การจัดการความเสี่ยง
การจัดการความเสี่ยง
- ผู้บริหาร พนักงาน และพนักงานผู้รับเหมา มีหน้าที่รับผิดชอบการบริหารความเสี่ยงในหน่วยงานที่ตนสังกัดในกลุ่มไทยออยล์ และบูรณาการให้เข้ากับการดำเนินงานที่สำคัญของบริษัทฯ โดยให้ปฏิบัติตามนโยบายบริหารความเสี่ยงองค์กรและกรอบความเสี่ยงที่ยอมรับได้ (Risk Appetite) เพื่อจัดให้มีการควบคุมที่เพียงพอและเหมาะสม รวมทั้งมีส่วนร่วมในการพัฒนาการบริหารความเสี่ยง มีการรายงานผลและทบทวนประสิทธิผลของการบริหารความเสี่ยง เพิ่มโอกาสแห่งความสำเร็จ และลดผลกระทบที่อาจจะเกิดขึ้นต่อการดำเนินงานให้บรรลุเป้าหมาย
- ส่งเสริมและสร้างจิตสำนึกให้ผู้บริหาร พนักงาน และพนักงานผู้รับเหมา มีความตระหนักถึงความสำคัญของการบริหารความเสี่ยงและนำไปปฏิบัติเป็นประจำอย่างต่อเนื่องจนเกิดเป็นวัฒนธรรมองค์กร
- ให้คณะกรรมการบริหารความเสี่ยง (Risk Management Committee – RMC) พิจารณากำหนดกรอบความเสี่ยงที่ยอมรับได้ (Risk Appetite) รวมทั้งสนับสนุนทรัพยากร เครื่องมือ ตลอดจนกำกับดูแล ติดตาม และให้คำแนะนำต่อกระบวนการบริหารความเสี่ยง
- ให้คณะกรรมการขับเคลื่อนงานบริหารความเสี่ยงของกลุ่มไทยออยล์ (Risk Management Steering Committee – RMSC) สนับสนุน ส่งเสริม และผลักดันให้ทุกหน่วยงานมีการบริหารความเสี่ยง ดำเนินการตามนโยบายและคู่มือการบริหารความเสี่ยงอย่างเหมาะสมตามสภาพการเปลี่ยนแปลงของการดำเนินธุรกิจ รวมทั้งมีการรายงานผลการปฏิบัติงานของการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยงอย่างน้อยไตรมาสละครั้ง
- นโยบายบริหารความเสี่ยงองค์กรนี้เป็นแนวทางปฏิบัติในทุกบริษัทของกลุ่มไทยออยล์ เพื่อให้มีมาตรฐานของการบริหารความเสี่ยงเดียวกัน
วัตถุประสงค์ของการจัดการความเสี่ยง
กลุ่มไทยออยล์ได้กำหนดวิสัยทัศน์ “การสร้างสรรค์คุณภาพชีวิต ด้วยพลังงานและเคมีภัณฑ์ที่ยั่งยืน” โดยมีเป้าหมายเพื่อส่งเสริมการเติบโตขององค์กร บรรลุผลตอบแทนจากการลงทุน ลดความผันผวนของผลกำไรผ่านการกระจายพอร์ตการลงทุนในธุรกิจที่หลากหลาย คำนึงถึงผลประโยชน์ของผู้มีส่วนได้เสียทุกฝ่าย และสร้างความยั่งยืนต่อเศรษฐกิจ สังคม และสิ่งแวดล้อม และพันธกิจขององค์กรอย่าง “เสริมสร้างคุณภาพชีวิตของผู้มีส่วนได้เสียและมอบผลตอบแทนที่ยั่งยืนด้วยนวัตกรรมเทคโนโลยี และโครงสร้างธุรกิจที่แข็งแกร่ง ภายใต้การบริหารจัดการชั้นแนวหน้า และความรับผิดชอบด้านการกำกับดูแลกิจการที่ดี”
กลุ่มไทยออยล์เป็นองค์กรที่มุ่งเน้นกลยุทธ์ โดยมีการทบทวนวิสัยทัศน์และทิศทางธุรกิจอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าองค์กรมีกลยุทธ์ที่เหมาะสมต่อการปรับตัวให้สอดคล้องกับปัจจัยภายในและภายนอกที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา ทั้งนี้ เพื่อบรรลุการเติบโตอย่างยั่งยืน กลุ่มไทยออยล์ได้กำหนดทิศทางเชิงกลยุทธ์ที่สำคัญ 3 ด้าน ดังนี้
การบูรณาการเพื่อสร้างคุณค่าสูงสุดให้แก่ทุกโมเลกุลที่ผลิตตลอดห่วงโซ่คุณค่าจากผลิตภัณฑ์ปิโตรเลียมสู่ผลิตภัณฑ์ปิโตรเคมีและผลิตภัณฑ์มูลค่าสูง (Value Maximization) มุ่งเน้นการเสริมสร้างสมรรถนะหลักของกลุ่มไทยออยล์ในภาคพลังงาน ซึ่งเป็นภาคธุรกิจที่มีความเชี่ยวชาญ
การเพิ่มคุณค่าให้ธุรกิจผ่านการบูรณาการเพื่อบริหารจัดการห่วงโซ่คุณค่า (Value Chain Enhancement) มุ่งเน้นการขยายห่วงโซ่คุณค่าของกลุ่มไทยออยล์ โดยใช้ประโยชน์จากความเชี่ยวชาญด้านการกลั่นน้ำมันขยายสู่ธุรกิจเคมีภัณฑ์ที่มีมูลค่าสูงและธุรกิจที่เกี่ยวข้อง
การกระจายการเติบโตเพื่อสร้างความมั่นคงของผลกำไรและคุณค่าใหม่ๆ (Value diversification) มุ่งเน้นการระบุและค้นหาโอกาสสำหรับนวัตกรรมทางธุรกิจใหม่ ๆ
เพื่อดำเนินการตามทิศทางกลยุทธ์หลักทั้ง 3 ด้านให้สำเร็จ บรรลุเป้าหมายขององค์กร และสร้างผลตอบแทนสำหรับผู้มีส่วนได้เสียในสภาวะแวดล้อมที่ไม่แน่นอนและมีการเปลี่ยนแปลงอยู่ตลอดเวลา กลุ่มไทยออยล์ตระหนักถึงความจำเป็นในการมีกรอบการบูรณาการการบริหารจัดการความเสี่ยงองค์กร (Enterprise Risk Management: ERM) ที่เป็นระบบและครอบคลุมทั่วทั้งองค์กร
การบริหารจัดการความเสี่ยงองค์กร
การบริหารจัดการความเสี่ยงองค์กร (ERM) เป็นกระบวนการที่ครอบคลุมทุกระดับของกลุ่มไทยออยล์ ตั้งแต่ผู้บริหารระดับสูงจนถึงพนักงานระดับปฏิบัติการ โดยผนวกเข้ากับกระบวนการวางแผนเชิงกลยุทธ์และการตัดสินใจขององค์กร กระบวนการนี้มีเป้าหมายในการระบุ ประเมิน และบริหารจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ เพื่อให้มั่นใจว่าองค์กรสามารถบรรลุวัตถุประสงค์ตามวิสัยทัศน์และพันธกิจที่กำหนดไว้
กรอบแนวคิดการบริหารจัดการความเสี่ยงองค์กรสอดคล้องกับหลักการของ The Committee of Sponsoring Organization of the Treadway Commission Enterprise Risk Management 2017 (COSO ERM) และ ISO 31000 : 2018 (Risk Management Principles and Guidelines) โดยกรอบการบริหารจัดการความเสี่ยงองค์กรดังกล่าว สะท้อนให้เห็นถึงนโยบายการกำกับดูแลและการบริหารจัดการของแต่ละองค์กร เมื่อองค์กรสามารถบริหารจัดการความเสี่ยงได้อย่างมีประสิทธิผล จะส่งเสริมให้สามารถบรรลุวัตถุประสงค์ขององค์กรได้ทั้งในด้านประสิทธิภาพและประสิทธิผล
กระบวนการบริหารความเสี่ยง
1. ขอบเขต บริบท และปัจจัยเสี่ยง (เชื่อมโยงกับพันธกิจ วิสัยทัศน์ ค่านิยมหลัก กลยุทธ์และวัตถุประสงค์)
