การบริหารจัดการความเสี่ยงและวิกฤติ และความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล

ความท้าทาย

ในปัจจุบันสถานการณ์ของโลกมีการเปลี่ยนแปลงไปอย่างต่อเนื่องและรวดเร็ว ไม่ว่าจะเป็นสถานการณ์เงินเฟ้อทั่วโลก ภาวะเศรษฐกิจแปรปรวน ความขัดแย้งทางภูมิรัฐศาสตร์ การปรับนโยบายและแนวทางการผลักดันการใช้พลังงาน การเปลี่ยนแปลงด้านสภาพภูมิอากาศและภาวะโลกเดือด อีกทั้งการเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยีสารสนเทศ ตลอดจนภัยคุกคามด้านความมั่งคงไซเบอร์ การคุ้มครองข้อมูลส่วนบุคคล ล้วนเป็นความท้าทายของบริษัทที่อาจส่งผลต่อผู้มีส่วนได้เสีย และความเชื่อมั่นในการดำเนินธุรกิจ
รวมถึงอาจส่งผลกระทบต่อความต่อเนื่องในการดำเนินธุรกิจ ดังนั้นบริษัทต้องให้ความสำคัญในการติดตามและกำหนดให้มีกระบวนการบริหารจัดการความเสี่ยงองค์กรและวางแนวทางที่เป็นไปตามมาตรฐานสากลและสอดคล้องตามกฎหมายที่เกี่ยวข้อง พร้อมส่งเสริมสร้างวัฒนธรรมองค์กร รวมถึงการตรวจสอบประเด็นดังกล่างอย่างต่อเนื่อง เพื่อเตรียมพร้อมรับมือความเสี่ยงและวิกฤตที่อาจเกิดขึ้นในอนาคต ป้องกันหรือลดโอกาสและความเสียหายที่อาจเกิดขึ้น รวมทั้งลดผลกระทบที่อาจส่งผลต่อผู้มีส่วนได้เสียและนักลงทุน อีกทั้งช่วยเพิ่มโอกาสทางธุรกิจ โดยตลอดระยะเวลาที่ผ่านมาบริษัทได้ดำเนินการวิเคราะห์ความท้าทายและโอกาสของบริษัทเพื่อนำมาใช้ในการพัฒนากลยุทธ์และแนวทางการดำเนินการของบริษัท เพื่อให้สามารถให้บริษัทเพิ่มศักยภาพต่อการปรับตัวและเพิ่มขีดความสามารถในการแข่งขันได้อย่างมีประสิทธิภาพ

แนวทางการดำเนินงาน

บริษัทมุ่งมั่นในการดำเนินงานบริหารความเสี่ยงและวิกฤต รวมถึงความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล โดยยึดถือแนวทางและแนวปฏิบัติที่สอดคล้องตามมาตรฐานสากลและกฎหมายที่เกี่ยวข้อง โดย ครอบคลุมตั้งแต่การกำหนดนโยบาย โครงสร้างการดำเนินงาน กระบวนการ ดำเนินงานการติดตามผลลัพธ์การดำเนินงาน รวมถึงความเสี่ยงที่เกิดใหม่ ในอนาคต (Emerging Risks) เพื่อเตรียมความพร้อมและตอบสนองต่อการ เปลี่ยนแปลงต่าง ๆ ที่อาจส่งผลต่อการดำเนินธุรกิจได้อย่างเหมาะสมและทันท่วงที เพิ่มศักยภาพต่อการปรับตัวและเพิ่มขีดความสามารถในการแข่งขันได้อย่างมีประสิทธิภาพ นอกจากนี้เรายังมุ่งสร้างวัฒนธรรมองค์กรด้วยการสร้างองค์ความรู้และส่งเสริมให้ทุกคนในองค์กรตระหนักถึงความสำคัญของการบริหารและจัดการความเสี่ยงและวิกฤตรวมถึงความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูลที่สามารถนำไปดำเนินการพัฒนา ศักยภาพของตนเองและสร้างโอกาสให้กับธุรกิจของบริษัทได้

นโยบายการบริหารความเสี่ยง

ดูเนื้อหาเพิ่มเติม

การบริหารความเสี่ยง

บริษัทได้ยึดถือแนวปฏิบัติการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management: ERM) ตามหลักมาตรฐานสากล COSO (The Committee of Sponsoring Organizations of the Treadway Commission) หรือ COSO-ERM 2017 Framework ที่เป็นกรอบในการบริหารความเสี่ยงขององค์กรเพื่อจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ (Risk Appetite / Risk Tolerance) รวมทั้งจัดทำนโยบายและจัดตั้งคณะทำงานบริหารความเสี่ยงของบริษัทและบริษัทในเครือประกอบไปด้วยผู้บริหารจากทุกสายงาน อาทิ สายงานวางแผนธุรกิจ สายงานวิศวกรรม ฝ่ายเดินเครื่องและบำรุงรักษา ผู้จัดการโรงไฟฟ้า เป็นผู้ได้รับมอบหมายในการจัดทำแผนการบริหารความเสี่ยงรายปี เพื่อให้การจัดการความเสี่ยงนั้นครอบคลุมมิติความเสี่ยงด้านกลยุทธ์ ด้านการดำเนินงาน ด้านการเงิน ด้านกฎหมายและกฎระเบียบ รวมถึงความเสี่ยงด้านสิ่งแวดล้อม สังคม และการกำกับดูแล (ESG Risk) และความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risks) ของบริษัท ตลอดจนกำหนดให้มีการรายงานผลการบริหารความเสี่ยงทุก ๆ 3 เดือนหรือทุกไตรมาส เพื่อประเมินและติดตามมาตรการจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ เพื่อเตรียมความพร้อมและตอบสนองต่อการเปลี่ยนแปลงต่าง ๆ ที่อาจส่งผลต่อการดำเนินธุรกิจได้อย่างเหมาะสมและทันท่วงทีโดยมีการจัดประชุมคณะกรรมการบริษัทภิบาลบริหารความเสี่ยงและการพัฒนาอย่างยั่งยืนจำนวน 4 ครั้งต่อปีเพื่อพิจารณาระเบียบวาระ

