Risk and Crisis Management & Cybersecurity and Data Privacy

ความท้าทาย

ในปัจจุบันสถานการณ์ของโลกมีการเปลี่ยนแปลงไปอย่างต่อเนื่องและรวดเร็ว ไม่ว่าจะเป็นสถานการณ์เงินเฟ้อทั่วโลก ภาวะเศรษฐกิจแปรปรวน ความขัดแย้งทางภูมิรัฐศาสตร์ การปรับนโยบายและแนวทางการผลักดันการใช้พลังงาน การเปลี่ยนแปลงด้านสภาพภูมิอากาศและภาวะโลกเดือด อีกทั้งการเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยีสารสนเทศ ตลอดจนภัยคุกคามด้านความมั่งคงไซเบอร์ การคุ้มครองข้อมูลส่วนบุคคล ล้วนเป็นความท้าทายของบริษัทที่อาจส่งผลต่อผู้มีส่วนได้เสีย และความเชื่อมั่นในการดำเนินธุรกิจ
รวมถึงอาจส่งผลกระทบต่อความต่อเนื่องในการดำเนินธุรกิจ ดังนั้นบริษัทต้องให้ความสำคัญในการติดตามและกำหนดให้มีกระบวนการบริหารจัดการความเสี่ยงองค์กรและวางแนวทางที่เป็นไปตามมาตรฐานสากลและสอดคล้องตามกฎหมายที่เกี่ยวข้อง พร้อมส่งเสริมสร้างวัฒนธรรมองค์กร รวมถึงการตรวจสอบประเด็นดังกล่างอย่างต่อเนื่อง เพื่อเตรียมพร้อมรับมือความเสี่ยงและวิกฤตที่อาจเกิดขึ้นในอนาคต ป้องกันหรือลดโอกาสและความเสียหายที่อาจเกิดขึ้น รวมทั้งลดผลกระทบที่อาจส่งผลต่อผู้มีส่วนได้เสียและนักลงทุน อีกทั้งช่วยเพิ่มโอกาสทางธุรกิจ โดยตลอดระยะเวลาที่ผ่านมาบริษัทได้ดำเนินการวิเคราะห์ความท้าทายและโอกาสของบริษัทเพื่อนำมาใช้ในการพัฒนากลยุทธ์และแนวทางการดำเนินการของบริษัท เพื่อให้สามารถให้บริษัทเพิ่มศักยภาพต่อการปรับตัวและเพิ่มขีดความสามารถในการแข่งขันได้อย่างมีประสิทธิภาพ

แนวทางการดำเนินงาน

บริษัทมุ่งมั่นในการดำเนินงานบริหารความเสี่ยงและวิกฤต รวมถึงความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล โดยยึดถือแนวทางและแนวปฏิบัติที่สอดคล้องตามมาตรฐานสากลและกฎหมายที่เกี่ยวข้อง โดย ครอบคลุมตั้งแต่การกำหนดนโยบาย โครงสร้างการดำเนินงาน กระบวนการ ดำเนินงานการติดตามผลลัพธ์การดำเนินงาน รวมถึงความเสี่ยงที่เกิดใหม่ ในอนาคต (Emerging Risks) เพื่อเตรียมความพร้อมและตอบสนองต่อการ เปลี่ยนแปลงต่าง ๆ ที่อาจส่งผลต่อการดำเนินธุรกิจได้อย่างเหมาะสมและทันท่วงที เพิ่มศักยภาพต่อการปรับตัวและเพิ่มขีดความสามารถในการแข่งขันได้อย่างมีประสิทธิภาพ นอกจากนี้เรายังมุ่งสร้างวัฒนธรรมองค์กรด้วยการสร้างองค์ความรู้และส่งเสริมให้ทุกคนในองค์กรตระหนักถึงความสำคัญของการบริหารและจัดการความเสี่ยงและวิกฤตรวมถึงความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูลที่สามารถนำไปดำเนินการพัฒนา ศักยภาพของตนเองและสร้างโอกาสให้กับธุรกิจของบริษัทได้

นโยบายการบริหารความเสี่ยง

ดูเนื้อหาเพิ่มเติม

การบริหารความเสี่ยง

บริษัทได้ยึดถือแนวปฏิบัติการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management: ERM) ตามหลักมาตรฐานสากล COSO (The Committee of Sponsoring Organizations of the Treadway Commission) หรือ COSO-ERM 2017 Framework ที่เป็นกรอบในการบริหารความเสี่ยงขององค์กรเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ (Risk Appetite / Risk Tolerance) รวมทั้งจัดทำนโยบายและจัดตั้งคณะทำงานบริหารความเสี่ยงของบริษัทและบริษัทในเครือประกอบไปด้วยผู้บริหารจากทุกสายงาน อาทิ สายงานวางแผนธุรกิจ สายงานวิศวกรรม ฝ่ายเดินเครื่องและบำรุงรักษา ผู้จัดการโรงไฟฟ้า เป็นผู้ได้รับมอบหมายในการจัดทำแผนการบริหารความเสี่ยงรายปี เพื่อให้การจัดการความเสี่ยงนั้นครอบคลุมมิติความเสี่ยงด้านกลยุทธ์ ด้านการดำเนินงาน ด้านการเงิน ด้านกฎหมายและกฎระเบียบ รวมถึงความเสี่ยงด้านสิ่งแวดล้อม สังคม และการกำกับดูแล (ESG Risk) และความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risks) ของบริษัท ตลอดจนกำหนดให้มีการรายงานผลการบริหารความเสี่ยงทุก ๆ 3 เดือนหรือทุกไตรมาส เพื่อประเมินและติดตามมาตรการจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ เพื่อเตรียมความพร้อมและตอบสนองต่อการเปลี่ยนแปลงต่าง ๆ ที่อาจส่งผลต่อการดำเนินธุรกิจได้อย่างเหมาะสมและทันท่วงทีโดยมีการจัดประชุมคณะกรรมการบริษัทภิบาลบริหารความเสี่ยงและการพัฒนาอย่างยั่งยืนจำนวน 4 ครั้งต่อปีเพื่อพิจารณาระเบียบวาระ

