Menu

การบริหารความเสี่ยงและการจัดการภาวะวิกฤต

ความสำคัญและความมุ่งมั่น

การดำเนินธุรกิจในทุกวันนี้ต้องประสบกับการเปลี่ยนแปลงอยู่ตลอดเวลาทั้งสภาพแวดล้อมทางธุรกิจและปัจจัยเสี่ยงใหม่ ๆ ที่มีแนวโน้มทวีความรุนแรงมากขึ้น เช่น วิกฤตทางเศรษฐกิจทั่วโลกเนื่องจากการแพร่ระบาดของเชื้อไวรัสโคโรนา 2019 (COVID-19) ราคาน้ำมันตกต่ำและผันผวน การเปลี่ยนแปลงทางการเมืองและความไม่สงบในประเทศต่าง ๆ แนวโน้มความต้องการพลังงานจากเชื้อเพลิงฟอสซิลที่ลดลง การพัฒนาเทคโนโลยีอย่างก้าวกระโดด ความคาดหวังต่อการดำเนินมาตรการจัดการปัญหาสิ่งแวดล้อมอย่างเข้มข้น ความหลากหลายของกฎระเบียบในประเทศต่าง ๆ ที่เข้าไปลงทุน ตลอดจนความมั่นคงและปลอดภัยทางไซเบอร์ (Cybersecurity) ปตท.สผ. ได้ตระหนักถึงความท้าทายเหล่านี้และต้องการยกระดับการบริหารความเสี่ยงทั่วทั้งองค์กรเพื่อเพิ่มขีดความสามารถในการรับมือกับความเปลี่ยนแปลงและจัดการประเด็นความเสี่ยงในทุกด้านอย่างรอบคอบ ครอบคลุม และรวดเร็วยิ่งขึ้น

นอกจากนี้ ปตท.สผ. ยังให้ความสำคัญกับการบริหารความต่อเนื่องทางธุรกิจ ในการเสริมสร้างบทบาทการเป็นผู้ผลิตน้ำมันและก๊าซธรรมชาติให้แข็งแกร่ง เพื่อสร้างความมั่นคงทางพลังงานและตอบสนองต่อความต้องการพลังงานของชุมชนและประเทศ

แนวทางการบริหารจัดการ

การบริหารความเสี่ยง

ด้วยความมุ่งมั่นในการบริหารความเสี่ยงอย่างมีประสิทธิภาพและประสิทธิผล คณะกรรมการ ปตท.สผ. จึงได้อนุมัติกรอบการกำกับดูแลความเสี่ยงองค์กร เพื่อกำหนดความรับผิดชอบและอำนาจหน้าที่ในการบริหารความเสี่ยงตั้งแต่ระดับคณะกรรมการบริษัทฯ ไปจนถึงระดับหน่วยธุรกิจ เพื่อให้การบริหารจัดการความเสี่ยงภายในองค์กรมีการสื่อสาร ประสานความร่วมมือ และเชื่อมโยงกันทุกระดับ ทำให้สามารถควบคุมดูแลการจัดการความเสี่ยงทุกด้านได้อย่างมีประสิทธิภาพและสอดคล้องกับนโยบายต่าง ๆ และสร้างความมั่นใจว่าความเสี่ยงที่มีนัยสำคัญและความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk) จะได้รับการบริหารจัดการ เพื่อป้องกันไม่ให้กลายเป็นปัญหาโดยไม่ทราบล่วงหน้า ช่วยลดความสูญเสียที่อาจเกิดขึ้น และลดการเกิดความเสี่ยงซ้ำ

