Font
A+
A
Dark mode Light mode
Quick links
ภาษา :
Recommended Searches
Quick links
แจ้งเบาะแสการทุจริต การจัดซื้อจัดจ้าง

การกำกับดูแล, การบริหารความเสี่ยง และการปฏิบัติตามกฎข้อบังคับ

บริษัท โกลบอล เพาเวอร์ ซินเนอร์ยี่ จำกัด (มหาชน) มุ่งมั่นดำเนินธุรกิจภายใต้หลักธรรมาภิบาล ควบคู่ไปกับการสร้างคุณค่าร่วมกันกับผู้มีส่วนได้เสียทุกกลุ่ม โดยคำนึงถึงความรับผิดชอบต่อสังคมและสิ่งแวดล้อม เพื่อประโยชน์สูงสุดของทุกภาคส่วน พร้อมทั้งก้าวสู่การเป็นบริษัทไฟฟ้าชั้นนำด้านนวัตกรรมและความยั่งยืนในระดับสากล

การบริหารจัดการ
ความเสี่ยงและภาวะวิกฤต

GRI 3-3

ด้วยบริบทการดำเนินธุรกิจภายใต้ความเสี่ยงและความไม่แน่นอนในปัจจุบัน ทั้งจากสถานการณ์ความขัดแย้งปัจจัยภูมิรัฐศาสตร์และการแบ่งแยกทางสังคม (Challenges from Geopolitics and Polarization) ในระดับภูมิภาคและระดับสากล ความอ่อนไหวจากปัจจัยด้านภูมิเศรษฐกิจและสถานการณ์การตรึงตัวทางเศรษฐกิจ การเงิน การค้า การลงทุนซึ่งส่งผลต่อความผันผวนของอัตราแลกเปลี่ยน อัตราดอกเบี้ย และภาวะเงินเฟ้อ ประกอบกับปัจจัยความเสี่ยงและผลกระทบที่เกิดขึ้นใหม่ (Emerging Risk) และความเข้มข้นด้านกฎระเบียบ กฎเกณฑ์และมาตรการทางสังคมเพื่อสนองตอบต่อการเปลี่ยนแปลงสภาพภูมิอากาศและเป้าหมายการลดการปลดปล่อยก๊าซเรือนกระจกซึ่งเป็นพันธะความรับผิดชอบของทุกภาคส่วนในระดับสากล จึงกล่าวได้ว่า ความผันผวนและผลลัพธ์ที่เกิดขึ้นได้ส่งผลต่อการดำเนินธุรกิจและการปรับตัวของบริษัทฯ ต่อบริบทที่เปลี่ยนไปไม่ว่าในด้านกฎหมาย กฎระเบียบทางธุรกิจและการค้าที่เกี่ยวข้องโดยตรงต่อการลดการปลดปล่อยก๊าซเรือนกระจก ความผันผวนด้านราคาเชื้อเพลิงพลังงานภายใต้นโยบายการตรึงราคาค่าไฟฟ้าซึ่งมีผลต่อการดำเนินการผลิต รวมถึงความผันผวนด้านอัตราแลกเปลี่ยนที่มีผลต่อการขยายการลงทุนของบริษัทฯ เหล่านี้ก่อให้เกิดความท้าทายอย่างมีนัยสำคัญยิ่งต่อปัจจัยความสำเร็จของบริษัทฯ ตามพันธกิจเป้าหมายการดำเนินธุรกิจทั้งในระยะสั้นและระยะยาว ซึ่งการบริหารจัดการอย่างเป็นระบบ มีประสิทธิภาพ ตลอดจนมีความยืดหยุ่นคล่องตัวและทันต่อสถานการณ์ภายใต้บริบทการบริหารความเสี่ยงทางธุรกิจย่อมเป็นสิ่งที่สามารถช่วยสนับสนุนการดำเนินงานและสามารถบรรเทาป้องกันผลกระทบที่อาจเกิดขึ้นได้ โดยในอีกด้านหนึ่ง บริษัทฯ ได้ใช้โอกาสในการบริหารความเสี่ยงและความไม่แน่นอนต่างๆ นี้ เพื่อก่อเกิดโอกาสทางธุรกิจทั้งในส่วนที่เป็นการดำเนินการในปัจจุบันและโอกาสทางธุรกิจที่จะเกิดขึ้นใหม่ในอนาคต อาทิ โอกาสการขยายการเติบโตสู่ธุรกิจพลังงานรูปแบบใหม่และธุรกิจที่เกี่ยวข้อง ธุรกิจการผลิตและจำหน่ายไฟฟ้ารูปแบบใหม่ตามนโยบายรัฐ ซึ่งจะเป็นการดำเนินการโดยสอดคล้องและตอบโจทย์ต่อพฤติกรรมและรูปแบบการบริโภคของสังคมที่เปลี่ยนแปลงไป ด้วยหลักการและเหตุผลดังที่กล่าวมาข้างต้น บริษัทฯ จึงให้ความสำคัญและยึดถือแนวปฏิบัติการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management: ERM) ตามหลักมาตรฐานสากล The Committee of Sponsoring Organizations of the Treadway Commission (COSO) ERM Framework เพื่อทำให้มั่นใจว่าในทุกกลไกและกิจกรรมทางธุรกิจจะสามารถนำหลักการบริหารความเสี่ยงไปประยุกต์ใช้ได้อย่างเหมาะสม อันจะนำมาซึ่งประโยชน์สูงสุดต่อบริษัทฯ อีกทั้งบริษัทฯ ยังได้ดำเนินการกำกับดูแลการบริหารความเสี่ยงองค์กรในภาพรวมผ่านคณะกรรมการบริหารความเสี่ยง ภายใต้การมอบหมายจากคณะกรรมการบริษัทฯ และมีคณะกรรมการบริหารความเสี่ยงและควบคุมภายในที่ดำเนินการบริหารความเสี่ยงอย่างใกล้ชิดในระดับฝ่ายจัดการ โดยบริษัทฯ ได้มีแนวทางในการบริหารจัดการความเสี่ยงและภาวะวิกฤต ดังนี้
สามารถศึกษาการผลประเมินผลกระทบของประเด็นสำคัญได้ที่ Link

วัฒนธรรมการบริหารความเสี่ยง

GRI 2-23, 2-24

ด้วยปรัชญาและวัฒนธรรมการดำเนินธุรกิจขององค์กรที่มุ่งสู่การสร้างคุณค่าร่วมต่อผู้มีส่วนได้เสียทุกภาคส่วน ภายใต้แนวคิดและหลักการพื้นฐานที่เริ่มจากวัฒนธรรมองค์กรที่ดีและมีการดำเนินงานที่ชัดเจน เช่นนั้นบริษัทฯ จึงให้ความสำคัญต่อการส่งเสริมวัฒนธรรมการบริหารความเสี่ยงที่ดีทั่วทั้งองค์กรโดยมีแผนงานพัฒนาและแนวทางการดำเนินการทั้งในระยะสั้นและระยะยาวผ่านมิติต่างๆ ทั้งด้านระบบบริหารจัดการและกระบวนการทำงาน รวมถึงการบริหารบุคลากร ผ่านกรอบการบริหารความเสี่ยงทั่วทั้งองค์กรที่ที่มีหลักสำคัญได้แก่

1. นโยบายบริหารความเสี่ยงของบริษัทฯ

บริษัทฯ โดยคณะกรรมการบริหารความเสี่ยง ได้กำหนดนโยบายการบริหารความเสี่ยงของบริษัทฯ เพื่อใช้เป็นกรอบในการกำกับดูแลและส่งเสริมประสิทธิภาพการดำเนินงานบริหารความเสี่ยง โดยเชื่อมโยงการบริหารความเสี่ยงในทุกระดับทั่วทั้งองค์กรและขยายรวมถึงระดับกลุ่มบริษัท GPSC เพื่อให้สอดคล้องกับกลยุทธ์และเป้าหมายทางธุรกิจ รวมถึงสภาวการณ์ที่เปลี่ยนแปลง โดยครอบคลุมการบริหารความเสี่ยงในทุกมิติทั้งด้านกลยุทธ์และการลงทุน ด้านการเงิน ด้านธุรกิจ ด้านเทคโนโลยีและการปฏิบัติการ ด้านกฎหมายและกฎระเบียบ ด้านบุคลากรและโครงสร้างองค์กร รวมถึงความเสี่ยงด้านสิ่งแวดล้อม สังคม และการกำกับดูแล (ESG Risk) การทุจริตและคอร์รัปชัน และความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risks) อาทิ ด้านเทคโนโลยีสารสนเทศและความปลอดภัยไซเบอร์ นอกจากนั้น ได้กำหนดให้การบริหารความเสี่ยงเป็นบทบาทหน้าที่ของผู้บริหารและพนักงานทุกระดับทั่วทั้งองค์กร เพื่อให้มั่นใจว่าการดำเนินธุรกิจของบริษัทฯ จะมีการบริหารจัดการองค์กรในภาพรวมอย่างมีระบบ ภายใต้การบริหารความเสี่ยงที่ครอบคลุมทุกกิจกรรมการดำเนินธุรกิจ เชื่อมโยงกับระบบควบคุมภายในและการตรวจสอบภายในที่มีประสิทธิภาพ

เพื่อให้นโยบายบริหารความเสี่ยงของบริษัทฯ มีเนื้อหาและแนวทางที่สอดคล้องกับบริบทและเป้าหมายทางธุรกิจที่เป็นปัจจุบัน บริษัทฯ จึงได้จัดให้มีการทบทวนและขออนุมัติ หากมีการปรับปรุงแก้ไขในทุกปี

ดาวน์โหลดนโยบายบริหารความเสี่ยง
ดาวน์โหลด

2. กรอบระดับความเสี่ยงที่บริษัทฯ ยอมรับได้ (Risk Appetite)

ที่ใช้กำหนดระดับความเสี่ยงที่ยอมรับได้ในการดำเนินกิจกรรมทางธุรกิจ ภายใต้หลักการการวิเคราะห์และตัดสินใจบนความสอดคล้องและบริบทสภาพแวดล้อมตลอดจนกิจกรรมและเป้าหมายทางธุรกิจของบริษัทฯ โดยกรอบระดับความเสี่ยงที่บริษัทฯ ยอมรับได้ ประกอบด้วย 5 มิติที่สำคัญ ได้แก่

  • มิติด้านการเงิน (Financial Aspect): ในอันที่จะรักษานโยบายและระดับโครงสร้างทางการเงินตลอดจนอันดับความน่าเชื่อถือ (Credit Rating) ให้อยู่ในระดับน่าลงทุน
  • มิติด้านธุรกิจและการปฏิบัติการ (Business and Operation Aspect): ที่มุ่งรักษาด้านเสถียรภาพและความมั่นคงของการผลิตและจำหน่ายไฟฟ้าภายใต้อุบัติการณ์ต่อผู้ปฏิบัติงานเป็นศูนย์ (Zero Incident) และการดำเนินธุรกิจต้องไม่ส่งผลกระทบต่อสิ่งแวดล้อมหรือชุมชน
  • มิติด้านกฎหมายและกฎระเบียบ (Law and Regulation Aspect): ที่ไม่ยอมรับต่อการทำผิดกฎหมาย กฎระเบียบ ข้อบังคับ หรือนโยบายของบริษัทฯ การทุจริตและคอร์รัปชั่น อีกทั้งให้ความสำคัญต่อการจ้างงานที่ต้องไม่ผิดหลักการด้านสิทธิมนุษยชนตามหลักการกำกับดูแลกิจการที่ดี
  • มิติด้านกลยุทธ์และการลงทุน (Strategy and Investment Aspect): ที่จะลงทุนเพื่อมุ่งสู่ Target Portfolio ที่สอดคล้องกับเกณฑ์การลงทุนและนโยบายการเงินการลงทุนของบริษัทฯ โดยให้ความสำคัญต่อการบริหารจัดการการลงทุนในแหล่งพลังงานสะอาดและเป้าหมายการลดการปลดปล่อยก๊าซเรือนกระจกของกลุ่ม GPSC ภายใต้การลงทุนที่สร้างคุณค่า (Value Creation) โดยคำนึงถึงผลกระทบต่อผู้มีส่วนได้เสีย ชุมชน สังคม และสิ่งแวดล้อม อย่างรอบคอบ อีกทั้งยังให้ความสำคัญต่อการลงทุนเพื่อการวิจัยและพัฒนา
  • มิติด้านบุคลากรและความสามารถขององค์กร (Human Resources and Organization Aspect): ที่มุ่งพัฒนาความสามารถขององค์กรและพนักงานเพื่อให้สอดคล้องกับกลยุทธ์และการเติบโตทางธุรกิจของบริษัทฯ

