การบริหารความต่อเนื่องทางธุรกิจ

การบริหารความต่อเนื่องทางธุรกิจและการบริหารภาวะวิกฤต

ในปัจจุบันการดำเนินธุรกิจของ PEA ต้องเผชิญกับความเสี่ยงที่สำคัญในหลาย ๆ ด้าน อาทิ ความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่มีแนวโน้มรุนแรงขึ้นอย่างต่อเนื่อง ความเสี่ยงจากภัยพิบัติทางธรรมชาติ ความเสี่ยงด้านความต้องการในการใช้ไฟฟ้าและเสถียรภาพของระบบที่เพิ่มสูงขึ้น เป็นต้น PEA จึงจำเป็น ที่จะต้องมีการวางแผนการบริหารความต่อเนื่องทางธุรกิจและการบริหารภาวะวิกฤตตามกรอบมาตรฐานสากล ISO 22301:2019 ที่มีประสิทธิภาพ ผลกระทบของภัยคุกคามต่อการดำเนินธุรกิจ และสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น เพื่อการตอบสนองและปกป้องผลประโยชน์ของผู้มีส่วนได้ส่วนเสีย ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มีประสิทธิผล

เป้าหมายการดำเนินงาน
  • ให้บริการพลังงานไฟฟ้าและดำเนินธุรกิจได้อย่างต่อเนื่อง เมื่อเกิดอุบัติการณ์ที่ทำให้หยุดชะงักได้ตามเป้าหมายที่กำหนด
  • ให้ระบบการบริหารความต่อเนื่องทางธุรกิจของ PEA ตามมาตรฐาน PEA BCMS สอดคล้องกับมาตรฐานสากล ISO 22301:2019 โดยมุ่งเน้นการวางแผนการนำไปปฏิบัติ การรักษาและปรับปรุงระบบ การบริหารความต่อเนื่องทางธุรกิจอย่างต่อเนื่อง
  • ระยะเวลาในการกู้คืนระบบ (Recovery Time Objective: RTO) เป็นไปตามที่กำหนด
  • มุ่งเน้นการตอบสนองต่อผู้มีส่วนได้ส่วนเสีย
กลยุทธ์การดำเนินงาน
  • กำหนดแนวทางในการป้องกัน ลดโอกาสการเกิด เตรียมความพร้อม ตอบโต้ภาวะฉุกเฉิน และฟื้นฟูกลับสู่สภาวะปกติ
  • มุ่งเน้นการบริหารจัดการความเสี่ยงจากภัยคุกคามที่ทำให้ธุรกิจหยุดชะงัก การทบทวนปรับปรุง แผนและการฝึกซ้อมแผนอย่างต่อเนื่องจนเกิดเป็นวัฒนธรรมองค์กร
  • สนับสนุนให้บุคลากรทุกระดับมีความรู้ความเข้าใจและความตระหนักในเรื่องการบริหาร ความต่อเนื่องทางธุรกิจ และมีส่วนร่วมในการดำเนินงานตามนโยบายความต่อเนื่องทางธุรกิจ
  • ติดตาม เฝ้าระวังและประเมินประสิทธิผลการดำเนินการตามระบบการบริหารความต่อเนื่อง ทางธุรกิจของ PEA (PEA BCMS)
แผนภาพการบริหารจัดการความต่อเนื่องทางธุรกิจและบริหารภาวะวิกฤต

