การตรวจสอบความต่อเนื่องทางธุรกิจและการกู้คืนจากภัยพิบัติ

เนื่องจากองค์กรต่างๆ พึ่งพาเทคโนโลยีสารสนเทศ (IT) มากขึ้นในการดำเนินงานการวางแผนความต่อเนื่องทางธุรกิจ (และส่วนย่อยคือการวางแผนความต่อเนื่องของบริการด้านไอที ) จึงครอบคลุมทั้งองค์กร ในขณะที่การกู้คืนจากภัยพิบัติจะเน้นเฉพาะด้านไอที

การตรวจสอบ เอกสารที่เกี่ยวข้องกับ แผนความต่อเนื่องทางธุรกิจและการกู้คืนจากภัยพิบัติ (BCDR)ขององค์กรเป็นการให้การรับรองจากบุคคลที่สามแก่ผู้มีส่วนได้ส่วนเสียว่าเอกสาร นั้น ครบถ้วนสมบูรณ์และไม่มีการบิดเบือน ข้อเท็จจริงที่สำคัญ

คำว่าความต่อเนื่องทางธุรกิจ (BC) และการกู้คืนจากภัยพิบัติ (DR) มักใช้ร่วมกัน แต่มีความแตกต่างกันมาก BC หมายถึงความสามารถของธุรกิจในการดำเนินงานที่สำคัญและกระบวนการทางธุรกิจต่อไปหลังจากเกิดภัยพิบัติ ในขณะที่ DR หมายถึงฟังก์ชัน IT ของธุรกิจโดยเฉพาะ แม้จะเป็นส่วนย่อยของ BC ก็ตาม^{[ 1 ] [ 2 ]}

วัตถุประสงค์หลักคือการปกป้ององค์กรในกรณีที่การดำเนินงานทั้งหมดหรือบางส่วน และ/หรือบริการคอมพิวเตอร์ขององค์กรไม่สามารถใช้งาน ได้บางส่วนหรือทั้งหมด

การลดระยะเวลาหยุดทำงานและการสูญเสียข้อมูลระหว่างการกู้คืนระบบหลังภัยพิบัติ โดยทั่วไปจะวัดจากแนวคิดหลักสองประการ:

• เป้าหมายเวลาในการกู้คืน (RTO) คือ ระยะเวลาจนกว่าระบบจะกลับมาทำงานได้อย่างสมบูรณ์
• Recovery Point Objective (RPO) คือมาตรวัดความสามารถในการกู้คืนไฟล์โดยการระบุจุดเวลาที่ สำเนา สำรองจะกู้คืนกลับไป

บทบาทของผู้ตรวจสอบภายในในการตรวจสอบแผนการกู้คืนระบบหลังภัยพิบัติ (DRP): 1. การกำกับดูแลและการตรวจสอบ - ยืนยันว่าบทบาท ความรับผิดชอบ และการตรวจสอบได้รับการกำหนดไว้ และ DRP สอดคล้องกับความเสี่ยงที่ยอมรับได้และกลยุทธ์ความต่อเนื่อง 2. การประเมินความเสี่ยงและ BIA - ตรวจสอบว่าการประเมินความเสี่ยงและผลกระทบระบุระบบที่สำคัญและกำหนด RTO/RPO 3. การออกแบบและการจัดทำเอกสารแผน - ตรวจสอบให้แน่ใจว่า DRP เป็นปัจจุบัน ครบถ้วน และรวมถึงขั้นตอนการกู้คืนที่สำคัญ 4. การทดสอบและการตรวจสอบ - ยืนยันว่ามีการทดสอบ DRP เป็นประจำและใช้ผลลัพธ์เพื่อปรับปรุงแผน 5. การสำรองข้อมูลและการกู้คืน - ประเมินความถี่ในการสำรองข้อมูลและความสามารถในการกู้คืนเทียบกับเป้าหมาย RTO/RPO 6. การสื่อสารและการฝึกอบรม - ตรวจสอบว่าพนักงานได้รับการฝึกอบรมและมีโปรโตคอลการสื่อสารสำหรับวิกฤตการณ์ 7. การบำรุงรักษาและการปรับปรุง - ตรวจสอบให้แน่ใจว่า DRP ได้รับการอัปเดตเป็นประจำและมีการบูรณาการบทเรียนที่ได้รับ^{[ 3 ]}

