Quản lý liên tục kinh doanh (business continuity management) là gì?

Tất cả các tổ chức đều đối diện với những khả năng làm ngưng hoạt động kinh doanh. Một kế hoạch quản lý liên tục kinh doanh (Business Continuity Management - BCM) và chương trình quản lý khủng hoảng (Crisis management - CM) được lập giống như một chính sách bảo hiểm cho tổ chức – nó giúp đảm bảo tổ chức sẽ tiếp tục tồn tại để đáp ứng mong đợi của bên liên quan. Bài viết dưới đây FMIT sẽ giới thiệu các thông tin cơ bản về quản lý liên tục kinh doanh BCM, các thành phần của nó, quản lý khủng hoảng. Để hiểu được bản chất và tích hợp được vào trong hệ thống, có thể tham khảo các khóa học chuyên sâu về quản trị rủi ro, kiểm toán nội bộ của FMIT.

Quản lý liên tục kinh doanh (BCM) là gì?

Quản lý liên tục kinh doanh (Business Continuity Management – BCM) là 1 phương pháp quản lý rủi ro dựa trên giá trị kinh doanh. Nó điều chỉnh năng lực liên tục kinh doanh với các rủi ro. Mục tiêu của BCM là cho phép bất kỳ tổ chức nào hồi phục các hoạt động chính yếu, quản lý truyền thông, và giảm tác động tài chính và tác động khác nếu khủng hoảng, ngưng kinh doanh, hoặc sự kiện lớn xảy ra. Thuật ngữ BCM chỉ ra khung hoặc mô hình hoặc chính sách chung để quản lý nhiều loại ngưng trệ dịch vụ mà có thể bị kích hoạt bởi các sự kiện bên trong hoặc ngoài của tổ chức. Quản lý liên tục kinh doanh (BCM) là một quy trình do tổ chức chuẩn bị cho những sự kiện hoặc khủng hoảng tương lai có thể ảnh hưởng đến sự mệnh cốt lỗi của tổ chức và khả năng tiếp tục hoạt động trong ngắn hạn hoặc lâu dài để đáp ứng mong đợi của bên liên quan.

Quản lý liên tục kinh doanh (Business continuity management – BCM) chuẩn bị cho các tổ chức về những sự cố hoặc khủng hoảng trong tương lai có thể ảnh hưởng đến việc đạt được các mục tiêu kinh doanh. Quản lý khủng hoảng (crisis management – CM) là 1 thành phần quan trọng của BCM và giải quyết vấn đề truyền thông thông tin thích hợp về khủng hoảng với các bên liên quan trong tổ chức. Thành phần chính của quản lý liên tục kinh doanh - BCM là gì? Thành phần chính của BCM bao gồm:

 

  • Hỗ trợ của ban quản lý (management support)– Ban quản lý chỉ ra sự hỗ trợ phù hợp trong việc chuẩn bị, duy trì, và thực hiện kế hoạch liên tục kinh doanh BCP bằng cách phân bổ nguồn lực, con người, và ngân sách
  • Đánh giá rủi ro và giảm thiểu rủi ro (Risk assessment and Risk Mitigation) – Các rủi ro tiềm ẩn như cháy hoặc lũ lụt được nhận diện và khả năng tác động đượng xác định. Việc này được thực hiện tại bộ phận hoặc đơn vị để đảm bảo rằng rủi ro của tất cả sự kiện đáng tin cậy được hiểu và quản lý phù hợp.
  • Phân tích tác động kinh doanh (Business Impact Analysis – BIA) – Nhận diện các quy trình kinh doanh cần duy trì trong thảm họa và xác định bao lâu các quy trình này cần phải phục hồi sau thảm họa.
  • Chiến lược phục hồi và liên tục kinh doanh (Business Recovery and Continuity Strategy) – Chỉ ra các bước, con người, nguồn lực cần thiết để phục hồi các quy trình kinh doanh quan trọng. Điều này có thể chỉ ra cơ chế truyền thông chính và giao thức. Chiến lược có thể xem xét chuẩn ngành hoặc đối sánh với các công ty.
  • Kế hoạch đào tạo và nhận thức – Giáo dục và tăng nhận thức về kế hoạch BCP là quan trọng trong việc thực hiện quản lý liên tục kinh doanh BCM. Đào tạo cũng bao gồm việc thực hiện hoặc thực hiện các thành phần trong kế hoạch BCP.
  • Duy trì (Maintenance) – Năng lực BCM và tài liệu được duy trì để đảm bảo chúng phù hợp với các ưu tiên trong kinh doanh.

