Nội dung Câu hỏi & Câu trả lời được trích dẫn trong buổi hội thảo online Làm Thế Bào Để Được Chứng Nhận Quốc Tế “ Kinh Doanh Liên Tục” do BVC tổ chức ngày 18/03/2023.
Câu hỏi 1: Chỉ cần nhận diện những sự cố dựa trên mục tiêu của tổ chức hay cần nhận diện sự cố ở từng phòng ban có khả năng ảnh hưởng kinh doanh của tổ chức?
Trả lời: Từ các sản phẩm dịch vụ chúng ta cung cấp cho khách hàng, nếu nằm dưới yêu cầu của luật định về RTO hay MPCO thì bắt buộc nhận diện. Nếu nằm dưới yêu cầu của khách hàng thì chúng ta cũng phải nhận diện như trên và nếu trong module về Business impact analysis thì chúng ta sẽ có phương pháp luận bài bản để đi từ các sản phẩm và dịch vụ đến các quá trình quan trọng cơ bản đến các hoạt động cơ bản những cái nào có ảnh hưởng đến sự gián đoạn từ phân tích đó sẽ rút ra được các hoạt động có thể bị gián đoạn do các yếu tố thiên tai dịch bệnh sự cố, ... Từ đó sẽ có cái nhìn tổng quát trong kinh doanh của cả tổ chức. Nếu áp dung BCMS thì sẽ có cái nhìn tổng thể về cái nhận diện này.
Câu hỏi 2: Cần thiết lập mục tiêu của tổ chức trước, sau đó dựa vào mục tiêu của tổ chức để nhận diện sự cố hay có thể nhận diện sự cố phải không?
Trả lời: Không đúng vì mục tiêu của tổ chức không thể đưa ra trước được, mà phải hiểu rõ các yêu cầu của các bên liên quan (Luật, khách hàng, nhà cung cấp,..) rồi đến những người liên quan khác (công ty mẹ, tập đoàn, tổng giám đốc,...) từ đó đưa ra được các RTO và MBCO thì sẽ lập các mục tiêu của tổ chức nói chung.
Câu hỏi 3: Cho hỏi BCM và ISO22301 thường áp dụng cho DN loại hình nào ngoài các DN về CNTT (loại trừ những ví dụ nãy giờ về Dịch vụ công hoặc DN khối nhà nước)?
Trả lời: Trong các mảng bên dưới đều có yêu cầu pháp luật liên quan đến kinh doanh liên tục:
- Banking & Finance. Public Health & Healthcare
- Transportation & Shipping
- Energy (including nuclear)
- Industry - General. Agriculture, Food Supply & Water
- Information Distribution & Communications
- Government & Public Agencies
Câu hỏi 4: MTPD là gì, nhờ anh giải thích lại giùm. Xin cám ơn.
Trả lời: MTPD là Maximum tolerable period of disruption.
Câu hỏi 5: Xin hỏi các Diễn giả và BTC về Hệ thống tiêu chuẩn kinh doanh liên tục phòng ngừa rủi ro ATSKNN trong TC. Xin cảm ơn!
Trả lời: Trong kinh doanh liên tục có từ "ứng phó với tình huống khẩn cấp”. Trong ứng phó này có giảm thiểu các tác hại khi có tình huống khẩn cấp xảy ra.
Ví dụ: gãy chân, gãy tay, tai nạn phần này hay gọi là emergency response plan (kế hoạch ứng phó khẩn cấp) đây cũng là đứt quản trong kinh doanh.
Khi đã có hệ thống quản lý theo cấu trúc bậcC cao với 10 điều khoản thì việc chuyển sang PCMS hoàn toàn có thể được. Nếu muốn dùng ruro trong ATSKNN thì phân tích thêm rủi ro trong gián đoạn kinh doanh.
Câu hỏi 6: MTPD và MBCO khác nhau như thế nào? Tổ chức cần xác định cả MTPD và MBCO phải không?
Trả lời: MTPD có đơn vị tính là thời gian. MBCO thì mức độ cung cấp sản phẩm của tổ chức tùy thuộc vào sản phẩm dịch vụ của mình là gì thì mức MBCO sẽ khác nhau nên không rõ là đơn vị gì, nhưng chắc chắn không phải là đơn vị thời gian.