แผนการกู้คืนจากภัยพิบัติ ( DRP ) คือกระบวนการหรือชุดขั้นตอนที่จัดทำเป็นเอกสารเพื่อดำเนินการตามกระบวนการกู้คืนจากภัยพิบัติ ขององค์กร และกู้คืนและปกป้องโครงสร้างพื้นฐาน ด้านไอที ของธุรกิจ ในกรณีที่เกิดภัยพิบัติ [ ^{4 ] มัน} คือ "คำแถลงที่ครอบคลุมเกี่ยวกับการดำเนินการที่สอดคล้องกันที่จะต้องดำเนินการก่อน ระหว่าง และหลังเกิดภัยพิบัติ" ^{[ 5 ]}ภัยพิบัติอาจเป็นภัยธรรมชาติภัยสิ่งแวดล้อมหรือภัยที่มนุษย์สร้างขึ้น ภัยพิบัติที่มนุษย์สร้างขึ้นอาจเป็นไปโดยเจตนา (เช่น การกระทำของผู้ก่อการร้าย) หรือโดยไม่เจตนา (นั่นคือ อุบัติเหตุ เช่น การพังทลายของเขื่อนที่มนุษย์สร้างขึ้น หรือแม้แต่ "นิ้วอ้วน" หรือคำสั่งที่ผิดพลาดที่ป้อนเข้าไปในระบบคอมพิวเตอร์)

แม้ว่าจะไม่มีแผนใดที่เหมาะกับทุกสถานการณ์^{[ 6 ]}แต่ก็มีกลยุทธ์พื้นฐานสามประการ: ^{[ 4 ] [ 6 ]}

1. การป้องกัน รวมถึงการสำรองข้อมูลอย่างเหมาะสม การติดตั้งอุปกรณ์ป้องกันไฟกระชาก และเครื่องกำเนิดไฟฟ้า
2. การตรวจจับ ซึ่งเป็นผลพลอยได้จากการตรวจสอบตามปกติ อาจค้นพบภัยคุกคามใหม่ (ที่อาจเกิดขึ้น)
3. การแก้ไข^{[ 7 ]}

ประการหลังอาจรวมถึงการจัดหาประกันภัย ที่เหมาะสม และการจัดประชุมระดมสมองเพื่อเรียนรู้บทเรียนที่ได้รับ^{[ 4 ] [ 8 ]}

เพื่อให้แผนรับมือภัยพิบัติ (DRP) มีประสิทธิภาพสูงสุด ควรมีการอัปเดตแผนอย่างสม่ำเสมอ และควรดำเนินการดังนี้:

• เป็นส่วนสำคัญของกระบวนการวิเคราะห์ธุรกิจ ทั้งหมด
• ควรนำประเด็นนี้กลับมาพิจารณาอีกครั้งทุกครั้งที่มีการควบรวมกิจการ ครั้งใหญ่ ทุกครั้งที่มีการเปิดตัวผลิตภัณฑ์ ใหม่ และทุกครั้งที่มีการพัฒนาระบบ ใหม่ใน แต่ละขั้นตอนสำคัญ
• ต้องผ่านการทดสอบอย่างละเอียด ไม่ใช่แค่เอกสารราชการที่ไร้ประสบการณ์

องค์กรจำเป็นต้องเก็บรักษาบันทึกอย่างเพียงพอ ผู้ตรวจสอบบัญชีจะตรวจสอบบันทึกใบแจ้งหนี้และสัญญาต่างๆ เพื่อยืนยันว่ามีการเก็บรักษาบันทึกอย่างถูกต้อง หนึ่งในบันทึกเหล่านั้นคือรายชื่อ ผู้จำหน่ายฮาร์ดแวร์และซอฟต์แวร์ขององค์กรรายชื่อดังกล่าวจัดทำขึ้นและปรับปรุงเป็นระยะเพื่อให้สะท้อนถึงการเปลี่ยนแปลงในแนวทางการดำเนินธุรกิจ และเป็นส่วนหนึ่งของ ระบบ การจัดการสินทรัพย์ด้านไอที สำเนา ของรายชื่อนี้จะถูกจัดเก็บทั้งในและนอกสถานที่ และพร้อมใช้งานหรือเข้าถึงได้สำหรับผู้ที่ต้องการ ผู้ตรวจสอบบัญชีจะทดสอบขั้นตอนที่ใช้เพื่อให้บรรลุวัตถุประสงค์นี้และประเมินประสิทธิภาพของขั้นตอนเหล่านั้น

