การบริหารจัดการ
ความเสี่ยงและภาวะวิกฤต

ท่ามกลางสถานการณ์ความเสี่ยงและความไม่แน่นอนทางธุรกิจในปัจจุบันและที่เกิดขึ้นใหม่ (Emerging Risk) ทั้งทางตรงและทางอ้อม ถือเป็นสิ่งที่ก่อให้เกิดผลกระทบต่อเป้าหมายการดำเนินธุรกิจ ซึ่งจะต้องมีการบริหารจัดการอย่างเป็นระบบและมีประสิทธิภาพ หากแต่ในอีกด้านหนึ่งความเสี่ยงและความไม่แน่นอนต่าง ๆ ยังสามารถก่อให้เกิดโอกาสทางธุรกิจ โดยองค์กรจะต้องแสวงหาแนวทางการใช้ประโยชน์จากโอกาสดังกล่าว ด้วยเหตุนี้ บริษัทฯ จึงได้ยึดถือแนวปฏิบัติการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management: ERM) ตามหลักมาตรฐานสากล The Committee of Sponsoring Organizations of the Treadway Commission (COSO) ERM Framework และ ISO31000:2009 เพื่อทำให้มั่นใจว่าผู้ที่เกี่ยวข้องมีความเข้าใจต่อหลักการบริหารความเสี่ยงและสามารถนำไปประยุกต์ใช้ได้อย่างเหมาะสมอันจะก่อให้เกิดประโยชน์สูงสุดและได้กำหนดให้มีคณะกรรมการบริหารความเสี่ยงภายใต้การมอบหมายจากคณะกรรมการบริษัทฯ ในการทำหน้าที่กำกับดูแลการบริหารความเสี่ยงในภาพรวมขององค์กร โดยบริษัทฯ ได้มีแนวทางในการบริหารจัดการความเสี่ยงและภาวะวิกฤตดังนี้
นโยบายบริหารความเสี่ยง

บริษัทฯ โดยคณะกรรมการบริหารความเสี่ยง ได้กำหนดนโยบายการบริหารความเสี่ยงเพื่อใช้เป็นกรอบในการกำกับดูแลการบริหารงานความเสี่ยงในทุกมิติ ครอบคลุมความเสี่ยงด้านกลยุทธ์และการลงทุน ด้านการเงิน ด้านธุรกิจ ด้านเทคโนโลยีและการปฏิบัติการ ด้านกฎหมายและกฎระเบียบ ด้านบุคลากรและโครงสร้างองค์กร รวมถึงความเสี่ยงด้านสิ่งแวดล้อม สังคม และการกำกับดูแล (ESG Risk) การทุจริตและคอร์รัปชัน และความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risks) ของบริษัทฯ และกลุ่มจีพีเอสซี เพื่อเป็นแนวทางให้ให้ผู้บริหารและพนักงานทุกคนนำไปปฏิบัติอย่างมีมาตรฐานและเป็นไปในทิศทางเดียวกัน

ดาวน์โหลดนโยบายบริหารความเสี่ยง

โครงสร้างการกำกับดูแลการบริหารจัดการความเสี่ยง

GRI 102-30, 103-2

การบริหารความเสี่ยงของบริษัทฯ จะดำเนินงานภายใต้ ขอบเขต อำนาจ หน้าที่ และความรับผิดชอบของคณะกรรมการบริษัทฯ ที่มีความรับผิดชอบในการพิจารณาปัจจัยเสี่ยงสำคัญที่อาจเกิดขึ้นและกำหนดแนวทางการบริหารจัดการความเสี่ยงอย่างครอบคลุม ครบถ้วน และดูแลให้ผู้บริหารมีระบบกระบวนการที่มีประสิทธิภาพในการบริหารจัดการความเสี่ยง รวมถึงปัจจัยความเสี่ยงที่อาจจะเกิดขึ้นจากการแสวงหาโอกาสทางธุรกิจและเพื่อประสิทธิภาพต่อระบบและการดำเนินงานการบริหารความเสี่ยงที่สอดคล้องตอบสนองต่อการเปลี่ยนแปลงบริบททางธุรกิจที่เปลี่ยนแปลงอย่างเป็นปัจจุบัน ทั้งนี้ที่ประชุมคณะกรรมการบริษัทฯ ได้อนุมัติกฎบัตรคณะกรรมการบริหารความเสี่ยง โดยมอบหมายคณะกรรมการบริษัทฯ บางส่วน ปฏิบัติหน้าที่คณะกรรมการบริหารความเสี่ยง (Risk Management Committee: RMC) และมอบหมาย ขอบเขต อำนาจ หน้าที่ และความรับผิดชอบในการกำหนดและทบทวนนโยบาย กรอบการดำเนินงานด้านการบริหารความเสี่ยงขององค์กร การกำกับดูแล ทบทวน ติดตามและทวนสอบประสิทธิภาพและผลการดำเนินงานในมิติต่างๆ อาทิความเสี่ยงด้านกลยุทธ์ ความเสี่ยงด้านการเงิน ความเสี่ยงด้านการดำเนินธุรกิจและการดำเนินการผลิต เป็นต้น ตลอดจนสนับสนุนให้มีการดำเนินงานด้านการบริหารความเสี่ยงองค์กรให้สอดคล้องกับกลยุทธ์ และเป้าหมายทางธุรกิจ รวมทั้งการกำหนด ทบทวนกรอบความเสี่ยงที่ยอมรับได้ของบริษัทฯ ที่ครอบคลุมและสอดคล้องกับบริบททางธุรกิจที่เปลี่ยนแปลง รวมถึงการติดตาม กลั่นกรอง ให้ข้อคิดเห็น ข้อเสนอแนะงานด้านบริหารความเสี่ยง เพื่อให้การดำเนินงานด้านการบริหารความเสี่ยงมีประสิทธิภาพอย่างต่อเนื่อง (สามารถค้นหารายละเอียดเพิ่มเติมเกี่ยวกับขอบเขต อำนาจ หน้าที่ความรับผิดชอบของคณะกรรมการบริหารความเสี่ยงได้ที่กฎบัตรคณะกรรมการบริหารความเสี่ยง https://www.gpscgroup.com/storage/content/about/management-structure/risk-management-committee-charter-2021-th.pdf )

อีกทั้งระบบการบริหารความเสี่ยงยังได้รับการสอบทานโดยคณะกรรมการตรวจสอบภายใต้กฎบัตรคณะกรรมการตรวจสอบเพื่อให้บริษัทฯ มั่นใจถึงประสิทธิภาพและความเพีบงพอต่อระบบการบริหารความเสี่ยงในภาพรวม

กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร

กรอบการบริหารความเสี่ยงทั่วทั้งองค์กร นอกเหนือจากการกำกับดูแล ผลักดันโดยคณะกรรมการบริษัทฯ คณะกรรมการบริหารความเสี่ยงแล้วนั้น การผลักดันการดำเนินการบริหารความเสี่ยงในทางปฏิบัติโดยฝ่ายจัดการ ยังเป็นองค์ประกอบที่สำคัญยิ่ง ซึ่งบริษัทฯ ได้กำหนดให้คณะกรรมการจัดการของบริษัทฯ (GPSC Management Committee: GPSCMC) ซึ่งประกอบด้วยผู้บริหารระดับสูงของบริษัทฯ จากสายงานต่าง ๆ ทำหน้าที่พิจารณาและติดตามการดำเนินงาน และคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (Risk Management and Internal Control Committee: RMCC) ซึ่งประกอบด้วย ผู้บริหารระดับสูงของบริษัทฯ ทำหน้าที่ในการกำกับดูแลระบบการบริหารจัดการความเสี่ยงและระบบการควบคุมภายในของบริษัทฯ ให้มีความเหมาะสมและมีประสิทธิภาพ ทั้งนี้ การติดตาม ตรวจสอบ และรายงานความก้าวหน้าของการบริหารจัดการความเสี่ยงขององค์กรมีการดำเนินการผ่านการประชุม RMCC และรายงานผลต่อ RMC ซึ่งมีการประชุมอย่างน้อยทุกไตรมาส