Câu 7: Hiện nay ở Việt Nam, có (khoảng) bao nhiêu doanh nghiệp trong các lĩnh vực khác nhau đã triển khai ISO 22301?
Trả lời: Hiện tại ở Việt Nam chưa có số liệu hay một kênh thông tin để thống kê chính thức tuy nhiên chưa có nhiều doanh nghiệp triển khai ISO 22301 nhưng về lĩnh vực cũng khá là phong phú, từ ngân hàng đến khối sản xuất đều đã có DN đăng kí chứng nhận ISO 22301.
Câu 8: Anh có thể cho vài ví dụ về rủi ro về kinh doanh liên tục trong lĩnh vực logistics, vận hành kho bãi và từ đó đưa ra mục tiêu kinh doanh liên tục được không ạ?
Trả Lời: Dịch vụ logistics (dịch vụ kho bãi, Dịch vụ cẩu, Dịch vụ điện nước,...) Trong các hoạt động này có thể có những hoạt động bị ngắt quãng. Có thể đưa ra mục tiêu kinh doanh liên tục, phân tích các sự cố đã xảy ra.
Ví dụ: xe cẩu gặp sự cố không cẩu lên được chúng ta có thể đảm bảo được vận hành liên tục nếu có ngắt quãng trong một tiếng thì chúng tôi có thể thay thế (ATO).
Ví dụ: Trung tâm call center trung tâm tư vấn hỗ trợ trả lời khách hàng 24/7 cũng được gọi là kinh doanh liên tục. Như thế nào là 24/7, hiện nay một số ngân hàng lớn nhưng khi khách hàng gọi đến luôn trong tình trạng máy bận như thế không được gọi là 24/7. Call center trong vòng bao nhiêu phút có người pick up điện thoại trong 24h hoặc nói rõ hơn trong giờ hành chính sẽ có người pick up, không phải giờ hành chính thì trong vòng 30 phút sẽ có người pick up thì 30 phút hay 1 tiếng đó chính là RTO. Khi nói dến kinh doanh liên tục thì chúng ta nói đến 2 yếu tố:
1 là thời gian; 2 là minimum capacity. Đối với dịch vụ logistics hay các dịch vụ tương tự thì đây là 1 lợi thế khách hàng thấy doanh nghiệp có BCMS thì sẽ dễ có thêm khách hàng hơn.
Khi các nhà sản xuất hoạt động tốt như logistics bị ngắt quãng thì sản phẩm cũng không đến tay khách hàng. Đối với dịch vụ logistics, đặc biệt là những doanh nghiệp logistics có phạm vi hoạt động lớn thì càng phải áp dụng kinh doanh liên tục.
Câu 9: Để được chứng nhận có bắt buộc phải học tiêu chuẩn ISO 22301 và có chứng chỉ đã học tiêu chuẩn ISO22301 không?
Trả lời: Nếu doanh nghiệp có thể tự xây dựng được hệ thống thì việc đào tạo là không bắt buộc. Đối với chuyên gia đánh giá cần tất cả những yêu cầu của tiêu chuẩn sẽ được đáp ứng. Tiêu chuẩn không bắt buộc phải học từ bên ngoài mà chỉ bắt buộc đủ năng lực để thực hiện việc xây dựng hệ thống.
Câu 10: Có bắt buộc tổ chức phải thực hiện Exercise? Nếu tổ chức xác định không cần làm Exercise do practice is in place and running well thì có được không?
Trả lời: Việc thực hiện Exercise là bắt buộc vì trong tiêu chuẩn có yêu cầu tổ chức phải thực hiện exercise đó. Trong hướng dẫn thực hiện của ISO 22313 thì exercise có nhiều hình thức thực hiện, không phải chỉ 1 hình thức "giả như làm thật". Có nhiều hình thức: exercise thực hành, exercise bằng desktop nghĩa là các bên tham gia sẽ ngồi lại xem xét.
Câu 11: Ở Việt Nam đã có Lead auditor đánh giá tiêu chuẩn ISO 22301 chưa hay khi muốn chứng nhận tiêu chuẩn này thì LA sẽ là người nước ngoài ạ?
