Menu

การบริหารความเสี่ยงและการจัดการภาวะวิกฤต

ความสำคัญและความมุ่งมั่น

การดำเนินธุรกิจในทุกวันนี้ต้องประสบกับการเปลี่ยนแปลงอยู่ตลอดเวลาทั้งสภาพแวดล้อมทางธุรกิจและปัจจัยเสี่ยงใหม่ ๆ ที่มีแนวโน้มทวีความรุนแรงมากขึ้น ทั้งความผันผวนของราคาน้ำมันจากกรณีสงครามรัสเซีย-ยูเครน สถานการณ์การแพร่ระบาดโรคติดเชื้อไวรัสโคโรนา (โควิด 19) สถานการณ์ความไม่สงบและความหลากหลายของกฎระเบียบในประเทศต่าง ๆ ที่ ปตท.สผ. เข้าไปลงทุน ความต้องการใช้พลังงานจากเชื้อเพลิงฟอสซิลที่มีแนวโน้มลดลง การนำเข้าก๊าซธรรมชาติเหลว (LNG) เพื่อทดแทนการผลิตก๊าซธรรมชาติในประเทศ การเปลี่ยนแปลงเทคโนโลยีและนวัตกรรมแบบก้าวกระโดด (Disruptive Technology) รวมถึงความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์ (Cybersecurity Risk) นอกจากนี้ ปัญหาภาวะโลกร้อนและการเปลี่ยนแปลงสภาพภูมิอากาศ ซึ่งเป็นประเด็นใหญ่ที่ทั่วโลกให้ความสนใจก็ยิ่งทวีความสำคัญ ในการประชุมรัฐภาคีกรอบอนุสัญญาสหประชาชาติว่าด้วยการเปลี่ยนแปลงสภาพภูมิอากาศ สมัยที่ 26 (the 26th United Nations Climate Change Conference of the Parties - COP26) ณ เมืองกลาสโกว์ ประเทศสกอตแลนด์ ในเดือนพฤศจิกายน 2564 ที่ผ่านมา นานาประเทศรวมถึงประเทศไทยได้ร่วมกันแสดงจุดยืนและให้คำมั่นที่จะบรรลุเป้าหมายเพื่อแก้ปัญหาการเปลี่ยนแปลงสภาพภูมิอากาศ เพื่อผลักดันให้เกิดการเปลี่ยนผ่านไปสู่ "อนาคตคาร์บอนต่ำ (Low Carbon Future)" และลดการปล่อยก๊าซเรือนกระจกโดยเฉพาะอย่างยิ่งก๊าซคาร์บอนไดออกไซด์ให้เหลือศูนย์ (Net Zero) ที่เข้มข้นยิ่งขึ้น

ดังนั้น จึงเป็นความท้าทายอย่างยิ่งที่ทำให้ ปตท.สผ. ตระหนักถึงความสำคัญของการบริหารความเสี่ยงรวมถึงการบริหารความต่อเนื่องทางธุรกิจอย่างยิ่งยวด และมุ่งมั่นที่จะบริหารจัดการให้มีประสิทธิภาพและประสิทธิผลอย่างรอบคอบ เพื่อให้องค์กรมีแผนรับมือกับความเสี่ยงที่สำคัญและพร้อมเผชิญกับความไม่แน่นอนต่าง ๆ รวมถึงการเปลี่ยนแปลงทางธุรกิจใด ๆ ตลอดจนสามารถบรรลุวัตถุประสงค์ทางธุรกิจและเป้าหมายเชิงกลยุทธ์และเติบโตอย่างยั่งยืน ควบคู่ไปกับการสร้างคุณค่าให้ผู้มีส่วนได้เสียในระยะยาว และเสริมสร้างความมั่นคงด้านพลังงานของประเทศ

แนวทางการบริหารจัดการ

การบริหารความเสี่ยง

ด้วยความมุ่งมั่นในการบริหารความเสี่ยงอย่างมีประสิทธิภาพและประสิทธิผล คณะกรรมการ ปตท.สผ. จึงได้อนุมัติกรอบการกำกับดูแลความเสี่ยงองค์กร เพื่อกำหนดความรับผิดชอบและอำนาจหน้าที่ในการบริหารความเสี่ยงตั้งแต่ระดับคณะกรรมการบริษัท ไปจนถึงระดับหน่วยธุรกิจ เพื่อให้การบริหารจัดการความเสี่ยงภายในองค์กรมีการสื่อสาร ประสานความร่วมมือ และเชื่อมโยงกันทุกระดับ อีกทั้งได้อนุมัติระดับความเสี่ยงที่องค์กรยอมรับได้ เพื่อใช้เป็นกรอบในการดำเนินงานและแสวงหาโอกาสทางธุรกิจ ทำให้บริษัทสามารถควบคุมดูแลการจัดการความเสี่ยงทุกด้านให้อยู่ภายใต้ระดับความเสี่ยงที่ยอมรับได้อย่างมีประสิทธิผลและสอดคล้องกับนโยบายต่าง ๆ และสร้างความมั่นใจว่าความเสี่ยงที่มีนัยสำคัญ โดยเฉพาะอย่างยิ่งความเสี่ยงที่มีผลกระทบระดับองค์กร (Corporate Risk) และความเสี่ยงเกิดใหม่ (Emerging Risk) จะได้รับการบริหารจัดการ เพื่อป้องกันไม่ให้กลายเป็นปัญหาโดยไม่ทราบล่วงหน้า ช่วยลดความสูญเสียที่อาจเกิดขึ้น และลดการเกิดความเสี่ยงซ้ำ

ปตท.สผ. มีนโยบายและกรอบการบริหารความเสี่ยงองค์กรซึ่งอนุมัติโดยคณะกรรมการบริหารความเสี่ยง โดยมุ่งเน้นการบริหารความเสี่ยงเชิงรุกและการมีวัฒนธรรมด้านความเสี่ยงที่เข้มแข็ง มีกระบวนการบริหารความเสี่ยงอย่างเป็นระบบ สอดคล้องกับมาตรฐานสากล ISO 31000:2018 และมีการนำกรอบแนวทางการบริหารความเสี่ยงของ The Committee of Sponsoring Organizations of the Treadway Commission (COSO) Enterprise Risk Management – Integrating with Strategy and Performance (COSO ERM 2017) และ COSO Enterprise Risk Management – Applying Enterprise Risk Management to Environmental, Social and Governance-related Risks (COSO ESG 2018) มาปรับใช้เพื่อเชื่อมโยงการบริหารความเสี่ยงเข้ากับการวางแผนกลยุทธ์ และบูรณาการการบริหารความเสี่ยงด้านความยั่งยืน อันได้แก่ ประเด็นด้านสิ่งแวดล้อม ด้านสังคม และด้านบรรษัทภิบาล เข้ากับกระบวนการบริหารความเสี่ยงทั่วทั้งองค์กร โดยคณะกรรมการ ผู้บริหาร และพนักงานทุกระดับ มีหน้าที่และความรับผิดชอบในการบริหารความเสี่ยง และผลักดันการบริหารความเสี่ยงให้ครอบคลุมไปยังผู้รับเหมา คู่ค้า และหุ้นส่วนทางธุรกิจต่าง ๆ เพื่อสร้างความเชื่อมั่นต่อการบรรลุวิสัยทัศน์ พันธกิจ กลยุทธ์ วัตถุประสงค์ทางธุรกิจ และการเติบโตอย่างยั่งยืน สร้างคุณค่าให้กับผู้มีส่วนได้เสียทั้งในระยะสั้นและระยะยาว

