นโยบายการบริหารความเสี่ยง

 

นโยบายการบริหารความเสี่ยง
Risk Management Policy

 

 

นโยบายการบริหารความเสี่ยง

Risk Management Policy

 

นโยบายการบริหารความเสี่ยง
Risk Management Policy

      บริษัท บิ๊ค คอร์ปอเรชั่น จำกัด และบริษัทฯ ในเครือ ให้ความสำคัญในการบริหารความเสี่ยงขององค์กร เพื่อความชัดเจนครอบคลุมถึงการบริหารจัดการองค์กรในภาพรวมที่ดี ตามแนวทางการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ให้มีประสิทธิภาพ และประสิทธิผล และมีการบริหารความเสี่ยงทั่วทั้งองค์กร โดยดำเนินการอย่างเป็นระบบและต่อเนื่อง ลดการสูญเสีย หรือสิ่งที่ไม่คาดหวังที่อาจเกิดขึ้น ช่วยเพิ่มโอกาสแห่งความสำเร็จ บรรลุวัตถุประสงค์และเป้าหมายที่กำหนดไว้ได้

วัตถุประสงค์

เพื่อกำหนดมาตรการ และแนวทางบริหารจัดการความเสี่ยงที่เหลืออยู่ให้อยู่ในระดับที่ยอมรับได้ขององค์กร โดยพิจารณาตามมาตรการที่ลดโอกาส และ/หรือ ผลกระทบจากความเสี่ยงที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ

1) เพื่อให้สามารถระบุความเสี่ยงและตอบสนองต่อวิกฤตการณ์ ที่ไม่คาดคิดโดยลดความสูญเสีย หรือความเสียหายต่อองค์กรได้ทันกาล

2) เพื่อให้ทุกส่วนงานมีหน้าที่ระบุ ประเมินและบริหารจัดการความเสี่ยงที่สำคัญอย่างสม่ำเสมอ รวมถึงกรณีที่มีเหตุการณ์ กิจกรรม กระบวนการ และ/หรือ โครงการที่สำคัญ หรือการเปลี่ยนแปลงที่มีสาระสำคัญภายในองค์กร โดยคำนึงถึงระดับความเสี่ยงที่ยอมรับได้ และสามารถปฏิบัติได้จริง ด้วยต้นทุนที่เหมาะสม

3) เพื่อให้มีการสื่อสารและการถ่ายทอดความรู้การบริหารความเสี่ยงให้พนักงานอย่างสม่ำเสมอ และพัฒนาพนักงานให้มีความเข้าใจ มีความตระหนักถึงความเสี่ยงที่มีในการปฏิบัติงานในหน่วยงานของตน และองค์กร ตลอดจนมีการบริหารความเสี่ยงร่วมกันภายใต้งานที่รับผิดชอบ

4) เพื่อเป็นการดำเนินการตามหลักการกำกับดูแลกิจการที่ดี และถ่วงดุลอำนาจ บริษัทได้กำหนดอำนาจหน้าที่ในการบริหารความเสี่ยงให้กับฝ่ายจัดการอย่างชัดเจน โดยมีหน่วยงานบริหารความเสี่ยงช่วยสนับสนุนการดำเนินงาน และติดตามดูแลให้ฝ่ายจัดการมีการดำเนินการตามนโยบายบริหารความเสี่ยงอย่างสม่ำเสมอ นอกจากนี้ ยังมีหน่วยงานตรวจสอบภายในช่วยให้ความเชื่อมั่นว่าการจัดการด้านความเสี่ยงเป็นไปอย่างมีประสิทธิภาพ


บริษัท บิ๊ค คอร์ปอเรชั่น จำกัด และบริษัทฯ ในเครือ ให้ความสำคัญในการบริหารความเสี่ยงขององค์กร เพื่อความชัดเจนครอบคลุมถึงการบริหารจัดการองค์กรในภาพรวมที่ดี ตามแนวทางการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ให้มีประสิทธิภาพ และประสิทธิผล และมีการบริหารความเสี่ยงทั่วทั้งองค์กร โดยดำเนินการอย่างเป็นระบบและต่อเนื่อง ลดการสูญเสีย หรือสิ่งที่ไม่คาดหวังที่อาจเกิดขึ้น ช่วยเพิ่มโอกาสแห่งความสำเร็จ บรรลุวัตถุประสงค์ และเป้าหมายที่กำหนดไว้ได้


บริษัท บิ๊ค คอร์ปอเรชั่น จำกัด และบริษัทฯ ในเครือ ให้ความสำคัญในการบริหารความเสี่ยงขององค์กร เพื่อความชัดเจนครอบคลุมถึงการบริหารจัดการองค์กรในภาพรวมที่ดี ตามแนวทางการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ให้มีประสิทธิภาพ และประสิทธิผล และมีการบริหารความเสี่ยงทั่วทั้งองค์กร โดยดำเนินการอย่างเป็นระบบและต่อเนื่อง ลดการสูญเสีย หรือสิ่งที่ไม่คาดหวังที่อาจเกิดขึ้น ช่วยเพิ่มโอกาสแห่งความสำเร็จ บรรลุวัตถุประสงค์
และเป้าหมายที่กำหนดไว้ได้

บริษัท บิ๊ค คอร์ปอเรชั่น จำกัด และบริษัทฯ ในเครือ ให้ความสำคัญในการบริหารความเสี่ยงขององค์กร เพื่อความชัดเจนครอบคลุมถึงการบริหารจัดการองค์กรในภาพรวมที่ดี
ตามแนวทางการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ให้มีประสิทธิภาพ
และประสิทธิผล และมีการบริหารความเสี่ยงทั่วทั้งองค์กร โดยดำเนินการอย่างเป็นระบบและ
ต่อเนื่อง ลดการสูญเสีย หรือสิ่งที่ไม่คาดหวังที่อาจเกิดขึ้น ช่วยเพิ่มโอกาสแห่งความสำเร็จ
บรรลุวัตถุประสงค์ และเป้าหมายที่กำหนดไว้ได้

ขอบเขต

นโยบายฉบับนี้ให้มีผลบังคับใช้กับทุกการดำเนินงานภายในบริษัทฯ รวมถึงกรรมการ ผู้บริหาร และพนักงานทุกคนของบริษัทฯ

   

หลักเกณฑ์การบริหารความเสี่ยง

การบริหารความเสี่ยงระดับองค์กร หมายถึงกระบวนการที่บุคคลากรทั่วทั้งองค์กรได้มีส่วนร่วมในการคิด วิเคราะห์ และคาดการณ์ถึงเหตุการณ์ หรือความเสี่ยงที่อาจจะเกิดขึ้น รวมทั้งการระบุแนวทางในการจัดการกับความเสี่ยงดังกล่าว ให้อยู่ในระดับที่เหมาะสมหรือยอมรับได้ เพื่อช่วยให้องค์กรบรรลุในวัตถุประสงค์ที่ต้องการ ตามกรอบวิสัยทัศน์ และพันธกิจขององค์กร

    กรอบการบริหารความเสี่ยงองค์กรนั้น สามารถสะท้อนให้เห็นถึงนโยบายการบริหารจัดการ และการกำกับดูแลกิจการของแต่ละองค์กร โดยหากองค์กรมีการบริหารความเสี่ยงอย่างมีประสิทธิภาพ จะส่งผลให้สามารถบรรลุวัตถุประสงค์องค์กร ทั้งในเชิงประสิทธิภาพและประสิทธิผลของงาน  

    การบริหารความเสี่ยงตามมาตรฐาน COSO ประกอบด้วยองค์ประกอบ 8 ประการ ซึ่งครอบคลุมแนวทางการกำหนดนโยบายการบริหาร การดำเนินงาน และการบริหารความเสี่ยง ดังนี้

  •  สภาพแวดล้อมภายในองค์กร (Internal Environment) สภาพแวดล้อมขององค์กรเป็นองค์ประกอบที่สำคัญในการกำหนดกรอบการบริหารความเสี่ยงและเป็นพื้นฐานสำคัญในการกำหนดทิศทางของกรอบการบริหารความเสี่ยงขององค์กร ประกอบด้วยหลายประการ เช่น วัฒนธรรมองค์กร นโยบายของผู้บริหาร แนวทางการปฏิบัติของบุคลากร กระบวนการทำงาน ระบบสารสนเทศ เป็นต้น
  •  การกำหนดวัตถุประสงค์ (Objective Setting) องค์กรจะต้องพิจารณาการกำหนดวัตถุประสงค์ในการบริหารความเสี่ยงให้มีความสอดคล้องกับเป้าหมายเชิงกลยุทธ์และความเสี่ยงที่องค์กรยอมรับได้เพื่อวางเป้าหมายในการบริหารความเสี่ยงขององค์กรได้อย่างชัดเจนและเหมาะสม
  •  การระบุความเสี่ยง (Risk Identification) เป็นการรวบรวมเหตุการณ์ที่อาจเกิดขึ้นกับหน่วยงาน ทั้งปัจจัยเสี่ยงที่เกิดขึ้นจากปัจจัยภายในและปัจจัยภายนอกองค์กร และเมื่อเกิดขึ้นแล้วส่งผลให้องค์กรไม่บรรลุวัตถุประสงค์หรือเป้าหมาย เช่น นโยบายการบริหารงาน บุคลากร การปฏิบัติงาน การเงิน ระบบสารสนเทศ ระเบียบข้อบังคับ เป็นต้น ทั้งนี้เพื่อทำความเข้าใจต่อเหตุการณ์และสถานการณ์นั้น และเพื่อให้ผู้บริหารสามารถพิจารณากำหนดแนวทางและนโยบายในการจัดการกับความเสี่ยงที่อาจจะเกิดขึ้นได้เป็นอย่างดี
  •  การประเมินความเสี่ยง (Risk Assessment) การประเมินความเสี่ยง เป็นการวัดระดับความรุนแรงของความเสี่ยงเพื่อพิจารณาจัดลำดับความสำคัญของความเสี่ยงที่มีอยู่โดยการประเมินจากโอกาสที่จะเกิด (Likelihood) และผลกระทบ (Impact)
  •  กิจกรรมควบคุม (Control Activities) การกำหนดกิจกรรมและการปฏิบัติต่างๆ เพื่อช่วยลดหรือควบคุมความเสี่ยงเพื่อสร้างความมั่นใจจะสามารถจัดการกับความเสี่ยงนั้นได้อย่างถูกต้องและทำให้การดำเนินงานบรรลุวัตถุประสงค์และเป้าหมายขององค์กร ป้องกันและลดระดับความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้
  •  สารสนเทศและการสื่อสาร (Information and Communication) องค์กรจะต้องมีระบบสารสนเทศและการติดต่อสื่อสารที่มีประสิทธิภาพ เพราะเป็นพื้นฐานสำคัญที่จะนำไปพิจารณาดำเนินการบริหารความเสี่ยงต่อไปตามกรอบขั้นตอนการปฏิบัติที่องค์กรกำหนด
  •  การติดตามประเมินผล (Monitoring) องค์กรจะต้องมีการติดตามผลเพื่อให้ทราบถึงผลการดำเนินงานว่าเหมาะสมและสามารถจัดการความเสี่ยงได้อย่างมีประสิทธิภาพหรือไม่