โครงสร้างการบริหารความเสี่ยง

บริษัทได้จัดโครงสร้างการบริหารความเสี่ยง โดยคณะกรรมการบริษัทได้มีการแต่งตั้งคณะกรรมการบรรษัทภิบาลบริหารความเสี่ยงและการพัฒนาอย่างยั่งยืนในการทำหน้าที่พิจารณาอนุมัติการบริหารความเสี่ยงของบริษัทและบริษัทในเครือ รวมถึงมีหน้าที่ในการกำหนดนโยบาย ให้คำแนะนำและทวนสอบการบริหารความเสี่ยงอย่างมีประสิทธิภาพ นอกจากนี้บริษัทมอบหมายให้แผนกตรวจสอบภายในทำหน้าที่ในการติดตามและสอบทานกระบวนการบริหารความเสี่ยงในบริษัทอีกชั้นหนึ่งซึ่งเป็นอิสระต่อคณะทำงานบริหารความเสี่ยง เพื่อสร้างความมั่นใจในการบริหารความเสี่ยงขององค์ให้มากยิ่งขึ้น

กระบวนการจัดการความเสี่ยง (Risk Management Process)

“กระบวนการบริหารความเสี่ยง” ถูกนำมาใช้เพื่อเป็นเครื่องมือในการระบุ วิเคราะห์ และจัดการกับความเสี่ยงที่จะสามารถเกิดขึ้นกับการดำเนินธุรกิจ เพื่อให้สามารถบรรลุการบริหารความเสี่ยงอย่างมีประสิทธิภาพ บริษัทมีการแบ่งกระบวนการบริหารความเสี่ยงออกเป็น 6 ขั้นตอน ดังต่อไปนี้

นอกจากนี้ บริษัทได้มีการวิเคราะห์ความเสี่ยง โดยใช้หลักเกณฑ์ในการประเมินความเสี่ยง ซึ่งพิจารณาจากประเภทและระดับของผลกระทบ (Impact) ร่วมกับโอกาสการเกิดความเสี่ยงนั้น ๆ (Likelihood) จนได้เป็นเกณฑ์ระดับความเสี่ยงโดยรวม (Risk Exposure) ที่มีอยู่ 5 ระดับความเสี่ยง เริ่มจากความเสี่ยงต่ำมากไปยังสูงมาก โดยระดับความเสี่ยงที่บริษัทถือว่าสามารถยอมรับได้ (Risk appetite/Risk tolerance) มีระดับความเสี่ยงโดยรวมในระดับปานกลางหรือต่ำกว่า สำหรับความเสี่ยงในระดับที่สูงเกินกว่าที่สามารถยอมรับได้ บริษัทจะจัดทำแผนการบริหารความเสี่ยง (Risk Mitigation Plan) เพิ่มเติมเพื่อบริหารจัดการความเสี่ยงนั้นๆ ให้ลดลง รวมทั้งกำหนดผู้รับผิดชอบ และระยะเวลาที่แล้วเสร็จ

ในปี 2566 บริษัทได้ประเมินความเสี่ยงที่เกี่ยวข้องกับบริษัทซึ่งสามารถแบ่งออกได้เป็น 4 ประเภทได้แก่ ความเสี่ยงด้านกลยุทธ์ ความเสี่ยงด้านการดำเนินงาน ความเสี่ยงด้านการเงิน และความเสี่ยงด้านกฎหมายและกฎระเบียบข้อบังคับ โดยได้จัดทำแผนการบริหารความเสี่ยงประจำปี 2566 เพื่อเป็นแนวทางในการบริหารจัดการความเสี่ยงได้อย่างมีประสิทธิภาพ พร้อมกันนี้ คณะทำงานบริหารความเสี่ยงของบริษัทและบริษัทในเครือ ประกอบไปด้วยผู้บริหารจากทุกสายงาน อาทิ สายงานวางแผนธุรกิจ สายงานวิศวกรรม ฝ่ายเดินเครื่องและบำรุงรักษา ผู้จัดการโรงไฟฟ้า เป็นผู้ได้รับมอบหมายในการจัดทำแผนการบริหารความเสี่ยงรายปี

