- หน้าหลัก
- >
- ความยั่งยืน
- >
- การบริหารจัดการความเสี่ยง
การบริหารจัดการความเสี่ยง
แนวทางการบริหารจัดการ(GRI 3-3d., GRI 3-3e., GRI 3-3f.)
การบริหารความเสี่ยง
การดำเนินธุรกิจในปัจจุบันมีความท้าทายที่มากขึ้น ทั้งในภาพของการแข่งขันในตลาด วิกฤตการณ์และการเปลี่ยนผ่าน การบริหารความเสี่ยง (Risk Management) จึงถือเป็นเครื่องมือสำคัญสำหรับการบริหารจัดการธุรกิจของ OR เพื่อสร้างความเชื่อมั่นว่าการดำเนินธุรกิจสามารถบรรลุเป้าหมาย ตอบสนองต่อความต้องการของผู้มีส่วนได้เสียทุกกลุ่มอย่างสมดุล และป้องกันความสูญเสียที่อาจเกิดขึ้นจากความไม่แน่นอน พร้อมทั้งแสวงหาโอกาสในการเพิ่มมูลค่าทางธุรกิจเพื่อรักษาศักยภาพในการแข่งขันขององค์กรต่อไปในอนาคต OR จึงจัดตั้งโครงสร้างการบริหารจัดการความเสี่ยง ซึ่งกำกับดูแลโดยคณะกรรมการบริหารความเสี่ยงองค์กร โดยมีคณะกรรมการตรวจสอบเป็นผู้สอบทานระบบการบริหารความเสี่ยง และช่วยผลักดันให้เกิดการบริหารความเสี่ยงอย่างมีประสิทธิภาพทั่วทั้งองค์กร
OR’s Risk Management Structure
ขอบเขตความรับผิดชอบ
ระดับกรรมการ | ระดับองค์กร | ระดับหน่วยธุรกิจ | ระดับปฏิบัติการ |
|---|---|---|---|
คณะกรรมการบริหารความเสี่ยงองค์กร: ได้รับการแต่งตั้งจากคณะกรรมการบริษัท มีหน้าที่กำกับดูแลแนวทางการบริหารความเสี่ยงโดยการกำหนดนโยบายการบริหารความเสี่ยง อนุมัติความเสี่ยงที่ยอมรับได้ กรอบการบริหารความเสี่ยงและ Corporate Risk Profile ตลอดจนติดตามประสิทธิผลของการบริหารความเสี่ยงองค์กรอย่างสม่ำเสมอ และทบทวนการเกิดความเสี่ยงอย่างน้อยทุกไตรมาส ให้คำปรึกษาและแนะนำเรื่องการบริหารความเสี่ยง คณะกรรมการตรวจสอบ: คณะกรรมการมีหน้าที่สอบทานความเหมาะสมของระบบการควบคุมภายในและการบริหารความเสี่ยงขององค์กร | การบริหารความเสี่ยงองค์กรและการควบคุมภายใน: หน่วยงานบริหารความเสี่ยงและควบคุมภายในภายใต้ฝ่ายกลยุทธ์และบริหารการลงทุน ทำหน้าที่รวบรวมความเสี่ยงทั้งองค์กรระบุผลกระทบและความเป็นไปได้ของความเสี่ยง ประเมินความเสี่ยงและจัดลำดับความสำคัญ รวมทั้งจัดทำ Corporate Risk Profile เพื่อขออนุมัติจากคณะกรรมการบริหารความเสี่ยงองค์กรและคณะกรรมการบริษัท รวมทั้งติดตามการบริหารความเสี่ยงระดับองค์กรและรายงานต่อคณะกรรมการบริหารความเสี่ยงองค์กรและคณะกรรมการบริษัทเป็นประจำทุกไตรมาส หน่วยงานตรวจสอบภายใน หน่วยงานตรวจสอบภายในทำหน้าที่สอบทานระบบการควบคุมภายในและระบบการบริหารความเสี่ยง | หน่วยปฏิบัติการ/ฝ่าย/ส่วน/แผนก:
รับผิดชอบในการวิเคราะห์ความเสี่ยงของสายงาน / ฝ่าย / ส่วน / แผนก และดำเนินการตามกระบวนการบริหารความเสี่ยง รวมทั้งติดตามการดำเนินการบริหารความเสี่ยงที่เกี่ยวข้องกับหน่วยงาน | หน่วยปฏิบัติการ/ฝ่าย/ส่วน/แผนก:
รับผิดชอบในการวิเคราะห์ความเสี่ยงของสายงาน / ฝ่าย / ส่วน / แผนก และดำเนินการตามกระบวนการบริหารความเสี่ยง รวมทั้งติดตามการดำเนินการบริหารความเสี่ยงที่เกี่ยวข้องกับหน่วยงาน |
Risk Management Framework
OR จัดให้มีการให้ความรู้ด้านการบริหารความเสี่ยงสำหรับบุคลากรในตำแหน่งประธานเจ้าหน้าที่บริหารขึ้นไป ผ่านหลักสูตรอบรม Risk Management Program for Corporate Leader (RCL) ซึ่งจัดโดยสมาคมส่งเสริมสถาบันกรรมการบริษัทไทย (Thai Institute of Directors: IOD) อย่างสม่ำเสมอ เพื่อสร้างความรู้ความเข้าใจในบทบาทและความรับผิดชอบในการกำกับดูแลกิจการด้านการบริหารความเสี่ยง เพื่อการบริหารโอกาสต่อการพัฒนาธุรกิจและเข้าใจบทบาทและความรับผิดชอบเมื่อเกิดภาวะวิกฤต นอกจากนี้ ยังได้มีการจัดการอบรม Risk Management และ Internal Control ให้กับพนักงานใหม่ในหลักสูตร Orientation และจัดการอบรม Risk Management ให้กับทุกสายงานและหน่วยขึ้นตรง เพื่อใช้ในการจัดทำ Business Unit Risk / Project Risk / การวิเคราะห์ความเสี่ยงของหน่วยงาน / การจัดทำ Workflow Process and Process Control Plan นอกจากนี้ยังมีการจัดการอบรม Risk Management และ Internal Control ให้กับผู้บริหารหรือพนักงานที่ไปปฏิบัติงาน Secondment บริษัทในกลุ่ม OR ในฐานะผู้บริหารสูงสุดขององค์กร / CFO / กรรมการบริษัท / Overseas Pool ในหลักสูตร Company Management Program อีกด้วย
