All rights reserved. อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ 3.3 ความต่อเนื่องทางธุรกิจ (business continuity) ความสามารถขององค์กรในการส่งมอบผลิตภัณฑ์หรือ บริการได้ต่อไปภายหลังเกิดอุบัติการณ์ที่ทาให้เกิดการ หยุดชะงัก ในระดับที่ยอมรับได้ตามที่กาหนดไว้ 16/04/2014
  55. 55. 55 Copyright © 2014 BSI. All rights reserved. 16/04/2014 อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ
  56. 56. 56 Copyright © 2014 BSI. All rights reserved. อะไรคือ ระบบการบริหารความต่อเนื่องทางธุรกิจ 3.4 การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคามที่อาจจะเกิดขึ้นต่อ องค์กร และผลกระทบของภัยคุกคามนั้นต่อการดาเนินธุรกิจ และให้ แนวทางในการสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น (resilience) เพื่อการตอบสนองและปกปูองผลประโยชน์ของผู้มีส่วน ได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มี ประสิทธิผล 16/04/2014 ภัยคุกคาม vs ภัยไม่คุกคาม
  57. 57. 57 Copyright © 2014 BSI. All rights reserved. ภัยคุกคาม (threats) vs ภัยพิบัติ (Disaster) คุกคามคือการทาให้ หวาดกลัว จึงต้อง หาทางทาให้ไม่ หวาดกลัว 16/04/2014 ทาอย่างไร จึง จะไม่ หวาดกลัว
  58. 58. 58 Copyright © 2014 BSI. All rights reserved. 16/04/2014
  59. 59. 59 Copyright © 2014 BSI. All rights reserved. 16/04/2014
  60. 60. 60 Copyright © 2014 BSI. All rights reserved. เรื่องราวของภัยพิบัติ ชม VDO 16/04/2014
  61. 61. 61 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติ (Disaster) ภัยพิบัติ (Disaster) หมายถึง ภัยที่เกิดขึ้นแก่ สาธารณชน ได้ อัคคีภัย วาตภัย อุทกภัย สึนา มิ ตลอดจนภัยอื่น ๆ อันเป็นสาธารณะ ไม่ว่า จะเกิดจากธรรมชาติหรือมีผู้กระทาให้เกิดขึ้น ซึ่งก่อให้เกิดอันตรายแก่ชีวิตร่างกายของ ประชาชน หรือความเสียหายแก่ทรัพย์สินของ ประชาชนหรือของรัฐ (พ.ร.บ. ปูองกันภัยฝุาย พลเรือน พ. ศ. 2522) ซึ่งภัยธรรมชาติเป็น ส่วนหนึ่งของภัยพิบัติ ภัยธรรมชาติ (Natural Disaster) หมายถึง ภัยอันตรายต่าง ๆ ที่เกิดขึ้นตาม ธรรมชาติ และมีผลกระทบต่อชีวิต ความ เป็นอยู่ของมนุษย์ (environnet , กรมส่งเสริม คุณภาพสิ่งแวดล้อม) สามารถแบ่งภัย ธรรมชาติออกได้เป็น 4 ด้าน ดังนี้ 16/04/2014
  62. 62. 62 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติ (Disaster) 1.ภัยธรรมชาติด้านน้า 1.1 อุทกภัย (Flood) 1.ภัยธรรมชาติด้านน้า 1) น้าปุาไหลหลาก หรือน้าท่วมฉับพลัน (flash flood) 2) น้าท่วมขัง (drainage flood) 3) น้าล้นตลิ่ง (river flood) 4) คลื่นสึนามิ (tsunami) 1.2 ภัยแล้ง (Droughts) 1) สภาวะอากาศแห้งแล้ง (Metrological drought) 2) สภาวะการขาดน้า (Hydrological drought) 3) สภาวะความแห้งแล้งทางการเกษตร (Agricultural drought) 16/04/2014
  63. 63. 63 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติ (Disaster) 2.ภัยธรรมชาติด้านลม วาตภัย (Storms) หมายถึง ภัยที่เกิดขึ้นจากพายุ ลมแรง จนทาให้เกิดความเสียหายแก่อาคาร บ้านเรือน ต้นไม้ และสิ่งก่อสร้าง สาหรับในประเทศ ไทยวาตภัยหรือพายุลมแรงมีสาเหตุมาจาก ปรากฎการณ์ทางธรรรมชาติ (กรมอุตุนิยมวิทยา) คือ 1)พายุหมุนเขตร้อน (Tropical cyclone) 2)พายุฤดูร้อน 3) ลมงวง (เทอร์นาโด) 16/04/2014
  64. 64. 64 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติ (Disaster) 3. ภัยธรรมชาติด้านไฟ ไฟปุา (Wildfire) หมายถึง ภัยธรรมชาติ ซึ่งเกิดจากมนุษย์เป็นส่วนมาก ได้แก่ การ เผาหาของปุา เผาทาไร่เลื่อนลอย เผา กาจัดวัชพืช ส่วนน้อยที่เกิดจากการเสียดสี ของต้นไม้แห้ง ผลกระทบจากไฟปุาทาให้ เกิดมลพิษในอากาศมากขึ้น ผงฝุุน ควันไฟ กระจายในอากาศทั่วไป ไม่สามารถลอย ขึ้นเบื้องบนได้ มองเห็นไม่ชัดเจน สุขภาพ เสื่อม พืชผลการเกษตรด้อยคุณภาพ แหล่งทรัพยากรลดลง (environnet , กรม ส่งเสริมคุณภาพสิ่งแวดล้อม) 16/04/2014