ประเภทความเสี่ยง ความเสี่ยง แผนการจัดการ
ด้านกลยุทธ์
 ความเสี่ยงที่กระทบกับกลยุทธ์การดำเนินงานของบริษัท ซึ่งอาจทำให้เกิดความเสียหายกับการบริหารงานของบริษัททั้งในระยะสั้นและระยะยาว บริษัทได้จัดตั้ง Exploration Team เพื่อศึกษาและค้นคว้าแนวทางการพัฒนาธุรกิจผลิตไฟฟ้าในรูปแบบใหม่ รวมทั้งวิเคราะห์สภาพแวดล้อมทั้งภายในและภายนอก เพื่อกำหนดทิศทางและกลยุทธ์ของบริษัท ควบคู่ไปกับการพัฒนาศักยภาพความพร้อมของบุคลากรเพื่อรองรับการเติบโตของธุรกิจในอนาคต รวมทั้งจัดทำกลยุทธ์ด้าน ESG และจัดตั้งคณะทำงานด้านความยั่งยืนองค์กร เพื่อสนับสนุนกิจกรรมและการดำเนินงานด้านการพัฒนาอย่างยั่งยืนของบริษัท
ด้านการดำเนินงาน
 ความเสี่ยงที่เกิดขึ้นจากการดำเนินการของบริษัทตลอดจนโรงไฟฟ้า ซึ่งอาจเกิดจากการขาดบุคลากร การวางแผนกระบวนการปฏิบัติงานไม่เหมาะสม รวมถึงอุบัติเหตุและภัยพิบัติทางธรรมชาติที่อยู่นอกเหนือการควบคุมของบริษัท บริษัทบริหารจัดการความพร้อมใช้งานของโรงไฟฟ้า เครื่องจักร อุปกรณ์ต่าง ๆ โดยจัดทำแผนการซ่อมบำรุงเชิงป้องกันเป็นรายปี (Preventive Maintenance) เพื่อเป็นการตรวจสอบอุปกรณ์ เครื่องจักรต่าง ๆ ตามระยะเวลาที่กำหนดไว้ และติดตามการซ่อมบำรุงให้เป็นไปตามแผนที่กำหนดไว้ จัดให้มีการสำรองอุปกรณ์ และพัสดุที่จำเป็น รวมทั้งอะไหล่ชิ้นสำคัญ (Critical Spare Part) สำหรับใช้ในการซ่อมบำรุงโรงไฟฟ้าอย่างเพียงพอและเหมาะสม รวมถึงการนำมาตรฐานระบบบริหารคุณภาพ (International Organization for Standardization: ISO) (ISO 9001:2015) มาใช้เป็นแนวทางในการดำเนินงาน
ด้านการเงิน
 ความเสี่ยงที่เกี่ยวกับการบริหารและควบคุมการใช้จ่ายเงินและงบประมาณ เพื่อให้บริษัทมีสภาพคล่องทางการเงินอย่างต่อเนื่อง หรือผลกระทบที่อาจเกิดขึ้นจากสถานการณ์ด้านการเงินภายนอกต่าง ๆ เช่น ดอกเบี้ย อัตราแลกเปลี่ยน อัตราเงินเฟ้อ ฯลฯ ซึ่งอาจส่งผลต่อรายได้และค่าใช้จ่ายของบริษัท บริษัทมีการบริหารจัดการความเสี่ยง จัดทำรายงานประมาณการกระแสเงินสด และปรับปรุงข้อมูลให้เป็นปัจจุบันอย่างสม่ำเสมอ ตลอดจนบริหารสัญญาเงินกู้ยืมและประสานงานกับธนาคารผู้ให้กู้อย่างใกล้ชิดเพื่อลดโอกาสในการผิดเงื่อนไขของสัญญาเงินกู้ กำหนดนโยบายบริหารเงินสดส่วนเกินโดยลงทุนในเงินฝากธนาคารและเงินลงทุนระยะสั้นซึ่งมีสภาพคล่องสูงกับสถาบันการเงินที่มีความน่าเชื่อถือ อีกทั้งจัดเตรียมวงเงินสินเชื่อกับธนาคารพาณิชย์ต่าง ๆ กรณีมีความต้องการใช้เงินอีกด้วย
ด้านกฎหมายและกฎระเบียบข้อบังคับ
 ความเสี่ยงจากการไม่ปฏิบัติตามกฎระเบียบขั้นตอนการดำเนินงานต่าง ๆ รวมถึงกฎหมายที่เกี่ยวข้อง บริษัทติดตามสถานการณ์และความเคลื่อนไหวในการออกกฎหมายใหม่ ๆ ทั้งกฎหมายที่ใช้บังคับภายในประเทศไทย และประเทศที่เกี่ยวข้องกับการดำเนินธุรกิจของบริษัทอย่างสม่ำเสมอ เพื่อให้บริษัทมีเวลาเพียงพอในการเตรียมความพร้อมในการดำเนินการ ปรับปรุง และรับการเปลี่ยนแปลงที่มีนัยสำคัญต่อการดำเนินธุรกิจในทุกด้าน รวมทั้งจัดให้มีการแบ่งปันความรู้แก่พนักงาน นอกจากนี้ยังมีการจ้างที่ปรึกษาทางกฎหมายในกรณีที่เกิดข้อสงสัย หรือมีเหตุการณ์ที่ต้องขอความคิดเห็นจากผู้ที่มีความเชี่ยวชาญ เพื่อให้มั่นใจว่าบริษัทดำเนินธุรกิจด้วยความรัดกุม โปร่งใส สอดคล้องกับหลักการกำกับดูแลกิจการที่ดี

ในปี 2566 พบว่า ความเสี่ยงส่วนใหญ่อยู่ใน ระดับปานกลาง บริษัทจึงได้มีการวางแผนการบริหารความเสี่ยง (Mitigation Plan) อย่างรอบคอบ ทั้งนี้ไม่มีความเสี่ยงที่อยู่ในระดับบสููงมาก มีความเสี่ยงที่ระดับสูง 4 ประเด็น ได้แก่ ความเสี่ยงของการบริหารการลงทุนและการเติบโตของธุรกิจ ความเสี่ยงจากการเปลี่ยนแปลงสภาพภูมิอากาศ และความเสี่ยงด้านบุคลากร ความเสี่ยงเกี่ยวกับประสิทธิภาพของโรงไฟฟ้า ซึ่งบริษัทได้มีแผนการบริหารความเสี่ยง (Mitigation Plan) รวมทั้งกำหนดผู้รับผิดชอบในการบริหารจัดการความเสี่ยง และระยะเวลาในการติดตามจัดการความเสี่ยงที่ชัดเจน เพื่อรับรองสถานการณ์ความเสี่ยงในแต่ละประเด็นอย่างมีประสิทธิภาพ