PEA ได้แต่งตั้งคณะกรรมการบริหารความต่อเนื่องทางธุรกิจขึ้น เพื่อทำหน้าที่ดังนี้

  • กำหนดนโยบายการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management Policy) ให้มีความสอดคล้องกับแนวทางของสำนักงานคณะกรรมการกำกับกิจการพลังงาน สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ รวมทั้งนโยบายบริหารความเสี่ยงด้านการปฏิบัติการ (Operation Risk Management Policy) ขององค์กร นำเสนอต่อผู้ว่าการการไฟฟ้าส่วนภูมิภาค พิจารณาให้ความเห็นชอบ
  • ให้ความเห็นชอบในการระบุภารกิจสำคัญ การกำหนดระยะเวลาเป้าหมายในการฟื้นฟู การกำหนดกลยุทธ์ และพิจารณาขออนุมัติประกาศใช้แผนรับรองการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan: BCP)
  • กำหนดผู้รับผิดชอบในการดำเนินการตามแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง การป้องกัน และการแก้ปัญหากรณีเกิดเหตุฉุกเฉิน
  • นำเสนอแผนงานและความก้าวหน้าการดำเนินการตามแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง การป้องกันและการแก้ไขปัญหา กรณีเกิดเหตุฉุกเฉินให้ ผู้ว่าการการไฟฟ้าส่วนภูมิภาครับทราบ
  • กำหนดแนวทางการประชาสัมพันธ์นโยบายการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management Policy) และแผนรับรองการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan: BCP) ให้พนักงานทราบ
  • พิจารณาแต่งตั้งคณะกรรมการชุดย่อย และกำหนดอำนาจของคณะกรรมการชุดย่อย ภายใต้กรอบอำนาจของคณะกรรมการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management Committee: BCM Committee) เพื่อดำเนินการให้เป็นไปตามนโยบาย การบริหารความต่อเนื่องทางธุรกิจและบรรลุตามวัตถุประสงค์ของคณะกรรมการฯ
  • มีอำนาจเรียกบุคคลที่เกี่ยวข้องมาชี้แจง หรือขอเอกสารเพิ่มเติมจากหน่วยงานที่เกี่ยวข้อง เพื่อให้การดำเนินงานของคณะกรรมการฯ บรรลุตามวัตถุประสงค์

โดยระบบการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management System: BCMS) ของ PEA นั้นจะยึดตามแนวทางมาตรฐานสากล ISO 22301: 2019 เพื่อให้มีระบบการบริหารจัดการภาวะวิกฤตหรือภัยพิบัติที่มีประสิทธิภาพและประสิทธิผล สามารถตอบสนองต่อเหตุการณ์ต่าง ๆ และฟื้นคืนกระบวนงานหลักที่สำคัญ (Critical Business Process) ได้ในระยะเวลาที่เหมาะสมและส่งมอบบริการพลังงานไฟฟ้าให้กับผู้ใช้ไฟได้อย่างต่อเนื่อง อีกทั้งลดผลกระทบจากภัยคุกคามต่าง ๆ ที่อาจเกิดขึ้นได้ อย่างมีประสิทธิภาพ โดย PEA มีกระบวนการบริหารความต่อเนื่องทางธุรกิจ ดังนี้

แผนภาพกระบวนการบริหารความต่อเนื่องทางธุรกิจ

นโยบายความต่อเนื่องทางธุรกิจ ประจำปี 2567

นโยบายความต่อเนื่องทางธุรกิจ ประจำปี 2567

ระบบบริหารความต่อเนื่องทางธุรกิจ (BCMS) ของ PEA แบ่งช่วงการรับมือได้ดังนี้

ก่อนวิกฤต
ก่อนวิกฤต
จัดทำแผนและแนวทางตอบสนองวิกฤต
  • ระบุความเสี่ยงเพื่อวางแผนและแนวทางลดความเสี่ยง
  • สร้างกลไกติดตามและแจ้งเตือนความเสี่ยง
  • สร้างแผนตอบสนองวิกฤต (ERP BCP RP และแผนการสื่อสารในภาวะวิกฤต)
  • มอบหมายบุคคลและบทบาทหน้าที่ในการบริหารจัดการวิกฤต
  • ฝึกซ้อมแผนด้วยสถานการณ์จำลอง
ระหว่างวิกฤต
ระหว่างวิกฤต
ตอบสนองวิกฤตตามแผนที่จัดทำไว้
  • บริหารจัดการวิกฤตติดตามแผนและแนวทางที่จัดทำ
  • ประชุมทีมบริหารจัดการวิกฤต
  • ประสานงานขอการสนับสนุนจากหน่วยงานภายนอก
  • สื่อสารแนวทางมาตรการไปยังบุคคลภายในและสาธารณะ
  • ปรับเปลี่ยนวิธีการตามสถานการณ์ที่เกิดขึ้นจริง
หลังวิกฤต
หลังวิกฤต
ดำเนินธุรกิจต่อเนื่อง ฟื้นฟูและทบทวน
  • ดำเนินธุรกิจต่อเนื่องตามแผนที่จัดทำ
  • ดำเนินการฟื้นฟูกลับสู่สภาวะปกติ
  • ทบทวนและประเมินประสิทธิภาพของแผนที่เกี่ยวข้อง
  • ปรับปรุงแผนและกระบวนการบริหารจัดการวิกฤต
  • สื่อสารแผนให้ทุกส่วนงานที่เกี่ยวข้องทราบและถือปฏิบัติ
หมายเหตุ
  • ERP : แผนตอบโต้ภาวะฉุกเฉิน
  • BCP : แผนความต่อเนื่องทางธุรกิจ
  • RP : แผนการฟื้นฟู