1. กรอบการบริหารความเสี่ยงองค์กร

ปตท.สผ. ส่งเสริมการบูรณาการการบริหารความเสี่ยงเข้ากับการดำเนินงานและการตัดสินใจทางธุรกิจ โดยนำการบริหารความเสี่ยงมาใช้ทั่วทั้งองค์กร ครอบคลุมการดำเนินงานหลักของบริษัททุกด้านซึ่งประกอบด้วย การวางแผนและการจัดการเชิงกลยุทธ์ การตัดสินใจลงทุนและถอนการลงทุน การบริหารโครงการขนาดใหญ่ การปฏิบัติการและกระบวนการทางธุรกิจ รวมถึงการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management) และการบริหารจัดการด้านสิ่งแวดล้อม สังคม และบรรษัทภิบาล (ESG) นอกจากนี้ ยังมีการบริหารความเสี่ยงในทุกระดับ ทั้งในระดับองค์กร (Corporate Level) และระดับปฏิบัติการ (Operational Level) เพื่อให้ความเสี่ยงอยู่ในระดับที่องค์กรยอมรับได้ (Risk Appetite) และมีการจัดสรรทรัพยากรเพื่อการบริหารความเสี่ยงได้อย่างเหมาะสมกับระดับความเสี่ยงและผลตอบแทนที่จะได้รับ พร้อมทั้งมีการติดตามความคืบหน้าของแผนจัดการความเสี่ยง (Mitigation Plan) และตัวชี้วัดความเสี่ยงที่สำคัญ (Key Risk Indicators - KRIs) ซึ่งเป็นเครื่องมือในการเตือนภัยล่วงหน้า เพื่อจะได้ป้องกันและกำหนดมาตรการจัดการความเสี่ยงเพิ่มเติมได้ทันเหตุการณ์

2. โครงสร้างการบริหารความเสี่ยง

เพื่อให้ประเด็นความเสี่ยงที่สำคัญได้ถูกระบุไว้อย่างครอบคลุม ครบถ้วน และมีการบริหารจัดการอย่างมีประสิทธิภาพ เป็นไปตามหลักการโมเดลสามด่าน (Three Lines Model) หน่วยงานบริหารความเสี่ยงจะให้ข้อแนะนำและทำงานร่วมกับหน่วยงานที่มีบทบาทในด่านที่หนึ่ง (First Line Roles) ซึ่งมีหน้าที่ในการดำเนินงานและบริหารความเสี่ยงไปพร้อม ๆ กันในฐานะเจ้าของความเสี่ยง (Risk Owner) และประสานงานกับหน่วยงานต่าง ๆ โดยเฉพาะอย่างยิ่งหน่วยงานที่มีบทบาทในด่านที่สอง (Second Line Roles) ที่ดูแลและมีความเชี่ยวชาญเฉพาะเรื่อง ซึ่งจะทำหน้าที่ให้ความช่วยเหลือในการบริหารความเสี่ยงในแต่ละด้าน เช่น หน่วยงานกำกับการปฏิบัติตามกฎเกณฑ์ จะติดตามการเปลี่ยนแปลงกฎหมายซึ่งอาจส่งผลให้เป็นความเสี่ยงที่เกิดขึ้นใหม่หรือทำให้ระดับความเสี่ยงเปลี่ยนแปลงไปจากเดิม ส่วนหน่วยงานตรวจสอบซึ่งเป็นหน่วยงานที่มีบทบาทในด่านที่สาม (Third Line Roles) ทำหน้าที่ตรวจสอบและให้ข้อแนะนำอย่างเป็นอิสระ เพื่อพัฒนาปรับปรุงการบริหารความเสี่ยงให้มีประสิทธิภาพและประสิทธิผลยิ่งขึ้น นอกจากนี้ ยังมีการแลกเปลี่ยนข้อมูลระหว่างหน่วยงานบริหารความเสี่ยงและหน่วยงานตรวจสอบ เพื่อให้มั่นใจว่าประเด็นความเสี่ยงที่สำคัญได้ถูกระบุและจัดการอย่างต่อเนื่อง

3. ความเสี่ยงระดับองค์กรและความเสี่ยงเกิดใหม่

ในกระบวนการระบุและประเมินความเสี่ยงระดับองค์กร (Corporate Risk) ปตท.สผ. จะพิจารณาปัจจัยภายในและปัจจัยภายนอกที่มีผลกระทบต่อการบรรลุวัตถุประสงค์และกลยุทธ์ของบริษัท และอาจทำให้เกิดความเสี่ยงที่มีผลกระทบสูงระดับองค์กร เช่น การเปลี่ยนแปลงและสถานการณ์โลกที่สำคัญต่าง ๆ (Significant Global Events) ผลการตรวจสอบที่สำคัญจากหน่วยงานตรวจสอบ (Audit Findings) ข้อคิดเห็นของคณะกรรมการบริหารความเสี่ยงและผู้บริหารของบริษัท ในขณะเดียวกัน ความเสี่ยงสำคัญที่หน่วยงานผู้รับผิดชอบหรือเจ้าของความเสี่ยง (Risk Owner) ได้ระบุและประเมินไว้จะถูกพิจารณายกระดับโดยใช้เกณฑ์ระดับองค์กรไปพร้อมกัน ทั้งนี้ ประเด็นความเสี่ยงระดับองค์กรทั้งหมดจะถูกรวบรวมและจัดทำเป็น Corporate Risk Profile (CRP) เพื่อรายงานต่อผู้บริหาร คณะกรรมการจัดการ และคณะกรรมการบริหารความเสี่ยงอย่างสม่ำเสมอ และจะมีการติดตามและแจ้งต่อคณะกรรมการต่าง ๆ ที่เกี่ยวข้องหากมีการเปลี่ยนแปลงอย่างมีนัยสำคัญเพื่อบริหารจัดการความเสี่ยงได้อย่างทันท่วงที