ปตท.สผ. มีนโยบายและกรอบการบริหารความเสี่ยงองค์กรซึ่งอนุมัติโดยคณะกรรมการบริหารความเสี่ยง โดยมุ่งเน้นการบริหารความเสี่ยงเชิงรุกและการมีวัฒนธรรมด้านความเสี่ยงที่เข้มแข็ง มีกระบวนการบริหารความเสี่ยงอย่างเป็นระบบ สอดคล้องกับมาตรฐานสากล ISO 31000 โดยคณะกรรมการ ผู้บริหาร และพนักงานทุกระดับ มีหน้าที่และความรับผิดชอบในการบริหารความเสี่ยง และผลักดันการบริหารความเสี่ยงให้ครอบคลุมไปยังผู้รับเหมา คู่ค้า และหุ้นส่วนทางธุรกิจต่าง ๆ เพื่อสร้างความเชื่อมั่นต่อการบรรลุวิสัยทัศน์ พันธกิจ กลยุทธ์ วัตถุประสงค์ทางธุรกิจ และการเติบโตอย่างยั่งยืน สร้างคุณค่าให้กับผู้มีส่วนได้เสียทั้งในระยะสั้นและระยะยาว

1) กรอบการบริหารความเสี่ยงองค์กร

ปตท.สผ. ส่งเสริมการบูรณาการการบริหารความเสี่ยงเข้ากับการดำเนินงานและการตัดสินใจทางธุรกิจ โดยนำการบริหารความเสี่ยงมาใช้ทั่วทั้งองค์กร ครอบคลุมการดำเนินงานหลักของบริษัททุกด้านซึ่งประกอบด้วย การวางแผนและการจัดการเชิงกลยุทธ์ การตัดสินใจลงทุนและถอนการลงทุน การบริหารโครงการขนาดใหญ่ และการปฏิบัติการและกระบวนการทางธุรกิจ นอกจากนี้ ยังมีการบริหารความเสี่ยงในทุกระดับ ทั้งในระดับองค์กร (Corporate Level) และระดับปฏิบัติการ (Operational Level) เพื่อให้ความเสี่ยงอยู่ในระดับที่องค์กรยอมรับได้ (Risk Appetite) และมีการจัดสรรทรัพยากรเพื่อการบริหารความเสี่ยงได้อย่างเหมาะสมกับระดับความเสี่ยงและผลตอบแทนที่จะได้รับ พร้อมทั้งมีการติดตามความคืบหน้าของแผนจัดการความเสี่ยง (Mitigation Plan) และตัวชี้วัดความเสี่ยงที่สำคัญ (Key Risk Indicators – KRIs) ซึ่งเป็นเครื่องมือในการเตือนภัยล่วงหน้า เพื่อจะได้ป้องกันและกำหนดมาตรการจัดการความเสี่ยงเพิ่มเติมได้ทันเหตุการณ์

ในปี 2563 ปตท.สผ. มุ่งมั่นกำกับดูแลการเปลี่ยนผ่านสิทธิการดำเนินงานจากผู้ดำเนินการเดิม (Transfer of Operations) ในโครงการที่ได้มาจากการควบรวมและเข้าซื้อกิจการให้เป็นไปอย่างราบรื่นและมีประสิทธิผล จึงขยายการกำกับดูแลการบริหารความเสี่ยงให้ครอบคลุมไปยังบริษัทที่ได้เข้าซื้อกิจการนั้น เพื่อให้มีการบริหารความเสี่ยงที่เป็นมาตรฐานเดียวกันกับ ปตท.สผ. และกำหนดให้มีการรายงานผลเพื่อติดตามดูแลอย่างใกล้ชิด

