หัวข้อ: IT กับงาน ISO 14001 และ OHSAS 18001

[นักเลงตัวน้อย]

IT กับงาน ISO 14001 และ  OHSAS 18001

(เชื่อว่าหลายๆบริษัท คงมี  ISO 14001 และ  OHSAS 18001  บ้างแล้วนะครับ อย่างไรก็แลกเปลี่ยนความรู้กันนะครับ)
กระทู้นี้ ขอพูดแค่งานที่เกี่ยวข้องกับแผนก IT เท่านั้นนะครับ

ปฐมบท (พล่ามนิดหนึ่ง)
พอดีบริษัทเพิ่งทำ ระบบ ISO 14001 และ  OHSAS 18001 เลยอยากเขียนเรื่องเล่า เผื่อเป็นความรู้สำหรับใครหลายๆคน  ว่างานแผนก IT  ทำอะไรบ้างครับ   ทำอย่างไร ฝ่าย IT ถึงผ่านการตรวจ  ISO 14001 และ  OHSAS 18001 ไปได้

มาทำความรู้จัก  ISO 14001 กับ OHSAS 18001 กันก่อนนะครับ
ISO 14001 คือ มาตรฐานระบบการจัดการสิ่งแวดล้อม  
OHSAS 18001 คือ  ระบบการจัดการอาชีวอนามัยและความปลอดภัย

อันนี้ไปอ่านเพิ่มเติมนะครับ ที่มา http://www.thaieei.com/enews_thaieei/cd/pdf/C/C-007.pdf

สำหรับ ISO 9001 เผื่อใครสนใจ ไปอ่านได้ที่   http://www.thaiadmin.org/board/index.php?topic=126610.0  นะครับ

อย่างแรกเลยสำหรับผู้บังคับบัญชาฝ่าย IT  จำเป็นที่ต้องผ่านการอบรม จป.หัวหน้างานนะครับ
ส่วนมากบริษัทจะจัดอบรมให้ หรือบางท่านอาจจะมีความรู้ความสามารถ และประสบการณ์มาแล้ว

#ปล.หน่วยงานที่จัดการอบรม ต้องมีการขึ้นทะเบียนกับกรมแรงงานนะครับ

ส่วนเจ้าหน้าที่ IT ต่างๆ ก็ต้องผ่านการอบรม  ระบบ ISO 14001 และ OHSAS 18001 ด้วยเช่นกันต้องรู้ว่า ระบบ ISO 14001 และ OHSAS 18001  คืออะไร
นโยบาย ISO 14001 และ OHSAS 18001 มีอะไรบ้าง   มุ่งเน้นอะไรบ้าง   แผนกท่านเกี่ยวข้องอย่างไร หรือมีส่วนช่วย สนับสนุน ระบบ ISO 14001 และ OHSAS 18001 อย่างไร
(อันนี้โดนเต็มๆครับ )

อย่างที่ 2  เข้าสู่งาน IT  ด้าน OHSAS 18001  ด้านกายภาพ
ต้องสำรวจสายไฟต่างๆที่เชื่อมต่อเข้ากับระบบคอมพิวเตอร์ ทุกประเภท(Hardward)   มีสายกราวด์ หรือสายดินหรือปล่าว  รวมถึง ปลั๊ก 3 ตา ต้องเลือกตัวที่มีคุณภาพ มีมาตรฐานหน่อยนะครับ

สำหรับเต้าเสียบต่างๆ  ต้องลองเช็คด้วยครับว่า มีการเดินสายสายกราวด์ ไว้หรือป่าว (อันนี้อาจต้องให้แผนกช่างมาช่วยหรือทำเองก็ได้คับ) วิธีการเช็ค ก็ใช้ มัลติมิเตอร์ นี้นะครับ

อันนี้เป็นวิธีการวัด ที่มา http://forum.thaidvd.net/index.php?showtopic=125732

อย่างที่ 3  ถึงแม้จะผ่านข้อ 2 มาแล้ว แต่สภาพแวดล้อมถือว่าสำคัญ ไม่แพ้นะครับ  สายไฟ สายแลน พยายามเก็บเข้าราง หรือจัดให้เป็นระเบียบนิดหนึ่ง สายที่ตัวเครื่องคอมพิวเตอร์ ใช้ Cable Tie หรือ Spiral Wrapping Bands (ไส้ไก่) พันให้ดูมีระเบียบนิดหนึ่ง

*เน้นหน่อยนะครับ   ตำแหน่งรางต่างๆ ระวังอย่าให้ต้องเดินสะดุด อันนี้ OHSAS 18001 ถือว่าเข้มงวดอยู่เหมือนกัน

