การบริหารความต่อเนื่องทางธุรกิจและการบริหารภาวะวิกฤต
ในปัจจุบันการดำเนินธุรกิจของ PEA ต้องเผชิญกับความเสี่ยงที่สำคัญในหลาย ๆ ด้าน อาทิ ความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่มีแนวโน้มรุนแรงขึ้นอย่างต่อเนื่อง ความเสี่ยงจากภัยพิบัติทางธรรมชาติ ความเสี่ยงด้านความต้องการในการใช้ไฟฟ้าและเสถียรภาพของระบบที่เพิ่มสูงขึ้น เป็นต้น PEA จึงจำเป็น ที่จะต้องมีการวางแผนการบริหารความต่อเนื่องทางธุรกิจและการบริหารภาวะวิกฤตตามกรอบมาตรฐานสากล ISO 22301:2019 ที่มีประสิทธิภาพ ผลกระทบของภัยคุกคามต่อการดำเนินธุรกิจ และสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น เพื่อการตอบสนองและปกป้องผลประโยชน์ของผู้มีส่วนได้ส่วนเสีย ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มีประสิทธิผล
เป้าหมายการดำเนินงาน
- ให้บริการพลังงานไฟฟ้าและดำเนินธุรกิจได้อย่างต่อเนื่อง เมื่อเกิดอุบัติการณ์ที่ทำให้หยุดชะงักได้ตามเป้าหมายที่กำหนด
- ให้ระบบการบริหารความต่อเนื่องทางธุรกิจของ PEA ตามมาตรฐาน PEA BCMS สอดคล้องกับมาตรฐานสากล ISO 22301:2019 โดยมุ่งเน้นการวางแผนการนำไปปฏิบัติ การรักษาและปรับปรุงระบบ การบริหารความต่อเนื่องทางธุรกิจอย่างต่อเนื่อง
- ระยะเวลาในการกู้คืนระบบ (Recovery Time Objective: RTO) เป็นไปตามที่กำหนด
- มุ่งเน้นการตอบสนองต่อผู้มีส่วนได้ส่วนเสีย
กลยุทธ์การดำเนินงาน
- กำหนดแนวทางในการป้องกัน ลดโอกาสการเกิด เตรียมความพร้อม ตอบโต้ภาวะฉุกเฉิน และฟื้นฟูกลับสู่สภาวะปกติ
- มุ่งเน้นการบริหารจัดการความเสี่ยงจากภัยคุกคามที่ทำให้ธุรกิจหยุดชะงัก การทบทวนปรับปรุง แผนและการฝึกซ้อมแผนอย่างต่อเนื่องจนเกิดเป็นวัฒนธรรมองค์กร
- สนับสนุนให้บุคลากรทุกระดับมีความรู้ความเข้าใจและความตระหนักในเรื่องการบริหาร ความต่อเนื่องทางธุรกิจ และมีส่วนร่วมในการดำเนินงานตามนโยบายความต่อเนื่องทางธุรกิจ
- ติดตาม เฝ้าระวังและประเมินประสิทธิผลการดำเนินการตามระบบการบริหารความต่อเนื่อง ทางธุรกิจของ PEA (PEA BCMS)
PEA ได้แต่งตั้งคณะกรรมการบริหารความต่อเนื่องทางธุรกิจขึ้น เพื่อทำหน้าที่ดังนี้
- กำหนดนโยบายการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management Policy) ให้มีความสอดคล้องกับแนวทางของสำนักงานคณะกรรมการกำกับกิจการพลังงาน สำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ รวมทั้งนโยบายบริหารความเสี่ยงด้านการปฏิบัติการ (Operation Risk Management Policy) ขององค์กร นำเสนอต่อผู้ว่าการการไฟฟ้าส่วนภูมิภาค พิจารณาให้ความเห็นชอบ
- ให้ความเห็นชอบในการระบุภารกิจสำคัญ การกำหนดระยะเวลาเป้าหมายในการฟื้นฟู การกำหนดกลยุทธ์ และพิจารณาขออนุมัติประกาศใช้แผนรับรองการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan: BCP)