2) การบูรณาการและการปรับปรุงระบบจัดการความเสี่ยง

เพื่อให้ประเด็นความเสี่ยงที่สำคัญได้ถูกระบุไว้อย่างครอบคลุม ครบถ้วน และมีการบริหารจัดการอย่างมีประสิทธิภาพ เป็นไปตามหลักการการวางแนวป้องกันสามระดับ (The Three Lines Model) หน่วยงานบริหารความเสี่ยงจะให้ข้อแนะนำและทำงานร่วมกับหน่วยงานผู้รับผิดชอบระดับแรก (First Line Models) ซึ่งมีหน้าที่ในการดำเนินงานและบริหารความเสี่ยงไปพร้อม ๆ กันในฐานะเจ้าของความเสี่ยง (Risk Owner) และประสานงานกับหน่วยงานต่าง ๆ โดยเฉพาะอย่างยิ่งหน่วยงานผู้รับผิดชอบระดับที่สอง (Second Line Models) ที่ดูแลและมีความเชี่ยวชาญเฉพาะเรื่อง ซึ่งจะทำหน้าที่ให้ความช่วยเหลือในการบริหารความเสี่ยงในแต่ละด้าน เช่น หน่วยงานด้านการปฏิบัติตามกฎเกณฑ์ จะติดตามการเปลี่ยนแปลงกฎหมายซึ่งอาจส่งผลให้เป็นความเสี่ยงที่เกิดขึ้นใหม่หรือทำให้ระดับความเสี่ยงเปลี่ยนแปลงไปจากเดิม ส่วนหน่วยงานตรวจสอบซึ่งมีบทบาทเป็นหน่วยงานผู้รับผิดชอบระดับที่สาม (Third Line Models) ทำหน้าที่ตรวจสอบและให้ข้อแนะนำอย่างเป็นอิสระ เพื่อพัฒนาปรับปรุงการบริหารความเสี่ยงให้มีประสิทธิภาพและประสิทธิผลยิ่งขึ้น นอกจากนี้ ยังมีการแลกเปลี่ยนข้อมูลระหว่างหน่วยงานบริหารความเสี่ยงและหน่วยงานตรวจสอบ เพื่อให้มั่นใจว่าประเด็นความเสี่ยงที่สำคัญได้ถูกระบุและจัดการอย่างต่อเนื่อง

ในปี 2563 ปตท.สผ. ได้พัฒนาระบบลงทะเบียนความเสี่ยงบนระบบเครือข่าย (Web-based Risk Register System) เพื่อช่วยให้เจ้าของความเสี่ยงสามารถระบุและวิเคราะห์ความเสี่ยงได้อย่างครบถ้วน รวดเร็ว สื่อสารได้อย่างทั่วถึง และยังช่วยให้ผู้เกี่ยวข้องสามารถติดตามการจัดการความเสี่ยงได้อย่างสะดวก รวดเร็ว ทุกสถานที่ ทุกเวลา

3) วัฒนธรรมความเสี่ยงภายในองค์กร

เพื่อให้การบริหารความเสี่ยงในองค์กรแข็งแกร่งและยั่งยืน ปตท.สผ. จึงให้ความสำคัญในการปลูกฝังจิตสำนึกด้านความเสี่ยงและพัฒนาความรู้ความสามารถของบุคลากร โดยมีผู้บริหารทุกระดับเป็นผู้นำ เป็นแบบอย่างที่ดี และสนับสนุนให้มีการพัฒนาการบริหารความเสี่ยงให้มีประสิทธิภาพและประสิทธิผลอย่างต่อเนื่อง มีการสร้างความตระหนัก ความรู้ความเข้าใจ และนำการบริหารความเสี่ยงมาใช้ในการดำเนินงานจนเป็นวัฒนธรรมองค์กรผ่านการฝึกอบรมและกิจกรรมต่าง ๆ เช่น จัดฝึกอบรมให้กับกรรมการใหม่สำหรับคณะกรรมการบริษัทฯ และคณะกรรมการบริหารความเสี่ยง จัดฝึกอบรมให้กับผู้บริหารและผู้ประสานงานด้านความเสี่ยง (Risk Coordinator) ของแต่ละหน่วยงาน การสื่อสารเกี่ยวกับการบริหารความเสี่ยงผ่านช่องทาง Intranet อีเมล และกิจกรรมประชาสัมพันธ์ตามวาระต่าง ๆ ในปี 2563 ปตท.สผ. ได้ยกระดับการบริหารความเสี่ยงให้มีประสิทธิภาพยิ่งขึ้นโดยเพิ่มการติดตามและประเมินผลการบริหารความเสี่ยงด้วยตัวชี้วัดเกี่ยวกับการระบุความเสี่ยงและผลการบริหารความเสี่ยง (Unidentified Risk KPI) สำหรับผู้บริหารทุกระดับของแต่ละหน่วยงานที่เป็นเจ้าของความเสี่ยง รวมถึงหน่วยงานบริหารความเสี่ยงซึ่งมีหน้าที่เป็นผู้ดูแลความเสี่ยงในภาพรวมและยกระดับความเสี่ยงที่มีนัยสำคัญในระดับองค์กรรายงานต่อคณะกรรมการบริหารความเสี่ยงด้วย