เพื่อให้กรอบระดับความเสี่ยงที่บริษัทฯ ยอมรับได้ มีมิติมุมมองและเนื้อหาที่สอดคล้องกับบริบทและเป้าหมายทางธุรกิจที่เป็นปัจจุบัน บริษัทฯ จึงได้จัดให้มีการทบทวนและขออนุมัติหากมีการปรับปรุงแก้ไขในทุกปี

3. เกณฑ์การประเมินความเสี่ยง (Risk Criteria)

ซึ่งบริษัทฯ ได้กำหนดหลักเกณฑ์ที่สอดคล้องต่อกรอบการดำเนินงานทางธุรกิจ โดยครอบคลุมมิติด้านการเงิน กระบวนการธุรกิจและการปฏิบัติการ ชื่อเสียงองค์กร ด้านลูกค้า ด้านบุคคล สำหรับการวิเคราะห์ระดับผลกระทบความเสียหายและความถี่ในการเกิดเหตุการณ์ความเสี่ยงใดๆ นั้นจะใช้เกณฑ์การประเมินความเสี่ยง เดียวกันทั่วทั้งองค์กรโดยมีมิติย่อยในการพิจารณา แสดงดังภาพ

เพื่อให้กรอบระดับความเสี่ยงที่บริษัทฯ ยอมรับได้ มีมิติมุมมองและหลักเกณฑ์ที่สอดคล้องกับบริบทและเป้าหมายทางธุรกิจที่เป็นปัจจุบัน บริษัทฯ จึงได้จัดให้มีการทบทวนและขออนุมัติหากมีการปรับปรุงแก้ไขในทุกปี

4. การบริหารและยกระดับองค์ความรู้ของผู้บริหารและพนักงานในกลุ่มบริษัทฯ ทั่วทั้งองค์กร

ผ่านการจัดฝึกอบรมทั้งในรูปแบบออนไลน์ (E-Learning) และรูปแบบเชิงปฏิบัติการ (Workshop) ที่มีเนื้อหาครอบคลุมและสอดคล้องตามนโยบายบริหารความเสี่ยงและบริบททางธุรกิจทั้งระดับองค์กรและระดับหน่วยงานเพื่อสร้างองค์ความรู้ตามเป้าหมายการสร้างวัฒนธรรมองค์กรให้เป็นไปในทิศทางเดียวกัน พร้อมทั้งมีการทบทวน ทวนสอบองค์ความรู้เพื่อสร้างความมั่นใจว่าบุคลากรของบริษัทฯ จะได้รับองค์ความรู้ที่สอดคล้องกับบริบทสถานการณ์องค์กรและธุรกิจที่เป็นปัจจุบันและสามารถนำไปประยุกต์ใช้เพื่อเพิ่มประสิทธิภาพการดำเนินงานได้อย่างเต็มความสามารถ

5. การวัดผลสัมฤทธิ์และประสิทธิภาพการดำเนินงานบริหารความเสี่ยง

เป็นการดำเนินงานผ่านการติดตามความคืบหน้าการบริหารความเสี่ยงองค์กรเป็นรายไตรมาสผ่านการรายงานคณะกรรมการบริหารความเสี่ยง นอกจากนี้ เพื่อการขับเคลื่อนประสิทธิภาพผลสัมฤทธิ์ตามเป้าหมายความสำเร็จขององค์ที่วางไว้อย่างเป็นรูปธรรม บริษัทฯ ยังให้ความสำคัญต่อการผลักดันการบริหารความเสี่ยงที่สำคัญผ่านดัชนีชี้วัดผลการดำเนินงาน (Key Performance Index: KPI) ของผู้บริหารและพนักงาน ซึ่งเป็นกลไกที่ช่วยสร้างแรงจูงใจและผลักดันผลการดำเนินงานให้เข้าไปสู่เป้าหมายได้อย่างสัมฤทธิ์ผล

โครงสร้างการกำกับดูแลการบริหารจัดการความเสี่ยงและกรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

GRI 2-12, 2-13, 2-16, 3-3

การบริหารความเสี่ยงของบริษัทฯ จะดำเนินงานภายใต้ ขอบเขต อำนาจ หน้าที่ และความรับผิดชอบของคณะกรรมการเฉพาะด้าน ซึ่งเป็นผู้มีอำนาจสูงสุดตามขอบเขตอำนาจหน้าที่การบริหารความเสี่ยงขององค์กร ได้แก่

  • คณะกรรมการบริษัทฯ (Board of Directors)
    มีบทบาทความรับผิดชอบในการพิจารณาปัจจัยเสี่ยงสำคัญที่อาจเกิดขึ้นและกำหนดแนวทางการบริหารจัดการความเสี่ยงอย่างครอบคลุมครบถ้วน และกำกับดูแลให้ผู้บริหารและฝ่ายจัดการมีระบบกระบวนการที่มีประสิทธิภาพในการบริหารจัดการความเสี่ยง รวมถึงปัจจัยความเสี่ยงที่อาจเกิดขึ้นจากการแสวงหาโอกาสทางธุรกิจและเพื่อประสิทธิภาพต่อระบบและการดำเนินงานการบริหารความเสี่ยงที่สอดคล้องตอบสนองต่อการเปลี่ยนแปลงบริบททางธุรกิจที่เปลี่ยนแปลงอย่างเป็นปัจจุบัน ตลอดจนอนุมัติกรอบการบริหารความเสี่ยงระดับองค์กรประจำปีและทวนสอบผลการดำเนินงานของบริษัทฯ เป็นประจำทุกปีหรือกรณีที่มีเหตุสำคัญกระทบอย่างมีนัยสำคัญ
  • คณะกรรมการบริหารความเสี่ยง (Risk Management Committee: RMC)
    ภายใต้กฎบัตรคณะกรรมการบริหารความเสี่ยงที่ได้รับอนุมัติจากคณะกรรมการบริษัทฯ ในการมอบหมายคณะกรรมการบริษัทฯ บางส่วนมาปฏิบัติหน้าที่เฉพาะด้าน โดยคณะกรรมการบริหารความเสี่ยง (Risk Management Committee: RMC) ได้รับมอบหมาย ขอบเขต อำนาจ หน้าที่ และความรับผิดชอบในการกำหนดและทบทวนนโยบายกรอบการดำเนินงานด้านการบริหารความเสี่ยงขององค์กร การกำกับดูแล สนับสนุนและติดตามประสิทธิภาพและผลการดำเนินงานด้านการบริหารความเสี่ยงองค์กรที่สอดคล้องกลยุทธ์ เป้าหมายทางธุรกิจ และสภาวการณ์ที่เปลี่ยนแปลงในมิติต่างๆ อีกทั้งกำหนดให้มีการทวนสอบและสอบทานบริบทความเสี่ยงที่เป็นปัจจุบันเพื่อผลักดันแนวทางการบริหารจัดการตามปัจจัยและเหตุการณ์ที่สำคัญต่อการดำเนินกิจกรรมทางธุรกิจของบริษัทฯ ได้อย่างทันท่วงที นอกจากนี้ คณะกรรมการบริหารความเสี่ยงยังมีหน้ที่สำคัญในการกำกับดูแล สนับสนุน และพัฒนาการบริหารความเสี่ยงในทุกระดับทั่วทั้งองค์กรให้สามารถผลักดันประสิทธิภาพการดำเนินงานตามกลยุทธ์และเป้าหมายทางธุรกิจ รวมถึงสนองตอบสภาวการณ์ที่เปลี่ยนแปลงไป ตลอดจนกำหนดให้มีการทบทวนกรอบความเสี่ยงที่ยอมรับได้ของบริษัทฯ ที่จะเป็นการช่วยสร้างความตระหนักถึงค่านิยมด้านความเสี่ยงที่จะเป็นการยอมรับและรับรู้ทั่วกัน และมีการติดตาม กลั่นกรอง ให้ข้อคิดเห็น ข้อเสนอแนะงานด้านบริหารความเสี่ยง เพื่อให้การดำเนินงานด้านการบริหารความเสี่ยงมีประสิทธิภาพอย่างต่อเนื่อง โดยบริษัทฯ กำหนดให้มีการจัดประชุมอย่างน้อยไตรมาสละหนึ่งครั้ง(สามารถค้นหารายละเอียดเพิ่มเติมเกี่ยวกับขอบเขต อำนาจ หน้าที่ความรับผิดชอบของคณะกรรมการบริหารความเสี่ยงได้ที่กฎบัตรคณะกรรมการบริหารความเสี่ยง)

    กฎบัตรคณะกรรมการบริหารความเสี่ยง   

  • คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (Risk Management & Internal Control Committee)
    ประกอบด้วยผู้บริหารระดับสูงของบริษัทฯ ทำหน้าที่ในการบริหารจัดการดูแลระบบการบริหารจัดการความเสี่ยง ระบบการควบคุมภายใน และการบริหารความต่อเนื่องทางธุรกิจของบริษัทฯ ให้มีประสิทธิภาพและประสิทธิผลสูงสุด ทั้งด้านการจัดทำ ดำเนินงาน ติดตามและทวนสอบผลการดำเนินงานความเสี่ยงองค์กรรายไตรมาส นอกจากนี้ ยังทำหน้าที่ผลักดันการดำเนินงานบริหารความเสี่ยงทั่วทั้งองค์กรและการพัฒนาขีดความสามารถและส่งเสริมให้เกิดวัฒนธรรมการบริหารความเสี่ยงแก่พนักงานในทุกระดับ ตลอดจนบูรณาการแนวทางการดำเนินงานทั้งภายในองค์กรและความร่วมมือระหว่างองค์กรทั้งภายในกลุ่มและภายนอกกลุ่มบริษัทฯ และมอบหมายฝ่ายจัดการ/ผู้ปฏิบัติงานที่เกี่ยวข้องในการบริหารจัดการประเด็นความเสี่ยงที่เกี่ยวเนื่องในมิติต่าง อย่างเหมาะสมและมีประสิทธิภาพ โดยผ่านการประชุม RMCC ที่มีการจัดประชุมอย่างน้อยไตรมาสละหนึ่งครั้งและรายงานผลต่อ RMC เพื่อการพิจารณาความครบถ้วนในแนวทางการดำเนินงานในทุกปี
  • หน่วยงาน/พนักงาน (Risk Owners/ Functions)
    พนักงานทุกคนมีส่วนร่วมในการบริหารจัดการความเสี่ยงต่างๆ ที่อาจเกิดขึ้นในการปฏิบัติงาน เพื่อลดโอกาสเกิดผลกระทบความเสียหายขององค์กรให้เหลือน้อยที่สุดภายใต้การบริหารประสิทธิภาพการดำเนินธุรกิจให้ได้มากที่สุด ตลอดจนการแสวงหาโอกาสทางธุรกิจและการดำเนินการจากมาตรการการบริหารความเสี่ยงในมิติและกิจกรรมต่างๆ โดยมีหน้าที่ประเมินความเสี่ยงและความไม่แน่นอน ตลอดจนโอกาสต่างๆ ที่อาจเกิดขึ้น ซึ่งจะส่งผลต่อเป้าหมายหรือการดำเนินการใดๆ ตามวัตถุประสงค์ที่ตั้งไว้เพื่อหาแนวทางบริหารจัดการ ตลอดจนสร้างความร่วมมือทั้งในระดับภายในองค์กรและภายนอกองค์กร เพื่อสนับสนุนการดำเนินตามวัฒนธรรมการบริหารความเสี่ยงที่องค์กร ยึดถือปฏิบัติร่วมกัน
  • คณะกรรมการตรวจสอบ (Audit Committee)
    มีบทบาทในการสอบทานประสิทธิภาพและความเพียงพอของระบบบริหารความเสี่ยง เพื่อให้มั่นใจว่าระบบการบริหารความเสี่ยงของบริษัทฯ สอดคล้องตามแนวทางที่กำหนดภายใต้กฎบัตรคณะกรรมการตรวจสอบ

กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

GRI 2-16

นอกจากโครงสร้างคณะกรรมการบริหารความเสี่ยงคณะต่างๆ ตามที่กล่าวมาข้างต้นแล้วนั้น บริษัทฯ ยังให้ความสำคัญต่อบุคลากรทั่วทั้งองค์กรในระดับการบริหารและระดับปฏิบัติงานของส่วนงานต่างๆ เพื่อให้มั่นใจว่าบริบทการดำเนินธุรกิจ การกำกับดูแล และการผลักดันประสิทธิภาพจะสามารถก่อเกิดได้ตั้งแต่ระดับพนักงาน/ผู้ปฏิบัติงานจนถึงระดับผู้บริหารสูงสุดในแต่ละดับขั้น ผ่านความรับผิดชอบในระดับตำแหน่งงานต่างๆ ที่ครอบคลุมทุกกิจกรรมในห่วงโซ่การดำเนินธุรกิจของบริษัทฯ