บริษัทฯ กำหนดขอบเขตและบริบทขององค์กร รวมถึงหลักเกณฑ์ในการบริหารความเสี่ยงที่เชื่อมโยงโดยตรงกับวัตถุประสงค์ขององค์กร โดยคำนึงถึงปัจจัยทั้งภายในและภายนอกที่อาจส่งผลกระทบต่อการบรรลุวัตถุประสงค์ของบริษัทฯ ทั้งในระยะสั้น ระยะกลาง และระยะยาว ทั้งนี้ ในกระบวนการกำหนดวัตถุประสงค์ของการบริหารความเสี่ยง บริษัทฯ ได้พิจารณาถึงเหตุการณ์หรือสถานการณ์ที่อาจเกิดขึ้นและเป็นอุปสรรคต่อการบรรลุวัตถุประสงค์ขององค์กร ดังนั้น วัตถุประสงค์ดังกล่าวจึงถูกกำหนดให้สอดคล้องกับวิสัยทัศน์ พันธกิจ เป้าหมาย กลยุทธ์ และดัชนีวัดผลการดำเนินงาน (Key Performance Index: KPI) ขององค์กร อีกทั้ง ยังคำนึงถึงความเสี่ยงใหม่ที่อาจเกิดขึ้นในอนาคต (Emerging Risks) ตลอดจนความต้องการและความคาดหวังของผู้มีส่วนได้เสีย
2. การประเมินความเสี่ยง (การระบุ การวิเคราะห์ และการประเมินผล)
2.1 การบ่งชี้ความเสี่ยง
บริษัทฯ มีการบ่งชี้ความเสี่ยง ซึ่งประกอบด้วยการจัดทำรายการหรือทะเบียนเหตุการณ์หรือสถานการณ์ใดๆ ที่เปลี่ยนแปลงไปจากทั้งภายในและภายนอกองค์กร และมีโอกาสส่งผลเป็นอุปสรรคต่อการทำงานเพื่อบรรลุวัตถุประสงค์ของบริษัท โดยการบ่งชี้ความเสี่ยงนั้นมีการจัดทำโดยบุคคลหรือกลุ่มบุคคล เช่น คณะผู้บริหารและหรือพนักงานที่เกี่ยวข้อง ผ่านวิธีการต่างๆ เช่น ผ่านการประชุมเชิงปฏิบัติการ การสัมภาษณ์หรือสำรวจความคิดเห็นด้านความเสี่ยง การรายงานเหตุการณ์ที่เกิดขึ้นแล้ว เป็นต้น
ในการบ่งชี้ความเสี่ยงนั้น บริษัทฯ พิจารณาปัจจัยเสี่ยงใน 6 ด้านคือ
1) ปัจจัยภายใน (Internal Factors) เช่น นโยบายของผู้บริหาร โครงสร้างองค์กร คุณภาพของพนักงาน ระบบเทคโนโลยีสารสนเทศ ความซื่อสัตย์สุจริต แผนการผลิต และดัชนีวัดผลการดำเนินงาน (KPIs)
2) ปัจจัยภายนอก (External Factors) เช่น การเมือง ชุมชน สภาพเศรษฐกิจ การเปลี่ยนแปลงทางด้านเทคโนโลยี กฎหมาย ข้อบังคับและสัญญา กฎระเบียบของภาครัฐ คู่แข่ง ลูกค้า และภัยพิบัติทางธรรมชาติ
3) ความต้องการและความคาดหวังของผู้มีส่วนได้เสีย (Needs and Expectations of Stakeholders) อาทิ ผู้ถือหุ้น สถาบันการเงิน ลูกค้า หุ้นส่วนธุรกิจ ผู้รับเหมา ชุมชน สังคม และหน่วยงานภาครัฐที่เกี่ยวข้อง
4) ผลการประเมินความเสี่ยงด้านคุณภาพ ความมั่นคง ความปลอดภัย อาชีวอนามัย สิ่งแวดล้อม และการจัดการพลังงาน (QSHE) ที่มีความเสี่ยงระดับ 4 ขึ้นไป ให้พิจารณายกระดับ Aspect นั้นขึ้นเป็นความเสี่ยงในระดับฝ่าย เพื่อบรรจุใน VP Risk profile
5) ผลการประเมินความเสี่ยงด้านการดำเนินงาน (Operational Risk Management: ORM) ที่มีความเสี่ยงระดับสูง ที่ความเสี่ยงอยู่ในระดับสูง ให้พิจารณายกระดับความเสี่ยงนั้นขึ้นเป็นความเสี่ยงในระดับฝ่าย เพื่อบรรจุใน VP Risk profile
6) ปัจจัยและความเสี่ยงอื่น ๆ เพิ่มเติมตามที่ผู้บริหารเห็นสมควร
2.2 การประเมินความเสี่ยง
บริษัทฯ มีการประเมินความเสี่ยงที่อาจจะมีผลกระทบต่อการบรรลุวัตถุประสงค์ ซึ่งเป็นกระบวนการที่นำไปสู่การตัดสินใจว่าความเสี่ยงใดจำเป็นต้องจัดการและจัดลำดับความสำคัญเพื่อดำเนินการจัดการความเสี่ยงเหล่านั้นบนพื้นฐานของข้อมูลที่ได้จากการวิเคราะห์ความเสี่ยง โดยพิจารณาทั้งระดับความเสี่ยงปัจจุบัน ระดับความเสี่ยงที่คาดหวัง และระดับการยอมรับความเสี่ยง โดยพิจารณาจาก
- ผลกระทบ (Impact) ใน 6 ด้าน อันประกอบไปด้วย มุมมองต่อบุคคล สิ่งแวดล้อม ทรัพย์สิน ชื่อเสียง เป้าหมาย และกำไรสุทธิของบริษัทฯ
- โอกาสเกิด (Likelihood) โดยพิจารณาจาก ความน่าจะเป็นที่จะเกิดความเสี่ยงหรือความถี่ในการเกิดความเสี่ยงนั้นๆ
2.3 การกำหนดระดับความเสี่ยง
สำหรับการพิจารณาระดับความเสี่ยง (Risk exposure) ของบริษัทฯ ประเมินโดยอาศัยแผนผังการประเมินความเสี่ยง (Risk Assessment Matrix: RAM) ขนาด 5×5 ซึ่งกำหนดระดับความเสี่ยงแบ่งออกเป็น 5 ระดับจากการพิจารณาจากผลกระทบ (Impact) และโอกาสเกิด (Likelihood) ของความเสี่ยงนั้นๆ แผนผังนี้ยังใช้เป็นเครื่องมือในการจัดอันดับความสำคัญของแต่ละความเสี่ยง เพื่อให้สามารถกำหนดและดำเนินมาตรการบริหารจัดการความเสี่ยงที่เหมาะสม
2.4 การจัดลำดับความเสี่ยง
บริษัทฯ มีการกำหนดแนวทางที่ต้องปฏิบัติสำหรับความเสี่ยงในแต่ละระดับที่ถูกแบ่งเป็น 5 พื้นที่ตามสีซึ่งแสดงลำดับความสำคัญของแผนบริหารความเสี่ยง ได้กำหนดไว้ดังนี้
ระดับความเสี่ยง | แนวทางในการจัดการความเสี่ยง | |
|---|---|---|
สูงมาก
(HH)
| ต้องจัดทำรายละเอียดแผนบริหารความเสี่ยงโดยทันทีและจะได้รับการจัดสรรทรัพยากรเป็นลำดับแรก | |
สูง
(H)
| ต้องจัดทำรายละเอียดแผนบริหารความเสี่ยงโดยทันทีและจะได้รับการจัดสรรทรัพยากรในลำดับต่อมาจากความเสี่ยงระดับ “สูงมาก” | |
ปานกลาง
(M)
| จัดทำแผนบริหารความเสี่ยงเมื่อมีทรัพยากรคงเหลือจากแผนบริหารความเสี่ยงระดับ “สูง” | |
ต่ำ (L)
| อาจจัดทำแผนบริหารความเสี่ยงเพิ่มเติมได้หากมีทรัพยากรคงเหลือจากแผนบริหารความเสี่ยงระดับ “ปานกลาง” | |
ต่ำมาก (LL)
| ไม่ต้องจัดทำแผนบริหารความเสี่ยงเพิ่มเติมในขณะนี้แต่ต้องมีการติดตามอย่างสม่ำเสมอ และสามารถทำแผนบริหารความเสี่ยงเพิ่มเติมได้ เมื่อมีทรัพยากรคงเหลือจากแผนบริหารความเสี่ยงระดับ “ต่ำ” | |
3. การจัดการความเสี่ยง (4T)
บริษัทฯ มีการกำหนดมาตรการหรือกิจกรรมขึ้นเพื่อจัดการความเสี่ยงให้สอดคล้องกับกรอบความเสี่ยงที่ยอมรับได้ (Risk Appetite) เพื่อลดโอกาสเกิดและผลกระทบของความเสี่ยงที่อาจทำให้ไม่บรรลุวัตถุประสงค์ให้เหลือน้อยที่สุด โดยการจัดการสาเหตุของความเสี่ยงหรือผลกระทบที่อาจจะเกิดขึ้นจากความเสี่ยงนั้น