OR ได้ประกาศนโยบายการบริหารความเสี่ยง ซึ่งกำหนดกรอบและกระบวนการบริหารความเสี่ยงที่เชื่อมโยงกันทุกระดับในองค์กร ตามหลักเกณฑ์ของ COSO Enterprise Risk Management – Integrated Framework 2017 ซึ่งขับเคลื่อนโดยทีมบริหารความเสี่ยงและควบคุมภายใน สังกัดฝ่ายกลยุทธ์และการบริหารการลงทุน โดยมีการเชื่อมโยงการบริหารความเสี่ยงกับกระบวนการทำกลยุทธ์และแผนธุรกิจตั้งแต่เริ่มต้นกระบวนการ ให้มีความเชื่อมโยงกันในทุกระดับตลอดทั้งห่วงโซ่คุณค่า มีการติดตามความคืบหน้าการบริหารจัดการความเสี่ยงรายไตรมาสและรายปีเพื่อรายงานต่อคณะกรรมการบริหารความเสี่ยงองค์กรและคณะกรรมการบริษัท เพื่อทบทวนประเด็นความเสี่ยงอย่างสม่ำเสมอ และควบคุมความเสี่ยงขององค์กรให้อยู่ในระดับที่ OR สามารถยอมรับได้
ในปี 2566 OR ได้ทบทวนนโยบายการบริหารความเสี่ยงให้สอดคล้องกับทิศทางและกลยุทธ์การดำเนินธุรกิจของบริษัทฯ ที่มุ่งสู่การดำเนินธุรกิจเพื่อการสร้างอนาคตที่ยั่งยืนผ่าน SDG ในแบบฉบับของ OR เพื่อตอบโจทย์เป้าหมาย OR 2030 ได้อย่างมีประสิทธิภาพ ไม่ว่าจะเป็น
S – SMALL โอกาสเพื่อคนตัวเล็ก (Opportunities for Communities) ผ่านการดำเนิน ธุรกิจควบคู่ไปกับการยกระดับคุณภาพชีวิตความเป็นอยู่ของชุมชน
D – DIVERSIFIED โอกาสเพื่อการเติบโตทุกรูปแบบ (More Partners, Products and Services) ผ่านศักยภาพของ OR ที่จะเป็น Platform ในการกระจายโอกาสทางธุรกิจที่หลากหลายและครอบคลุม พร้อมเติบโตไปด้วยกัน
G – GREEN โอกาสเพื่อสังคมสะอาด (Low Carbon Business Areas) ผ่านการส่งเสริม ธุรกิจทุกประเภทของ OR ให้เป็นธุรกิจสีเขียว เพื่อสนับสนุนให้เกิดสังคมคาร์บอนต่ำ อย่างยั่งยืน และบรรลุความเป็นกลางทางคาร์บอน (Carbon Neutrality) ภายในปี 2030 ตลอดจนมุ่งสู่การบรรลุการปล่อยคาร์บอนสุทธิเป็นศูนย์ (Net Zero Carbon) ภายในปี 2050
เพื่อการเติบโตร่วมกับผู้มีส่วนได้เสียทุกกลุ่มอย่างยั่งยืน OR มีการพิจารณาถึงปัจจัยที่จะก่อให้เกิดความเสี่ยงที่สำคัญทั้งจากภายนอกและภายในองค์กร โดยมีการสื่อความแนวโน้มความเสี่ยงประจำปี 2566 ทั้งความเสี่ยงระดับโลก (Global Risk) ระดับประเทศ (Thailand Risk) และความเสี่ยงทางธุรกิจ (Business Area Risk) เพื่อให้ทุกสายงาน ทั้งสายงานธุรกิจและสายงานสนับสนุนคำนึงถึงความเสี่ยงและจัดทำแผนการบริหารความเสี่ยงควบคู่กับการจัดทำแผนกลยุทธ์และแผนธุรกิจของสายงาน ให้มีความสอดคล้องกับทิศทางกลยุทธ์ เป้าหมายขององค์กรและกรอบความเสี่ยงขององค์กร (Corporate Risk Framework) มีการรวบรวมประเด็นความเสี่ยงที่สำคัญจากสายงานธุรกิจและสายงานสนับสนุนเพื่อจัดทำแผนการบริหารความเสี่ยงองค์กรประจำปี 2566 (Corporate Risk Profile) และมีการสื่อความแผนการบริหารความเสี่ยงองค์กรประจำปี 2566 ที่ได้รับการอนุมัติจากคณะกรรมการบริษัทแล้วให้ทุกสายงานนำไปบริหารความเสี่ยง เพื่อให้การบริหารความเสี่ยงสอดคล้องกันทั้งระดับองค์กร ระดับสายงาน และระดับปฏิบัติการ มีการติดตามและรายงานผลการบริหารความเสี่ยงทุกไตรมาสต่อคณะกรรมการจัดการ คณะกรรมการบริหารความเสี่ยงองค์กร และคณะกรรมการบริษัท ทั้งนี้ ได้มีการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) และมีการนำระดับความเสี่ยงที่ทนได้ (Risk Tolerance) มาเป็นตัวกำหนดระดับเกณฑ์ในการวัดผล (Threshold) ของดัชนีชี้วัดความเสี่ยง (Key Risk Indicator) เพื่อใช้ในการวัดผลการบริหารความเสี่ยงให้มีประสิทธิภาพมากขึ้น