เทคนิคง่ายๆ  สำหรับ ข้อ 2 และข้อ 3 ที่ช่วยในการสำรวจ เนื่องจากบางทีองค์กรเรามีคอมพิวเตอร์หลายแผนก  เอาง่ายๆเลย  ถ้าเรามี Network Diagram ซึ่งมันจะทำให้เรารู้จุดคอมพิวเตอร์ทุกจุด อยู่แล้ว นี้เหละครับ งานง่ายสำหรับเรา จากนั้นก็วางแผนเลย เขียนแผนขึ้นมา ว่าจะเริ่มสำรวจวันไหน  แผนกไหนบ้างที่ต้องแก้ไข  แผนกไหนที่แก้ไขเสร็จไปแล้ว จะได้ไม่ทำให้เราสับสนครับ

 ไว้มาต่อนะครับ

[sysadm]

ทำมาหลายที่ เป็นสิบปีมีคำถามที่อยู่ในใจเสมอ ถามเพื่อ discuss กันนะครับ

ISO 14001 คือ มาตรฐานระบบการจัดการสิ่งแวดล้อม  
OHSAS 18001 คือ  ระบบการจัดการอาชีวอนามัยและความปลอดภัย

พนักงานทุกคนต้องร่วมมือกันทำ แต่ทำไม IT เป็นคนดูแล IT เกี่ยวอะไรด้วย ไม่รวมส่วน สนับสนุนนะเพราะต้องทำ
หรือแค่มันมี ISO ที่คล้ายกับ IOS     พวกเราเข้าใจอะไรผิดไปหรือเปล่า  

ระบบสายไฟ ช่างไฟก็น่าจะเป็นคนตรวจสอบ และดูแลหรือเปล่า กลุ่มงานของ facility engineer  

**ไม่นับ 9001,27001  หรือบริษัทที่มี IT เป็น Business เป็นหลัก

[Bugfly]

บริษัทที่ผมทำ จะให้หัวหน้าของแต่ล่ะส่วนงาน หรือผู้ที่ปฎิบัตงานในพื้นที่ ประเมินความเสี่ยงออกมาเอง แล้วค่อยเอามาให้ ส่วนงานที่รับผิดชอบดูให้ว่าต้องปรับปรุงตรงส่วนไหนอย่างไรบ้าง

[**GUNZU_TON**]

ขอบคุณมากครับ โรงงานที่ผมทำ ก็มี โดน audit ตลอด 

[นักเลงตัวน้อย]

รู้สึก ดีใจจังเลยคับ ที่มีผู้มาแลกเปลี่ยนความรู้^ ^ ตัวเราเองก็ยังมือใหม่อยู่ พึ่งผ่านมาแบบสดๆร้อนๆเลยครับ ยินดีรับคำแนะแนะ  และแลกเปลี่ยนกัน เพื่อจะได้ปรับปรุงพัฒนาตัวเองไปด้วยครับ และเผื่อเป็นความรู้แก่ตัวเองและท่านอื่นๆด้วยคับ อย่างไรแสดงความคิดเห็นกันเยอะๆนะคับ

ทำมาหลายที่ เป็นสิบปีมีคำถามที่อยู่ในใจเสมอ ถามเพื่อ discuss กันนะครับ

ISO 14001 คือ มาตรฐานระบบการจัดการสิ่งแวดล้อม 
OHSAS 18001 คือ  ระบบการจัดการอาชีวอนามัยและความปลอดภัย

พนักงานทุกคนต้องร่วมมือกันทำ แต่ทำไม IT เป็นคนดูแล IT เกี่ยวอะไรด้วย ไม่รวมส่วน สนับสนุนนะเพราะต้องทำ
หรือแค่มันมี ISO ที่คล้ายกับ IOS      พวกเราเข้าใจอะไรผิดไปหรือเปล่า 

ระบบสายไฟ ช่างไฟก็น่าจะเป็นคนตรวจสอบ และดูแลหรือเปล่า กลุ่มงานของ facility engineer 