  65. 65. 65 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติ (Disaster) 4. ภัยธรรมชาติด้านดิน 4.1 ภูเขาไฟระเบิด (Volcano) 4.2 แผ่นดินไหว (Earthquakes) 4.3 แผ่นดินถล่ม (land slides) 16/04/2014
  66. 66. 66 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติ (Disaster) • ภัยหนาว เริ่มมีความเสียหายมากขึ้นเรื่อยๆ เนื่องจากว่าสภาพอากาศโลกเปลี่ยน ช่วงหลังๆ จึงมีคนตาย มีผลกระทบต่อเศรษฐกิจเพราะเพาะปลูกไม่ได้ • ภัยหมอกควัน • โรคระบาดในมนุษย์ เช่น เมื่อ 5 ปีที่ผ่านมา เกิดโรคไข้หวัดนกขึ้นหลายรุ่นด้วยกัน และพัฒนาขึ้นเรื่อยๆ ซึ่งโรคภัยเหล่านี้เป็นสิ่งที่ต้องระวังเพราะส่งผลกระทบต่อ คนโดยตรง • ภัยจากโรคแมลง ศัตรูพืชระบาด • ภัยจากโรคระบาดในสัตว์น้า • ที่มา http://thaipublica.org/2012/10/18-disaster-risk/ 16/04/2014
  67. 67. 67 Copyright © 2014 BSI. All rights reserved. ภัยพิบัติที่เกิดจากมนุษย์ 1. ภัยจากสารเคมีและวัตถุอันตราย บริเวณที่ตั้งโรงงานอุตสาหกรรม 2. ภัยจากเทคโนโลยีสารสนเทศ 3. ภัยจากคมนาคมการขนส่ง เช่น อุบัติเหตุ 4. ภาวะฉุกเฉิน เช่นภัยจากน้ามันที่ รั่วไหล ส่งผลต่อคุณภาพน้า เศรษฐกิจ ร้านค้าบ้านเรือนต้องปิดตัว ไม่สามารถอยู่ได้ ก็เป็นเหตุการณ์ที่ เกิดจากมนุษย์ที่ส่งผลกระทบรุนแรง เป็นปีๆ 5. การแผ่กระจายของกัมมันตภาพรังสี 6. การชุมนุม การประท้วง และการก่อ จลาจล 7. Etc. 16/04/2014
  68. 68. 68 Copyright © 2014 BSI. All rights reserved. ภัยคุกคาม(threats) vs ภัยพิบัติ(Disaster) 16/04/2014
  69. 69. 69 Copyright © 2014 BSI. All rights reserved. เรื่องราวของภัยพิบัติ •Disaster ภัยพิบัติ ฉับพลัน ทันที ไม่มีสิ่งเตือน ที่ซึ่งทาให้ สูญเสีย หยุดชะงักของ ความสามารถองค์กรในการส่ง มอบผลิตภัณฑ์บริการ การ ดาเนินธุรกิจ ชนิด • ธรรมชาติวิบัติ • ฮาร์ดแวร์ • ไฟ • ไม่มีพลังงาน • etc 16/04/2014
  70. 70. 70 Copyright © 2014 BSI. All rights reserved. เรื่องราวของภัยพิบัติ •พายุ ทาให้เกิดน้าท่วม •น้าท่วม ทาให้เกิดผลกระทบต่อ ผลิตภัณฑ์บริการ อาคารสถานที่ ผู้ส่งมอบ ผู้รับเหมาช่วง ลูกค้า พนักงาน 16/04/2014
  71. 71. 71 Copyright © 2014 BSI. All rights reserved. เรื่องราวของภัยคุกคาม ภัยคุกคาม (Threat) คือ วัตถุ สิ่งของ ตัวบุคคล หรือสิ่งอื่นใดที่ เป็นตัวแทนของการกระทาอันตรายต่อ ทรัพย์สิน หรือ สิ่งที่อาจจะก่อให้เกิดความ เสียหาย ภัยคุกคามมีหลายประเภท หลายกลุ่ม เช่น - ภัยคุกคามที่ถูกทาให้เกิดขึ้นโดยเจตนา - ภัยคุกคามที่ถูกทาให้เกิดขึ้นโดยไม่เจตนา - ภัยคุกคามที่เกิดจากภัยธรรมชาติ 16/04/2014
  72. 72. 72 Copyright © 2014 BSI. All rights reserved. อะไรคือภัยคุกคาม ที่อาจเกิดกับองค์กร 16/04/2014
  73. 73. 73 Copyright © 2014 BSI. All rights reserved. 16/04/2014 อะไรคือภัยคุกคามที่มักชี้บ่งกัน ? 3.4 การบริหารความต่อเนื่องทางธุรกิจ (business continuity management - BCM) กระบวนการบริหารแบบองค์รวมซึ่งชี้บ่งภัยคุกคามที่อาจจะเกิดขึ้นต่อ องค์กร และผลกระทบของภัยคุกคามนั้นต่อการดาเนินธุรกิจ และให้ แนวทางในการสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น (resilience) เพื่อการตอบสนองและปกปูองผลประโยชน์ของผู้มีส่วน ได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มี ประสิทธิผล
  74. 74. 74 Copyright © 2014 BSI. All rights reserved. 16/04/2014
  75. 75. 75 Copyright © 2014 BSI. All rights reserved. 16/04/2014
  76. 76. 76 Copyright © 2014 BSI. All rights reserved. 16/04/2014
  77. 77. อะไรคือ แผนบริหารความต่อเนื่องทาง ธุรกิจ 16/04/2014
  78. 78. 78 Copyright © 2014 BSI. All rights reserved. อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ •อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ ( BC Plan) •อะไรคือ แผนประคับประคองกิจการ ( BC Plan) •อะไรคือ แผนการจัดการในภาวะวิกฤติ ( Crisis Management Plan) •อะไรคือ แผนฉุกเฉิน (Emergency Plan) •อะไรคือ แผนรับมือเหตุฉุกเฉิน (Contingency Plan ) •อะไรคือ แผนฟื้นฟู ( Recovery plan) 16/04/2014