โครงสร้างการบริหารความเสี่ยง

บริษัทได้จัดโครงสร้างการบริหารความเสี่ยง โดยคณะกรรมการบริษัทได้มีการแต่งตั้งคณะกรรมการบรรษัทภิบาลบริหารความเสี่ยงและการพัฒนาอย่างยั่งยืนในการทำหน้าที่พิจารณาอนุมัติการบริหารความเสี่ยงของบริษัทและบริษัทในเครือ รวมถึงมีหน้าที่ในการกำหนดนโยบาย ให้คำแนะนำและทวนสอบการบริหารความเสี่ยงอย่างมีประสิทธิภาพ นอกจากนี้บริษัทมอบหมายให้แผนกตรวจสอบภายในทำหน้าที่ในการติดตามและสอบทานกระบวนการบริหารความเสี่ยงในบริษัทอีกชั้นหนึ่งซึ่งเป็นอิสระต่อคณะทำงานบริหารความเสี่ยง เพื่อสร้างความมั่นใจในการบริหารความเสี่ยงขององค์ให้มากยิ่งขึ้น

กระบวนการจัดการความเสี่ยง (Risk Management Process)

“กระบวนการบริหารความเสี่ยง” ถูกนำมาใช้เพื่อเป็นเครื่องมือในการระบุ วิเคราะห์ และจัดการกับความเสี่ยงที่จะสามารถเกิดขึ้นกับการดำเนินธุรกิจ เพื่อให้สามารถบรรลุการบริหารความเสี่ยงอย่างมีประสิทธิภาพ บริษัทมีการแบ่งกระบวนการบริหารความเสี่ยงออกเป็น 6 ขั้นตอน ดังต่อไปนี้

นอกจากนี้ บริษัทได้มีการวิเคราะห์ความเสี่ยง โดยใช้หลักเกณฑ์ในการประเมินความเสี่ยง ซึ่งพิจารณาจากประเภทและระดับของผลกระทบ (Impact) ร่วมกับโอกาสการเกิดความเสี่ยงนั้น ๆ (Likelihood) จนได้เป็นเกณฑ์ระดับความเสี่ยงโดยรวม (Risk Exposure) ที่มีอยู่ 5 ระดับความเสี่ยง เริ่มจากความเสี่ยงต่ำมากไปยังสูงมาก โดยระดับความเสี่ยงที่บริษัทถือว่าสามารถยอมรับได้ (Risk appetite/Risk tolerance) มีระดับความเสี่ยงโดยรวมในระดับปานกลางหรือต่ำกว่า สำหรับความเสี่ยงในระดับที่สูงเกินกว่าที่สามารถยอมรับได้ บริษัทจะจัดทำแผนการบริหารความเสี่ยง (Risk Mitigation Plan) เพิ่มเติมเพื่อบริหารจัดการความเสี่ยงนั้นๆ ให้ลดลง รวมทั้งกำหนดผู้รับผิดชอบ และระยะเวลาที่แล้วเสร็จ

ในปี 2566 บริษัทได้ประเมินความเสี่ยงที่เกี่ยวข้องกับบริษัทซึ่งสามารถแบ่งออกได้เป็น 4 ประเภทได้แก่ ความเสี่ยงด้านกลยุทธ์ ความเสี่ยงด้านการดำเนินงาน ความเสี่ยงด้านการเงิน และความเสี่ยงด้านกฎหมายและกฎระเบียบข้อบังคับ โดยได้จัดทำแผนการบริหารความเสี่ยงประจำปี 2566 เพื่อเป็นแนวทางในการบริหารจัดการความเสี่ยงได้อย่างมีประสิทธิภาพ พร้อมกันนี้ คณะทำงานบริหารความเสี่ยงของบริษัทและบริษัทในเครือ ประกอบไปด้วยผู้บริหารจากทุกสายงาน อาทิ สายงานวางแผนธุรกิจ สายงานวิศวกรรม ฝ่ายเดินเครื่องและบำรุงรักษา ผู้จัดการโรงไฟฟ้า เป็นผู้ได้รับมอบหมายในการจัดทำแผนการบริหารความเสี่ยงรายปี