OR ได้ดำเนินการตรวจสอบกระบวนการบริหารความเสี่ยงอย่างต่อเนื่องเป็นประจำทุกปี ทั้งการตรวจสอบภายในและภายนอก โดยคณะกรรมการตรวจสอบได้สอบทานประสิทธิผลและประสิทธิภาพของกระบวนการบริหารความเสี่ยง รวมถึงนโยบายการบริหารความเสี่ยง และได้สอบทานการควบคุมภายใน การปฏิบัติตามกฎหมายและกฎระเบียบที่เกี่ยวข้องของ OR และบริษัทในเครือ ร่วมกับหน่วยงานตรวจสอบภายในผ่านการพิจารณาผลการปฏิบัติงานตรวจสอบทุกไตรมาส และงานให้คำปรึกษา รวมถึงได้ให้คำแนะนำและข้อเสนอแนะเกี่ยวกับการควบคุมภายในและการบริหารความเสี่ยงในกระบวนการทสำคัญต่อการดำเนินธุรกิจแก่ฝ่ายจัดการของ OR และบริษัทในเครือ พร้อมทั้งสอบทานรายงานการประเมินผลการควบคุมภายในและให้ความเห็นต่อรายงานจัดการระบบควบคุมภายในตามหลักเกณฑ์กระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการควบคุมภายในสำหรับหน่วยงานของรัฐ พ.ศ. 2561 ซึ่งในปี 2566 ผลการประเมินการควบคุมภายในมีความเพียงพอและปฏิบัติตามอย่างต่อเนื่อง และได้ระบุความเสี่ยงที่มีอยู่พร้อมการปรับปรุงการควบคุมภายในที่จะสามารถป้องกันหรือลดความเสี่ยงดังกล่าวในปี 2567
สำหรับการตรวจสอบภายนอก OR ดำเนินการตรวจสอบความเสี่ยงระดับปฏิบัติการ (Operational Risk) ผ่านการตรวจสอบโดย Third Party ซึ่งเป็นส่วนหนึ่งในการรับรอง ISO 9001 ISO14001 และ ISO45001
แผนภาพการบริหารความเสี่ยงองค์กรของ OR
(OR’s Enterprise Risk Management)
ประเด็นความเสี่ยงองค์กร
OR ได้ทำการวิเคราะห์สภาพแวดล้อมทางธุรกิจจากสถานการณ์วิกฤตต่าง ๆ ที่เกิดขึ้นในปี 2566 ทั้งจากปัจจัยภายในและภายนอก โดยความเสี่ยงที่สำคัญในปี 2566 ได้แก่ สถานการณ์ความขัดแย้งรัสเซีย-ยูเครน ความขัดแย้งอิสราเอล-ปาเลสไตน์ สถานการณ์ทางการเมือง นโยบายจากภาครัฐ สถานการณ์เศรษฐกิจ แนวโน้มเงินเฟ้อ อัตราดอกเบี้ยและความผันผวนของอัตราแลกเปลี่ยน สถานการณ์ภัยธรรมชาติ ความแห้งแล้ง สถานการณ์การเปลี่ยนแปลงในอุตสาหกรรม คู่แข่ง สถานการณ์การเปลี่ยนแปลงของเทคโนโลยี Cybersecurity สภาพคล่องทางการเงิน การบังคับใช้กฎหมายใหม่ และอื่น ๆ ที่เกี่ยวข้อง โดยได้กำหนดปัจจัยความเสี่ยงที่สำคัญต่อการดำเนินธุรกิจในปัจจุบันและอนาคต สรุปเป็นปัจจัยความเสี่ยงระดับองค์กร โดยแบ่งออกเป็น 6 กลุ่ม ดังนี้
1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2. ความเสี่ยงด้านปฏิบัติการและธุรกิจ (Operational and Business Risk)
3. ความเสี่ยงด้านสิ่งแวดล้อม สังคม บรรษัทภิบาล (ESG Risk)
4. ความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk)
5. ความเสี่ยงด้านการเงิน (Financial Risk)
6. ความเสี่ยงด้านการปฏิบัติตามกฎหมาย/กฎระเบียบ (Compliance Risk)
OR ได้ดำเนินการควบคุมความเสี่ยงและจัดทำมาตรการลดความเสี่ยงเพิ่มเติม จนสามารถลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ นอกจากนี้ เนื่องจากในปี 2566 เกิดสถานการณ์ความขัดแย้งอิสราเอล-ปาเลสไตน์ ซึ่งส่งผลกระทบให้ราคาน้ำมันผันผวนเล็กน้อย OR จึงมีการวิเคราะห์ตามแบบจำลองฉากทัศน์ (Scenario) ของ Bloomberg โดยวิเคราะห์ผลกระทบต่อ OR รวมทั้งมีการเตรียมการบริหารจัดการและให้มีการติดตามสถานการณ์อย่างใกล้ชิด นอกจากนี้ OR ยังได้ตระหนักถึงความเสี่ยงในด้าน Cyber Attack ที่มีแนวโน้มในการถูกโจมตีมากขึ้นในปัจจุบัน ขณะที่ OR ได้ปรับเปลี่ยนองค์กรไปสู่การเป็นดิจิทัล (Digital Driven Organization) ซึ่งเหตุการณ์ Cyber Attack อาจกลายเป็นเหตุการณ์ Black Swan ที่ทำให้เกิดการหยุดชะงักของ Operation และการดำเนินธุรกิจทั่วทั้งองค์กร รวมถึงกระทบต่อผลประกอบการของบริษัทฯ OR จึงได้มีการทบทวนแผนรับมือสภาวะวิกฤตและฝึกซ้อมการบริหารความต่อเนื่องทางธุรกิจทั้งองค์กรตลอดห่วงโซ่คุณค่า (Value chain) สำหรับเหตุการณ์ Cyber Attack OR Digital Infrastructure ในวันที่ 29 สิงหาคม 2566 เพื่อรองรับการตอบสนองต่อเหตุฉุกเฉินจากสถานการณ์ Cyber Attack ได้อย่างมีประสิทธิภาพ