เป้าหมายและผลการดำเนินงานการบริหารจัดการความเสี่ยง

ในปี 2566 พบว่า ความเสี่ยงส่วนใหญ่อยู่ใน ระดับปานกลาง บริษัทจึงได้มีการวางแผนการบริหารความเสี่ยง (Mitigation Plan) อย่างรอบคอบ ทั้งนี้ไม่มีความเสี่ยงที่อยู่ในระดับบสููงมาก มีความเสี่ยงที่ระดับสูง 4 ประเด็น ได้แก่ ความเสี่ยงของการบริหารการลงทุนและการเติบโตของธุรกิจ ความเสี่ยงจากการเปลี่ยนแปลงสภาพภูมิอากาศ และความเสี่ยงด้านบุคลากร ความเสี่ยงเกี่ยวกับประสิทธิภาพของโรงไฟฟ้า ซึ่งบริษัทได้มีแผนการบริหารความเสี่ยง (Mitigation Plan) รวมทั้งกำหนดผู้รับผิดชอบในการบริหารจัดการความเสี่ยง และระยะเวลาในการติดตามจัดการความเสี่ยงที่ชัดเจน เพื่อรับรองสถานการณ์ความเสี่ยงในแต่ละประเด็นอย่างมีประสิทธิภาพ

กระบวนการบริหารภาวะวิกฤตและความต่อเนื่องทางธุรกิจ

เพื่อสร้างความมั่นใจให้กับผู้มีส่วนได้เสียตลอดห่วงโซ่คุณค่า และการดำเนินธุรกิจอย่างต่อเนื่อง ตลอดจนการกำกับดูแลกิจการที่ดี บริษัทจัดทำนโยบายการบริหารจัดการความต่อเนื่องทางธุรกิจและจัดทำแผนบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuous Plan : BCP) อีกทั้งการจัดทำแผนฉุกเฉิน (Emergency Response Plan) และแผนบริหารจัดการภาวะวิกฤต (Crisis Management Plan) รวมถึงการฝึกอบรมและการฝึกซ้อมเพื่อเตรียมความพร้อมรับมือประจำปี ซึ่งเป็นส่วนหนึ่งของการบริหารจัดการความต่อเนื่องทางธุรกิจที่ครอบคลุมความเสี่ยงรอบด้านที่อาจจะทำให้ธุรกิจหยุดชะงัก และเพื่อสามารถให้การดำเนินการผลิตและจำหน่ายไฟฟ้าจากแหล่งพลังงานประเภทต่างๆ เป็นไปได้อย่างมีประสิทธิภาพ และเป็นไปตามมาตรฐานสากล

ความเสี่ยงที่เกิดขึ้นใหม่

บริษัทมุ่งให้ความสำคัญถึงความเสี่ยงที่เกิดขึ้นใหม่ ทั้งในระยะสั้น ระยะปานกลาง และระยะยาวซึ่งอาจส่งผลกระทบต่อบริษัท ความต่อเนื่องในการดำเนินธุรกิจ ความสามารถในการแข่งขันและความยั่งยืนในการดำเนินธุรกิจทั้งด้านความเสี่ยงและโอกาสที่จะเกิดขึ้นจากการบริหารความเสี่ยง ซึ่งบริษัทได้ดำเนินการระบุความเสี่ยงใหม่ที่อาจเกิดขึ้นได้ คือ การเปลี่ยนแปลงทางเทคโนโลยีด้านพลังงาน และความมั่นคงปลอดภัยด้านไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทได้มีการประเมินความเสี่ยง วิเคราะห์และหาแนวทางการจัดการเพื่อให้เกิดเสถียรภาพและสามารถดำเนินธุรกิจได้อย่างต่อเนื่องบนพื้นฐานความยั่งยืน โดยมีรายละเอียดดังนี้