กลยุทธ์ในการจัดการความเสี่ยง (Risk Treatment Strategy)
ในการจัดการความเสี่ยงใช้กลยุทธ์ในการจัดการความเสี่ยง (4T’s Strategy) ดังนี้
- การยอมรับความเสี่ยง (Take หรือ Accept) คือ ความเสี่ยงหลังการควบคุมอยู่ในระดับที่ยอมรับได้ โดยไม่ต้องดำเนินการใดๆ เพิ่มเติม
- การลดความเสี่ยง (Treat หรือ Reduce) คือ การดำเนินการเพิ่มเติมเพื่อลดโอกาสเกิดหรือผลกระทบของความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
- การหลีกเลี่ยงความเสี่ยง (Terminate หรือ Avoid) คือ การดำเนินการเพื่อยกเลิกหรือหลีกเลี่ยงกิจกรรมที่ก่อให้เกิดความเสี่ยง ทั้งนี้หากใช้กลยุทธ์นี้ อาจต้องพิจารณาวัตถุประสงค์ว่าสามารถบรรลุได้หรือไม่ หรือทำการปรับเปลี่ยนวัตถุประสงค์ให้สอดคล้องตามต่อไป
- การโอนย้ายความเสี่ยง (Transfer หรือ Share) คือ การโอนย้ายหรือแบ่งความเสี่ยงบางส่วนไปยังบุคคลหรือองค์กรอื่น
4. การติดตามและทบทวน (ความคืบหน้าของการจัดการความเสี่ยง ระดับความเสี่ยง และดัชนีวัดผลประสิทธิผลการบริหารความเสี่ยง)
การติดตามตรวจสอบและรายงานผลการดำเนินการและทบทวนการจัดการความเสี่ยงต่างๆ เป็นกิจกรรมที่กระทำอย่างต่อเนื่องโดยบุคลากรภายในองค์กร และอาจให้บุคคลภายนอก เช่น ที่ปรึกษาหรือผู้เชี่ยวชาญอิสระ เข้ามาดำเนินการ
- การตรวจสอบการดำเนินการตามมาตรการบริหารความเสี่ยงและประสิทธิผลของมาตรการบริหารความเสี่ยงโดยแผนกบริหารความเสี่ยง และรายงานผลการตรวจสอบให้คณะกรรมการขับเคลื่อนงานบริหารความเสี่ยงฯ และคณะกรรมการบริหารความเสี่ยง
- การตรวจสอบกระบวนการบริหารความเสี่ยงโดยที่ปรึกษาหรือหน่วยงานภายนอกเพื่อประเมิน Risk Maturity
- การตรวจสอบการบริหารความเสี่ยงโดยฝ่ายตรวจสอบระบบงานภายในขององค์กร
- การรายงานความเสี่ยงและผลการบริหารความเสี่ยงตามโครงสร้างการบริหารความเสี่ยง
- การประเมินความมีประสิทธิผลและความต่อเนื่องของการควบคุมและกิจกรรมอื่นๆ ที่ใช้จัดการความเสี่ยง
- การรวบรวมและบันทึกข้อมูลอย่างครบถ้วน ถูกต้อง ชัดเจนและทันเวลา
- การสื่อสารกับผู้มีส่วนได้เสียหลักและหน่วยงานต่างๆ ที่เกี่ยวข้องอย่างสม่ำเสมอและเปิดเผย ทั้งแบบเป็นทางการและไม่เป็นทางการ
5. การบันทึกและการรายงาน (บัญชีรายการความเสี่ยง ผลการดำเนินงานการบริหารความเสี่ยง และการพัฒนาอย่างต่อเนื่อง)
บริษัทฯ กำหนดให้ทุกหน่วยงานจัดทำบันทึกการวิเคราะห์และรายงานความเสี่ยงที่สำคัญในรูปแบบของ ทะเบียนความเสี่ยง (Risk Profile) เพื่อให้เป็นไปในแนวทางเดียวกัน โดยมีการกำหนดรูปแบบและองค์ประกอบข้อมูล เช่น ชื่อความเสี่ยงที่สำคัญ ระดับความเสี่ยง มาตรการควบคุม ตัวชี้วัดความเสี่ยง (KRI) ฯลฯ
ทะเบียนความเสี่ยงและผลการบริหารความเสี่ยงจะถูกรายงานต่อหน่วยงานและคณะกรรมการที่เกี่ยวข้องตามโครงสร้างการบริหารความเสี่ยง เพื่อทบทวน ให้ความเห็นชอบ และอนุมัติมาตรการหรือเพิ่มเติมมาตรการให้ทันต่อสถานการณ์ องค์กรสนับสนุนให้มีการรายงานความเสี่ยงเชิงรุกอย่างสม่ำเสมอผ่านช่องทางที่เป็นทางการตามแผนงาน ได้แก่ การประชุมคณะกรรมการบริหารความเสี่ยงต่างๆ และการประชุมฝ่ายจัดการของกลุ่มไทยออยล์ แต่บางกรณีที่ต้องการการจัดการที่เร่งด่วนจึงอาจประสานงานหรือจัดทำรายงานเฉพาะเหตุการณ์ที่เกิดขึ้นก่อนที่จะรายงานอย่างเป็นทางการต่อไป
6. การสื่อสารและการให้คำปรึกษา
บริษัทฯ ดำเนินการสื่อสารและให้คำปรึกษาหารืออย่างครอบคลุมกับทั้งผู้มีส่วนได้เสียภายในและภายนอก เพื่อให้มั่นใจว่าทุกฝ่ายที่เกี่ยวข้องเข้าใจอย่างครบถ้วนเกี่ยวกับสาเหตุ ผลกระทบ และมาตรการในการบริหารจัดการความเสี่ยง ทั้งนี้ ยังเป็นการย้ำให้มั่นใจว่าทุกฝ่ายได้รับข้อมูลที่ครบถ้วน ถูกต้อง และส่งเสริมการตระหนักรู้และความเข้าใจในเรื่องความเสี่ยง นอกจากนี้ การให้คำปรึกษายังช่วยให้องค์กรได้รับข้อเสนอแนะและข้อมูลที่ช่วยสนับสนุนการตัดสินใจในด้านการบริหารความเสี่ยงขององค์กร
ผู้มีส่วนได้เสีย (Stakeholders):
• ภายในองค์กร: พนักงาน ผู้รับเหมา
• ภายนอกองค์กร: ผู้ถือหุ้น ลูกค้า คู่ค้า คู่แข่ง เจ้าหนี้ ชุมชน สังคมและสิ่งแวดล้อม หน่วยงานภาครัฐและองค์กรที่เกี่ยวข้อง
การสื่อสารกับผู้มีส่วนได้เสียภายนอก:
• รายงานประจำปี (Annual Reports)
• แบบ 56-1 One Report
• การสัมมนาและ/หรือการแบ่งปันความรู้ในกลุ่ม ปตท. และบริษัทจดทะเบียนอื่น ๆ
การสื่อสารกับผู้มีส่วนได้เสียภายใน:
• รายงานการบริหารความเสี่ยงตามโครงสร้างการบริหารความเสี่ยง
• การอบรมและสัมมนาเกี่ยวกับการบริหารความเสี่ยง
• บทความ
• ระบบฐานข้อมูลในการบริหารความเสี่ยง (Risk Management Information System: RMIS)
• จดหมายข่าวเกี่ยวกับความเสี่ยง (Risk Newsletter)
• การรายงานปัจจัยเสี่ยงและผลกระทบที่อาจเกิดขึ้นต่อองค์กร
บริษัทฯ สนับสนุนให้เกิดการสื่อสารในเชิงรุกและให้มีการสื่อสารอย่างสม่ำเสมอ ทั้งช่องทางในการสื่อสารอย่างเป็นทางการและไม่เป็นทางการที่ใช้ในการพิจารณาและติดตามความเสี่ยง พร้อมทั้งการควบคุมและแผนการดำเนินการ จากการประชุมคณะกรรมการตามโครงสร้างการบริหารความเสี่ยง เนื่องจากการสื่อสารอย่างต่อเนื่องจะช่วยให้มีข้อมูลความเสี่ยงที่เพียงพอและได้รับการนำเสนอเพื่อใช้ในการตัดสินใจอย่างทันท่วงที