ทั้งนี้ ปตท.สผ. มีระบบลงทะเบียนความเสี่ยงออนไลน์ในรูปแบบ Web Application (Web-based Risk Register System - RR System) ที่ได้พัฒนาและเริ่มใช้งานจริงมาตั้งแต่เดือนพฤศจิกายน 2563 ทำให้เจ้าของความเสี่ยงสามารถระบุและวิเคราะห์ความเสี่ยงได้อย่างครบถ้วน รวดเร็ว สื่อสารได้อย่างทั่วถึง ง่ายต่อการรวบรวมและยกระดับความเสี่ยงที่สำคัญขึ้นมาเป็นความเสี่ยงระดับองค์กร และช่วยให้ผู้เกี่ยวข้องสามารถติดตามการจัดการความเสี่ยงได้อย่างสะดวก รวดเร็ว ทุกสถานที่ ทุกเวลา และ ปตท.สผ. ยังมุ่งมั่นพัฒนาอย่างต่อเนื่องเพื่อการบริหารความเสี่ยงให้มีประสิทธิภาพและรวดเร็วยิ่งขึ้น โดยการพัฒนา Chat Bot ที่จะช่วยในการระบุความเสี่ยงซึ่งใช้ประโยชน์จากฐานข้อมูลความเสี่ยง (Risk Database) ของความเสี่ยงที่เคยลงทะเบียนไว้ เพื่อตอบสนองต่อความต้องการของผู้ใช้งานให้มากที่สุดต่อไป

นอกจากนี้ ปตท.สผ. ยังมีการประเมินความเสี่ยงเกิดใหม่ (Emerging Risk) และรวมเข้ากับ Corporate Risk Profile เพื่อรายงานต่อผู้บริหารและคณะกรรมการต่าง ๆ ที่เกี่ยวข้อง เพื่อติดตามความเปลี่ยนแปลงและปรับปรุงแผนบริหารจัดการความเสี่ยงนั้นให้สามารถรับมือกับเหตุการณ์ได้อย่างมีประสิทธิภาพ ลดความเสี่ยงในการบรรลุเป้าหมายขององค์กร และเพิ่มโอกาสในการดำเนินธุรกิจให้มากที่สุด โดยปัจจุบัน ปตท.สผ. ได้ระบุและติดตามความเสี่ยงเกิดใหม่ 2 รายการ ดังนี้

1) ความเสี่ยงด้านการเปลี่ยนแปลงสภาพภูมิอากาศ (Climate Change Risk)

คำอธิบาย
ในการประชุมรัฐภาคีกรอบอนุสัญญาสหประชาชาติว่าด้วยการเปลี่ยนแปลงสภาพภูมิอากาศ สมัยที่ 26 (The 26th United Nations Climate Change Conference of the Parties - COP26) ประเทศต่าง ๆ ได้มีการประกาศเป้าหมายในการลดการปล่อยก๊าซเรือนกระจก รวมถึงประเทศไทยได้ยืนยันให้ความสำคัญสูงสุดกับการแก้ไขปัญหาการเปลี่ยนแปลงสภาพภูมิอากาศ และประกาศเจตนารมณ์พร้อมที่จะยกระดับเป้าหมายการลดก๊าซเรือนกระจกของประเทศ (Nationally Determined Contribution - NDC) โดยลดการปล่อยก๊าซเรือนกระจกลงร้อยละ 40 เทียบกับการดำเนินงานปกติภายในปี 2573 หากได้รับการสนับสนุนด้านการเงินและเทคโนโลยี และมุ่งสู่การบรรลุเป้าหมายความเป็นกลางทางคาร์บอน (Carbon Neutrality) ภายในปี 2593 และปล่อยก๊าซเรือนกระจกสุทธิเป็นศูนย์ (Net Zero GHG Emission) ได้ภายในปี 2608 เป็นการเน้นย้ำว่าการแก้ไขปัญหาการเปลี่ยนแปลงสภาพภูมิอากาศต้องเร่งให้มีการดำเนินการอย่างจริงจัง

ที่ผ่านมา ปตท.สผ. ได้มีการตั้งเป้าหมายลดปริมาณความเข้มของการปล่อยก๊าซเรือนกระจกลงไม่น้อยกว่าร้อยละ 25 ภายในปี 2573 เมื่อเทียบกับปีฐาน 2555 โดย ณ สิ้นปี 2564 บริษัทสามารถลดความเข้มของการปล่อยก๊าซเรือนกระจกได้ร้อยละ 24.1 ซึ่งคาดการณ์ว่าภายในปี 2565 บริษัทจะสามารถบรรลุเป้าหมายการลดความเข้มของการปล่อยก๊าซเรือนกระจกได้มากกว่าร้อยละ 25 ซึ่งเร็วกว่าที่กำหนดไว้ถึง 8 ปี ดังนั้น เพื่อสนับสนุนความมุ่งมั่นในการจัดการกับการเปลี่ยนแปลงสภาพภูมิอากาศของประเทศไทยและทั่วโลก ปตท.สผ. จึงได้ประกาศเป้าหมายใหม่คือ การปล่อยก๊าซเรือนกระจกสุทธิเป็นศูนย์ภายในปี 2593 (Net Zero GHG Emissions By 2050) ในธุรกิจสำรวจและผลิตปิโตรเลียม ครอบคลุม Scope 1 (การปล่อยก๊าซเรือนกระจกทางตรง) และ Scope 2 (การปล่อยก๊าซเรือนกระจกทางอ้อม) ซึ่ง ปตท.สผ. มี Operational Control