**ไม่นับ 9001,27001  หรือบริษัทที่มี IT เป็น Business เป็นหลัก

ประเด็นของสายไฟ ในที่นี้หมายถึงสายไฟ ที่เชื่อมต่อกับเครื่องคอมพิวเตอร์เท่านั้น นะครับ ไม่เกี่ยวกับสายไฟอื่นๆนะครับ
สำหรับระบบสายไฟอื่นๆ (อันนั้นต้องเป็นหน้าที่ของแผนกช่างอยู่แล้วครับ)
สำหรับเต้าเสียบต่างๆ  ต้องลองเช็คด้วยครับว่า มีการเดินสายกราวด์ ไว้หรือป่าว ที่ได้กล่าวไว้ตอนต้นนั้น(หมายถึงเราให้แผนกช่าง หรือเราเช็คเองก็ได้นะครับ) แต่บางองค์กรจากที่เคยรับรู้มา บางทีเจ้าหน้าที่  IT อยู่ภายใต้สังกัดแผนกช่าง เนื่องจากเป็นองค์กรขนาดเล็ก  เพราะฉะนั้นบางที ก็อาจต้องลงไปช่วยครับ หรือบางที่แยกแผนก IT ออกมาชัดเจนเลย ก็ส่งเรื่องให้แผนกช่าง ไปเช็คนะครับ) แต่ก็ได้ยกตัวอย่างมาให้ดูว่าวิธีการเช็คเป็นแบบไหน แค่นั้นเองคับ  เผื่อจะเป็นความรู้เท่านั้นครับ

บริษัทที่ผมทำ จะให้หัวหน้าของแต่ล่ะส่วนงาน หรือผู้ที่ปฎิบัตงานในพื้นที่ ประเมินความเสี่ยงออกมาเอง แล้วค่อยเอามาให้ ส่วนงานที่รับผิดชอบดูให้ว่าต้องปรับปรุงตรงส่วนไหนอย่างไรบ้าง

ที่บริษัทผมก็ใช้วิธีนี้เหมือนกันครับ ที่ให้แต่ละส่วนงาน ประเมินความเสี่ยงออกมา แล้วถึงให้ส่วนงานที่รับผิดชอบดูให้ว่าต้องปรับปรุง อย่างไร   อันนี้อาจจะพูดข้ามประเด็นไปสักหน่อยครับ ที่กล่าวถึงด้านกายภาพก่อน แต่ทางพื้นที่เขาจะไม่เจาะลึกอะไรมากมายครับ  เขาจะมองแค่ภายนอกเท่านั้น 
ยกตัวอย่างที่กิจกรรมที่เหมือนกัน เช่น กิจกรรมใช้งานคอมพิวเตอร์  อย่างมากเขาก็แค่เปิดปิดเครื่อง  ใช้งานเครื่องคอมพิวเตอร์เท่านั้นครับ  ความเสี่ยงของเขา  ที่เขาประเมิน ก็จะมีไฟดูดและ เดินสะดุดสายไฟ  สายแลน เท่านั้นเองครับ
แล้วก็ส่งเรื่องมาให้ทางเราว่าจะป้องกันอย่างไร ทางเราเองก็ต้องติดต่อฝ่ายช่าง หรือร่วมมือกับฝ่ายช่างเช็ค สายไฟ  สายแลน ที่เชื่อมต่อเข้า กับเครื่องคอมพิวเตอร์ ครับ

*** อันนี้เป็นสิ่งที่ CB แนะนำมานะครับ  กิจกรรมที่เหมือนกัน สถานที่ปฎิบัติงานอยู่ที่เดียวกัน  ควรหาแม่งาน แล้วประเมินความเสี่ยงรวบยอดเลยครับ
ตอนแรกๆเจอแบบนี้ครับ ยกตัวอย่างเช่น กิจกรรมใช้งานคอมพิวเตอร์ แผนกจัดซื้อ  กับแผนกบัญชี   2 แผนกนี้อยู่ติดกันเลย แต่กลับประเมินความเสี่ยง ระดับไม่เท่ากัน  งานเข้าเลยครับ 
กับอีกวิธีหนึ่งครับ นั้นคือนัดหัวหน้าแผนกแต่ละแผนกมาเข้าร่วม ประชุมกันครับ ประเมินร่วมกัน  คำถามคือ กิจกรรมใช้งานเกี่ยวกับคอมพิวเตอร์นั้น  คนที่รู้เรื่องเกี่ยวกับคอมพิวเตอร์มากที่สุด และแหล่งจายไฟ ก็เป็นเจ้าหน้าที่ IT ทำไม IT ไม่เข้ามาช่วย (งานเข้า ITอีก  คิดในใจ IT ก็ไม่ได้รู้ไปสะทุกเรื่อง แต่ยังไงก็ควรจะดึง จป เข้ามาด้วยนะครับ หากจะประเมินความเสี่ยงกัน )
จะได้ไม่ต้องเกิดปัญหา แก้การชี้บ่ง ประเมินความเสี่ยง กลับไปกลับมาครับ  ที่นี้ทำหลายรอบมากๆ แก้แล้วแก้อีก
ทั้งหมดนี้พูดนี้ แค่เรื่องกายภาพภายนอกเท่านั้นนะครับ ไว้เดี๋ยวมาเล่าเรื่องการประเมินให้ฟัง แต่จริงๆแล้วถ้าตามขั้นตอนเลย  คือต้องประเมินความเสี่ยงก่อนคับ แล้วค่อยมา ปรับปรุงความเสี่ยงอีกทีนะ ครับ