กรอบเวลาที่เกิด
ผลกระทบ		 คำอธิบายของความเสี่ยง ผลกระทบที่อาจเกิดขึ้นต่อธุรกิจ แนวทางการจัดการ/โอกาส
1-2 ปี ด้วยกระแสการบริโภคพลังงานจากแหล่งพลังงานที่ใช้แล้วหมดไป เช่น พลังงานเชื้อเพลิงธรรมชาติ ก๊าซปิโตรเลียม ถ่านหิน และนิวเคลียร์ที่ลดลง และแทนที่ด้วยพลังงานทางเลือกที่เป็นพลังงานสะอาดกำลังเป็นที่ต้องการเพิ่มสูงขึ้นอย่างต่อเนื่อง เพื่อการผลิตที่เป็นมิตรต่อสภาพแวดล้อม และสามารถหมุนเวียนใช้ได้ไม่จำกัด ไม่ว่าจะเป็นพลังงานแสงอาทิตย์ พลังงานน้ำ พลังงานลม พลังงานความร้อนของผิวโลก รวมไปถึงรถพลังงานไฟฟ้าจากแหล่งพลังงานหมุนเวียน และพลังงานไฮโดเจน ซึ่งทำให้เกิดความเคลื่อนไหวด้านการพัฒนานวัตกรรมพลังงาน โดยเฉพาะพลังงานทดแทนในประเทศไทยอย่างชัดเจนในปีที่ผ่านมา ส่งผลให้เกิดแรงกระเพื่อมอย่างยิ่งต่อวงการการผลิตไฟฟ้า การเปลี่ยนแปลงต่อพฤติกรรมของผู้บริโภค และแหล่งพลังงานในอนาคต
  • ปัจจุบันเทคโนโลยีมีแนวโน้มการเปลี่ยนแปลงอย่างรวดเร็วเพื่อตอบสนองพฤติกรรมการใช้พลังงานของผู้บริโภคทั้งภาคประชาชน และภาคอุตสาหกรรม รวมทั้งรูปแบบการผลิตไฟฟ้าที่มีการพัฒนาอย่างรวดเร็ว บริษัทจำเป็นต้องกำหนดแนวทางเพื่อบริหารจัดการความเสี่ยงทางเทคโนโลยีด้านพลังงาน เพื่อป้องกันการถูกแทรกแซงจากนวัตกรรมใหม่ๆ ในการดำเนินธุรกิจของบริษัท และจำกัดความสามารถในการแข่งขันหากบริษัทไม่สามารถปรับตัวให้เข้ากับการเปลี่ยนแปลงทางเทคโนโลยีได้
  • บริษัทได้มีการเร่งส่งเสริมนวัตกรรมและเทคโนโลยีที่ทันสมัยทั้งในส่วนฝ่ายปฏิบัติการและการบริหารจัดการบุคลากรให้มีประสิทธิภาพ เพื่อรองรับนวัตกรรมใหม่ ๆ โดยบริษัทอยู่ระหว่างการศึกษาและพัฒนาโครงการพลังงานทดแทนในแต่ละรูปแบบ ร่วมกับพันธมิตรทางธุรกิจ
  • ศึกษากฎระเบียบ ข้อบังคับ และกฎหมายที่อาจจะเกี่ยวข้องทั้งของประเทศไทย และภูมิภาคอาเซียน เพื่อแสวงหาโอกาสใหม่ รวมถึงลดข้อจำกัดต่าง ๆ ที่อาจเกิดขึ้นระหว่างการดำเนินธุรกิจ
  • กำหนดประเด็นความยืดหยุ่นในการดำเนินธุรกิจ (Business Model Resilience) เป็นหนึ่งในประเด็นสำคัญในการดำเนินธุรกิจอย่างยั่งยืน และได้มีการจัดทำกลยุทธ์พร้อมทั้งกำหนดแนวทางและกรอบการดำเนินงานในระยะ 5 ปี (2565-2659) เพื่อให้เกิดการดำเนินงานอย่างเป็นรูปธรรม พร้อมทั้งมีหน่วยงานรับผิดชอบเพื่อขับเคลื่อนการและติดตามดำเนินงานที่ชัดเจน
  • บริษัทได้มีการศึกษาและประเมินความสามารถในการดำเนินธุรกิจด้านพลังงานทดแทน และได้เตรียมความพร้อมโดยจัดตั้งคณะทำงาน Exploration Team ประกอบด้วย ผู้บริหาร และพนักงานในสายงานพัฒนาธุรกิจ และวิศวกรชำนาญการ เพื่อศึกษาและค้นคว้าแนวทางการพัฒนาธุรกิจผลิตไฟฟ้าในรูปแบบใหม่
  • มีการศึกษาเทคโนโลยีโรงไฟฟ้าพลังงานแสงอาทิตย์และระบบกักเก็บพลังงาน (Solar & Battery Energy Storage System (BESS)) เป็นโครงการศึกษาเพื่อลงทุนในอนาคต
  • บริษัทได้ลงนามในบันทึกความร่วมมือกับคู่ค้าในการศึกษาเกี่ยวกับเทคโนโลยีการผลิตไฮโดรเจนสีเขียว และแอมโมเนียสีเขียว และ มีการลงนามในบันทึกความร่วมมือกับคู่ค้าในการศึกษาเกี่ยวกับการใช้ไฮโดรเจน ผสมกับ ก๊าซธรรมชาติเหลว (LNG) เพื่อเป็นเชื้อเพลิงสำหรับการผลิตไฟฟ้า ณ โรงไฟฟ้าบางปะอินโคเจนเนอเรชั่น
กรอบเวลาที่เกิด
ผลกระทบ		 คำอธิบายของความเสี่ยง ผลกระทบที่อาจเกิดขึ้นต่อธุรกิจ แนวทางการจัดการ/โอกาส
1-2 ปี ความมั่นคงปลอดภัยด้านไซเบอร์เป็นการนำเครื่องมือทางด้านเทคโนโลยีและกระบวนการที่รวมถึงวิธีการปฏิบัติที่ถูกออกแบบไว้เพื่อป้องกันและรับมือที่อาจจะถูกโจมตีเข้ามายังอุปกรณ์เครือข่าย โครงสร้างพื้นฐานทางสารสนเทศ ระบบหรือโปรแกรมที่อาจจะเกิดความเสียหายจากการที่ถูกเข้าถึงจากบุคคลที่สามโดยไม่ได้รับอนุญาต การรักษาความถูกต้องของข้อมูล (Integrity) การรักษาความลับของข้อมูล (Confidentiality) ซึ่งบริษัทได้เล็งเห็นถึงความเสี่ยงนี้ ในปัจจุบันพบว่าเป้าหมายในการโจมตี และรูปแบบของการโจมตีทางด้านไซเบอร์มีความหลากหลายมากยิ่งขึ้นที่สร้างความเสียหายให้กับองค์กรที่ได้รับผลกระทบเป็นอย่างมาก

