การจัดการความเสี่ยงและความต่อเนื่องทางธุรกิจ
การจัดการความเสี่ยงและความต่อเนื่องทางธุรกิจเป็นเครื่องมือในการบริหารจัดการองค์การที่สำคัญ ที่จะทำให้เกิดความมั่นใจได้ว่า กฟผ. จะสามารถดำเนินงานบรรลุผลสำเร็จตามพันธกิจที่ได้รับมอบหมาย พร้อมตอบสนองต่อเหตุฉุกเฉินหรือวิกฤตการณ์ต่าง ๆ ได้อย่างรวดเร็ว และดำเนินกิจการพลังงานไฟฟ้าได้อย่างต่อเนื่องโดยไม่มีการหยุดชะงัก เพื่อประโยชน์ของผู้มีส่วนได้ส่วนเสียทุกภาคส่วน
| เป้าหมายปี 2567 | ผลการดำเนินงาน |
| ● มีการทบทวนและจัดทำแผนการบริหารความเสี่ยง กฟผ. เป็นประจำทุกปี | ● มีการทบทวนและจัดทำแผนการบริหารความเสี่ยง กฟผ. ปี 2568 |
| ● มีการติดตามและรายงานผลการบริหารความเสี่ยง พร้อมการวิเคราะห์ปัญหา อุปสรรคและแนวทางแก้ไข เป็นประจำทุกไตรมาส | ● มีการติดตามและรายงานผลการบริหารความเสี่ยง พร้อมการวิเคราะห์ปัญหา อุปสรรคและแนวทางแก้ไข ทุกไตรมาส รวมทั้งมีการปรับเปลี่ยนแผนการบริหารความเสี่ยงให้สอดคล้องกับการปรับเปลี่ยนแผนปฏิบัติการประจำปี |
การจัดการความเสี่ยง
เพื่อให้การบริหารความเสี่ยงขององค์การเป็นไปอย่างมีประสิทธิภาพ กฟผ. มีนโยบายการบริหารความเสี่ยงและควบคุมภายใน และแนวทางการปฏิบัติตามนโยบายการบูรณาการด้านการกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง และการปฏิบัติตามกฎหมายและระเบียบ (Governance Risk and Compliance) รวมถึงมีโครงสร้างการบริหารความเสี่ยงที่ประกอบด้วยคณะกรรมการ กฟผ. คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน คณะกรรมการบริหาร กฟผ. คณะกรรมการบริหารของสายงานผู้รับผิดชอบความเสี่ยงระดับสายงาน คณะกรรมการตรวจสอบจากหน่วยงานผู้ช่วยผู้ว่าการสำนักงานตรวจสอบภายใน และผู้ปฏิบัติงาน กฟผ. ทุกคนเป็นผู้ดำเนินการด้านการบริหารความเสี่ยงภายในองค์การ โดยมีกองบริหารความเสี่ยงและควบคุมภายในซึ่งสังกัดฝ่ายแผนยุทธศาสตร์ เป็นผู้สนับสนุนให้เกิดการบริหารความเสี่ยงทั่วทั้งองค์การ ผ่านการจัดทำนโยบายและกำหนดแนวทางการบริหารจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ รวมไปถึงการจัดทำคู่มือการบริหารความเสี่ยงและดำเนินการทบทวนเป็นประจำทุกปี
ปัจจุบันที่เปลี่ยนผ่านสู่ยุคดิจิทัล ทำให้องค์การนำเทคโนโลยีดิจิทัลมาใช้เพื่อช่วยให้การดำเนินงานเป็นไปอย่างมีประสิทธิภาพมากยิ่งขึ้น แต่ก็อาจนำมาซึ่งความเสี่ยงด้านภัยคุกคามทางไซเบอร์ เช่น การโจมตีเซิร์ฟเวอร์ การเจาะระบบเครือข่ายขององค์การ หรือการโจมตีทางไซเบอร์ในรูปแบบอื่น ๆ ได้ กฟผ. จึงมีการประเมินความเสี่ยงภัยคุกคามทางไซเบอร์และสารสนเทศเป็นประจำทุกปี
ในปี 2567 กฟผ. มีการบริหารความเสี่ยงด้านภัยคุกคามทางไซเบอร์ในระดับองค์การ ต่อเนื่องจากปี 2566 โดยมีแผนงานหรือมาตรการควบคุมภายในที่มีอยู่ (Existing Control) และแผนงานหรือมาตรการบริหารความเสี่ยง (Mitigation Plan) ที่สามารถบริหารจัดการเพื่อลดระดับความรุนแรงของปัจจัยเสี่ยงให้อยู่ในเกณฑ์ที่ยอมรับได้ (Risk Appetite) ได้แก่ มาตรการเพิ่มความเข้มข้นในการควบคุมและจำกัดสิทธิ์การเข้าถึงระบบงานที่สำคัญ มาตรการตรวจสอบและอัปเดตสิทธิ์ในการเข้าถึงระบบหรือข้อมูลที่สำคัญ และมาตรการในการทดสอบความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์และสารสนเทศด้วยอีเมลหลอกลวง (Phishing Email) กับพนักงาน กฟผ. โดยเพิ่มความหลากหลายของเนื้อหาอีเมลที่ใช้ในการทดสอบ พร้อมทั้งสื่อสารสร้างความรู้ที่สอดคล้องกับเนื้อหาที่ส่งให้กับผู้ปฏิบัติงานทั้งก่อนและหลังการทดสอบ