การบริหารความต่อเนื่องทางธุรกิจ

ปตท.สผ. มีระบบการบริหารความต่อเนื่องทางธุรกิจ ซึ่งเป็นส่วนหนึ่งของการบริหารความเสี่ยงองค์กร โดยได้จัดทำแผนการบริหารความต่อเนื่องทางธุรกิจ หรือ Business Continuity Plan (BCP) เพื่อเตรียมความพร้อมสำหรับการปฏิบัติงานในภาวะวิกฤต โดย ปตท.สผ. ได้กำหนดกรอบการบริหารความต่อเนื่องทางธุรกิจให้สอดคล้องกับมาตรฐาน ISO 22301 ซึ่งเป็นมาตรฐานสากลสำหรับการบริหารความต่อเนื่องทางธุรกิจ รวมถึงกำหนดนโยบายการบริหารความต่อเนื่องทางธุรกิจ โดยมีวัตถุประสงค์ดังนี้

  • ปกป้องผลประโยชน์ของผู้มีส่วนได้เสีย บุคลากร องค์กร ชุมชน รวมถึงชื่อเสียงและภาพลักษณ์ขององค์กร
  • บรรเทาผลกระทบต่อกิจกรรมที่มีความสำคัญขององค์กร
  • หลีกเลี่ยงการกระทำที่ขัดต่อกฎหมาย มาตรฐาน ข้อกำหนด หรือสัญญาต่าง ๆ
  • สร้างขีดความสามารถให้องค์กรมีความยืดหยุ่นอย่างเหมาะสม และเพียงพอ

ปตท.สผ. ตระหนักดีว่าธุรกิจสำรวจและผลิตปิโตรเลียมเป็นธุรกิจที่ต้องรักษาความมั่นคงในการสรรหาปิโตรเลียมและตอบสนองความต้องการใช้พลังงานแห่งชาติอย่างต่อเนื่องไม่ให้มีการหยุดชะงัก จึงได้พัฒนาแผนการบริหารความต่อเนื่องทางธุรกิจเพื่อให้ปตท.สผ. สามารถดำเนินงานได้ในภาวะฉุกเฉินและวิกฤต ภายใต้ข้อกำหนดของระบบการบริหารจัดการด้านความปลอดภัย มั่นคง อาชีวอนามัย และสิ่งแวดล้อม ซึ่งกำหนดโครงสร้างของระบบเพื่อเตรียมความพร้อมสำหรับรองรับสถานการณ์ฉุกเฉินและสภาวะวิกฤต โดยให้ความสำคัญและคำนึงถึงการปกป้องชีวิต สิ่งแวดล้อม ทรัพย์สิน และชื่อเสียงขององค์กร ทั้งนี้ แผนการบริหารความต่อเนื่องทางธุรกิจของแต่ละพื้นที่ปฏิบัติการรวมถึงหน่วยงานสนับสนุน จะมีการทบทวนแผนและดำเนินการฝึกซ้อมอย่างสม่ำเสมอ เพื่อปรับปรุงและรักษามาตรฐานแผนการบริหารความต่อเนื่องทางธุรกิจให้มีประสิทธิภาพ และมั่นใจได้ว่า ปตท.สผ. จะสามารถดำเนินงานได้อย่างต่อเนื่องและมีประสิทธิภาพแม้จะอยู่ในสถานการณ์ฉุกเฉิน