[ibluesba]

โรงงาน ผมกะลังจะเข้า  TS16949

ISO ไม่ให้ผมอบรบ ไม่ให้รู้เรื่องข้อกำหนดอะไรซักอย่างง ไม่ได้เป็บ จป.บริหาร ซะด้วยซ้ำ


เเต่โชคดีที่ผมทำ ระบบ IT ของ 9001 ทิ้งไว้ ทั้งระบบ Backup,Recovery,Emergency plan,E-doc,Service ไรๆ เหมือนๆกับโรงงานที่มี TS ที่เคยทำมาก่อน   ทำเกินๆ เยอะๆ ให้มันครอบคลุมหลายๆตัวเข้าไว้  ตอนจะ Audit ผมว่าคงไม่หลุดข้อกำหนดครัฟ

[นักเลงตัวน้อย]

โรงงาน ผมกะลังจะเข้า  TS16949

ISO ไม่ให้ผมอบรบ ไม่ให้รู้เรื่องข้อกำหนดอะไรซักอย่างง ไม่ได้เป็บ จป.บริหาร ซะด้วยซ้ำ


เเต่โชคดีที่ผมทำ ระบบ IT ของ 9001 ทิ้งไว้ ทั้งระบบ Backup,Recovery,Emergency plan,E-doc,Service ไรๆ เหมือนๆกับโรงงานที่มี TS ที่เคยทำมาก่อน   ทำเกินๆ เยอะๆ ให้มันครอบคลุมหลายๆตัวเข้าไว้  ตอนจะ Audit ผมว่าคงไม่หลุดข้อกำหนดครัฟ

ไม่ต้องเป็นจป.บริหาร ก็ได้ครับ เป็นแค่ จป หัวหน้างาน หรือไม่ก็ ผ่านการอบรม ความปลอดภัยมาก็ได้คับ สำหรับOHSAS 18001 
ส่วน ISO 14000 ไม่จำเป็นต้องผ่านการอบรมก็ได้ครับ CB บางที่ไม่เข้มงวดขนาดนั้นคับ

แต่สำหรับ TS16949  คิดว่าจะไปเชื่องโยงกับ ISO 9001 มากกว่านะครับ อาจมีเกี่ยว  OHSAS 18001 อยู่บ้าง

จากที่สัมผัส OHSAS 18001 กับ  ISO 14001  มีเกี่ยวข้องกับระบบ 9001 นิดหน่อย  คือพวกเอกสารที่ช่วยสนับสนุน หรือแผนการอพยพ  หรือแผนการสำรองๆต่าง ของฝ่าย IT 
ถ้าเกิดเหตุฉุกเฉิน  จะทำอย่างไร (แผนฉุกเฉินอพยพหนีไฟ ในระบบ 9001 จป เขาเป็นคนเขียน คิดว่า อย่างไรก็ต้องมีทุกที่ครับ  )
ยกตัวอย่างเช่น กรณีเกิดเหตุไฟไหม้
ระบบ 9001   หากข้อมูลเสียหาย  จะต้องทำอย่างไรให้กลับมาใช้งานได้ปกติ ข้อมูลอยู่ครบ
แต่ OHSAS 18001  หากเกิดเหตุ คุณจะหนีอย่างไร  เพื่อให้คุณปลอดภัย  และข้อมูลบริษัท ทรัพย์สินบริษัทเสียหายน้อยที่สุด
แต่พอ ISO 14001  หากเกิดเหตุ  ขยะพวกอิเล็กทรอนิกส์ต่างๆ พวกที่เกี่ยวข้องกับคอมพิวเตอร์ ทั้งหมดนั้น
คุณจะดำเนินการอย่างไร เพื่อลดผลกระทบต่อสิ่งแวดล้อมให้มากที่สุด