บริษัทเตรียมความพร้อมต่อความเสี่ยงจากภัยคุกคามในทุกรูปแบบที่อาจส่งผลกระทบต่อการสูญเสียข้อมูลสำคัญของบริษัท เนื่องจากบริษัทมีข้อมูลที่มีความละเอียดอ่อน (Sensitive Data) อยู่ในระบบเซิร์ฟเวอร์ (Server) เนื่องจากบริษัทบริหารจัดการโรงไฟฟ้าที่มีเสถียรภาพต่อความมั่นคงด้านพลังงาน หรือข้อมูลด้านการเงินที่มีความสำคัญ ซึ่งอาจมีผู้ไม่ประสงค์ดีโจมตีระบบการเก็บข้อมูลและเครือข่ายต่าง ๆ ทำให้บริษัทสูญเสียค่าใช้จ่ายจากการถูกขโมย หรือค่าใช้จ่ายในการกู้ข้อมูลที่ถูกขโมยกลับคืนมา โดยในปี 2566 บริษัทไม่มีกรณีที่มีการรั่วไหลของข้อมูล

นอกจากนี้ ในกรณีที่ข้อมูลส่วนบุคคลของพนักงาน คู่ค้า หรือลูกค้าเกิดการรั่วไหล หรือมีการนำข้อมูลไปใช้ทางธุรกรรม ยังเป็นการส่งผลกระทบได้ในวงกว้างขอผู้มีส่วนได้เสียของบริษัท ซึ่งความสูญเสียทั้งหมดล้วนส่งผลต่อบริษัทที่อาจสูญเสียชื่อเสียงที่ไม่อาจประเมินค่าได้ และใช้เวลายาวนานเพื่อเรียกคืนความมั่นใจของผู้มีส่วนได้เสียกลับมา
  • บริษัทบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศให้สอดคล้องกับนโยบายและการบริหารความเสี่ยงองค์กร กำหนดให้การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศเป็นส่วนหนึ่งของการบริหารความต่อเนื่องทางธุรกิจ เพื่อให้ระบบสารสนเทศอยู่ในสภาพที่พร้อมใช้งานอยู่เสมอ
  • บริษัทได้จัดทำ ISO 27001 มาตรฐานระบบการความมั่นคงปลอดภัยของสารสนเทศ ซึ่งเป็นการแนะแนวทางและสนับสนุนให้องค์กรเข้าใจความเสี่ยงและจุดอ่อนด้านการคุ้มครองข้อมูลอย่างเป็นระบบ ช่วยเพิ่มความแข็งแกร่งให้กับระบบความปลอดภัยของข้อมูล ลดความเสี่ยง และปกป้องข้อมูลจากการถูกโจรกรรม รวมทั้งกำหนดให้มีการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ โดยกำหนดขั้นตอน กระบวนการบริหาร และผู้มีหน้าที่รับผิดชอบ รวมถึงจัดให้มีการรายงานสถานการณ์ที่เกิดขึ้นอย่างรวดเร็วและทันต่อเหตุการณ์ ผ่านบุคคลหรือหน่วยงานที่ทำหน้าที่รับแจ้งเหตุการณ์ เพื่อให้เหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบสารสนเทศได้รับการดำเนินการอย่างถูกต้อง มีประสิทธิภาพ ในช่วงระยะเวลาที่เหมาะสม
  • บริษัทกำหนดหน้าที่ความรับผิดชอบในการรักษาความมั่นคงปลอดภัยของทรัพย์สินสารสนเทศ เพื่อให้ทรัพย์สินสารสนเทศที่มีความสำคัญได้รับการป้องกันอย่างเหมาะสม
  • สื่อสารความรู้ความเข้าใจเรื่องความมั่นคงปลอดภัยด้านไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลให้กับผู้บริหารและพนักงานทุกระดับ ผ่านช่องทางการสื่อสารภายใน Email และ ระบบ CKPower Mobile applications
  • หน่วยงานเทคโนโยยีสารสนเทศได้ศึกษาวิวัฒนาการและรูปแบบการโจมตีทางด้านไซเบอร์เพื่อป้องกันและลดผลที่คาดว่าจะเกิดขึ้น
  • บริษัทได้ประเมินประสิทธิภาพระบบการรักษาความปลอดภัยของระบบสารสนเทศของบริษัท และระบบการเดินเครื่องของโรงไฟฟ้าอย่างสม่ำเสมอ
การสร้างวัฒนธรรมความเสี่ยงในองค์กร

