​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​

นโยบายการบริหารความต่อเนื่องทางธุรกิจ

1. ข้อกําหนดทั่วไป

1.1 วัตถุประสงค์

     เพื่อใช้เป็นแนวทางในการจัดทำแผนตอบสนองเหตุการณ์ฉุกเฉิน (Emergency Response Plan : ERP) และแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan : BCP) ที่เหมาะสมเพียงพอที่จะเชื่อมั่นว่าบริษัทจะสามารถกลับมาดำเนินธุรกิจได้ตามปกติ และช่วงเวลาของการหยุดชะงักจะไม่นานเกินไป

1.2 ขอบเขตของนโยบาย

     มีผลบังคับใช้ทั่วทั้งองค์กรจากผู้บริหารระดับสูงไปจนถึงหน่วยงานที่ให้บริการและ/หรือหน่วยงานที่ต้องติดต่อกับลูกค้าโดยตรงไปจนถึงหน่วยงานสนับสนุนและผู้ที่เกี่ยวข้องตลอดกระบวนการทำงาน

1.3 วันที่มีผลบังคับใช้

     นโยบายฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่คณะกรรมการบริษัทอนุมัติ

1.4 ความถี่ในการทบทวน และการแก้ไขปรับปรุงนโยบาย

     นโยบายฉบับนี้จะต้องได้รับการทบทวนทุก 1 ปี หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสําคัญแก่การแก้ไขทบทวนแก้ไข ปรับปรุง

     การแก้ไขปรับปรุงที่มีนัยสําคัญ การทบทวน หรือการต่ออายุนโยบายฉบับนี้ จะต้องได้รับการอนุมัติโดยคณะกรรมการบริษัท ทั้งนี้ การแก้ไขปรับปรุงที่ไม่มีนัยสําคัญจะต้องได้รับการอนุมัติโดยคณะกรรมการจัดการ (“Management Committee: MC”) และ/หรือคณะกรรมการชุดย่อยที่เกี่ยวเนื่อง ก่อนนำรายงานต่อคณะกรรมการบริษัทเพื่อทราบตามลำดับ

1.5 ผู้รับผิดชอบนโยบาย

     ฝ่ายบริหารความเสี่ยงเป็นผู้รับผิดชอบบริหารจัดการนโยบายฉบับนี้

2. ข้อกําหนดหลัก

2.1 คำนิยาม

• 2.1.1 การบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management) คือ แนวทางในการกำหนดนโยบาย มาตรฐาน และกระบวนการทำงานขององค์กร เพื่อให้มั่นใจว่าในกรณีที่เกิดอุบัติการณ์หรือภัยพิบัติที่ส่งผลให้การปฏิบัติงานต้องหยุดชะงักลง กิจกรรมที่สำคัญจะสามารถดำเนินการได้อย่างต่อเนื่อง
• 2.1.2 การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis : BIA) คือ กระบวนการวิเคราะห์และวัดผลกระทบหรือความสูญเสียทางธุรกิจที่เกิดจากการหยุดชะงักของการดำเนินงาน ทั้งในเชิงคุณภาพและเชิงปริมาณ
• 2.1.3 แผนตอบสนองเหตุการณ์ฉุกเฉิน (Emergency Response Plan : ERP) คือ แผนที่จัดทำขึ้นเป็นลายลักษณ์อักษร เพื่อใช้ในกรณีเกิดอุบัติการณ์ หรือภัยพิบัติ โดยระบุรายละเอียดเกี่ยวกับบุคลากรที่เกี่ยวข้อง ทรัพยากร บริการ สิ่งที่ต้องปฏิบัติสำหรับบริหารจัดการอุบัติการณ์
• 2.1.4 แผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan : BCP) คือ เอกสารที่รวบรวมขั้นตอน และข้อมูล ซึ่งทำให้องค์กรพร้อมที่จะนำไปใช้เมื่อเกิดอุบัติการณ์ เพื่อให้สามารถดำเนินการในกิจกรรมหรือกระบวนการหลักในระดับที่กำหนดไว้

2.2 หลักการทั่วไป

นโยบายฉบับนี้จัดทําขึ้นเพื่อให้มั่นใจว่าการดําเนินงานของบริษัทเป็นไปตามเป้าหมาย กฎหมาย และกฎเกณฑ์ ที่กำหนดไว้

