1 กุมภาพันธ์ 2551

1. การรับฟังความคิดเห็นเกี่ยวกับหลักเกณฑ์ เงื่อนไข และวิธีการในการจัดให้มีระบบการบริหารความเสี่ยง เพื่อการดำเนินธุรกิจอย่างต่อเนื่อง 1 กุมภาพันธ์ 2551

2. วัตถุประสงค์และที่มา - ปัจจุบันปรากฏเหตุการณ์ฉุกเฉินที่อาจส่งผลกระทบต่อการดำเนินงานของผู้ประกอบธุรกิจในหลายรูปแบบ - เพื่อให้แน่ใจว่าผู้ประกอบธุรกิจมีระบบงานที่เพียงพอในการป้องกันและบริหารจัดการความเสี่ยงที่เกี่ยวกับกรณีดังกล่าวอย่างเพียงพอ • สำนักงานจึงได้ยกร่างหลักการขึ้น 2 ส่วน 1) ข้อกำหนดขั้นต่ำให้ผู้ประกอบธุรกิจนำไปถือปฏิบัติ 2) แนวทางปฏิบัติ (guidelines) เพื่อให้นำไปปรับใช้ตามความเหมาะสมของขนาดและความซับซ้อนของบริษัท

3. การกำหนดนโยบายการบริหารความต่อเนื่องทางธุรกิจการกำหนดนโยบายการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management) การประเมินความเสี่ยงจากเหตุการณ์ฉุกเฉิน การจัดทำแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง(Business Continuity Plan) การทดสอบ ทบทวน และตรวจสอบ การรายงานและจัดเก็บข้อมูล

4. 1. การกำหนดนโยบายการบริหารความต่อเนื่องทางธุรกิจ 1. การกำหนดนโยบายการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) - บริษัทต้องจัดให้มีการกำหนดนโยบาย BCM ที่ได้รับการอนุมัติจากคณะกรรมการบริษัท ซึ่งรวมถึง: - การจัดสรรทรัพยากร/งบประมาณเพื่อรองรับนโยบาย BCM - การจัดระบบควบคุมและติดตามการปฏิบัติงานให้เป็นไปตาม นโยบาย BCM แนวทางปฏิบัติ

5. 2. จัดให้มีการประเมินความเสี่ยงจากเหตุการณ์ฉุกเฉิ น 2. การประเมินความเสี่ยงจากเหตุการณ์ฉุกเฉิน - บริษัทจะต้องระบุงานที่สำคัญและประเมินความเสี่ยงและโอกาสที่งานสำคัญจะหยุดชะงักจากเหตุฉุกเฉินวิเคราะห์ผลกระทบต่อการประกอบธุรกิจ และประเมินความเสียหายจากการหยุดชะงักของงานสำคัญ แนวทางปฏิบัติ

6. 3. จัดทำแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง(BCP) 3. การจัดทำแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง(BCP) - บริษัทต้องจัดทำแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง ให้ครอบคลุมงานที่สำคัญทุกด้าน รวมถึงงานสำคัญที่บริษัทได้มีการ outsource ให้ผู้บริการจากภายนอกด้วย - โดย BCP จะต้องรวมถึงขั้นตอนการปฏิบัติงานและผู้รับผิดชอบเมื่อเกิดเหตุฉุกเฉินในแต่ละกรณีอย่างชัดเจน และ - วิธีการและช่องทางติดต่อสื่อสารกับผู้เกี่ยวข้องทั้งภายในภายนอก แนวทางปฏิบัติ