แนวปฏิบัติในการบริหารความเสี่ยง

  •  การนำการบริหารความเสี่ยงมาใช้เป็นเครื่องมือทางกลยุทธ์ เพื่อช่วยสนับสนุนการบรรลุวัตถุประสงค์ขององค์การ
  •  การทำให้การบริหารความเสี่ยงมีความสอดคล้องและรวมอยู่ในกระบวนการดำเนินงานที่มีอยู่ในปัจจุบันขององค์กร ทั้งนี้รวมถึงกำหนดให้การบริหารความเสี่ยงเป็นขั้นตอนหนึ่งในการจัดทำแผนธุรกิจ การกำหนดงบประมาณ การตัดสินใจลงทุนและการบริหารโครงการ
  •  การบริหารความเสี่ยงที่ครอบคลุมถึงความเสี่ยงเกี่ยวกับการปฏิบัติงานในภาพรวมและความเสี่ยงเชิงกลยุทธ์ นอกจากนี้องค์กรควรเพิ่มความสนใจต่อความเสี่ยงทั้งที่เป็นความเสียหาย ความไม่แน่นอน การเสียโอกาส ซึ่งต่างจาการบริหารความเสี่ยงแบบเดิมที่เน้นเฉพาะความเสี่ยงที่เกี่ยวกับการปฏิบัติตามกฎระเบียบเท่านั้น
  •  กรรมการผู้จัดการและผู้บริหารระดับสูงต้องสนับสนุนและเน้นถึงประโยชน์ที่จะได้รับจากการบริหารความเสี่ยง รวมทั้งแสดงความรับผิดชอบและมีส่วนร่วมในการบริหารความเสี่ยง
  •  การใช้คำนิยามเกี่ยวกับความเสี่ยงที่เป็นที่เข้าใจ และใช้ร่วมกันในองค์กร
  •  การมีกระบวนการในการบ่งชี้ วิเคราะห์ จัดการ ติดตาม และรายงานความเสี่ยงอย่างต่อเนื่องสม่ำเสมอและปฏิบัติทั่วทั้งองค์กร
  •  องค์กรต้องมีความมุ่งมั่นและพยายามอย่างจริงจัง ในการบ่งชี้และบริหารความเปลี่ยนแปลงที่เกิดจากการนำการบริหารความเสี่ยงเข้ามาปรับใช้ภายในองค์กร
  •  มีการสื่อสารให้ข้อมูลเกี่ยวกับความเสี่ยงอย่างสม่ำเสมอ โดยเน้นให้เห็นถึงความสำคัญของการบริหารความเสี่ยง ประเด็นความเสี่ยงที่ควรต้องได้รับการจัดการทันทีและการปรับปรุงแผนการดำเนินการที่จำเป็น
  •  การวัดผลความเสี่ยงทั้งในเชิงคุณภาพ เช่น ชื่อเสียง การขาดบุคลากรหลักในการดำเนินงาน และเชิงประมาณ เช่น ผลขาดทุน มูลค่ารายได้ หรือค่าใช้จ่ายที่อาจเพิ่มขึ้นหรือลดลง โดยพิจารณาจากสองประเด็น คือ โอกาสที่อาจเกิดขึ้น และผลกระทบ
  •  การจัดให้มีการฝึกอบรมและใช้กลไกการบริหารทรัพยากรบุคคล เพื่อเผยแพร่ข้อมูลต่างๆ เกี่ยวกับการบริหารความเสี่ยง ความรับผิดชอบของแต่ละบุคคล และเพื่อส่งเสริมให้เกิดการปฏิบัติที่เหมาะสม
  •  การจัดให้มีหน่วยงานหรือผู้รับผิดชอบในการบริหารความเสี่ยง เพื่อทำหน้าที่ช่วยเหลือในการดำเนินการ การสนับสนุนการนำการบริหารความเสี่ยงมาปฏิบัติและการพัฒนาความสามารถในการบริหารความเสี่ยงของพนักงาน แต่ไม่มีหน้าที่โดยตรงในการประเมินและจัดการความเสี่ยงที่เกิดขึ้น
  •  ผู้ตรวจสอบภายในมีบทบาทสำคัญในการทำให้มั่นใจได้ว่าองค์การ มีการควบคุมภายในที่มีประสิทธิภาพและประสิทธิผลในการจัดการความเสี่ยง และในกรณีที่จำเป็นผู้ตรวจสอบภายในควรเสนอแนะประเด็นที่ควรได้รับการปรับปรุงแต่ผู้ตรวจสอบภายในไม่มีบทบาทโดยตรงต่อการเป็นผู้นำในการพัฒนากรอบการบริหารความเสี่ยง

โครงสร้างการบริหารความเสี่ยง

 

บทบาทและความรับผิดชอบของบุคลากรที่เกี่ยวข้องในการบริหารความเสี่ยง

   การบริหารความเสี่ยงเป็นงานที่ต้องปฏิบัติอย่างต่อเนื่อง และเป็นส่วนหนึ่งของงานประจำวัน บทบาทและความรับผิดชอบของผู้บริหารและพนักงานแต่ละระดับมีรายละเอียดดังนี้

1) คณะกรรมการบริษัท และ/หรือ คณะกรรมการบริหาร

  • อนุมัตินโยบายการบริหารความเสี่ยงและนโยบายต่อต้านการทุจริตคอร์รัปชั่น และระดับความเสี่ยงที่บริษัทยอมรับได้
  •  กำกับดูแลการบริหารความเสี่ยงเพื่อให้มั่นใจว่านโยบายการบริหารความเสี่ยงได้รับการนำไปปฏิบัติอย่างมีประสิทธิภาพและต่อเนื่อง
  •  ติดตามความเสี่ยงที่สำคัญของบริษัทเพื่อให้มั่นใจว่าความเสี่ยงได้รับการจัดการให้อยู่ในระดับที่บริษัทยอมรับได้
  • พิจารณาความเสี่ยงโดยรวมของบริษัท และเปรียบเทียบกับระดับความเสี่ยงที่บริษัทสามารถยอมรับได้
  • รับรายงานจากคณะกรรมการบริหารความเสี่ยงเกี่ยวกับการทำนโยบายการบริหารความเสี่ยง

2) คณะกรรมการบริหารความเสี่ยง

  • นำเสนอคณะกรรมการบริษัทในการกำหนดนโยบายการบริหารความเสี่ยงและระดับความเสี่ยงที่สามารถยอมรับได้
  • ประเมินความเสี่ยงจากการทุจริตคอร์รัปชัน ซึ่งบริษัทฯ ให้ความสำคัญต่อการดำเนินการและเพื่อให้ความชัดเจนในการปฏิบัติ การกำหนดมาตรการป้องกันและลดความเสี่ยงที่มีประสิทธิภาพรวมถึงติดตามประเมินผล และรายงานผล
  • สอบทานรายงานการบริหารความเสี่ยง และดำเนินการเพื่อให้มั่นใจได้ว่าการจัดการความเสี่ยงมีความเพียงพอเหมาะสม สามารถจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้และการบริหารความเสี่ยงได้ถูกนำไปปฏิบัติอย่างต่อเนื่อง
  • ประสานงานร่วมกับคณะกรรมการตรวจสอบอย่างสม่ำเสมอโดยการแลกเปลี่ยนความรู้และข้อมูลเกี่ยวกับความเสี่ยง และการควบคุมภายในที่มีผลกระทบหรืออาจมีผลกระทบต่อบริษัท
  • ปฏิบัติการอื่นใดเกี่ยวกับการบริหารความเสี่ยงที่คณะกรรมการบริษัทมอบหมาย
  • ประชุมคณะกรรมการบริหารความเสี่ยง อย่างน้อยปีละ 2 ครั้ง ทั้งนี้ขึ้นอยู่กับการเปลี่ยนแปลงที่สำคัญของบริษัท เช่น การขยายตลาดไปสู่ประเทศเพื่อนบ้าน, การจัดตั้งบริษัทย่อยเพิ่มเติม เป็นต้น

3) คณะทำงานบริหารความเสี่ยง

  • นำเสนอกลยุทธ์และแผนธุรกิจต่อกรรมการผู้จัดการ พร้อมทั้งระบุความเสี่ยงที่สำคัญที่อาจมีผลต่อกลยุทธ์และแผนธุรกิจรวมถึงความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชั่น
  • นำนโยบายและกรอบการบริหารความเสี่ยงที่ได้รับการอนุมัติจากคณะกรรมการบริษัทไปพัฒนาให้เกิดการปฏิบัติในสายการบังคับบัญชาที่ตนรับผิดชอบ
  • สนับสนุนคณะกรรมการบริหาร ในการปฏิบัติตามหน้าที่และความรับผิดชอบที่ได้รับมอบหมาย
  • สอบทานความเสี่ยงและการจัดการความเสี่ยงภายใต้สายการบังคับบัญชาที่ตนรับผิดชอบ
  • สนับสนุนให้เกิดมีวัฒนธรรมการบริหารความเสี่ยงและการควบคุมภายในที่เหมาะสมภายในสายการบังคับบัญชาที่ตนรับผิดชอบ
  • ประสานงานร่วมกรรมการบริหารหรือฝ่ายงานอื่นๆ เพื่อแลกเปลี่ยนข้อมูลความเสี่ยงและหาวิธีการจัดการความเสี่ยงที่เกิดประโยชน์สูงสุดต่อบริษัท
  • ให้คำแนะนำทีมงานในฝ่ายงานที่รับผิดชอบ เกี่ยวกับปัญหาสำคัญที่เกิดขึ้นในกระบวนการบริหารความเสี่ยง
  • ประสานงานบริหารความเสี่ยงเพื่อให้การปฏิบัติเป็นไปในทางเดียวกันทั่วทั้งบริษัท
  • สนับสนุนการพัฒนากรอบการบริหารความเสี่ยง รวมถึงการนำไปปฏิบัติและการติดตามอย่างต่อเนื่อง
  • ประสานงานให้มีการจัดทำ และปรับปรุงความเสี่ยงของบริษัทให้เป็นปัจจุบัน
  • ประสานงานให้มีการฝึกอบรมเรื่องการบริหารความเสี่ยง
  • ดูแลให้การติดต่อสื่อสารเกี่ยวกับความเสี่ยงมีประสิทธิผลอย่างต่อเนื่อง