ทั้งนี้กรอบการบริหารความเสี่ยงทั่วทั้งองค์กรของบริษัทฯ (Enterprise Risk Management Framework) และความเชื่อมโยงการบริหารความเสี่ยง แสดงดังแผนภาพ

กลยุทธ์และกระบวนการบริหารจัดการความเสี่ยง

ภายใต้กรอบการบริหารความเสี่ยงทั่วทั้งองค์กรของบริษัทฯ (Enterprise Risk Management: ERM) บริษัทฯ ได้กำหนดแนวทางการดำเนินงานบริหารความเสี่ยงใน 2 ระดับได้แก่ ระดับองค์กร (Corporate Level) และระดับหน่วยงาน (Functional Level) โดยมีกลยุทธ์และกระบวนการบริหารจัดการความเสี่ยง ได้แก่

กลยุทธ์ในการบริหารจัดการความเสี่ยง

บริษัทฯ กำหนดกลยุทธ์ในการบริหารความเสี่ยงทั่วทั้งองค์กร โดยมีเป้าหมายในการสร้างวัฒนธรรมความเสี่ยงผ่านการฝึกอบรมให้แก่ผู้บริหาร พนักงาน และผู้เกี่ยวข้องทั้งหมด รวมทั้งการแต่งตั้งตัวแทนหน่วยงานต่าง ๆ เป็นผู้ประสานงานด้านความเสี่ยง (Risk Agent) โดยแยกตามกลุ่มของความเสี่ยงที่เกี่ยวข้องกับงานครบทุกด้าน ซึ่งมีส่วนบริหารความเสี่ยงเป็นผู้ประสานงานส่วนกลางและกำกับดูแล ตลอดจนกำหนดกลยุทธ์และผลักดันการปรับปรุงพัฒนาระบบการบริหารความเสี่ยงอย่างต่อเนื่อง (Continuous Improvement) อีกทั้งภายใต้บริบทการบริหารความเสี่ยงบริษัทฯ ยังได้กำหนดวัตถุประสงค์และระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) และระดับเบี่ยงเบนที่ยอมรับได้ (Risk Tolerance) เพื่อให้การบริหารความเสี่ยงมีทิศทางเดียวกันทั้งองค์กรและสอดคล้องกับกลยุทธ์ในการดำเนินธุรกิจ นอกจากนี้ บริษัทฯ ยังได้สร้างความร่วมมือในกลุ่ม ปตท. ในการแสวงหาการพัฒนาองค์ความรู้ด้านการบริหารความเสี่ยงทั้งในด้านต่าง ๆ อาทิ การพัฒนาระบบการปฏิบัติการสู่ความเป็นเลิศ (Operational Excellence Management System: OEMS)

ความเสี่ยงที่องค์กรยอมรับ (RISK APPETITE)

กระบวนการบริหารความเสี่ยงองค์กร

บริษัทฯ ให้ความสำคัญต่อการจัดการประเด็นความเสี่ยงอย่างเป็นระบบ ตั้งแต่การประเมินปัจจัยเสี่ยง การวิเคราะห์ พิจารณาและจัดทำประเด็นความเสี่ยงที่สอดคล้องกับกลยุทธ์และการบริหารความเสี่ยงจากการเปลี่ยนแปลงภายใต้ความผันผวนจากสภาพแวดล้อมทางธุรกิจและความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk) การพิจารณาอนุมัติ การกำกับดูแลการบริหาร การติดตาม ทวนสอบ ตลอดจนการยกระดับและการผลักดันการลดผลกระทบความเสี่ยง ซึ่งเป็นสิ่งที่สำคัญยิ่งในการใช้ระบบบริหารความเสี่ยงเพื่อเป็นเครื่องมือผลักดันแผนกลยุทธ์และการดำเนินการทางธุรกิจ ให้บรรลุเป้าหมายที่วางไว้ และนอกจากการส่งเสริมผลักดันการบริหารจัดการความเสี่ยงให้เป็นวัฒนธรรมการทำงานขององค์กรผ่านการดำเนินงานต่างๆ อาทิ นโยบายการบริหารความเสี่ยงบริษัทฯ แล้วนั้น บริษัทฯ ยังได้ผลักดันประสิทธิภาพและผลการดำเนินงานความเสี่ยงในทุกระดับผ่านการประเมินผลการดำเนินงาน (KPI) ทั้ง 1)ความเสี่ยงระดับองค์กรที่ผู้บริหารระดับสูงและบุคลากรในหน่วยงานที่เกี่ยวข้องจะได้รับการประเมินผลการปฏิบัติงานประจำปีในมิติด้านการบริหารความเสี่ยงที่เกี่ยวเนื่องเพื่อเป้าหมายการมีส่วนร่วมในการผลักดันผลสัมฤทธิ์การดำเนินงานในระดับองค์กรและในขอบเขตงานที่รับผิดชอบ และ2) ความเสี่ยงระดับหน่วยงาน ที่ผู้ปฏิบัติงานในแต่ละหน่วยงานจะได้รับการประเมินผลการปฏิบัติงานประจำปีในขอบเขตภาระหน้าที่งานต่างๆ เพื่อให้มั่นใจว่าผลสัมฤทธิ์งานภายใต้การบริหารจัดการความเสี่ยงและความไม่แน่นอนในการทำงานจะได้ตามเป้าหมายตามที่รับผิดชอบ ซึ่งจะเป็นปัจจัยส่งผลต่อภาพรวมการบริหารความเสี่ยงและเป้าหมายทางธุรกิจระดับองค์กรต่อไป

การประเมินและจัดทำทะเบียนความเสี่ยง (Risk Register)

GRI 102-11

ในการประเมิน การวิเคราะห์ พิจารณาและจัดทำประเด็นความเสี่ยง จะเป็นการดำเนินงานโดยหน่วยงานที่เกี่ยวข้อง ซึ่งบริษัทฯ มุ่งเน้นการดำเนินงานอย่างรอบด้านและมีมาตรการรองรับอย่างเพียงพอ ภายใต้มิติการประเมินความเสี่ยง ดังรูป

ด้วยหลักเกณฑ์การประเมินที่เป็นมาตรฐานเดียวกันทั่วทั้งองค์กร รวมถึงการให้ความสำคัญต่อการยกระดับเป็นความเสี่ยงระดับองค์กรในรายการที่มีผลกระทบอย่างมีนัยสำคัญต่อเป้าหมายและแผนกลยุทธ์องค์กร โดยมีขั้นตอนในประเมินและจัดทำทะเบียนความเสี่ยง ดังนี้

1. การระบุปัจจัยเสี่ยง

บริษัทฯ ระบุปัจจัยเสี่ยงโดย

  1. การประเมินสถานการณ์ในอนาคตที่มาจากการเปลี่ยนแปลงจากปัจจัยทั้งภายในและภายนอก ที่ครอบคลุมความเสี่ยงที่เกิดขึ้นใหม่ตามกิจกรรมหรือบริบททางธุรกิจที่เปลี่ยนแปลงไป ซึ่งอาจส่งผลกระทบต่อการบรรลุเป้าหมายขององค์กร
  2. การประเมินสถานการณ์จากการเปลี่ยนแปลงในการดำเนินธุรกิจปกติที่เกิดขึ้น ซึ่งอาจส่งผลกระทบต่อการการดำเนินธุรกิจและการปฏิบัติงานในปัจจุบัน ซึ่งอาจส่งผลกระทบต่อเป้าหมายธุรกิจของบริษัทฯได้ โดยการระบุปัจจัยเสี่ยงสามารถดำเนินการได้โดยบุคลากรในหน่วยงานที่เกี่ยวข้องและผ่านการพิจารณาทวนสอบและบริหารจัดการความเสี่ยงตามขั้นตอนต่อไป