ตัวอย่างความเสี่ยง
ปัจจัยเสี่ยงขององค์กร | การจัดลำดับความสำคัญ | ระดับความเสี่ยงที่รับได้ | การบรรเทาผลกระทบ | การติดตามและตรวจสอบ | |
|---|---|---|---|---|---|
IT Risk | ความเสี่ยงด้านความปลอดภัยทางไซเบอร์ และ ภัยคุกคามความปลอดภัยทางไซเบอร์นั้นเพิ่มมากขึ้นเรื่อย ๆ ส่งผลกระทบในวงกว้าง เช่น การโจมตีของไวรัสคอมพิวเตอร์ ไวรัสเรียกค่าไถ่ (ransomware) การโจรกรรมข้อมูล และการแฮ็กข้อมูล ส่งผลให้ข้อมูลสำคัญของบริษัทฯ และข้อมูลที่เป็นความลับอาจรั่วไหล ส่งผลให้การดำเนินธุรกิจหยุดชะงัก ส่งผลเสียต่อธุรกิจและภาพลักษณ์ขององค์กร |  | การรั่วไหลของข้อมูลตามที่กฎหมายกำหนดหรือการรั่วไหลของข้อมูลที่จะส่งผลกระทบต่อการดำเนินธุรกิจอย่างมีนัยสำคัญเป็นศูนย์ | OR ให้ความสำคัญกับการดำเนินการป้องกันและบรรเทาเพื่อหลีกเลี่ยงการตกเป็นเป้าหมายของการโจมตีทางไซเบอร์ โดยใช้แผนงานด้านความปลอดภัยทางไซเบอร์เพื่อยกระดับความปลอดภัยและมีประสิทธิภาพ ได้แก่: • การใช้ระบบ Firewall และ Security Operation Center (SOC) เพื่อป้องกันการโจมตีและการรั่วไหลของข้อมูล • จัดหา ติดตั้ง และประยุกต์ใช้ซอฟท์แวร์ Cloud Access Security Brokers (CASB) และ Data Leak Protection (DLP) ติดตั้งในคอมพิวเตอร์เพื่อควบคุมการเข้าถึง การโจมตี และการป้องกันการรั่วไหลของข้อมูล • ซื้อประกันไซเบอร์ • สร้างความตระหนักรู้ด้าน Cyber Security ให้กับพนักงานและ BSA โดยจัดทำสื่อการเรียนรู้และแบบทดสอบด้าน Cyber Security Awareness • ทดสอบการเจาะระบบและเพิ่มเติมการทดสอบเจาะระบบให้มีความถี่มากขึ้น และให้ครอบคลุมไปถึงระบบที่ Host อยู่ภายนอก PTT Digital • การจัดทำแผนรับมือสภาวะวิกฤตและฝึกซ้อมการบริหารความต่อเนื่องทางธุรกิจทั้งองค์กรตลอดห่วงโซ่คุณค่า | • ติดตามรายงาน Cyber Security Roadmap ทุกไตรมาส |
ปัจจัยเสี่ยงขององค์กร | การจัดลำดับความสำคัญ | ระดับความเสี่ยงที่รับได้ | การบรรเทาผลกระทบ | การติดตามและตรวจสอบ | |
|---|---|---|---|---|---|
Financial Risk | ความเสี่ยงด้านสภาพคล่องทางการเงินหาก OR ไม่มีการบริหารจัดการสภาพคล่องทางการเงินที่เหมาะสมอาจส่งผลกระทบต่อการดำเนินธุรกิจและภาระต้นทุนทางการเงินขององค์กรอย่างมีนัยสำคัญ |
| สภาพคล่องทางการเงินต้องอยู่ในระดับที่เพียงพอต่อการชำระหนี้ ภาระผูกพัน และการลงทุน โดยมีอัตราส่วนทางการเงินเป็นไปตามนโยบายการเงินของกลุ่ม ปตท. | • จัดทำประมาณการทางการเงิน เพื่อวางแผนการจัดหาเงินทุนล่วงหน้าและสอดคล้องกับความต้องการใช้เงินและสถานการณ์ของตลาดเงินและ/หรือตลาดทุน • มีแผนการจัดหาวงเงินกู้ระยะสั้นและ/หรือระยะยาวล่วงหน้า เพื่อสำรองวงเงินทุน • เตรียมการสำหรับการออกตราสารหนี้เพื่อเสริมสภาพคล่องในระยะยาว (Bond Issuance) | ติดตามการบริหารความเสี่ยงสภาพคล่องทางการเงินทุกไตรมาส • ข้อมูลเรื่องการตรวจสอบภายใน สามารถดูได้ที่แบบ 56-1 One Report หน้า 62 (คลิกเพื่ออ่านเพิ่มเติม) • รายงานของผู้สอบบัญชีอิสระสามารถอ่านได้ที่แบบ 56-1 One Report หน้า 293 (คลิกเพื่ออ่านเพิ่มเติม) |
วัฒนธรรมความเสี่ยง
OR มุ่งส่งเสริมวัฒนธรรมการจัดการความเสี่ยงทั่วทั้งองค์กร เพื่อให้มั่นใจว่า OR มีการเติบโตที่มั่นคงและยั่งยืน ผู้บริหารและพนักงานทุกระดับในองค์กรมีการตระหนักถึงความเสี่ยง (Risk Awareness) การเปิดรับความเสี่ยง (Risk-taking) และการบริหารความเสี่ยง (Risk Management) โดย OR เสริมสร้างวัฒนธรรมด้านความเสี่ยงดังนี้
