กฎหมาย BCP ในประเทศไทย องค์กรไหนต้องทำบ้าง?
ในบทความก่อนๆ เราได้มีการเขียนอธิบายไปแล้วว่า BCMS คืออะไร? แผน BCP คืออะไร? บทความนี้พูดถึงคำถามต่อไปที่หลายองค์กรที่กำลังศึกษาเกี่ยวกับแผน BCP น่าจะเคยเกิดความสงสัย ว่าในประเทศไทยมีกฎหมาย BCP บังคับใช้ไหม? ภาคส่วนธุรกิจไหนหรือองค์แบบไหนต้องมีบ้าง? ในบทความนี้เราจะพามาสำรวจหัวข้อนี้กัน
ทำไม องค์กรถึงถูกบังคับให้มีแผน BCP?
ผู้อ่านหลายๆท่านอาจจะเคยสงสัย ว่าทำไมองค์กรถึงต้องมีแผน BCP หรือระบบ BCM? ทำไมบางประเทศอย่างเช่น อังกฤษ หรือ สหรัฐอเมริกา มีการออกกฎหมายหรือข้อบังคับบังคับให้หน่วยงานภาครัฐและธุรกิจบางประเภทต้องจัดทำแผน BCP เราได้สรุปเหตุผลและปัจจัยหลักๆสำคัญที่มีผลต่อการบังคับ BCP และ BCM เป็นกฎหมายดังนี้
- เพื่อคุ้มครองความมั่นคงและความต่อเนื่องของภาครัฐ
- ป้องกันความเสียหายต่อระบบเศรษฐกิจและเสถียรภาพการเงิน
- ผลักดันให้โครงสร้างพื้นฐานสำคัญของประเทศพร้อมรับมือต่อสภาวะวิกฤต
- บทเรียนจากเหตุการณ์ร้ายแรงในอดีต
- ปกป้องข้อมูลสำคัญและความปลอดภัยไซเบอร์
- ส่งเสริมให้ภาคเอกชนและคู่สัญญามีมาตรฐานด้านความต่อเนื่องร่วมกัน
จะเห็นได้ว่าปัจจัยเหล่านี้ล้วนแล้วแต่เป็นเรื่องใหญ่ๆ ที่มีความสำคัญและอาจส่งผลกระทบให้เกิดความเสียหายเป็นวงกว้างเมื่อเกิดเหตุหยุดชะงัก ไม่ว่าจะเป็น ระบบธนาคารและสถาบันการเงิน โครงสร้างพื้นฐานสำคัญของประเทศ หน่วยงานรัฐที่ทำหน้าที่ตอบสนองกับเหตุฉุกเฉิน ทั้งหมดนี้สะท้อนว่าการบังคับใช้ กฎหมาย BCP คือกลไกสำคัญเพื่อให้ประเทศมีความพร้อมและฟื้นตัวได้รวดเร็วจากทุกความเสี่ยง
กฎหมายและกฎระเบียบที่เกี่ยวข้องกับ BCP ในประเทศไทย
ในประเทศไทยมีหลายภาคส่วนที่ถูกบังคับให้ทำแผน BCP ทั้งภาคเอกชนและรัฐบาล โดยสามารถสรุปได้ตามภาคส่วนดังนี้
สถาบันการเงินและธนาคาร
ตามแนวปฏิบัติธนาคารแห่งประเทศไทย เรื่อง การบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) และการจัดทาแผนรองรับการดาเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan: BCP) ของสถาบันการเงิน มีผลบังคับใช้กับธนาคารพาณิชย์และธนาคารที่มีวัตถุประสงค์เฉพาะ
ตลาดทุนและผู้ประกอบธุรกิจหลักทรัพย์
SEC (ก.ล.ต.) กำหนดให้บริษัทหลักทรัพย์และผู้ให้บริการทางการลงทุนต้องมีระบบรองรับความต่อเนื่องตาม ประกาศคณะกรรมการกำกับตลาดทุน ที่ ทธ. 35/2556 และประกาศสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ ที่ สธ/น. 45/2559
หน่วยงานภาครัฐและรัฐวิสาหกิจทั้งหมด
ตามมติคณะรัฐมนตรีเมื่อวันที่ 24 เมษายน 2555 ที่เห็นชอบกับแนวทางและมาตรการที่กำหนดให้หน่วยงานรัฐดำเนินงานบริหารความพร้อมต่อสภาวะวิกฤต ส่งผลให้หน่วยงานของรัฐทุกประเภท ได้แก่ ส่วนราชการระดับกรม จังหวัด องค์การมหาชน รัฐวิสาหกิจ องค์กรปกครองส่วนท้องถิ่น สถาบันอุดมศึกษา หน่วยงานอิสระ และ หน่วยงานของรัฐอื่น ๆ ต้องจัดทำแผน BCP ตามแนวทางปฏิบัติของสำนักงานคณะกรรมการพัฒนาระบบราชการ (ก.พ.ร.)