โดยการระบุปัจจัยเสี่ยงสามารถดำเนินการได้โดยบุคลากรในหน่วยงานเจ้าของความเสี่ยง/หน่วยงานที่เกี่ยวข้องและนำเสนอเพื่อการพิจารณาทวนสอบและดำเนินการบริหารจัดการความเสี่ยงตามขั้นตอนต่อไป

2. การประเมินและวิเคราะห์ความเสี่ยง

บริษัทฯ ได้ประเมินและวิเคราะห์ความเสี่ยงทุกด้านที่อาจเกิดขึ้นทั้งความเสี่ยงระดับองค์กรความเสี่ยงระดับหน่วยงาน และความเสี่ยงการลงทุนพัฒนาโครงการ/ผลิตภัณฑ์ โดยมีเกณฑ์ในการประเมินความเสี่ยงที่เป็นมาตรฐานกลางขององค์กรดังนี้

  • เกณฑ์การประเมินผลกระทบของความเสี่ยง (Impact) ในด้าน การเงิน กระบวนการทางธุรกิจและการปฏิบัติการ ชื่อเสียงขององค์กร ลูกค้า และบุคลากร ซึ่งแบ่งเป็นความรุนแรงแบ่งเป็น 4 ระดับ ได้แก่ระดับต่ำ ระดับปานกลาง ระดับสูงและระดับรุนแรง
  • เกณฑ์การประเมินโอกาสเกิด (Likelihood) ซึ่งแบ่งเป็น 4 ระดับ ตั้งแต่
    • โอกาสในการเกิดต่ำ (น้อยกว่าร้อยละ 10 หรือไม่เคยเกิดขึ้นหรือเคยเกิดขึ้น 1 ครั้งใน 5 ปี)
    • โอกาสในการเกิดปานกลาง (ระหว่างร้อยละ >10 ถึง < 20หรือเคยเกิดขึ้น 1 ครั้งใน 3 ปี)
    • โอกาสในการเกิดสูง (ระหว่างร้อยละ >20% ถึง < 50% หรือเคยเกิดขึ้น 1 ครั้งใน 1 ปี)
    • โอกาสในการเกิดสูงมาก(รุนแรง) (มากกว่าร้อยละ 50 หรือเคยเกิดขึ้นมากกว่า 1 ครั้งใน 1 ปี)

โดยบริษัทฯ นำเสนอผลการประเมิน โดยใช้แผนภาพความเสี่ยง (Risk Matrix) เพื่อจัดลำดับความสำคัญของความเสี่ยง กลุ่มความเสี่ยงที่ได้รับการประเมินว่ามีผลกระทบระดับสูงถึงรุนแรงจะถูกจัดอยู่ในประเภทความเสี่ยงที่ต้องได้รับการบริหารจัดการและความเสี่ยงที่มีผลกระทบระดับปานกลางถึงต่ำจัดอยู่ในประเภทความเสี่ยงที่ต้องมีการติดตาม

ทั้งนี้ มิติความเสี่ยงที่บริษัทฯ ได้วางกรอบไว้ประกอบด้วยความเสี่ยงเชิงกลยุทธ์ ความเสี่ยงจากการดำเนินธุรกิจ ความเสี่ยงด้านปฏิบัติการ และความเสี่ยงด้านการเงิน โดยระดับในการบริหารจัดการความเสี่ยง บริษัทฯ ได้แบ่งระดับการบริหาร กำกับดูแลออกเป็น 2 ระดับได้แก่

  • ระดับองค์กร (Corporate Level): พิจารณาจากผลกระทบหรือความเสียหายที่อาจส่งผลให้บริษัทฯ ไม่สามารถบรรลุวัตถุประสงค์ กลยุทธ์ และแผนธุรกิจขององค์กรตามที่กำหนดไว้
  • ระดับหน่วยงาน (Functional Level): พิจารณาจากผลกระทบหรือความเสียหายที่อาจส่งผลให้หน่วยงานไม่สามารถบรรลุวัตถุประสงค์ตามหน้าที่ความรับผิดชอบได้
3. การจัดการความเสี่ยง

บริษัทฯ คำนึงการจัดการที่เหมาะสมให้ความเสี่ยงอยู่ในระดับที่บริษัทฯ ยอมรับได้ โดยกำหนดกรอบเวลาในการดำเนินการจัดการความเสี่ยงเพื่อลดโอกาสและผลกระทบที่จะเกิดเหตุการณ์ความเสี่ยงและกำหนดผู้รับผิดชอบการดำเนินการ (Risk Owner) เพื่อจัดทำแผนการจัดการความเสี่ยง (Mitigation Plan)

การอนุมัติและการบริหารความเสี่ยง

  1. การอนุมัติรายการความเสี่ยง
    หลังจากมีการการประเมินและจัดทำทะเบียนความเสี่ยงแล้วนั้น การตรวจสอบความครบถ้วนในแนวทางการบริหารจัดการและการพิจารณาอนุมัติการดำเนินงานและการปิดความเสี่ยงเป็นขั้นตอนที่สำคัญต่อความสมบูรณ์ของกระบวนการบริหารจัดการดังกล่าว โดยบริษัทฯ แบ่งความเสี่ยงเป็น 2 ระดับได้แก่
    • ความเสี่ยงระดับองค์กร (Corporate Risk): จะมีการจัดทำโดยส่วนบริหารความเสี่ยงองค์กรร่วมกับหน่วยงานที่เกี่ยวข้อง และนำเสนอเพื่อพิจารณาให้ความเห็นต่อคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (RMCC) และคณะกรรมการบริหารความเสี่ยง(RMC) ก่อนนำเสนอขออนุมัติต่อคณะกรรมการบริษัทฯ ต่อไป
    • ระดับหน่วยงาน (Functional Level): จะมีการจัดทำโดยหน่วยงานเจ้าของความเสี่ยงร่วมกับหน่วยงานที่เกี่ยวข้อง และนำเสนอขออนุมัติต่อผู้จัดการฝ่ายอาวุโสตามฝ่ายงานต่อไป
  2. การติดตาม รายงาน สื่อสาร
    ภายใต้นโยบายบริหารความเสี่ยงบริษัท กฎบัติคณะกรรมการบริหารความเสี่ยงและคำสั่งแต่งตั้งและมอบหมายหน้าที่คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (RMCC) บริษัทฯ จัดให้มีการติดตามและรายงานการจัดการความเสี่ยงอย่างต่อเนื่อง โดยกำหนดให้มีผู้รับผิดชอบที่ชัดเจนในการติดตามและรายงาน ดังนี้
      • บริษัทฯ กำหนดให้คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (RMCC) ระดับจัดการ ดำเนินการติดตามประเด็นความเสี่ยงระดับหน่วยงานและระดับองค์กร ตลอดจนความเสี่ยงที่เกิดขึ้นใหม่อย่างต่อเนื่อง และนำผลการติดตามความเสี่ยงระดับองค์กรและความเสี่ยงที่เกิดขึ้นใหม่ที่มีนัยสำคัญต่อธุรกิจบริษัทฯ เสนอต่อคณะกรรมการบริหารความเสี่ยง (RMC) เพื่อติดตามความก้าวหน้าในการบริหารจัดการอย่างต่อเนื่อง
      • บริษัทฯ กำหนดให้มีผู้แทนด้านการประเมินความเสี่ยงระดับหน่วยงาน (Risk Agent) เป็นศูนย์กลางของแต่ละกลุ่มงานในการระบุปัจจัยเสี่ยงและประเมินความเสี่ยงผ่านการใช้ทะเบียนความเสี่ยง (Risk Register) โดยส่วนบริหารความเสี่ยงจะนำผลการดำเนินงานมารายงานต่อคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (RMCC) ซึ่งเป็นระดับจัดการเพื่อติดตามความก้าวหน้าในการบริหารจัดการอย่างต่อเนื่อง