  79. 79. 79 Copyright © 2014 BSI. All rights reserved. อะไรคือ แผนบริหารความต่อเนื่องทางธุรกิจ 3.6 แผนความต่อเนื่องทางธุรกิจ (business continuity plan) เอกสารขั้นตอนการดาเนินงานที่ให้แนวทางแก่องค์กรในการตอบสนอง การฟื้นฟู การกลับมาดาเนินการและการติดตั้งเพื่อให้สามารถดาเนินงานได้ในระดับที่กาหนด ไว้ภายหลังจากการหยุดชะงัก หมายเหตุ โดยทั่วไปแผนความต่อเนื่องทางธุรกิจจะครอบคลุมถึงทรัพยากร การ บริการ และ กิจกรรมต่างๆ ที่ต้องการ เพื่อให้มั่นใจว่าภารกิจ/หน้าที่ที่มีความสา คัญต่อธุรกิจ ยังคงดาเนินงานได้อย่างต่อเนื่อง 16/04/2014
  80. 80. องค์ประกอบหลักของระบบ ISO 22301 16/04/2014
  81. 81. 81 Copyright © 2014 BSI. All rights reserved. สามองค์ประกอบหลัก ของ ISO 22301 16/04/2014 8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์ 8.4.3 การแจ้งเตือนและการสื่อสาร 8.4.4 แผนความต่อเนื่องทางธุรกิจ 8.4.5 แผนฟื้นฟู
  82. 82. 82 Copyright © 2014 BSI. All rights reserved. 8.4 การจัดทาและการนาขั้นตอนการ ดาเนินงานการบริหารความต่อเนื่องทางธุรกิจ ไปปฏิบัติ 8.4.1 ทั่วไป 8.4.2 โครงสร้างการตอบสนองต่ออุบัติการณ์ 8.4.3 การแจ้งเตือนและการสื่อสาร 8.4.4 แผนความต่อเนื่องทางธุรกิจ 8.4.5 การฟื้นฟู 16/04/2014 ขั้นตอนการดาเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure)
  83. 83. 83 Copyright © 2014 BSI. All rights reserved. ขั้นตอนการดาเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure) การตอบสนองภาวะฉุกเฉิน (Emergency Response) : (Req 8.4.2) การตอบสนองที่เริ่มต้นจากการหยุดชะงักทางธุรกิจ ซึ่งเกี่ยวข้องกับการปูองกันผู้คน และเจ้าหน้าที่และทรัพย์สินจากภัยอันตรายที่เกิดขึ้นด้วยทีมงานบริหารจัดการใน ภาวะวิกฤติเพื่อ ตรวจสอบสถานการณ์และตอบสนอง การตอบสนองเพื่อให้ธุรกิจดาเนินได้อย่างต่อเนื่อง (Continuity Response) : (Req 8.4.4) การแก้ไขปัญหาในด้านกระบวนการผลิตและการให้บริการแก่กลุ่มผู้มีส่วนได้ส่วน เสียด้วยทรัพยากรที่มีอยู่อย่างจากัด ภายหลังจากการหยุดชะงักทางธุรกิจ เพื่อให้ แน่ใจว่าสามารถให้บริการหลักๆ ได้อย่างต่อเนื่อง การตอบสนองต่อการกอบกู้ธุรกิจคืน (Recovery response) : (Req 8.4.5) กระบวนการบริหารจัดการและสั่งการที่มีการจัดตั้งขึ้นมาใหม่หรือกระบวนการฟื้นฟู หลักๆ เพื่อให้สามารถกลับมาดาเนินกิจกรรมได้ตามปกติ รวมทั้งอาจจะมีการ ปรับปรุงเนื้อหาของ ขอบเขตการปฏิบัติงาน วัตถุประสงค์การให้บริการและการ ปฏิบัติงาน และกลยุทธ์ที่ใช้ในการดาเนินงานในภาวะวิกฤติ 16/04/2014
  84. 84. 84 Copyright © 2014 BSI. All rights reserved. 1) ภายในช่วงระยะเวลาแรก จะเป็นช่วงของการตอบสนองต่ออุบัติการณ์ (Incident/ Emergency Management) อย่างไรก็ตาม ในกรณีที่เหตุการณ์และความเสียหายขยายตัว ไปในวงกว้าง การตอบสนองอาจจาเป็นต้องยกระดับเป็นการบริหารจัดการวิกฤต (Crisis Management) 2) ภายหลังจากนั้น จะเป็นช่วงของการทาให้เกิดความต่อเนื่องของกระบวนการทางธุรกิจ (Continuity Management) เพื่อให้หน่วยงานสามารถกลับมาดาเนินงานได้ ซึ่งแยกเป็น 2 ระดับ (1) ดาเนินงานหรือให้บริการได้ในระดับที่องค์กรยอมรับกับผลกระทบที่เกิดขึ้นกับ ผู้รับบริการและผู้มีส่วนได้ส่วนเสียทั้งหมดภายในระยะอันสั้น ( Business Cont) (2) กลับมาให้บริการได้ในระดับปกติตามระยะเวลาที่กาหนด ในช่วงการดาเนินการ กอบกู้กระบวนการทางธุรกิจ (Recovery) 16/04/2014 ขั้นตอนการดาเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure)
  85. 85. 85 Copyright © 2014 BSI. All rights reserved. 16/04/2014 ขั้นตอนการดาเนินงานความต่อเนื่องทางธุรกิจ (business continuity procedure procedure)