ทั้งนี้ กรอบการบริหารความเสี่ยงทั่วทั้งองค์กรของบริษัทฯ (Enterprise Risk Management Framework) และความเชื่อมโยงโครงสร้างและการบริหารความเสี่ยง แสดงดังแผนภาพ

กลยุทธ์และกระบวนการบริหารจัดการความเสี่ยง

ภายใต้กรอบการบริหารความเสี่ยงทั่วทั้งองค์กรของบริษัทฯ (Enterprise Risk Management: ERM) บริษัทฯ ได้กำหนดแนวทางการดำเนินงานบริหารความเสี่ยงใน 2 ระดับได้แก่ ระดับองค์กร (Corporate Level) และระดับหน่วยงาน (Functional Level) โดยมีกลยุทธ์และกระบวนการบริหารจัดการความเสี่ยง ได้แก่

กลยุทธ์ในการบริหารจัดการความเสี่ยง

ด้วยกลยุทธ์การบริหารจัดการความเสี่ยงที่นอกจากการมุ่งสร้างองค์ความรู้ที่ดีทั่วทั้งองค์กรให้แก่ผู้บริหาร พนักงาน และผู้เกี่ยวข้องทุกภาคส่วน ภายใต้การขับเคลื่อนวัฒนธรรมการบริหารความเสี่ยง (Risk Culture) ที่รับรู้โดยทั่วกันแล้วนั้น แนวทางการดำเนินงานที่มีประสิทธิภาพยังหมายรวมถึงการมีตัวแทนหน่วยงานต่าง ๆ เป็นผู้ประสานงานด้านความเสี่ยง (Risk Agent) โดยแยกตามกลุ่มของความเสี่ยงที่เกี่ยวข้องกับงานครบทุกกิจกรรมทางธุรกิจของบริษัทฯ และมีส่วนบริหารความเสี่ยงเป็นผู้ประสานงานส่วนกลางและกำกับดูแล ตลอดจนกำหนดกลยุทธ์และผลักดันการปรับปรุงพัฒนาระบบการบริหารความเสี่ยงอย่างต่อเนื่อง (Continuous Improvement) เพื่อให้การบริหารความเสี่ยงสามารถดำเนินงานได้อย่างบูรณาการในทุกมิติ เป็นระบบที่มีการพัฒนาอย่างต่อเนื่อง และขับเคลื่อนไปในทิศทางเดียวกันทั้งองค์กรและสอดคล้องกับกลยุทธ์ในการดำเนินธุรกิจแล้วนั้น บริษัทฯ ยังได้สร้างความร่วมมือในกลุ่ม ปตท. ในการแสวงหาการพัฒนาองค์ความรู้ด้านการบริหารความเสี่ยงทั้งในด้านต่างๆ อาทิ การพัฒนาระบบการปฏิบัติการสู่ความเป็นเลิศ (Operational Excellence Management System: OEMS) การบริหารความยั่งยืน (Sustainability Management) เป็นต้น

กระบวนการบริหารความเสี่ยงองค์กร

บริษัทฯ ให้ความสำคัญต่อการบูรณาการการมีส่วนร่วมในการบริหารความเสี่ยงทุกระดับอย่างเป็นระบบ ตั้งแต่การประเมินปัจจัยเสี่ยง การวิเคราะห์และจัดทำประเด็นความเสี่ยงที่จะกระทบต่อบริบทองค์กรทั้งในมิติที่สอดคล้องกับแผนกลยุทธ์ทางธุรกิจซึ่งเป็นปัจจัยภายใน และความเสี่ยงจากการเปลี่ยนแปลงต่างๆ ที่เกิดขึ้นภายใต้ความผันผวนจากสภาพแวดล้อมทางธุรกิจและความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk) ซึ่งเป็นปัจจัยภายนอก ประกอบกับประเด็นปัญหาอุปสรรค และความเสี่ยงในกิจกรรมการดำเนินงานระดับหน่วยงาน (Functional Risk) ที่มีนัยสำคัญต่อบริบททางธุรกิจซึ่งต้องมีการผลักดันและยกระดับการดำเนินงานบริหารจัดการความเสี่ยงในระดับหน่วยงานเข้าสู่กระบวนการการจัดทำการบริหารความเสี่ยงองค์กรทั้งในระยะสั้น (1 ปี) (Short Term Risk) ระยะกลาง (3-5 ปี) (Medium Term Risk) และระยะยาว (มากกว่า 5 ปี) (Long Term Risk) เพื่อเข้าสู่การพิจารณาอนุมัติ ซึ่งจะใช้เป็นกรอบในการกำกับดูแลการบริหารจัดการความเสี่ยงและติดตามทวนสอบ ตลอดจนรายงานผลการดำเนินงานเพื่อเชื่อมโยงผลการปฏิบัติงานกับเป้าหมายองค์กร โดยบริษัทฯ มีการกำหนดช่วงเวลาที่ชัดเจนในการทบทวนความเสี่ยงและติดตามผลการดำเนินงานอย่างน้อยเป็นรายไตรมาสทั้งในระดับฝ่ายจัดการและระดับคณะกรรมการบริษัทฯ ตลอดจนมีการพิจารณาทบทวนการขออนุมัติปรับเพิ่มรายการความเสี่ยงองค์กรที่มีผลกระทบอย่างมีนัยสำคัญต่อบริษัทฯ (Emerging Risk) ในระหว่างปี เพื่อให้มั่นใจว่าองค์กรมีกระบวนการประเมินการเปลี่ยนแปลงที่สำคัญและตอบสนองต่อความเสี่ยงที่เกิดขึ้นใหม่ในระหว่างช่วงปี ซึ่งอาจเป็นความเสี่ยงในระยะสั้นถึงระยะปานกลางได้อย่างทันท่วงทีและเป็นไปอย่างมีประสิทธิภาพ ซึ่งที่กล่าวมาโดยรวมเป็นแนวทางที่สำคัญยิ่งที่บริษัทฯ ยึดถือปฏิบัติในการใช้ระบบบริหารความเสี่ยงเพื่อเป็นเครื่องมือผลักดันแผนกลยุทธ์และการดำเนินงานให้บรรลุเป้าหมายเชิงกลยุทธ์ที่วางไว้ และนอกจากการส่งเสริมผลักดันการบริหารจัดการความเสี่ยงให้เป็นวัฒนธรรมการทำงานขององค์กรผ่านการดำเนินงานต่างๆ ดังกล่าวมาข้างต้น ทั้งด้านนโยบายการบริหารความเสี่ยงบริษัทฯ และการผลักดันประสิทธิภาพและผลการดำเนินงานความเสี่ยงในทุกระดับผ่านการประเมินผลการดำเนินงาน (KPI) ซึ่งสะท้อนจาก 1) ความเสี่ยงระดับองค์กรที่ผู้บริหารระดับสูงและบุคลากรในหน่วยงานที่เกี่ยวข้องจะได้รับการประเมินผลการปฏิบัติงานประจำปีในมิติด้านการบริหารความเสี่ยงที่เกี่ยวเนื่องเพื่อเป้าหมายการมีส่วนร่วมในการผลักดันผลสัมฤทธิ์การดำเนินงานในระดับองค์กร และ 2) ความเสี่ยงระดับหน่วยงาน ซึ่งผู้ปฏิบัติงานในแต่ละหน่วยงานจะได้รับการประเมินผลการปฏิบัติงานประจำปีในขอบเขตภาระหน้าที่งานต่างๆ เพื่อให้มั่นใจว่าผลสัมฤทธิ์งานภายใต้การบริหารจัดการความเสี่ยงและความไม่แน่นอนในการทำงานจะอยู่ในการควบคุมดูแลเพื่อให้เป็นไปตามเป้าหมายตามที่รับผิดชอบ ซึ่งจะเป็นปัจจัยส่งผลต่อภาพรวมการบริหารความเสี่ยงและเป้าหมายทางธุรกิจระดับองค์กร

นอกจากนี้ บริษัทฯ ยังให้ความสำคัญต่อรายการที่มีผลกระทบอย่างมีนัยสำคัญต่อเป้าหมายและแผนกลยุทธ์องค์กร โดยอาจพิจารณายกระดับความเสี่ยงดังกล่าวขึ้นเป็นความเสี่ยงระดับองค์กรในช่วงเวลาที่อาจมีการเกิดเหตุการณ์ที่มีความสำคัญขึ้นเพื่อยกระดับการบริหารประสิทธิภาพการตอบสนองต่อความเสี่ยงและผลกระทบต่อไป

การประเมินและจัดทำทะเบียนความเสี่ยง (RISK REGISTER)

ในการพยากรณ์เหตุการณ์และวิเคราะห์จัดทำประเด็นความเสี่ยง เพื่อประเมินโอกาสและระดับของความเสียหายที่อาจที่เกิดขึ้น บริษัทฯ มีการดำเนินงานโดยหน่วยงานผู้รับผิดชอบและหน่วยงานที่เกี่ยวข้อง ซึ่งครอบคลุมกระบวนทำงานที่หลากหลายส่วน อาทิ การบริหารความเสี่ยงทั้งด้านการดำเนินธุรกิจ การบริหารงานก่อสร้าง การบริหารและพิจารณาการลงทุนโครงการ การบริหารงานอาชีวอนามัย ความปลอดภัยและสิ่งแวดล้อม การกำกับดูแลกิจการที่ดี การบริหารความยั่งยืนและสิทธิมนุษยชน เป็นต้น ซึ่งบริษัทฯ มุ่งเน้นการดำเนินงานอย่างรอบด้านและแสวงหามาตรการรองรับที่เพียงพอเหมาะสม ภายใต้มิติเกณฑ์การประเมินความเสี่ยงที่เป็นมาตรฐานเดียวกันทั่วทั้งองค์กร ดังรูป

โดยมีการดำเนินการประเมินและจัดทำทะเบียนความเสี่ยงเป็น 7 ขั้นตอนดังนี้

1. การกำหนดวัตถุประสงค์ขอบเขตการดำเนินการ (Objective Setting)

เป็นการกำหนดวัตถุประสงค์/เป้าหมายเพื่อให้เกิดความชัดเจนต่อขอบเขตการพิจารณาแนวโน้มโอกาส/ความไม่แน่นอนต่างๆ ที่จะส่งผลต่อประสิทธิผลในการดำเนินงาน เพื่อให้การประเมินความเสี่ยงและกำหนดแผนบริหารจัดการความเสี่ยงมีความชัดเจนและมีประสิทธิภาพทั้งด้านการกำกับดูแล การระบุแผนงานและผู้ดูแล ตลอดจนการตรวจติดตามวัดผลการดำเนินงาน โดยวัตถุประสงค์ขอบเขตการพิจารณาความเสี่ยงจะหมายรวมถึงการพิจารณากิจกรรมทางธุรกิจและการประเมินความเสี่ยงต่างๆ ในทุกระดับ อาทิ

  • การประเมินระดับกลยุทธ์ เป้าหมายทางธุรกิจขององค์กร ซึ่งเป็นความเสี่ยงระดับองค์กร
  • การประเมินระดับกิจกรรมทางธุรกิจของหน่วยงานซึ่งเป็นความเสี่ยงระดับหน่วยงาน
  • การประเมินระดับงานเฉพาะกิจหรือโครงการต่างๆ ซึ่งเป็นความเสี่ยงระดับโครงการภายใต้การกำกับโดยหน่วยงานที่เกี่ยวข้อง
  • อื่นๆ เป็นต้น
2. การระบุปัจจัยเสี่ยง (Risk Identification)

เป็นการระบุความเสี่ยงหรือเหตุการณ์ทั้งหมดที่อาจเกิดขึ้น ซึ่งอาจส่งผลกระทบต่อความสำเร็จ/เป้าหมายที่ตั้งไว้ โดยเหตุการณ์ความไม่แน่นอนดังกล่าว อาจเป็นได้ทั้งเหตุการณ์เชิงบวก (โอกาส) หรือเหตุการณ์เชิงลบ (ความเสี่ยง) ที่อาจเกิดขึ้นได้ ซึ่งบริษัทฯ พิจารณาระบุปัจจัยเสี่ยงผ่าน