ประเภทความเสี่ยง ความเสี่ยง แผนการจัดการ
ด้านกลยุทธ์
 ความเสี่ยงที่กระทบกับกลยุทธ์การดำเนินงานของบริษัท ซึ่งอาจทำให้เกิดความเสียหายกับการบริหารงานของบริษัททั้งในระยะสั้นและระยะยาว บริษัทได้จัดตั้ง Exploration Team เพื่อศึกษาและค้นคว้าแนวทางการพัฒนาธุรกิจผลิตไฟฟ้าในรูปแบบใหม่ รวมทั้งวิเคราะห์สภาพแวดล้อมทั้งภายในและภายนอก เพื่อกำหนดทิศทางและกลยุทธ์ของบริษัท ควบคู่ไปกับการพัฒนาศักยภาพความพร้อมของบุคลากรเพื่อรองรับการเติบโตของธุรกิจในอนาคต รวมทั้งจัดทำกลยุทธ์ด้าน ESG และจัดตั้งคณะทำงานด้านความยั่งยืนองค์กร เพื่อสนับสนุนกิจกรรมและการดำเนินงานด้านการพัฒนาอย่างยั่งยืนของบริษัท
ด้านการดำเนินงาน
 ความเสี่ยงที่เกิดขึ้นจากการดำเนินการของบริษัทตลอดจนโรงไฟฟ้า ซึ่งอาจเกิดจากการขาดบุคลากร การวางแผนกระบวนการปฏิบัติงานไม่เหมาะสม รวมถึงอุบัติเหตุและภัยพิบัติทางธรรมชาติที่อยู่นอกเหนือการควบคุมของบริษัท บริษัทบริหารจัดการความพร้อมใช้งานของโรงไฟฟ้า เครื่องจักร อุปกรณ์ต่าง ๆ โดยจัดทำแผนการซ่อมบำรุงเชิงป้องกันเป็นรายปี (Preventive Maintenance) เพื่อเป็นการตรวจสอบอุปกรณ์ เครื่องจักรต่าง ๆ ตามระยะเวลาที่กำหนดไว้ และติดตามการซ่อมบำรุงให้เป็นไปตามแผนที่กำหนดไว้ จัดให้มีการสำรองอุปกรณ์ และพัสดุที่จำเป็น รวมทั้งอะไหล่ชิ้นสำคัญ (Critical Spare Part) สำหรับใช้ในการซ่อมบำรุงโรงไฟฟ้าอย่างเพียงพอและเหมาะสม รวมถึงการนำมาตรฐานระบบบริหารคุณภาพ (International Organization for Standardization: ISO) (ISO 9001:2015) มาใช้เป็นแนวทางในการดำเนินงาน
ด้านการเงิน
 ความเสี่ยงที่เกี่ยวกับการบริหารและควบคุมการใช้จ่ายเงินและงบประมาณ เพื่อให้บริษัทมีสภาพคล่องทางการเงินอย่างต่อเนื่อง หรือผลกระทบที่อาจเกิดขึ้นจากสถานการณ์ด้านการเงินภายนอกต่าง ๆ เช่น ดอกเบี้ย อัตราแลกเปลี่ยน อัตราเงินเฟ้อ ฯลฯ ซึ่งอาจส่งผลต่อรายได้และค่าใช้จ่ายของบริษัท บริษัทมีการบริหารจัดการความเสี่ยง จัดทำรายงานประมาณการกระแสเงินสด และปรับปรุงข้อมูลให้เป็นปัจจุบันอย่างสม่ำเสมอ ตลอดจนบริหารสัญญาเงินกู้ยืมและประสานงานกับธนาคารผู้ให้กู้อย่างใกล้ชิดเพื่อลดโอกาสในการผิดเงื่อนไขของสัญญาเงินกู้ กำหนดนโยบายบริหารเงินสดส่วนเกินโดยลงทุนในเงินฝากธนาคารและเงินลงทุนระยะสั้นซึ่งมีสภาพคล่องสูงกับสถาบันการเงินที่มีความน่าเชื่อถือ อีกทั้งจัดเตรียมวงเงินสินเชื่อกับธนาคารพาณิชย์ต่าง ๆ กรณีมีความต้องการใช้เงินอีกด้วย
ด้านกฎหมายและกฎระเบียบข้อบังคับ
 ความเสี่ยงจากการไม่ปฏิบัติตามกฎระเบียบขั้นตอนการดำเนินงานต่าง ๆ รวมถึงกฎหมายที่เกี่ยวข้อง บริษัทติดตามสถานการณ์และความเคลื่อนไหวในการออกกฎหมายใหม่ ๆ ทั้งกฎหมายที่ใช้บังคับภายในประเทศไทย และประเทศที่เกี่ยวข้องกับการดำเนินธุรกิจของบริษัทอย่างสม่ำเสมอ เพื่อให้บริษัทมีเวลาเพียงพอในการเตรียมความพร้อมในการดำเนินการ ปรับปรุง และรับการเปลี่ยนแปลงที่มีนัยสำคัญต่อการดำเนินธุรกิจในทุกด้าน รวมทั้งจัดให้มีการแบ่งปันความรู้แก่พนักงาน นอกจากนี้ยังมีการจ้างที่ปรึกษาทางกฎหมายในกรณีที่เกิดข้อสงสัย หรือมีเหตุการณ์ที่ต้องขอความคิดเห็นจากผู้ที่มีความเชี่ยวชาญ เพื่อให้มั่นใจว่าบริษัทดำเนินธุรกิจด้วยความรัดกุม โปร่งใส สอดคล้องกับหลักการกำกับดูแลกิจการที่ดี