  86. 86. 86 Copyright © 2014 BSI. All rights reserved. Prevent System Fail / avoidable incident Maintain operation when problem occur ( prevent an incident from escalating in to critical event or failure.) How essential operations and service are maintained or through alternative arangement Restore normal operation
  87. 87. สมรรถนะของการบริหารความต่อเนื่อง ทางธุรกิจ 16/04/2014
  88. 88. 88 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 6.2 วัตถุประสงค์ความต่อเนื่องทางธุรกิจและแผนงานเพื่อทา ให้บรรลุวัตถุประสงค์ ผู้บริหารสูงสุดต้องมั่นใจว่ามีการกาหนดวัตถุประสงค์ความต่อเนื่องทางธุรกิจและ สื่อสารไปยังหน่วยงานในระดับต่างๆ ที่เกี่ยวข้องภายในองค์กร วัตถุประสงค์ความต่อเนื่องทางธุรกิจต้อง ก) สอดคล้องกับนโยบายความต่อเนื่องทางธุรกิจ ข) คานึงถึงระดับต่าสุดของผลิตภัณฑ์และบริการที่สามารถยอมรับได้เพื่อให้บรรลุ ตามวัตถุประสงค์ ทางธุรกิจขององค์กร ค) สามารถวัดได้ ง) คานึงถึงข้อกาหนดที่เกี่ยวข้อง จ) เฝูาระวังและปรับให้ทันสมัยตามความเหมาะสม องค์กรต้องเก็บรักษาเอกสารสารสนเทศเกี่ยวกับวัตถุประสงค์ความต่อเนื่องทาง ธุรกิจ 16/04/2014
  89. 89. 89 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 8.1 การวางแผนและการควบคุมการดาเนินการ องค์กรต้องพิจารณา วางแผน นาไปปฏิบัติ และควบคุมกระบวนการที่จาเป็นเพื่อให้ เป็นไปตามข้อกาหนดและการดาเนินการตามข้อ 6.1 โดย ก) จัดทาเกณฑ์ควบคุมสาหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กาหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่ กาหนดไว้ องค์กรต้องควบคุมการเปลี่ยนแปลงจากที่ได้วางแผนไว้ และทบทวนผลที่จะเกิด ตามมาจากการเปลี่ยนแปลงที่ไม่ได้ตั้งใจและดาเนินการเพื่อบรรเทาผลกระทบด้าน ลบตามความจาเป็น องค์กรต้องมั่นใจว่ามีการควบคุมกระบวนการที่ให้หน่วยงานอื่นดาเนินการแทน 16/04/2014
  90. 90. 90 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 9.1 การเฝ้าระวัง การวัด การวิเคราะห์ และการประเมิน 9.1.1 ทั่วไป องค์กรต้องพิจารณาถึง ก) สิ่งที่ต้องการวัดและเฝ้าระวัง ข) วิธีการสาหรับการเฝูาระวัง การวัด การวิเคราะห์ และการประเมิน เพื่อให้มั่นใจ ถึงความถูกต้องของผลลัพธ์ตามความเหมาะสม ค) เวลาที่ต้องดาเนินการวัดและเฝูาระวัง ง) เวลาที่ต้องดาเนินการวิเคราะห์และการประเมินผลลัพธ์ที่ได้จากการวัดและเฝูา ระวัง องค์กรต้องเก็บรักษาเอกสารสารสนเทศเพื่อเป็นหลักฐานแสดงถึงผลลัพธ์อย่าง เหมาะสม องค์กรต้องประเมินสมรรถนะและประสิทธิผลของระบบการบริหารความต่อเนื่อง ทางธุรกิจนอกจากนี้ 16/04/2014
  91. 91. 91 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.25 ช่วงเวลาการหยุด บริการที่ยอมรับได้สูงสุด (maximum acceptable outage - MAO) ช่วงเวลาที่ส่งผลกระทบทาให้ ไม่สามารถยอมรับได้จากการ จัดส่งสินค้า หรือให้บริการ หรือดาเนินกิจกรรม หมายเหตุ ดูช่วงเวลาการ หยุดชะงักที่ยอมรับได้สูงสุด 16/04/2014 ชะงักมากกว่านี้ บริษัทอาจต้อง ปิดกิจการ ล้มละลาย
  92. 92. 92 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.26 ช่วงเวลาการ หยุดชะงักที่ยอมรับได้ สูงสุด (maximum tolerable period of disruption - MTPD) ช่วงเวลาที่ส่งผลกระทบทาให้ ไม่สามารถยอมรับได้จากการ จัดส่งสินค้า หรือให้บริการ หรือดาเนินกิจกรรม หมายเหตุ ดูช่วงเวลาการหยุด บริการที่ยอมรับได้สูงสุด 16/04/2014 ชะงักมากกว่านี้ บริษัทอาจต้อง ปิดกิจการ ล้มละลาย
  93. 93. 93 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 16/04/2014 MAO MTPD เส้น ยถากรรม