  1. การประเมินสถานการณ์ในอนาคตโดยพิจารณาจากการเปลี่ยนแปลงปัจจัยทั้งภายในและภายนอก ครอบคลุมความเสี่ยงที่เกิดขึ้นใหม่ ซึ่งเกี่ยวข้องกับการเปลี่ยนแปลงกิจกรรมทางธุรกิจหรือบริบทที่อาจส่งผลกระทบต่อการบรรลุเป้าหมายขององค์กร เช่น เสถียรภาพของสภาวะเศรษฐกิจการเมืองระหว่างประเทศ เป็นต้น
  2. การประเมินสถานการณ์จากการเปลี่ยนแปลงในการดำเนินธุรกิจปกติที่อาจส่งผลกระทบต่อการดำเนินธุรกิจและ/หรือลักษณะการปฏิบัติงานในปัจจุบัน และอาจส่งผลกระทบต่อเป้าหมายธุรกิจของบริษัทฯได้ โดยการระบุปัจจัยเสี่ยงสามารถดำเนินการได้จากแหล่งต่างๆ เช่น โดยบุคลากรในหน่วยงานที่เกี่ยวข้อง หรือผ่านการพิจารณาทบทวน ทวนสอบและข้อเสนอแนะจากคณะกรรมการและผู้บริหารเพื่อบริหารจัดการความเสี่ยงตามขั้นตอนต่อไป

ภายใต้กรอบนโยบายการบริหารความเสี่ยงบริษัทฯ การระบุปัจจัยความเสี่ยงจะดำเนินการครอบคลุมในทุกมิติ ทั้งด้านการเงินและไม่ใช่ทางการเงิน ด้านกลยุทธ์และการปฏิบัติการ ด้านสิ่งแวดล้อม สังคมและธรรมาภิบาล (ESG) รวมถึงความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk) ตามกลุ่มความเสี่ยงได้แก่

  • ความเสี่ยงเชิงกลยุทธ์ (Strategic Risk) คือความเสี่ยงที่เกิดจากปัจจัยเสี่ยงต่างๆ ที่ส่งผลต่อวัตถุประสงค์ เป้าหมายเชิงกลยุทธ์ หรือความเสี่ยงจากการเลือกใช้กลยุทธ์นั้นๆ ส่งผลให้การดำเนินการเชิงกลยุทธ์ไม่เป็นไปตามวัตถุประสงค์เป้าหมายทางธุรกิจซึ่งกระทบต่อองค์กรและผู้มีส่วนได้ส่วนเสีย มีสาเหตุจากทั้งปัจจัยภายนอกและปัจจัยภายนอก โดยความเสี่ยงเหล่านี้หมายรวมถึงมิติด้านกลยุทธ์ การลงทุนและการขยายธุรกิจ การเปลี่ยนแปลงสภาพภูมิอากาศ ความหลากหลายทางชีวภาพ กฎหมายและกฎระเบียบที่เปลี่ยนแปลง
  • ความเสี่ยงจากการดำเนินธุรกิจ (Business Risk) คือความเสี่ยงที่เกิดจากการดำเนินธุรกิจโดยมีปัจจัยเสี่ยงมาจากความไม่แน่นอนต่างๆ อาทิ ราคาเชื้อเพลิงเพิ่มสูงขึ้น สภาพการแข่งขันทางธุรกิจ พฤติกรรมลูกค้า ราคาสินค้าและสภาพการแข่งขันทางธุรกิจ กฎหมายที่ไม่เอื้อต่อการดำเนินธุรกิจ เป็นต้น
  • ความเสี่ยงทางด้านการเงิน (Financial Risk) คือความเสี่ยงที่จะทำให้การบริหารจัดการทางการเงินมีข้อจำกัดซึ่งอาจส่งผลต่อกลยุทธ์ทางธุรกิจในระยะยาว เช่น การขาดสภาพคล่อง เครดิต การบริหารเงินทุน หรือการจัดการสกุลเงิน เป็นต้น โดยความเสี่ยงทางด้านการเงินอาจมีสาเหตุจากโครงสร้างรายได้และเงินทุน ความผันผวนของอัตราดอกเบี้ย ความผันผวนของอัตราแลกเปลี่ยนเงินตราต่างประเทศ สภาวะเศรษฐกิจ การจัดอันดับเครดิต แผนกลยุทธ์ทางธุรกิจและสถานการณ์ตลาดเงินตลาดทุนในช่วงเวลานั้นๆ
  • ความเสี่ยงด้านการปฏิบัติการ (Operational risk) คือเป็นความเสี่ยงที่จะทำให้เกิดความเสียหายต่อการปฏิบัติงานด้านต่างๆ เช่น เทคโนโลยีและการปฏิบัติการ ทรัพยากรบุคคล การผลิต การซ่อมแซมและบำรุงรักษาเครื่องจักรอุปกรณ์ ความผิดพลาดและความไม่มีประสิทธิภาพในการปฏิบัติงาน การปฏิบัติตามข้อกำหนดกฎหมายและความปลอดภัย การทุจริต สิทธิมนุษยชน เทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์ และห่วงโซ่อุปทาน การบริหารโครงการไม่เป็นไปตามกำหนดเวลา เป็นต้น
  • ความเสี่ยงด้านการลงทุนของผู้ถือหุ้น (Shareholder Investment Risk) คือความเสี่ยงที่จะทำให้ส่วนของผู้ถือหุ้นเปลี่ยนแปลงในทางลบ หรือราคาตลาดของหุ้นหรืออัตราดอกเบี้ยลดลง โดยความเสี่ยงเหล่านี้ได้แก่ ความไม่แน่นอนในการลงทุนของผู้ถือหุ้น ความเสี่ยงด้านเครดิตและราคา เป็นต้น
3. การประเมินและวิเคราะห์ความเสี่ยง (Risk Assessment)

การประเมินและวิเคราะห์ความเสี่ยง บริษัทฯ จะดำเนินการในทุกมิติความเสี่ยงย่อยตามเกณ์การประเมินความเสี่ยง (Risk Criteria) ในมิติหลักได้แก่ ด้านการเงิน ด้านกระบวนการธุรกิจและการปฏิบัติการ ชื่อเสียงองค์กร ด้านลูกค้า ด้านบุคคล ซึ่งเป็นเกณฑ์มาตรฐานที่ใช้ทั่วทั้งองค์กรทั้งการพิจารณาความเสี่ยงระดับองค์กร ความเสี่ยงระดับหน่วยงาน และความเสี่ยงการลงทุนพัฒนาโครงการ/ผลิตภัณฑ์ โดยมีเกณฑ์ในการประเมินความเสี่ยงที่เป็นมาตรฐานกลางขององค์กรดังนี้

  • เกณฑ์การประเมินผลกระทบของความเสี่ยง (Impact) แบ่งเป็นความรุนแรงแบ่งเป็น 4 ระดับ ได้แก่ระดับต่ำ ระดับปานกลาง ระดับสูง และระดับรุนแรง
  • เกณฑ์การประเมินโอกาสเกิด (Likelihood) ซึ่งแบ่งเป็น 4 ระดับ ตั้งแต่
    • โอกาสในการเกิดต่ำ (น้อยกว่าร้อยละ 10 หรือไม่เคยเกิดขึ้นหรือเคยเกิดขึ้น 1 ครั้งใน 5 ปี)
    • โอกาสในการเกิดปานกลาง (ระหว่างร้อยละ >10 ถึง < 20 หรือเคยเกิดขึ้น 1 ครั้งใน 3 ปี)
    • โอกาสในการเกิดสูง (ระหว่างร้อยละ >20 ถึง < 50 หรือเคยเกิดขึ้น 1 ครั้งใน 1 ปี)
    • โอกาสในการเกิดสูงมาก (รุนแรง) (มากกว่าร้อยละ 50 หรือเคยเกิดขึ้นมากกว่า 1 ครั้งใน 1 ปี)

โดยบริษัทฯ นำเสนอผลการประเมิน โดยใช้แผนภาพความเสี่ยง (Risk Matrix) เพื่อจัดลำดับความสำคัญของความเสี่ยง โดย

  • กลุ่มความเสี่ยงที่ได้รับการประเมินระดับรุนแรง (สีแดง) จะถูกจัดอยู่ในประเภทความเสี่ยงที่ต้องได้รับการบริหารจัดการดูแลอย่างเร่งด่วนในทันทีเพื่อลดผลกระทบที่อาจเกิดขึ้น โดยต้องมีการติดตามการดำเนินงานและทบทวนอย่างน้อยทุกรายไตรมาส
  • กลุ่มความเสี่ยงที่ได้รับการประเมินอยู่ในระดับสูง (สีส้ม) จะถูกจัดอยู่ในประเภทความเสี่ยงที่ต้องมีการจัดการเชิงรุกและต้องได้รับการบริหารจัดการดูแลเพื่อลดผลกระทบที่อาจเกิดขึ้น โดยต้องมีการติดตามการดำเนินงานและทบทวนอย่างน้อยทุกรายไตรมาส
  • กลุ่มความเสี่ยงที่ได้รับการประเมินระดับปานกลาง (สีเหลือง) จะถูกจัดอยู่ในประเภทความเสี่ยงที่ยอมรับได้ โดยต้องมีการติดตามตรวจสอบเพื่อป้องกันการยกระดับผลกระทบขึ้น โดยต้องมีการติดตามทบทวนอย่างน้อยปีละหนึ่งครั้ง
  • กลุ่มความเสี่ยงที่ได้รับการประเมินระดับต่ำ (สีเขียว) จะถูกจัดอยู่ในประเภทความเสี่ยงที่ยอมรับได้ที่ไม่จำเป็นต้องมีมาตรการติดตามเพิ่มเติม โดยต้องมีการติดตามทบทวนอย่างน้อยปีละหนึ่งครั้ง
  • ทั้งนี้ มิติความเสี่ยงที่บริษัทฯ ได้วางกรอบไว้ประกอบด้วยความเสี่ยงเชิงกลยุทธ์ ความเสี่ยงจากการดำเนินธุรกิจ ความเสี่ยงด้านปฏิบัติการ และความเสี่ยงด้านการเงิน โดยระดับในการบริหารจัดการความเสี่ยง

บริษัทฯ ได้แบ่งระดับการบริหาร กำกับดูแลออกเป็น 2 ระดับได้แก่

  • ระดับองค์กร (Corporate Level): พิจารณาจากผลกระทบหรือความเสียหายที่มีนัยสำคัญ ซึ่งอาจส่งผลให้บริษัทฯ ไม่สามารถบรรลุวัตถุประสงค์ กลยุทธ์ และแผนธุรกิจขององค์กรตามที่กำหนดไว้ได้
  • ระดับหน่วยงาน (Functional Level): พิจารณาจากผลกระทบหรือความเสียหายที่อาจส่งผลให้หน่วยงานไม่สามารถบรรลุวัตถุประสงค์ตามหน้าที่ความรับผิดชอบได้

4. การตอบสนองความเสี่ยง (Risk Response)

บริษัทฯ คำนึงการจัดการที่เหมาะสมเพื่อให้เกิดความมั่นใจว่าความเสี่ยงอยู่ในระดับที่บริษัทฯ ยอมรับได้ โดยกำหนดให้มีการระบุกรอบเวลาในการดำเนินการจัดการความเสี่ยงเพื่อลดโอกาสและผลกระทบที่จะเกิดเหตุการณ์ความเสี่ยง ตลอดจนมีการกำหนดผู้รับผิดชอบการดำเนินการ (Risk Owner) เพื่อจัดทำแผนการจัดการความเสี่ยง (Mitigation Plan)

สำหรับความเสี่ยงระดับคงเหลือภายหลังการควบคุม (Residual Risk) ที่ยังคงอยู่ในระดับสูง – รุนแรง จะต้องมีแสวงหาแนวทางตอบสนองต่อความเสี่ยง โดยคัดเลือกและกำหนดแผนบริหารจัดการ (Mitigation) เพื่อลดทอนระดับความรุนแรงของความเสี่ยงนั้นๆ ให้อยู่ในระดับที่ยอมรับได้

ทั้งนี้ สำหรับรูปแบบการตอบสนองต่อความเสี่ยง สามารถแบ่งออก 4 รูปแบบ ได้แก่

  1. การยอมรับ (Take/Accept/Pursue): ไม่มีการดำเนินการใดๆ เพิ่มเติม เนื่องจากความเสี่ยงที่เหลืออยู่ (Residual Risk) อยู่ในระดับต่ำที่ยอมรับได้ หรือต้องการยอมรับความเสี่ยงจากการดำเนินการใดๆ
  2. การลด (Treat/Reduce): การดำเนินการใดๆ เพิ่มเติม เพื่อลดโอกาสหรือผลกระทบความรุนแรงของความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
  3. การแบ่งปัน (Transfer/Share): การโอนย้ายหรือกระจายความเสี่ยงบางส่วนไปยังบุคคล/หน่วยงานอื่น เพื่อลดทอนความรุนแรง
  4. การหลีกเลี่ยง (Terminate/Avoid): การดำเนินการเพื่อยกเลิกหรือหลีกเลี่ยงกิจกรรมที่ก่อให้เกิดความเสี่ยง