ปตท.สผ. ให้ความสำคัญกับการบริหารจัดการความเสี่ยงที่อาจเกิดขึ้นจากการเปลี่ยนแปลงสภาพภูมิอากาศ และมีการประเมินความเสี่ยงจากการเปลี่ยนแปลงสภาพภูมิอากาศทั้งในโครงการปัจจุบันและโครงการที่บริษัทสนใจลงทุน ใน 2 มิติ คือ (1) ความเสี่ยงทางกายภาพ (Physical Risk) หรือความเสี่ยงจากผลกระทบทางตรงจากการเปลี่ยนแปลงสภาพภูมิอากาศ เช่น ความเสี่ยงจากคลื่นความร้อน ฝนตกหนัก พายุหมุนเขตร้อน ภัยแล้ง และความเสี่ยงอื่น ๆ ที่เกี่ยวข้องกับน้ำ และ (2) ความเสี่ยงที่เกิดจากการเปลี่ยนผ่าน (Transition Risk) หรือความเสี่ยงจากการเปลี่ยนแปลงของนโยบาย กฎเกณฑ์/กฎหมาย เทคโนโลยี และความต้องการพลังงานสะอาด โดยบริษัทประเมินความเสี่ยงครอบคลุมทั้งในระยะสั้น (ปี 2563-2568) ระยะกลาง (ปี 2568-2578) และระยะยาว (ปี 2578-2593) ในสถานการณ์ต่าง ๆ ตามแนวทางของ Representative Concentration Pathway (RCP), Stated Policies Scenario, Sustainable Development Scenario (SDS) และ IPCC 1.5C Scenario นอกจากนี้ ปตท.สผ. ยังได้นำกรอบแนวทางของ Task Force on Climate-related Financial Disclosure (TCFD) มาใช้ในการบริหารความเสี่ยงจากสภาพภูมิอากาศ รวมทั้งเปิดเผยข้อมูลผลการดำเนินงานด้านสิ่งแวดล้อมและด้านการเปลี่ยนแปลงสภาพภูมิอากาศต่อ CDP มาตั้งแต่ปี 2553
ผลกระทบ
การเปลี่ยนแปลงสภาพภูมิอากาศอาจส่งผลกระทบต่อสิ่งแวดล้อมรวมถึงธุรกิจของบริษัทในหลายด้าน ทั้งภัยธรรมชาติที่มีความถี่มากขึ้น นโยบายและกฎระเบียบข้อบังคับระดับประเทศและระดับสากลที่เข้มงวดขึ้น อาทิ ภาษีคาร์บอนในอนาคต และกลไกตลาดการแลกเปลี่ยนคาร์บอนเครดิต (Emission Trading Scheme) ที่กำหนดโดยรัฐบาลในประเทศที่ ปตท.สผ. มีการดำเนินงาน รวมถึงแรงผลักดันจากภายนอกให้เกิดการเปลี่ยนผ่านด้านพลังงานสู่สังคมคาร์บอนต่ำ นอกจากนี้ จากการที่บริษัทอยู่ในอุตสาหกรรมน้ำมันและก๊าซธรรมชาติ อาจก่อให้เกิดความเสี่ยงต่อชื่อเสียงของบริษัทหากไม่มีการดำเนินการใด ๆ เพื่อลดผลกระทบด้านสิ่งแวดล้อมด้วย

ผลกระทบจากการเปลี่ยนแปลงสภาพภูมิอากาศ โดยเฉพาะอย่างยิ่งผลจากการประชุม COP26 อาจทำให้บริษัทต้องเพิ่มต้นทุนเพื่อปรับปรุงการผลิตและการดำเนินงานให้สอดคล้องกับนโยบายของรัฐบาลที่เข้มงวดมากขึ้น และเกิดผลกระทบต่อรายได้ของบริษัทอันเนื่องมาจากการเปลี่ยนแปลงความต้องการพลังงานไปที่พลังงานคาร์บอนต่ำและพลังงานหมุนเวียนมากขึ้น

นอกจากนี้ การจัดอันดับความน่าเชื่อถือ (Credit Rating) จะหันมาให้ความสำคัญกับประเด็นการบริหารจัดการ และผลการดำเนินงานด้านการเปลี่ยนแปลงสภาพภูมิอากาศมากขึ้น ซึ่งอาจมีความเสี่ยงต่อมูลค่าของบริษัทด้วย
การจัดการความเสี่ยง
ปตท.สผ. ได้ปรับปรุงการประเมินความเสี่ยงให้ครอบคลุมพื้นที่ปฏิบัติการใหม่ให้มีความสอดคล้องกับข้อกำหนดที่ได้ปรับปรุงใหม่ทั้งในระดับประเทศและระดับนานาชาติ พร้อมทั้งมีการเฝ้าระวังและติดตามสถานการณ์การเปลี่ยนแปลงสภาพภูมิอากาศที่อาจมีผลกระทบในระดับองค์กรอย่างใกล้ชิด มีการดำเนินการเพื่อลดความเสี่ยงและปรับตัวเพื่อรับความเสี่ยงที่อาจเกิดขึ้นอย่างต่อเนื่อง เพื่อบริหารจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ และสามารถดำเนินธุรกิจได้อย่างยั่งยืน

ปตท.สผ. ได้กำหนดเป้าหมายระหว่างทางในรูปแบบการลดปริมาณความเข้มของการปล่อยก๊าซเรือนกระจกลงไม่น้อยกว่าร้อยละ 30 ภายในปี 2573 และร้อยละ 50 ภายในปี 2583 (จากปีฐาน 2563) เพื่อนำไปสู่การปล่อยก๊าซเรือนกระจกสุทธิเป็นศูนย์ให้ได้ตามเป้าหมายปี 2593 ทั้งนี้ ปตท.สผ. มีแนวทางดำเนินการเพื่อให้บรรลุเป้าหมายดังกล่าว ดังนี้
  • การบริหารจัดการการสำรวจและผลิตปิโตรเลียมเพื่อมุ่งสู่องค์การคาร์บอนต่ำ (Exploring for Low Carbon E&P Portfolio) – ในการจัดการการสำรวจและผลิตปิโตรเลียม (E&P Portfolio) เพื่อมุ่งสู่องค์การคาร์บอนต่ำนั้น ปตท.สผ. เลือกลงทุนในโครงการที่สอดคล้องกับเป้าหมาย Net Zero GHG Emissions และเน้นการลงทุนในโครงการก๊าซธรรมชาติโดยนำปัจจัยเกี่ยวกับความเข้มของปริมาณการปล่อยก๊าซเรือนกระจกมาพิจารณาประกอบการลงทุนในโครงการใหม่ๆ
  • การพัฒนาเทคโนโลยีเพื่อปรับปรุงกระบวนการผลิตและการสร้างสมดุลทางธรรมชาติ (Production and Planet in Balance) - ปตท.สผ. พัฒนาเทคโนโลยีเพื่อลดการปล่อยก๊าซเรือนกระจกจากกระบวนการผลิต โดยเดินหน้าโครงการการดักจับก๊าซคาร์บอนไดออกไซด์และนำไปกักเก็บ (Carbon Capture and Storage - CCS) ยังชั้นใต้ดินในพื้นที่ปฏิบัติการ ซึ่งจะสามารถช่วยลดการปล่อยก๊าซเรือนกระจกได้ในปริมาณมาก นอกจากนี้ บริษัทยังได้ศึกษาโอกาสและเทคโนโลยีที่จะนำก๊าซคาร์บอนไดออกไซด์มาใช้ประโยชน์ (Carbon Capture and Utilization - CCU) โดยเปลี่ยนเป็นผลิตภัณฑ์ที่มีมูลค่าหรือวัสดุเพื่ออนาคต อีกทั้ง บริษัทยังมุ่งสู่การปล่อยก๊าซส่วนเกินซึ่งเกิดจากกระบวนการผลิตปิโตรเลียมเป็นศูนย์ (Zero Routine Flare) สำหรับโครงการใหม่ ๆ ในอนาคต โดยการนำก๊าซที่เกิดขึ้นจากการเผาทิ้งในกระบวนการผลิตปิโตรเลียมกลับมาใช้ประโยชน์ใหม่ ควบคู่ไปกับการใช้เทคโนโลยี CCS รวมทั้งการเพิ่มการใช้พลังงานหมุนเวียน (Renewable Energy) อาทิ การติดตั้งโซล่าเซลล์และกังหันลม รวมถึงการหาโอกาสในการใช้พลังงานรูปแบบใหม่ในอนาคต เช่น ไฮโดรเจน เพื่อใช้ผลิตไฟฟ้าในพื้นที่ปฏิบัติการของบริษัทให้มากขึ้น นอกจากนี้ บริษัทยังมุ่งสร้างสมดุลด้วยการปลูกป่า ทั้งป่าบกและป่าชายเลน เพื่อเพิ่มพื้นที่ในการดูดซับก๊าซเรือนกระจก (Carbon Removal Project) โดยมีเป้าหมายในการดูดซับก๊าซเรือนกระจกสะสมกว่า 2 ล้านตันในปี 2593 และดำเนินโครงการเพื่อสังคมภายใต้กลยุทธ์ทะเลเพื่อชีวิต (Ocean for Life) อย่างต่อเนื่อง เพื่อเพิ่มความหลากหลายทางชีวภาพให้กับระบบนิเวศใต้ทะเล ซึ่งเป็นแหล่งกักเก็บคาร์บอนไดออกไซด์ทางธรรมชาติที่มีความสำคัญมาก