  94. 94. 94 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.45 ระยะเวลาเปูาหมายในการฟื้นคืนสภาพ (recovery time objective - RTO) ระยะเวลาภายหลังจากเกิดอุบัติการณ์ขึ้น ที่ทาให้ - ผลิตภัณฑ์หรือบริการต้องกลับคืนสภาพเดิม - กิจกรรมต้องกลับมาดาเนินการได้ - ทรัพยากรต้องได้รับการฟื้นฟู หมายเหตุ สาหรับผลิตภัณฑ์ บริการ และกิจกรรม ระยะเวลาเปูาหมายในการฟื้นคืน สภาพต้องน้อยกว่าระยะเวลาของผลกระทบด้านลบที่เกิดจากการที่ไม่สามารถส่ง มอบผลิตภัณฑ์/บริการ อยู่ในระดับที่ไม่สามารถเป็นที่ยอมรับได้ 16/04/2014 ทาได้เร็วขนาด ไหนให้เริ่มกลับมา ดาเนินธุรกิจต่อได้ (บ้าง)
  95. 95. 95 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 16/04/2014 RTO
  96. 96. 96 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 3.28 วัตถุประสงค์ความต่อเนื่องทางธุรกิจขั้นต่าสุด (minimum business continuity objective - MBCO) ระดับต่าสุดของการบริการ และ/หรือ ผลิตภัณฑ์ที่องค์กรยอมรับ โดย ยังคงสามารถบรรลุวัตถุประสงค์ ทางธุรกิจในระหว่างเกิดการหยุดชะงัก 16/04/2014
  97. 97. 97 Copyright © 2014 BSI. All rights reserved. สมรรถนะของการบริหารความต่อเนื่องทางธุรกิจ 16/04/2014 MBCO
  98. 98. 98 Copyright © 2014 BSI. All rights reserved. ทาไม ต้องสนใจตัวเลข MAO / MTPD/ RTO/ MBCO 8.1 การวางแผนและการควบคุมการดาเนินการ องค์กรต้องพิจารณา วางแผน นาไปปฏิบัติ และควบคุมกระบวนการที่จาเป็นเพื่อให้เป็นไปตาม ข้อกาหนด และการดาเนินการตามข้อ 6.1 โดย ก) จัดทาเกณฑ์ควบคุมสาหรับกระบวนการเหล่านั้น ข) ควบคุมกระบวนการเหล่านั้นให้เป็นไปตามเกณฑ์ที่ได้กาหนดไว้ ค) จัดเก็บเอกสารสารสนเทศเพื่อแสดงว่ามีการควบคุมกระบวนการตามแผนที่กาหนดไว้ 16/04/2014
  99. 99. เรื่องของความเสี่ยง สาหรับคนที่ไม่ชอบ ทาอะไรเสี่ยงๆ 16/04/2014
  100. 100. 100 Copyright © 2014 BSI. All rights reserved. นิยามของ Risk 3.48 ความเสี่ยง (risk) ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์ หมายเหตุ 1 ผลกระทบคือการเบี่ยงเบนไปจากสิ่งที่คาดหวังไว้ ทั้งที่ดีหรือไม่ดี หมายเหตุ 2 วัตถุประสงค์สามารถมีแง่มุมที่แตกต่างกัน (เช่น การเงิน สุขภาพและความ ปลอดภัย และเปูาประสงค์ด้านสิ่งแวดล้อม) และสามารถประยุกต์ใช้ได้ในระดับต่างๆ (เช่น กลยุทธ์ ทั่วทั้งองค์กร โครงการ ผลิตภัณฑ์ และกระบวนการ) วัตถุประสงค์อาจแสดงได้ใน วิธีการอื่นๆ เช่นผลสัมฤทธิ์ที่ต้องการ จุดประสงค์ เกณฑ์การดาเนินการ วัตถุประสงค์การ ดาเนินธุรกิจอย่างต่อเนื่อง หรืออาจจะใช้คาอื่นที่มีความหมายเช่นเดียวกัน เช่น จุดมุ่งหมาย เปูาประสงค์หรือเปูาหมาย หมายเหตุ 3 ความเสี่ยงมักจะแบ่งแยกโดยอ้างอิงถึงเหตุการณ์ที่อาจจะเกิดขึ้น (Guide 73 ข้อ 3.5.1.3) และผลกระทบที่เกิดขึ้นตามมา (Guide 73 ข้อ 3.6.1.3) หรือสองอย่างนี้ รวมกัน 16/04/2014 วิธีการหา Risk
  101. 101. 101 Copyright © 2014 BSI. All rights reserved. นิยามของ Risk 3.48 ความเสี่ยง (risk) ผลกระทบของความไม่แน่นอนต่อวัตถุประสงค์ หมายเหตุ 4 ความเสี่ยงมักจะแสดงออกในรูปของผลรวมของผลสืบเนื่องจากเหตุการณ์ (รวมถึงการเปลี่ยนแปลงของสถานการณ์กับโอกาสที่จะเกิดขึ้น (Guide 73 ข้อ 3.6.1.1) หมายเหตุ 5 ความไม่แน่นอน เป็นสภาวะของการขาดข้อมูลเกี่ยวกับความเข้าใจหรือความรู้ ของเหตุการณ์ผลที่ตามมา หรือโอกาสของการเกิด หมายเหตุ 6 ในบริบทของมาตรฐานระบบการบริหารความต่อเนื่องทางธุรกิจ วัตถุประสงค์ ความต่อเนื่องทางธุรกิจถูกกาหนดขึ้นโดยองค์กรซึ่งสอดคล้องกับนโยบายความต่อเนื่อง ทางธุรกิจ เพื่อให้บรรลุผลลัพธ์ที่กาหนดไว้ ในการประยุกต์ใช้คา ว่า ―ความเสี่ยงและ องค์ประกอบองการจัดการความเสี่ยง‖ ควรอ้างอิงถึงวัตถุประสงค์ขององค์กร แต่ไม่จากัด เพียงวัตถุประสงค์ความต่อเนื่องทางธุรกิจที่ระบุไว้ในข้อ 6.2 ของมาตรฐานนี้เท่านั้น 16/04/2014
  102. 102. 102 Copyright © 2014 BSI. All rights reserved. 16/04/2014
  103. 103. 103 Copyright © 2014 BSI. All rights reserved. 16/04/2014