5. การอนุมัติรายการความเสี่ยง (Approval)

หลังจากมีการวิเคราะห์และจัดทำทะเบียนความเสี่ยงแล้ว การตรวจสอบความครบถ้วนสมบูรณ์ที่มีต่อ แผน/แนวทางบริหารจัดการและการพิจารณาอนุมัติการดำเนินงาน ตลอดจนการปิดความเสี่ยงเป็นขั้นตอนที่สำคัญต่อความสมบูรณ์ของกระบวนการบริหารจัดการดังกล่าว โดยบริษัทฯ แบ่งความเสี่ยงเป็น 2 ระดับได้แก่

  • ความเสี่ยงระดับองค์กร (Corporate Risk): จะมีการจัดทำโดยส่วนบริหารความเสี่ยงองค์กรร่วมกับหน่วยงานที่เกี่ยวข้อง และนำเสนอเพื่อพิจารณาให้ความเห็นต่อคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (RMCC) และคณะกรรมการบริหารความเสี่ยง(RMC) ก่อนนำเสนอขออนุมัติต่อคณะกรรมการบริษัทฯ ต่อไป
  • ความเสี่ยงระดับหน่วยงาน (Functional Risk): จะมีการจัดทำโดยหน่วยงานเจ้าของความเสี่ยงร่วมกับหน่วยงานที่เกี่ยวข้อง และนำเสนอขออนุมัติต่อผู้จัดการฝ่ายอาวุโสตามฝ่ายงานต่อไป

6. การติดตาม ทบทวน ประเมินและรายงานผลการบริหารความเสี่ยง (Monitoring, Review & Reporting)

ภายใต้นโยบายบริหารความเสี่ยงบริษัทฯ กฎบัตรคณะกรรมการบริหารความเสี่ยง และแนวปฏิบัติตามคำสั่งแต่งตั้งและมอบหมายหน้าที่คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (RMCC) บริษัทฯ จัดให้มีการดำเนินการการติดตาม ทบทวน ประเมินและรายงานผลการบริหารความเสี่ยงอย่างต่อเนื่อง เพื่อให้มั่นใจว่าในทุกรายการความเสี่ยงจะยังคงสามารถตอบสนองต่อสถานการณ์ เหตุการณ์ และสภาพการดำเนินงานในปัจจุบันและอนาคตที่อาจเกิดขึ้นได้อย่างทันท่วงที โดยมีการดำเนินการ ดังนี้

  1. การติดตาม ทบทวนและรายงานรายการความเสี่ยง บริษัทฯ กำหนดให้มีผู้รับผิดชอบที่ชัดเจนในการติดตามทบทวน ทวนสอบ และรายงานรายการความเสี่ยง ดังนี้
    • กำหนดให้คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (RMCC) ระดับจัดการ ดำเนินการติดตามประเด็นความเสี่ยงระดับหน่วยงานและระดับองค์กร ตลอดจนความเสี่ยงที่เกิดขึ้นใหม่อย่างต่อเนื่อง และนำผลการติดตามความเสี่ยงระดับองค์กรและความเสี่ยงที่เกิดขึ้นใหม่ที่มีนัยสำคัญต่อธุรกิจบริษัทฯ เสนอต่อคณะกรรมการบริหารความเสี่ยง (RMC) เพื่อติดตามความก้าวหน้าในการบริหารจัดการอย่างต่อเนื่องเพื่อเป็นการบริหารความเสี่ยงองค์รวม (Portforlio View of Risk)
    • บริษัทฯ กำหนดให้มีผู้แทนด้านการประเมินความเสี่ยงระดับหน่วยงาน (Risk Agent) เป็นศูนย์กลางของแต่ละกลุ่มงานในการระบุปัจจัยเสี่ยงและประเมินความเสี่ยงผ่านการใช้ทะเบียนความเสี่ยง (Risk Register) โดยส่วนบริหารความเสี่ยงจะนำผลการดำเนินงานมารายงานต่อคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (RMCC) ซึ่งเป็นระดับจัดการเพื่อติดตามความก้าวหน้าในการบริหารจัดการอย่างต่อเนื่อง
  2. การวิเคราะห์ความอ่อนไหว (Sensitivity Analysis) และทดสอบภาวะวิกฤติ (Stress Test)

    บริษัทฯ ตระหนักถึงความท้าทายทางธุรกิจที่เกิดขึ้นทั้งที่เกิดขึ้นแล้วและอาจเกิดขึ้นในอนาคต การนี้จึงให้ความสำคัญต่อการบริหารความไม่แน่นอนและผลกระทบดังกล่าวโดยให้มีการวิเคราะห์ความอ่อนไหว (Sensitivity Analysis) และทดสอบภาวะวิกฤติ (Stress Test) เพื่อพยากรณ์ผลกระทบดังกล่าว ทั้งในช่วงเวลาการจัดทำแผนธุรกิจประจำปี เพื่อตอบโจทย์ภาพบริหารจัดการเชิงกลยุทธ์ประกอบกับการจัดทำทะเบียนความเสี่ยงองค์กรทั้งระยะสั้นและระยะปานกลาง ซึ่งจะสามารถสร้างความมั่นใจว่าบริษัทฯ จะสามารถเผชิญเหตุการณ์กรณีเลวร้ายและมีแนวทางลดผลกระทบที่ชัดเจน และทั้งในช่วงระหว่างปีทีบริษัทฯ ยังคงจัดให้มีการทวนสอบการวิเคราะห์และประเมินผลดังกล่าวหากมีสถานการณ์เปลี่ยนแปลงไปหรือเกิดสถานการณ์ใหม่ขึ้นตลอดการดำเนินงาน เพื่อเตรียมพร้อมรับมือต่อผลกระทบและแสวงหาแผนการบรรเทาหรือโอกาสจากการเปลี่ยนแปลงที่อาจมีต่อวัตถุประสงค์ทางธุรกิจ ประสิทธิภาพ และทิศทางเชิงกลยุทธ์ โดยการดำเนินการจะถูกผนวกเข้าเป็นส่วนหนึ่งของกิจกรรมการติดตามและทบทวนการประเมินความเสี่ยงที่ดำเนินการอยู่เป็นรายไตรมาสหรือในกรณีเกิดเหตุการณ์เกิดใหม่ (Emerging Issues) อาทิ สถานการณ์ราคาพลังงานที่ผันผวนและนโยบายการตรึงค่า Ft ซึ่งทำให้โครงสร้างต้นทุนและรายได้ไม่สอดคล้องกันย่อมส่งผลปัจจัยด้านการเงินและผลประกอบการ สถานการณ์ด้านภูมิรัฐศาสตร์และภูมิเศรษฐศาสตร์ที่มีการขัดแย้งในวงกว้างผนวกกับปัจจัยด้านเสถียรภาพทางเศรษฐกิจ ตลาดเงิน ตลาดทุนในระดับสากล ซึ่งนอกจากจะส่งผลกระทบด้านการเงินและผลประกอบการแล้ว ยังส่งผลต่อพันธกิจเป้าหมายการเติบโต การขยายการลงทุนตามแผนกลยุทธ์อย่างหลีกเลี่ยงไม่ได้ โดยหนึ่งในเครื่องมือที่บริษัทฯ นำมาใช้ในการประเมินความรุนแรงของผลกระทบเพื่อวางแผนการป้องกันแก้ไขที่สอดคล้องกับระดับความเสี่ยงคือการวิเคราะห์ความอ่อนไหว (Sensitivity Analysis) และทดสอบภาวะวิกฤติ (Stress Test)

    บริษัทฯ ให้ความสำคัญต่อการทบทวนและการปรับแผนการบริหารจัดการความเสี่ยงที่สอดคล้องกับสถานการณ์อยู่เป็นประจำ โดยมีเป้าหมายในการบริหารจัดการความเสี่ยงอย่างบูรณาการเพื่อให้ความเสี่ยงอยู่ในระดับที่ยอมรับได้ โดยนอกจากประเด็นความเสี่ยงระดับองค์กรที่ได้รับการอนุมัติจากคณะกรรมการบริษัทฯ แล้วนั้น หากในระหว่างปีพบว่ามีประเด็นความเสี่ยงที่เกิดขึ้นใหม่ซึ่งอาจส่งผลกระทบต่อบริษัทฯ อย่างมีนัยสำคัญ ฝ่ายจัดการโดยส่วนบริหารความเสี่ยงองค์กรร่วมกับหน่วยงานที่เกี่ยวข้อง จะดำเนินการวิเคราะห์จัดทำข้อมูลประกอบการนำเสนอเพื่อพิจารณาให้ความเห็นต่อคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (RMCC) ก่อนนำเสนอขออนุมัติต่อคณะกรรมการบริหารความเสี่ยง (RMC) เพื่อบรรจุเป็นหนึ่งในรายการความเสี่ยงระดับองค์กรเพิ่มเติมที่ต้องดำเนินการบริหารจัดการอย่างใกล้ชิดร่วมกันต่อไป

7. การสื่อสาร (Communication)

บริษัทฯ ให้ความสำคัญต่อการสื่อสารประเด็นด้านความเสี่ยงแก่ผู้บริหารพนักงานและผู้เกี่ยวข้องทุกภาคส่วน เพื่อสร้างความตระหนักรู้และการมีส่วนร่วมต่อการเฝ้าระวังและผลักดันการป้องกัน/แก้ไขปัญหาที่เกิดและอาจเกิดขึ้น ตามแนวปฏิบัติซึ่งผู้บริหารให้ความสำคัญและผลักดันเสมอมา (Tone at the top) ผ่านรูปแบบการประชุมกลุ่มใหญ่และกลุ่มย่อยในแต่ละกลุ่มงาน การประชาสัมพันธ์ข้อมูลด้านความเสี่ยงผ่านจดหมายอิเล็กทรอนิกส์ ตลอดจนการสอดแทรกในเนื้อหาการอบรมภายในองค์กรซึ่งการดำเนินการทั้งหมดล้วนสอดคล้องกับแนวทางการสร้างวัฒนธรรมการบริหารความเสี่ยงที่บริษัทฯ ได้ผลักดัน นอกจากนี้ บริษัทฯ ยังให้ความสำคัญต่อการสร้างความเข้าใจในการสื่อสารข้อมูลความเสี่ยงสำคัญของบริษัทฯ ต่อผู้มีส่วนได้เสียภายนอกอย่างถูกต้องและทันเวลาในสถานการณ์ต่างๆ

โดยภาพรวมการบริหารความเสี่ยงและความเชื่อมโยงการบริหารความเสี่ยงบริษัทฯ สามารถแสดงดังแผนภาพ

8. Risk Audit

เพื่อสร้างความมั่นใจในระบบการบริหารความเสี่ยงซึ่งเป็นหนึ่งในระบบที่ช่วยสนับสนุนความสำเร็จตามพันธกิจและเป้าหมายการดำเนินธุรกิจขององค์กร การตรวจสอบประสิทธิภาพและการดำเนินการของระบบตามแนวทางสากลจึงเป็นสิ่งที่บริษัทฯคำนึงและให้ความสำคัญโดยแนวทางการตรวจสอบระบบบริหารความเสี่ยงที่บริษัทฯใช้อยู่ในปัจจุบันได้แก่