ในปี 2566 พบว่า ความเสี่ยงส่วนใหญ่อยู่ใน ระดับปานกลาง บริษัทจึงได้มีการวางแผนการบริหารความเสี่ยง (Mitigation Plan) อย่างรอบคอบ ทั้งนี้ไม่มีความเสี่ยงที่อยู่ในระดับบสููงมาก มีความเสี่ยงที่ระดับสูง 4 ประเด็น ได้แก่ ความเสี่ยงของการบริหารการลงทุนและการเติบโตของธุรกิจ ความเสี่ยงจากการเปลี่ยนแปลงสภาพภูมิอากาศ และความเสี่ยงด้านบุคลากร ความเสี่ยงเกี่ยวกับประสิทธิภาพของโรงไฟฟ้า ซึ่งบริษัทได้มีแผนการบริหารความเสี่ยง (Mitigation Plan) รวมทั้งกำหนดผู้รับผิดชอบในการบริหารจัดการความเสี่ยง และระยะเวลาในการติดตามจัดการความเสี่ยงที่ชัดเจน เพื่อรับรองสถานการณ์ความเสี่ยงในแต่ละประเด็นอย่างมีประสิทธิภาพ

เป้าหมายและผลการดำเนินงานการบริหารจัดการความเสี่ยง

ในปี 2566 พบว่า ความเสี่ยงส่วนใหญ่อยู่ใน ระดับปานกลาง บริษัทจึงได้มีการวางแผนการบริหารความเสี่ยง (Mitigation Plan) อย่างรอบคอบ ทั้งนี้ไม่มีความเสี่ยงที่อยู่ในระดับบสููงมาก มีความเสี่ยงที่ระดับสูง 4 ประเด็น ได้แก่ ความเสี่ยงของการบริหารการลงทุนและการเติบโตของธุรกิจ ความเสี่ยงจากการเปลี่ยนแปลงสภาพภูมิอากาศ และความเสี่ยงด้านบุคลากร ความเสี่ยงเกี่ยวกับประสิทธิภาพของโรงไฟฟ้า ซึ่งบริษัทได้มีแผนการบริหารความเสี่ยง (Mitigation Plan) รวมทั้งกำหนดผู้รับผิดชอบในการบริหารจัดการความเสี่ยง และระยะเวลาในการติดตามจัดการความเสี่ยงที่ชัดเจน เพื่อรับรองสถานการณ์ความเสี่ยงในแต่ละประเด็นอย่างมีประสิทธิภาพ

กระบวนการบริหารภาวะวิกฤตและความต่อเนื่องทางธุรกิจ

เพื่อสร้างความมั่นใจให้กับผู้มีส่วนได้เสียตลอดห่วงโซ่คุณค่า และการดำเนินธุรกิจอย่างต่อเนื่อง ตลอดจนการกำกับดูแลกิจการที่ดี บริษัทจัดทำนโยบายการบริหารจัดการความต่อเนื่องทางธุรกิจและจัดทำแผนบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuous Plan : BCP) อีกทั้งการจัดทำแผนฉุกเฉิน (Emergency Response Plan) และแผนบริหารจัดการภาวะวิกฤต (Crisis Management Plan) รวมถึงการฝึกอบรมและการฝึกซ้อมเพื่อเตรียมความพร้อมรับมือประจำปี ซึ่งเป็นส่วนหนึ่งของการบริหารจัดการความต่อเนื่องทางธุรกิจที่ครอบคลุมความเสี่ยงรอบด้านที่อาจจะทำให้ธุรกิจหยุดชะงัก และเพื่อสามารถให้การดำเนินการผลิตและจำหน่ายไฟฟ้าจากแหล่งพลังงานประเภทต่างๆ เป็นไปได้อย่างมีประสิทธิภาพ และเป็นไปตามมาตรฐานสากล

ความเสี่ยงที่เกิดขึ้นใหม่

บริษัทมุ่งให้ความสำคัญถึงความเสี่ยงที่เกิดขึ้นใหม่ ทั้งในระยะสั้น ระยะปานกลาง และระยะยาวซึ่งอาจส่งผลกระทบต่อบริษัท ความต่อเนื่องในการดำเนินธุรกิจ ความสามารถในการแข่งขันและความยั่งยืนในการดำเนินธุรกิจทั้งด้านความเสี่ยงและโอกาสที่จะเกิดขึ้นจากการบริหารความเสี่ยง ซึ่งบริษัทได้ดำเนินการระบุความเสี่ยงใหม่ที่อาจเกิดขึ้นได้ คือ การเปลี่ยนแปลงทางเทคโนโลยีด้านพลังงาน และความมั่นคงปลอดภัยด้านไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล โดยบริษัทได้มีการประเมินความเสี่ยง วิเคราะห์และหาแนวทางการจัดการเพื่อให้เกิดเสถียรภาพและสามารถดำเนินธุรกิจได้อย่างต่อเนื่องบนพื้นฐานความยั่งยืน โดยมีรายละเอียดดังนี้