OR ผลักดันวัฒนธรรมการบริหารความเสี่ยงโดยผู้นำองค์กร (Tone from the top) โดยมีการประกาศนโยบายการบริหารความเสี่ยง ประกาศความเสี่ยงที่ยอมรับได้ (Risk Appetite) ส่งเสริมและกำกับดูแลให้มีการบริหารความเสี่ยงอย่างเหมาะสมทั่วถึงทั้งองค์กร
OR กำหนดความรับผิดชอบต่อความเสี่ยง (Accountability) โดยผู้บริหารและพนักงานตระหนักถึงความเป็นเจ้าของความเสี่ยง (Ownership of Risk) มีการเปิดรับความเสี่ยงอย่างเหมาะสม มีการกำหนดตัวชี้วัดผลสำเร็จของงาน (Key Performance Indicator: KPI) ที่คำนึงถึงความสมดุลระหว่างผลตอบแทนและความเสี่ยง ในมุมมองการลงทุนเพื่อการทำธุรกิจ OR มีการกำหนดหลักเกณฑ์และแนวทางการวิเคราะห์การลงทุน ให้มีการประเมินความเสี่ยงและจัดเตรียมแผนรองรับ Mitigation Plan เพื่อลดผลกระทบจากการลงทุนอีกด้วย ในการรายงานความเสี่ยง OR มีกระบวนการยกระดับปัญหา (Escalation Process) หากพบความเสี่ยงที่เกินกว่าระดับความเสี่ยงที่ยอมรับได้ขององค์กร ทั้งนี้ OR กำหนดช่องทางให้พนักงานสามารถแจ้งเบาะแสหรือรายงานในกรณีพบเหตุการณ์ผิดปกติที่เป็นความเสี่ยงและอาจนำไปสู่ผลกระทบเชิงลบต่อการดำเนินธุรกิจหรือต่อองค์กรได้ทางอีเมล OR-ERMC@pttor-staging.livetubex.com (Individual employees has responsibility to proactively identify and report potential risks in Risk Management Policy) OR มีการสื่อสารและแลกเปลี่ยนความคิดเห็นให้เกิดการถ่วงดุลอย่างมีประสิทธิผล (Effective communication and challenges) สนับสนุนการแสดงความคิดเห็นที่เปิดกว้าง และนำเสนอมุมมองเรื่องความเสี่ยงในทุกขั้นตอนของการทำงานจากทุกหน่วยงาน
OR มีการสร้างแรงจูงใจ และการบริหารจัดการทรัพยากรบุคคล (Incentives and HR practices) เพื่อส่งเสริมให้บุคลากรทุกระดับปฏิบัติตนสอดคล้องกับ OR DNA การบริหารความเสี่ยงที่ดี ตลอดจนการปฏิบัติตามนโยบายและกระบวนการของบริษัท ซึ่งสะท้อนในการประเมินผลการปฏิบัติงานประจำปี นอกจากนี้ยังได้นำการบริหารจัดการด้านทรัพยากรบุคคลมาช่วยส่งเสริมวัฒนธรรมด้านความเสี่ยงขององค์กร เช่น การวางแผนการสืบทอดตำแหน่ง (Succession Planning) การจัดอบรมเสริมสร้างความรู้ เป็นต้น OR กำหนดและเน้นย้ำให้พนักงานทุกคนยึดหลักแนวทางการดำเนินงานที่คำนึงถึง Governance, Risk, และ Compliance (GRC) มีการเผยแพร่คู่มือบริหารความเสี่ยงทั่วทั้งองค์กรทางเว็บไซต์ที่พนักงานทุกคนเข้าถึงได้ ตลอดจนมีการจัดการฝึกอบรมระหว่างปี เพื่อให้พนักงานตระหนักถึงความสำคัญของกระบวนการบริหารความเสี่ยงและการควบคุมภายใน และเป็นการเพิ่มพูนความรู้ ความเข้าใจในด้านการบริหารความเสี่ยงและการควบคุมภายในให้กับผู้บริหารและพนักงานเพื่อนำไปปรับใช้ในการปฏิบัติงานได้อย่างมีประสิทธิภาพ โดยเฉพาะอย่างยิ่งในการกำหนดให้การบริหารความเสี่ยงเป็นหัวข้อหนึ่งของหลักสูตรการอบรมพนักงานใหม่ (OR Orientation) ประจำปีด้วย OR จัดการฝึกอบรมเพื่อให้พนักงานปฏิบัติงานอย่างถูกต้องตามข้อกฎหมาย กฎระเบียบองค์กร (Compliance) เช่น หลักสูตร พรบ.การแข่งขันทางการค้า พ.ศ. 2560 การบริหารความเสี่ยง การปฏิบัติตามข้อกฎหมาย และกฎระเบียบองค์กร ตั้งแต่แรกเข้าปฏิบัติงาน นอกจากนี้ OR ได้สนับสนุนให้กรรมการ ผู้บริหารระดับสูง และผู้บริหารที่ได้รับการแต่งตั้งให้ดำรงตำแหน่งกรรมการบริษัทในกลุ่ม OR รวมถึงพนักงานที่เกี่ยวข้องเข้าอบรมหลักสูตรที่เกี่ยวข้องกับ GRC ของสมาคมส่งเสริมสถาบันกรรมการบริษัทไทย (IOD) อาทิ หลักสูตร Advanced Audit Committee Program (AACP) หลักสูตร Risk Management Program for Corporate Leaders (RCL) หลักสูตร Ethical Leadership (ELP) หลักสูตร Anti-Corruption in Practice (ACPG) หลักสูตร Corruption Risk & Control และหลักสูตรการกำกับดูแลกิจการที่ดี (CG) E-learning
รายละเอียดการฝึกอบรมด้านความเสี่ยงในปี 2566 ที่ผ่านมา(GRI 3-3e.)