4) กรรมการผู้จัดการ

  • นำเสนอกลยุทธ์และแผนธุรกิจต่อกรรมการบริษัท พร้อมทั้งระบุความเสี่ยงที่สำคัญที่อาจมีผลต่อกลยุทธ์และแผนธุรกิจรวมถึงความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชั่น
  • นำนโยบายและกรอบการบริหารความเสี่ยงที่ได้รับการอนุมัติจากคณะกรรมการบริษัทแล้วไปพัฒนาให้เกิดการปฏิบัติทั่วทั้งบริษัท
  • ดำเนินการเพื่อให้มั่นใจได้ว่ากลยุทธ์ทางธุรกิจสามารถบรรลุได้ภายใต้นโยบายความเสี่ยงที่ได้รับการอนุมัติจากคณะกรรมการบริษัท
  • ดำเนินการเพื่อให้มั่นใจว่าการบริหารความเสี่ยงได้รับการนำไปปฏิบัติอย่างต่อเนื่องทั่วทั้งบริษัท
  • สนับสนุนให้เกิดมีวัฒนธรรมการบริหารความเสี่ยงและการควบคุมภายในที่เหมาะสม

5) ผู้ประสานงานความเสี่ยง

  • ประสานงานการบ่งชี้และจัดการความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชันอย่างเหมาะสมภายในหน่วยงานที่รับผิดชอบ
  • ให้ข้อแนะนำแก่ฝ่ายงานต่างๆ เกี่ยวกับเทคนิคบริหารความเสี่ยง
  • อาจทำหน้าที่เป็นผู้ประสานงานความเสี่ยง (Facilitator) ในการประชุมเชิงปฏิบัติการการบริหารความเสี่ยงในกรณีที่ได้รับการร้องขอ
  • รวบรวมและวิเคราะห์ความเสี่ยงของฝ่ายงานที่รับผิดชอบ และฝ่ายงานในคณะทำงานบริหารความเสี่ยง นำเสนอต่อกรรมการผู้จัดการและคณะกรรมการบริหารความเสี่ยง
  • ประสานงานกับคณะทำงานบริหารความเสี่ยงและดำเนินการเพื่อให้มั่นใจว่าความเสี่ยงที่เกี่ยวข้องกับหน่วยงานอื่นๆ ได้รับการจัดการอย่างเหมาะสม
  • ติดตามความคืบหน้าของแผนปฏิบัติการในการจัดการความเสี่ยงในหน่วยงานที่รับผิดชอบและฝ่ายงานในคณะทำงานบริหารความเสี่ยงเพื่อรายงานต่อกรรมการผู้จัดการและคณะกรรมการบริหารความเสี่ยงอย่างสม่ำเสมอ

6) ผู้บริหารและพนักงานทุกคน

  • ดำเนินการบ่งชี้และจัดการความเสี่ยงเป็นส่วนหนึ่งของการปฏิบัติงานประจำและมีความต่อเนื่องเป็นไปตามกรอบการบริหารความเสี่ยงของบริษัท
  • ติดตามการจัดการความเสี่ยงที่เกี่ยวข้องกับงานที่รับผิดชอบอย่างสม่ำเสมอ
  • รายงานความเสี่ยงที่สำคัญ และปัญหาที่เกิดขึ้นในการบริหารความเสี่ยงให้ผู้บังคับบัญชาทราบตามลำดับขั้นในเวลาที่เหมาะสม

7) คณะกรรมการตรวจสอบ

  • ดำเนินการเพื่อให้มั่นใจได้ว่ามีระบบการควบคุมภายในที่เหมาะสมเพื่อจัดการกับความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชันของบริษัท
  • ดำเนินการสอบทานที่เป็นอิสระเพื่อให้มั่นใจว่าการบริหารความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชันมีการปฏิบัติอย่างมีประสิทธิภาพมีการปรับปรุงแก้ไขให้เหมาะสมอยู่เสมอ
  • ประสานงานกับคณะกรรมการบริหารความเสี่ยง เพื่อรับทราบข้อมูลเกี่ยวกับความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชัน และการควบคุมภายในที่มีผลกระทบหรืออาจมีผลกระทบต่อบริษัท และมอบหมายให้หน่วยงานตรวจสอบภายในวางแผนและตรวจสอบความเสี่ยงดังกล่าว
  • ชี้แจงประสิทธิภาพของการควบคุมภายใน และการบริหารความเสี่ยงที่สำคัญให้คณะกรรมการบริษัทพิจารณา

8) หน่วยงานตรวจสอบภายใน

  • ให้การสนับสนุนคณะกรรมการบริษัท คณะกรรมการตรวจสอบ และผู้บริหารระดับสูง ในการปฏิบัติหน้าที่สอบทานกระบวนการบริหารความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชัน และการควบคุมภายใน และให้ข้อเสนอแนะเพื่อปรับปรุงกระบวนการบริหารความเสี่ยงให้มีความเพียงพอและมีประสิทธิผล
  • ดำเนินการสอบทานเพื่อให้มั่นใจได้ว่าการควบคุมภายในได้ปฏิบัติอย่างเหมาะสม เพื่อจัดการความเสี่ยงของบริษัท
  • นำข้อมูลความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชัน จากกระบวนการบริหารความเสี่ยงรวมทั้งการบ่งชี้ประเด็นที่คณะกรรมการ และผู้บริหารระดับสูงให้ความสำคัญไปใช้วางแผนงานการตรวจสอบตามความเสี่ยง
  • ประสานงานร่วมกับคณะทำงานบริหารความเสี่ยงเพื่อการแลกเปลี่ยนความรู้และข้อมูลความเสี่ยงที่มีผลกระทบหรืออาจมีผลกระทบต่อบริษั

ประเภทความเสี่ยง 6 ประเภท

ความเสี่ยงด้านกลยุทธ์ (Strategic Risk: S) หมายถึง ความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ และการปฏิบัติตามแผนกลยุทธ์อย่างไม่เหมาะสม รวมถึงความไม่สอดคล้องกันระหว่างนโยบาย เป้าหมายกลยุทธ์ โครงสร้างองค์กร ภาวการณ์แข่งขัน ทรัพยากรและสภาพแวดล้อมอันส่งผลกระทบต่อวัตถุประสงค์หรือเป้าหมายองค์กร

ความเสี่ยงด้านการดำเนิน (Operational Risk: O) หมายถึง ความเสี่ยงที่เกิดจากการปฏิบัติงานทุกๆ ขั้นตอน อันเนื่องมาจากขาดการกำกับดูแลที่ดีหรือขาดการควบคุมภายในที่ดีโดยครอบคลุมถึงปัจจัยที่เกี่ยวข้องกับกระบวนการ / อุปกรณ์ / เทคโนโลยีสารสนเทศ / บุคลากรในการปฏิบัติงานและความปลอดภัยของทรัพย์สิน

ความเสี่ยงด้านการเงิน (Financial Risk: F) หมายถึง ความเสี่ยงเกี่ยวกับสภาพคล่องทางการเงิน การบริหารทางการเงินและงบการเงิน เช่น ความเสี่ยงจากการจัดสรรงบประมาณไม่เหมาะสม ตั้งงบประมาณผิดพลาด และใช้งบประมาณเกิน รวมทั้งความเสี่ยงจากความผันผวนของปัจจัยทางการตลาด (Market Risk) และ ความเสี่ยงจากการที่คู่สัญญาไม่ปฏิบัติตามภาระผูกพัน (Credit Risk)

ความเสี่ยงด้าน กฎหมาย และข้อกาหนดผูกพันองค์กร (Compliance Risk: C) หมายถึง ความเสี่ยงจากการที่หน่วยงานต่างๆ ต้องปฏิบัติตามกฎหมายและข้อกำหนดผูกพันองค์กร เช่น ความเสี่ยงจาก การผิดสัญญาข้อผูกพัน ความเสี่ยงจากการขาดการรายงานตามกฎระเบียบ หรือการไม่ปฏิบัติตามกฎหมาย ระเบียบและข้อบังคับ

ความเสี่ยงด้าน IT (IT Risk: T) ความเสี่ยงจากการเปลี่ยนแปลงเทคโนโลยีดิจิทัล (Digital Transformation) เทคโนโลยีดิจิทัลเข้ามามีบทบาทอย่างมากในการดำเนินชีวิตประจาวันและการทำธุรกิจ เช่น การนำเทคโนโลยีดิจิทัลมาใช้ในการให้บริการขนส่ง การทำการตลาดและการจำหน่ายสินค้าออนไลน์ ซึ่งในระยะยาวการเปลี่ยนแปลงดังกล่าวเป็นความเสี่ยงที่อาจส่งผลต่อรูปแบบการดำเนินธุรกิจและช่องทางการจัดจำหน่ายแบบเดิมจนทำให้บริษัทฯ สูญเสียความสามารถในการแข่งขัน รวมทั้งอาจเป็นโอกาสในการสร้างธุรกิจใหม่ๆ ที่สร้างมูลค่าเพิ่มให้กับองค์กร ดังนั้นบริษัทฯ ได้กำหนดให้มีการติดตามและวิเคราะห์แนวโน้มการเปลี่ยนแปลงด้านเทคโนโลยีดิจิทัลเพื่อนำมาพัฒนาการทำงาน ปรับปรุงและสร้างสรรค์ธุรกิจใหม่ๆ เพื่อเพิ่มความสามารถในการแข่งขัน เช่น การค้นหาสิ่งที่จะตอบสนองความต้องการของลูกค้าและเพิ่มประสิทธิภาพการทำงานจากการใช้เทคโนโลยีดิจิทัล การประหยัดพลังงาน การจัดการสินค้าและการขนส่ง เป็นต้น