ในปี 2563 ปตท.สผ. ได้รับการรับรองระบบการบริหารความต่อเนื่องทางธุรกิจตามมาตรฐานสากล ISO 22301 สำหรับโครงการเอส 1 โครงการเมียนมา ฐานสนับสนุนการพัฒนาปิโตรเลียมจังหวัดสงขลา และฝ่ายบริหารอาคารและบริการธุรกิจ สำนักงานใหญ่

ความมั่นคงและปลอดภัยทางไซเบอร์

ปตท.สผ. ปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 อย่างเคร่งครัด โดยได้จัดทำแนวทางการปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ การป้องกัน รับมือ และลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์

ปัจจุบัน ปตท.สผ. ยึดมาตรฐานของ National Institute of Standards and Technology (NIST) เป็นแนวทางในการจัดการเรื่องความมั่นคงปลอดภัยทางไซเบอร์ โดยมีการประเมินความเสี่ยงตามมาตรฐาน ISO 27001:2013 ในส่วนของระบบจดหมายอิเล็กทรอนิกส์และศูนย์รวมข้อมูล (Data Center Facility) ตั้งแต่ปี 2557 และกำลังดำเนินการประเมินความเสี่ยง ระบบงานต่าง ๆ ตามมาตรฐาน ISO 27001:2013 ภายในปี 2563 มีการลงทุนด้านเทคโนโลยีและใช้บริการจาก PTT Digital ในการป้องกัน และรับมือเพื่อลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์มาอย่างต่อเนื่อง ในปัจจุบัน ปตท.สผ. มีศูนย์ Security Operations Center (SOC) ที่เชื่อมต่อระบบ Security Information and Event Management (SIEM) กับ Network Firewall ครบทุกแหล่งผลิต โดยได้ดำเนินการแล้วเสร็จในไตรมาสที่ 2 ของ ปี 2563

1) หน่วยงานที่รับผิดชอบ

นับตั้งแต่ปี 2562 ปตท.สผ. มอบหมายให้คณะกรรมการบริหารความเสี่ยง ซึ่งประกอบด้วย กรรมการจำนวนรวม 6 คน โดยเป็นกรรมการอิสระ 2 คน ทำหน้าที่กำกับดูแลการบริหารความเสี่ยงของบริษัท คณะกรรมการได้แต่งตั้งพลตรี นิมิตต์ สุวรรณรัฐ (กรรมการอิสระ) ทำหน้าที่กำกับดูแลในประเด็นความมั่นคงและปลอดภัยทางไซเบอร์ (Cybersecurity) ในภาพรวมองค์กร นอกจากนี้บริษัทยังได้แต่งตั้งคณะกรรมการดิจิทัล (Digital Steering Committee) โดยมีฝ่ายการจัดการสารสนเทศและทีมงานทำหน้าที่กำหนดทิศทาง เป้าหมาย กลยุทธ์ นโยบาย และมาตรฐานด้านเทคโนโลยีสารสนเทศ รวมถึงกำกับดูแลแผนการลงทุนด้านสารสนเทศ (IT Master Plan and Roadmap) และการบริหารจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ (IT Risk Management) ให้อยู่ในระดับที่ยอมรับได้ ตลอดจนรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยงและคณะกรรมการบริษัทอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า ปตท.สผ. จะสามารถควบคุมสถานการณ์และตอบสนองได้อย่างทันท่วงทีเมื่อมีเหตุการณ์ฉุกเฉินเกิดขึ้น