2) ความเสี่ยงจากความก้าวหน้าทางเทคโนโลยีที่ส่งผลกระทบต่ออุตสาหกรรมพลังงาน (Risks Arising from Disruptive Technology that Adversely Impacts Oil and Gas Industry)

คำอธิบาย
บริษัทสำรวจและผลิตปิโตรเลียมต่าง ๆ กำลังเผชิญกับผลกระทบจากเทคโนโลยี ทำให้การดำเนินธุรกิจในอุตสาหกรรมพลังงานเปลี่ยนแปลงไป (Disruptive Technology) เช่น ความก้าวหน้าทางเทคโนโลยีได้ช่วยการวิจัยพัฒนาให้พลังงานหมุนเวียนต่าง ๆ มีราคาถูกลงและเข้าถึงง่ายได้เร็วขึ้น ปัจจุบัน เทคโนโลยีเหล่านี้มาในรูปแบบของอุปกรณ์และระบบกักเก็บพลังงานไฟฟ้า และยานพาหนะไฟฟ้า เป็นต้น ทำให้ความต้องการน้ำมันได้รับผลกระทบ และผู้บริโภคพลังงานหมุนเวียนมีแนวโน้มเพิ่มขึ้น อีกทั้งนโยบายรัฐที่ต้องการลดก๊าซเรือนกระจกตามที่ประกาศเจตนารมณ์ในการประชุม COP26 ก็ยิ่งส่งผลกระทบให้ความต้องการใช้น้ำมันลดลงอย่างมีนัยสำคัญ และนำไปสู่การสิ้นสุดของอุตสาหกรรมน้ำมันในอนาคต

จากสถานการณ์ดังกล่าว ล้วนเป็นความเสี่ยงด้านกลยุทธ์ของ ปตท.สผ. ซี่งจะส่งผลกระทบต่อรายได้จากการขายน้ำมันดิบ คอนเดนเสท และก๊าซธรรมชาติ รวมถึงการสูญเสียความได้เปรียบด้านต้นทุนการผลิตอันเนื่องมาจากการเร่งพัฒนาเทคโนโลยีของคู่แข่ง
ผลกระทบ
ผลกระทบประการแรกจากความก้าวหน้าทางเทคโนโลยีคือ ทำให้เกิดการเปลี่ยนผ่านพลังงานไปเป็นพลังงานหมุนเวียนในอนาคต ซึ่งทำให้ความต้องการใช้น้ำมันลดลงและมีการใช้พลังงานหมุนเวียนเพิ่มขึ้น ส่งผลกระทบต่อรายได้ของ ปตท.สผ. ปัจจุบันในปี 2564 บริษัทมีรายได้จากน้ำมันดิบและคอนเดนเสทรวมเป็นสัดส่วนร้อยละ 38.35 ของรายได้ทั้งหมด ประการต่อมาคือการสูญเสียความสามารถในการแข่งขันด้านต้นทุน หรืออีกนัยหนึ่งคือคู่แข่งมีความได้เปรียบด้านต้นทุนการผลิตมากกว่าจากการเร่งพัฒนาเทคโนโลยี

นอกจากนี้ ก๊าซธรรมชาติมีแนวโน้มความต้องการใช้สูงขึ้นในช่วงเปลี่ยนผ่านไปสู่พลังงานหมุนเวียน ปัจจุบัน ปตท.สผ. มีรายได้จากก๊าซธรรมชาติอยู่ที่ประมาณร้อยละ 50.50 ของรายได้ทั้งหมด และยังคงแสวงหาโอกาสการลงทุนในธุรกิจอื่นที่อยู่ในห่วงโซ่คุณค่าของธุรกิจก๊าซธรรมชาติต่อไป
การจัดการความเสี่ยง
เนื่องจากเทคโนโลยีใหม่ ๆ เป็นปัจจัยสำคัญในการสนับสนุนการดำเนินธุรกิจพลังงานภายใต้สถานการณ์ที่มีความผันผวน ปตท.สผ. จึงพัฒนาเทคโนโลยีผ่านความร่วมมือกับหน่วยงานและสถาบันต่าง ๆ ทั้งในประเทศและต่างประเทศ มีการแบ่งปันความรู้และประสานความร่วมมือกับพันธมิตรและผู้เชี่ยวชาญในทุกภาคส่วน เพื่อร่วมกันพัฒนาเทคโนโลยีและนวัตกรรม และเพิ่มขีดความสามารถในการแข่งขัน เพื่อให้บรรลุวัตถุประสงค์ทางธุรกิจอย่างยั่งยืน