- กำหนดผู้รับผิดชอบในการดำเนินการตามแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง การป้องกัน และการแก้ปัญหากรณีเกิดเหตุฉุกเฉิน
- นำเสนอแผนงานและความก้าวหน้าการดำเนินการตามแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง การป้องกันและการแก้ไขปัญหา กรณีเกิดเหตุฉุกเฉินให้ ผู้ว่าการการไฟฟ้าส่วนภูมิภาครับทราบ
- กำหนดแนวทางการประชาสัมพันธ์นโยบายการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management Policy) และแผนรับรองการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan: BCP) ให้พนักงานทราบ
- พิจารณาแต่งตั้งคณะกรรมการชุดย่อย และกำหนดอำนาจของคณะกรรมการชุดย่อย ภายใต้กรอบอำนาจของคณะกรรมการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management Committee: BCM Committee) เพื่อดำเนินการให้เป็นไปตามนโยบาย การบริหารความต่อเนื่องทางธุรกิจและบรรลุตามวัตถุประสงค์ของคณะกรรมการฯ
- มีอำนาจเรียกบุคคลที่เกี่ยวข้องมาชี้แจง หรือขอเอกสารเพิ่มเติมจากหน่วยงานที่เกี่ยวข้อง เพื่อให้การดำเนินงานของคณะกรรมการฯ บรรลุตามวัตถุประสงค์
โดยระบบการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management System: BCMS) ของ PEA นั้นจะยึดตามแนวทางมาตรฐานสากล ISO 22301: 2019 เพื่อให้มีระบบการบริหารจัดการภาวะวิกฤตหรือภัยพิบัติที่มีประสิทธิภาพและประสิทธิผล สามารถตอบสนองต่อเหตุการณ์ต่าง ๆ และฟื้นคืนกระบวนงานหลักที่สำคัญ (Critical Business Process) ได้ในระยะเวลาที่เหมาะสมและส่งมอบบริการพลังงานไฟฟ้าให้กับผู้ใช้ไฟได้อย่างต่อเนื่อง อีกทั้งลดผลกระทบจากภัยคุกคามต่าง ๆ ที่อาจเกิดขึ้นได้ อย่างมีประสิทธิภาพ โดย PEA มีกระบวนการบริหารความต่อเนื่องทางธุรกิจ ดังนี้
ระบบบริหารความต่อเนื่องทางธุรกิจ (BCMS) ของ PEA แบ่งช่วงการรับมือได้ดังนี้
- ระบุความเสี่ยงเพื่อวางแผนและแนวทางลดความเสี่ยง
- สร้างกลไกติดตามและแจ้งเตือนความเสี่ยง
- สร้างแผนตอบสนองวิกฤต (ERP BCP RP และแผนการสื่อสารในภาวะวิกฤต)
- มอบหมายบุคคลและบทบาทหน้าที่ในการบริหารจัดการวิกฤต
- ฝึกซ้อมแผนด้วยสถานการณ์จำลอง
- บริหารจัดการวิกฤตติดตามแผนและแนวทางที่จัดทำ
- ประชุมทีมบริหารจัดการวิกฤต
- ประสานงานขอการสนับสนุนจากหน่วยงานภายนอก
- สื่อสารแนวทางมาตรการไปยังบุคคลภายในและสาธารณะ
- ปรับเปลี่ยนวิธีการตามสถานการณ์ที่เกิดขึ้นจริง
- ดำเนินธุรกิจต่อเนื่องตามแผนที่จัดทำ
- ดำเนินการฟื้นฟูกลับสู่สภาวะปกติ
- ทบทวนและประเมินประสิทธิภาพของแผนที่เกี่ยวข้อง
- ปรับปรุงแผนและกระบวนการบริหารจัดการวิกฤต
- สื่อสารแผนให้ทุกส่วนงานที่เกี่ยวข้องทราบและถือปฏิบัติ
- ERP : แผนตอบโต้ภาวะฉุกเฉิน
- BCP : แผนความต่อเนื่องทางธุรกิจ
- RP : แผนการฟื้นฟู
ผลการดำเนินการด้านการบริหารความเสี่ยง