หลักสูตร | กลุ่มเป้าหมาย | วันที่ฝึกอบรม | จำนวนผู้เข้าร่วมอบรม | สรุปข้อเสนอแนะจากการฝึกอบรม |
|---|---|---|---|---|
Risk Management and Internal Control (Orientation) | พนักงานเข้าใหม่ | 25 สิงหาคม 66 | 50 คน | พนักงานใหม่มีความรู้ความเข้าใจ ในการบริหารความเสี่ยงและการควบคุมภายใน เพื่อเป็นพื้นฐานในการทำงาน |
Risk Management | หน่วยงานกลยุทธ์ของทุกสายงานและหน่วยขึ้นตรง | 1 มิถุนายน 66 | 50 คน | ผู้เข้าอบรมมีความรู้ความเข้าใจใน การบริหารจัดการความเสี่ยงมากขึ้น |
Risk Management and Internal Control (หลักสูตร Company Management Program) | ผู้บริหารหรือพนักงานที่ไปปฏิบัติงาน Secondment บริษัทในกลุ่ม OR ในฐานะผู้บริหารสูงสุดขององค์กร / CFO / กรรมการบริษัท / Overseas Pool | 21 พฤศจิกายน 66 | 32 คน | ผู้เข้าอบรมมีความรู้ความเข้าใจใน การบริหารจัดการความเสี่ยงมากขึ้น |
ความเสี่ยงที่เกิดขึ้นใหม่
OR ให้ความสำคัญกับความเสี่ยงที่เกิดขึ้นใหม่และเตรียมพร้อมรับมือโดยคำนึงถึงผลกระทบต่อการดำเนินธุรกิจของ OR โดยมีมาตรการเตรียมความพร้อมรับมือกับความเสี่ยงที่เกิดขึ้นอย่างรอบด้านและรอบคอบ ดังนี้
1. วิกฤตทรัพยากรธรรมชาติและการสูญเสียความหลากหลายทางชีวภาพ : เมล็ดกาแฟ
คำอธิบายความเสี่ยง (Description) | มาตรการรองรับความเสี่ยง (Mitigating Action) |
|---|---|
The Global Risks Report 2023 โดย World Economic Forum รายงานว่าวิกฤตทรัพยากรธรรมชาติและการสูญเสียความหลากหลายทางชีวภาพเป็นหนึ่งในความเสี่ยงทั่วโลกที่ได้รับการจัดอันดับตามความรุนแรงในระยะยาว นอกจากนี้ FAO ได้เผยว่า อุณหภูมิของโลกที่สูงขึ้นสามารถลดพื้นที่ที่เหมาะสมในการปลูกกาแฟได้ถึง 50% ประเทศในแถบ Bean Belt หรือพื้นที่บริเวณเส้นศูนย์สูตรที่สามารถปลูกกาแฟ ลากผ่านทั้ง 5 ทวีปและครอบคลุมหลายประเทศ เช่น เปรู บราซิล เอธิโอเปีย โคลัมเบีย เป็นต้น กำลังเผชิญกับปัญหาการเปลี่ยนแปลงของสภาพอากาศ และอาจจะส่งผลต่อผลผลิตกาแฟในอนาคต ทั้งเรื่องการสูญพันธุ์ของกาแฟบางชนิด รสชาติ กลิ่นรวมถึงไปถึงคุณภาพของกาแฟที่อาจจะเปลี่ยนไป ผลกระทบ ธุรกิจ Café Amazon อาจได้รับผลกระทบจากการขาดแคลนเมล็ดกาแฟ ทำให้ต้นทุนสูงขึ้น ส่งผลกระทบต่อผลการดำเนินงาน นอกจากนี้ รสชาติ กลิ่นและคุณภาพของกาแฟที่เปลี่ยนแปลงไปอาจส่งผลกระทบต่อความพึงพอใจของผู้บริโภค | OR ร่วมกับ กระทรวงเกษตรและสหกรณ์ ส่งเสริมการปลูกกาแฟ สร้างโอกาสให้เกษตรกรผู้ปลูกกาแฟอย่างยั่งยืน เพื่อแลกเปลี่ยนองค์ความรู้กับกระทรวงเกษตรและสหกรณ์ ในการส่งเสริมและสนับสนุนการขยายพื้นที่ปลูกกาแฟ โดยปรับเปลี่ยนเป็นการเกษตรแบบผสมผสานร่วมกับกาแฟ เพื่อให้เกษตรกรมีผลผลิตและรายได้เพิ่มขึ้นจากการปลูกกาแฟอย่างยั่งยืน ซึ่งจะช่วยพัฒนาประสิทธิภาพการผลิตกาแฟให้มีปริมาณผลผลิตและมีคุณภาพตามมาตรฐานสากล โดยเฉพาะอย่างยิ่งผลผลิตกาแฟที่เป็นเอกลักษณ์ประจำถิ่น ซึ่งสามารถเพิ่มมูลค่าของสินค้ากาแฟได้มากขึ้น อีกทั้งยังช่วยลดปัญหาการตัดไม้ทำลายป่าและปัญหาสิ่งแวดล้อม นอกจากนี้ ยังมีความร่วมมือด้านการตลาด โดยคาเฟ่ อเมซอน (Café Amazon) จะสนับสนุนการรับซื้อผลผลิตกาแฟที่มีคุณภาพตามมาตรฐานจากเกษตรกรที่ได้รับการส่งเสริมสนับสนุนการปลูกกาแฟ ซึ่งเป็นไปตามแนวทางของ OR ที่มุ่งให้ความสำคัญกับการสร้างโอกาสและสร้างคุณค่าแก่ผู้คนโดยไม่ทิ้งใครไว้ข้างหลังตลอดห่วงโซ่การดำเนินธุรกิจ |