ปตท.สผ. มีการปรับกลยุทธ์ทางธุรกิจเพื่อความก้าวหน้าทางเทคโนโลยีและขับเคลื่อนการเปลี่ยนแปลงองค์กร (Enterprise Transformation) ทำให้เพิ่มความสามารถในการปรับตัวและความสามารถในการแข่งขัน ดังนี้
  • Digital Transformation – เพื่อเพิ่มขีดความสามารถในการแข่งขันผ่านเทคโนโลยี เช่น Artificial Intelligence (AI) Machine Learning และ Internet of Things (IoT) เป็นต้น ซึ่งจะมาช่วยบริษัทให้สามารถตัดสินใจได้อย่างรวดเร็วและมีประสิทธิภาพ ปรับการผลิตปิโตรเลียมให้เหมาะสมที่สุด เพิ่มความเร็วในการประมวลผลแหล่งสำรวจ และเพิ่มประสิทธิภาพในกระบวนการทำงานต่าง ๆ เช่น งานขุดเจาะ งานบริหารโครงการด้านวิศวกรรม เป็นต้น
  • Organization and New Normal Transformation – เพื่อช่วยให้บริษัทสามารถปรับโครงสร้างองค์กรและกระบวนการทำงานให้คล่องตัวมากขึ้น ช่วยเสริมศักยภาพความสามารถของบุคลากร และเสริมสร้างมุมมองความคิดและวัฒนธรรมขององค์กรที่เหมาะสม เพื่อให้สามารถตัดสินใจได้อย่างรวดเร็วและตอบสนองทันสถานการณ์ ทำให้มั่นใจว่าจะสามารถลดต้นทุนและทรัพยากรที่จำเป็นสำหรับการดำเนินงานได้อย่างต่อเนื่อง
นอกจากนี้ ปตท.สผ. ยังทำการสำรวจโอกาสทางธุรกิจใหม่ ๆ ควบคู่ไปกับธุรกิจหลักเพื่อสร้างการเติบโตในอนาคต โดยมุ่งเน้นไปที่ธุรกิจใหม่ในห่วงโซ่คุณค่าของธุรกิจก๊าซธรรมชาติ เช่น ธุรกิจโรงไฟฟ้าจากก๊าซธรรมชาติ (Gas to Power) ธุรกิจที่เกี่ยวข้องกับ LNG และธุรกิจเกี่ยวกับนวัตกรรมเทคโนโลยีที่พัฒนาขึ้นภายในบริษัท พร้อมทั้งแสวงหาโอกาสในการลงทุนด้านพลังงานหมุนเวียน และธุรกิจที่นอกเหนือจากธุรกิจสำรวจและผลิตปิโตรเลียม รวมไปถึงพลังงานในรูปแบบใหม่ และขยายธุรกิจ บริษัท เอไอ แอนด์ โรโบติกส์ เวนเจอร์ส จำกัด (เออาร์วี) ใน 4 ธุรกิจย่อย ได้แก่ (1) ธุรกิจด้านการสำรวจตรวจสอบและซ่อมบำรุงอุปกรณ์ใต้ทะเล (2) ธุรกิจให้บริการตรวจสอบโครงสร้างพื้นฐานในหลากหลายอุตสาหกรรม (3) ธุรกิจให้บริการด้านเกษตรอัจฉริยะและการจัดการป่าไม้แบบยั่งยืน และ (4) ธุรกิจเครือข่ายข้อมูลด้านสุขภาพ

4. วัฒนธรรมความเสี่ยงภายในองค์กร

เพื่อให้การบริหารความเสี่ยงในองค์กรแข็งแกร่งและยั่งยืน ปตท.สผ. จึงให้ความสำคัญในการปลูกฝังจิตสำนึกด้านความเสี่ยงและพัฒนาความรู้ความสามารถของบุคลากร โดยมีผู้บริหารทุกระดับเป็นผู้นำ เป็นแบบอย่างที่ดี และสนับสนุนให้มีการพัฒนาการบริหารความเสี่ยงให้มีประสิทธิภาพและประสิทธิผลอย่างต่อเนื่อง มีการสร้างความตระหนัก ความรู้ความเข้าใจ และนำการบริหารความเสี่ยงมาใช้ในการดำเนินงานจนเป็นวัฒนธรรมองค์กรผ่านการฝึกอบรมและกิจกรรมต่าง ๆ เช่น จัดฝึกอบรมให้กับกรรมการใหม่สำหรับคณะกรรมการบริษัท และคณะกรรมการบริหารความเสี่ยง จัดฝึกอบรมให้กับผู้บริหารและผู้ประสานงานด้านความเสี่ยง (Risk Coordinator) ของแต่ละหน่วยงาน มีการสื่อสารเกี่ยวกับการบริหารความเสี่ยงผ่านช่องทาง Intranet อีเมล Podcast และกิจกรรมประชาสัมพันธ์ตามวาระต่าง ๆ มีการจัดกิจกรรมบรรยายเพื่อเผยแพร่แลกเปลี่ยนความรู้ (Knowledge Sharing) ซึ่งเน้นในประเด็นสำคัญที่อาจจะเป็นความเสี่ยงในปัจจุบัน เพื่อให้พนักงานมีความรู้ทันเหตุการณ์ และสามารถวิเคราะห์ความเสี่ยงและผลกระทบต่องานและภาพรวมบริษัทได้ดียิ่งขึ้น นอกจากนี้ ยังมีการติดตามและประเมินผลการบริหารความเสี่ยงด้วยตัวชี้วัดเกี่ยวกับการระบุความเสี่ยงและผลการบริหารความเสี่ยง (Unidentified Risk KPI) สำหรับผู้บริหารทุกระดับของแต่ละหน่วยงานที่เป็นเจ้าของความเสี่ยง รวมถึงหน่วยงานบริหารความเสี่ยงซึ่งมีหน้าที่เป็นผู้ดูแลความเสี่ยงในภาพรวม และมีการจัดทำการประเมินระดับวุฒิภาวะด้าน GRC (GRC Maturity Assessment) ของพนักงานในพื้นที่ปฏิบัติการที่บริษัทเพิ่งลงทุนใหม่ เช่น โครงการมาเลเซีย เพื่อวิเคราะห์จุดแข็งและวางแผนพัฒนาจุดอ่อนในด้าน GRC ซึ่งจะช่วยพัฒนาการบริหารความเสี่ยงให้มีประสิทธิภาพยิ่งขึ้นด้วย