ความเสี่ยงด้าน ทุจริต (Fraud Risk: F) ความเสี่ยงของการดำเนินงานที่อาจก่อให้เกิดการทุจริตการขัดกันระหว่างผลประโยชน์ส่วนตนกับผลประโยชน์ส่วนรวม หรือการรับสินบน

นโยบายการบริหารความเสี่ยง

  1. บริษัทฯ ได้จัดตั้งคณะกรรมการบริหารความเสี่ยงระดับองค์กร มีประธานเจ้าหน้าที่บริหารสายงาน โดยคณะกรรมการฯ จะเป็นผู้กำหนดแนวทางในการบริหารความเสี่ยง ระบุปัจจัยเสี่ยง ประเมินความเสี่ยง จัดทำแผนบริหารความเสี่ยง รายงานผลการบริหารความเสี่ยง การติดตามและประเมินผลการบริหารความเสี่ยงเสนอต่อคณะกรรมการบริหาร
  2. บริษัทฯ ได้มอบหมายให้พนักงานทุกคนมีบทบาทหน้าที่ความรับผิดชอบร่วมกัน และกำหนดอำนาจการดำเนินงานในระดับบริหารและระดับปฏิบัติการทุกระดับไว้อย่างชัดเจน โดยให้การบริหารความเสี่ยงเป็นความรับผิดชอบของพนักงานในทุกระดับชั้น เพื่อให้พนักงานตระหนักถึงความเสี่ยงที่มีในการปฏิบัติงานในหน่วยงานของตนเองและองค์กร โดยให้ความสำคัญในการบริหารความเสี่ยงด้านต่างๆ ให้อยู่ในระดับที่ยอมรับได้และเหมาะสม
  3. บริษัทฯ มีการวางแผนบริหารความเสี่ยงโดยกำหนดความเสี่ยงแยกตามแต่ละระบบงาน และวางแนวทางป้องกันและบรรเทาความเสี่ยงจากการดำเนินงาน เพื่อหลีกเลี่ยงความเสียหาย หรือความสูญเสียที่อาจจะเกิดขึ้น รวมถึงการติดตามและประเมินผลการบริหารความเสี่ยงอย่างสม่ำเสมอ
  4. บริษัท มีการสอบทานผลการปฏิบัติงานอย่างสม่ำเสมอ เพื่อพิจารณาว่าองค์กรมีการบริหารความเสี่ยงที่มีประสิทธิผลเพียงใด และมีการทบทวนการบริหารความเสี่ยงเพื่อปรับปรุงอย่างต่อเนื่อง
  5. บริษัทมีระบบสารสนเทศที่ส่งเสริมในการบริหารความเสี่ยงสามารถดำเนินไปอย่างมีประสิทธิภาพ ซึ่งระบบดังกล่าวจะช่วยสนับสนุนข้อมูลความเสี่ยง ข้อมูลปฏิบัติงาน และการจัดทำรายงานผลการบริหารความเสี่ยง เพื่อให้มีการสื่อสารผลการบริหารความเสี่ยงต่อผู้มีส่วนได้เสียอย่างต่อเนื่องและเหมาะสม

แนวทางในการจัดการความเสี่ยง (4T) 

เป็นการดำเนินการที่จะต้องคำนึงถึงความเสี่ยงที่ยอมรับได้ และต้นทุนที่เกิดขึ้น และเปรียบเทียบกับผลประโยชน์ที่จะได้รับเพื่อการบริหารความเสี่ยงมีประสิทธิผล  ลดความสูญเสียหรือโอกาสที่จะเกิดผลกระทบ โดยพิจารณาตามแนวทางดังนี้

  • Terminate เป็นการหยุด/ยกเลิกกิจกรรมที่ก่อให้เกิดความเสี่ยง มักใช้ในกรณีที่ความเสี่ยงมีความรุนแรงสูง ไม่ สามารถหาวิธีลด/จัดการให้อยู่ในระดับที่ยอมรับได้

  • Take เป็นการยอมรับความเสี่ยงที่มีอยู่โดยไม่ดำเนินการใด ๆ มักใช้กับความเสี่ยงที่ต้นทุนของมาตรการ จัดการสูงไม่คุ้มกับประโยชน์ที่ได้รับ

  • Treat เป็นการจัดหามาตรการจัดการ เพื่อลดโอกาสการเกิดเหตุการณ์ความเสี่ยง หรือผลกระทบที่อาจเกิดขึ้น เช่น การเตรียมแผนฉุกเฉิน (Contingency plan)

  • Transfer เป็นการถ่ายโอนความเสี่ยงทั้งหมดหรือบางส่วนไปยังบุคคล/หน่วยงานภายนอกองค์กร ให้ช่วยแบกรับ ความเสี่ยงแทน เช่น การซื้อกรมธรรม์ประกันภัย

การติดตามผลและทบทวน (Monitoring and Review)

หน่วยงานบริหารความเสี่ยงจะประสานงานให้ฝ่ายจัดการที่รับผิดชอบความเสี่ยงรายงานสถานะความเสี่ยง รวมถึงกระบวนการความเสี่ยงให้ที่ประชุมผู้บริหาร คณะกรรมการบริหารความเสี่ยง คณะกรรมการตรวจสอบ และ คณะกรรมการบริษัทฯ เพื่อทราบ/พิจารณาต่อไป ฝ่ายจัดการควรวิเคราะห์/ติดตามการเปลี่ยนแปลงของสภาพแวดล้อมทั้งภายในและภายนอกรวมถึงการเปลี่ยนแปลงในความเสี่ยงที่อาจเกิดขึ้น ซึ่งอาจส่งผลให้ต้องมีการทบทวนจัดการความเสี่ยงและการจัดลำดับความสำคัญ รวมถึงอาจนำไปใช้ในการทบทวนกรอบการบริหารความเสี่ยงโดยรวม

วัตถุประสงค์

เพื่อกำหนดมาตรการ และแนวทางบริหารจัดการความเสี่ยงที่เหลืออยู่ให้อยู่ในระดับที่ยอมรับได้ขององค์กร โดยพิจารณาตามมาตรการที่ลดโอกาส และ/หรือ ผลกระทบจากความเสี่ยงที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ

1) เพื่อให้สามารถระบุความเสี่ยงและตอบสนองต่อวิกฤตการณ์ ที่ไม่คาดคิดโดยลดความสูญเสีย
หรือความเสียหายต่อองค์กรได้ทันกาล

2) เพื่อให้ทุกส่วนงานมีหน้าที่ระบุ ประเมินและบริหารจัดการความเสี่ยงที่สำคัญอย่างสม่ำเสมอ รวมถึงกรณีที่มีเหตุการณ์ กิจกรรม กระบวนการ และ/หรือ โครงการที่สำคัญ หรือการเปลี่ยนแปลงที่มีสาระสำคัญภายในองค์กร โดยคำนึงถึงระดับความเสี่ยงที่ยอมรับได้ และสามารถ
ปฏิบัติได้จริง ด้วยต้นทุนที่เหมาะสม

3) เพื่อให้มีการสื่อสารและการถ่ายทอดความรู้การบริหารความเสี่ยงให้พนักงานอย่างสม่ำเสมอ และพัฒนาพนักงานให้มีความเข้าใจ มีความตระหนัก ถึงความเสี่ยงที่มีในการปฏิบัติงานในหน่วยงาน
ของตน และองค์กร ตลอดจนมีการบริหารความเสี่ยงร่วมกันภายใต้งานที่รับผิดชอบ

4) เพื่อเป็นการดำเนินการตามหลักการกำกับดูแลกิจการที่ดี และถ่วงดุลอำนาจ บริษัทได้กำหนดอำนาจหน้าที่ในการบริหารความเสี่ยงให้กับฝ่ายจัดการ อย่างชัดเจน โดยมีหน่วยงานบริหารความเสี่ยงช่วยสนับสนุนการดำเนินงาน และติดตามดูแลให้ฝ่ายจัดการมีการดำเนินการตามนโยบาย บริหารความเสี่ยงอย่างสม่ำเสมอ นอกจากนี้ยังมีหน่วยงานตรวจสอบภายในช่วยให้ความเชื่อมั่นว่าการจัดการด้านความเสี่ยงเป็นไปอย่างมีประสิทธิภาพ

ขอบเขต

นโยบายฉบับนี้ให้มีผลบังคับใช้กับทุกการดำเนินงานภายในบริษัทฯ รวมถึงกรรมการ ผู้บริหาร และพนักงานทุกคนของบริษัทฯ   

หลักเกณฑ์การบริหารความเสี่ยง

การบริหารความเสี่ยงระดับองค์กร หมายถึงกระบวนการที่บุคคลากรทั่วทั้งองค์กรได้มีส่วนร่วมในการคิด วิเคราะห์ และคาดการณ์ถึงเหตุการณ์ หรือความเสี่ยงที่อาจจะเกิดขึ้น รวมทั้งการระบุแนวทางในการจัดการกับความเสี่ยงดังกล่าว ให้อยู่ในระดับที่เหมาะสมหรือยอมรับได้ เพื่อช่วยให้องค์กรบรรลุในวัตถุประสงค์ที่ต้องการ ตามกรอบวิสัยทัศน์ และพันธกิจขององค์กร

    กรอบการบริหารความเสี่ยงองค์กรนั้น สามารถสะท้อนให้เห็นถึงนโยบายการบริหารจัดการ และการกำกับดูแลกิจการของแต่ละองค์กร โดยหากองค์กรมีการบริหารความเสี่ยงอย่างมีประสิทธิภาพ จะส่งผลให้สามารถบรรลุวัตถุประสงค์องค์กร ทั้งในเชิงประสิทธิภาพและประสิทธิผลของงาน  

    การบริหารความเสี่ยงตามมาตรฐาน COSO ประกอบด้วยองค์ประกอบ 8 ประการ ซึ่งครอบคลุมแนวทางการกำหนดนโยบายการบริหาร การดำเนินงาน และการบริหารความเสี่ยง ดังนี้