ธุรกิจด้านสุขภาพและการแพทย์ โดยเฉพาะโรงพยาบาล
โรงพยาบาลเป็นอีกหนึ่งภาคส่วนที่ให้ความสำคัญกับความต่อเนื่องในการดำเนินงานเนื่องจากการหยุดชะงักของระบบสารสนเทศและเครื่องมือส่งผลกระทบโดยตรงกับสุขภาพและชีวิตของผู้ป่วย โรงพยาบาลรัฐในไทย และหน่วยงานรัฐอื่นๆภายใต้กระทรวงสาธารณสุข ล้วนทำแผน BCP ตามประกาศคณะรัฐมนตรีปี 2555 เรื่องการเตรียมความพร้อมต่อสภาวะวิกฤต
ภาคส่วนอื่นๆที่ไม่มีกฎหมายบังคับแต่นิยมทำแผน BCP
ผู้ให้บริการอินเทอร์เน็ตและโทรคมนาคม
ไม่มี “กฎหมายเฉพาะ” ที่บังคับให้ผู้ให้บริการอินเทอร์เน็ตหรือโทรคมนาคมเอกชนต้องจัดทำ BCP แต่กสทช.กำหนดภาระด้านการให้บริการอย่างต่อเนื่อง ความมั่นคงของเครือข่าย และการคุ้มครองผู้ใช้บริการ ซึ่งทำให้ผู้ประกอบการจำเป็นต้องมีแผน BCP/BCM โดยปริยาย โดยเฉพาะผู้ได้รับใบอนุญาตระดับ 3 หรือผู้ให้บริการโครงข่ายสาธารณะ นอกจากนี้ผู้ให้บริการรายใหญ่หลายรายยังนำมาตรฐาน ISO 22301 มาใช้แม้ไม่ถูกกฎหมายบังคับ
ภาคอุตสาหกรรมการผลิต
ภาคอุตสาหกรรมการผลิต โดยเฉพาะโรงงานที่มีความเสี่ยงด้าน Supply chain สูงๆ และใช้ระบบการผลิตแบบ Just in Time (JIT) เช่น บริษัทรถยนต์ ผู้ผลิตชิ้นส่วนรถยนต์ หรือชิ้นส่วนอิเล็กทรอนิกส์ มักประยุกต์ใช้มาตรฐาน IATF 16949 และทำแผนสำรองการปฏิบัติงาน (Contingency Plan) หรือแม้กระทั่งแผน BCP เพื่อลดความเสี่ยงจากการหยุดชะงักทางธุรกิจ
รับคำปรึกษาเรื่องแผน BCP กับ InterRisk Asia
บทความนี้ช่วยผู้อ่านตอบคำถามเกี่ยวกับกฎหมาย BCP และ BCM ในไทย ว่ามีการบังคับใช้อย่างไร ภาคส่วนไหนหรือองค์กรไหนต้องทำบ้าง ภาคส่วนที่มีความเสี่ยงสูงเมื่อเกิดเหตุหยุดชะงักอย่าง สถาบันการเงิน ธนาคาร โครงสร้างพื้นฐาน การผลิต (อ่านบทความเกี่ยวกับ IATF 16494 และแผนสำรองการปฏิบัติงานเพิ่มเติม) และโรงพยาบาล ล้วนแล้วแต่จำเป็นต้องมีแผน BCP เพื่อช่วยลดผลกระทบจากการหยุดชะงัก เพื่อให้สามารถดำเนินงานต่อไปได้ หากผู้อ่านสนใจการทำแผน BCP หรือระบบ BCM สามารถติดต่อทีมที่ปรึกษาของ InterRisk ได้เลยทันทีเพื่อรับคำปรึกษาเบื้องต้นฟรี!
InterRisk เป็นที่ปรึกษาด้านการบริหารความต่อเนื่องทางธุรกิจชั้นนำในประเทศไทย ภายใต้เครือ MS&AD จากประเทศญี่ปุ่น
ทีมที่ปรึกษามีประสบการณ์ด้าน BCMS โดยตรง
การออกแบบแผนที่ปรับตามบริบทของแต่ละธุรกิจ
โซลูชันที่ใช้ได้จริง ครบวงจร และพร้อมดำเนินการ