การบริหารความต่อเนื่องทางธุรกิจ

ปตท.สผ. มีระบบการบริหารความต่อเนื่องทางธุรกิจ ซึ่งเป็นส่วนหนึ่งของการบริหารความเสี่ยงองค์กร โดยได้จัดทำแผนการบริหารความต่อเนื่องทางธุรกิจ หรือ Business Continuity Plan (BCP) เพื่อเตรียมความพร้อมสำหรับการปฏิบัติงานในภาวะวิกฤต โดย ปตท.สผ. ได้กำหนดกรอบการบริหารความต่อเนื่องทางธุรกิจให้สอดคล้องกับมาตรฐาน ISO 22301 ซึ่งเป็นมาตรฐานสากลสำหรับการบริหารความต่อเนื่องทางธุรกิจ รวมถึงกำหนดนโยบายการบริหารความต่อเนื่องทางธุรกิจ โดยมีวัตถุประสงค์ดังนี้

  • ปกป้องผลประโยชน์ของผู้มีส่วนได้เสีย บุคลากร องค์กร ชุมชน รวมถึงชื่อเสียงและภาพลักษณ์ขององค์กร
  • มีมาตรการจัดการความเสี่ยงจากเหตุการณ์ที่ทำให้ธุรกิจหยุดชะงัก และต้องเป็นไปตามนโยบายอื่นๆ ของ ปตท.สผ.
  • ลดความเสี่ยงจากการกระทำที่ขัดต่อกฎหมาย มาตรฐาน ข้อกำหนด หรือสัญญาต่าง ๆ
  • สร้างขีดความสามารถให้องค์กรมีความยืดหยุ่นอย่างเหมาะสม และเพียงพอ

ปตท.สผ. ตระหนักดีว่าธุรกิจสำรวจและผลิตปิโตรเลียมเป็นธุรกิจที่ต้องรักษาความมั่นคงในการสรรหาปิโตรเลียมและตอบสนองความต้องการใช้พลังงานของประเทศอย่างต่อเนื่องไม่ให้มีการหยุดชะงัก จึงได้พัฒนาแผนการบริหารความต่อเนื่องทางธุรกิจเพื่อให้ ปตท.สผ. สามารถดำเนินงานได้ในสถานการณ์ฉุกเฉินและภาวะวิกฤต ภายใต้ข้อกำหนดของระบบการบริหารจัดการด้านความปลอดภัย มั่นคง อาชีวอนามัย และสิ่งแวดล้อม ซึ่งกำหนดโครงสร้างของระบบเพื่อเตรียมความพร้อมสำหรับรองรับสถานการณ์ฉุกเฉินและภาวะวิกฤต โดยให้ความสำคัญและคำนึงถึงการปกป้องชีวิต สิ่งแวดล้อม ทรัพย์สิน และชื่อเสียงขององค์กร ทั้งนี้ แผนการบริหารความต่อเนื่องทางธุรกิจ (BCP) ของแต่ละพื้นที่ปฏิบัติการรวมถึงหน่วยงานสนับสนุน จะมีการทบทวนแผนและดำเนินการฝึกซ้อมอย่างสม่ำเสมอ เพื่อปรับปรุงและรักษามาตรฐานแผนการบริหารความต่อเนื่องทางธุรกิจให้มีประสิทธิภาพ และมั่นใจได้ว่า ปตท.สผ. จะสามารถดำเนินงานได้อย่างต่อเนื่องและมีประสิทธิภาพแม้จะอยู่ในสถานการณ์ฉุกเฉินและภาวะวิกฤต พร้อมทั้งมีการสร้างความตระหนักและพัฒนาความรู้ความสามารถของบุคลากรในเรื่องการบริหารความต่อเนื่องทางธุรกิจอย่างสม่ำเสมอ

ปัจจุบัน ปตท.สผ. มี 4 พื้นที่ปฏิบัติการที่ได้รับการรับรองระบบการบริหารความต่อเนื่องทางธุรกิจตามมาตรฐานสากล ISO 22301 ได้แก่ โครงการเอส 1 โครงการเมียนมา โครงการฐานสนับสนุนการพัฒนาปิโตรเลียม (สงขลา) และฝ่ายบริหารอาคารและบริการธุรกิจ สำนักงานใหญ่ โดยในปี 2564 ทั้ง 4 พื้นที่ปฏิบัติการนี้ ได้มีการปรับปรุงระบบการบริหารความต่อเนื่องทางธุรกิจให้สอดคล้องกับ ISO 22301 ฉบับปรับปรุงใหม่ปี ค.ศ. 2019 (จากฉบับเดิม ปี ค.ศ. 2012) และยังได้มีการขยายการพัฒนาระบบการบริหารความต่อเนื่องทางธุรกิจไปยังโครงการมาเลเซีย ซึ่งคาดว่าจะได้รับการรับรอง ISO 22301 ในปี 2565

นอกจากนี้ เพื่อให้การตอบสนองต่อสถานการณ์ฉุกเฉินและสภาวะวิกฤตมีประสิทธิภาพยิ่งขึ้น ปตท.สผ. จึงได้พัฒนาระบบการบริหารจัดการเอกสารสำหรับการบริหารความต่อเนื่องทางธุรกิจ เพื่อรวบรวม เก็บรักษา และพัฒนาปรับปรุงเอกสารที่เกี่ยวข้อง ให้มีความทันสมัยและพร้อมใช้งานอยู่เสมอ ทำให้ผู้เกี่ยวข้องสามารถเข้าถึงเอกสารที่เป็นปัจจุบันและนำมาใช้ปฏิบัติได้อย่างทันท่วงทีและมีประสิทธิภาพสูงสุด

ความมั่นคงและปลอดภัยทางไซเบอร์

ปตท.สผ. ปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 อย่างเคร่งครัด โดยได้จัดทำแนวทางการปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ การป้องกัน รับมือ และลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์

ปัจจุบัน ปตท.สผ. ยึดมาตรฐานของ National Institute of Standards and Technology (NIST) เป็นแนวทางในการจัดการเรื่องความมั่นคงปลอดภัยทางไซเบอร์ โดยมีการประเมินความเสี่ยงตามมาตรฐาน ISO 27001:2013 ในส่วนของระบบจดหมายอิเล็กทรอนิกส์และศูนย์รวมข้อมูล (Data Center Facility) ตั้งแต่ปี 2557 และกำลังดำเนินการประเมินความเสี่ยง ระบบงานต่าง ๆ ตามมาตรฐาน ISO 27001:2013 รวมถึงมีการลงทุนด้านเทคโนโลยีและใช้บริการจาก PTT Digital ในการป้องกัน และรับมือเพื่อลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์มาอย่างต่อเนื่อง ในปัจจุบัน ปตท.สผ. มีศูนย์ Security Operations Center (SOC) ที่เชื่อมต่อระบบ Security Information and Event Management (SIEM) กับ Network Firewall ครบทุกแหล่งผลิต