7. 4. จัดให้มีการทดสอบ ทบทวน และตรวจสอบแผน BCP 4. การทดสอบ ทบทวน และตรวจสอบแผน BCP - บริษัทจะต้องจัดการทดสอบและทบทวน BCP อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ - บริษัทต้องจัดให้มีผู้ตรวจสอบอิสระเป็นผู้ประเมินผลทดสอบ และรายงานผลการประเมินต่อคณะกรรมการบริษัทหรือคณะทำงาน - บริษัทจะต้องจัดเก็บเอกสารและหลักฐานที่เกี่ยวข้องกับการทดสอบและการทบทวนแผนให้ครบถ้วนและเป็นปัจจุบัน - บริษัทต้องปรับปรุงข้อมูลของผู้ติดต่อให้เป็นปัจจุบันอยู่เสมอ แนวทางปฏิบัติ

8. 5. การรายงานหน่วยงานกำกับดูแล 5. การรายงานและจัดเก็บข้อมูล - กรณีเกิดเหตุฉุกเฉินบริษัทจะต้องแจ้งให้สำนักงานทราบในโอกาสแรกที่ทำได้แต่ไม่เกินวันทำการถัดจาดวันที่เกิดการหยุดชะงักของงานสำคัญ - บริษัทต้องจัดเก็บเอกสารหลักฐานที่เกี่ยวข้องให้ครบถ้วนเป็นระยะเวลาไม่น้อยกว่า 5 ปี ในลักษณะที่พร้อมให้สำนักงานเข้าตรวจสอบได้โดยเร็ว แนวทางปฏิบัติ

9. แนวทางปฏิบัติ Management responsibility - คณะกรรมการบริษัทจะต้องเป็นผู้รับผิดชอบในการกำหนดกลยุทธ์และนโยบาย - ในการจัดสรรทรัพยากรและงบประมาณ และการจัดให้มีการติดตามการปฏิบัติงานให้เป็นไปตามนโยบาย คณะกรรมการบริษัทอาจแต่งตั้งคณะทำงานเป็นผู้รับผิดชอบด้านการปฏิบัติการได้ กลับ

10. แนวทางปฏิบัติ Major operation disruption • บริษัทจะต้องจัดให้มีการระบุงานที่สำคัญและประเมินความเสี่ยง โอกาส และผลกระทบที่งานสำคัญจะหยุดชะงักจากเหตุฉุกเฉินที่อาจเกิดขึ้น โดยบริษัทควรดำเนินการดังกล่าวอย่างน้อยปีละครั้ง 1) ระบุงานที่สำคัญ: บริษัทควรคัดเลือกงานที่หากเกิดการหยุดชะงักจะส่งผลกระทบอย่างมีนัยสำคัญต่อลูกค้า การดำเนินงาน ชื่อเสียง หรือสถานะทางการเงินของบริษัท

11. แนวทางปฏิบัติ Major operation disruption (cont) 2) ประเมินความเสี่ยง: บริษัทต้องประเมินความเสี่ยงและโอกาสที่งานสำคัญจะหยุดชะงักและก่อให้เกิดความเสียหายและส่งผลกระทบทางธุรกิจ โดยควรระบุเหตุฉุกเฉินและผลกระทบทางธุรกิจ ทั้งในระยะสั้น ระยะปลานกลาง และระยะยาว 3) วิเคราะห์ผลกระทบทางธุรกิจ: บริษัทต้องวิเคราะห์ผลกระทบและประเมินความเสียหายจากการหยุดชะงัก เพื่อจัดลำดับความสำคัญของงาน และจัดสรรทรัพยากรในการบริหารแผน BCP

12. แนวทางปฏิบัติ 4) Recovery objective: - บริษัทควรกำหนดระยะเวลาการกู้ระบบงานคืนสู่สภาพปกติ (recovery time objectives) และจัดลำดับการกู้คืนงานที่สำคัญทุกงานให้เหมาะสมกับผลกระทบที่อาจจะเกิด - บริษัทควรพิจารณาประเภทข้อมูลล่าสุดที่จะกู้คืน เพื่อใช้ในการดำเนินงานได้อย่างต่อเนื่อง - กรณีที่มีการ outsource ระบบงานบริษัทควรประสานกับผู้ให้บริการในการกำหนดระยะเวลาการกู้ระบบงานและชุดข้อมูล - เนื่องจากการกำหนดระยะเวลาการกู้คืนระบบงานงานและชุดข้อมูลเป็นปัจจัยสำคัญในการกำหนดปริมาณทรัพยากร จึงควรได้รับความเห็นชอบจากผู้ที่ได้รับมอบหมาย กลับ