  104. 104. 104 Copyright © 2014 BSI. All rights reserved. เวลาแห่งการมองโลกแห่งความเป็นจริง ยากต่อการคาดเดาสาเหตุที่แท้จริงของวิกฤติการณ์ แต่ท่านสามารถ พยายามคิดถึงอุปสรรคปัญหาหลักเพื่อหาทางผ่อนคลาย ลด ผลกระทบที่ตามมา และหาทางหนีทีไล่โดยมีแผนสารอง • มีอะไรเกิดขึ้นกับธุรกิจท่านในอดีต หรือเกือบๆมีหรือไม่ • ธุรกิจที่คล้ายกัน ได้รับผลกระทบจากการหยุดชะงัก หรือจากวิกฤติการณ์ใดๆ หรือไม่ • ในพื้นที่ที่ตั้ง เคยมีปัญหา หรือจะมีผลกระทบต่อธุรกิจท่านหรือไม่ • ท่านอยู่ในพื้นที่สุ่มเสี่ยงต่อน้าท่วม น้าหลากหรือไม่ • ท่านมีรายงานการตรวจสอบ ประเมิน ความเสี่ยงก่อนหน้านี้หรือไม่ • ท่านได้เดินรอบสถานประกอบการณ์ และ คิดว่าอะไรอาจเกิดความผิดพลาดที่ สร้างปัญหามาก่อนหรือไม่ เช่น ท่อน้าเหนือ server การรักษาความปลอดภัย ระบบปูองกันไฟ ความปลอดภัยข้อมูล 16/04/2014
  105. 105. 105 Copyright © 2014 BSI. All rights reserved. นิยามของ Risk ความเสี่ยง/ ปัญหา โอกาส ผลกระทบ ลาดับ ความสาคัญ มาตรการ ป้องกัน แผนสารอง 16/04/2014
  106. 106. 106 Copyright © 2014 BSI. All rights reserved. 4 risk treatment •Avoidance •Retention •Control •transference 16/04/2014
  107. 107. 107 Copyright © 2014 BSI. All rights reserved. การเลือก risk treatment 16/04/2014 Critical หมดตัว หมดเงิน ลงทุน ทรัพย์สินเสียหาย ธุรกิจหยุดชะงัก Significant ต้องหยิบยืมเงิน หรือ ต้องขายทรัพย์สิน กิจการเพื่อครอบคลุมความ สูญเสีย Insignificant รถเฉี่ยวชน มีการเสียหายเล็กน้อยต่อการดาเนินธุรกิจ
  108. 108. 108 Copyright © 2014 BSI. All rights reserved. การเลือก risk treatment Critical หมดตัว หมดเงินลงทุน ทรัพย์สินเสียหาย ธุรกิจหยุดชะงัก Significant ต้องหยิบยืมเงิน หรือ ต้องขายทรัพย์สิน กิจการเพื่อครอบคลุมความสูญเสีย Insignificant รถเฉี่ยวชน มีการเสียหายเล็กน้อยต่อการ ดาเนินธุรกิจ 16/04/2014
  109. 109. 109 Copyright © 2014 BSI. All rights reserved. หลักการจัดการความเสี่ยง การลดโอกาสที่จะเกิดเหตุการณ์ความ เสียหาย Reduce Likelihood) การตรวจตรา การตรวจสอบเป็นประจาเพื่อ ปูองกันไม่ให้ปัญหาเกิดขึ้น การใช้งานระบบอัตโนมัติแทนคน ในลักษณะ งานที่ต้องทาซ้าๆ การปรับปรุงกระบวนการเพื่อลดความ ซับซ้อน complex มีระบบตรวจจับ detection และปูองกัน มี checklist เพื่อตรวจสอบความครบถ้วน ของการทางาน การลดขนาดของความเสียหาย ( reduce impact) การกระจาย เป็นการลดขนาดความเสียหาย เหมาะกับปัจจัยภายนอก หรืออาจใช้ในการ การจากัดขนาดของสินเชื่อ จากัดจานวนการ ผลิต การจัดทา contingency plan / business continuity plan เพื่อให้สามารถดาเนินงาน ได้อย่างต่อเนื่องในช่วงเกิดเหตุการณ์ความ เสียหายและอยู่ระหว่างการแก้ไข ให้กลับคืน สู่สภาพการดาเนินงานปกติได้โดยเร็วที่สุด เป็นการลดขนาดความเสียหายเช่นกัน จัดทาแผนการจัดการกับวิกฤติทางธุรกิจ crisis management plan ด้วย business impact analysis 16/04/2014
  110. 110. 110 Copyright © 2014 BSI. All rights reserved. การเลือกวิธีการจัดการความเสี่ยง นานๆที เกิดบ่อย มีปัญหาได้ บ่อย เพราะทาบ่อยๆ ผลกระทบสูง รุนแรง ผลกระทบน้อย ไม่แรง 16/04/2014
  111. 111. 111 Copyright © 2014 BSI. All rights reserved. การหลีกเลี่ยงความเสี่ยง risk avoidance หลีกเลี่ยงความเสี่ยง หยุด หรือเปลี่ยนแปลงกิจกรรมที่ เป็นความเสี่ยง เช่นลดบาง ขั้นตอน ที่อาจนามาที่ซึ่ง ความเสี่ยง ในทางปฏิบัติ อาจทาได้ ลาบาก(แต่ทาได้)และไม่ แนะนา 16/04/2014
  112. 112. 112 Copyright © 2014 BSI. All rights reserved. การโอนถ่ายความเสี่ยง Risk Transfer •กระจาย ถ่ายโอน ความเสี่ยง •ทาประกัน •เช่าแทนซื้อ •จ้างชั่วคราวแทนจ้างประจา 16/04/2014
  113. 113. 113 Copyright © 2014 BSI. All rights reserved. การโอนถ่ายความเสี่ยง Risk Transfer • ความรับผิดตามกฎหมาย อันเกิดจากการใช้สินค้า ไม่ปลอดภัย • อาคาร ทรัพย์สินใน อาคาร เครื่องจักร และ สต็อกสินค้า • การสูญเสียทางการค้า และค่าเช่าอาคาร • ความรับผิดตามกฎหมาย ต่อบุคคลภายนอก • ประกันภัยอุบัติเหตุ สาหรับผู้เอาประกันภัย 16/04/2014