กลุ่มไทยออยล์ได้สร้างวัฒนธรรมการบริหารความเสี่ยง และบูรณาการการบริหารจัดการความเสี่ยงเข้ากับกระบวนการวางแผนเชิงกลยุทธ์และการตัดสินใจขององค์กร โดยใช้กรอบการบริหารจัดการความเสี่ยงองค์กร (Enterprise Risk Management: ERM) เพื่อให้เกิดความเข้าใจร่วมกันในหลักการ แนวคิด วิธีการ และกระบวนการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร ซึ่งทำให้สามารถดำเนินการตามขั้นตอนและวิธีการบริหารจัดการความเสี่ยงได้อย่างสม่ำเสมอ สามารถระบุความเสี่ยง และตระหนักร่วมกันถึงผลกระทบที่อาจเกิดขึ้นจากความไม่แน่นอนและสภาพแวดล้อมที่ซับซ้อนมากขึ้นต่อการบรรลุวัตถุประสงค์ทางธุรกิจที่สอดคล้องกับกลยุทธ์ขององค์กร ทั้งนี้ การบริหารจัดการความเสี่ยงองค์กร (ERM) ยังช่วยในการพัฒนากรอบการบริหารจัดการความเสี่ยงและการควบคุมภายในสำหรับทุกระดับขององค์กร เพื่อให้มั่นใจว่าการปฏิบัติตามกระบวนการบริหารจัดการความเสี่ยงและการควบคุมภายในเป็นไปอย่างสม่ำเสมอและต่อเนื่อง
นอกจากนี้ การบริหารจัดการความเสี่ยงองค์กร (ERM) ยังเป็นเครื่องมือในการปลูกฝังวัฒนธรรมองค์กรที่เน้นความสำคัญของความรู้ด้านการบริหารจัดการความเสี่ยงในกลุ่มผู้บริหารและบุคลากรทุกระดับ ซึ่งช่วยให้สามารถติดตาม ทบทวน และประเมินความเสี่ยงได้อย่างเป็นระบบ เพิ่มประสิทธิผลของมาตรการบริหารจัดการความเสี่ยง และช่วยให้เกิดการสื่อสารและรายงานความเสี่ยงที่มีนัยสำคัญอย่างมีประสิทธิผล เพื่อให้ข้อมูลเชิกลึกที่มีคุณค่าสำหรับการตัดสินใจของผู้บริหาร ยิ่งไปกว่านั้น การบริหารจัดการความเสี่ยงองค์กร (ERM) มีส่วนสำคัญในการช่วยให้กลุ่มไทยออยล์บรรลุวัตถุประสงค์ด้านเศรษฐกิจ สังคม และสิ่งแวดล้อมอย่างสมดุลภายใต้หลักการกำกับดูแลกิจการ ทำให้มั่นใจว่ามีการปฏิบัติต่อผู้มีส่วนได้เสียอย่างเป็นธรรม และส่งเสริมการเติบโตอย่างยั่งยืน ควบคู่ไปกับการสนับสนุนความมั่นคงด้านพลังงาน โดยสอดคล้องกับแนวปฏิบัติของการกำกับดูแลกิจการที่ดี กฎระเบียบของตลาดหลักทรัพย์แห่งประเทศไทย และสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.)
กลยุทธ์การบริหารจัดการความเสี่ยงองค์กร
กลุ่มไทยออยล์ได้กำหนด “กลยุทธ์การบริหารจัดการความเสี่ยงองค์กร” เพื่อบรรลุวิสัยทัศน์เชิงกลยุทธ์ขององค์กร ซึ่งกลยุทธ์ดังกล่าว ถูกนำไปปฏิบัติผ่านกระบวนการบริหารจัดการความเสี่ยงที่ครอบคลุม โดยองค์กรได้กำหนดนโยบายการจัดการความเสี่ยงที่ชัดเจนและกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) ซึ่งได้รับการสอบทานโดยคณะกรรมการบริหารความเสี่ยง (RMC) ทั้งนี้ องค์กรดำเนินการบริหารความเสี่ยงทั่วทั้งองค์กร ครอบคลุมทุกหน่วยธุรกิจและกิจกรรม และมีคณะกรรมการขับเคลื่อนงานบริหารความเสี่ยงกลุ่มไทยออยล์ (RMSC) เป็นผู้สอบทาน ติดตาม และประเมินประสิทธิผลของการปฏิบัติงานด้านการบริหารจัดการความเสี่ยงเป็นประจำทุกไตรมาส การบริหารจัดการความเสี่ยงองค์กร (ERM) เป็นเครื่องมือสำคัญที่ช่วยให้กลุ่มไทยออยล์บรรลุวัตถุประสงค์ด้านการดำเนินงานและธุรกิจ เพื่อการบริหารจัดการความเสี่ยงองค์กรที่มีประสิทธิผล บริษัทฯ ได้กำหนดกลยุทธ์การบริหารจัดการความเสี่ยงองค์กรที่ครอบคลุม ดังต่อไปนี้
กรอบความเสี่ยงที่ยอมรับได้ (Risk Appetite Statement)
การกำหนดความเสี่ยงที่ยอมรับได้ ผู้บริหารจะคำนึงถึงผลกระทบที่อาจมีต่อวัตถุประสงค์ของหน่วยงานและขององค์กรทั้งที่เป็นตัวเงินและไม่ใช่ตัวเงิน เช่น ผลกระทบต่อชื่อเสียงของบริษัทฯ ในขณะเดียวกันผู้บริหารจะบริหารความเสี่ยงที่มีระดับสูงหรือมีความรุนแรงเกินกว่าระดับความเสี่ยงที่ยอมรับได้ ให้อยู่ในระดับที่ยอมรับได้
องค์กรจะนำความเสี่ยงที่ยอมรับได้ไปใช้ในกิจกรรมต่างๆ ดังต่อไปนี้
- สื่อสารให้ผู้มีส่วนได้เสียต่อองค์กรรับทราบถึงความเสี่ยงขององค์กรและระดับความเสี่ยงที่องค์กรสามารถรับได้และการบริหารจัดการความเสี่ยงเพื่อให้มั่นใจว่า องค์กรสามารถดำเนินธุรกิจได้ตามที่ให้ไว้กับผู้ถือหุ้น
- ใช้ในการกำหนดกลยุทธ์ แนวทางในการดำเนินธุรกิจ รวมถึงกำหนดค่าหรือปัจจัยที่ใช้ในกระบวนการวางแผน
- สื่อสารคุณค่าขององค์กรที่ได้จากการมีวัฒนธรรมในการบริหารความเสี่ยงอย่างต่อเนื่อง
- ใช้เป็นกรอบในการมอบหมายอำนาจหน้าที่ในการบริหารหน่วยงานหรือบุคลากรต่างๆ ภายในองค์กร
- พิจารณาความเสี่ยงโดยรวมขององค์กรว่ายังอยู่ในระดับความเสี่ยงที่ยอมรับได้
นโยบายบริหารความเสี่ยงกำหนดให้คณะกรรมการบริหารความเสี่ยง (RMC) พิจารณากำหนดกรอบความเสี่ยงที่ยอมรับได้ (Risk Appetite) ของแต่ละความเสี่ยงที่สำคัญขององค์กร ภายใต้การกำกับดูแลของคณะกรรมการบริหารบริษัท
สำหรับความเสี่ยงอื่นๆ การกำหนดระดับความเสี่ยงที่ยอมรับได้หมายถึงความเสี่ยงที่อยู่ในระดับต่ำหรือต่ำมาก แต่หากไม่สามารถดำเนินการได้ เช่น เป็นปัจจัยภายนอกที่อยู่นอกเหนือการควบคุม หรือประเมินแล้วพบว่าผลตอบแทนที่ได้ไม่คุ้มกับต้นทุนที่เพิ่มขึ้นในการดำเนินการตามกิจกรรมบริหารความเสี่ยงอาจพิจารณาไม่ดำเนินการ แต่จะต้องติดตามความเสี่ยงดังกล่าวอย่างใกล้ชิด
การกำหนดกรอบความเสี่ยงที่ยอมรับได้ (Risk Appetite) ต้องเชื่อมโยงและสอดคล้องกับเป้าหมายหรือวัตถุประสงค์ขององค์กร อาจพิจารณากำหนดจากข้อมูล ดังต่อไปนี้
ข้อมูลตัวชี้วัดภายใน เช่น
1. ดัชนีวัดผลการดำเนินงาน (Key Performance Indicators : KPIs) โดยมีเป้าหมายตามที่ระบุไว้ในแผนกลยุทธ์และ/หรือแผนปฏิบัติการประจำปี
2. กฎเกณฑ์ภายในที่เกี่ยวข้อง
3. รายงานทางการเงินและข้อมูลเชิงสถิติที่สะท้อนผลการดำเนินงาน
ข้อมูลตัวชี้วัดภายนอก เช่น
1. Peer group หรือ Benchmarking
2. ตัวชี้วัดภาวะเศรษฐกิจ
3.หลักเกณฑ์ทางการที่เกี่ยวข้อง
บทบาทและหน้าที่ความรับผิดชอบ