13. แนวทางปฏิบัติ Business continuity plan - บริษัทต้องจัดให้มี BCP ที่เป็นลายลักษณ์อักษร ที่ได้รับความเห็นชอบ และควรเก็บไว้ทั้งในและนอกสถานที่ทำการ โดย BCP ต้องมีรายละเอียดอย่างน้อย ดังนี้ 1) ขั้นตอนการปฏิบัติงานและผู้รับผิดชอบ 2) วิธีและช่องทางติดต่อสื่อสาร 3) ทรัพยากรที่จำเป็นสำหรับการปฏิบัติงาน 4) การจัดตั้งศูนย์ปฏิบัติงานสำรอง

14. แผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง(Business Continuity Plan) ขั้นตอนการปฏิบัติงาน ผู้รับผิดชอบ ผู้ที่เกี่ยวข้อง การติดต่อ ภายใน/ภายนอก ทรัพยากร ระบบ และอุปกรณ์ สถานที่ปฏิบัติงาน ข้อมูล

15. แนวทางปฏิบัติ Business continuity plan 1) ขั้นตอนการปฏิบัติงานและผู้รับผิดชอบ บริษัทต้องกำหนดหน้าที่และความรับผิดชอบของผู้ปฏิบัติงานแต่ละรายอย่างชัดเจน ประกอบกับรายละเอียดวิธีปฏิบัติงานที่สามารถเข้าใจและปฏิบัติตามได้ เช่น อะไร อย่างไร เมื่อไรและที่ไหน

16. แนวทางปฏิบัติ Business continuity plan 2) วิธีและช่องทางติดต่อสื่อสาร - บริษัทต้องกำหนดวิธีการและช่องทางติดต่อสื่อสาร รายชื่อผู้เกี่ยวข้อง ผู้รับผิดชอบ และรายละเอียดข้อมูลที่จะเปิดเผยแก่ผู้เกี่ยวข้อง - บริษัทต้องจัดทำแผนผังการติดต่อพนักงาน รายชื่อลูกค้า ผู้ให้บริการหลักและผู้เกี่ยวข้องอื่นๆ รวมทั้งข้อมูลช่องทางในการติดต่อ - บริษัทต้องปรับปรุงรายชื่อและข้อมูลที่ใช้ในการติดต่อให้เป็นปัจจุบันอยู่เสมอ

17. แนวทางปฏิบัติ Business continuity plan 3) ทรัพยากรที่จำเป็นสำหรับการปฏิบัติงาน เพื่อให้ BCP มีประสิทธิภาพยิ่งขึ้นบริษัทอาจกำหนดการจัดเตรียมทรัพยากรที่จำเป็นต่อการปฏิบัติงานเพิ่มเติม เช่น การจัดหาหรือกำหนดบุคลากรที่จะปฏิบัติหน้าที่แทนทั้งระดับงานและผู้บริหาร แหล่งเงินทุน อุปกรณ์

18. แนวทางปฏิบัติ Business continuity plan 4) การจัดตั้งศูนย์ปฏิบัติงานสำรอง บริษัทควรมีศูนย์สำรองเพื่อรองรับการดำเนินการอย่างต่อเนื่อง - ศูนย์ดังกล่าวไม่ควรใช้สาธารณูปโภคจากแหล่งเดียวกันกับสถานที่หลัก - ศูนย์สำรองควรมีความพร้อมที่จะปฏิบัติงานทันที่ที่เกิดเหตุหรือภายในระยะเวลาที่กำหนด ทั้งนี้ บริษัทอาจไม่จำเป็นต้องจัดให้มีศูนย์สำรอง แต่ควรมีแนวทางอื่นที่สามารถรองรับการดำเนินการอย่างต่อเนื่องได้