การกู้คืนจากภัยพิบัติเป็นส่วนหนึ่งของความต่อเนื่องทางธุรกิจ โดยที่ DRP ครอบคลุมนโยบาย เครื่องมือ และขั้นตอนต่างๆ เพื่อให้สามารถกู้คืนข้อมูลได้หลังจากเกิดเหตุการณ์ร้ายแรง ในขณะที่ BCP เกี่ยวข้องกับการรักษาการทำงานของธุรกิจในทุกด้านโดยไม่คำนึงถึงเหตุการณ์ที่อาจก่อให้เกิดการหยุดชะงัก ดังนั้น แผนความต่อเนื่องทางธุรกิจจึงเป็นกลยุทธ์ขององค์กรที่ครอบคลุม ซึ่งรวมถึง DRP ตลอดจนการป้องกันภัยคุกคาม การตรวจจับ การกู้คืน และการกลับมาดำเนินงานอีกครั้งหากเกิดการละเมิดข้อมูลหรือภัยพิบัติอื่นๆ ดังนั้น BCP จึงประกอบด้วยแผนย่อยห้าส่วน: ^{[ 9 ]}

• แผนการกลับมาดำเนินธุรกิจ
• แผนฉุกเฉินสำหรับผู้พักอาศัย
• แผนการดำเนินงานอย่างต่อเนื่อง
• แผนการจัดการเหตุการณ์
• แผนการฟื้นฟูหลังภัยพิบัติ

องค์ประกอบสามส่วนแรก (การกลับมาดำเนินธุรกิจ เหตุฉุกเฉินของผู้พักอาศัย และแผนความต่อเนื่องของการดำเนินงาน) ไม่เกี่ยวข้องกับโครงสร้างพื้นฐานด้านไอที แผนการจัดการเหตุการณ์ (IMP) เกี่ยวข้องกับโครงสร้างพื้นฐานด้านไอที แต่เนื่องจากแผนดังกล่าวได้กำหนดโครงสร้างและขั้นตอนเพื่อรับมือกับการโจมตีทางไซเบอร์ต่อระบบไอทีขององค์กร จึงโดยทั่วไปแล้วแผนนี้ไม่ได้เป็นตัวแทนในการเปิดใช้งาน DRP ดังนั้น DRP จึงเป็นองค์ประกอบ BCP เพียงอย่างเดียวที่ไอทีให้ความสนใจอย่างจริงจัง^{[ 9 ]}

การจัดหมวดหมู่โดยรวมของการทดสอบนั้นขึ้นอยู่กับการทำงานและการอภิปราย ประเภทของการทดสอบประกอบด้วย: แบบฝึกหัดบนโต๊ะ^{[ 10 ]}รายการตรวจสอบ การจำลอง การประมวลผลแบบขนาน (การทดสอบไซต์กู้คืนในขณะที่ไซต์หลักกำลังทำงาน) และการทดสอบการหยุดชะงักอย่างสมบูรณ์ (การสลับไปใช้ไซต์สำรอง) ^{[ 11 ] [ 12 ]}สิ่งเหล่านี้ใช้ได้กับทั้ง BC และ DR

เช่นเดียวกับแผนประกันภัยทุกแผน การวางแผนความต่อเนื่องทางธุรกิจที่เหมาะสมจะมีประโยชน์หลายประการ ได้แก่^{[ 5 ]}การศึกษาต่างๆ แสดงให้เห็นความสัมพันธ์ระหว่างการใช้จ่ายที่สูงขึ้นในค่าธรรมเนียมการตรวจสอบและอัตราการเกิดเหตุการณ์ที่ต่ำลง^{[ 13 ]}

• ลดความเสี่ยงที่จะเกิดความล่าช้า
• รับประกันความน่าเชื่อถือของระบบสำรอง (รวมถึงการตรวจจับและกู้คืนความล้มเหลวโดยอัตโนมัติในบางสถานการณ์)
• การกำหนดมาตรฐานสำหรับการทดสอบแผน
• ลดขั้นตอนการตัดสินใจในระหว่างเกิดภัยพิบัติ
• ลดภาระความรับผิดทางกฎหมายที่อาจเกิดขึ้น
• ลดสภาพแวดล้อมการทำงานที่ก่อให้เกิดความเครียดโดยไม่จำเป็น