ข้อคิดอีกอย่างหนึ่งที่อยากฝากไว้นะครับ ระวังประเด็นเรื่องแอร์ ห้อง server ควรให้มีแอร์ 2 ตัว ไว้สลับการทำงานกันนะครับ
เหตุใดต้องมีแอร์ 2 ตัว
1ห้อง server คุณมีระบบระบายอากาศดีพอดีปล่าว  ส่วนมากจะปิดมิดชิด ปิดตาย ออกได้ทางเดียว  ถ้าอากาศไม่ถ่ายเท  อุณหภูมิมันก็จะสูงขึ้นเรื่อยๆ  ความร้อน ก็จะร้อนสะสมไปเรื่อยๆ
2 อุปกรณ์คอมพิวเตอร์จะทำงานได้นิ่ง เมื่อมีอุณหภูมิต่ำ นะครับ
3 ความชื้นถ้าแห้งมากก็ไม่ดีนะคับ  แต่ว่ามากเกินก็ไม่ดีเช่นกันครับ
(และยังมีเหตุผลอีกมากมาย)
แล้วถ้ามีแอร์ 2 ตัว ดีอย่างไรกับระบบ
ISO 9001  เมื่อserver มันทำงานได้ดี ก็ช่วยลดการ down ของ server ให้น้อยลง ตอบสนองการทำงานของ user และองค์กรได้ดีเยี่ยม
OHSAS 18001  ว่าด้วยเรื่องความปลอดภัย เมื่อserver ทำงานได้ดี ความเสียหายทางด้านทรัพย์สินของบริษัทก็น้อยลง  ลดเหตุการณ์เกิดไฟไหม้ห้อง server ได้อีกด้วยเพราะบางทีความร้อนก็เป็นเหตุฉนวนได้เหมือนกัน (เคยเจอเหตุการณ์แอร์ไหม้มาแล้วนะครับ  มอเตอร์ข้างในไหม้  ยิ่งถ้าใช้แอร์ตัวเดียว  แถมถ้าไม่ให้มันพักเลยด้วย อาจยิ่งหนักเข้าไปใหญ่ครับ )
แต่ถ้าจะให้ดี ถ้ามีงบ ควรมีระบบดับเพลิงในห้อง Server  หรือไม่ก็ระบบ alert ไว้ แล้วก็เตรียมถังดับเพลิงไว้ไกล้ห้อง server
แต่สำหรับ ISO 14001  บางทีมันก็สวนทางกัน  อันนี้อาจจะมองว่าสิ้นเปลือง เพราะถ้ามีแอร์เพิ่มมาอีกตัว เท่ากับว่าใช้ทรัพยกรเพิ่ม แต่ถ้าถามว่าเพิ่มมาอีกตัว แล้วช่วยลดทรัพยกรด้านอื่นๆได้มากกว่า จะยอมรับไหม ก็คงต้องยอมรับครับ ถ้า server พัง  ห้อง server ไฟไหม้ มันคุ้มกว่าไหม ที่จะไม่ให้เกิดขึ้น

อ้อ อีกประเด็นหนึ่งครับ แอร์ก็เป็นสาเหตุ ที่ก่อให้เกิดวิกฤตการณ์เรือนกระจก  หรือสาร CFC
เพราะฉะนั้น เปลี่ยนมาใช้น้ำยา R32 เพื่อลดการปล่อยสาร CFC นะครับ
เพื่อท่านใดสนใจอยากอ่านเพิ่ม  ที่มา http://www.prachachat.net/news_detail.php?newsid=1364184513

(ปล.ทั้งนี้ทั้ง อย่าลืมเรื่อง Maintenance แอร์ด้วยนะครับ  เพราะแอร์ ก็เป็นส่วนให้เกิดไฟฟ้าลัดวงจรได้เหมือนกันครับ ส่วนใครจะ  Maintenance นั้น ขึ้นอยู่กับอำนาจหน้าที่ผู้รับผิดชอบครับ)

[นักเลงตัวน้อย]

สำหรับการประเมิน นั้น อย่างที่ท่าน Bugfly แจ้งไว้นะครับต้องให้ผู้ที่ปฎิบัตงานในพื้นที่ ประเมินความเสี่ยงก่อน

บริษัทที่ผมทำ จะให้หัวหน้าของแต่ล่ะส่วนงาน หรือผู้ที่ปฎิบัตงานในพื้นที่ ประเมินความเสี่ยงออกมาเอง แล้วค่อยเอามาให้ ส่วนงานที่รับผิดชอบดูให้ว่าต้องปรับปรุงตรงส่วนไหนอย่างไรบ้าง