2.3 บทบาท หน้าที่ และความรับผิดชอบ

• 2.3.1 คณะกรรมการบริษัท มีขอบเขตอำนาจหน้าที่ ให้ความเห็นชอบนโยบายการบริหารความต่อเนื่องทางธุรกิจของบริษัทและให้การสนับสนุนในการดำเนินการเพื่อให้ธนาคารสามารถบรรลุวัตถุประสงค์ตามนโยบายที่กำหนดไว้ รวมถึงติดตามให้มีการทบทวนนโยบายกล่าวข้างต้นอย่างสม่ำเสมอ
• 2.3.2 คณะที่ปรึกษา มีขอบเขตอำนาจหน้าที่ ให้คำปรึกษา แนะนำ และกำกับดูแลตลอดจนวินิจฉัยสั่งการในการแก้ไขปัญหาระหว่างดำเนินงาน ต่อคณะกรรมการและคณะทำงานในการบริหารจัดการในภาวะฉุกเฉิน
• 2.3.3 คณะกรรมการและคณะทำงานในการบริหารจัดการในภาวะฉุกเฉิน มีขอบเขตอำนาจหน้าที่ ดังนี้
  1. กำหนดแนวทางการดำเนินการบริหารความเสี่ยง ในการป้องกัน ควบคุม และ/หรือลดความเสียหายการหยุดชะงักของการดำเนินงานและการให้บริการลูกค้า ที่อาจจะเกิดขึ้นจากเหตุการณ์ความเสี่ยง ทั้งจากภายในและภายนอกองค์กรรวมทั้งภัยพิบัติต่าง ๆ รวมถึงสภาพภูมิอากาศและสิ่งแวดล้อมที่เปลี่ยนแปลงไป ต่อสำนักงานใหญ่ สำนักงานสาขาทั่วประเทศ และศูนย์สำรองปฏิบัติงานทุกแห่ง ให้มีความพร้อมรองรับสถานการณ์ตามระดับความรุนแรงให้กลับสู่ภาวะปกติได้อย่างถูกต้องและในเวลาที่เหมาะสม
  2. วางแผนและจัดสรรงบประมาณเพื่อการจัดการด้านโครงสร้างทางกายภาพ สิ่งแวดล้อม และความปลอดภัยในสถานประกอบการให้ได้มาตรฐานตามอาชีวอนามัย ทั้งสำนักงานใหญ่ สาขาทั่วประเทศ และศูนย์ปฏิบัติงานสำรองทุกแห่ง
  3. จัดทำและทบทวนคู่มือแผนบริหารความต่อเนื่องทางธุรกิจจากภัยพิบัติต่าง ๆ เพื่อเป็น ข้อปฏิบัติ และเผยแพร่ให้ความรู้แก่ กรรมการ ผู้บริหาร พนักงาน ตัวแทน และผู้มาขอรับบริการทั้งสำนักงานใหญ่และสาขาทั่วประเทศ
  4. ติดตามสถานการณ์และประเมินความเสี่ยงจากเหตุการณ์ต่าง ๆ ที่อาจก่อให้เกิดความเสียหาย และ/หรือ มีการเปลี่ยนแปลงอย่างมีนัยสำคัญ และรายงานต่อคณะกรรมการที่ปรึกษาอย่างสม่ำเสมอ
  5. พิจารณา ติดตาม และสื่อสารกฎหมาย คำสั่ง ประกาศใหม่ที่เกี่ยวข้อง เพื่อนำมาวิเคราะห์และประเมินผลกระทบ โอกาสที่จะเกิดขึ้น เพื่อให้สามารถเตรียมความพร้อมและบริหารความต่อเนื่องทางธุรกิจได้อย่างเหมาะสม
• 2.3.4 ฝ่ายบริหารความเสี่ยง มีบทบาทและหน้าที่ความรับผิดชอบ ดังนี้
  1. ทบทวนนโยบายการบริหารความต่อเนื่องทางธุรกิจอย่างสม่ำเสมอหรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญเพื่อให้สอดคล้องกับสภาพแวดล้อมและสถานการณ์ที่เปลี่ยนแปลงไป รวมถึงนำเสนอคณะกรรมการจัดการ เพื่อพิจารณาอนุมัติ
  2. ประสานงานและติดตามให้หน่วยงานในบริษัทจัดทำคู่มือการบริหารความต่อเนื่องทางธุรกิจ รวมไปถึงรวบรวมคู่มือการบริหารความต่อเนื่องทางธุรกิจของหน่วยงานต่าง ๆ
  3. จัดให้มีการฝึกซ้อมแผน BCP และควบคุมดูแลให้ผู้เกี่ยวข้องปฏิบัติตามคู่มืออย่างเคร่งครัด อย่างน้อยปีละ 1 ครั้ง และรายงานผลต่อคณะกรรมการจัดการเพื่อทราบ