ตามที่ Geoffrey H. Wold จาก Disaster Recovery Journal กล่าวไว้ กระบวนการทั้งหมดที่เกี่ยวข้องกับการพัฒนาแผนการกู้คืนจากภัยพิบัติประกอบด้วย 10 ขั้นตอน: ^{[ 5 ]}

• การประเมินความเสี่ยง : คณะกรรมการวางแผนจัดทำรายงานการวิเคราะห์ความเสี่ยงและการวิเคราะห์ผลกระทบทางธุรกิจ (BIA) ซึ่งครอบคลุมภัยพิบัติที่อาจเกิดขึ้นได้หลากหลายรูปแบบ โดยจะวิเคราะห์แต่ละส่วนงานขององค์กรเพื่อพิจารณาผลกระทบที่อาจเกิดขึ้น โดยทั่วไปแล้ว ไฟไหม้ถือเป็นภัยคุกคามที่ร้ายแรงที่สุด แผนการที่ละเอียดถี่ถ้วนจะครอบคลุมสถานการณ์ "กรณีที่เลวร้ายที่สุด" เช่น การถูกทำลายของอาคารหลัก
• การกำหนดลำดับความสำคัญสำหรับการประมวลผลและการดำเนินงาน : ความต้องการที่สำคัญของแต่ละแผนกจะได้รับการประเมินและจัดลำดับความสำคัญ มีการจัดทำ ข้อตกลง เป็นลายลักษณ์อักษร สำหรับทางเลือกที่เลือกไว้ โดยระบุรายละเอียดต่างๆ เช่น ระยะเวลา เงื่อนไขการยุติการทดสอบระบบค่าใช้จ่ายขั้นตอนการรักษาความปลอดภัยพิเศษใดๆ ขั้นตอนการแจ้งการเปลี่ยนแปลงระบบ ชั่วโมงการทำงาน ฮาร์ดแวร์และอุปกรณ์อื่นๆ ที่จำเป็นสำหรับการประมวลผล ความต้องการบุคลากร คำจำกัดความของสถานการณ์ที่ถือเป็นเหตุฉุกเฉินกระบวนการเจรจาต่อรองเพื่อขยายระยะเวลาการให้บริการ การรับประกันความเข้ากันได้ ความพร้อมใช้งานความต้องการทรัพยากรที่ไม่ใช่เมนเฟรม ลำดับความสำคัญ และประเด็นสัญญาอื่นๆ
• การรวบรวมข้อมูล : ซึ่งรวมถึงรายการต่างๆ (เช่น รายการตำแหน่งสำรองของพนักงาน รายการหมายเลขโทรศัพท์ที่สำคัญ รายการโทรหลัก รายการผู้ขายหลัก รายการตรวจสอบการแจ้งเตือน) รายการสินค้าคงคลัง (เช่น อุปกรณ์สื่อสาร เอกสาร อุปกรณ์สำนักงาน แบบฟอร์มกรมธรรม์ประกันภัยฮาร์ดแวร์คอมพิวเตอร์สำหรับเวิร์กกรุ๊ปและศูนย์ข้อมูล ฮาร์ดแวร์และซอฟต์แวร์ไมโครคอมพิวเตอร์ อุปกรณ์ สำนักงานอุปกรณ์สถานที่จัดเก็บนอกสถานที่ โทรศัพท์ ฯลฯ) ทะเบียนการแจกจ่าย ตารางการสำรอง/เก็บรักษาไฟล์ซอฟต์แวร์และข้อมูล ข้อกำหนดสถานที่ชั่วคราว และรายการ วัสดุ สินค้าคงคลัง และเอกสารอื่นๆ ที่คล้ายกัน โดยมักใช้แบบฟอร์มที่จัดรูปแบบไว้ล่วงหน้าเพื่ออำนวยความสะดวกในกระบวนการรวบรวมข้อมูล
• การจัดระเบียบและจัดทำเอกสารแผนงาน
• การพัฒนากฎเกณฑ์และขั้นตอนการทดสอบ : เหตุผลในการทดสอบ ได้แก่
  • การพิจารณาความเป็นไปได้และความเข้ากันได้ของระบบและขั้นตอนการสำรองข้อมูล
  • ระบุส่วนต่างๆ ในแผนที่จำเป็นต้องปรับปรุงแก้ไข
  • ให้การฝึกอบรมแก่ผู้จัดการทีมและสมาชิกในทีม
  • แสดงให้เห็นถึงความสามารถขององค์กรในการฟื้นตัว
  • สร้างแรงจูงใจในการบำรุงรักษาและปรับปรุงแผนการกู้คืนระบบหลังภัยพิบัติ
• การทดสอบแผน : ขั้นแรกจะทำการ " ทดลอง เดินแบบ " โดยดำเนินการทดสอบแบบมีโครงสร้าง จากนั้นจะต้องทำการทดสอบเดินแบบจริง และแก้ไขปัญหาที่เกิดขึ้น