Trả lời: Hiện tại BVC ở Việt Nam có ông Trịnh Tuấn Dũng là Lead Auditor đánh giá tiêu chuẩn ISO 22301.
Câu 12: Khách hàng yêu cầu nhà máy phải có kế hoạch đi gia công ở một nhà máy khác theo dạng gia công sản xuất trả phí nếu nhà máy em không thể đáp ứng được đơn hàng đúng tiến độ.
Trả lời: Trong sản xuất kinh doanh liên tục thì có thể sẽ có nhiều chiến lược khác nhau. VD: Tăng máy, thuê máy, thuê thêm người tăng ca.
Đấy là những chiến lược để cung cấp nguồn lực hoặc chiến lược khác như không sản xuất được có thể thuê bên ngoài và có trả phí, đấy là những cái cụ thể của kế hoạch kinh doanh liên tục.
Câu 13: Cho em phản biện xíu được không ạ? Việc call center không pickup được trong ví dụ của anh Dũng nói, bản chất là khách hàng có thể liên hệ kênh khác như là email hoặc mở app ra tự xử lý 1 số tác vụ workaround. Thì anh Dũng nói tới việc call center không pickup được ở 1 bank 24/7 thì có gì sai, ở bối cảnh cụ thể hơn như nào ạ?
Trả lời: Bank chỉ nói 24/7 là nói đến kinh doanh liên tục nhưng không nói rõ cụ thể về MTO hay MPCO, chỉ nói 24/7 nhưng không nói rõ gián đoạn như thế nào, có thể sử dụng kênh thông tin khách như email nhưng bao nhiêu lâu thì phản hồi email được nên đưa vào ví dụ cụ thể. Kinh doanh liên tục nhưng không có nghĩa là kinh doanh không ngừng mà doanh nghiệp cần biết cách khắc phục sớm nhất khi có sự cố xảy ra.
Câu 14: Cho em hỏi: Nếu công ty em sản xuất sản lượng thay đổi theo từng tháng thì MTPD xác định và áp dụng cho nguyên năm được không ? và Cty chỉ cần kiểm soát rủi ro theo RTO nếu các rủi ro nhỏ hơn RTO thì cần kiêm soát không theo ISO 22301 này ? Xin cảm ơn !
Trả lời: MTPD Là thời gian giống ATO. Mặc dù đơn hàng của bạn theo từng tháng bạn tổng kết trong 1 năm vẫn đáp ứng được nhu cầu của khách hàng về tổng số đó nhưng ví dụ đơn hàng sản xuất tháng 5 nhưng tháng 5 doanh nghiệp bạn gặp sự cố nào đó không cung cấp, tháng 6 tháng 7 tháng 8 lại cung cấp gấp đôi sản lượng lên vậy cả 1 tháng doanh nghiệp không cung cấp sản phẩm cho khách hàng thì khách hàng có chấp nhận được không. Trong 1 tháng không cung sản phẩm nào cho khách hàng thì chắc chắn khách hàng không đồng ý được, đó là lý do doanh nghiệp cần áp dụng nhuần nhuyển MPCO trong tình huống này. MTPD có thể trong 1 tuần doanh nghiệp phải cung cấp sản phẩm lại cho khách hàng ít. Áp dụng MPCO minimum capacity. Nếu rủi ro nhỏ hơn RTO tức là nhỏ hơn các quy định của pháp luật hay quy định khách hàng. Nếu doanh nghiệp luôn luôn không có bất kể rủi ro nào bị ngắt quãng mà nhỏ hơn yêu cầu của khách hàng thì doanh nghiệp không cần làm ISO 22301, tuy nhiên tình huống này không bao giờ xảy ra.
Giả sự cháy, động đất, lũ lụt mà không bị ngắt quãng nhỏ hơn RTO được. Nếu nguồn dự trữ của doanh nghiệp dư thừa thì không cần làm PCMS. PCMS chỉ có tác dụng với nguồn lực giới hạn mình vận hàng hệ thống, mình nhận diện được các hoạt động cơ bản nhất có nguy cơ bị đứt quãng để tập trung nguồn lực để giải quyết và duy trì kinh doanh liên tục, duy trì doanh thu, duy trì lợi nhuận và duy trì công ăn việc làm cho mọi người.