ระดับการกำกับดูแลของคณะกรรมการ (Board Oversight Level)
คณะกรรมการบริษัท มีหน้าที่ความรับผิดชอบในการบริหารจัดการความเสี่ยง ดังนี้
- ส่งเสริมการบริหารจัดการความเสี่ยงในระดับองค์กร
- กำกับดูแลกิจกรรมการบริหารจัดการความเสี่ยงผ่านคณะกรรมการบริหารความเสี่ยง (RMC) เพื่อให้มั่นใจว่าการบริหารจัดการความเสี่ยงดำเนินการอย่างมีประสิทธิผลและต่อเนื่อง
- ประเมินประสิทธิผลของการบริหารจัดการความเสี่ยงขององค์กร
- ปลูกฝังวัฒนธรรมการบริหารจัดการความเสี่ยงและหลักการควบคุมภายในทั่วทั้งองค์กร
- เข้าร่วมกิจกรรมที่เกี่ยวข้องกับการบริหารจัดการความเสี่ยงอย่างสม่ำเสมอ เช่น การอบรม การประชุมเชิงปฏิบัติการ และการสัมมนา
คณะกรรมการตรวจสอบ มีหน้าที่ความรับผิดชอบในการบริหารจัดการความเสี่ยง ดังนี้
สอบทานความเพียงพอและประสิทธิผลของการควบคุมภายใน การตรวจสอบภายใน และระบบการบริหารจัดการความเสี่ยงอย่างละเอียด และอาจเสนอแนะให้มีการทบทวนหรือตรวจสอบรายการใด ๆ ที่เห็นว่าจำเป็นและสำคัญ โดยคณะกรรมการตรวจสอบควรเสนอแนะแนวทางการปรับปรุงระบบการควบคุมภายใน ระบบการบริหารจัดการความเสี่ยง และส่งรายงานการตรวจสอบไปยังคณะกรรมการบริษัท
คณะกรรมการบริหารความเสี่ยง (ระดับคณะกรรมการชุดย่อย) มีหน้าที่ความรับผิดชอบในการบริหารจัดการความเสี่ยง ดังนี้
- กำหนดและทบทวนกรอบการบริหารจัดการความเสี่ยง กฎบัตรการบริหารความเสี่ยง นโยบาย และแนวทางปฏิบัติที่สอดคล้องกับทิศทางเชิงกลยุทธ์ แผนธุรกิจ และสถานการณ์ที่เปลี่ยนแปลงไป
- ส่งเสริมและสนับสนุนโครงการริเริ่มด้านการบริหารจัดการความเสี่ยงในทุกระดับขององค์กร รวมถึงการพัฒนาและการนำเครื่องมือบริหารจัดการความเสี่ยงไปใช้ ตลอดจนการปลูกฝังวัฒนธรรมองค์กรที่ตระหนักถึงความเสี่ยง
- ติดตามและกำกับดูแลการรายงานความเสี่ยงที่มีนัยสำคัญ เพื่อให้มั่นใจว่าแนวปฏิบัติด้านการบริหารจัดการความเสี่ยงมีประสิทธิผล สอดคล้องกับวัตถุประสงค์ทางธุรกิจ และรักษาระดับความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ตามที่กำหนดไว้ในกรอบความเสี่ยงที่ยอมรับได้ขององค์กร
- รายงานประเด็นหรือเหตุการณ์ที่เกี่ยวข้องกับการบริหารจัดการความเสี่ยงที่มีนัยสำคัญ ซึ่งอาจส่งผลกระทบอย่างมีนัยสำคัญต่อบริษัทฯ ให้แก่คณะกรรมการบริษัทอย่างทันท่วงที เพื่อพิจารณาและดำเนินการต่อไป
- ปฏิบัติหน้าที่อื่น ๆ ที่เกี่ยวข้องกับการบริหารจัดการความเสี่ยงตามที่คณะกรรมการบริษัทมอบหมาย
แบบจำลองแนวป้องกัน 3 ด่าน (ระดับปฏิบัติการ)
แนวป้องกันด่านแรก – เจ้าของความเสี่ยงในระดับปฏิบัติการ (Operational Risk Ownership)
1.ผู้ประสานงานบริหารความเสี่ยงประจำหน่วยงานของกลุ่มไทยออยล์ (Risk Coordinator: RCO) มีหน้าที่ความรับผิดชอบด้านการบริหารจัดการความเสี่ยง ดังต่อไปนี้
- ปฏิบัติงานตามนโยบายจัดการความเสี่ยงของกลุ่มไทยออยล์ตามที่กำหนดไว้ในคู่มือการจัดการความเสี่ยงของบริษัทฯ
- ประสานงานและอำนวยความสะดวกในการดำเนินกิจกรรมการประเมินความเสี่ยงภายในแผนกหรือหน่วยงาน ตลอดจนกำหนดมาตรการบรรเทาความเสี่ยงที่เหมาะสม
- ติดตามและทบทวนผลการดำเนินการตามมาตรการบรรเทาความเสี่ยงอย่างสม่ำเสมอ ร่วมกับหน่วยงานหรือบุคคลที่เกี่ยวข้องภายในแผนกหรือหน่วยงาน
- รายงานความเสี่ยงระดับแผนกที่ระบุได้ต่อที่ประชุมภายในสำหรับการพิจารณา เพื่อให้มั่นใจว่ามีการประเมินความเสี่ยง การทบทวน และแผนการบรรเทาความเสี่ยงที่มีประสิทธิภาพและมีประสิทธิผล
- จัดประชุมระหว่างผู้ประสานงานบริหารความเสี่ยงประจำหน่วยงานของกลุ่มไทยออยล์ (RCOs) จากทั่วทั้งองค์กร เพื่อแลกเปลี่ยนข้อมูลด้านการบริหารจัดการความเสี่ยงระหว่างหน่วยงานและหน่วยงานบริหารจัดการความเสี่ยง
- ประสานงานและร่วมมือกับหน่วยงานบริหารจัดการความเสี่ยงในการจัดทำโครงการฝึกอบรมและสร้างความตระหนักรู้ด้านการบริหารจัดการความเสี่ยงให้กับพนักงานภายในแผนกหรือหน่วยงาน เพื่อเสริมสร้างความเข้าใจและตระหนักถึงความสำคัญของการบริหารจัดการความเสี่ยง
- มีส่วนร่วมในการวิเคราะห์การประเมินความเสี่ยงและพัฒนามาตรการบรรเทาความเสี่ยงสำหรับแผนกที่เกี่ยวข้อง
2.พนักงานและผู้รับเหมา (Employee and sub-contractor) มีหน้าที่ความรับผิดชอบด้านการบริหารจัดการความเสี่ยง ดังต่อไปนี้
- บริหารจัดการความเสี่ยงในการทำงานประจำวัน และดำเนินการตามแผนงานแก้ไขเพื่อจัดการกับข้อบกพร่องในกระบวนการและการควบคุม
- บูรณาการการบริหารจัดการความเสี่ยงเข้ากับกระบวนการทำงานอย่างต่อเนื่อง เพื่อให้มั่นใจว่าการบริหารจัดการความเสี่ยงสอดคล้องกับกรอบ โครงสร้าง และนโยบายจัดการความเสี่ยงขององค์กร เพื่อส่งเสริมวัฒนธรรมการบริหารจัดการความเสี่ยง
- ดำเนินการและสนับสนุนมาตรการบริหารจัดการความเสี่ยง เพื่อให้มั่นใจว่าแนวทางการปฏิบัติงานบรรลุวัตถุประสงค์
- รายงานความเสี่ยงและปัญหาที่พบในการบริหารจัดการความเสี่ยงต่อผู้บังคับบัญชาตามลำดับชั้น และรายงานไปยังหน่วยงานบริหารจัดการความเสี่ยงเชิงกลยุทธ์ขององค์กร
3.รองประธานกรรมการบริหาร (Executive Vice Presidents: EVPs) มีหน้าที่ความรับผิดชอบด้านการบริหารจัดการความเสี่ยง ดังต่อไปนี้
- สนับสนุนให้ทุกแผนก บริษัทในกลุ่ม โครงการและการลงทุนที่สำคัญที่เกี่ยวข้องกับสายธุรกิจที่ตนเองดูแล ดำเนินการวิเคราะห์และประเมินความเสี่ยงอย่างครอบคลุม รวมถึงกำหนดมาตรการบริหารจัดการความเสี่ยงที่เหมาะสม