การทดสอบเบื้องต้นสามารถวางแผนดำเนินการเป็นส่วนๆ และหลังเวลาทำการปกติเพื่อลดผลกระทบให้น้อยที่สุด การทดสอบครั้งต่อๆ ไปจะดำเนินการในช่วงเวลาทำการปกติ

เนื่องจากต้นทุนสูง แผนต่างๆ จึงได้รับการวิพากษ์วิจารณ์Dellได้ระบุ "ข้อผิดพลาดทั่วไป" 5 ประการที่องค์กรมักทำเกี่ยวกับการวางแผน BCP/DR ดังนี้^{[ 14 ]}

• ขาดการสนับสนุน : เมื่อผู้บริหารระดับสูงมองว่าการวางแผนรับมือภัยพิบัติเป็นเพียง "การซ้อมรับมือแผ่นดินไหวปลอมๆ" หรือซีอีโอไม่ให้ความสำคัญกับการวางแผนและเตรียมการรับมือภัยพิบัติ
• RTO และ RPO ที่ไม่สมบูรณ์ : การไม่รวมกระบวนการทางธุรกิจที่สำคัญทั้งหมดหรือกลุ่มข้อมูลบางส่วน ผลกระทบที่เกิดขึ้นอาจขยายวงกว้างจากภัยพิบัติได้ การจ่ายเงินเดือนอาจไม่ใช่เรื่องสำคัญในตอนแรก แต่หากปล่อยทิ้งไว้หลายวัน มันอาจกลายเป็นเรื่องสำคัญกว่าปัญหาเริ่มต้นใดๆ ของคุณก็ได้
• สายตาสั้นของระบบ : จุดอ่อนประการที่สามคือ การมุ่งเน้นเฉพาะการกู้คืนระบบจากภัยพิบัติ (DR) โดยไม่พิจารณาถึงความต้องการด้านความต่อเนื่องทางธุรกิจในวงกว้าง การสูญเสียพื้นที่สำนักงานของบริษัทจากภัยพิบัติอาจส่งผลให้มีพนักงานทำงานทางไกลจำนวนมากในทันที ซึ่งอาจทำให้VPN ของบริษัททำงานหนักเกินไป ในชั่วข้ามคืน ทำให้เจ้าหน้าที่ฝ่ายสนับสนุนด้านไอทีทำงานหนักเกินไปในพริบตา และก่อให้เกิดปัญหาคอขวดและการผูกขาดอย่างร้ายแรงกับระบบ PBX แบบโทรเข้า
• การรักษาความปลอดภัยที่หละหลวม : เมื่อเกิดภัยพิบัติ ข้อมูลและกระบวนการทางธุรกิจขององค์กรจะตกอยู่ในความเสี่ยง ดังนั้น ความปลอดภัยจึงมีความสำคัญมากกว่าความเร็วในการกู้คืนระบบหลังภัยพิบัติ (RTO) สิ่งที่สำคัญที่สุดจึงอยู่ที่การรักษาความปลอดภัยของช่องทางการส่งข้อมูลใหม่ ตั้งแต่ VPN ใหม่ ไปจนถึงการเชื่อมต่อจากบริการสำรองข้อมูลนอกสถานที่
  • ในกรณีเกิดภัยพิบัติ การวางแผนสำหรับการชันสูตรพลิกศพมีความสำคัญ
  • การล็อกหรือลบข้อมูลจากระยะไกลบนอุปกรณ์พกพาที่สูญหาย