  • การตรวจสอบโดยหน่วยงานภายในองค์กร (Internal Audit)
    • โดยคณะกรรมการตรวจสอบของบริษัทฯ (Audit Committee: AC) ซึ่งจะทำหน้าที่ภายใต้กฎบัตรคณะกรรมการตรวจสอบในการสอบทานให้บริษัทฯ มีระบบบริหารความเสี่ยงและระบบการควบคุมภายในที่เหมาะสมและมีประสิทธิผล โดยหน่วยงานที่รับผิดชอบกำกับดูแลและบริหารภาพรวมระบบบริหารความเสี่ยงบริษัทฯ จะนำเสนอกรอบและแนวทางการบริหารความเสี่ยงประจำปีเพื่อให้คณะกรรมการพิจารณาอย่างน้อยปีละหนึ่งครั้ง
  • การตรวจสอบโดยหน่วยงานภายนอกองค์กร (External Audit) เป็นการดำเนินการโดยผู้ตรวจสอบภายนอกองค์กรเพื่อการรับรองมาตรฐานตามหลักสากลและแนวปฏิบัติในทุกปีเช่น การขอรับรองมาตรฐานระบบบริหารงานคุณภาพ (ISO 9001: 2015) มาตรฐานระบบการจัดการสิ่งแวดล้อม (ISO 14001: 2015) มาตรฐานระบบการจัดการอาชีวอนามัยและความปลอดภัย (ISO 45001: 2018) ระบบการจัดการแบบบูรณาการ (IMS) R-100 Rev.4 ระบบมาตรฐานการบริหารความต่อเนื่องทางธุรกิจ (ISO 22301: 2019) ระบบมาตรฐานการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISO 27001: 2013) เป็นต้น ซึ่งมิติการบริหารความเสี่ยงเป็นหนึ่งในประเด็นสำคัญในการพิจารณารับรองตั้งแต่การพิจารณากลยุทธ์องค์กรจนสู่การปฏิบัติและประสิทธิภาพการดำเนินงานตลอดจนความพร้อมสนองตอบต่อความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk) ซึ่งบริษัทฯ ได้รับการรับรองในทุกพื้นที่
    • จากบมจ.ปตท ซึ่งเป็นผู้ถือหุ้นใหญ่บริษัทฯและเป็นรัฐวิสาหกิจ โดยจัดให้มีการสอบทานความสอดคล้องระบบการบริหารความเสี่ยงโดยรวมของบริษัทฯ ตามแนวทางการกำกับดูแลบริษัทในกลุ่มปตท. (PTT Group Way of Conduct) ตั้งแต่ด้านนโยบายบริหารความเสี่ยง การกำกับดูแลไปจนถึงการนำไปปฏิบัติ เป็นประจำทุกปีตามหลักการ Enterprise Risk Management: Integrating with Strategy and Performance (COSO ERM 2017) โดย Committee of Sponsoring of the Treadway Commission (COSO) ซึ่งเป็นหลักการสากล รวมถึงหลักการและแนวปฏิบัติเกี่ยวกับการกำกับดูแลกิจการสำหรับรัฐวิสาหกิจ พ.ศ. 2562 โดยสำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.)

สหสัมพันธ์ของความเสี่ยง

ประเด็นด้านความเสี่ยงที่จัดอยู่ในกลุ่มที่ส่งผลกระทบมากที่สุดต่อการดำเนินของบริษัทฯ คือ ประสิทธิภาพของการลงทุน ศักยภาพขององค์กร การปฏิบัติตามกฎระเบียบ ความมั่นคงของโรงไฟฟ้า และการดำเนินโครงการ ความสัมพันธ์กันของความเสี่ยงมีนัยสำคัญต่อการบริหารจัดการความเสี่ยงของบริษัทฯ เนื่องจากความสัมพันธ์กันของความเสี่ยงจะก่อให้เกิดผลกระทบแบบลูกโซ่ ซึ่งอาจทำให้ระดับของความเสี่ยงสูงขึ้นหรือลดลงตามความสัมพันธ์ของกันและกัน

ผังการวิเคราะห์สหสัมพันธ์ความเสี่ยงประจำปี

ความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk)

บริษัทฯ รับรู้และตระหนักถึงความเสี่ยงที่เกิดขึ้นใหม่ ทั้งในระยะสั้น ระยะปานกลาง และระยะยาวซึ่งอาจส่งผลกระทบต่อบริษัทฯ ทั้งด้านความเสี่ยงและโอกาสที่จะเกิดขึ้นจากการบริหารความเสี่ยงนั้นๆ เหตุนี้บริษัทฯ จึงได้ระบุความเสี่ยงใหม่ที่อาจเกิดขึ้น ซึ่งจะส่งผลต่อกลยุทธ์และเป้าหมายทางธุรกิจของบริษัทฯ ในการก่อเกิดความสูญเสียโอกาสหากไม่ได้รับการบริหารจัดการอย่างเหมาะสม ดังนั้นบริษัทฯ จึงได้มีการประเมินมิติความเสี่ยงที่เกิดขึ้นใหม่ วิเคราะห์ผลกระทบที่อาจเกิดขึ้น รวมทั้งกำหนดแนวทางดำเนินการบรรเทาผลกระทบเพื่อจัดการความเสี่ยงเหล่านั้นอย่างมีประสิทธิภาพ

ความเสี่ยงใหม่ที่เกิดขึ้น ระดับความเสี่ยง กรอบ เวลา คำอธิบายของความเสี่ยง ผลกระทบทางธุรกิจที่อาจเกิดขึ้นจากความเสี่ยง แนวทางการบรรเทา
1. ความเสี่ยงจากการชะลอตัวทางเศรษฐกิจ ความขัดแย้งด้านภูมิรัฐศาสตร์และภาวะสงคราม (Economic Recession, Geopolitical and War Risk) สูง พ.ศ. 2568 สถานการณ์ความขัดแย้งทางสงครามและการเมือง การชะลอตัวทางเศรษฐกิจ ความผันผวนในตลาดเงินตลาดทุนและภาคการผลิตการบริโภคจากสภาวะเศรษฐกิจที่อ่อนไหว ส่งผลให้เกิดข้อจำกัด เงื่อนไขทางธุรกิจการดำเนินงานและผลประกอบการของบริษัทฯและกลุ่มบริษัท GPSC
  • ผลกระทบจากการปรับตัวเพิ่มขึ้นของราคาเชื้อเพลิงพลังงาน ส่งผลให้บริษัทฯ ได้รับผลกระทบต่อผลประกอบการที่ไม่เป็นไปตามเป้าหมายแผนงาน
  • ผลกระทบจากการชะลอตัวทางเศรษฐกิจ กฎระเบียบทางการค้าส่งผลต่ออุปสงค์ที่มีต่อลูกค้าอุตสาหกรรมที่ลดลง เป็นผลให้ปริมาณความต้องการผลิตภัณฑ์ของบริษัทฯ ลดลงเช่นกัน
  • ผลกระทบจากการบริหารนโยบายการเงินการคลังภายใต้สภาวะการควบคุมอัตราเงินเฟ้อ และการตรึงตัวของสภาวะเศรษฐกิจในระดับนานาชาติ ส่งผลต่อต้นทุนทางการเงินและค่าใช้จ่ายของบริษัทฯ
  • ความเสี่ยงด้านภูมิรัฐศาสตร์ โดยเป็นความขัดแย้งในระดับภูมิภาคและระดับประเทศ ซึ่งเป็นอุปสรรคต่อการดำเนินงานภายใต้กลยุทธ์การขยายการเติบโตของบริษัทฯ
  • บริหารผลกระทบที่เกิดขึ้นต่อผลประกอบการผ่านสูตรราคาเชื้อเพลิงที่ใช้อ้างอิงในการผลิตและจำหน่ายไฟฟ้าตามสัญญาจำหน่ายไฟฟ้า อีกทั้งดำเนินการการบูรณาการการผลิตและการส่งจำหน่าย (Plant Optimization) ตลอดจน การปรับปรุงประสิทธิภาพการผลิตและจำหน่ายและมีการประสานงานกับหน่วยงานภายนอกที่เกี่ยวข้อง
  • ประสานความร่วมมือระหว่างลูกค้า/คู่ค้าเพื่อรักษาความมั่นคงด้านการผลิตและจัดส่งไฟฟ้า
  • บริหารจัดการและดำเนินการบริหารความเสี่ยงผ่านคณะกรรมการบริหารความเสี่ยงด้านราคาวัตถุดิบผลิตภัณฑ์ และด้านการเงิน (Hedging Committee) ตลอดจนมีการติดตามสถานการณ์อัตราดอกเบี้ยและต้นทุนทางการเงินเพื่อหาเครื่องมือทางด้านการเงินที่เหมาะสม
  • บริหารความเสี่ยงและผลกระทบที่เกิดขึ้นตั้งแต่การพิจารณาคัดเลือกโครงการลงทุน ซึ่งจะมีการประเมินผลที่อาจเกิดขึ้นทั้งในระยะสั้นและระยะยาว ตลอดจนการสร้างพันธมิตรทางธุรกิจในพื้นที่ การศึกษาและติดตามสภาพแวดล้อมทางธุรกิจในเชิงลึกผ่านการมีบุคลากรของบริษัทฯ ในพื้นที่และการพิจารณา Exit Strategy ในสถานการณ์ที่เหมาะสม
2. ความเสี่ยงจากนโยบายบริหารจัดการราคาพลังงาน (Power and Energy Interfere Risk) สูง พ.ศ. 2567