2) มาตรการควบคุม

ปตท.สผ. มีมาตรการควบคุมระบบสารสนเทศ การรักษาความมั่นคงปลอดภัยของอุปกรณ์ใช้งาน การสำรอง และการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยบริษัทได้กำหนดนโยบายด้านเทคโนโลยีสารสนเทศและประกาศบังคับใช้กับทุกหน่วยงานเพื่อให้เป็นไปตามแนวทางการกำกับดูแลกิจการที่ดีขององค์กร โดยที่ผ่านมา การดำเนินงานด้านเทคโนโลยีของ ปตท.สผ. มุ่งรองรับการดำเนินงานของบริษัทที่เน้นความปลอดภัยและความคล่องตัว เช่น การตั้งคณะทำงานจากบริษัทในกลุ่ม ปตท. สำหรับโครงการ PTT Group Cybersecurity Governance & Assurance เพื่อพัฒนาระดับการป้องกันด้านความมั่นคงและปลอดภัยทางไซเบอร์ ของกลุ่ม ปตท. ให้มีประสิทธิภาพมากยิ่งขึ้น และการนำระบบ Microsoft Office 365 มาใช้เพื่อให้เข้าถึงข้อมูลสำคัญได้ทุกที่ทุกเวลา เพิ่มประสิทธิภาพการทำงานในองค์กรและการรักษาความปลอดภัยข้อมูล เป็นต้น รวมถึงกำหนดการควบคุมโครงสร้างพื้นฐานของระบบเทคโนโลยีสารสนเทศ โดยมีนโยบายที่ชัดเจนในการนำระบบดิจิทัลเข้ามาช่วยงานด้านเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ มีกระบวนการวางแผนกลยุทธ์เทคโนโลยีสารสนเทศที่สอดคล้องกับกรอบการปฏิบัติด้านการกำกับดูแลเทคโนโลยีสารสนเทศของ Control Objectives for Information and Related Technology (COBIT 5) และมาตรฐาน ISO 27001 ตลอดจนการใช้ Cloud Platform เพื่อพัฒนาระบบเทคโนโลยีสารสนเทศบนโครงสร้างที่มีความคล่องตัว โดยที่ยังคงมีระบบการควบคุมที่มีประสิทธิภาพ ตามมาตรฐานความปลอดภัยตามที่บริษัทกำหนดไว้

นอกจากนี้ ปตท.สผ. ได้กำหนดมาตรการรักษาความปลอดภัย (Security Policy) และมีการควบคุมความปลอดภัยและความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัย ป้องกันการละเมิด และสนับสนุนการสำรองและการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยแบ่งออกเป็น

  1. การควบคุมทั่วไป เช่น การกำหนดแนวทางการควบคุมการทำงานและกิจกรรมทางด้านเทคโนโลยีสารสนเทศ และการจัดทำแผนการบริหารความต่อเนื่องทางธุรกิจด้านเทคโนโลยีสารสนเทศ
  2. การควบคุมระดับบุคคล เช่น การกำหนดสิทธิในการเข้าถึงข้อมูลของพนักงานทุกคน การจำลองสถานการณ์ภัยคุกคาม (Cybersecurity Drill) การจัดทำหลักสูตร Digital Security Awareness e-Learning และการจัดอบรมในหัวข้อ "Cybersecurity Act" และ "Personal Data Protection Act" เพื่อให้ความรู้แก่ผู้บริหาร พนักงาน รวมถึงผู้ดูแลระบบที่เกี่ยวข้อง
  3. การควบคุมระดับระบบ เช่น การเก็บบันทึกหลักฐานการใช้ระบบตามข้อกำหนดของกฎหมาย และการทดสอบการเจาะระบบจากภายนอก (External Penetration Testing) โดยบริษัทที่มีความเชี่ยวชาญ เพื่อหาช่องโหว่ในการทำให้ระบบมีความเสียหายและนำช่องโหว่นั้นมาปรับปรุงให้ระบบมีความแข็งแกร่งมากขึ้น เป็นต้น