กรอบเวลาที่เกิด
ผลกระทบ		 คำอธิบายของความเสี่ยง ผลกระทบที่อาจเกิดขึ้นต่อธุรกิจ แนวทางการจัดการ/โอกาส
1-2 ปี ด้วยกระแสการบริโภคพลังงานจากแหล่งพลังงานที่ใช้แล้วหมดไป เช่น พลังงานเชื้อเพลิงธรรมชาติ ก๊าซปิโตรเลียม ถ่านหิน และนิวเคลียร์ที่ลดลง และแทนที่ด้วยพลังงานทางเลือกที่เป็นพลังงานสะอาดกำลังเป็นที่ต้องการเพิ่มสูงขึ้นอย่างต่อเนื่อง เพื่อการผลิตที่เป็นมิตรต่อสภาพแวดล้อม และสามารถหมุนเวียนใช้ได้ไม่จำกัด ไม่ว่าจะเป็นพลังงานแสงอาทิตย์ พลังงานน้ำ พลังงานลม พลังงานความร้อนของผิวโลก รวมไปถึงรถพลังงานไฟฟ้าจากแหล่งพลังงานหมุนเวียน และพลังงานไฮโดเจน ซึ่งทำให้เกิดความเคลื่อนไหวด้านการพัฒนานวัตกรรมพลังงาน โดยเฉพาะพลังงานทดแทนในประเทศไทยอย่างชัดเจนในปีที่ผ่านมา ส่งผลให้เกิดแรงกระเพื่อมอย่างยิ่งต่อวงการการผลิตไฟฟ้า การเปลี่ยนแปลงต่อพฤติกรรมของผู้บริโภค และแหล่งพลังงานในอนาคต
  • ปัจจุบันเทคโนโลยีมีแนวโน้มการเปลี่ยนแปลงอย่างรวดเร็วเพื่อตอบสนองพฤติกรรมการใช้พลังงานของผู้บริโภคทั้งภาคประชาชน และภาคอุตสาหกรรม รวมทั้งรูปแบบการผลิตไฟฟ้าที่มีการพัฒนาอย่างรวดเร็ว บริษัทจำเป็นต้องกำหนดแนวทางเพื่อบริหารจัดการความเสี่ยงทางเทคโนโลยีด้านพลังงาน เพื่อป้องกันการถูกแทรกแซงจากนวัตกรรมใหม่ๆ ในการดำเนินธุรกิจของบริษัท และจำกัดความสามารถในการแข่งขันหากบริษัทไม่สามารถปรับตัวให้เข้ากับการเปลี่ยนแปลงทางเทคโนโลยีได้
  • บริษัทได้มีการเร่งส่งเสริมนวัตกรรมและเทคโนโลยีที่ทันสมัยทั้งในส่วนฝ่ายปฏิบัติการและการบริหารจัดการบุคลากรให้มีประสิทธิภาพ เพื่อรองรับนวัตกรรมใหม่ ๆ โดยบริษัทอยู่ระหว่างการศึกษาและพัฒนาโครงการพลังงานทดแทนในแต่ละรูปแบบ ร่วมกับพันธมิตรทางธุรกิจ
  • ศึกษากฎระเบียบ ข้อบังคับ และกฎหมายที่อาจจะเกี่ยวข้องทั้งของประเทศไทย และภูมิภาคอาเซียน เพื่อแสวงหาโอกาสใหม่ รวมถึงลดข้อจำกัดต่าง ๆ ที่อาจเกิดขึ้นระหว่างการดำเนินธุรกิจ
  • กำหนดประเด็นความยืดหยุ่นในการดำเนินธุรกิจ (Business Model Resilience) เป็นหนึ่งในประเด็นสำคัญในการดำเนินธุรกิจอย่างยั่งยืน และได้มีการจัดทำกลยุทธ์พร้อมทั้งกำหนดแนวทางและกรอบการดำเนินงานในระยะ 5 ปี (2565-2659) เพื่อให้เกิดการดำเนินงานอย่างเป็นรูปธรรม พร้อมทั้งมีหน่วยงานรับผิดชอบเพื่อขับเคลื่อนการและติดตามดำเนินงานที่ชัดเจน
  • บริษัทได้มีการศึกษาและประเมินความสามารถในการดำเนินธุรกิจด้านพลังงานทดแทน และได้เตรียมความพร้อมโดยจัดตั้งคณะทำงาน Exploration Team ประกอบด้วย ผู้บริหาร และพนักงานในสายงานพัฒนาธุรกิจ และวิศวกรชำนาญการ เพื่อศึกษาและค้นคว้าแนวทางการพัฒนาธุรกิจผลิตไฟฟ้าในรูปแบบใหม่
  • มีการศึกษาเทคโนโลยีโรงไฟฟ้าพลังงานแสงอาทิตย์และระบบกักเก็บพลังงาน (Solar & Battery Energy Storage System (BESS)) เป็นโครงการศึกษาเพื่อลงทุนในอนาคต
  • บริษัทได้ลงนามในบันทึกความร่วมมือกับคู่ค้าในการศึกษาเกี่ยวกับเทคโนโลยีการผลิตไฮโดรเจนสีเขียว และแอมโมเนียสีเขียว และ มีการลงนามในบันทึกความร่วมมือกับคู่ค้าในการศึกษาเกี่ยวกับการใช้ไฮโดรเจน ผสมกับ ก๊าซธรรมชาติเหลว (LNG) เพื่อเป็นเชื้อเพลิงสำหรับการผลิตไฟฟ้า ณ โรงไฟฟ้าบางปะอินโคเจนเนอเรชั่น
กรอบเวลาที่เกิด
ผลกระทบ		 คำอธิบายของความเสี่ยง ผลกระทบที่อาจเกิดขึ้นต่อธุรกิจ แนวทางการจัดการ/โอกาส
1-2 ปี ความมั่นคงปลอดภัยด้านไซเบอร์เป็นการนำเครื่องมือทางด้านเทคโนโลยีและกระบวนการที่รวมถึงวิธีการปฏิบัติที่ถูกออกแบบไว้เพื่อป้องกันและรับมือที่อาจจะถูกโจมตีเข้ามายังอุปกรณ์เครือข่าย โครงสร้างพื้นฐานทางสารสนเทศ ระบบหรือโปรแกรมที่อาจจะเกิดความเสียหายจากการที่ถูกเข้าถึงจากบุคคลที่สามโดยไม่ได้รับอนุญาต การรักษาความถูกต้องของข้อมูล (Integrity) การรักษาความลับของข้อมูล (Confidentiality) ซึ่งบริษัทได้เล็งเห็นถึงความเสี่ยงนี้ ในปัจจุบันพบว่าเป้าหมายในการโจมตี และรูปแบบของการโจมตีทางด้านไซเบอร์มีความหลากหลายมากยิ่งขึ้นที่สร้างความเสียหายให้กับองค์กรที่ได้รับผลกระทบเป็นอย่างมาก