2. วิกฤตการจ้างงาน
คำอธิบายความเสี่ยง (Description) | มาตรการรองรับความเสี่ยง (Mitigating Action) |
|---|---|
The Global Risks Report 2023 โดย World Economic Forum รายงานว่าวิกฤตการจ้างงานเป็นหนึ่งในความเสี่ยงทั่วโลกในระยะยาว นอกจากนี้ World Population Prospects คาดการณ์ว่า จำนวนประชากรบนโลกนี้มีมากถึง 8 พันล้านคน โดยผู้ที่มีอายุมากกว่า 65 ปีมีอยู่ราว 10 เปอร์เซ็นต์ และคาดว่าจะเพิ่มเป็น 16 เปอร์เซ็นต์ภายในปี 2050 ขณะที่รายงานสถานการณ์ผู้สูงอายุในไทยพบว่าประเทศไทยกลายเป็นประเทศที่มีผู้สูงอายุเพิ่มขึ้นอย่างรวดเร็วเป็นอันดับ 3 ของโลก โดยในปี 2022 ประเทศไทยได้เข้าสู่สังคมสูงวัยอย่างสมบูรณ์เป็นที่เรียบร้อยแล้ว คาดการณ์ว่าราวปี 2030 ไทยจะกลายเป็นสังคมสูงอายุระดับสุดยอดเช่นเดียวกับญี่ปุ่น โดยมีประชากรอายุ 60 ปีขึ้นไปมากขึ้นถึง 28 เปอร์เซ็นต์ของจำนวนคนในประเทศ และมีการเพิ่มขึ้นของประชากรเพียง 0.18 เปอร์เซ็นต์เท่านั้น เมื่อโลกเข้าสู่สังคมผู้สูงอายุมากขึ้นเกือบทุกประเทศล้วนประสบปัญหาการขาดแคลนแรงงาน ผลกระทบ OR มีการจ้างแรงงานจำนวนมาก ไม่ว่าจะเป็นธุรกิจ PTT Station, Café Amazon และธุรกิจค้าปลีกอื่น ๆ เมื่อประเทศไทยเข้าสู่สังคมสูงอายุระดับสุดยอด อาจจะส่งผลให้ธุรกิจของ OR ขาดแคลนแรงงาน และมีต้นทุนการจ้างแรงงานที่สูงขึ้น กระทบการดำเนินธุรกิจและกระทบผลการดำเนินงาน | OR ได้พัฒนาโมเดลสถานีบริการน้ำมันแบบบริการตัวเองเต็มรูปแบบ “Fully Self-Serve Station” รวมถึงการใช้ระบบ Automation ทั้งในกระบวนการผลิต การจัดเก็บและกระจายสินค้า เพื่อลดการใช้แรงงานและเพิ่มประสิทธิภาพการทำงาน นอกจากนี้ Café Amazon ได้ริเริ่มขยายโอกาสในการทำงานสู่กลุ่มผู้สูงวัยซึ่งมีจำนวนมากขึ้น เนื่องจากสังคมไทยกำลังเข้าสู่สังคมผู้สูงอายุและมีผู้สูงอายุอีกมากที่ขาดโอกาสในการทำงานเนื่องจากวัยที่มากขึ้น ดังนั้น OR จึงได้มีความร่วมมือกับกรมพัฒนาสังคมและสวัสดิการ กระทรวงพัฒนาสังคมและความมั่นคงของมนุษย์ ในการจัดตั้ง “ร้าน Café Amazon for Chance ที่ดำเนินการโดยบาริสต้าสูงวัย” โดยนำร่องด้วยการจ้างงานผู้สูงอายุระหว่างอายุ 60-65 ปี ที่สามารถเป็นบาริสต้าร้านกาแฟได้ โดยจะมีการออกแบบร้านให้เหมาะสมกับการทำงานของผู้สูงอายุ เช่น มีการคัดเลือกเมนูเครื่องดื่มเฉพาะเมนูขายดี มีใช้เครื่องชงอัตโนมัติเพื่อรสชาติที่เป็นมาตรฐานของคาเฟ่ อเมซอน การกำหนดความสูงของชั้นวางวัตถุดิบที่เหมาะสม และอุปกรณ์ทางการแพทย์ฉุกเฉิน โดยผ่านการอบรมโดยทีมพัฒนามาตรฐานและอบรมคาเฟ่อเมซอนเช่นเดียวกับบาริสต้า คาเฟ่ อเมซอนทั่วไป ซึ่งโมเดลดังกล่าวจะสามารถแก้ปัญหาการขาดแคลนแรงงานและสร้างโอกาสให้ผู้สูงอายุในประเทศไทย |
3. การแพร่ระบาดของอาชญากรรมทางไซเบอร์และความไม่มั่นคงทางไซเบอร์
คำอธิบายความเสี่ยง (Description) | มาตรการรองรับความเสี่ยง (Mitigating Action) |
|---|---|