ผลการดำเนินการด้านการบริหารความเสี่ยง

  • PEA สำนักงานใหญ่ รักษาสถานะ การรับรองมาตรฐาน ISO 22301:2019 ได้อย่างต่อเนื่อง
  • พัฒนาระบบการบริหารความต่อเนื่องทางธุรกิจของ PEA ให้เป็นไปตามมาตรฐานสากล โดยนำข้อกำหนด ISO 22301:2019 มาประยุกต์ใช้ในการดำเนินงาน โดยสื่อสารและถ่ายทอดให้การไฟฟ้าเขต และ การไฟฟ้าจุดรวมงาน รวมทั้งสิ้น 36 แห่ง เพื่อนำไปปฏิบัติตามระบบ PEA BCMS
  • มีการฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ (BCP) ของกระบวนงานหลักที่หลากหลายเพื่อรองรับ ภัยคุกคามที่อาจจะเกิดขึ้น โดยเรียงลำดับเหตุการณ์ที่มีจำนวนการฝึกซ้อมจากมากไปน้อยได้ ดังนี้
    • ไฟไหม้ ร้อยละ 30
    • Cyber Attack ร้อยละ 20
    • รถยนต์ชนเสาไฟฟ้าแรงสูง ร้อยละ 10
    • พายุพัดระบบจำหน่ายและสายส่ง ร้อยละ 10
    • น้ำท่วมสำนักงาน ร้อยละ 10
    • โรคติดเชื้อไวรัสโคโรนา 2019 ร้อยละ 10
    • จลาจล/ชุมนุมปิดล้อม ร้อยละ 5
    • วินาศกรรมสำนักงาน/ระบบจำหน่ายและสายส่ง ร้อยละ 3
    • เคเบิลใต้น้ำชำรุด ร้อยละ 2
  • มีการทดสอบกระบวนการฟื้นฟูภัยพิบัติ (Disaster Recovery Planning: DRP) ซ้อมเสมือนจริง หรือเต็มรูปแบบ (Full BCP Exercise) โดยจำลองสถานการณ์พบ Ransomware ที่สำนักงานใหญ่ ซึ่งส่งผลกระทบทำให้ระบบเครื่องคอมพิวเตอร์แม่ข่ายที่ศูนย์คอมพิวเตอร์หลัก (DC Site) ของโครงการ รซธ. ระยะที่ 2 (ระบบ SAP, BPM, OMS) ได้รับความเสียหาย ต้องย้ายไปใช้งานที่ศูนย์คอมพิวเตอร์สำรอง (DR Site) โดยสามารถฟื้นฟูการให้บริการกลับมาได้ตามกรอบระยะเวลา RTO ที่กำหนด
  • มีการฝึกซ้อมการรับมือภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับระบบเทคโนโลยีสารสนเทศ (IT) ระบบเทคโนโลยีด้านการปฏิบัติการ (OT) และศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) โดยกำหนด Scenario จากแนวคิดการโจมตีที่เคยเกิดขึ้นจริงในประเทศกับภาคส่วนด้านพลังงานที่คาดว่าเกี่ยวข้องกับ PEA เพื่อให้สามารถกำหนดวิธีการในการรับมือภัยคุกคามทางไซเบอร์ในการนำไปสร้าง/ปรับปรุงแก้ไข แผนการรับมือภัยคุกคามทางไซเบอร์ในหน่วยงาน ทั้งในองค์กรและส่วนงานย่อย และยังเป็นการสร้าง ความเข้าใจในบทบาทหน้าที่ของแต่ละหน่วยงานที่เกี่ยวข้อง ทั้งในเหตุการณ์ที่เกิดขึ้นภายใน เหตุการณ์ ที่มีความเกี่ยวข้องกับ Sector อื่น ๆ ไปจนถึงเหตุการณ์ร้ายแรง ที่ส่งผลกระทบในระดับประเทศ โดยผล การฝึกซ้อมเป็นไปตามจุดมุ่งหมายในการฝึกและผลลัพธ์ที่คาดหวัง
  • จัดฝึกอบรมการสื่อสารและบัญชาการเหตุการณ์ในภาวะวิกฤต ให้กับผู้บริหารของ PEA เพื่อเสริมสร้างทักษะของผู้นำ/ผู้บัญชาการเหตุการณ์ ในภาวะวิกฤตให้เข้าใจหลักการและแนวทางในการบัญชาการและการบริหารจัดการเหตุฉุกเฉินและภาวะวิกฤต เพื่อสามารถนำไปประยุกต์ใช้ได้ อย่างมีประสิทธิภาพ และตอบสนองต่อความต้องการ/ความคาดหวังของผู้มีส่วนได้เสียได้ทันสถานการณ์