ในปี 2564 ปตท.สผ. ลงทุนเพิ่มเติมเพื่อลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ เช่น Multi-factor Authentication (MFA) เพื่อใช้ในการยืนยันตัวตนของพนักงานอีกชั้นหนึ่งนอกเหนือจาก Username และ Password ปกติ ซึ่งช่วยในการสนับสนุนให้พนักงานสามารถเข้าถึงข้อมูลและระบบต่าง ๆ ของ ปตท.สผ. ได้จากทุกที่ทุกเวลาและเป็นการสนับสนุนความสมดุลระหว่างการใช้ชีวิตกับการทำงาน (Work-life Balance) ตามนโยบายวิถีการทำงานรูปแบบใหม่ (New Way of Working)

นอกจากนี้ ปตท.สผ. ยังได้นำระบบ Data Classification and Labelling มาใช้ในการจัดชั้นความลับของเอกสารเพื่อเสริมสร้างความปลอดภัยของข้อมูลด้วย Microsoft Azure Information Protection (AIP) ที่สามารถจัดการสิทธิ์ในการเข้าถึงและส่งต่อข้อมูลได้

1. หน่วยงานที่รับผิดชอบ

ปตท.สผ. มอบหมายให้คณะกรรมการบริหารความเสี่ยง ซึ่งประกอบด้วย กรรมการจำนวนรวม 5 คน โดยเป็นกรรมการอิสระ 4 คน ทำหน้าที่กำกับดูแลการบริหารความเสี่ยงของบริษัท ครอบคลุมเรื่องความมั่นคงและปลอดภัยทางไซเบอร์ (Cybersecurity) ในภาพรวมขององค์กร โดยพลโท นิมิตต์ สุวรรณรัฐ (กรรมการอิสระ) ซึ่งเป็น 1 ในคณะกรรมการที่มีประสบการณ์เกี่ยวข้องกับเรื่องดังกล่าว นอกจากนี้ บริษัทยังได้แต่งตั้งคณะกรรมการดิจิทัล (Digital Steering Committee) โดยมีฝ่ายการจัดการสารสนเทศและทีมงานทำหน้าที่กำหนดทิศทาง เป้าหมาย กลยุทธ์ นโยบาย และมาตรฐานด้านเทคโนโลยีสารสนเทศ รวมถึงกำกับดูแลแผนการลงทุนด้านสารสนเทศ (IT Master Plan and Roadmap) และการบริหารจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ (IT Risk Management) ให้อยู่ในระดับที่ยอมรับได้ ตลอดจนรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยงและคณะกรรมการบริษัทอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า ปตท.สผ. จะสามารถควบคุมสถานการณ์และตอบสนองได้อย่างทันท่วงทีเมื่อมีเหตุการณ์ฉุกเฉินเกิดขึ้น

2. มาตรการควบคุม

ปตท.สผ. มีมาตรการควบคุมระบบสารสนเทศ การรักษาความมั่นคงปลอดภัยของอุปกรณ์ใช้งาน การสำรอง และการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยบริษัทได้กำหนดนโยบายด้านเทคโนโลยีสารสนเทศและประกาศบังคับใช้กับทุกหน่วยงานเพื่อให้เป็นไปตามแนวทางการกำกับดูแลกิจการที่ดีขององค์กร โดยที่ผ่านมา การดำเนินงานด้านเทคโนโลยีของ ปตท.สผ. มุ่งรองรับการดำเนินงานของบริษัทที่เน้นความปลอดภัยและความคล่องตัว เช่น การตั้งคณะทำงานจากบริษัทในกลุ่ม ปตท. สำหรับโครงการ PTT Group Cybersecurity Governance & Assurance เพื่อพัฒนาระดับการป้องกันด้านความมั่นคงและปลอดภัยทางไซเบอร์ ของกลุ่ม ปตท. ให้มีประสิทธิภาพมากยิ่งขึ้น และการนำระบบ Microsoft Office 365 มาใช้เพื่อให้เข้าถึงข้อมูลสำคัญได้ทุกที่ทุกเวลา เพิ่มประสิทธิภาพการทำงานในองค์กรและการรักษาความปลอดภัยข้อมูล เป็นต้น รวมถึงกำหนดการควบคุมโครงสร้างพื้นฐานของระบบเทคโนโลยีสารสนเทศ โดยมีนโยบายที่ชัดเจนในการนำระบบดิจิทัลเข้ามาช่วยงานด้านเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ มีกระบวนการวางแผนกลยุทธ์เทคโนโลยีสารสนเทศที่สอดคล้องกับกรอบการปฏิบัติด้านการกำกับดูแลเทคโนโลยีสารสนเทศของ Control Objectives for Information and Related Technology (COBIT 5) และมาตรฐาน ISO 27001 ตลอดจนการใช้ Cloud Platform เพื่อพัฒนาระบบเทคโนโลยีสารสนเทศบนโครงสร้างที่มีความคล่องตัว โดยที่ยังคงมีระบบการควบคุมที่มีประสิทธิภาพ ตามมาตรฐานความปลอดภัยตามที่บริษัทกำหนดไว้

นอกจากนี้ ปตท.สผ. ได้กำหนดมาตรการรักษาความปลอดภัย (Security Policy) และมีการควบคุมความปลอดภัยและความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัย ป้องกันการละเมิด และสนับสนุนการสำรองและการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยแบ่งออกเป็น

1. การควบคุมทั่วไป เช่น การกำหนดแนวทางการควบคุมการทำงานและกิจกรรมทางด้านเทคโนโลยีสารสนเทศ และการจัดทำแผนการบริหารความต่อเนื่องทางธุรกิจด้านเทคโนโลยีสารสนเทศ
2. การควบคุมระดับบุคคล เช่น การกำหนดสิทธิในการเข้าถึงข้อมูลของพนักงานทุกคน การจำลองสถานการณ์ภัยคุกคาม (Cybersecurity Drill) การจัดทำหลักสูตร Digital Security Awareness e-Learning และการจัดอบรมในหัวข้อ "Cybersecurity Act" และ "Personal Data Protection Act" เพื่อให้ความรู้แก่ผู้บริหาร พนักงาน รวมถึงผู้ดูแลระบบที่เกี่ยวข้อง
3. การควบคุมระดับระบบ เช่น การเก็บบันทึกหลักฐานการใช้ระบบตามข้อกำหนดของกฎหมาย และการทดสอบการเจาะระบบจากภายนอก (External Penetration Testing) โดยบริษัทที่มีความเชี่ยวชาญ เพื่อหาช่องโหว่ในการทำให้ระบบมีความเสียหายและนำช่องโหว่นั้นมาปรับปรุงให้ระบบมีความแข็งแกร่งมากขึ้น เป็นต้น