  114. 114. 114 Copyright © 2014 BSI. All rights reserved. การประเมินความเสี่ยง สถานการณ์ที่ซึ่ง • สถานที่เสียหาย หรือ ไม่สามารถเข้าถึง– e.g. industrial action / fire / flooding • การเสียหายของ ระบบ IT / ระบบเน็ตเวอร์ค / ฮาร์ดแวร์ / ซอฟแวร์ / ข้อมูล –e.g. ไฟฟูา ดับ / ไวรัส • ไม่มีพนักงานหลัก – e.g. เกิดโรคระบาด , ประท้วง • การไม่มีหรือเสียหายจากทรัพยากรต่างๆ – e.g. ผู้ส่งมอบสาคัญ , น้ามัน , น้า 16/04/2014
  115. 115. 115 Copyright © 2014 BSI. All rights reserved. ความถี่สูง รุนแรงสูง สาหรับงานบริการทาง วิชาชีพ ใช้ risk avoidance •ไม่รับงานที่เกินตัว •งานค้าปลีก ปิดบางเวลา •บริการชนส่ง อาจไม่รับคาสั่ง ชื้อ ในช่วงจราจรติดขัด 16/04/2014
  116. 116. 116 Copyright © 2014 BSI. All rights reserved. ความถี่สูง รุนแรงสูง | ชีวิตจริงเราใช้มาตรการร่วม Risk control ลด/ควบคุมความเสี่ยง สาหรับบริการทางการแพทย์ •โดยการทาการทดสอบ ทดลอง การซักประวัติ การ validate เครื่องมือ วิธีการ ทางการแพทย์ เพื่อ การควบคุมควรเสี่ยง •ซื้อประกันความผิดพลาดทางการให้บริการ เพื่อ ผ่องถ่ายโอนความ เสี่ยงทางกฎหมายและภาระการสูญเสีย 16/04/2014
  117. 117. 117 Copyright © 2014 BSI. All rights reserved. ความถี่ต่า รุนแรงสูง น้าท่วม ไฟไหม้ การหยุดกิจการ ทาการถ่ายโอนการสูญเสียให้บริษัทประกัน • นโยบายควบคุมความเสี่ยงที่สาคัญ เช่น ระบบปูองกันไฟไหม้ การแบ็คอัพข้อมูล ทางหนีไฟ • กาหนดมาตรการควบคุม ลดความถี่และ รุนแรงของการสูญเสียเพื่อลดค่าประกัน • ความเสียหายที่ไม่ได้ทาประกันต้องจากัด การสูญเสีย และ ควบคุม • อาจทาให้ธุรกิจหยุดชะงัก หรือ ลด ความสามารถได้ • อาจทาให้เสียลูกค้าหรือกาไร ขณะที่มี รายจ่ายจานวนมาก 16/04/2014
  118. 118. 118 Copyright © 2014 BSI. All rights reserved. ความถี่ต่า รุนแรงสูง จัดเป็น Critical •หาทางลดความถี่ และ ความ รุนแรง รวมทั้ง โอนถ่าย ความเสี่ยง 16/04/2014
  119. 119. 119 Copyright © 2014 BSI. All rights reserved. ความถี่สูง ความรุนแรงต่า เกิดบ่อย เสียหายไม่มาก ดูแลได้ รับได้ เช่นงานคุมเงินสด หรือควบคุมของหาย เงิน หายหลักหมื่น สามารถคิด loss ปลายปีได้ ต้องทาการควบคุมและติดตามดูแล มาตรการควบคุม • การติดตามระบบ stock • เช็คยอดเป็นประจา • กล้องตรวจจับ • อุปกรณ์กันขโมย • ปูายเตือน • การอบรม 16/04/2014
  120. 120. 120 Copyright © 2014 BSI. All rights reserved. ความถี่สูง ความรุนแรงต่า •ใช้หลักการโอนถ่าย •มักเป็นเรื่องสาคัญ significant ถี่สูง รุนแรงต่า •เพิ่มเข้าไปในการคิดราคาสินค้า •ควบคุม ติดตามผลโดยรวม •บันทึกการสูญเสีย การตรวจสอบ การตรวจประเมิน 16/04/2014
  121. 121. 121 Copyright © 2014 BSI. All rights reserved. ความถี่สูง รุนแรงต่า เช่นการลาปุวยกะทันหันของ พนักงานหลัก •อาจทาให้ธุรกิจหยุดชะงัก •ควบคุมผลกระทบโดยมีแผนสารอง contingency plan •ให้มีพนักงาน แสดนบาย •ให้มีการอัพเดท ข้อมูลพนักงาน 16/04/2014
  122. 122. 122 Copyright © 2014 BSI. All rights reserved. ความถี่ต่า รุนแรงต่า •หยุดธุรกิจช่วงสั้นๆ •พนักงานบาดเจ็บเล็กน้อย •เกิดอุบัติทางรถยนต์เล็กน้อย ลดความเสี่ยงก่อนจะเป็น significant 16/04/2014
  123. 123. 123 Copyright © 2014 BSI. All rights reserved. การวางแผนจัดการ ความเสี่ยง เป็นการ เตรียมพร้อมรับสถานการณ์ที่ไม่ อาจคาดเดา • อย่าทาให้ยาก อย่าทาให้เป็นเพียงรูปแบบ พิธี การ • เลือกวิธีง่ายๆ เพื่อใช้ในการเลือกวิธีการจัดการ ความเสี่ยง เพื่อควบคุมความเสี่ยง • ดูความสูญเสียมากน้อย • ตรวจสอบความน่าจะเกิด • ตรวจสอบการสูญเสียในอดีต ค่าเฉลี่ยหรือค่า max • ขอคาแนะนาจากผู้เชี่ยวชาญ คู่ค้า พนักงาน • ทา flow chart 16/04/2014