    นอกจากนี้ บริษัทฯ ได้ดำเนินการสื่อสารประเด็นด้านความเสี่ยงแก่ผู้บริหารและพนักงานทุกคนเพื่อสร้างวัฒนธรรมการบริหารความเสี่ยงที่เข้มแข็ง โดยมีการอบรมด้านการบริหารความเสี่ยงอย่างต่อเนื่องและประชาสัมพันธ์ข้อมูลด้านความเสี่ยงผ่านจดหมายอิเล็กทรอนิกส์และกำหนดให้การจัดการความเสี่ยงเป็นหนึ่งในตัวชี้วัดด้านการปฏิบัติงานของผู้บริหารและพนักงานทุกคน

  3. การทบทวนแผนบริหารจัดการความเสี่ยงและการยกระดับความเสี่ยง
    บริษัทฯ ให้ความสำคัญต่อการทบทวนและการปรับแผนการบริหารจัดการความเสี่ยงที่สอดคล้องกับสถานการณ์ โดยมีเป้าหมายในการบริหารจัดการความเสี่ยงอย่างบูรณาการเพื่อให้ความเสี่ยงอยู่ในระดับที่ยอมรับได้เป็นประจำ โดยนอกจากประเด็นความเสี่ยงระดับองค์กรที่ได้รับการอนุมัติจากคณะกรรมการบริษัทฯ แล้วนั้น หากในระหว่างปีพบว่ามีประเด็นความเสี่ยงที่เกิดขึ้นใหม่ซึ่งอาจส่งผลกระทบต่อบริษัทฯ อย่างมีนัยสำคัญฝ่ายจัดการโดยส่วนบริหารความเสี่ยงองค์กรร่วมกับหน่วยงานที่เกี่ยวข้อง จะได้จัดทำข้อมูลประกอบการนำเสนอเพื่อพิจารณาให้ความเห็นต่อคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (RMCC) ก่อนนำเสนอขออนุมัติต่อคณะกรรมการบริหารความเสี่ยง(RMC) ต่อไป

  4. ภาพรวมการบริหารความเสียง
    ภาพรวมการบริหารความเสี่ยงสามารถแสดงดังแผนภาพ

สหสัมพันธ์ของความเสี่ยง

ประเด็นด้านความเสี่ยงที่จัดอยู่ในกลุ่มที่ส่งผลกระทบมากที่สุดต่อการดำเนินของบริษัทฯ คือ ประสิทธิภาพของการลงทุน ศักยภาพขององค์กร การปฏิบัติตามกฎระเบียบ ความมั่นคงของโรงไฟฟ้า และการดำเนินโครงการ ความสัมพันธ์กันของความเสี่ยงมีนัยสำคัญต่อการบริหารจัดการความเสี่ยงของบริษัทฯ เนื่องจากความสัมพันธ์กันของความเสี่ยงจะก่อให้เกิดผลกระทบแบบลูกโซ่ ซึ่งอาจทำให้ระดับของความเสี่ยงสูงขึ้นหรือลดลงตามความสัมพันธ์ของกันและกัน

ผังการวิเคราะห์สหสัมพันธ์ความเสี่ยงประจำปี

ความเสี่ยงใหม่ที่เกิดขึ้น

บริษัทฯ รับรู้และตระหนักถึงความเสี่ยงใหม่ที่อาจเกิดขึ้นในระยะยาวและส่งผลกระทบต่อบริษัทฯ บริษัทฯ จึงได้ระบุความเสี่ยงที่อาจเกิดขึ้นในอีก 3-5 ปีข้างหน้า ซึ่งจะส่งผลให้บริษัทฯสูญเสียโอกาสหากไม่ได้รับการจัดการอย่างเหมาะสม ดังนั้นบริษัทฯจึงได้ประเมินความเสี่ยงใหม่ ประเมินผลกระทบ รวมทั้งกำหนดการดำเนินการบรรเทาผลกระทบเพื่อจัดการความเสี่ยงเหล่านั้นอย่างมีประสิทธิภาพ

ความเสี่ยงใหม่ที่เกิดขึ้น ระดับความเสี่ยง กรอบ เวลา คำอธิบายของความเสี่ยง ผลกระทบทางธุรกิจที่อาจเกิดขึ้นจากความเสี่ยง แนวทางการบรรเทา
1. โรคระบาดโควิด-19 ปานกลาง พ.ศ. 2566 การระบาดใหญ่ของโควิด-19 ได้ส่งผลกระทบต่อสังคมและเศรษฐกิจโลก รวมถึง บริษัทฯ บริษัทร่วมทุนและลูกค้า การระบาดอย่างรวดเร็วของโรคระบาดนี้ทำให้เกิดอุปสรรคในการปฏิบัติงานและการเปลี่ยนแปลงพฤติกรรมของลูกค้าอันเนื่องจากมาตรการกักกัน หลายประการ เช่น การล็อกดาวน์ การห้ามการชุมนุม
  • ข้อจำกัดนโยบายพลังงานแห่งชาติและความสมดุล ของอำนาจในระดับมหภาค
  • ข้อจำกัดด้านการผลิตไฟฟ้าและภาพรวมธุรกิจ
  • ความต้องการพลังงานที่ลดลงซึ่งส่งผลต่อรายได้และกำไรของบริษัทฯ
  • การปรับเปลี่ยนพฤติกรรมการใช้พลังงานของลูกค้า
  • การปรับเปลี่ยนแนวทางการดำเนินธุรกิจสู่ชีวิตวิถีใหม่(New Normal)
  • ติดตามสถานการณ์อย่างใกล้ชิด
  • การพัฒนาแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan)
  • จัดหาบ้านที่ปลอดภัยสำหรับพนักงานที่รับผิดชอบด้านการผลิตไฟฟ้าเสถียรภาพการผลิต และการจัดหาสาธารณูปโภคที่สำคัญ
  • คัดกรองพนักงานและผู้รับเหมาที่ปฎิบัติงานที่ไซต์งานและพนักงานฝ่ายสนับสนุนที่ปฎิบัติงานที่บ้าน
  • การทดสอบระบบการเงินอย่างเข้มข้น
  • จัดให้มีกระแสเงินสดเพื่อให้มีสภาพคล่องที่เหมาะสมในกรณีฉุกเฉินที่มีผลกระทบต่อการดำเนินธุรกิจ
  • พัฒนาธุรกิจใหม่เพื่อตอบสนองความต้องการของลูกค้าที่หลากหลายในรูปแบบชีวิตวิถีใหม่( New Normal) (เช่น การผลิตไฟฟ้าแบบกระจายขนาดเล็ก การจัดการระบบไมโครกริด)
2. ภัยคุกคามด้านเทคโนโลยีสารสนเทศและความ ปลอดภัยทางไซเบอร์ สูง พ.ศ. 2569