  •  สภาพแวดล้อมภายในองค์กร (Internal Environment) สภาพแวดล้อมขององค์กรเป็น   องค์ประกอบที่สำคัญในการกำหนดกรอบการบริหารความเสี่ยงและเป็นพื้นฐานสำคัญในการ   กำหนดทิศทางของกรอบการบริหารความเสี่ยงขององค์กร ประกอบด้วยหลายประการ เช่น   วัฒนธรรมองค์กร นโยบายของผู้บริหาร แนวทางการปฏิบัติของบุคลากรกระบวนการทำงาน   ระบบสารสนเทศ เป็นต้น
  •  การกำหนดวัตถุประสงค์ (Objective Setting) องค์กรจะต้องพิจารณาการกำหนวัตถุประสงค์
     ในการบริหารความเสี่ยงให้มีความสอดคล้องกับเป้าหมายเชิงกลยุทธ์และความเสี่ยงที่องค์กร   ยอมรับได้เพื่อวางเป้าหมายในการบริหารความเสี่ยงขององค์กรได้ อย่างชัดเจนและเหมาะสม
  •  การระบุความเสี่ยง (Risk Identification) เป็นการรวบรวมเหตุการณ์ที่อาจเกิดขึ้นกับ
     หน่วยงาน ทั้งปัจจัยเสี่ยงที่เกิดขึ้นจากปัจจัยภายในและปัจจัยภายนอกองค์กร และเมื่อเกิดขึ้น   แล้วส่งผลให้องค์กรไม่บรรลุวัตถุประสงค์หรือเป้าหมาย เช่น นโยบายการบริหารงาน บุคลากร   การปฏิบัติ งาน การเงิน ระบบสารสนเทศ ระเบียบข้อบังคับ เป็นต้น ทั้งนี้เพื่อทำความเข้าใจ
     ต่อเหตุการณ์และสถานการณ์นั้น และเพื่อให้ผู้บริหาร สามารถพิจารณากำหนดแนวทางและ   นโยบายในการจัดการกับความเสี่ยงที่อาจจะเกิดขึ้นได้เป็นอย่างดี
  •  การประเมินความเสี่ยง (Risk Assessment) การประเมินความเสี่ยง เป็นการวัดระดับ
     ความรุนแรงของความเสี่ยงเพื่อพิจารณาจัดลำดับความสำคัญของความเสี่ยงที่มีอยู่โดย   
     การประเมินจากโอกาสที่จะเกิด (Likelihood) และผลกระทบ (Impact)
  •  กิจกรรมควบคุม (Control Activities) การกำหนดกิจกรรมและการปฏิบัติต่างๆ เพื่อช่วยลด   หรือควบคุมความเสี่ยงเพื่อสร้างความมั่นใจจะสามารถจัดการกับความเสี่ยงนั้น ได้อย่างถูกต้อง   และทำให้การดำเนินงานบรรลุวัตถุประสงค์และเป้าหมายขององค์กรป้องกันและลดระดับความ   เสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้
  •  สารสนเทศและการสื่อสาร (Information and Communication) องค์กรจะต้องมีระบบ   สารสนเทศและการติดต่อสื่อสารที่มีประสิทธิภาพ เพราะเป็นพื้นฐานสำคัญที่จะนำไป พิจารณา   ดำเนินการบริหารความเสี่ยงต่อไปตามกรอบขั้นตอนการปฏิบัติที่องค์กรกำหนด
  •  การติดตามประเมินผล (Monitoring) องค์กรจะต้องมีการติดตามผลเพื่อให้ทราบถึงผล   
     การดำเนินงานว่าเหมาะสมและสามารถจัดการความ เสี่ยงได้อย่างมีประสิทธิภาพหรือไม่

แนวปฏิบัติในการบริหารความเสี่ยง

  •  การนำการบริหารความเสี่ยงมาใช้เป็นเครื่องมือทางกลยุทธ์ เพื่อช่วยสนับสนุนการบรรลุ   วัตถุประสงค์ขององค์การ
  •  การทำให้การบริหารความเสี่ยงมีความสอดคล้องและรวมอยู่ในกระบวนการดำเนินงานที่มีอยู่ ใน   ปัจจุบันขององค์กร ทั้งนี้รวมถึงกำหนดให้การบริหารความเสี่ยงเป็นขั้นตอนหนึ่งในการจัดทำ   แผนธุรกิจ การกำหนดงบประมาณการตัดสินใจลงทุนและการบริหารโครงการ
  •  การบริหารความเสี่ยงที่ครอบคลุมถึงความเสี่ยงเกี่ยวกับการปฏิบัติงานในภาพรวมและความเสี่ยง
     เชิงกลยุทธ์ นอกจากนี้องค์กรควรเพิ่มความ สนใจต่อความเสี่ยงทั้งที่เป็นความเสียหายความ
     ไม่แน่นอน การเสียโอกาส ซึ่งต่างจาการบริหารความเสี่ยงแบบเดิมที่เน้นเฉพาะความเสี่ยงที่เกี่ยว   กับการปฏิบัติ ตามกฎระเบียบเท่านั้น
  •  กรรมการผู้จัดการและผู้บริหารระดับสูงต้องสนับสนุนและเน้นถึงประโยชน์ที่จะได้รับ
     จากการ บริหารความเสี่ยง รวมทั้งแสดงความรับผิดชอบ และมีส่วนร่วมในการบริหารความ   เสี่ยง
  •  การใช้คำนิยามเกี่ยวกับความเสี่ยงที่เป็นที่เข้าใจ และใช้ร่วมกันในองค์กร
  •  การมีกระบวนการในการบ่งชี้ วิเคราะห์ จัดการ ติดตาม และรายงานความเสี่ยงอย่างต่อเนื่อง   สม่ำเสมอและปฏิบัติทั่วทั้งองค์กร
  •  องค์กรต้องมีความมุ่งมั่นและพยายามอย่างจริงจัง ในการบ่งชี้และบริหารความเปลี่ยนแปลงที่   เกิดจากการนำการบริหารความเสี่ยงเข้ามาปรับใช้ภายในองค์กร
  •  มีการสื่อสารให้ข้อมูลเกี่ยวกับความเสี่ยงอย่างสม่ำเสมอ โดยเน้นให้เห็นถึงความสำคัญของ   การบริหารความเสี่ยง ประเด็นความเสี่ยง ที่ควรต้องได้รับการจัดการทันทีและการปรับปรุง   แผนการดำเนินการที่จำเป็น
  •  การวัดผลความเสี่ยงทั้งในเชิงคุณภาพ เช่น ชื่อเสียง การขาดบุคลากรหลักในการ
     ดำเนินงาน และเชิงประมาณ เช่น ผลขาดทุน มูลค่ารายได้ หรือ     ค่าใช้จ่ายที่อาจเพิ่มขึ้นหรือลดลง
     โดยพิจารณาจากสองประเด็น คือ โอกาสที่อาจเกิดขึ้น และผลกระทบ
  •  การจัดให้มีการฝึกอบรมและใช้กลไกการบริหารทรัพยากรบุคคล เพื่อเผยแพร่ข้อมูลต่างๆเกี่ยว 
     กับการบริหารความเสี่ยง ความรับผิดชอบของแต่ละบุคคล และเพื่อส่งเสริม ให้เกิดการปฏิบัติ
     ที่เหมาะสม
  •  การจัดให้มีหน่วยงานหรือผู้รับผิดชอบในการบริหารความเสี่ยง เพื่อทำหน้าที่ช่วยเหลือในการ   ดำเนินการ การสนับสนุนการนำการบริหารความเสี่ยงมาปฏิบัติและการพัฒนาความสามารถใน   การบริหารความเสี่ยงของพนักงาน แต่ไม่มีหน้าที่โดยตรงในการประเมินและจัดการความเสี่ยง
     ที่เกิดขึ้น
  •  ผู้ตรวจสอบภายในมีบทบาทสำคัญในการทำให้มั่นใจได้ว่าองค์การ มีการควบคุมภายในที่มี   ประสิทธิภาพและประสิทธิผลในการจัดการความเสี่ยง   และในกรณีที่จำเป็นผู้ตรวจสอบ   ภายในควรเสนอแนะประเด็นที่ควรได้รับการปรับปรุงแต่ผู้ตรวจสอบภายในไม่มีบทบาท
     โดยตรง ต่อการเป็นผู้นำในการพัฒนากรอบการบริหารความเสี่ยง

โครงสร้างการบริหารความเสี่ยง

 

บทบาทและความรับผิดชอบของบุคลากรที่เกี่ยวข้องในการบริหารความเสี่ยง

การบริหารความเสี่ยงเป็นงานที่ต้องปฏิบัติอย่างต่อเนื่อง และเป็นส่วนหนึ่งของงานประจำวัน บทบาทและความรับผิดชอบของผู้บริหารและพนักงานแต่ละระดับมีรายละเอียดดังนี้

1) คณะกรรมการบริษัท และ/หรือ คณะกรรมการบริหาร

  • อนุมัตินโยบายการบริหารความเสี่ยงและนโยบายต่อต้านการทุจริตคอร์รัปชั่น และระดับความเสี่ยง
    ที่บริษัทยอมรับได้
  • กำกับดูแลการบริหารความเสี่ยงเพื่อให้มั่นใจว่านโยบายการบริหารความเสี่ยงได้รับการนำไป
    ปฏิบัติอย่างมีประสิทธิภาพและต่อเนื่อง
  • ติดตามความเสี่ยงที่สำคัญของบริษัทเพื่อให้มั่นใจว่าความเสี่ยงได้รับการจัดการให้อยู่ในระดับที่
    บริษัทยอมรับได้
  • พิจารณาความเสี่ยงโดยรวมของบริษัท และเปรียบเทียบกับระดับความเสี่ยงที่บริษัทสามารถ  ยอมรับได้
  • รับรายงานจากคณะกรรมการบริหารความเสี่ยงเกี่ยวกับการทำนโยบายการบริหารความเสี่ยง