19. แนวทางปฏิบัติ Communication - บริษัทต้องวางแผนการติดต่อสื่อสารกับผู้เกี่ยวข้องทั้งภายในและภายนอกให้สอดคล้องกับผลกระทบที่เกิด เพื่อป้องกันและลดความตระหนกของผู้เกี่ยวข้องและสาธารณชน - บริษัทต้องแจ้งหรือประชาสัมพันธ์ให้ลูกค้าทราบถึงเหตุฉุกเฉิน ช่องทางการติดต่อสื่อสาร และมาตรการดำเนินการของบริษัท รวมทั้งสื่อสารความคืบหน้าของการดำเนินการหากเกิดเหตุฉุกเฉินเป็นเวลานาน กลับ

20. แนวทางปฏิบัติ Training, Exercise - บริษัทควรจัดให้มีการอบรมและประชาสัมพันธ์เกี่ยวกับ BCP สำหรับผู้เกี่ยวข้อง - บริษัทต้องจัดให้มีการทดสอบ BCP อย่างน้อยปีละครั้ง ในเรื่อง ดังนี้ - ขั้นตอนการติดต่อสื่อสารและความถูกต้องของรายชื่อและข้อมูลที่ใช้ในการติดต่อ - ขั้นตอนการอพยพพนักงานและการเคลื่อนย้ายพนักงาน - ขั้นตอนการปฏิบัติงานตั้งแต่ต้นจนจบของงานสำคัญ - ความพร้อมของระบบคอมพิวเตอร์ และการกู้ข้อมูลสำคัญ - ความพร้อมของศูนย์ระบบงานสำรอง (ถ้ามี) - และการทดสอบกับองค์กรภายนอก

21. แนวทางปฏิบัติ Auditing - บริษัทต้องจัดให้มีหน่วยงานอิสระทำการประเมินผลการทดสอบ BCP และรายงานต่อคณะกรรมการบริษัทหรือคณะทำงานที่ได้รับมอบหมาย - บริษัทต้องจัดให้มีการทบทวน BCP ตามผลการประเมิน - บริษัทต้องติดตามและประเมินผล BCP ของผู้ให้บริการหลัก โดยบริษัทอาจเข้าร่วมทดสอบ ร่วมสังเกตการณ์ หรือให้ผู้บริการหลักแจ้งผลการทดสอบ BCP มายังบริษัทได้ กลับ

22. แนวทางปฏิบัติ การรายงานและจัดเก็บข้อมูล • กรณีเกิดเหตุฉุกเฉินที่มีผลกระทบต่อลูกค้าอย่างมีนัยสำคัญ บริษัทต้องแจ้งสำนักงานในโอกาสแรกและไม่เกินวันทำการถัดไป พร้อมทั้งรายละเอียดของเหตุการณ์ ขั้นตอนการดำเนินการ และระยะเวลาที่จะใช้ในการแก้ไขปัญหา • นอกจากนี้ บริษัทควรแจ้งให้หน่วยงานอื่นที่เกี่ยวข้องรับทราบด้วย เช่น ตลาดหลักทรัพย์ ตลาดอนุพันธ์ - บริษัทต้องจัดเก็บเอกสารหลักฐานที่เกี่ยวข้องกับกรณีที่เกิดเหตุฉุกเฉินตลอดจนการทดสอบ การประเมินผลและการทบทวนแผนให้ครบถ้วนเป็นระยะเวลา 5 ปี กลับ

23. ข้อมูลเพิ่มเติม • International Organisation of Securities Commission (IOSCO) www.iosco.org • Business Continuity Institute(BCI) www.thebci.org • Bank of Thailand • www.bot.or.th

24. Q&A