การกำหนดไซต์ : การเลือกไซต์สำรอง ไซต์ร้อน (Hot Site) คือไซต์ที่มีอุปกรณ์ครบครันพร้อมที่จะกลับมาดำเนินการได้อีกครั้ง ในขณะที่ไซต์เย็น (Cold Site) ไม่มีศักยภาพดังกล่าว ไซต์อุ่น (Warm Site) คือไซต์ที่มีความสามารถในการกลับมาดำเนินการได้บางส่วน แต่ไม่ใช่ทั้งหมด

จำเป็นต้องมี การวิเคราะห์ต้นทุนและผลประโยชน์

• การทดสอบและการทดลองเป็นระยะๆ จะช่วยตรวจสอบความเป็นไปได้และประสิทธิภาพของแผนงาน ผู้ตรวจสอบบัญชีจะพิจารณาถึงความเป็นไปได้ที่การดำเนินงานขององค์กรจะสามารถดำเนินต่อไปได้ในระดับที่คาดการณ์ไว้ในแผนงาน และความสามารถขององค์กรในการจัดตั้งการดำเนินงาน ณ สถานที่นั้นจริงๆ
• ผู้ตรวจสอบบัญชีสามารถตรวจสอบเรื่องนี้ได้ทั้งจากเอกสารที่เป็นกระดาษและเอกสารอิเล็กทรอนิกส์ รวมถึงการสังเกตการณ์จริง นอกจากนี้ยังยืนยันได้ถึง ความปลอดภัยของสถานที่จัดเก็บอีกด้วย

การสำรองข้อมูล : การตรวจสอบกระบวนการสำรองข้อมูลจะพิจารณาว่า (ก) กระบวนการเหล่านั้นมีประสิทธิภาพหรือไม่ และ (ข) บุคลากรที่เกี่ยวข้องได้ดำเนินการตามกระบวนการเหล่านั้นจริงหรือไม่^{[ 15 ] [ 16 ]}แผนการกู้คืนระบบหลังภัยพิบัติยังรวมถึงข้อมูลเกี่ยวกับวิธีการกู้คืนข้อมูลที่ไม่ได้คัดลอกไว้อย่างดีที่สุด มีการกำหนดมาตรการควบคุมและการป้องกันเพื่อให้แน่ใจว่าข้อมูลจะไม่เสียหาย เปลี่ยนแปลง หรือถูกทำลายในระหว่างกระบวนการนี้

การฝึกซ้อม : การฝึกซ้อมที่ดำเนินการเป็นระยะเพื่อประเมินประสิทธิภาพของแผนและพิจารณาว่าจำเป็นต้องมีการเปลี่ยนแปลงใดบ้าง ข้อกังวลหลักของผู้ตรวจสอบคือการตรวจสอบว่าการฝึกซ้อมเหล่านี้ดำเนินการอย่างถูกต้องและปัญหาที่พบระหว่างการฝึกซ้อมได้รับการแก้ไขแล้ว

การสำรองข้อมูลบุคลากรหลักรวมถึงการฝึกอบรม เป็นระยะ การฝึกอบรมข้ามสายงานและการสำรองบุคลากร

ผู้ตรวจสอบบัญชีจะตรวจสอบความเพียงพอของความคุ้มครอง ประกันภัยของบริษัท(โดยเฉพาะ ประกันภัย ทรัพย์สินและอุบัติเหตุ ) ผ่านการตรวจสอบ กรมธรรม์ประกันภัยของบริษัทและการค้นคว้าข้อมูลอื่นๆ รายการที่ผู้ตรวจสอบบัญชีต้องตรวจสอบ ได้แก่ ขอบเขตของกรมธรรม์ (รวมถึงข้อยกเว้นที่ระบุไว้) จำนวนเงินคุ้มครองเพียงพอต่อความต้องการขององค์กร และกรมธรรม์ยังคงมีผลบังคับใช้ นอกจากนี้ ผู้ตรวจสอบบัญชีจะตรวจสอบผ่านการจัดอันดับโดยหน่วยงานจัดอันดับอิสระ ว่าบริษัทประกันภัยที่ให้ความคุ้มครองมีฐานะทางการเงินที่มั่นคงเพียงพอที่จะชดเชยความเสียหายในกรณีเกิดภัยพิบัติหรือไม่