2) คณะกรรมการบริหารความเสี่ยง

  • นำเสนอคณะกรรมการบริษัทในการกำหนดนโยบายการบริหารความเสี่ยงและระดับความเสี่ยงที่สามารถยอมรับได้
  • ประเมินความเสี่ยงจากการทุจริตคอร์รัปชัน ซึ่งบริษัทฯ ให้ความสำคัญต่อการดำเนินการและเพื่อให้ความชัดเจนในการปฏิบัติ การกำหนดมาตรการป้องกันและลดความเสี่ยงที่มีประสิทธิภาพรวมถึงติดตามประเมินผล และรายงานผล
  • สอบทานรายงานการบริหารความเสี่ยง และดำเนินการเพื่อให้มั่นใจได้ว่าการจัดการความเสี่ยงมีความเพียงพอเหมาะสม สามารถจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้และการบริหารความเสี่ยงได้ถูกนำไปปฏิบัติอย่างต่อเนื่อง
  • ประสานงานร่วมกับคณะกรรมการตรวจสอบอย่างสม่ำเสมอโดยการแลกเปลี่ยนความรู้และข้อมูลเกี่ยวกับความเสี่ยง และการควบคุมภายในที่มีผลกระทบหรืออาจมีผลกระทบต่อบริษัท
  • ปฏิบัติการอื่นใดเกี่ยวกับการบริหารความเสี่ยงที่คณะกรรมการบริษัทมอบหมาย
  • ประชุมคณะกรรมการบริหารความเสี่ยง อย่างน้อยปีละ 2 ครั้ง ทั้งนี้ขึ้นอยู่กับการเปลี่ยนแปลงที่สำคัญของบริษัท เช่น การขยายตลาดไปสู่ประเทศเพื่อนบ้าน,การจัดตั้งบริษัทย่อยเพิ่มเติม เป็นต้น

3) คณะทำงานบริหารความเสี่ยง

  • นำเสนอกลยุทธ์และแผนธุรกิจต่อกรรมการผู้จัดการ พร้อมทั้งระบุความเสี่ยงที่สำคัญที่อาจมีผลต่อกลยุทธ์และแผนธุรกิจรวมถึงความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชั่น
  • นำนโยบายและกรอบการบริหารความเสี่ยงที่ได้รับการอนุมัติจากคณะกรรมการบริษัทไปพัฒนาให้เกิดการปฏิบัติในสายการบังคับบัญชาที่ตนรับผิดชอบ
  • สนับสนุนคณะกรรมการบริหาร ในการปฏิบัติตามหน้าที่และความรับผิดชอบที่ได้รับมอบหมาย
  • สอบทานความเสี่ยงและการจัดการความเสี่ยงภายใต้สายการบังคับบัญชาที่ตนรับผิดชอบ
  • สนับสนุนให้เกิดมีวัฒนธรรมการบริหารความเสี่ยงและการควบคุมภายในที่เหมาะสมภายในสายการบังคับบัญชาที่ตนรับผิดชอบ
  • ประสานงานร่วมกรรมการบริหารหรือฝ่ายงานอื่นๆ เพื่อแลกเปลี่ยนข้อมูลความเสี่ยงและหาวิธีการจัดการความเสี่ยงที่เกิดประโยชน์สูงสุดต่อบริษัท
  • ให้คำแนะนำทีมงานในฝ่ายงานที่รับผิดชอบ เกี่ยวกับปัญหาสำคัญที่เกิดขึ้นในกระบวนการบริหารความเสี่ยง
  • ประสานงานบริหารความเสี่ยงเพื่อให้การปฏิบัติเป็นไปในทางเดียวกันทั่วทั้งบริษัท
  • สนับสนุนการพัฒนากรอบการบริหารความเสี่ยง รวมถึงการนำไปปฏิบัติและการติดตามอย่างต่อเนื่อง
  • ประสานงานให้มีการจัดทำ และปรับปรุงความเสี่ยงของบริษัทให้เป็นปัจจุบัน
  • ประสานงานให้มีการฝึกอบรมเรื่องการบริหารความเสี่ยง
  • ดูแลให้การติดต่อสื่อสารเกี่ยวกับความเสี่ยงมีประสิทธิผลอย่างต่อเนื่อง

4) กรรมการผู้จัดการ

  • นำเสนอกลยุทธ์และแผนธุรกิจต่อกรรมการบริษัท พร้อมทั้งระบุความเสี่ยงที่สำคัญที่อาจมีผลต่อกลยุทธ์และแผนธุรกิจรวมถึงความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชั่น
  • นำนโยบายและกรอบการบริหารความเสี่ยงที่ได้รับการอนุมัติจากคณะกรรมการบริษัทแล้วไปพัฒนาให้เกิดการปฏิบัติทั่วทั้งบริษัท
  • ดำเนินการเพื่อให้มั่นใจได้ว่ากลยุทธ์ทางธุรกิจสามารถบรรลุได้ภายใต้นโยบายความเสี่ยงที่ได้รับการอนุมัติจากคณะกรรมการบริษัท
  • ดำเนินการเพื่อให้มั่นใจว่าการบริหารความเสี่ยงได้รับการนำไปปฏิบัติอย่างต่อเนื่องทั่วทั้งบริษัท
  • สนับสนุนให้เกิดมีวัฒนธรรมการบริหารความเสี่ยงและการควบคุมภายในที่เหมาะสม

5) ผู้ประสานงานความเสี่ยง

  • ประสานงานการบ่งชี้และจัดการความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชันอย่างเหมาะสมภายในหน่วยงานที่รับผิดชอบ
  • ให้ข้อแนะนำแก่ฝ่ายงานต่างๆ เกี่ยวกับเทคนิคบริหารความเสี่ยง
  • อาจทำหน้าที่เป็นผู้ประสานงานความเสี่ยง (Facilitator) ในการประชุมเชิงปฏิบัติการการบริหารความเสี่ยงในกรณีที่ได้รับการร้องขอ
  • รวบรวมและวิเคราะห์ความเสี่ยงของฝ่ายงานที่รับผิดชอบ และฝ่ายงานในคณะทำงานบริหารความเสี่ยง นำเสนอต่อกรรมการผู้จัดการและคณะกรรมการบริหารความเสี่ยง
  • ประสานงานกับคณะทำงานบริหารความเสี่ยงและดำเนินการเพื่อให้มั่นใจว่าความเสี่ยงที่เกี่ยวข้องกับหน่วยงานอื่นๆ ได้รับการจัดการอย่างเหมาะสม
  • ติดตามความคืบหน้าของแผนปฏิบัติการในการจัดการความเสี่ยงในหน่วยงานที่รับผิดชอบและฝ่ายงานในคณะทำงานบริหารความเสี่ยงเพื่อรายงานต่อกรรมการผู้จัดการและคณะกรรมการบริหารความเสี่ยงอย่างสม่ำเสมอ

6) ผู้บริหารและพนักงานทุกคน

  • ดำเนินการบ่งชี้และจัดการความเสี่ยงเป็นส่วนหนึ่งของการปฏิบัติงานประจำและมีความต่อเนื่องเป็นไปตามกรอบการบริหารความเสี่ยงของบริษัท
  • ติดตามการจัดการความเสี่ยงที่เกี่ยวข้องกับงานที่รับผิดชอบอย่างสม่ำเสมอ
  • รายงานความเสี่ยงที่สำคัญ และปัญหาที่เกิดขึ้นในการบริหารความเสี่ยงให้ผู้บังคับบัญชาทราบตามลำดับขั้นในเวลาที่เหมาะสม

7) คณะกรรมการตรวจสอบ

  • ดำเนินการเพื่อให้มั่นใจได้ว่ามีระบบการควบคุมภายในที่เหมาะสมเพื่อจัดการกับความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชันของบริษัท
  • ดำเนินการสอบทานที่เป็นอิสระเพื่อให้มั่นใจว่าการบริหารความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชันมีการปฏิบัติอย่างมีประสิทธิภาพมีการปรับปรุงแก้ไขให้เหมาะสมอยู่เสมอ
  • ประสานงานกับคณะกรรมการบริหารความเสี่ยง เพื่อรับทราบข้อมูลเกี่ยวกับความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชัน และการควบคุมภายในที่มีผลกระทบหรืออาจมีผลกระทบต่อบริษัท และมอบหมายให้หน่วยงานตรวจสอบภายในวางแผนและตรวจสอบความเสี่ยงดังกล่าว
  • ชี้แจงประสิทธิภาพของการควบคุมภายใน และการบริหารความเสี่ยงที่สำคัญให้คณะกรรมการบริษัทพิจารณา

8) หน่วยงานตรวจสอบภายใน

  • ให้การสนับสนุนคณะกรรมการบริษัท คณะกรรมการตรวจสอบ และผู้บริหารระดับสูง ในการปฏิบัติหน้าที่สอบทานกระบวนการบริหารความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชัน และการควบคุมภายใน และให้ข้อเสนอแนะเพื่อปรับปรุงกระบวนการบริหารความเสี่ยงให้มีความเพียงพอและมีประสิทธิผล
  • ดำเนินการสอบทานเพื่อให้มั่นใจได้ว่าการควบคุมภายในได้ปฏิบัติอย่างเหมาะสม เพื่อจัดการความเสี่ยงของบริษัท
  • นำข้อมูลความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชัน จากกระบวนการบริหารความเสี่ยงรวมทั้งการบ่งชี้ประเด็นที่คณะกรรมการ และผู้บริหารระดับสูงให้ความสำคัญไปใช้วางแผนงานการตรวจสอบตามความเสี่ยง
  • ประสานงานร่วมกับคณะทำงานบริหารความเสี่ยงเพื่อการแลกเปลี่ยนความรู้และข้อมูลความเสี่ยงที่มีผลกระทบหรืออาจมีผลกระทบต่อบริษัท

บทบาทและความรับผิดชอบของบุคลากรที่เกี่ยวข้องในการบริหารความเสี่ยง

การบริหารความเสี่ยงเป็นงานที่ต้องปฏิบัติอย่างต่อเนื่อง และเป็นส่วนหนึ่งของงานประจำวัน บทบาทและความรับผิดชอบของผู้บริหารและพนักงานแต่ละระดับมีรายละเอียดดังนี้