- เสนอแนะแนวทางการปรับปรุงการปฏิบัติงานด้านการบริหารจัดการความเสี่ยงในสายธุรกิจที่ตนเองดูแล เพื่อให้มั่นใจว่าการบริหารจัดการความเสี่ยงมีประสิทธิผล และสอดคล้องกับการดำเนินธุรกิจ การเติบโต และสถานการณ์ที่เปลี่ยนแปลงไป
- กำหนดให้มีการรายงานผลการดำเนินงานและความคืบหน้าของการบริหารจัดการความเสี่ยงในสายธุรกิจและกลุ่มบริษัทที่ตนเองดูแล รวมถึงโครงการและการลงทุนที่สำคัญ ต่อคณะกรรมการขับเคลื่อนงานบริหารความเสี่ยงกลุ่มไทยออยล์ (RMSC) อย่างสม่ำเสมอ เพื่อให้มั่นใจว่าการปฏิบัติงานด้านการบริหารจัดการความเสี่ยงมีความเหมาะสมและมีประสิทธิผล
- สนับสนุนและส่งเสริมการพัฒนาทักษะด้านการบริหารจัดการความเสี่ยงของบุคลากรภายในสายธุรกิจที่ตนเองดูแล เพื่อปลูกฝังความตระหนักรู้ด้านความเสี่ยงและการดำเนินงานอย่างต่อเนื่อง ซึ่งนำไปสู่วัฒนธรรมการบริหารจัดการความเสี่ยงขององค์กร
- สนับสนุนให้ทุกแผนกที่เกี่ยวข้องในสายธุรกิจที่ตนเองดูแล ร่วมมือกับแผนกบริหารความเสี่ยงในการติดตาม ประเมินผลการดำเนินงาน และความเพียงพอของมาตรการและแผนการบริหารจัดการความเสี่ยงครอบคลุมทุกด้านที่สำคัญ และบริษัทในกลุ่ม รวมถึงโครงการและการลงทุนที่สำคัญ
แนวป้องกันด้านที่สอง – การกำกับดูแลด้านการบริหารจัดการความเสี่ยงและการปฏิบัติตามกรอบการบริหารจัดการความเสี่ยง (Risk Management and Compliance Oversight)
1.แผนกบริหารความเสี่ยง (Corporate Risk Management Department) มีหน้าที่ความรับผิดชอบด้านการบริหารจัดการความเสี่ยง ดังต่อไปนี้
- วางแผนและจัดทำงบประมาณสำหรับการดำเนินงานด้านการบริหารจัดการความเสี่ยง การควบคุมภายใน และการบริหารจัดการธุรกิจอย่างต่อเนื่องของกลุ่มไทยออยล์
- ประเมินและทบทวนการบริหารจัดการความเสี่ยง การควบคุมภายใน และการบริหารจัดการธุรกิจอย่างต่อเนื่องขององค์กร เพื่อให้มั่นใจว่ามีการปฏิบัติสอดคล้องตามมาตรฐานสากล
- ประเมินและทบทวนความเสี่ยงองค์กร ความเสี่ยงในสายธุรกิจ และความเสี่ยงในระดับแผนก ให้สอดคล้องกับเป้าหมายและทิศทางขององค์กร รวมถึงติดตามความคืบหน้าของมาตรการบริหารจัดการความเสี่ยงที่ได้ดำเนินการไปแล้ว
- ประเมินและทบทวนความเสี่ยงของโครงการลงทุน รวมถึงวิเคราะห์ ติดตาม และดำเนินการตามมาตรการบริหารจัดการความเสี่ยง เพื่อรักษาระดับความเสี่ยงที่เหมาะสมสำหรับแต่ละโครงการ
- กำหนดให้มีการประเมินและทบทวนความเสี่ยง รวมถึงมาตรการบริหารจัดการความเสี่ยง สำหรับทุกแผนกทั่วทั้งกลุ่มไทยออยล์
- ติดตามและประเมินประสิทธิผลของมาตรการบริหารจัดการความเสี่ยง และระดับความเสี่ยงในภาพรวมของแต่ละแผนก
- รายงานผลการวิเคราะห์ การประเมิน และการทบทวนความเสี่ยงขององค์กร การควบคุมภายใน และการบริหารจัดการธุรกิจอย่างต่อเนื่องของกลุ่มไทยออยล์ต่อคณะกรรมการขับเคลื่อนงานบริหารความเสี่ยงกลุ่มไทยออยล์ (RMSC) คณะกรรมการบริหารความเสี่ยง (RMC) และคณะกรรมการบริษัทตามแผนการบริหารจัดการความเสี่ยง เพื่อสรุปผลการบริหารจัดการความเสี่ยงและสื่อสารไปยังหน่วยงานที่เกี่ยวข้องทั้งหมด
- ดำเนินการและสื่อสารนโยบายและข้อเสนอแนะของคณะกรรมการขับเคลื่อนงานบริหารความเสี่ยงกลุ่มไทยออยล์ (RMSC) และคณะกรรมการบริหารความเสี่ยง (RMC) แก่หน่วยงานที่เกี่ยวข้อง
- พัฒนาและปรับปรุงคู่มือและแนวปฏิบัติด้านการบริหารจัดการความเสี่ยง การควบคุมภายใน และการบริหารจัดการธุรกิจอย่างต่อเนื่องของกลุ่มไทยออยล์ ให้สอดคล้องกับแนวปฏิบัติทางธุรกิจในปัจจุบัน
- สื่อสาร ยกระดับความตระหนักรู้ ให้ความรู้ และประสานงานหรือจัดฝึกอบรมด้านการบริหารจัดการความเสี่ยง การควบคุมภายใน การบริหารจัดการธุรกิจอย่างต่อเนื่อง และความรู้ที่เกี่ยวข้องอย่างสม่ำเสมอ
- ประสานงานและแลกเปลี่ยนข้อมูลด้านความเสี่ยงกับบริษัทในกลุ่มปิโตรเลียมและปิโตรเคมีในเครือ ปตท.
- ดูแลรักษาและพัฒนาระบบฐานข้อมูลด้านการบริหารจัดการความเสี่ยงเพื่อการดำเนินงานที่มีประสิทธิภาพ
- พัฒนา ทบทวน และปรับปรุงแผนธุรกิจต่อเนื่อง (BCP) และแผนการดำเนินงาน เพื่อสนับสนุนการบริหารจัดการธุรกิจอย่างต่อเนื่อง รวมถึงการฝึกซ้อมตามแผน BCP ของกลุ่มไทยออยล์อย่างสม่ำเสมอ
- ทำหน้าที่เป็นเลขานุการของคณะกรรมการขับเคลื่อนงานบริหารความเสี่ยงกลุ่มไทยออยล์ (RMSC) และคณะกรรมการบริหารความเสี่ยง (RMC)
- ทบทวน ติดตาม และตรวจสอบกิจกรรมการควบคุม และผลการดำเนินงานตามกิจกรรมการควบคุมที่กำหนดไว้ เพื่อให้มั่นใจว่าองค์กรมีการควบคุมภายในที่มีประสิทธิผลและมีประสิทธิภาพที่สามารถสนับสนุนการบรรลุเป้าหมายขององค์กรและการเติบโตทางธุรกิจอย่างยั่งยืน
2.คณะกรรมการขับเคลื่อนงานบริหารความเสี่ยงกลุ่มไทยออยล์ (Risk Management Steering Committee : RMSC) ประกอบด้วยผู้บริหารระดับสูง ซึ่งมีหน้าที่ความรับผิดชอบด้านการบริหารจัดการความเสี่ยง ดังนี้
- กำหนดกรอบ นโยบาย โครงสร้าง และกลยุทธ์ของการบริหารจัดการความเสี่ยง การควบคุมภายใน และการบริหารจัดการธุรกิจอย่างต่อเนื่อง ที่เหมาะสมกับธุรกิจของกลุ่มไทยออยล์ สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลง และสอดคล้องกับมาตรฐานสากล
- ส่งเสริมให้ทุกแผนกและบริษัทในกลุ่มไทยออยล์ วิเคราะห์ ประเมิน และกำหนดมาตรการบริหารจัดการความเสี่ยง และรายงานผลการบริหารจัดการความเสี่ยง และความคืบหน้าในการบริหารจัดการความเสี่ยงในทุกมิติของบริษัทในกลุ่มไทยออยล์ รวมถึง โครงการและการลงทุนที่สำคัญ ต่อคณะกรรมการฯ อย่างสม่ำเสมอ เพื่อให้มั่นใจว่ามีการบริหารจัดการความเสี่ยงและดำเนินการตามมาตรการต่าง ๆ อย่างเหมาะสมและมีประสิทธิผล