ภัยคุกคามทางไซเบอร์สามารถก่อให้เกิด ผลกระทบอย่างมีนัยสำคัญต่อการจัดการ เทคโนโลยีสารสนเทศของบริษัทฯและการดำเนิน งานออนไลน์ เนื่องจากเทคโนโลยีดิจิทัลได้ปรับปรุงประสิทธิ ภาพและมีการใช้กันอย่างแพร่หลายมากขึ้น โดยเฉพาะในธุรกิจผลิตไฟฟ้า การดำเนินงานทุกด้านที่โรงงานและสำนักงานของเราพึ่งพาเทคโนโลยีดิจิทัลและอินเทอร์เน็ตเป็น อย่างมาก นอกจากนี้ ความจำเป็นในการปรับตัวและการปฎิบัติงานที่บ้านอันเนื่องมาจากการแพร่ระบาดของโควิด-19 ทำให้มีความจำเป็นต้องเชื่อมโยงกับระบบอินเตอร์เนตภายนอก อีกทั้งพฤติกรรมที่เปลี่ยนไปจากชีวิตวิถีใหม่(New Normal) และกระแสของโลกเรื่อง การปฎิรูปเทคโนโลยี (Digital Transformation) ที่ทำให้บริษัทฯรับเอาแนวปฎิบัติด้านดิจิทัลมาใช้อย่างแข็งขันกับบริบททางธุรกิจด้วยโครงสร้างและการบริหารงานทางสารสนเทศอย่างเหมาะสมและหลีกเลี่ยงผลกระทบที่จะเกิดขึ้น ดังนั้นการรักษาความปลอดภัยทางไซเบอร์จึงมี ความสำคัญมากขึ้นและภัยคุกคามทางเทคโนโลยี สารสนเทศที่ใช้การเชื่อมต่ออินเทอร์เน็ตได้กลาย เป็นความเสี่ยงอันไม่พึงประสงค์

  • ข้อมูลความลับของบริษัทฯรั่วไหล
  • ระบบเทคโนโลยีสารสนเทศหยุดชะงัก ส่งผลกระทบต่อระบบการผลิตและการจัดจำหน่าย และพ่วงไปถึงความน่าเชื่อถือของบริษัทฯ
  • รับการลงโทษด้วยค่าปรับและบทลงโทษจากหน่วยงานกำกับดูแล
  • ศักยภาพในการทำลายทุนทางการเงินและสังคมของบริษัทฯ
  • สูญเสียชื่อเสียงของบริษัทฯ ความน่าเชื่อถือ และความไว้วางใจจากผู้มีส่วนได้เสีย
  • สูญเสียโอกาสทางธุรกิจและรายได้
  • ต้นทุนที่เพิ่มขึ้นของโครงสร้างพื้นฐานการดำเนินงาน และการประกันภัย
  • จัดตั้งคณะกรรมการบริหารดิจิทัลและความมั่นคงปลอดภัยไซเบอร์ (DCSC) เพื่อกำกับและผลักดันการบริหารจัดการความเปลี่ยนแปลง รวมถึงประเมินความเสี่ยงด้านดิจิทัลและความปลอดภัยทางไซเบอร์ ทั้งยังช่วยกลั่นกรองโครงการต่างๆเพื่อให้มั่นใจว่าจะสอดคล้องไปกับกลยุทธ์ และธุรกิจของบริษัทฯ
  • กำหนดนโยบายความปลอดภัยทางไซเบอร์อย่างชัดเจนสำหรับบริษัทฯ และจัดตั้งคณะทำงานเฉพาะด้านที่รับผิดชอบการ จัดการระยะสั้นและระยะยาว ให้เป็นไปตามข้อกำหนดของและ ได้รับการรับรอง มาตรฐานสากลสำหรับระบบการจัดการความปลอดภัยของข้อมูล (ISMS, ISO 27001 : 2013)
  • ให้ความรู้แก่พนักงานทั้งหมดอย่างแข็งขันเกี่ยวกับรูปแบบภัยคุกคามด้านเทคโนโลยีสารสนเทศที่ หลากหลายและขั้นตอนที่เกี่ยวข้องในการป้องกัน และส่งต่อภัยคุกคามแต่ละรายการที่ไซต์งาน เพื่อป้องกันความเสียหายที่เพิ่มขึ้นต่อบริษัทฯ
  • ทดสอบระบบเป็นระยะด้วยตัวล่ออัตโนมัติและจัดบทเรียนเพื่อสร้างจิตสำนึกให้กับพนักงานทุกคนในการใช้เทคโนโลยีสารสนเทศ
  • จัดให้พนักงานมีการฝึกซ้อมปฏิบัติอย่างสม่ำเสมอ เพื่อตอบสนองต่อภัยคุกคามด้านเทคโนโลยีสารสนเทศและการโจมตีทางไซเบอร์สำหรับฟังก์ชันสนับสนุนสำนักงาน
  • ดำเนินการทดสอบระบบข้อมูลและฝึกซ้อมการกู้คืนระบบอย่างสม่ำเสมอ ในกรณีที่มีภัยคุกคามฉุกเฉินต่อพื้นที่ปฏิบัติการผลิตไฟฟ้า
  • อัปเดตกฎหมายและข้อบังคับที่เกี่ยวข้องกับไซเบอร์
3. การปฏิรูปนวัตกรรม และเทคโนโลยี (การเปลี่ยนแปลงของพฤติกรรมของลูกค้าและผู้บริโภคในการบริโภคพลังงาน) สูง พ.ศ. 2569 ด้วยการเปลี่ยนแปลงอย่างรวดเร็วในพฤติกรรมการบริโภคพลังงานของลูกค้าและผู้บริโภค การเปลี่ยนแปลงทางเทคโนโลยี เช่น Blockchain และ IoTs ธุรกิจจำเป็นต้องปรับตัวเพื่อให้สามารถแข่งขันได้ และพัฒนานวัตกรรมเพื่อการเติบโตในอนาคต นอกจากนี้ เทคโนโลยี Disruptive ได้ขับเคลื่อนการเปลี่ยนแปลงของเทคโนโลยีพลัง งานอย่างรวดเร็ว ซึ่งนำไปสู่การเปลี่ยนแปลงพฤติกรรมผู้บริโภค สำหรับผู้ใช้ในภาคอุตสาหกรรมและสาธารณะในการเปลี่ยนผ่านพลังงานไปสู่การผลิตไฟฟ้าทดแทน เช่น พาหนะพลังงานไฟฟ้า ซึ่งได้รับอิทธิพลอย่างมากจากความพยายามที่จะมุ่งสู่ความยั่งยืน ความไม่แน่นอนเหล่านี้หลีกเลี่ยงไม่ได้และอาจส่งผลกระทบต่อความสามารถในการแข่งขันของบริษัทฯกับคู่แข่ง
  • ลดความสามารถในการแข่งขันหากบริษัทฯไม่สามารถปรับตัวให้เข้ากับการเปลี่ยนแปลงทางเทคโนโลยีได้
  • สูญเสียชื่อเสียงของบริษัทฯ ความน่าเชื่อถือและความไว้วางใจจากผู้มีส่วนได้เสีย
  • สูญเสียโอกาสทางธุรกิจ ส่วนแบ่งการตลาดและรายได้
  • เพิ่มทุนทางการเงินและทางปัญญาเพื่อสร้างความสามารถของบริษัทฯในธุรกิจใหม่
  • ดำเนินการเชิงรุกต่อเนื่องด้วยโมเดลธุรกิจ S-curve ใหม่ ที่เหนือไปกว่าโมเดลธุรกิจผลิตไฟฟ้าที่มีอยู่ เพื่อรองรับการเติบโตของธุรกิจในอนาคต โมเดลธุรกิจใหม่นี้ รวมไปถึงการพัฒนาระบบบกักเก็บพลังงานและธุรกิจเกี่ยวเนื่องการลงทุนวิจัยและพัฒนา (R&D) ในเทคโนโลยีด้านพลังงานเพื่อรักษาความได้เปรียบในการแข่งขันและผลักดันวิสัยทัศน์ของบริษัทฯ ในการเป็นบริษัทฯนวัตกรรมพลังงานชั้นนำ
  • พัฒนา System Integrator อย่างจริงจังที่ผสานการผลิตพลังงานและรูปแบบการใช้พลังงานเพื่อตอบสนองความต้องการของทั้ง Micro Grid และ Smart Grid
  • พัฒนาแพลตฟอร์มการค้าพลังงานใหม่อย่างต่อเนื่องเพื่อรับมือกับพฤติกรรมใหม่ของผู้ใช้พร้อมลดผลกระทบต่อการดำเนินการผลิตและจำหน่ายไฟฟ้าในปัจจุบันและอนาคตอย่างต่อเนื่อง
  • ดำเนินการวิเคราะห์พฤติกรรมลูกค้าและการเปลี่ยนแปลงรูปแบบตลาดเพื่อให้เข้าใจถึงการเปลี่ยนแปลงพฤติกรรมการบริโภคในปัจจุบันและอนาคต
  • เทคโนโลยีการจัดเก็บแบตเตอรี่และพลังงาน
4. วิกฤตภัยแล้ง ปานกลาง พ.ศ. 2569 ลักษณะภูมิอากาศที่เกิดจากการขาดน้ำฝนเป็นเวลานานทำให้ทรัพยากรน้ำไม่เพียงพอ เนื่องจากน้ำเป็นองค์ประกอบที่สำคัญของธุรกิจผลิตไฟฟ้า วิกฤตภัยแล้งและการขาดแคลนน้ำจึงเป็นภัยคุกคามต่อการดำเนินธุรกิจของบริษัทฯ ดังที่เคยพบในวิกฤตภัยแล้งที่ทวีความรุนแรงมากขึ้นในปี 2563
  • ปัญหาการขาดแคลนน้ำสำหรับฐานการผลิตของบริษัทต่างๆในประเทศไทยและสำหรับการผลิตไฟฟ้าพลังน้ำจากเขื่อนไฟฟ้าพลังน้ำในประเทศเพื่อนบ้าน ซึ่งกระทบต่อกระบวนการผลิตและการส่งมอบของบริษัทฯส่งผลให้บริษัทฯมีเสถียรภาพการผลิต และผลกระทบทางการเงินมากกว่า 739 ล้านบาท
  • การตรวจสอบอย่างใกล้ชิดของเครือข่ายน้ำประปาแห่งชาติและหน่วยงานอื่นที่เกี่ยวข้อง
  • ร่วมกับองค์กรอื่นๆหน่วยงานของรัฐ ในคณะกรรมการบริหารจัดการทรัพยากรน้ำ (ความร่วมมือทั้งภาครัฐ-เอกชน ทำหน้าที่เฝ้าติดตามและจัดการทรัพยากรน้ำ ณ สถานที่จัดเก็บทั้งหมด)
  • การนำโปรแกรม 3Rs ไปใช้
  • ลดการใช้น้ำได้ถึง 10-30 เปอร์เซ็นต์ ในกรณีวิกฤต
  • การติดตั้งระบบ Mobile Watewater RO และ Reverse Osmosis ของน้ำทะเล
  • ร่วมกับลูกค้าลดการใช้น้ำ
  • บริหารจัดการน้ำทั้งภายในและภายนอก โดยมีตัวแทนจากคณะกรรมการบริหารจัดการทรัพยากรน้ำของกลุ่ม ปตท. เพื่อประเมินสถานการณ์น้ำในภาคตะวันออก
  • มีสถานที่เก็บน้ำฉุกเฉินสำรองสำหรับการดำเนินงานอย่างน้อย 3 วัน
  • จัดทำแผนการจัดการน้ำเพื่อเตรียมพร้อมสำหรับเหตุการณ์เสี่ยงที่เกี่ยวข้องกับทรัพยากรน้ำ เช่น สัญญารับประกันน้ำปราศจากแร่ธาตุจากผู้ผลิตสินค้าและบริการรายอื่น

การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

กลยุทธ์สู่ความสำเร็จ

ด้วยระบบเทคโนโลยีดิจิทัลและสารสนเทศมีความสำคัญเป็นอย่างยิ่งต่อการดำเนินงานทางธุรกิจ ทั้งระบบการผลิตและโครงข่ายปฏิบัติงานที่ต้องเชื่อมโยงกับโครงข่ายอินเทอร์เน็ต ซึ่งอาจนำมาสู่ปัจจัยความเสี่ยงด้านภัยคุกคามทางไซเบอร์ (Cyber Threat) เพื่อให้การดำเนินงานด้านดิจิทัลและสารสนเทศของกลุ่มบริษัท โกลบอล เพาเวอร์ ซินเนอร์ยี่ จำกัด (มหาชน) หรือ จีพีเอสซี เป็นไปอย่างมีประสิทธิภาพ และมีประสิทธิผล มีการกำกับควบคุมความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศ เพื่อการป้องกันภัยคุกคามพร้อมการบริหารจัดการความเสี่ยงด้านไซเบอร์และสารสนเทศให้มีประสิทธิภาพ ตามมาตรฐาน ISO/IEC 27001 มาตรฐาน NIST และสอดคล้องกับกฎหมายที่เกี่ยวข้อง โดยบริษัทฯ ได้มีแนวทางในการกำกับดูแลความมั่นคงปลอดภัยไซเบอร์และสารสนเทศดังนี้

นโยบายความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Policy)

บริษัทฯ มีโครงสร้างการกำกับดูแลด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและไซเบอร์ดังนี้

คณะกรรมการบริษัท (Board of Directors : BOD)

คณะกรรมการบริษัท (Board of Director: BOD) มีบทบาทหน้าที่ในการทบทวน ให้ความเห็นชอบกลยุทธ์และนโยบายที่สำคัญ รวมถึงวัตถุประสงค์ แผนงานและเป้าหมายทางการเงินของบริษัทฯ รวมถึงกำกับดูแลและติดตามให้ฝ่ายบริหารมีการปฏิบัติตามแผนงานที่กำหนดไว้ตามทิศทางและกลยุทธ์องค์กรอย่างสม่ำเสมอ พร้อมทั้งพิจารณาถึงปัจจัยเสี่ยงสำคัญที่อาจเกิดขึ้นและกำหนดแนวทางการบริหารจัดการความเสี่ยงอย่างครอบคลุมและครบถ้วน ดูแลให้ผู้บริหารดำเนินการบริหารความเสี่ยงในทุกด้านอย่างมีระบบ อีกทั้งจัดให้มีการควบคุมภายในที่มีประสิทธิผลอย่างเพียงพอ และมีการประเมินความเหมาะสมของระบบการควบคุมภายในของบริษัทฯ อย่างสม่ำเสมอ

คณะกรรมการบริหารความเสี่ยง (Risk Management Committee : RMC)

คณะกรรมการบริหารความเสี่ยง (Risk Management Committee: RMC) ได้รับการแต่งตั้งและมอบหมายอำนาจ หน้าที่ ความรับผิดชอบตามกฎบัตรคณะกรรมการบริหารความเสี่ยงจากคณะกรรมการบริษัทฯ โดยมีบทบาทหน้าที่ในการกำหนด และทบทวนนโยบาย กรอบการบริหารความเสี่ยงองค์กร พร้อมทั้งกำกับดูแลและสนับสนุน ให้มีการดำเนินงานด้านการบริหารความเสี่ยงองค์กร รวมถึงความเสี่ยงจากสภาวการณ์ที่เปลี่ยนแปลงไปในทุกมิติที่ครอบคลุมความเสี่ยงด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยไซเบอร์ ตลอดจนให้ข้อคิดเห็นและคำแนะนำในการดำเนินงานบริหารความเสี่ยง ต่อคณะกรรมการบริหารความเสี่ยงและควบคุมภายในระดับจัดการ (Risk Management and Internal Control Committee: RMCC) คณะกรรมการจัดการ (Management Committee: MC) และฝ่ายจัดการ เพื่อให้มั่นใจถึงประสิทธิภาพมาตรการการบริหารจัดการความเสี่ยงในอันที่จะป้องกันภัยคุกคามที่อาจก่อให้เกิดผลกระทบต่อองค์กรได้อย่างทันท่วงที ทั้งนี้จะมีการรายงานประสิทธิภาพการกำกับดูแลและผลการดำเนินงานบริหารความเสี่ยงต่อคณะกรรมการบริษัทฯ