หลักการ การชี้บ่ง ประเมิน และควบคุม จะอยู่ที่ข้อกำหนด 4.3.1 ซึ่งเป็นสาระสำคัญ ดังนี้
4.3.1 การระบุอันตราย การประเมินความเสี่ยงและการกำหนดมาตรการในการควบคุม องค์กรจะต้องจัดทำนำไปปฏิบัติและคงไว้ซึ่งระเบียบปฏิบัติในการระบุอันตรายการ  ประเมินความเสี่ยงและกำหนดแนวทางการควบคุมที่เหมาะสม
ระเบียบขั้นตอนการปฏิบัติในการระบุอันตรายและประเมินความเสี่ยงจะต้อง
ดำเนินการดังนี้
a)  กิจกรรมที่ทำเป็นประจำละไม่ประจำ
b)  กิจกรรมทุกประเภทที่บุคลากรต้องดำเนินการในสถานที่ทำงาน (รวมทั้งผู้รับจ้างช่วงและผู้เยี่ยมชม)
c)  พฤติกรรมมนุษย์ ความสามารถและปัจจัยด้านมนุษย์
d)  ต้องมีการระบุอันตรายที่เกิดจากภายนอกพื้นที่ทำงานและอาจมีผลกระทบต่อสุขภาพและความปลอดภัยสำหรับบุคคลภายใต้มาตรการควบคุมขององค์กรในพื้นที่ทำงาน
e)  อันตรายที่อาจเกิดขึ้นนอกพื้นที่ทำงานและเกิดจากกิจกรรมการทำงานซึ่งอยู่ภายใต้การควบคุมขององค์กร หมายเหตุ : อันตรายเหล่านี้อาจถูกระบุว่าเป็นปัญหาสิ่งแวดล้อมด้วยก็ได้
f)  สิ่งอำนวยความสะดวก  อุปกรณ์และวัสดุในพื้นที่ทำงานซึ่งจัดเตรียมไว้สำหรับการ
ทำงานในองค์กร
g)  การเปลี่ยนแปลงหรือสิ่งที่จะเปลี่ยนแปลงในองค์กร กิจกรรมหรือวัสดุ
h)  การปรับปรุงระบบมาตรฐานการจัดการอาชีวอนามัยและความปลอดภัย  รวมถึงการเปลี่ยนแปลงไม่ถาวร และผลกระทบของการท างาน กระบวนการและกิจกรรมต่าง ๆ  
i)  กฎหมายและข้อกำหนดที่เกี่ยวข้องกับการประเมินความเสี่ยงและการระบุมาตรการในการควบคุม
j)  การออกแบบผังในการทำงาน กระบวนการ การติดตั้งเครื่องจักร อุปกรณ์ ระเบียบปฏิบัติงาน และโครงสร้างการทำงาน รวมทั้งการปรับตัวของผู้ปฏิบัติงาน
 
วิธีการระบุและประเมินความเสี่ยงขององค์กรจะต้อง :
a)  จะต้องมีการระบุขอบเขตของการระบุและประเมินความเสี่ยง ธรรมชาติและระยะเวลาเพื่อให้แน่ใจว่าครอบคลุมทั้งหมด โดยองค์กรต้องกระตื้อรือร้นไม่ใช่ให้เกิดปัญหาแล้ว
ถึงค่อยระบุและประเมิน
b)  จัดเตรียมการระบุ การจัดลำดับและจัดเรียงลำดับ รวมทั้งการจัดทำเป็นเอกสารสำหรับความเสี่ยงและมาตรการในการควบคุมตามความเหมาะสม
สำหรับการจัดการการเปลี่ยนแปลงองค์กรจะต้องระบุอันตราย  ความเสี่ยงจากการเปลี่ยนแปลงขององค์กรในเรื่องอาชีวอนามัยและความปลอดภัย  กิจกรรมที่เกิด่จาก
การเปลี่ยนแปลงการท างานดังกล่าว
 องค์กรต้องดำเนินการเพื่อให้แน่ใจว่าผลการประเมินความเสี่ยงจะต้องมีการกำหนดมาตรการในการควบคุม ซึ่งมาตรการในการควบคุมนี้จะต้องพิจารณาการเปลี่ยนแปลง
การควบคุม  การพิจารณาจะต้องครอบคลุมไปถึงมาตรการในการลดความเสี่ยงจาก
มาตรการดังนี้
a)  การกำจัดความเสี่ยง
b)  การทดแทน
c)  มาตรการควบคุมทางวิศวกรรม
d)  สัญลักษณ์ ป้ายเตือนและมาตรการทางการบริหาร
e)  การใช้อุปกรณ์ป้องกันส่วนบุคคล
 