แผนรับมือภัยพิบัติที่มีประสิทธิภาพต้องคำนึงถึงขอบเขตความรับผิดชอบของบริษัทต่อหน่วยงานอื่น ๆ และความสามารถในการปฏิบัติตามพันธสัญญาเหล่านั้นแม้จะเกิดภัยพิบัติครั้งใหญ่ การตรวจสอบแผนรับมือภัยพิบัติที่ดีจะรวมถึงการทบทวนบันทึกข้อตกลงและสัญญา ที่มีอยู่ เพื่อให้แน่ใจว่าความรับผิดทางกฎหมายขององค์กรสำหรับการไม่ปฏิบัติตามข้อตกลงในกรณีเกิดภัยพิบัติหรือสถานการณ์ผิดปกติอื่น ๆ นั้นลดลงเหลือน้อยที่สุด ข้อตกลงที่เกี่ยวข้องกับการจัดตั้งการสนับสนุนและการช่วยเหลือในการฟื้นฟูสำหรับหน่วยงานนั้น ๆ ก็จะถูกระบุไว้ด้วยเช่นกัน เทคนิคที่ใช้ในการประเมินในส่วนนี้ ได้แก่ การตรวจสอบความสมเหตุสมผลของแผน การพิจารณาว่าแผนนั้นคำนึงถึงปัจจัยทั้งหมดหรือไม่ และการตรวจสอบความสมเหตุสมผลของสัญญาและข้อตกลงผ่านเอกสารและการวิจัยจากภายนอก

ผู้ตรวจสอบบัญชีต้องตรวจสอบให้แน่ใจว่าการวางแผนนั้นทำให้ทั้งฝ่ายบริหารและทีมฟื้นฟูมี เครื่องมือ สื่อสาร ที่มีประสิทธิภาพ รวมถึงข้อมูลติดต่อสำหรับการสื่อสารภายในและการติดต่อภายนอก เช่น คู่ค้าทางธุรกิจและลูกค้าสำคัญ

เทคนิคการตรวจสอบบัญชี ได้แก่

• การทดสอบขั้นตอนการทำงาน การสัมภาษณ์พนักงาน การเปรียบเทียบกับแผนงานของบริษัทอื่น และกับมาตรฐานอุตสาหกรรม
• ตรวจสอบคู่มือบริษัทและขั้นตอนการทำงานที่เป็นลายลักษณ์อักษรอื่นๆ
• จากการสังเกตโดยตรงพบว่ามีการระบุหมายเลขโทรศัพท์ฉุกเฉินไว้ และสามารถเข้าถึงได้ง่ายในกรณีเกิดภัยพิบัติ

แผนรับมือภัยพิบัติที่ดีควรมีขั้นตอนในการดูแลบุคลากรตลอด 24 ชั่วโมง เช่น ขั้นตอนการจัดเก็บอาหารและน้ำ ความสามารถในการปฐมพยาบาลเบื้องต้นและ การรับมือกับ เหตุฉุกเฉินในครอบครัว ซึ่งโดยทั่วไปบริษัทสามารถดำเนินการได้ผ่าน โปรแกรม ฝึกอบรม ที่ดี และการกำหนดความรับผิดชอบงานอย่างชัดเจน การตรวจสอบความพร้อมของแผนมักรวมถึงงานต่างๆ เช่น การสอบถามบุคลากร การสังเกตการณ์โดยตรง และการตรวจสอบประวัติการฝึกอบรมและใบรับรองต่างๆ

ผู้ตรวจสอบบัญชีต้องทบทวนขั้นตอนต่างๆ ที่คำนึงถึงความเป็นไปได้ของไฟฟ้าดับหรือสถานการณ์อื่นๆ ที่ไม่เกี่ยวข้องกับด้านไอทีโดยตรง

• อาจจำเป็นต้องใช้ไฟฉายและเทียนไข
• ขั้นตอนด้าน ความปลอดภัยในกรณีที่เกิดแก๊สรั่วไฟไหม้หรือปรากฏการณ์อื่น ๆ ที่คล้ายคลึงกัน และอาจจำเป็นต้องใช้อุปกรณ์ป้องกันส่วนบุคคล (PPE)

• แผนการหมุนเวียนสำรองข้อมูล
• การเปรียบเทียบซอฟต์แวร์สำรองข้อมูล
• การเปรียบเทียบบริการสำรองข้อมูลออนไลน์
• การตรวจสอบเทคโนโลยีสารสนเทศ
• ช่องโหว่ (ด้านคอมพิวเตอร์)