The Global Risks Report 2023 โดย World Economic Forum รายงานว่า การแพร่ระบาดของอาชญากรรมทางไซเบอร์และความไม่มั่นคงทางไซเบอร์ (Widespread cybercrime and cyber insecurity) เป็นหนึ่งในความเสี่ยงทั่วโลกที่ได้รับการจัดอันดับตามความรุนแรงในระยะยาว ขณะเดียวกัน ศูนย์ปฏิบัติการ Cybersecurity Operations Center (CSOC) ของ NT cyfence ได้รายงานว่า Malicious Code ซึ่งเป็นการโจมตีด้วยโปรแกรมไม่พึ่งประสงค์ เช่น Virus, Worm, Trojan หรือ Spyware ต่าง ๆ เป็นการโจมตีที่สูงในทุก ๆ ปี เป็นภัยคุกคามอันดับ 1 ในประเทศไทย ปัจจุบันเทคโนโลยีและระบบสารสนเทศ เป็นเครื่องมือสำคัญต่อการขับเคลื่อนธุรกิจและองค์กรให้มีความก้าวหน้าและรวดเร็ว รวมทั้งการเปลี่ยนแปลงธุรกิจให้เข้าสู่ดิจิทัล (Digital Transformation) การแข่งขันทางธุรกิจล้วนพึ่งพาเทคโนโลยีดิจิทัลและการเชื่อมต่อข้อมูลและอุปกรณ์ต่าง ๆ ผ่านอินเตอร์เน็ตมากขึ้น เพื่อเพิ่มประสิทธิภาพในการทำงาน และสร้างประสบการณ์ที่ดีให้กับลูกค้า ทำให้องค์กรต้องเผชิญกับความเสี่ยงจากภัยคุกคามทางไซเบอร์ (Cyber Threats) ที่มากขึ้น การรักษาความมั่นคงปลอดภัยต่อภัยคุกคามทางไซเบอร์ จึงมีบทบาทที่สำคัญต่อธุรกิจและองค์กรเป็นอย่างมาก ผลกระทบ OR ได้ปรับเปลี่ยนองค์กรไปสู่ Digital driven organization รวมทั้งได้มีขยายธุรกิจไปสู่ Digital Business และให้บริการผ่าน Application จำนวนมาก อาทิเช่น xplORe, EV station pluz เป็นต้น ภัยคุกคามทางไซเบอร์ ก่อให้เกิดผลกระทบหลากหลายรูปแบบ ทั้งการโจมตีด้วยไวรัสคอมพิวเตอร์ ซอฟท์แวร์เรียกค่าไถ่ การโจรกรรมข้อมูลสําคัญ ไปจนถึงการเจาะระบบเพื่อเข้าควบคุมระบบ ทำให้ข้อมูลสำคัญและความลับทางธุรกิจขององค์กรรั่วไหล หรือการดำเนินธุรกิจต้องหยุดชะงัก เกิดความเสียหายต่อองค์กรทั้งในด้านการดำเนินธุรกิจและภาพลักษณ์องค์กร | OR ตระหนักถึงอันตรายของภัยดังกล่าว เล็งเห็นความสำคัญของการดำเนินการเชิงป้องกันและลดผลกระทบเพื่อควบคุมความเสี่ยงที่อาจเป็นเป้าหมายในการถูกโจมตี จึงได้จัดทำโครงการ Cyber Security Roadmap เพื่อพัฒนาประสิทธิภาพด้านความปลอดภัยในโลกไซเบอร์ โดยมีการดำเนินกิจกรรมที่สำคัญ เช่น การใช้ระบบ Firewall และใช้บริการ Security Operation Center (SOC) เพื่อป้องกันการถูกโจมตีและการรั่วไหลของข้อมูล มีการจัดหา ติดตั้ง และใช้งานระบบ Cloud Access Security Brokers (CASB), Data Leak Protection (DLP) และมีการ Install Software ลงในคอมพิวเตอร์บริษัทเพื่อควบคุมการเข้าถึงข้อมูล,ป้องกันการถูกโจมตีและการรั่วไหลของข้อมูล มีการตรวจสอบระบบและประเมินหาความเสี่ยงที่เกิดจากช่องโหว่ของ ระบบสารสนเทศอย่างสม่ำเสมอ พร้อมทั้งให้ความรู้แก่พนักงานในการปกป้องข้อมูลไม่ให้รั่วไหลออกภายนอกองค์กร นอกจากนี้ OR ยังได้ดำเนินการซื้อประกันภัยทางด้านไซเบอร์ และเตรียมระบบ BCM รองรับในกรณีที่เกิดภัยคุกคามขึ้นกับระบบสารสนเทศของ OR |
เอกสารที่เกี่ยวข้อง
Document Name | File (Attach or Link) |
|---|---|
1. การบริหารความเสี่ยง | Click to see/Download |
2. นโยบายการบริหารความเสี่ยง (หัวข้อ นโยบายการบริหารจัดการความเสี่ยง) | Click to see/Download |