บริษัทเตรียมความพร้อมต่อความเสี่ยงจากภัยคุกคามในทุกรูปแบบที่อาจส่งผลกระทบต่อการสูญเสียข้อมูลสำคัญของบริษัท เนื่องจากบริษัทมีข้อมูลที่มีความละเอียดอ่อน (Sensitive Data) อยู่ในระบบเซิร์ฟเวอร์ (Server) เนื่องจากบริษัทบริหารจัดการโรงไฟฟ้าที่มีเสถียรภาพต่อความมั่นคงด้านพลังงาน หรือข้อมูลด้านการเงินที่มีความสำคัญ ซึ่งอาจมีผู้ไม่ประสงค์ดีโจมตีระบบการเก็บข้อมูลและเครือข่ายต่าง ๆ ทำให้บริษัทสูญเสียค่าใช้จ่ายจากการถูกขโมย หรือค่าใช้จ่ายในการกู้ข้อมูลที่ถูกขโมยกลับคืนมา โดยในปี 2566 บริษัทไม่มีกรณีที่มีการรั่วไหลของข้อมูล

นอกจากนี้ ในกรณีที่ข้อมูลส่วนบุคคลของพนักงาน คู่ค้า หรือลูกค้าเกิดการรั่วไหล หรือมีการนำข้อมูลไปใช้ทางธุรกรรม ยังเป็นการส่งผลกระทบได้ในวงกว้างขอผู้มีส่วนได้เสียของบริษัท ซึ่งความสูญเสียทั้งหมดล้วนส่งผลต่อบริษัทที่อาจสูญเสียชื่อเสียงที่ไม่อาจประเมินค่าได้ และใช้เวลายาวนานเพื่อเรียกคืนความมั่นใจของผู้มีส่วนได้เสียกลับมา
  • บริษัทบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศให้สอดคล้องกับนโยบายและการบริหารความเสี่ยงองค์กร กำหนดให้การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศเป็นส่วนหนึ่งของการบริหารความต่อเนื่องทางธุรกิจ เพื่อให้ระบบสารสนเทศอยู่ในสภาพที่พร้อมใช้งานอยู่เสมอ
  • บริษัทได้จัดทำ ISO 27001 มาตรฐานระบบการความมั่นคงปลอดภัยของสารสนเทศ ซึ่งเป็นการแนะแนวทางและสนับสนุนให้องค์กรเข้าใจความเสี่ยงและจุดอ่อนด้านการคุ้มครองข้อมูลอย่างเป็นระบบ ช่วยเพิ่มความแข็งแกร่งให้กับระบบความปลอดภัยของข้อมูล ลดความเสี่ยง และปกป้องข้อมูลจากการถูกโจรกรรม รวมทั้งกำหนดให้มีการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ โดยกำหนดขั้นตอน กระบวนการบริหาร และผู้มีหน้าที่รับผิดชอบ รวมถึงจัดให้มีการรายงานสถานการณ์ที่เกิดขึ้นอย่างรวดเร็วและทันต่อเหตุการณ์ ผ่านบุคคลหรือหน่วยงานที่ทำหน้าที่รับแจ้งเหตุการณ์ เพื่อให้เหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบสารสนเทศได้รับการดำเนินการอย่างถูกต้อง มีประสิทธิภาพ ในช่วงระยะเวลาที่เหมาะสม
  • บริษัทกำหนดหน้าที่ความรับผิดชอบในการรักษาความมั่นคงปลอดภัยของทรัพย์สินสารสนเทศ เพื่อให้ทรัพย์สินสารสนเทศที่มีความสำคัญได้รับการป้องกันอย่างเหมาะสม
  • สื่อสารความรู้ความเข้าใจเรื่องความมั่นคงปลอดภัยด้านไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลให้กับผู้บริหารและพนักงานทุกระดับ ผ่านช่องทางการสื่อสารภายใน Email และ ระบบ CKPower Mobile applications
  • หน่วยงานเทคโนโยยีสารสนเทศได้ศึกษาวิวัฒนาการและรูปแบบการโจมตีทางด้านไซเบอร์เพื่อป้องกันและลดผลที่คาดว่าจะเกิดขึ้น
  • บริษัทได้ประเมินประสิทธิภาพระบบการรักษาความปลอดภัยของระบบสารสนเทศของบริษัท และระบบการเดินเครื่องของโรงไฟฟ้าอย่างสม่ำเสมอ
การสร้างวัฒนธรรมความเสี่ยงในองค์กร