จากการดำเนินงานตามมาตรการจำกัดสิทธิ์การเข้าถึงระบบงานที่สำคัญ ทำให้มีการทบทวนสิทธิ์การเข้าถึงระบบงาน และแจ้งผู้ดูแลระบบในการจำกัดสิทธิ์ในการเข้าถึง สอดคล้องตามมาตรฐานการจัดการความมั่นคงปลอดภัยของสารสนเทศ หรือ ISO 27001 สำหรับการดำเนินงานตามมาตรการเพิ่มความหลากหลายของเนื้อหาอีเมลหลอกลวง พบว่ามีผู้ปฏิบัติงานที่หลงเชื่อตามอีเมลหลอกลวงลดลงและเป็นไปตามเป้าหมาย ส่งผลให้การบริหารความเสี่ยงด้านภัยคุกคามไซเบอร์ ในปี 2567 เป็นไปตามเป้าหมาย โดยไม่มีเหตุภัยคุกคามทางไซเบอร์ที่ส่งผลกระทบต่อองค์การในระดับรุนแรง
การบริหารความต่อเนื่องทางธุรกิจ
การบริหารความต่อเนื่องทางธุรกิจของ กฟผ. สอดคล้องตามมาตรฐานระบบบริหารความต่อเนื่องทางธุรกิจ หรือมาตรฐานสากล ISO 22301-2019 โดยมีนโยบาย คู่มือ และแผนบริหารความต่อเนื่องทางธุรกิจเป็นกรอบแนวทางการดำเนินงาน เพื่อสนับสนุนภารกิจในการส่งมอบพลังงานไฟฟ้าอย่างต่อเนื่อง รวมถึงมีคณะกรรมการบริหารจัดการความต่อเนื่องทางธุรกิจ กฟผ. ซึ่งประกอบด้วยผู้แทนระดับผู้อำนวยการฝ่ายจากทุกสายงาน ทำหน้าที่ประเมินผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) พร้อมจัดทำแผนความต่อเนื่อง (Business Continuity Plan: BCP) รองรับเหตุการณ์ต่าง ๆ เพื่อให้ กฟผ. ดำเนินการตามภารกิจหลักได้ในสภาวะวิกฤต ภายในช่วงเวลาการหยุดชะงักที่ยอมรับได้สูงสุด (Maximum Tolerable Period of Disruption: MTPD) และการกลับคืนสู่สภาวะปกติได้ภายในระยะเวลาตามเป้าหมายในการฟื้นคืนสภาพ (Recovery Time Objective: RTO) ที่เหมาะสม และมีการติดตามผลวิเคราะห์และดำเนินการเตรียมความพร้อมสำหรับภัยพิบัติและภาวะฉุกเฉิน
กฟผ. มีการสื่อสารกระบวนการบริหารจัดการความต่อเนื่องทางธุรกิจแก่ผู้มีส่วนได้เสียทั้งภายในและภายนอก อาทิ การจัดอบรมแก่พนักงานที่เกี่ยวข้อง การเปิดเผยข้อมูลบนเว็บไซต์ กฟผ. และการเผยแพร่ข้อมูลแก่ กฟภ. กฟน. และลูกค้าตรง ในงานบรรยายประจำปี โดยมีการประเมินการรับรู้เพื่อนำข้อเสนอแนะที่ได้รับมาปรับปรุงแผนการดำเนินงานต่อไป
นอกจากนี้ กฟผ. ยังจัดให้มีการฝึกซ้อมแผนรองรับเหตุฉุกเฉินและฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ โดยกำหนดสถานการณ์จำลองตามความเสี่ยงที่อาจเกิดขึ้น เช่น อัคคีภัยที่โรงไฟฟ้า ฟ้าผ่าระบบส่ง และท่อส่งก๊าซธรรมชาติหยุดจ่ายเชื้อเพลิง ซึ่งมีการฝึกซ้อมทั้งในระดับหน่วยงาน สายงาน และองค์การ รวมถึงการฝึกซ้อมร่วมกับหน่วยงานภายนอกและชุมชนรอบข้างเป็นประจำทุกปี เพื่อให้องค์การมีความพร้อมต่อเหตุการณ์ที่อาจเกิดขึ้น และทำให้มั่นใจได้ว่า กฟผ. สามารถจัดการเหตุการณ์ได้อย่างรวดเร็วและมีประสิทธิภาพ