- ทบทวน ติดตาม และตรวจสอบผลการบริหารจัดการความเสี่ยง รวมถึงข้อเสนอแนะเกี่ยวกับแนวปฏิบัติด้านการบริหารจัดการความเสี่ยง การควบคุมภายใน และการบริหารจัดการธุรกิจอย่างต่อเนื่องของกลุ่มไทยออยล์ ให้สอดคล้องกับกรอบและนโยบายการจัดการความเสี่ยง และแนวปฏิบัติด้านการควบคุมภายในและการบริหารจัดการธุรกิจอย่างต่อเนื่อง เพื่อให้มั่นใจว่ามีการบริหารจัดการที่มีประสิทธิผลและเหมาะสมสำหรับการดำเนินงานและการเติบโตของธุรกิจ
- กลั่นกรองและรายงานผลของการบริหารจัดการความเสี่ยง การควบคุมภายใน และการบริหารจัดการธุรกิจอย่างต่อเนื่องที่มีนัยสำคัญต่อคณะกรรมการบริหารความเสี่ยง (RMC) อย่างสม่ำเสมอ
- อนุมัติแผน แนวปฏิบัติ และคู่มือ พร้อมทั้งสนับสนุนและจัดสรรทรัพยากรที่จำเป็นสำหรับการบริหารจัดการความเสี่ยง การควบคุมภายใน และการบริหารจัดการธุรกิจอย่างต่อเนื่องของกลุ่มไทยออยล์
- สนับสนุนและส่งเสริมการพัฒนาทักษะของพนักงานทุกระดับให้เข้าใจและตระหนักรู้ถึงการบริหารจัดการความเสี่ยง การควบคุมภายใน และการบริหารจัดการธุรกิจอย่างต่อเนื่อง เพื่อสร้างความตระหนักรู้ และสามารถนำไปปฏิบัติได้อย่างต่อเนื่องจนกลายเป็นวัฒนธรรมองค์กร
- สนับสนุนให้ทุกแผนกร่วมมือกับแผนกบริหารความเสี่ยงในการติดตาม ประเมินผลการดำเนินงาน และความเพียงพอของมาตรการแลแผนการบริหารจัดการความเสี่ยงสำหรับทุกมิติ บริษัทในกลุ่ม รวมถึงโครงการและการลงทุนที่สำคัญ
- จัดประชุมอย่างน้อยไตรมาสละ 1 ครั้ง
แนวป้องกันด้านที่สาม – หน่วยงานตรวจสอบอิสระ
หน่วยงานตรวจสอบภายใน (Internal Audit Unit) มีหน้าที่ความรับผิดชอบด้านการบริหารจัดการความเสี่ยง ดังต่อไปนี้
- คณะกรรมการตรวจสอบได้มอบหมายให้หน่วยงานตรวจสอบภายในให้ความเชื่อมั่นอย่างเป็นอิสระต่อการทบทวนการปฏิบัติตาม การกำกับดูแลกิจการ การบริหารจัดการความเสี่ยง และการควบคุมภายใน
- กำหนดแผนเชิงกลยุทธ์ แผนการตรวจสอบประจำปีและระยะยาว แผนการดำเนินงาน และผลการตรวจสอบ พร้อมทั้งเสนอแนะและติดตามความคืบหน้าของประเด็นที่มีนัยสำคัญ ตลอดจนทบทวนความเป็นอิสระของการตรวจสอบภายใน
หน่วยงานบริหารความเสี่ยง (Risk Management Unit) มีหน้าที่ความรับผิดชอบในการให้ความรู้และคำแนะนำด้านการบริหารจัดการความเสี่ยงแก่พนักงานและผู้รับเหมาทั่วทั้งบริษัทในกลุ่มไทยออยล์อย่างสม่ำเสมอ โดยใช้ช่องทางการสื่อสาร เช่น ผู้ประสานงานบริหารความเสี่ยงหรือฝ่ายบริหารที่รับผิดชอบภายในแต่ละหน่วยงาน การฝึกอบรมประจำปี หรือการประชุมตามแผนการบริหารจัดการความเสี่ยง เป็นต้น ทั้งนี้ ยังมีหน้าที่ในการประเมินความเสี่ยง ติดตามกิจกรรมการบริหารจัดการความเสี่ยง และรายงานความเสี่ยงที่ระบุได้พร้อมกับการประเมินความเสี่ยงเหล่านั้นไปยังคณะกรรมการที่เกี่ยวข้องตามโครงสร้างการบริหารจัดการความเสี่ยง เพื่อให้มั่นใจว่ามีได้ทบทวนความเสี่ยงที่มีนัยสำคัญจากมุมมองต่าง ๆ และได้รับการสนับสนุนจากผู้บริหารระดับสูงผ่านมาตรการบริหารจัดการความเสี่ยงที่เหมาะสม
การตรวจสอบความเสี่ยง (Risk Audit)
การตรวจสอบภายใน (Internal audit) ซึ่งดำเนินการโดยบริษัทฯ เอง ประกอบด้วยหน่วยงานต่าง ๆ เช่น แผนกบริหารความเสี่ยง แผนกบริหารจัดการคุณภาพ และผู้ประสานงานบริหารความเสี่ยงประจำแต่ละหน่วยงานของกลุ่มไทยออยล์
การตรวจสอบภายนอก (External audit) ซึ่งดำเนินการโดยผู้ตรวจสอบภายนอกที่ให้บริการรับรองระบบสำหรับการรับรองมาตรฐาน ISO ต่าง ๆ
กระบวนการตรวจสอบประกอบด้วยขั้นตอนดังต่อไปนี้
- กำหนดแผนการตรวจสอบ: กำหนดกรอบเวลา วัตถุประสงค์ และขอบเขตการตรวจสอบ
- กำหนดเกณฑ์การประเมิน: กำหนดมาตรฐานและข้อกำหนดที่ใช้ในการประเมิน
- ดำเนินการประเมิน: ดำเนินการตรวจสอบตามแผนและเกณฑ์ที่กำหนดไว้
- ระบุข้อสังเกต: ระบุประเด็นใด ๆ ที่อาจไม่เป็นไปตามข้อกำหนด
- ดำเนินการปรับปรุงและติดตามผล: ดำเนินการแก้ไขประเด็นที่พบ และติดตามประสิทธิผลของการดำเนินการแก้ไข
- จัดทำรายงาน: บันทึกผลการตรวจสอบในรายงานเป็นลายลักษณ์อักษร
การวิเคราะห์ความอ่อนไหวและการทดสอบความเครียด (Sensitivity analysis and stress testing)
กระบวนการบริหารจัดการความเสี่ยงของบริษัทฯ ได้ใช้เครื่องมือวิเคราะห์ความอ่อนไหวเพื่อวิเคราะห์มุมมองทั้งด้านการเงินและไม่ใช่การเงิน เพื่อประเมินผลกระทบที่อาจเกิดขึ้น โดยกระบวนการนี้ ช่วยอำนวยความสะดวกในการประเมินความเสี่ยงและการประเมินมาตรการบรรเทาความเสี่ยงที่เหมาะสม
ปัจจัยสนับสนุน (Enablers)
บริษัทได้พัฒนาและส่งเสริมกระบวนการบริหารจัดการความเสี่ยงโดยใช้เครื่องมือต่าง ๆ เพื่อเพิ่มประสิทธิผลของการกำกับดูแลความเสี่ยง อาทิ ระบบฐานข้อมูลความเสี่ยง(Risk Management Information System: RMIS) ซึ่งทำหน้าที่เป็นฐานข้อมูลส่วนกลางสำหรับการรวบรวม บันทึก และรายงานข้อมูลความเสี่ยงอย่างเป็นระบบ ซึ่งพนักงานสามารถเข้าถึงข้อมูลความเสี่ยงด้วยความสะดวกและทันต่อเวลาผ่านระบบฐานข้อมูลดังกล่าว โดยใช้ระบบเครือข่ายคอมพิวเตอร์ภายในบริษัทฯ
การฝึกอบรมด้านการบริหารจัดการความเสี่ยงเฉพาะกลุ่มทั่วทั้งองค์กร