Quản lý khủng hoảng (Crisis management) là gì? Quản lý khủng hoảng (CM) là thành phần chính của BCM sẽ được kích hoạt khi sự gián đoạn dịch vụ kinh doanh xảy ra ở cấp độ khủng hoảng hoặc thảm họa. Quản lý khủng hoảng lập tài liệu các phương pháp được dùng để xử lý thực tế và nhận thức về khủng hoảng. Quản lý khủng hoảng cũng bao gồm việc thiết lập các thước đo để định nghĩa ra kịch bản nào tạo nên khủng hoảng và nên sẽ kích hoạt sau đó cơ chế xử lý cần thiết. Nó bao gồm việc truyền thông trong quá trình khủng hoảng xảy ra. Quản lý khủng hoảng (CM) được xem là thành phần chính của BCM, chỉ ra cách tổ chức sẽ thông báo với công chúng, nhân viên, đối tác, và các bên liên quan khác thế nào và các bước cần thực hiện để hồi phục hoạt động kinh doanh và tối thiểu tác động của các bên liên quan bên trong và bên ngoài. Kế hoạch quản lý khủng hoảng củng cố phương diện quản trị rủi ro để ngăn ngừa hoặc xử lý trong những tình huống khẩn cấp. Việc không xây dựng các chương trình quản lý khủng hoảng hoặc truyền thông kém, thiếu kiểm tra hoặc đào tạo có thể dẫn đến các rủi ro tổ chức làm cho khủng hoảng xảy ra ở mức độ không thể chấp nhận được. Chương trình quản lý khủng hoảng được xây dựng sau khi khủng hoảng có nội dung dựa vào khủng hoảng trước đó có thể không đầy đủ và toàn diện để mang lại hiệu quả. Đối với các tổ chức công, bao gồm cả chính phủ, thiệt hại do khủng hoảng hoặc sự cố có thể có tác động địa phương hoặc quốc tế lớn hơn. Một chương trình quản lý khủng hoảng CMP toàn diện và được truyền thông tốt có thể giúp tổ chức vượt qua khủng hoảng và rủi ro liên quan một cách hiệu quả. Hơn nữa, một chương trình quản lý khủng hoảng có thể nâng cao tính trường tồn của tổ chức khi đối diện với khủng hoảng. Các công cụ và chương trình quản lý khủng hoảng, khi xây dựng đầy đủ, đánh giá định kỳ, được ủng hộ và chấp nhận bởi quản lý và hội đồng, sẽ cho phép tổ chức quản lý các sự kiện và giảm rủi ro ở mức tối thiểu trong vận hành, tài chính, uy tín, luật pháp đối với các bên liên quan bên trong và bên ngoài.

Các hình thức gián đoạn kinh doanh là gì?

Quản lý liên tục kinh doanh BCM tìm cách quản lý các mối nguy tạo ra do bên trong hoặc bên ngoài tổ chức. Mỗi mối nguy có thể có mức độ khác nhau về tác động với các quy trình kinh doanh của tổ chức, có thể ảnh hưởng đến tuân thủ, an toàn cá nhân, bảo vệ môi trường, và khả năng duy trì tiêu chuẩn hoạt động và thỏa mãn yêu cầu hợp đồng, hoặc uy tín của tổ chức. Các loại gián đoạn kinh doanh bao gồm:

  • Tấn công mạng
  • Dịch bệnh/ đại dịch
  • Động đất/ sóng thần
  • Cháy nổ
  • Lụt
  • Bão/ lốc xoáy
  • Đình công
  • Lỗi hệ thống
  • Phá hoại
  • Khủng bố
  • Sự cố mất điện

Vai trò của kiểm toán nội bộ đối với quản lý liên tục kinh doanh và khủng hoảng là gì?

Kiểm toán nội bộ có vai trò đóng góp vào quản lý khủng hoảng bằng các cung cấp các hiểu biết thực tế về các hoạt động này. Giám đốc kiểm toán nội bộ CAE nên ghi rõ vai trò của kiểm toán nội bộ trước, trong, và sau khủng hoảng. Thông thường, chức năng kiểm toán nội bộ có thể có ngồi vào bàn thảo luận trong quy trình lập kế hoạch quản lý khủng hoảng của tổ chức. Một khi các vai trò đã được xác lập, chúng sẽ được ghi vào tài liệu và truyền thông trong bộ phận và đến các bên liên quan bên ngoài những người bị tác động trực tiếp.

 

Nếu kiểm toán nội bộ hoặc CAE không có vai trò trong quy trình quản lý khủng hoảng, ủy ban kiểm toán nên được thông báo để tránh các kỳ vọng sai lệch. Khi kiểm toán nội bộ phục vụ với vai trò tư vấn (advisory) cho ban quản lý trong bối cảnh phát triển BCP/CMP, những tác động về tính độc lập và khách quan của kiểm toán nội bộ cũng phải được làm rõ. Khi vai trò đã được nhận rõ, chúng nên được sự phê duyệt theo báo cáo chức năng và thủ tục của CAE (quản lý và hội đồng) đã được ghi trong điều lệ kiểm toán nội bộ.

Đánh giá đảm bảo hoặc tư vấn đối với chương trình BCM như thế nào?

Trách nhiệm của kiểm toán nội bộ là tăng giá trị và cải tiến hoạt động và quản trị rủi ro của tổ chức nên được mở rộng cho cả việc đánh giá và tư vấn cho BCM, phụ thuộc vào mức độ trưởng thành về chương trình BCM trong tổ chức. Việc đưa hoạt động kiểm toán nội bộ vào trong kế hoạch BCM và CM có thể là chìa khóa quan trọng trong sự thành công của chương trình. Điều này đặc biệt cho trong trường hợp những tổ chức có độ trưởng thành thấp trong việc này. Với sự tương tác, và hiểu về nhu cầu của hội đồng và quản lý cấp cao, kiểm toán nội bộ có thể có quan điểm và giúp các hoạt động kế hoạch. Đảm bảo rằng các lĩnh vực mà BCM tập trung phù hợp với nhu cầu cần thiết của quản lý và hội đồng là nhân tố thành công quan trọng.

Vai trò của kiểm toán nội bộ trước khủng hoảng, trong, và sau khủng hoảng, các thành phần chính của chương trình đánh giá, và các ví dụ về chương trình BCM cụ thể sẽ được trình bày ở những tài liệu khác.

Icon email Icon phone Icon message Icon zalo