บริษัทให้ความสำคัญต่อการส่งเสริมวัฒนธรรมการบริหารความเสี่ยงที่ดีทั่วทั้งองค์กร บริษัทจึงมีกำหนดนโยบายและแนวทางในการดำเนินงาน ตลอดจนการวัดผลสัมฤทธิ์ประสิทธิภาพการดำเนินงานบริหารความเสี่ยงผ่านดัชนีชี้วัดผลการดำเนินงาน (Key Performance Index: KPI) ซึ่งประกอบด้วย ตัวชี้วัดนํา (Leading Indicators) และตัวชี้วัดตาม (Lagging Indicators) เพื่อเป็นการติดตามการบริหารความเสี่ยงตลอดจนสร้างแรงจูงใจและสร้างความมั่นใจในผลการขับเคลื่อนความสำเร็จขององค์ไปสู่เป้าหมายผ่านการบริหารความเสี่ยงที่มีประสิทธิภาพรวมถึงมีการสนับสนุนการสร้างวัฒนธรรมการบริหารความเสี่ยงทั่วทั้งบริษัทและบริษัทในเครือโดยให้พนักงานได้ตระหนักรู้วัฒนธรรมความเสี่ยงและการจัดการความเสี่ยงผ่านการจัดอบรมและการบรรยาย ในปี 2566 บริษัทมีกิจกรรมเพื่อส่งเสริมวัฒนธรรมการบริหารความเสี่ยง ดังนี้

  1. การจัดการอบรมและบรรยาย
    • ระดับกรรมการ : กรรมการทุกท่านได้ผ่านอบรมความเสี่ยงด้านการเปลี่ยนแปลงสภาพภูมิอากาศ และแนวโน้มและโอกาสด้านการเปลี่ยนแปลงสภาพภูมิอากาศ Carbon Credits & Energy Attribution Certificates เพื่อเพิ่มความรู้ ความเข้าใจ เสริมสร้างทักษะที่จะสามารถนำไปเป็นแนวทางในการกำกับดูแล ตลอดจนการการประเมินความเสี่ยงด้านกลยุทธ์ที่สำคัญของบริษัท และกฎหมายที่เกี่ยวข้องกับการดำเนินธุรกิจ
    • ระดับผู้บริหารและพนักงาน: ผู้บริหารและพนักงานทุกระดับของบริษัทและบริษัทในเครือได้ผ่านการอบรมหลักสูตรการจัดการความเสี่ยงทางกฎหมายที่เกี่ยวข้องกับ Personal Data Protection Act (PDPA) เพื่อให้ทุกคนมีความรู้และความเข้าใจในการปฏิบัติตามกฎหมาย และความเสี่ยงจากการไม่ปฏิบัติตามกฎหมาย

    ภาพประกอบ

  2. การสื่อสาร ผ่านช่องทางต่างๆ
    • วารสาร Compliance Journal บริษัทได้จัดทำวารสารเพื่อสร้างความตระหนัก รับรู้และความเข้าใจ ถึงความสำคัญของหลักการกำกับดูแลกิจการที่ดี รวมถึงกฎหมายที่เกี่ยวข้องกับการดำเนินธุรกิจในรูปแบบที่เข้าใจง่าย และมีการยกตัวอย่างกรณีสำคัญๆ อีกทั้งได้สร้างการมีส่วนร่วมเพื่อการประเมินการรับรู้และความเข้าใจ ผ่านการตอบคำถาม เกมส์ รวมถึงการสัมภาษณ์พนักงาน ในปี 2566 ดำเนินการแล้ว 100 % ในการสร้างการรับรู้และความเข้าใจให้ กรรมการ ผู้บริหาร และพนักงานทั้วทั้งองค์กร
    • หลักสูตรการเรียนรู้แบบ E-Learning บริษัทได้จัดทำหลักสูตรการเรียนแบบ E-Learning เพื่อสร้างการเรียนรู้ด้วยตนเองของพนักงานทุกระดับ มีหัวข้อดังนี้ 1.การจัดการความเสี่ยงทางกฎหมายคุ้มครองส่วนบุคคล (PDPA) 2.ความเสี่ยงในการละเมิดกฎหมาย 3.วิธีการปฏิบัติเพื่อลดความเสี่ยง 4.ความเสี่ยงด้านความมั่นคงปลอดภัยด้าน ไซเบอร์ และ 5.แนวทางในการป้องกันตัวเองจากภัยคุกคามรอบด้านจากการใช้งานที่เกี่ยวข้องกับคอมพิวเตอร์ความเสี่ยงด้านการเปลี่ยนแปลงสภาพภูมิอากาศ เป็นต้น

    ภาพประกอบ

การบริหารจัดการความมั่นคงปลอดภัยด้านไซเบอร์

นโยบายความมั่นคงปลอดภัยด้านไซเบอร์

บริษัทมุ่งมั่นให้ความสำคัญต่อความเสี่ยงจากภัยคุกคามความมั่นคงด้านไซเบอร์ในทุกรูปแบบ ที่อาจส่งผลกระทบต่อการสูญเสียข้อมูลสำคัญของบริษัท เช่น ข้อมูลที่มีความละเอียดอ่อน (Sensitive Data) ที่อยู่ในระบบ Server ข้อมูลด้านการเงินที่มีความสำคัญ รวมถึงระบบการผลิตและจัดการโรงไฟฟ้าเพื่อให้มีเสถียรภาพในการผลิต และการสร้างความมั่นใจในการดำเนินธุรกิจที่มีความพร้อมเตรียมการรับมือและตอบสนองต่อภัยคุกคามที่อาจจะเกิดขึ้น บริษัทได้มีการประเมินและระบุขอบเขตที่สำคัญของความเสี่ยงด้านความมั่นคงปลอดภัยด้านไซเบอร์ เพื่อนำไปสู่การจัดทำนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ซึ่งสอดคล้องตามมาตรฐานและกฎหมายที่เกี่ยวข้อง เพื่อกำหนดการดำเนินงานขั้นตอนในการปฏิบัติในการรักษาความปลอดภัยด้านไซเบอร์สำหรับพนักงานทั่วทั้งองค์กรและตลอดห่วงโซอุปทานของบริษัท อีกทั้งมีการกำหนดการสอบทานนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เป็นประจำทุกปี อีกทั้งมีการกำหนดบทบาทและความรับผิดชอบภายในองค์กรที่ชัดเจน

นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

ดูเนื้อหาเพิ่มเติม

การบริหารจัดการความมั่นคงปลอดภัยด้านไซเบอร์

บริษัทเตรียมความพร้อมต่อความเสี่ยงจากภัยคุกคามไซเบอร์ ที่อาจส่งผลกระทบต่อการสูญเสียข้อมูลสำคัญของบริษัท โดยบริษัทบริหารจัดการความเสี่ยงให้สอดคล้องกับนโยบายและการบริหารความเสี่ยงองค์กร โดยกำหนดให้การรักษาความมั่นคงปลอดภัยด้านไซเบอร์ของระบบสารสนเทศเป็นส่วนหนึ่งของการบริหารความต่อเนื่องทางธุรกิจเพื่อให้ระบบสารสนเทศอยู่ในสภาพที่พร้อมใช้งานอยู่เสมอ รวมถึงเป็นไปตามกฎหมาย ข้อบังคับที่เกี่ยวข้อง มาตรฐานที่เกี่ยวข้อง เช่น มาตรฐาน ISO 27001:2013

ในการเพิ่มความแข็งแกร่งให้กับระบบความปลอดภัยของข้อมูล ลดความเสี่ยง และปกป้องข้อมูลจากการถูกโจรกรรม บริษัทได้กำหนดกระบวนการและขั้นตอนเฝ้าระวัง และมาตรการควบคุมเพื่อป้องกัน การกำหนดกระบวนการรับมือ สำหรับเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ มีผู้มีหน้าที่รับผิดชอบชัดเจน รวมถึงจัดให้มีการรายงานสถานการณ์ที่เกิดขึ้นอย่างรวดเร็วและทันต่อเหตุการณ์ ผ่านบุคคลหรือหน่วยงานที่ทำหน้าที่รับแจ้งเหตุการณ์ เพื่อให้เหตุการณ์ และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบสารสนเทศได้รับการดำเนินการอย่างถูกต้อง มีประสิทธิภาพในช่วงระยะเวลาที่เหมาะสม มีกรอบการบริหารจัดการดังนี้

ผลการดำเนินงานความมั่นคงปลอดภัยด้านไซเบอร์และความเป็นส่วนตัวของข้อมูล

การรักษาข้อมูลของลูกค้า

การรักษาข้อมูลของลูกค้ามีความสำคัญอย่างยิ่งในการดำเนินธุรกิจ ซึ่งบริษัทได้จัดให้มีการกำหนดระดับการเข้าถึงข้อมูลตามความสำคัญ เพื่อป้องกันไม่ให้ข้อมูลของลูกค้ารั่วไหลออกสู่บุคคลภายนอก โดยระบุเป็นข้อกำหนดในจรรยาบรรณในการดำเนินธุรกิจของบริษัทให้ผู้บริหารและพนักงานทั้งหมดพึงปฏิบัติในการละเว้นพฤติกรรมเสื่อมเสีย และไม่เปิดเผยข้อมูลอันเป็นความลับที่ได้รับทราบจากการปฏิบัติหน้าที่เพื่อแสวงหาผลประโยชน์ นอกจากนี้ บริษัทยังจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลภายนอกองค์กร และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ที่สอดคล้องกับแนวทางของบริษัทจดทะเบียนที่ประกาศโดยตลาดหลักทรัพย์ ซึ่งบริษัทส่งเสริมให้มีการใช้ระบบเทคโนโลยีสารสนเทศที่มีกระบวนการติดตามและบริหารจัดการความเสี่ยงอย่างเป็นระบบการรักษาความปลอดภัยบนโลกไซเบอร์ รวมทั้งมาตรการรักษาความมั่นคงของระบบเทคโนโลยีสารสนเทศเพื่อให้ครอบคลุมการดำเนินงานและการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ

บริษัทให้ความสำคัญอย่างยิ่งกับการเข้าถึงข้อมูล การเก็บข้อมูลเป็นความลับ และการใช้ข้อมูลภายใน รวมถึงการรักษาความปลอดภัยของข้อมูลและระบบสารสนเทศ โดยได้กำหนดนโยบายรวมถึงแนวทางปฏิบัติไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคลภายนอกองค์กร เพื่อรักษาความปลอดภัยทางไซเบอร์ให้กับผู้ร้องเรียนและลูกค้า ซึ่งในปีที่ผ่านมาไม่ปรากฏรายงานว่ามีข้อมูลรั่วไหล หรือข้อมูลของลูกค้าถูกใช้ในวัตถุประสงค์อื่น

ตัวชี้วัดความสำเร็จ ปี 2566
การรั่วไหลของข้อมูลความเป็นส่วนตัวของลูกค้า การโจรกรรมหรือการสูญหายของข้อมูล (กรณี) 0
ข้อร้องเรียนที่ได้รับเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลของลูกค้า (กรณี) 0
ข้อมูลของลูกค้าที่เกิดการรั่วไหลออกสู่ภายนอกหรือสูญหาย (กรณี) 0

หมายเหตุ: บริษัทเพิ่งเริ่มดำเนินการเก็บข้อมูลตั้งแต่ปี 2565 จากการประกาศใช้พรบ. คุ้มครองข้อมูลส่วนบุคคลในกลางปี 2565