  124. 124. 124 Copyright © 2014 BSI. All rights reserved. การคานวณค่าสูงสุดของ ค่าสูญเสีย ความเป็นไปได้ ความน่าจะเป็นของการสูญเสีย ค่าสูญเสีย เมื่อเกิดการสูญเสีย เป็นมูลค่าทรัพย์สิน เมื่อเกิดการหยุดชะงัก รายได้ต่อเดือน x เวลาที่ใช้ในการสร้างใหม่ เปลี่ยนใหม่ Max possible loss สาหรับการประกัน ยากต่อการคานวณ ประมาณโดยใช้ มูลค่า ความเสียหายในอุตสาหกรรม 16/04/2014
  125. 125. 125 Copyright © 2014 BSI. All rights reserved. รุนแรงสูง รุนแรงต่า ความถี่สูง Property risk ความถี่ต่่า Liability Risk 16/04/2014
  126. 126. 126 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง 1. กาหนดความเสี่ยงที่อาจส่งผล กระทบต่อธุรกิจ 2. วิเคราะห์ความเสี่ยงต่อ ผลกระทบทางธุรกิจ 3. ประเมินความเสี่ยงและจัดลาดับ เพื่อการจัดการ 4. ทาการปรับความเสี่ยงเพื่อลด ผลกระทบ 5. จัดทาและทบทวน แผนจัดการ ความเสี่ยง 16/04/2014
  127. 127. 127 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง • ท่านต้องทาการทบทวนอยู่สม่าเสมอ • การบริหารความเสี่ยงไม่ได้ทาครั้งเดียว จบ แต่ท่านต้องทาการติดตามและ ทบทวนกลยุทธ์ต่างๆที่ท่านใช้ในการ วิเคราะห์ความเสี่ยง ความเสี่ยงเปลี่ยนแปลงเสมอ ท่านอาจ พบว่า • มีความเสี่ยงใหม่ๆ • ความเสี่ยงที่มีอยู่เพิ่มหรือลด • ความเสี่ยงหมดไป • ลาดับขั้นตอน ลาดับความสาคัญ เปลี่ยนแปลง • กลยุทธ์การบริหารความเสี่ยงไม่มี ประสิทธิผลต่อไม 16/04/2014
  128. 128. 128 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง ทาไม • ต้องการให้ธุรกิจต่อเนื่อง • ลดความประกัน • ลดโอกาสการเกิดการฟูอร้อง • ลดเวลาในการทาให้บริษัท ดาเนินการต่อ • ลดผลกระทบในการเปลี่ยนคน หลัก หรือใช้ในการอบรม • ลดการเสียหาย ลดการ สูญเสีย ต่อทรัพย์สิน เครื่องจักร ที่จาเป็นในการ ดาเนินธุรกิจ • เพื่มความสามารถในการอยู่ รอดของธุรกิจ 16/04/2014
  129. 129. 129 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง •ด้วยเหตุผลนี้ ท่านต้องใส่ใจ ในการระบุความเสี่ยง •Risk •Description •โอกาส •ผลกระทบ •การลดผลกระทบ •สิ่งที่ต้องทา 16/04/2014
  130. 130. 130 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง ท่านได้ทาอะไรให้มั่นใจ • อะไรที่ทาให้ท่านมั่นใจ • เรามีการ update ล่าสุดเมือไหร่ • มีสถานการณ์ที่เปลี่ยนไปหรือไม่ • คนใหม่ ทรัพย์สินใหม่ บริการใหม่ ผลิตภัณฑ์ใหม่ สาขาใหม่ ระบบ คอมพิวเตอร์ใหม่ ที่ทาให้ต้อง updateแผนหรือไม่ 16/04/2014
  131. 131. 131 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง 16/04/2014 • การฝึกอบรม • ความอาชีวอนามัยและปลอดภัย • งานซ่อมบารุง เครื่องมือ อุปกรณ์ อาคาร • งานการรักษาความปลอดภัย • การเตรียนมความพร้อมเหตุฉุกเฉิน • การแบ็คอัพข้อมูล • การคัดเลือกพนักงานและเครื่องมือ วัดอย่างระมัดระวัว • คลาวด์ • ชุด KIT ต่างๆ • แผนการอพยพ • การฝึกซ้อมและการทดสอบ
  132. 132. 132 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง จงเตรียมพร้อม • ทาเชิงรุก และเตรียมการวางแผนสาหรับ อากาศการเกิดของสถานการณ์ ที่อาจทาใหุ้ ธุรกิจชะงัก • คนบางคน ชอบพึ่งดวง ชอบเสี่ยง • การเตรียมความพร้อม คือ proactive และ วางแผน 16/04/2014
  133. 133. 133 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง • ตัวอย่าง ให้พิจารณาความ แข็งแรงของหน้าต่าง กระจก • กระจกแตกระหว่างพายุ และน้ากระแทก หรือ มีสิ่ง ปลิวมาปะทา • ทาให้พนักงานปลอดภัย • ให้ทาการเพิ่มความ แข็งแรงกระจก ไฟ ประตู ด้วยฟิมล์ • ให้อยู่ห่างจากห้องที่มี กระจก หรือ ลดจานวน หน้าต่างกระจก 16/04/2014
  134. 134. 134 Copyright © 2014 BSI. All rights reserved. ประเมินความเสี่ยง กิจกรรม ที่สาคัญ รายละเอียด ความเสียง ผลกระทบของการสูย เสียหรือเสียหา ทั้ง การเงิน พนักงาน เสียยชื่อเสียง RTO การผลิต ท่าชิ้นส่วนประกอบ สูง เสียรายได้มากกว่า XXXX ต่อสัปดาห์ มีโอาาศเสียงาน หลังจาก สองอาทิตย์ ลูกค้าหาผู้ส่งมอบ ใหม่ๆ สอง สัปดาห์ 16/04/2014
  135. 135. 135 Copyright © 2014 BSI. All rights reserved. การควบคุมการสูญเสียและการเสียหาย 16/04/2014

×