เพื่อเป็นการส่งเสริมวัฒนธรรมและความตระหนักรู้ด้านการบริหารจัดการความเสี่ยง บริษัทฯ ดำเนินการสื่อสารอย่างต่อเนื่องผ่านกิจกรรมต่าง ๆ เช่น จดหมายข่าวความเสี่ยง จัดทำโดยแผนกบริหารความเสี่ยง ซึ่งจดหมายข่าวนี้นำเสนอข้อมูลเกี่ยวกับความเสี่ยงและเหตุการณ์สำคัญที่อาจส่งผลกระทบต่อบริษัทฯ ในอนาคต นอกจากนี้ ยังรวมถึงการฝึกอบรมด้านการบริหารจัดการความเสี่ยงองค์กร (ERM) ด้วย การฝึกอบรมเหล่านี้มีวัตถุประสงค์เพื่อเพิ่มพูนความรู้และความเข้าใจเกี่ยวกับการบริหารจัดการความเสี่ยงในระดับองค์กร ซึ่งประกอบด้วยทั้งโมดูลการเรียนรู้แบบอิเล็กทรอนิกส์ผ่าน Thaioil Academy สำหรับพนักงานทุกระดับ และการอบรมเชิงปฏิบัติที่เน้นแนวคิดและเทคนิคต่าง ๆ สำหรับผู้ประสานงานบริหารความเสี่ยงประจำแต่ละหน่วยงานของกลุ่มไทยออยล์ ซึ่งเป็นโอกาสให้ฝึกฝนและนำทฤษฎีการบริหารจัดการความเสี่ยงไปประยุกต์ใช้ในสถานการณ์จริง เพื่อเพิ่มขีดความสามารถในการรับมือกับความเสี่ยงต่าง ๆ ได้
ทั้งนี้ บริษัทฯ ให้ความสำคัญกับการจัดการความรู้ (Knowledge Management: KM) โดยการบันทึกและแบ่งปันบทเรียนจากประสบการณ์ในอดีตและแนวปฏิบัติที่ดีที่สุด ซึ่งช่วยให้เกิดการปรับปรุงประสิทธิผลของการบริหารจัดการความเสี่ยงในองค์รวม
การให้ความรู้ด้านการบริหารจัดการความเสี่ยงอย่างสม่ำเสมอ สำหรับกรรมการที่ไม่เป็นผู้บริหารทั้งหมด
เพื่อให้มั่นใจว่ากรรมการได้รับการศึกษาเกี่ยวกับการบริหารจัดการความเสี่ยงอย่างสม่ำเสมอ กลุ่มไทยออยล์ได้กำหนดกฎบัตรของคณะกรรมการบริหารความเสี่ยงไว้ว่า สมาชิกในคณะกรรมการบริหารความเสี่ยงต้องมีความรู้และความเข้าใจที่เพียงพอเกี่ยวกับการบริหารจัดการความเสี่ยง หรือมีความเชี่ยวชาญที่เกี่ยวข้องอย่างมีนัยสำคัญ เพื่อสนับสนุนการดำเนินธุรกิจของบริษัทฯ ให้บรรลุวัตถุประสงค์ของคณะกรรมการฯ ทั้งนี้ บริษัทฯ ได้จัดการฝึกอบรมเพื่อพัฒนาทักษะของคณะกรรมการบริหารความเสี่ยงผ่านสถาบันที่ได้รับการรับรอง เช่น สถาบันกรรมการบริษัทไทย (Thai Institute of Director Association: IOD) เกี่ยวกับการกำกับดูแลความเสี่ยง บทบาท หน้าที่ความรับผิดชอบ และกรอบการบริหารจัดการความเสี่ยง นอกจากนี้ คณะกรรมการบริหารความเสี่ยงยังได้รับข้อมูลแนวโน้ม หรือปัจจัยที่มีผลกระทบต่อบริษัทฯ ทุก ๆ ไตรมาส ผ่านวาระการประชุมเรื่องการวิเคราะห์สภาพแวดล้อมในที่ประชุม
ไม่เพียงแต่คณะกรรมการบริหารความเสี่ยงเท่านั้น กรรมการที่ไม่เป็นผู้บริหารทุกคนจะได้รับข้อมูลและเข้าร่วมการฝึกอบรมเพื่อให้ความรู้แก่คณะกรรมการบริษัทในการบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับธุรกิจของบริษัทฯ ผ่านกิจกรรมต่าง ๆ เช่น การเชิญผู้เชี่ยวชาญในหัวข้อที่สนใจมาแบ่งปันมุมมองและข้อมูลในการกระบวนการวางแผนกลยุทธ์ (Strategic Thinking Session: STS) การแบ่งปันข้อมูลโดยผู้เชี่ยวชาญด้านความเสี่ยง การบรรยายโดยผู้เชี่ยวชาญ เป็นต้น การฝึกอบรมและการแบ่งปันข้อมูลเหล่านี้ เป็นการให้ความสำคัญและให้ความรู้แก่คณะกรรมการบริษัทเพื่อทำความเข้าใจแนวโน้มในอนาคต ความเสี่ยงและผลกระทบที่มีต่อบริษัทฯ เพื่อนำไปใช้ในการกำกับ แนะนำ และแสวงหาการบรรเทาความเสี่ยงที่เหมาะสม
สิ่งจูงใจทางการเงินที่รวมอยู่ในดัชนีวัดผลการบริหารจัดการความเสี่ยง
กลุ่มไทยออยล์รวบรวมวัตถุประสงค์เชิงกลยุทธ์ขององค์กรและดัชนีวัดผลการดำเนินงานของทุกตำแหน่งรองประธานกรรมการบริหาร เพื่อกำกับดูแลผลการปฏิบัติงาน โดยแต่ละตำแหน่งจะมีดัชนีวัดผลการดำเนินงาน บัญชีรายการความเสี่ยง และดัชนีวัดผลการปฏิบัติงานส่วนบุคคล ทั้งนี้ ขั้นความสำเร็จของแผนการบริหารจัดการความเสี่ยง (%) ยังเป็นอีกหนึ่งในดัชนีวัดผลการดำเนินงานของผู้บริหารระดับสูง ซึ่งมีจุดประสงค์ในการผนวกการบริหารจัดการความเสี่ยงไว้ในวัฒนธรรมของกลุ่มไทยออยล์ โดยความก้าวหน้าในการบรรเทาความเสี่ยงที่สำคัญจะเชื่อมโยงสิ่งแรงจูงใจทางการเงินสำหรับแต่ละหน่วยงานและบริษัทย่อย และเชื่อมโยงโดยตรงกับผลการปฏิบัติงานของแต่ละบุคคล
การรวมเกณฑ์ความเสี่ยงในการพัฒนาผลิตภัณฑ์และบริการ
กลุ่มไทยออยล์ได้รวมเกณฑ์ความเสี่ยงไว้ในกระบวนการพัฒนาและอนุมัติผลิตภัณฑ์ โดยกำหนดให้ทุกการลงทุนต้องผ่านขั้นตอนการประเมินความเสี่ยงที่ครอบคลุมถึงความเสี่ยงที่องค์กรกำหนดไว้ ในขั้นตอนเริ่มแรกของการวางแผนการลงทุน จะมีการประเมินความเสี่ยงเบื้องต้น ต่อจากนั้น การวิเคราะห์การลงทุนจะรวมถึงการทบทวนการประเมินความเสี่ยงโดยใช้รายการตรวจสอบ (Checklist) ความเสี่ยงที่สำคัญในแต่ละหมวดหมู่ ตัวอย่างเช่น ความผันผวนของราคา การลดลงของอัตรากำไร ความเสี่ยงด้านเทคโนโลยี การเปลี่ยนแปลงขอบเขตของโครงการ ความพร้อมของคู่ค้า ทักษะความสามารถของพนักงาน การเปลี่ยนแปลงทางกฎหมายและข้อบังคับ คู่ค้าที่มีศักยภาพ หนี้สิน ความตึงเครียดทางสังคม เงินทุน ประเด็นด้าน ESG และกลยุทธ์ เป็นต้น
การประเมินความเสี่ยงอาจถูกส่งต่อให้กับคณะกรรมการบริหารความเสี่ยงเพื่อการพิจารณา ขึ้นอยู่กับมูลค่าของโครงการ โดยในระหว่างขั้นตอนการบริหารโครงการ จะมีการระบุความเสี่ยงที่สำคัญพร้อมกับมาตรการบรรเทาความเสี่ยงที่กำหนดไว้ และท้ายที่สุด ในระหว่างขั้นตอนการดำเนินงาน จะมีการวิเคราะห์ย้อนหลังเพื่อทบทวนผลการดำเนินงาน รวมถึงความเสี่ยง
บัญชีรายการความเสี่ยงขององค์กร
กลุ่มไทยออยล์ได้แสดงให้เห็นถึงองค์ประกอบสองประการของบัญชีรายการความเสี่ยง ซึ่งรวมถึงคำอธิบายความเสี่ยงโดยละเอียด สำหรับการประเมินความเป็นไปได้และผลกระทบ ตลอดจนมาตรการบรรเทาความเสี่ยงที่สอดคล้องกัน
ความเสี่ยงใหม่ที่อาจเกิดขึ้นในอนาคต
การเปลี่ยนแปลงของปัจจัยทางการเมือง เศรษฐกิจ สังคม สิ่งแวดล้อม กฎหมาย และเทคโนโลยี สามารถส่งผลกระทบอย่างมีนัยสำคัญต่อการดำเนินธุรกิจ และก่อให้เกิดความเสี่ยงใหม่ที่อาจเกิดขึ้นสำหรับองค์กรในอนาคต