     นอกเหนือจากที่กล่าวมาแล้วในข้างต้นนั้น เจ้าของนโยบายมีหน้าที่รับผิดชอบในการตรวจสอบให้มั่นใจว่าสายงานและ/หรือฝ่ายงานต่าง ๆ ที่เกี่ยวข้องจะต้องจัดทําระเบียบปฏิบัติงานเพื่อให้สอดคล้องกับนโยบายที่เกี่ยวข้องนั้น ๆ และเจ้าของระเบียบปฏิบัติงานมีหน้าที่รับผิดชอบในการดําเนินการเช่นเดียวกัน เพื่อให้มีการจัดทําคู่มือปฏิบัติงานที่สอดคล้องกับระเบียบปฏิบัติงานที่เกี่ยวข้องนั้น ๆ

2.4 ข้อกำหนด

• 2.4.1 การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis : BIA)

       กำหนดให้มีการวิเคราะห์ผลกระทบทางธุรกิจเพื่อศึกษาผลกระทบทางธุรกิจที่อาจเกิดขึ้น เมื่อการดำเนินงานหยุดชะงัก ประเมินระยะเวลานานที่สุดที่ยอมรับให้การดำเนินงานหยุดชะงัก และระยะเวลาเป้าหมายในการเรียกคืนการดำเนินงานของแต่ละกระบวนการ/กิจกรรม ตลอดจนกำหนดระดับความเสี่ยงที่ยอมรับได้ในการบริหารความต่อเนื่องทางธุรกิจให้เป้าหมายขั้นต่ำในการดำเนินธุรกิจอย่างต่อเนื่อง การวิเคราะห์ผลกระทบทางธุรกิจมีขอบเขตสอดคล้องกับกรอบและนโยบายบริหารจัดการความเสี่ยงของบริษัทฯ ครอบคลุมกิจกรรมหลักของบริษัท มีจัดกลุ่มกิจกรรมสำคัญโดยพิจารณาถึงระยะเวลาในการฟื้นฟู และเรียกคืนการดำเนินการไว้อย่างเหมาะสม

• 2.4.2 การจัดทำคู่มือการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management Guidance)

       การบริหารความต่อเนื่องทางธุรกิจนั้นขึ้นกับเหตุการณ์ฉุกเฉินและความรุนแรง การควบคุมและการระงับเหตุการณ์ ตลอดจนระยะเวลาในการฟื้นฟูกิจกรรมต่าง ๆ ของบริษัท โดยแบ่งการตอบสนองต่อภาวะฉุกเฉินและระยะเวลา เป็น 2 ช่วง ดังนี้

  1. แผนตอบสนองเหตุการณ์ฉุกเฉิน (Emergency Response Plan : ERP) คือ แนวทางการจัดการ ดำเนินการ ประสานงานและปฏิบัติการ ในการตอบสนองกับเหตุฉุกเฉินที่เกิดขึ้น เพื่อให้สามารถระงับเหตุฉุกเฉินได้อย่างมีประสิทธิภาพลดการสูญเสียทั้งชีวิตและทรัพย์สิน และเพื่อให้บริษัทสามารเข้าสู่แผนบริหารความต่อเนื่องของกิจกรรมสำคัญได้
  2. แผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan : BCP) (Business Continuity Plan : BCP) คือ แนวทางปฏิบัติเพื่อช่วยให้บริษัทมีความพร้อมในการรองรับกับสถานการณ์ฉุกเฉินอันอาจส่งผลให้พนักงานทั้งหมด หรือบางส่วนไม่สามารถปฏิบัติงานได้ตามปกติ และเพื่อให้บริษัทสามารถดำเนินกิจกรรม หรือกระบวนการหลักตามที่ได้กำหนดไว้

       บริษัทได้กำหนดให้มีการจัดทำคู่มือแผนบริหารความต่อเนื่องทางธุรกิจทั้งในระดับองค์กรและระดับหน่วยงานที่มีรายละเอียดของแผนตอบสนองเหตุการณ์ฉุกเฉิน และแผนการบริหารความต่อเนื่องทางธุกิจ ขอบเขตและโครงสร้างหลักในการประกาศใช้ หน่วยงานที่รับผิดชอบ ขั้นตอนปฏิบัติและระบบการแจ้งเหตุฉุกเฉินตามลำดับชั้น การเปิดใช้ศูนย์ปฏิบัติการสำรอง โดยกำหนดให้มีการฝึกซ้อมแผน BCP และควบคุมดูแลให้ผู้เกี่ยวข้องปฏิบัติตามคู่มืออย่างเคร่งครัด อย่างน้อยปีละ 1 ครั้ง