- PEA สำนักงานใหญ่ รักษาสถานะ การรับรองมาตรฐาน ISO 22301:2019 ได้อย่างต่อเนื่อง
- พัฒนาระบบการบริหารความต่อเนื่องทางธุรกิจของ PEA ให้เป็นไปตามมาตรฐานสากล โดยนำข้อกำหนด ISO 22301:2019 มาประยุกต์ใช้ในการดำเนินงาน โดยสื่อสารและถ่ายทอดให้การไฟฟ้าเขต และ การไฟฟ้าจุดรวมงาน รวมทั้งสิ้น 36 แห่ง เพื่อนำไปปฏิบัติตามระบบ PEA BCMS
- มีการฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ (BCP) ของกระบวนงานหลักที่หลากหลายเพื่อรองรับ ภัยคุกคามที่อาจจะเกิดขึ้น โดยเรียงลำดับเหตุการณ์ที่มีจำนวนการฝึกซ้อมจากมากไปน้อยได้ ดังนี้
- ไฟไหม้ ร้อยละ 30
- Cyber Attack ร้อยละ 20
- รถยนต์ชนเสาไฟฟ้าแรงสูง ร้อยละ 10
- พายุพัดระบบจำหน่ายและสายส่ง ร้อยละ 10
- น้ำท่วมสำนักงาน ร้อยละ 10
- โรคติดเชื้อไวรัสโคโรนา 2019 ร้อยละ 10
- จลาจล/ชุมนุมปิดล้อม ร้อยละ 5
- วินาศกรรมสำนักงาน/ระบบจำหน่ายและสายส่ง ร้อยละ 3
- เคเบิลใต้น้ำชำรุด ร้อยละ 2
- มีการทดสอบกระบวนการฟื้นฟูภัยพิบัติ (Disaster Recovery Planning: DRP) ซ้อมเสมือนจริง หรือเต็มรูปแบบ (Full BCP Exercise) โดยจำลองสถานการณ์พบ Ransomware ที่สำนักงานใหญ่ ซึ่งส่งผลกระทบทำให้ระบบเครื่องคอมพิวเตอร์แม่ข่ายที่ศูนย์คอมพิวเตอร์หลัก (DC Site) ของโครงการ รซธ. ระยะที่ 2 (ระบบ SAP, BPM, OMS) ได้รับความเสียหาย ต้องย้ายไปใช้งานที่ศูนย์คอมพิวเตอร์สำรอง (DR Site) โดยสามารถฟื้นฟูการให้บริการกลับมาได้ตามกรอบระยะเวลา RTO ที่กำหนด
- มีการฝึกซ้อมการรับมือภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับระบบเทคโนโลยีสารสนเทศ (IT) ระบบเทคโนโลยีด้านการปฏิบัติการ (OT) และศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ (SOC) โดยกำหนด Scenario จากแนวคิดการโจมตีที่เคยเกิดขึ้นจริงในประเทศกับภาคส่วนด้านพลังงานที่คาดว่าเกี่ยวข้องกับ PEA เพื่อให้สามารถกำหนดวิธีการในการรับมือภัยคุกคามทางไซเบอร์ในการนำไปสร้าง/ปรับปรุงแก้ไข แผนการรับมือภัยคุกคามทางไซเบอร์ในหน่วยงาน ทั้งในองค์กรและส่วนงานย่อย และยังเป็นการสร้าง ความเข้าใจในบทบาทหน้าที่ของแต่ละหน่วยงานที่เกี่ยวข้อง ทั้งในเหตุการณ์ที่เกิดขึ้นภายใน เหตุการณ์ ที่มีความเกี่ยวข้องกับ Sector อื่น ๆ ไปจนถึงเหตุการณ์ร้ายแรง ที่ส่งผลกระทบในระดับประเทศ โดยผล การฝึกซ้อมเป็นไปตามจุดมุ่งหมายในการฝึกและผลลัพธ์ที่คาดหวัง
- จัดฝึกอบรมการสื่อสารและบัญชาการเหตุการณ์ในภาวะวิกฤต ให้กับผู้บริหารของ PEA เพื่อเสริมสร้างทักษะของผู้นำ/ผู้บัญชาการเหตุการณ์ ในภาวะวิกฤตให้เข้าใจหลักการและแนวทางในการบัญชาการและการบริหารจัดการเหตุฉุกเฉินและภาวะวิกฤต เพื่อสามารถนำไปประยุกต์ใช้ได้ อย่างมีประสิทธิภาพ และตอบสนองต่อความต้องการ/ความคาดหวังของผู้มีส่วนได้เสียได้ทันสถานการณ์