องค์กรจะต้องจัดทำเป็นเอกสารจะจัดเก็บการระบุและประเมิน

ผู้ที่ทำการชี้บ่ง ประเมินและควบคุมความเสี่ยง นั้น จำเป็นที่ต้องมีการอบรมถึงเรื่องข้อกำหนด ISO 14000 และ OHSAS 18000 และต้องผ่านการอบรมการชี่บ่ง ประเมิน และควบคุมความเสี่ยง ในระดับพื้นที่ฐานมาก่อนนะครับ หรือเป็นผู้มีความรู้ ประสบการณ์ หรือผ่านการ OJT จากฝ่ายที่เกี่ยวข้อง
 อย่างไรก็จะลองเขียนคร่าวๆให้เข้าใจนะครับ แต่ไม่รู้ว่า หลายบริษัทที่ท่านทำ  ISO 14000 และ OHSAS 18000 จะเหมือนกันมากน้อยแค่ไหน แต่รูปแบบพื้นฐานคิดว่าจะคล้ายๆกัน อย่างไรลองแลกเปลี่ยนกันดูนะครับ
อย่างแรกต้องมีการจัดทำบัญชีกิจกรรมครับ  บางที่เรียก ทะเบียนกิจกรรม  ที่จะต้องใช้เป็นแม่หลักสำหรับการประเมินการชี้บ่ง ทั้ง ISO 14000 และ OHSAS 18000  แต่บางที่ถ้าทำแค่ระบบ ISO 14000 อย่างเดียว ก็ไม่จำเป็นต้องมีบัญชีกิจกรรม สามารถชี้บ่ง ประเมินและควบคุมได้เลย
        แล้วบัญชีกิจกรรม คืออะไร  บัญชีกิจกรรม เป็นงานที่เราปฏิบัติงานในบริษัท ทุกการกระทำที่ทำในบริษัท ยกตัวอย่าง เช่น  ซ่อมคอมพิวเตอร์ , ยกคอมพิวเตอร์  ,ทำความสะอาดคอมพิวเตอร์  ,งานพิมพ์คอมพิวเตอร์ ฯลฯ
ซึ่งแบบฟอร์มแต่ละองค์กร ไม่เหมือนกันนะครับ
ของเราเป็นแบบนี้ (ตามรูปที่แนบ)

ขออธิบายง่ายๆตามความเข้าใจที่เคยสัมผัสมานะครับ ไม่วิชาการมากเกิน

กิจกรรม คือการกระทำหรือการปฎิบัติงาน ที่ทำในบริษัท

ความรับผิดชอบ
ทางตรง คือ  การกระทำหรือการดำเนินงานของบริษัท
ทางตรง คือ  การกระทำหรือการดำเนินงานบุคคลภายนอกที่เข้ามาในบริษัท หรือปฏิบัติงานให้บริษัท

ในพื้นที่คือ คือ ห้องทำงาน หรือแผนก IT
นอกพื้นที่  คือ ที่ไม่ใช่พื้นที่ทำงาน แผนก IT  หรือแผนกอื่นๆนั้นเอง

ประจำ คืองานตาม JD  JS  
ไม่ประจำ คืองานที่ไม่ได้ปฏิบัติ ตาม JD  JS หรืองานนอกเหนือพิเศษนั้นเอง
(JD คือ เอกสารคำบรรยายลักษณะงาน  (Job Description)
(JS คือ เอกสารระบุเฉพาะของงาน (Job Specification)

อดีต   คือ  เหตุการณ์ หรือการกระทำที่ผ่านมาแล้ว
ปัจจุบัน  คือ เหตุการณ์ หรือการกระทำที่กำลังเกิด
อนาคต  คือ เหตุการณ์ หรือการกระทำที่ยังไม่เกิด

ปกติ คือ  คือ สภาวะที่ถูกออกแบบมาเพื่อการปฏิบัติงานตามปกติ
ผิดปกติ  คือ สภาวะที่เกิดการเบี่ยงเบน หรือนอกเหนือจากการปฏิบัติงานปกติ เช่น ไฟฟ้าดับ
ฉุกเฉิน   คือ สภาวะที่เกิดขึ้นโดยนอกเหนือจากการควบคุมหรือไม่ได้คาดการณ์ไว้  
โดยส่งผลให้ต้องหยุดการปฏิบัติงานและอาจทำให้เกิดอุบัติเหตุหรือเกิดความเสียหายอย่างรุนแรง เช่นเพลิงไหม้ เป็นต้น

กฏหมาย/ข้อกำหนดอื่นๆ คือกิจกรรมนั้น มันเกี่ยวของ หรือสอดคล้องกับข้อกำหนดตามกฎหมาย หรือข้อกำหนดอื่นๆไหม เช่นข้อกำหนดลูกค้า เป็นต้น

[นักเลงตัวน้อย]