1) คณะกรรมการบริษัท และ/หรือ คณะกรรมการบริหาร

  • อนุมัตินโยบายการบริหารความเสี่ยงและนโยบายต่อต้านการทุจริตคอร์รัปชั่น และระดับความเสี่ยง
    ที่บริษัทยอมรับได้
  • กำกับดูแลการบริหารความเสี่ยงเพื่อให้มั่นใจว่านโยบายการบริหารความเสี่ยงได้รับการนำไป
    ปฏิบัติอย่างมีประสิทธิภาพและต่อเนื่อง
  • ติดตามความเสี่ยงที่สำคัญของบริษัทเพื่อให้มั่นใจว่าความเสี่ยงได้รับการจัดการให้อยู่ในระดับที่
    บริษัทยอมรับได้
  • พิจารณาความเสี่ยงโดยรวมของบริษัท และเปรียบเทียบกับระดับความเสี่ยงที่บริษัทสามารถ  ยอมรับได้
  • รับรายงานจากคณะกรรมการบริหารความเสี่ยงเกี่ยวกับการทำนโยบายการบริหารความเสี่ยง

2) คณะกรรมการบริหารความเสี่ยง

  • นำเสนอคณะกรรมการบริษัทในการกำหนดนโยบายการบริหารความเสี่ยงและระดับความเสี่ยงที่สามารถยอมรับได้
  • ประเมินความเสี่ยงจากการทุจริตคอร์รัปชัน ซึ่งบริษัทฯ ให้ความสำคัญต่อการดำเนินการและเพื่อให้ความชัดเจนในการปฏิบัติ การกำหนดมาตรการป้องกันและลดความเสี่ยงที่มีประสิทธิภาพรวมถึงติดตามประเมินผล และรายงานผล
  • สอบทานรายงานการบริหารความเสี่ยง และดำเนินการเพื่อให้มั่นใจได้ว่าการจัดการความเสี่ยงมีความเพียงพอเหมาะสม สามารถจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้และการบริหารความเสี่ยงได้ถูกนำไปปฏิบัติอย่างต่อเนื่อง
  • ประสานงานร่วมกับคณะกรรมการตรวจสอบอย่างสม่ำเสมอโดยการแลกเปลี่ยนความรู้และข้อมูลเกี่ยวกับความเสี่ยง และการควบคุมภายในที่มีผลกระทบหรืออาจมีผลกระทบต่อบริษัท
  • ปฏิบัติการอื่นใดเกี่ยวกับการบริหารความเสี่ยงที่คณะกรรมการบริษัทมอบหมาย
  • ประชุมคณะกรรมการบริหารความเสี่ยง อย่างน้อยปีละ 2 ครั้ง ทั้งนี้ขึ้นอยู่กับการเปลี่ยนแปลงที่สำคัญของบริษัท เช่น การขยายตลาดไปสู่ประเทศเพื่อนบ้าน,การจัดตั้งบริษัทย่อยเพิ่มเติม เป็นต้น

3) คณะทำงานบริหารความเสี่ยง

  • นำเสนอกลยุทธ์และแผนธุรกิจต่อกรรมการผู้จัดการ พร้อมทั้งระบุความเสี่ยงที่สำคัญที่อาจมีผลต่อกลยุทธ์และแผนธุรกิจรวมถึงความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชั่น
  • นำนโยบายและกรอบการบริหารความเสี่ยงที่ได้รับการอนุมัติจากคณะกรรมการบริษัทไปพัฒนาให้เกิดการปฏิบัติในสายการบังคับบัญชาที่ตนรับผิดชอบ
  • สนับสนุนคณะกรรมการบริหาร ในการปฏิบัติตามหน้าที่และความรับผิดชอบที่ได้รับมอบหมาย
  • สอบทานความเสี่ยงและการจัดการความเสี่ยงภายใต้สายการบังคับบัญชาที่ตนรับผิดชอบ
  • สนับสนุนให้เกิดมีวัฒนธรรมการบริหารความเสี่ยงและการควบคุมภายในที่เหมาะสมภายในสายการบังคับบัญชาที่ตนรับผิดชอบ
  • ประสานงานร่วมกรรมการบริหารหรือฝ่ายงานอื่นๆ เพื่อแลกเปลี่ยนข้อมูลความเสี่ยงและหาวิธีการจัดการความเสี่ยงที่เกิดประโยชน์สูงสุดต่อบริษัท
  • ให้คำแนะนำทีมงานในฝ่ายงานที่รับผิดชอบ เกี่ยวกับปัญหาสำคัญที่เกิดขึ้นในกระบวนการบริหารความเสี่ยง
  • ประสานงานบริหารความเสี่ยงเพื่อให้การปฏิบัติเป็นไปในทางเดียวกันทั่วทั้งบริษัท
  • สนับสนุนการพัฒนากรอบการบริหารความเสี่ยง รวมถึงการนำไปปฏิบัติและการติดตามอย่างต่อเนื่อง
  • ประสานงานให้มีการจัดทำ และปรับปรุงความเสี่ยงของบริษัทให้เป็นปัจจุบัน
  • ประสานงานให้มีการฝึกอบรมเรื่องการบริหารความเสี่ยง
  • ดูแลให้การติดต่อสื่อสารเกี่ยวกับความเสี่ยงมีประสิทธิผลอย่างต่อเนื่อง

4) กรรมการผู้จัดการ

  • นำเสนอกลยุทธ์และแผนธุรกิจต่อกรรมการบริษัท พร้อมทั้งระบุความเสี่ยงที่สำคัญที่อาจมีผลต่อกลยุทธ์และแผนธุรกิจรวมถึงความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชั่น
  • นำนโยบายและกรอบการบริหารความเสี่ยงที่ได้รับการอนุมัติจากคณะกรรมการบริษัทแล้วไปพัฒนาให้เกิดการปฏิบัติทั่วทั้งบริษัท
  • ดำเนินการเพื่อให้มั่นใจได้ว่ากลยุทธ์ทางธุรกิจสามารถบรรลุได้ภายใต้นโยบายความเสี่ยงที่ได้รับการอนุมัติจากคณะกรรมการบริษัท
  • ดำเนินการเพื่อให้มั่นใจว่าการบริหารความเสี่ยงได้รับการนำไปปฏิบัติอย่างต่อเนื่องทั่วทั้งบริษัท
  • สนับสนุนให้เกิดมีวัฒนธรรมการบริหารความเสี่ยงและการควบคุมภายในที่เหมาะสม

5) ผู้ประสานงานความเสี่ยง

  • ประสานงานการบ่งชี้และจัดการความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชันอย่างเหมาะสมภายในหน่วยงานที่รับผิดชอบ
  • ให้ข้อแนะนำแก่ฝ่ายงานต่างๆ เกี่ยวกับเทคนิคบริหารความเสี่ยง
  • อาจทำหน้าที่เป็นผู้ประสานงานความเสี่ยง (Facilitator) ในการประชุมเชิงปฏิบัติการการบริหารความเสี่ยงในกรณีที่ได้รับการร้องขอ
  • รวบรวมและวิเคราะห์ความเสี่ยงของฝ่ายงานที่รับผิดชอบ และฝ่ายงานในคณะทำงานบริหารความเสี่ยง นำเสนอต่อกรรมการผู้จัดการและคณะกรรมการบริหารความเสี่ยง
  • ประสานงานกับคณะทำงานบริหารความเสี่ยงและดำเนินการเพื่อให้มั่นใจว่าความเสี่ยงที่เกี่ยวข้องกับหน่วยงานอื่นๆ ได้รับการจัดการอย่างเหมาะสม
  • ติดตามความคืบหน้าของแผนปฏิบัติการในการจัดการความเสี่ยงในหน่วยงานที่รับผิดชอบและฝ่ายงานในคณะทำงานบริหารความเสี่ยงเพื่อรายงานต่อกรรมการผู้จัดการและคณะกรรมการบริหารความเสี่ยงอย่างสม่ำเสมอ

6) ผู้บริหารและพนักงานทุกคน

  • ดำเนินการบ่งชี้และจัดการความเสี่ยงเป็นส่วนหนึ่งของการปฏิบัติงานประจำและมีความต่อเนื่องเป็นไปตามกรอบการบริหารความเสี่ยงของบริษัท
  • ติดตามการจัดการความเสี่ยงที่เกี่ยวข้องกับงานที่รับผิดชอบอย่างสม่ำเสมอ
  • รายงานความเสี่ยงที่สำคัญ และปัญหาที่เกิดขึ้นในการบริหารความเสี่ยงให้ผู้บังคับบัญชาทราบตามลำดับขั้นในเวลาที่เหมาะสม

7) คณะกรรมการตรวจสอบ

  • ดำเนินการเพื่อให้มั่นใจได้ว่ามีระบบการควบคุมภายในที่เหมาะสมเพื่อจัดการกับความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชันของบริษัท
  • ดำเนินการสอบทานที่เป็นอิสระเพื่อให้มั่นใจว่าการบริหารความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชันมีการปฏิบัติอย่างมีประสิทธิภาพมีการปรับปรุงแก้ไขให้เหมาะสมอยู่เสมอ
  • ประสานงานกับคณะกรรมการบริหารความเสี่ยง เพื่อรับทราบข้อมูลเกี่ยวกับความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชัน และการควบคุมภายในที่มีผลกระทบหรืออาจมีผลกระทบต่อบริษัท และมอบหมายให้หน่วยงานตรวจสอบภายในวางแผนและตรวจสอบความเสี่ยงดังกล่าว
  • ชี้แจงประสิทธิภาพของการควบคุมภายใน และการบริหารความเสี่ยงที่สำคัญให้คณะกรรมการบริษัทพิจารณา

8) หน่วยงานตรวจสอบภายใน

  • ให้การสนับสนุนคณะกรรมการบริษัท คณะกรรมการตรวจสอบ และผู้บริหารระดับสูง ในการปฏิบัติหน้าที่สอบทานกระบวนการบริหารความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชัน และการควบคุมภายใน และให้ข้อเสนอแนะเพื่อปรับปรุงกระบวนการบริหารความเสี่ยงให้มีความเพียงพอและมีประสิทธิผล
  • ดำเนินการสอบทานเพื่อให้มั่นใจได้ว่าการควบคุมภายในได้ปฏิบัติอย่างเหมาะสม เพื่อจัดการความเสี่ยงของบริษัท
  • นำข้อมูลความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชัน จากกระบวนการบริหารความเสี่ยงรวมทั้งการบ่งชี้ประเด็นที่คณะกรรมการ และผู้บริหารระดับสูงให้ความสำคัญไปใช้วางแผนงานการตรวจสอบตามความเสี่ยง
  • ประสานงานร่วมกับคณะทำงานบริหารความเสี่ยงเพื่อการแลกเปลี่ยนความรู้และข้อมูลความเสี่ยงที่มีผลกระทบหรืออาจมีผลกระทบต่อบริษัท