คณะกรรมการตรวจสอบ (Audit Committee: AC)

คณะกรรมการตรวจสอบ (Audit Committee: AC) มีบทบาทหน้าที่สอบทานเพื่อให้บริษัทฯ มีระบบการตรวจสอบภายใน ระบบควบคุมภายในและระบบบริหารความเสี่ยงที่เหมาะสมและมีประสิทธิผล ตลอดจนให้คำแนะนำต่อฝ่ายจัดการในการปรับปรุงกระบวนการทำงานหรือระบบงานเพื่อลดความเสี่ยงในเรื่องต่างๆ เพื่อให้มีระบบการทำงานที่มีประสิทธิภาพ

คณะกรรมการจัดการ (Management Committee: MC)

คณะกรรมการจัดการ (Management Committee: MC) มีหน้าที่ในการกำกับดูแล ผลักดันการดำเนินธุรกิจตามเป้าหมายกลยุทธ์ ตลอดจนบริหารจัดการ ปัญหาอุปสรรคและปัจจัยเสี่ยงต่างๆในอันที่จะมีผลกระทบต่อการดำเนินธุรกิจรวมถึงการให้ข้อมูล ข้อเสนอแนะต่อประธานเจ้าหน้าที่บริหารและกรรมการผู้จัดการใหญ่ ในการตัดสินใจในประเด็นที่สำคัญต่อการดำเนินธุรกิจ แผนการดำเนินงาน รวมทั้งบริหารจัดการให้เกิดระบบการทำงานของกลุ่มบริษัทฯ ให้เป็นไปในทิศทางเดียวกัน ตลอดจนพิจารณากลั่นกรองการบริหารความเสี่ยงในการดำเนินธุรกิจของกลุ่มบริษัทฯ โดยจะรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยง และผลการดำเนินธุรกิจต่อคณะกรรมการบริษัทฯ

คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (Risk Management and Internal Control Committee: RMCC)

คณะกรรมการบริหารความเสี่ยงและควบคุมภายใน (Risk Management and Internal Control Committee: RMCC) มีหน้าที่กำกับดูแลการบริหารความเสี่ยง ซึ่งหมายรวมถึงการควบคุมภายในขององค์กรอย่างเพียงพอเหมาะสม โดยให้ครอบคลุมความเสี่ยงทุกด้าน รวมถึงความเสี่ยงด้านสิ่งแวดล้อม สังคม และการกำกับดูแล (ESG Risk) เพื่อสร้างความมั่นใจอย่างสมเหตุสมผลในการบรรลุเป้าหมายองค์กร โดยผลักดันการดำเนินงานตามนโยบายและกรอบการบริหารความเสี่ยงของกลุ่มบริษัทฯ พร้อมทั้งกำกับดูแลการดำเนินงานบริหารความเสี่ยงระดับองค์กร (Corporate Risk) และความเสี่ยงระดับหน่วยงาน (Functional Risk) รวมถึงพิจารณากลั่นกรองแผนบริหารความเสี่ยง ติดตาม และประเมินผลการบริหารความเสี่ยง รวมทั้งให้การสนับสนุนและให้ข้อคิดเห็นต่อคณะกรรมการจัดการคณะต่างๆ ในการบริหารความเสี่ยงตามขอบเขตหน้าที่ของคณะกรรมการ ตลอดจนพัฒนาระบบบริหารความเสี่ยงให้เป็นไปตามมาตรฐานสากล มีประสิทธิภาพและประสิทธิผล รวมทั้งประเมินผลเพื่อสร้างความมั่นใจว่าระบบบริหารความเสี่ยงมีคุณภาพตามมาตรฐานที่กำหนด โดยจะรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยง คณะกรรมการตรวจสอบและคณะกรรมการจัดการ รวมถึงหน่วยงานกำกับดูแลที่เกี่ยวข้อง ทั้งนี้ ในกรณีที่มีปัจจัยหรือเหตุการณ์สำคัญซึ่งอาจมีผลกระทบต่อกลุ่มบริษัทฯ อย่างมีนัยสำคัญ จะมีการดำเนินการรายงานแนวทางและผลการดำเนินงานต่อคณะกรรมการบริหารความเสี่ยง เพื่อทราบและพิจารณาโดยเร็วดอย่างมีประสิทธิภาพ

คณะกรรมการบริหารดิจิทัลและความมั่นคงปลอดภัยไซเบอร์ (Digital and Cybersecurity Steering Committee: DCSC)

รองกรรมการผู้จัดการใหญ่กลยุทธ์องค์กรและบริหารบริษัทในเครือ เป็นประธานคณะกรรมการ ซึ่งทำหน้าที่บริหารจัดการการเปลี่ยนแปลงและประเมินความเสี่ยงทางด้านดิจิทัลและความมั่นคงปลอดภัยไซเบอร์ จัดวางกลยุทธ์เพื่อให้บรรลุเป้าหมายการดำเนินงาน ตลอดจนผลักดันและกำกับดูแลการดำเนินงาน รวมถึงพิจารณากลั่นกรองโครงการต่างๆ ให้สอดคล้องกับกลยุทธ์และการดำเนินธุรกิจขององค์กร

นอกจากนี้ยังมีผู้บริหารระดับสูงของสายงานต่างๆ เข้าร่วมเป็นคณะกรรมการ ซึ่งทำหน้าที่กำกับดูแลและขับเคลื่อนการดำเนินงานด้านดิจิทัลและความมั่นคงปลอดภัยไซเบอร์ เพื่อก่อให้เกิดผลลัพธ์ที่มีประสิทธิภาพ เป็นไปตามนโยบายความมั่นคงปลอดภัยทางไซเบอร์ ตามมาตรฐาน ISO/IEC 27001 มาตรฐาน NIST และสอดคล้องกับกฎหมายที่เกี่ยวข้อง

โดยให้มีการรายงานการดำเนินงานการบริหารความเสี่ยงและผลการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์และสารสนเทศต่อ คณะกรรมการจัดการตามความจำเป็น โดยในกรณีที่เกิดความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk) หรือความเสี่ยงที่อาจก่อให้เกิดผลกระทบรุนแรงต่อบริษัท (High Risk) จะรายงานต่อคณะกรรมการบริหารความเสี่ยงและควบคุมภายใน เพื่อพิจารณาความเพียงพอ และให้คำปรึกษาต่อแนวทางการบริหารความเสี่ยงดังกล่าว ตลอดจนผลักดันการบริหารความเสี่ยงให้มีประสิทธิภาพอย่างเป็นรูปธรรม

คณะทำงานความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Working Team)

ตัวแทนจากหน่วยงานต่างๆ ทั้งจากหน่วยงานทางธุรกิจหรือ IT (Information Technology) และหน่วยงานทางโรงงาน OT (Operation Technology) มีบทบาทหน้าที่จัดทำแผนงาน ปรับปรุง ตลอดจนวางกรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ ให้เป็นไปตามนโยบายความมั่นคงปลอดภัยทางไซเบอร์ของกลุ่มบริษัทฯ กฎหมาย และข้อกำหนดที่เกี่ยวข้อง เพื่อจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ พร้อมทั้งติดตามและรายงานผลการดำเนินงานต่อคณะกรรมการดิจิทัลและความมั่นคงปลอดภัยไซเบอร์ (DCSC) ตามความจำเป็น

คณะทำงานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC 27001 Information Security Management System - ISMS)

คณะทำงานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ประกอบด้วยคณะทำงาน 3 ส่วน ได้แก่

Information Security Management Representative (ISMR)/ Information Security Management Assistance (ISMA) คือ ตัวแทนของผู้บริหารของบริษัทฯ ที่ทำหน้าที่ควบคุมดูแลการจัดตั้ง ใช้งานและพัฒนาระบบฯ ขึ้นในบริษัทฯ รวมถึงดูแลรักษา ตรวจสอบและปรับปรุงระบบอย่างต่อเนื่อง เพื่อให้บรรลุตามนโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศ และสอดคล้องตามมาตรฐาน ISO/IEC 27001 พร้อมทั้งให้คำปรึกษาและแนะนำด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและการนำนโยบายต่างๆ ไปใช้งานแก่บุคลากรภายในบริษัทฯ รวมถึงควบคุมดูแลการเปลี่ยนแปลง (Change) ต่างๆ ที่เกิดขึ้นในบริษัทฯ พร้อมทั้งประสานงานให้มีการประเมิน แก้ไขและควบคุมความเสี่ยงจาการเปลี่ยนแปลงอย่างเหมาะสม รวมทั้งประสานงานและหาแนวทางในการควบคุมและจัดการปัญหา ในกรณีที่เกิดเหตุละเมิดความมั่นคงปลอดภัย (Incident) ขึ้นในบริษัทฯ โดยจะรายงานผลการดำเนินงานของระบบฯ ต่อคณะกรรมการบริหารดิจิทัลและความมั่นคงปลอดภัยไซเบอร์ (DCSC)

ISMS Core Team (CT) ประกอบด้วยตัวแทนจากหน่วยงานต่างๆ ที่อยู่ในขอบข่ายของระบบฯ ทำหน้าที่ประสานงานกับ ISMR/ISMA เพื่อทำการประเมินความเสี่ยงและบริหารจัดการความเสี่ยงสำหรับแต่ละส่วนงาน รวมถึงเพื่อทำการวัดประสิทธิผลของกระบวนการและการควบคุมในระบบฯ ที่เกี่ยวข้องในแต่ละส่วนงาน นอกจากนี้ CT มีหน้าที่ประสานงานกับ ISMR ในกรณีที่เกิดเหตุล่วงละเมิดความมั่นคงปลอดภัย หรือเหตุฉุกเฉินใดๆ ขึ้นในบริษัทฯ เพื่อควบคุมและจัดการกับปัญหาที่เกิดขึ้น

ISMS Document Controller (DC) คือ ผู้ทำหน้าที่ดูแล และควบคุมการใช้งานเอกสารและบันทึกต่างๆ ของระบบฯ ให้เป็นไปตามข้อกำหนดของมาตรฐาน ISO/IEC 27001 และต้องประสานงานกับทีม Document Controller กลางของบริษัทฯ เพื่อให้การดำเนินการในระบบฯ เป็นไปในแนวทางเดียวกันกับระบบมาตรฐานของบริษัทฯ

มาตรการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

บริษัทฯ ได้จัดฝึกอบรบหลักสูตรเกี่ยวกับความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity Awareness) รวมถึงมาตรฐานการปฏิบัติตามนโยบายเทคโนโลยีสารสนเทศและการสื่อสารของบริษัทฯ ได้แก่ การใช้คอมพิวเตอร์และซอฟต์แวร์ การใช้อินเตอร์เน็ตและการรับส่งอีเมล การป้องกันไวรัสคอมพิวเตอร์ ให้แก่พนักงานทุกระดับและพนักงานเข้าใหม่ก่อนเริ่มปฏิบัติงานในองค์กร ผ่านช่องทางออนไลน์แบบ e-Learning และการปฐมนิเทศเพื่อให้พนักงานสร้างความตระหนักถึงภัยไซเบอร์ รวมถึงรับทราบนโยบายและระเบียบการใช้งานระบบเทคโนโลยีสารสนเทศที่พนักงานทุกระดับสามารถเข้าถึงได้และจะต้องยึดถือปฏิบัติตามอย่างเคร่งครัดซึ่งเป็นส่วนหนึ่งของการประเมินผลการปฏิบัติงาน พนักงานที่ฝ่าฝืนจะต้องถูกดำเนินการตามมาตรการด้านวินัยของบริษัทฯ

โดยในปี 2564 บริษัทฯ จัดหลักสูตร IT Policy และ
Cybersecurity Awareness ในรูปแบบ e-Learning
ทั้งหมด
2

หลักสูตร

พนักงานเข้าร่วมทั้งหมด
1,030

คน

นอกจากนี้ บริษัทฯ มอบหมายให้หน่วยงานภายนอก (Third Party) ดำเนินการวิเคราะห์ช่องโหว่ (Vulnerability Analysis) ของระบบเทคโนโลยีสารสนเทศขององค์กรเป็นประจำทุกปี ซึ่งประกอบด้วย 4 กิจกรรม ได้แก่ การทดสอบโจมตีจากอินเตอร์เน็ตมายังระบบขององค์กรที่ออนไลน์บนอินเตอร์เน็ต (External Penetration) การทดสอบโจมตีจากเครือข่ายภายใน (Internal Penetration) การค้นหาช่องโหว่ Vulnerability Scan เพื่อตรวจหาช่องโหว่ของระบบ และการทดสอบ Phishing Mail โดยมีการติดตามวัดผลอย่างใกล้ชิด และหากพนักงานคนใดที่ปฏิบัติตนไม่ถูกต้องและตกเป็นเหยื่อการทดสอบจะมีการสื่อสารและจัดหลักสูตรอบรบเพื่อสร้างความตระหนักถึงภัยคุกคามทางไซเบอร์ของพนักงานเฉพาะกลุ่มเป้าหมายต่อไป ทั้งนี้ เมื่อเกิดเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ พนักงานสามารถติดต่อหรือแจ้งผ่านช่องทางที่ให้บริการด้านเทคโนโลยีสารสนเทศ ได้แก่ IT Service Desk ผู้ดูแลระบบและ PTT-Digital เพื่อตรวจสอบและดำเนินการแก้ไขเหตุการณ์

อีกทั้ง บริษัทฯ ได้จัดช่องทางการรายงานอีเมลที่พนักงานได้รับที่ต้องสงสัยว่าเป็นสแปม (SPAM) หรือ Phishing Mail และต้องการตรวจสอบโดยสามารถแจ้งผ่านฟังก์ชันการ Report Phishing ได้ โดยในปีที่ผ่านมาบริษัทฯ ผ่านการรับรองระบบมาตราฐานการจัดการความมั่นคงปลอดภัยของข้อมูล หรือ Information Security Management System – ISO/IEC 27001:2013 สำหรับศูนย์ข้อมูล (Data Center) โครงสร้างพื้นฐานและการจัดการคลาวด์แบบ Infrastructure as a service (IaaS) ที่บริหารจัดการโดยบริษัทฯ

ปรับปรุง ณ เดือน กุมภาพันธ์ ปี 2565

เนื้อหาข้างต้นจัดทำตามมาตรฐานการรายงานความยั่งยืน โดย The Global Reporting Initiative (GRI Standards) ได้รับการตรวจสอบความถูกต้องโดยหน่วยงานภายนอกและให้ความเชื่อมั่นข้อมูลการรายงานในระดับจำกัด (Limited Assurance)