มาต่อ ที่ OHSAS  18001  ก่อนนะครับ
เมื่อได้บัญชีกิจกรรมมาแล้ว  ก็ต้องมาทำการชี้บ่ง ประเมิน  ควบคุม ความเสี่ยง ของงาน  OHSAS  18001
ถ้าพูดถึง ระบบ OHSAS 18001 คือ  ระบบการจัดการอาชีวอนามัยและความปลอดภัย
สาระสำคัญของ OHSAS 18001 คือ เราต้องรู้แหล่งอันตราย  ใครได้รับอันตรายบ้าง  อันตรายเป็นแบบไหน  ระดับไหน และมีการควบคุมหรือบริหหารความเสี่ยงอย่างไรไม่ให้เกิดอันตราย  
 
แบบฟอร์มตามรูปที่แนบนะครับ
(แนบรูป)
อธิบายคร่าวๆ
กิจกรรม คือการกระทำหรือการปฎิบัติงาน ที่ทำในบริษัท (มาจากบัญชีกิจกรรมนะครับ)

แหล่งอันตราย คือ งานกิจกรรมนั้นๆ อะไรบ้างที่ทำให้เกิดอันตรายกับเราได้บ้าง ค้นหาอันตรายที่มีอยู่

ผู้ได้รับอันตราย  คือ ใครบ้างที่ได้รับผลกระทบจากอันตรายที่เกิดขึ้น อาจจะเป็น บุคคล  สิ่งของ อุปกรณ์ เครื่องมือ เครื่องจักร เป็นต้น

ลักษณะอันตราย คือ สิ่งที่ปรากฏขึ้นเมื่อเกิดเหตุการณ์นั้นๆ จากผู้ได้รับอันตราย
เช่น
       บุคคล    เกิด 1.เจ็บป่วย บาดเจ็บ พิการ เสียชีวต
                          2.การลื่น หกล้ม

ปัจจุบันมีมาตรการควบคุม  ความหมายตรงตัวเลยครับ ว่าปัจจุบันเรามีอะไรควบคุมเพื่อไม่ให้เกิดเหตุอันตรายหรือไม่อย่างไร อาจจะมีหรือไม่มี

ประเมินความเสี่ยง
การประเมินความเสี่ยงของแหล่งอันตรายนั้นมักจะใช้สูตรนี้
 ค่าความเสี่ยง  = ความรุนแรง X โอกาส
ค่าในการวัด อันนี้แล้วแต่ละองค์กร บางองค์กร มีระดับความรุนแรง 1-5   โอกาส 1-5  
หรือบางองค์กร มีแค่ 1-3

ค่าการประเมินให้เรามองตามความเป็นจริงว่ามันมากน้อยแค่ไหน
ระดับความเสี่ยง คือเกณฑ์ต่างๆที่องค์กรเราแบ่งนะครับ
แต่สำหรับการบริหารความเสี่ยงนั้น เกณฑ์เรามาใช้ในการพิจารณานั้น ให้เอาจากข้อกำหนด  4.3.1 มาเลยครับ

สำหรับการประเมินและควบคุม ไปอ่านเพิ่มในได้จากที่นี้นะครับ
ขอบคุณทีมา
http://herb.tisi.go.th/central/audit/pdf/risk_assessment.pdf
http://medinfo2.psu.ac.th/commed/occmed/images/TIS18001/tisp3/images/tisdoc18001/3.%20RA.pdf
http://www.diw.go.th/Risk/index.htm
https://www.google.co.th/url?sa=t&rct=j&q=&esrc=s&source=web&cd=9&cad=rja&uact=8&ved=0CE4QFjAIahUKEwitpqHF_NzGAhWQCY4KHcmyBQU&url=http%3A%2F%2Fmedinfo.psu.ac.th%2Fform_save%2F20051005_Form_Risk_Assessment.doc&ei=-TumVe3FMJCTuATJ5ZYo&usg=AFQjCNEpDNLvatQ3gckfYvYy-aUz88UBtQ&bvm=bv.97653015,bs.1,d.dGY

ทีนี้มาถึง การบริหารความเสี่ยง
การบริหารความเสี่ยงนั้นเกณฑ์เรามาใช้ในการพิจารณานั้น ให้เอาจากข้อกำหนด  4.3.1 มาเลยครับ

[itsareekarn]

ขอบคุณทุกโพส ได้รับความรู้มากมายค่ะ

[oliver076]

เท่าที่เคยโดน audit ครับ ก็จะดูเกี่ยวกับแผน Backup และ % ร้อยละ ในการ restore ข้อมูล ว่าสมบูรณ์มากน้อยแค่ไหนครับ
การป้องกันไวรัส มีการอัพเดตทุกเดือนหรือเปล่า....
การจัดเก็บข้อมูลแบคอัพ มีการเก็บรักษาอย่างไร ปลอดภัยมากน้อยแค่ไหนครับ...

 ทิ้งทวนด้วนการอบรม แผนการประเมินความเสี่ยง  ครับ ...