บริษัทให้ความสำคัญต่อการส่งเสริมวัฒนธรรมการบริหารความเสี่ยงที่ดีทั่วทั้งองค์กร บริษัทจึงมีกำหนดนโยบายและแนวทางในการดำเนินงาน ตลอดจนการวัดผลสัมฤทธิ์ประสิทธิภาพการดำเนินงานบริหารความเสี่ยงผ่านดัชนีชี้วัดผลการดำเนินงาน (Key Performance Index: KPI) ซึ่งประกอบด้วย ตัวชี้วัดนํา (Leading Indicators) และตัวชี้วัดตาม (Lagging Indicators) เพื่อเป็นการติดตามการบริหารความเสี่ยงตลอดจนสร้างแรงจูงใจและสร้างความมั่นใจในผลการขับเคลื่อนความสำเร็จขององค์ไปสู่เป้าหมายผ่านการบริหารความเสี่ยงที่มีประสิทธิภาพรวมถึงมีการสนับสนุนการสร้างวัฒนธรรมการบริหารความเสี่ยงทั่วทั้งบริษัทและบริษัทในเครือโดยให้พนักงานได้ตระหนักรู้วัฒนธรรมความเสี่ยงและการจัดการความเสี่ยงผ่านการจัดอบรมและการบรรยาย ในปี 2566 บริษัทมีกิจกรรมเพื่อส่งเสริมวัฒนธรรมการบริหารความเสี่ยง ดังนี้

  1. การจัดการอบรมและบรรยาย
    • ระดับกรรมการ : กรรมการทุกท่านได้ผ่านอบรมความเสี่ยงด้านการเปลี่ยนแปลงสภาพภูมิอากาศ และแนวโน้มและโอกาสด้านการเปลี่ยนแปลงสภาพภูมิอากาศ Carbon Credits & Energy Attribution Certificates เพื่อเพิ่มความรู้ ความเข้าใจ เสริมสร้างทักษะที่จะสามารถนำไปเป็นแนวทางในการกำกับดูแล ตลอดจนการการประเมินความเสี่ยงด้านกลยุทธ์ที่สำคัญของบริษัท และกฎหมายที่เกี่ยวข้องกับการดำเนินธุรกิจ
    • ระดับผู้บริหารและพนักงาน: ผู้บริหารและพนักงานทุกระดับของบริษัทและบริษัทในเครือได้ผ่านการอบรมหลักสูตรการจัดการความเสี่ยงทางกฎหมายที่เกี่ยวข้องกับ Personal Data Protection Act (PDPA) เพื่อให้ทุกคนมีความรู้และความเข้าใจในการปฏิบัติตามกฎหมาย และความเสี่ยงจากการไม่ปฏิบัติตามกฎหมาย

    ภาพประกอบ

  2. การสื่อสาร ผ่านช่องทางต่างๆ
    • วารสาร Compliance Journal บริษัทได้จัดทำวารสารเพื่อสร้างความตระหนัก รับรู้และความเข้าใจ ถึงความสำคัญของหลักการกำกับดูแลกิจการที่ดี รวมถึงกฎหมายที่เกี่ยวข้องกับการดำเนินธุรกิจในรูปแบบที่เข้าใจง่าย และมีการยกตัวอย่างกรณีสำคัญๆ อีกทั้งได้สร้างการมีส่วนร่วมเพื่อการประเมินการรับรู้และความเข้าใจ ผ่านการตอบคำถาม เกมส์ รวมถึงการสัมภาษณ์พนักงาน ในปี 2566 ดำเนินการแล้ว 100 % ในการสร้างการรับรู้และความเข้าใจให้ กรรมการ ผู้บริหาร และพนักงานทั้วทั้งองค์กร
    • หลักสูตรการเรียนรู้แบบ E-Learning บริษัทได้จัดทำหลักสูตรการเรียนแบบ E-Learning เพื่อสร้างการเรียนรู้ด้วยตนเองของพนักงานทุกระดับ มีหัวข้อดังนี้ 1.การจัดการความเสี่ยงทางกฎหมายคุ้มครองส่วนบุคคล (PDPA) 2.ความเสี่ยงในการละเมิดกฎหมาย 3.วิธีการปฏิบัติเพื่อลดความเสี่ยง 4.ความเสี่ยงด้านความมั่นคงปลอดภัยด้าน ไซเบอร์ และ 5.แนวทางในการป้องกันตัวเองจากภัยคุกคามรอบด้านจากการใช้งานที่เกี่ยวข้องกับคอมพิวเตอร์ความเสี่ยงด้านการเปลี่ยนแปลงสภาพภูมิอากาศ เป็นต้น

    ภาพประกอบ

การบริหารจัดการความมั่นคงปลอดภัยด้านไซเบอร์

นโยบายความมั่นคงปลอดภัยด้านไซเบอร์

บริษัทมุ่งมั่นให้ความสำคัญต่อความเสี่ยงจากภัยคุกคามความมั่นคงด้านไซเบอร์ในทุกรูปแบบ ที่อาจส่งผลกระทบต่อการสูญเสียข้อมูลสำคัญของบริษัท เช่น ข้อมูลที่มีความละเอียดอ่อน (Sensitive Data) ที่อยู่ในระบบ Server ข้อมูลด้านการเงินที่มีความสำคัญ รวมถึงระบบการผลิตและจัดการโรงไฟฟ้าเพื่อให้มีเสถียรภาพในการผลิต และการสร้างความมั่นใจในการดำเนินธุรกิจที่มีความพร้อมเตรียมการรับมือและตอบสนองต่อภัยคุกคามที่อาจจะเกิดขึ้น บริษัทได้มีการประเมินและระบุขอบเขตที่สำคัญของความเสี่ยงด้านความมั่นคงปลอดภัยด้านไซเบอร์ เพื่อนำไปสู่การจัดทำนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ซึ่งสอดคล้องตามมาตรฐานและกฎหมายที่เกี่ยวข้อง เพื่อกำหนดการดำเนินงานขั้นตอนในการปฏิบัติในการรักษาความปลอดภัยด้านไซเบอร์สำหรับพนักงานทั่วทั้งองค์กรและตลอดห่วงโซอุปทานของบริษัท อีกทั้งมีการกำหนดการสอบทานนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เป็นประจำทุกปี อีกทั้งมีการกำหนดบทบาทและความรับผิดชอบภายในองค์กรที่ชัดเจน

นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

ดูเนื้อหาเพิ่มเติม

การบริหารจัดการความมั่นคงปลอดภัยด้านไซเบอร์

บริษัทเตรียมความพร้อมต่อความเสี่ยงจากภัยคุกคามไซเบอร์ ที่อาจส่งผลกระทบต่อการสูญเสียข้อมูลสำคัญของบริษัท โดยบริษัทบริหารจัดการความเสี่ยงให้สอดคล้องกับนโยบายและการบริหารความเสี่ยงองค์กร โดยกำหนดให้การรักษาความมั่นคงปลอดภัยด้านไซเบอร์ของระบบสารสนเทศเป็นส่วนหนึ่งของการบริหารความต่อเนื่องทางธุรกิจเพื่อให้ระบบสารสนเทศอยู่ในสภาพที่พร้อมใช้งานอยู่เสมอ รวมถึงเป็นไปตามกฎหมาย ข้อบังคับที่เกี่ยวข้อง มาตรฐานที่เกี่ยวข้อง เช่น มาตรฐาน ISO 27001:2013

ในการเพิ่มความแข็งแกร่งให้กับระบบความปลอดภัยของข้อมูล ลดความเสี่ยง และปกป้องข้อมูลจากการถูกโจรกรรม บริษัทได้กำหนดกระบวนการและขั้นตอนเฝ้าระวัง และมาตรการควบคุมเพื่อป้องกัน การกำหนดกระบวนการรับมือ สำหรับเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ มีผู้มีหน้าที่รับผิดชอบชัดเจน รวมถึงจัดให้มีการรายงานสถานการณ์ที่เกิดขึ้นอย่างรวดเร็วและทันต่อเหตุการณ์ ผ่านบุคคลหรือหน่วยงานที่ทำหน้าที่รับแจ้งเหตุการณ์ เพื่อให้เหตุการณ์ และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบสารสนเทศได้รับการดำเนินการอย่างถูกต้อง มีประสิทธิภาพในช่วงระยะเวลาที่เหมาะสม มีกรอบการบริหารจัดการดังนี้

ความมั่นคงปลอดภัยด้านไซเบอร์

การรักษาข้อมูลของลูกค้า

การรักษาข้อมูลของลูกค้ามีความสำคัญอย่างยิ่งในการดำเนินธุรกิจ ซึ่งบริษัทได้จัดให้มีการกำหนดระดับการเข้าถึงข้อมูลตามความสำคัญ เพื่อป้องกันไม่ให้ข้อมูลของลูกค้ารั่วไหลออกสู่บุคคลภายนอก โดยระบุเป็นข้อกำหนดในจรรยาบรรณในการดำเนินธุรกิจของบริษัทให้ผู้บริหารและพนักงานทั้งหมดพึงปฏิบัติในการละเว้นพฤติกรรมเสื่อมเสีย และไม่เปิดเผยข้อมูลอันเป็นความลับที่ได้รับทราบจากการปฏิบัติหน้าที่เพื่อแสวงหาผลประโยชน์ นอกจากนี้ บริษัทยังจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลภายนอกองค์กร และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ที่สอดคล้องกับแนวทางของบริษัทจดทะเบียนที่ประกาศโดยตลาดหลักทรัพย์ ซึ่งบริษัทส่งเสริมให้มีการใช้ระบบเทคโนโลยีสารสนเทศที่มีกระบวนการติดตามและบริหารจัดการความเสี่ยงอย่างเป็นระบบการรักษาความปลอดภัยบนโลกไซเบอร์ รวมทั้งมาตรการรักษาความมั่นคงของระบบเทคโนโลยีสารสนเทศเพื่อให้ครอบคลุมการดำเนินงานและการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ

บริษัทให้ความสำคัญอย่างยิ่งกับการเข้าถึงข้อมูล การเก็บข้อมูลเป็นความลับ และการใช้ข้อมูลภายใน รวมถึงการรักษาความปลอดภัยของข้อมูลและระบบสารสนเทศ โดยได้กำหนดนโยบายรวมถึงแนวทางปฏิบัติไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคลภายนอกองค์กร เพื่อรักษาความปลอดภัยทางไซเบอร์ให้กับผู้ร้องเรียนและลูกค้า ซึ่งในปีที่ผ่านมาไม่ปรากฏรายงานว่ามีข้อมูลรั่วไหล หรือข้อมูลของลูกค้าถูกใช้ในวัตถุประสงค์อื่น

ตัวชี้วัดความสำเร็จ ปี 2566
การรั่วไหลของข้อมูลความเป็นส่วนตัวของลูกค้า การโจรกรรมหรือการสูญหายของข้อมูล (กรณี) 0
ข้อร้องเรียนที่ได้รับเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลของลูกค้า (กรณี) 0
ข้อมูลของลูกค้าที่เกิดการรั่วไหลออกสู่ภายนอกหรือสูญหาย (กรณี) 0

หมายเหตุ: บริษัทเพิ่งเริ่มดำเนินการเก็บข้อมูลตั้งแต่ปี 2565 จากการประกาศใช้พรบ. คุ้มครองข้อมูลส่วนบุคคลในกลางปี 2565

This website uses cookies to enhance your experience and providing the best service from us. Please confirm the acceptance.You can learn more about our use of cookies from our Cookie Policy

Accept