นโยบายรัฐบาลด้านการตรึงราคาไฟฟ้าเพื่อบรรเทาภาระการดำรงชีพของภาคการบริโภค เป็นเหตุผู้ผลิตไฟฟ้าและบริษัทฯ ได้รับผลกระทบต่อผลประกอบการจากความไม่สอดคล้องของราคาเชื้อเพลิงพลังงานและราคาค่าไฟฟ้า
  • ผลกระทบจากการตรึงราคาไฟฟ้าตามนโยบายของภาครัฐที่มิได้สะท้อนสภาพต้นทุนที่แท้จริงส่งผลให้บริษัทฯ ได้รับผลกระทบต่อผลประกอบการที่ไม่เป็นไปตามเป้าหมายแผนงาน
  • แสวงหาแนวทางที่จะลดค่าใช้จ่ายที่มาจากต้นทุนการผลิตในภาพรวม ควบคู่กับการรักษาและปรับปรุงประสิทธิภาพและเสถียรภาพการผลิตอย่างเหมาะสม
  • การบูรณาการการผลิตและการส่งจำหน่ายในภาพรวม (Plant Optimization)
3. ความเสี่ยงจากกฎระเบียบการลดการปลดปล่อยก๊าซเรือนกระจก (Climate Regulation and Climate Action Risk) ปานกลาง พ.ศ. 2573 จากการที่นานาชาติรวมถึงประเทศไทยแสดงเจตจำนงแก้ปัญหาการลดการปลดปล่อยก๊าซเรือนกระจก โดยประเทศไทยกำหนดการลดการปลดปล่อยก๊าซเรือนกระจกร้อยละ 40 ภายในปี 2573 จึงเป็นเงื่อนไขที่ส่งผลต่อการดำเนินการผลิตและธุรกิจปัจจุบันของบริษัทฯ ที่จะต้องแสวงหาแนวทางลดการปลดปล่อยก๊าซเรือนกระจกตามเป้าหมายภายใต้การบริหารจัดการการผลิตจากเชื้อเพลิงฟอสซิลที่มีเสถียรภาพและยังจำเป็นต่อการผลิตไฟฟ้าไอน้ำเพื่อสนับสนุนการใช้งานของภาคอุตสาหกรรม รวมถึงการบริหารการเงินและต้นทุนทางการเงินจากนโยบายที่สนับสนุนการลงทุนในธุรกิจที่มาจากเชื้อเพลิงสะอาด ควบคู่กับการรักษาผลประกอบการเพื่อสนองตอบต่อผู้ถือหุ้นและผู้มีส่วนได้เสีย
  • มาตรการกีดกันการค้าทางภาษีและค่าใช้จ่ายส่วนเพิ่มในผลิตภัณฑ์ที่มีการปลดปล่อยก๊าซเรือนกระจกที่สูงกว่าค่าที่กำหนด ทั้งในส่วนของลูกค้า ซึ่งส่งผลทำให้อาจเกิดการลดปริมาณการรับซื้อผลิตภัณฑ์ และบริษัทฯ ที่ได้รับผลจากการที่ต้องมีค่าใช้จ่ายที่เพิ่มสูงขึ้น
  • เร่งการเพิ่มประสิทธิภาพการผลิต การใช้เชื้อเพลิงพลังงาน การขยายการลงทุนพลังงานทดแทน การพัฒนารูปแบบธุรกิจใหม่ในการจัดหาพลังงานสะอาดและใบรับรองการปลดปล่อยพลังงานสะอาด
  • ศึกษาพัฒนาเทคโนโลยีการใช้พลังงานรูปแบบใหม่ที่มีการปลดปล่อยก๊าซเรือนกระจกต่ำ
  • ศึกษาการนำเทคโนโลยีในการดักจับและกักเก็บก๊าซคาร์บอนไดออกไซด์
4.ความเสี่ยงจากการบริหารการผลิตและการเชื่อมโยงระบบส่งไฟฟ้าของการไฟฟ้า (Power and Steam Production and Synchronization Risk) สูง พ.ศ. 2571 ปัจจุบัน กฟผ. อยู่ระหว่างปรับปรุงระบบส่งไฟฟ้าในพื้นที่จังหวัดระยองและภาคตะวันออกเพื่อแก้ปัญหากําลังไฟฟ้าลัดวงจร (Fault Level) ที่สูงกว่าค่ากำหนด ส่งผลให้ให้เครื่องกำเนิดไฟฟ้าทุกเครื่องของบริษัทฯ ที่เกิดขึ้นใหม่และที่หมดสัญญาผลิตจำหน่ายไฟฟ้าแก่ กฟผ. (SPP Replacement) ไม่ได้รับอนุญาตให้เชื่อมโยงกับระบบส่งไฟฟ้าของ กฟผ.
  • บริษัทฯ มีข้อจำกัดด้านการบริหารการผลิตและการเดินเครื่องในบางช่วงเวลา
  • ต้นทุนการผลิตและจำหน่ายผลิตภัณฑ์เพิ่มสูงขึ้นในขณะที่รายได้คงเดิมตามสัญญาขายผลิตภัณฑ์
  • วิเคราะห์และประสานการศึกษาทางเทคนิคร่วมกับ กฟผ. ในการแก้ปัญหาการเชื่อมโยง
  • บริหารการซ่อมบำรุงเพื่อเพิ่มประสิทธิภาพการผลิตและจัดจำหน่ายและลดช่วงเวลาการหยุดเครื่องกำเนิดไฟฟ้า
  • บริหารการเดินเครื่องและการหยุดซ่อมบำรุงควบคู่กับการวางแผนรับซื้อพลังงานร่วมกับลูกค้า
  • บริหารประสิทธิภาพการผลิต (Plant Optimization) เพื่อบริหารการผลิตภาพรวม
  • วางแผนร่วมกับ กฟผ. ในการจัดหาไฟฟ้าส่วนเพิ่มในช่วงเวลาซ่อมบำรุงเครื่องกำเนิดไฟฟ้า
5. การเปลี่ยนแปลงนวัตรกรรมเทคโนโลยี (Disruptive Technology Risk) สูง พ.ศ. 2570 ด้วยการเปลี่ยนแปลงพฤติกรรมการบริโภคพลังงานของลูกค้าและผู้บริโภค การเปลี่ยนผ่านทางพลังงาน (Energy Transition) ที่ได้รับอิทธิพลจากกระแสการพัฒนาที่ยั่งยืน (Sustainability) และผลกระทบจากกฎหมายกฎระเบียบด้านการลดการปลดปล่อยก๊าซเรือนกระจก ทำให้บริษัทฯ เผชิญต่อความเปลี่ยนแปลงรูปแบบในการดำเนินธุรกิจอย่างไม่สามารถหลีกเลี่ยงได้ และอาจส่งผลกระทบต่อความสามารถในการแข่งขันของบริษัทฯ กับคู่แข่งรายอื่นๆ ในตลาดพลังงาน
  • ลดความสามารถในการแข่งขันหากบริษัทฯ ไม่สามารถปรับตัวให้เข้ากับการเปลี่ยนแปลงทางเทคโนโลยีได้
  • สูญเสียชื่อเสียงของบริษัทฯ ความน่าเชื่อถือและความไว้วางใจจากผู้มีส่วนได้เสีย
  • สูญเสียโอกาสทางธุรกิจ ส่วนแบ่งการตลาด และรายได้
  • เข้าลงทุนพัฒนาธุรกิจรูปแบบใหม่ (New S-Curve)เพื่อรองรับต่อการขยายธุรกิจในระยะยาวทั้งด้านธุรกิจแบตเตอรี่ การกักเก็บพลังงานและธุรกิจเกี่ยวเนื่องอื่นๆ
  • พัฒนารูปแบบการบูรณาการการบริหารจัดการการใช้พลังงาน (Energy Management System: EMS) เพื่อตอบสนองต่อรูปแบบการบริหารประสิทธิภาพการใช้พลังงานทั้งในลักษณะ Micro Grid / Smart Grid และสามารถบูรณาการกับธุรกิจในปัจจุบันของบริษัทฯ ได้
  • วางแผนปรับตัวเพื่อรองรับต่อตลาดการซื้อขายไฟฟ้ารูปแบบใหม่ (Energy Trade)และพัฒนาแพลตฟอร์มการค้าพลังงานใหม่อย่างต่อเนื่องเพื่อรับมือกับพฤติกรรมใหม่ของผู้ใช้พร้อมลดผลกระทบต่อการดำเนินการผลิตและจำหน่ายไฟฟ้าในปัจจุบันและอนาคตอย่างต่อเนื่อง
  • ศึกษาและพัฒนาเทคโนโลยีด้านการกักเก็บก๊าซคาร์บอนไดออกไซด์ (Carbon Capture Utilization and Storage: CCUS) และธุรกิจรูปแบบใหม่ เช่น ไฮโดรเจน SMR เพื่อเตรียมความพร้อมปรับตัวที่จะรองรับต่อข้อจำกัด/อุปสรรคการปลดปล่อยก๊าซเรือนกระจก อีกทั้งยังสามารถสร้างเป็นโอกาสการดำเนินธุรกิจทางเลือกใหม่ของบริษัทฯ ในอนาคตเพื่อการเติบโตในระยะยาว

การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

GRI 3-3

กลยุทธ์สู่ความสำเร็จ

ด้วยระบบเทคโนโลยีดิจิทัลและสารสนเทศมีความสำคัญเป็นอย่างยิ่งต่อการดำเนินงานทางธุรกิจ ทั้งระบบการผลิตและโครงข่ายปฏิบัติงานที่ต้องเชื่อมโยงกับโครงข่าย และสอดคล้องกับกฎหมายที่เกี่ยวข้อง โดยบริษัทฯ ได้มีแนวทางในการกำกับดูแลความมั่นคงปลอดภัยไซเบอร์อินเทอร์เน็ต ซึ่งอาจนำมาสู่ปัจจัยความเสี่ยงด้านภัยคุกคามทางไซเบอร์ (Cyber Threat) เพื่อให้การดำเนินงานด้านดิจิทัลและสารสนเทศของกลุ่มบริษัท โกลบอล เพาเวอร์ ซินเนอร์ยี่ จำกัด (มหาชน) หรือ จีพีเอสซี เป็นไปอย่างมีประสิทธิภาพ และมีประสิทธิผล มีการกำกับควบคุมความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศ เพื่อการป้องกันภัยคุกคามพร้อมการบริหารจัดการความเสี่ยงด้านไซเบอร์และสารสนเทศให้มีประสิทธิภาพ ตามมาตรฐาน ISO/IEC 27001 มาตรฐาน NIST และสารสนเทศดังนี้

สามารถศึกษาการผลประเมินผลกระทบของประเด็นสำคัญได้ที่ Link

นโยบายความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Policy)
ดาวน์โหลด
/storage/content/sustainability/governance-risk-compliance/risk-crisis-management/information-technology-cybersecurity-measure/20240605-gpsc-information-technology-and-cybersecurity-governance-en.png
คลิกเพื่อดูภาพขนาดใหญ่

บริษัทฯ มีโครงสร้างการกำกับดูแลด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและไซเบอร์ดังนี้

คณะกรรมการบริษัท (BOARD OF DIRECTORS : BOD)

คณะกรรมการบริษัท (Board of Director: BOD) มีบทบาทหน้าที่ในการทบทวน ให้ความเห็นชอบกลยุทธ์และนโยบายที่สำคัญ รวมถึงวัตถุประสงค์ แผนงานและเป้าหมายทางการเงินของบริษัทฯ รวมถึงกำกับดูแลและติดตามให้ฝ่ายบริหารมีการปฏิบัติตามแผนงานที่กำหนดไว้ตามทิศทางและกลยุทธ์องค์กรอย่างสม่ำเสมอ พร้อมทั้งพิจารณาถึงปัจจัยเสี่ยงสำคัญที่อาจเกิดขึ้นและกำหนดแนวทางการบริหารจัดการความเสี่ยงอย่างครอบคลุมและครบถ้วน ดูแลให้ผู้บริหารดำเนินการบริหารความเสี่ยงในทุกด้านอย่างมีระบบ อีกทั้งจัดให้มีการควบคุมภายในที่มีประสิทธิผลอย่างเพียงพอ และมีการประเมินความเหมาะสมของระบบการควบคุมภายในของบริษัทฯ อย่างสม่ำเสมอ

คณะกรรมการบริหารความเสี่ยง (RISK MANAGEMENT COMMITTEE : RMC)

คณะกรรมการบริหารความเสี่ยง (Risk Management Committee: RMC) ได้รับการแต่งตั้งและมอบหมายอำนาจ หน้าที่ ความรับผิดชอบตามกฎบัตรคณะกรรมการบริหารความเสี่ยงจากคณะกรรมการบริษัทฯ โดยมีบทบาทหน้าที่ในการกำหนด และทบทวนนโยบาย กรอบการบริหารความเสี่ยงองค์กร พร้อมทั้งกำกับดูแลและสนับสนุน ให้มีการดำเนินงานด้านการบริหารความเสี่ยงองค์กร รวมถึงความเสี่ยงจากสภาวการณ์ที่เปลี่ยนแปลงไปในทุกมิติที่ครอบคลุมความเสี่ยงด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยไซเบอร์ ตลอดจนให้ข้อคิดเห็นและคำแนะนำในการดำเนินงานบริหารความเสี่ยง ต่อคณะกรรมการบริหารความเสี่ยงและควบคุมภายในระดับจัดการ (Risk Management and Internal Control Committee: RMCC) คณะกรรมการจัดการ (Management Committee: MC) และฝ่ายจัดการ เพื่อให้มั่นใจถึงประสิทธิภาพมาตรการการบริหารจัดการความเสี่ยงในอันที่จะป้องกันภัยคุกคามที่อาจก่อให้เกิดผลกระทบต่อองค์กรได้อย่างทันท่วงที ทั้งนี้จะมีการรายงานประสิทธิภาพการกำกับดูแลและผลการดำเนินงานบริหารความเสี่ยงต่อคณะกรรมการบริษัทฯ

คณะกรรมการตรวจสอบ (AUDIT COMMITTEE: AC)

คณะกรรมการตรวจสอบ (Audit Committee: AC) มีบทบาทหน้าที่สอบทานเพื่อให้บริษัทฯ มีระบบการตรวจสอบภายใน ระบบควบคุมภายในและระบบบริหารความเสี่ยงที่เหมาะสมและมีประสิทธิผล ตลอดจนให้คำแนะนำต่อฝ่ายจัดการในการปรับปรุงกระบวนการทำงานหรือระบบงานเพื่อลดความเสี่ยงในเรื่องต่างๆ เพื่อให้มีระบบการทำงานที่มีประสิทธิภาพ

คณะกรรมการจัดการ (MANAGEMENT COMMITTEE: MC)

คณะกรรมการจัดการ (Management Committee: MC) มีหน้าที่ในการกำกับดูแล ผลักดันการดำเนินธุรกิจตามเป้าหมายกลยุทธ์ ตลอดจนบริหารจัดการ ปัญหาอุปสรรคและปัจจัยเสี่ยงต่างๆในอันที่จะมีผลกระทบต่อการดำเนินธุรกิจรวมถึงการให้ข้อมูล ข้อเสนอแนะต่อประธานเจ้าหน้าที่บริหารและกรรมการผู้จัดการใหญ่ ในการตัดสินใจในประเด็นที่สำคัญต่อการดำเนินธุรกิจ แผนการดำเนินงาน รวมทั้งบริหารจัดการให้เกิดระบบการทำงานของกลุ่มบริษัทฯ ให้เป็นไปในทิศทางเดียวกัน ตลอดจนพิจารณากลั่นกรองการบริหารความเสี่ยงในการดำเนินธุรกิจของกลุ่มบริษัทฯ โดยจะรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยง และผลการดำเนินธุรกิจต่อคณะกรรมการบริษัทฯ

คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (RISK MANAGEMENT AND INTERNAL CONTROL COMMITTEE: RMCC)

คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (Risk Management and Internal Control Committee: RMCC) มีหน้าที่กำกับดูแลการบริหารความเสี่ยง ซึ่งหมายรวมถึงการควบคุมภายในขององค์กรอย่างเพียงพอเหมาะสม โดยให้ครอบคลุมความเสี่ยงทุกด้าน รวมถึงความเสี่ยงด้านสิ่งแวดล้อม สังคม และการกำกับดูแล (ESG Risk) เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลในการบรรลุเป้าหมายองค์กร โดยผลักดันการดำเนินงานตามนโยบายและกรอบการบริหารความเสี่ยงของกลุ่มบริษัทฯ พร้อมทั้งกำกับดูแลการดำเนินงานบริหารความเสี่ยงระดับองค์กร (Corporate Risk) และความเสี่ยงระดับหน่วยงาน (Functional Risk) รวมถึงพิจารณากลั่นกรองแผนบริหารความเสี่ยง ติดตาม และประเมินผลการบริหารความเสี่ยง รวมทั้งให้การสนับสนุนและให้ข้อคิดเห็นต่อคณะกรรมการจัดการคณะต่างๆ ในการบริหารความเสี่ยงตามขอบเขตหน้าที่ของคณะกรรมการ ตลอดจนพัฒนาระบบบริหารความเสี่ยงให้เป็นไปตามมาตรฐานสากล มีประสิทธิภาพและประสิทธิผล รวมทั้งประเมินผลเพื่อสร้างความมั่นใจว่าระบบบริหารความเสี่ยงมีคุณภาพตามมาตรฐานที่กำหนด โดยจะรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยง คณะกรรมการตรวจสอบและคณะกรรมการจัดการ รวมถึงหน่วยงานกำกับดูแลที่เกี่ยวข้อง ทั้งนี้ ในกรณีที่มีปัจจัยหรือเหตุการณ์สำคัญซึ่งอาจมีผลกระทบต่อกลุ่มบริษัทฯ อย่างมีนัยสำคัญ จะมีการดำเนินการรายงานแนวทางและผลการดำเนินงานต่อคณะกรรมการบริหารความเสี่ยง เพื่อทราบและพิจารณาโดยเร็วดอย่างมีประสิทธิภาพ

คณะกรรมการบริหารดิจิทัลและความมั่นคงปลอดภัยไซเบอร์ (DIGITAL AND CYBERSECURITY STEERING COMMITTEE: DCSC)

รองกรรมการผู้จัดการใหญ่บริหารองค์กร เป็นประธานคณะกรรมการ ซึ่งทำหน้าที่บริหารจัดการการเปลี่ยนแปลงและประเมินความเสี่ยงทางด้านดิจิทัลและความมั่นคงปลอดภัยไซเบอร์ จัดวางกลยุทธ์เพื่อให้บรรลุเป้าหมายการดำเนินงาน ตลอดจนผลักดันและกำกับดูแลการดำเนินงาน รวมถึงพิจารณากลั่นกรองโครงการต่างๆ ให้สอดคล้องกับกลยุทธ์และการดำเนินธุรกิจขององค์กร

นอกจากนี้ยังมีผู้บริหารระดับสูงของสายงานต่างๆ เข้าร่วมเป็นคณะกรรมการ ซึ่งทำหน้าที่กำกับดูแลและขับเคลื่อนการดำเนินงานด้านดิจิทัลและความมั่นคงปลอดภัยไซเบอร์ เพื่อก่อให้เกิดผลลัพธ์ที่มีประสิทธิภาพ เป็นไปตามนโยบายความมั่นคงปลอดภัยทางไซเบอร์ ตามมาตรฐาน ISO/IEC 27001 มาตรฐาน NIST และสอดคล้องกับกฎหมายที่เกี่ยวข้อง

โดยให้มีการรายงานการดำเนินงานการบริหารความเสี่ยงและผลการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์และสารสนเทศต่อ คณะกรรมการจัดการตามความจำเป็น โดยในกรณีที่เกิดความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk) หรือความเสี่ยงที่อาจก่อให้เกิดผลกระทบรุนแรงต่อบริษัท (High Risk) จะรายงานต่อคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน เพื่อพิจารณาความเพียงพอ และให้คำปรึกษาต่อแนวทางการบริหารความเสี่ยงดังกล่าว ตลอดจนผลักดันการบริหารความเสี่ยงให้มีประสิทธิภาพอย่างเป็นรูปธรรม

คณะทำงานความมั่นคงปลอดภัยไซเบอร์ (CYBERSECURITY WORKING TEAM)

ตัวแทนจากหน่วยงานต่างๆ ทั้งจากหน่วยงานทางธุรกิจหรือ IT (Information Technology) และหน่วยงานทางโรงงาน OT (Operation Technology) มีบทบาทหน้าที่จัดทำแผนงาน ปรับปรุง ตลอดจนวางกรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ ให้เป็นไปตามนโยบายความมั่นคงปลอดภัยทางไซเบอร์ของกลุ่มบริษัทฯ กฎหมาย และข้อกำหนดที่เกี่ยวข้อง เพื่อจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ พร้อมทั้งติดตามและรายงานผลการดำเนินงานต่อคณะกรรมการดิจิทัลและความมั่นคงปลอดภัยไซเบอร์ (DCSC) ตามความจำเป็น

คณะทำงานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC 27001 Information Security Management System - ISMS)

คณะทำงานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ประกอบด้วยคณะทำงาน 3 ส่วน ได้แก่

Information Security Management Representative (ISMR)/ Information Security Management Assistance (ISMA) คือ ตัวแทนของผู้บริหารของบริษัทฯ ที่ทำหน้าที่ควบคุมดูแลการจัดตั้ง ใช้งานและพัฒนาระบบฯ ขึ้นในบริษัทฯ รวมถึงดูแลรักษา ตรวจสอบและปรับปรุงระบบอย่างต่อเนื่อง เพื่อให้บรรลุตามนโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศ และสอดคล้องตามมาตรฐาน ISO/IEC 27001 พร้อมทั้งให้คำปรึกษาและแนะนำด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและการนำนโยบายต่างๆ ไปใช้งานแก่บุคลากรภายในบริษัทฯ รวมถึงควบคุมดูแลการเปลี่ยนแปลง (Change) ต่างๆ ที่เกิดขึ้นในบริษัทฯ พร้อมทั้งประสานงานให้มีการประเมิน แก้ไขและควบคุมความเสี่ยงจาการเปลี่ยนแปลงอย่างเหมาะสม รวมทั้งประสานงานและหาแนวทางในการควบคุมและจัดการปัญหา ในกรณีที่เกิดเหตุละเมิดความมั่นคงปลอดภัย (Incident) ขึ้นในบริษัทฯ โดยจะรายงานผลการดำเนินงานของระบบฯ ต่อคณะกรรมการบริหารดิจิทัลและความมั่นคงปลอดภัยไซเบอร์ (DCSC)

ISMS Core Team (CT) ประกอบด้วยตัวแทนจากหน่วยงานต่างๆ ที่อยู่ในขอบข่ายของระบบฯ ทำหน้าที่ประสานงานกับ ISMR/ISMA เพื่อทำการประเมินความเสี่ยงและบริหารจัดการความเสี่ยงสำหรับแต่ละส่วนงาน รวมถึงเพื่อทำการวัดประสิทธิผลของกระบวนการและการควบคุมในระบบฯ ที่เกี่ยวข้องในแต่ละส่วนงาน นอกจากนี้ CT มีหน้าที่ประสานงานกับ ISMR ในกรณีที่เกิดเหตุล่วงละเมิดความมั่นคงปลอดภัย หรือเหตุฉุกเฉินใดๆ ขึ้นในบริษัทฯ เพื่อควบคุมและจัดการกับปัญหาที่เกิดขึ้น

ISMS Document Controller (DC) คือ ผู้ทำหน้าที่ดูแล และควบคุมการใช้งานเอกสารและบันทึกต่างๆ ของระบบฯ ให้เป็นไปตามข้อกำหนดของมาตรฐาน ISO/IEC 27001 และต้องประสานงานกับทีม Document Controller กลางของบริษัทฯ เพื่อให้การดำเนินการในระบบฯ เป็นไปในแนวทางเดียวกันกับระบบมาตรฐานของบริษัทฯ

มาตรการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

GRI 3-3

บริษัทฯ ได้จัดฝึกอบรบหลักสูตรเกี่ยวกับความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity Awareness) รวมถึงมาตรฐานการปฏิบัติตามนโยบายเทคโนโลยีสารสนเทศและการสื่อสารของบริษัทฯ ได้แก่ การใช้คอมพิวเตอร์และซอฟต์แวร์ การใช้อินเตอร์เน็ตและการรับส่งอีเมล การป้องกันไวรัสคอมพิวเตอร์ ให้แก่พนักงานทุกระดับและพนักงานเข้าใหม่ก่อนเริ่มปฏิบัติงานในองค์กร ผ่านช่องทางออนไลน์แบบ e-Learning และการปฐมนิเทศเพื่อให้พนักงานสร้างความตระหนักถึงภัยไซเบอร์ รวมถึงรับทราบนโยบายและระเบียบการใช้งานระบบเทคโนโลยีสารสนเทศที่พนักงานทุกระดับสามารถเข้าถึงได้และจะต้องยึดถือปฏิบัติตามอย่างเคร่งครัดซึ่งเป็นส่วนหนึ่งของการประเมินผลการปฏิบัติงาน พนักงานที่ฝ่าฝืนจะต้องถูกดำเนินการตามมาตรการด้านวินัยของบริษัทฯ

โดยในปี 2566 บริษัทฯ จัดหลักสูตร IT Policy และ
Cybersecurity Awareness ในรูปแบบ e-Learning
ทั้งหมด
2

หลักสูตร และกิจกรรมเสริมสร้างความตะหนักรู้ให้กับพนักงานประจำปี อาทิเช่น
ข่าวสารการโจมตีทางไซเบอร์ การอบรมให้กับพนักงานที่เข้าใหม่ผ่าน e-Learning เป็นต้น

เอกสารประกอบการอบรม
พนักงานและผู้ที่เกี่ยวเข้าร่วมทั้งหมด
1,400

คน

นอกจากนี้ บริษัทฯ มอบหมายให้หน่วยงานภายนอก (Third Party) ดำเนินการวิเคราะห์ช่องโหว่ (Vulnerability Analysis) ของระบบเทคโนโลยีสารสนเทศขององค์กรเป็นประจำทุกปี ซึ่งประกอบด้วย 4 กิจกรรม ได้แก่ การทดสอบโจมตีจากอินเตอร์เน็ตมายังระบบขององค์กรที่ออนไลน์บนอินเตอร์เน็ต (External Penetration) การทดสอบโจมตีจากเครือข่ายภายใน (Internal Penetration) การค้นหาช่องโหว่ Vulnerability Scan เพื่อตรวจหาช่องโหว่ของระบบ และการทดสอบ Phishing Mail โดยมีการติดตามวัดผลอย่างใกล้ชิด และหากพนักงานคนใดที่ปฏิบัติตนไม่ถูกต้องและตกเป็นเหยื่อการทดสอบจะมีการสื่อสารและจัดหลักสูตรอบรบเพื่อสร้างความตระหนักถึงภัยคุกคามทางไซเบอร์ของพนักงานเฉพาะกลุ่มเป้าหมายต่อไป ทั้งนี้ เมื่อเกิดเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ พนักงานสามารถติดต่อหรือแจ้งผ่านช่องทางที่ให้บริการด้านเทคโนโลยีสารสนเทศ ได้แก่ IT Service Desk ผู้ดูแลระบบและ PTT-Digital เพื่อตรวจสอบและดำเนินการแก้ไขเหตุการณ์

คลิกเพื่อดูภาพขนาดใหญ่

อีกทั้ง บริษัทฯ ได้จัดช่องทางการรายงานอีเมลที่พนักงานได้รับที่ต้องสงสัยว่าเป็นสแปม (SPAM) หรือ Phishing Mail และต้องการตรวจสอบโดยสามารถแจ้งผ่านฟังก์ชันการ Report Phishing ได้ บริษัทฯ ผ่านการรับรองระบบมาตราฐานการจัดการความมั่นคงปลอดภัยของข้อมูล หรือ Information Security Management System – ISO/IEC 27001:2013 สำหรับศูนย์ข้อมูล (Data Center) โครงสร้างพื้นฐานและการจัดการคลาวด์แบบ Infrastructure as a service (IaaS) ที่บริหารจัดการโดยบริษัทฯ

ปรับปรุง ณ เดือน กุมภาพันธ์ ปี 2567

เนื้อหาข้างต้นจัดทำตามมาตรฐานการรายงานความยั่งยืน โดย The Global Reporting Initiative (GRI Standards) ได้รับการตรวจสอบความถูกต้องโดยหน่วยงานภายนอกและให้ความเชื่อมั่นข้อมูลการรายงานในระดับจำกัด (Limited Assurance)

คุณอาจสนใจเมนูที่เกี่ยวข้องอื่นๆ

การบริหารจัดการห่วงโซ่อุปทาน
วิวัฒนาการธุรกิจพลังงานแห่งอนาคต
ความมั่นคงด้านเสถียรภาพและความพร้อมของการดำเนินการผลิต