นโยบายการบริหารความเสี่ยง

  1. บริษัทฯ ได้จัดตั้งคณะกรรมการบริหารความเสี่ยงระดับองค์กร มีประธานเจ้าหน้าที่บริหารสายงาน โดยคณะกรรมการฯ จะเป็นผู้กำหนดแนวทางในการบริหารความเสี่ยง ระบุปัจจัยเสี่ยง ประเมินความเสี่ยง จัดทำแผนบริหารความเสี่ยง รายงานผลการบริหารความเสี่ยง การติดตามและประเมินผลการบริหารความเสี่ยงเสนอต่อคณะกรรมการบริหาร
  2. บริษัทฯ ได้มอบหมายให้พนักงานทุกคนมีบทบาทหน้าที่ความรับผิดชอบร่วมกัน และกำหนดอำนาจการดำเนินงานในระดับบริหารและระดับปฏิบัติการทุกระดับไว้อย่างชัดเจน โดยให้การบริหารความเสี่ยงเป็นความรับผิดชอบของพนักงานในทุกระดับชั้น เพื่อให้พนักงานตระหนักถึงความเสี่ยงที่มีในการปฏิบัติงานในหน่วยงานของตนเองและองค์กร โดยให้ความสำคัญในการบริหารความเสี่ยงด้านต่างๆ ให้อยู่ในระดับที่ยอมรับได้และเหมาะสม
  3. บริษัทฯ มีการวางแผนบริหารความเสี่ยงโดยกำหนดความเสี่ยงแยกตามแต่ละระบบงาน และวางแนวทางป้องกันและบรรเทาความเสี่ยงจากการดำเนินงาน เพื่อหลีกเลี่ยงความเสียหาย หรือความสูญเสียที่อาจจะเกิดขึ้น รวมถึงการติดตามและประเมินผลการบริหารความเสี่ยงอย่างสม่ำเสมอ
  4. บริษัท มีการสอบทานผลการปฏิบัติงานอย่างสม่ำเสมอ เพื่อพิจารณาว่าองค์กรมีการบริหารความเสี่ยงที่มีประสิทธิผลเพียงใด และมีการทบทวนการบริหารความเสี่ยงเพื่อปรับปรุงอย่างต่อเนื่อง
  5. บริษัทมีระบบสารสนเทศที่ส่งเสริมในการบริหารความเสี่ยงสามารถดำเนินไปอย่างมีประสิทธิภาพ ซึ่งระบบดังกล่าวจะช่วยสนับสนุนข้อมูลความเสี่ยง ข้อมูลปฏิบัติงาน และการจัดทำรายงานผลการบริหารความเสี่ยง เพื่อให้มีการสื่อสารผลการบริหารความเสี่ยงต่อผู้มีส่วนได้เสียอย่าง
    ต่อเนื่องและเหมาะสม

แนวทางในการจัดการความเสี่ยง (4T) 

เป็นการดำเนินการที่จะต้องคำนึงถึงความเสี่ยงที่ยอมรับได้ และต้นทุนที่เกิดขึ้น และเปรียบเทียบกับ
ผลประโยชน์ที่จะได้รับเพื่อการบริหารความเสี่ยง มีประสิทธิผล ลดความสูญเสียหรือโอกาส
ที่จะเกิดผลกระทบ โดยพิจารณาตามแนวทางดังนี้

  • Terminate เป็นการหยุด/ยกเลิกกิจกรรมที่ก่อให้เกิดความเสี่ยง มักใช้ในกรณีที่ความเสี่ยงมีความรุนแรงสูง ไม่ สามารถหาวิธีลด/จัดการให้อยู่ในระดับที่ยอมรับได้

  • Take เป็นการยอมรับความเสี่ยงที่มีอยู่โดยไม่ดำเนินการใด ๆ มักใช้กับความเสี่ยงที่ต้นทุนของมาตรการ จัดการสูงไม่คุ้มกับประโยชน์ที่ได้รับ

  • Treat เป็นการจัดหามาตรการจัดการ เพื่อลดโอกาสการเกิดเหตุการณ์ความเสี่ยง หรือผลกระทบที่อาจเกิดขึ้น เช่น การเตรียมแผนฉุกเฉิน (Contingency plan)

  • Transfer เป็นการถ่ายโอนความเสี่ยงทั้งหมดหรือบางส่วนไปยังบุคคล/หน่วยงานภายนอกองค์กร ให้ช่วยแบกรับ ความเสี่ยงแทน เช่น การซื้อกรมธรรม์ประกันภัย

การติดตามผลและทบทวน (Monitoring and Review)

หน่วยงานบริหารความเสี่ยงจะประสานงานให้ฝ่ายจัดการที่รับผิดชอบความเสี่ยงรายงานสถานะความเสี่ยง รวมถึงกระบวนการความเสี่ยงให้ที่ประชุม ผู้บริหาร คณะกรรมการบริหารความเสี่ยง คณะกรรมการตรวจสอบ และ คณะกรรมการบริษัทฯ เพื่อทราบ/พิจารณาต่อไป ฝ่ายจัดการควรวิเคราะห์/ติดตามการเปลี่ยนแปลงของสภาพแวดล้อมทั้งภายในและภายนอกรวมถึงการเปลี่ยนแปลงในความเสี่ยงที่อาจเกิดขึ้น ซึ่งอาจส่งผลให้ต้องมีการทบทวนจัดการความเสี่ยงและการจัดลำดับความสำคัญ รวมถึงอาจนำไปใช้ในการทบทวนกรอบการบริหารความเสี่ยงโดยรวม

วัตถุประสงค์

เพื่อกำหนดมาตรการ และแนวทางบริหารจัดการความเสี่ยงที่เหลืออยู่ให้อยู่ในระดับที่ยอมรับได้ขององค์กร โดยพิจารณาตามมาตรการที่ลดโอกาส และ/หรือ ผลกระทบจากความเสี่ยงที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ

1) เพื่อให้สามารถระบุความเสี่ยงและตอบสนองต่อวิกฤตการณ์ ที่ไม่คาดคิดโดยลดความสูญเสีย หรือความเสียหายต่อองค์กรได้ทันกาล

2) เพื่อให้ทุกส่วนงานมีหน้าที่ระบุ ประเมินและบริหารจัดการความเสี่ยงที่สำคัญอย่างสม่ำเสมอ รวมถึงกรณีที่มีเหตุการณ์ กิจกรรม กระบวนการ         และ/หรือ โครงการที่สำคัญ หรือการเปลี่ยนแปลงที่มีสาระสำคัญภายในองค์กร โดยคำนึงถึงระดับความเสี่ยงที่ยอมรับได้ และสามารถ
   ปฏิบัติได้จริง ด้วยต้นทุนที่เหมาะสม

3) เพื่อให้มีการสื่อสารและการถ่ายทอดความรู้การบริหารความเสี่ยงให้พนักงานอย่างสม่ำเสมอ และพัฒนาพนักงานให้มีความเข้าใจ มีความตระหนัก     ถึงความเสี่ยงที่มีในการปฏิบัติงานในหน่วยงานของตน และองค์กร ตลอดจนมีการบริหารความเสี่ยงร่วมกันภายใต้งานที่รับผิดชอบ

4) เพื่อเป็นการดำเนินการตามหลักการกำกับดูแลกิจการที่ดี และถ่วงดุลอำนาจ บริษัทได้กำหนดอำนาจหน้าที่ในการบริหารความเสี่ยงให้กับฝ่าย         จัดการ อย่างชัดเจน โดยมีหน่วยงานบริหารความเสี่ยงช่วยสนับสนุนการดำเนินงาน และติดตามดูแลให้ฝ่ายจัดการมีการดำเนินการตามนโยบาย       บริหารความเสี่ยงอย่างสม่ำเสมอ นอกจากนี้ยังมีหน่วยงานตรวจสอบภายในช่วยให้ความเชื่อมั่นว่าการจัดการด้านความเสี่ยงเป็นไป
   อย่างมีประสิทธิภาพ

ขอบเขต

นโยบายฉบับนี้ให้มีผลบังคับใช้กับทุกการดำเนินงานภายในบริษัทฯ รวมถึงกรรมการ ผู้บริหาร และพนักงานทุกคนของบริษัทฯ   

หลักเกณฑ์การบริหารความเสี่ยง

การบริหารความเสี่ยงระดับองค์กร หมายถึงกระบวนการที่บุคคลากรทั่วทั้งองค์กรได้มีส่วนร่วมในการคิด วิเคราะห์ และคาดการณ์ถึงเหตุการณ์ หรือความเสี่ยงที่อาจจะเกิดขึ้น รวมทั้งการระบุแนวทางในการจัดการกับความเสี่ยงดังกล่าว ให้อยู่ในระดับที่เหมาะสมหรือยอมรับได้ เพื่อช่วยให้องค์กรบรรลุในวัตถุประสงค์ที่ต้องการ ตามกรอบวิสัยทัศน์ และพันธกิจขององค์กร

    กรอบการบริหารความเสี่ยงองค์กรนั้น สามารถสะท้อนให้เห็นถึงนโยบายการบริหารจัดการ และการกำกับดูแลกิจการของแต่ละองค์กร โดยหาก องค์กรมีการบริหารความเสี่ยงอย่างมีประสิทธิภาพ จะส่งผลให้สามารถบรรลุวัตถุประสงค์องค์กร ทั้งในเชิงประสิทธิภาพและประสิทธิผลของงาน การบริหารความเสี่ยงตามมาตรฐาน COSO ประกอบด้วยองค์ประกอบ 8 ประการ ซึ่งครอบคลุมแนวทางการกำหนดนโยบายการบริหาร การดำเนินงาน และการบริหารความเสี่ยง ดังนี้

  •  สภาพแวดล้อมภายในองค์กร (Internal Environment) สภาพแวดล้อมขององค์กรเป็นองค์ประกอบที่สำคัญในการกำหนดกรอบการบริหาร   ความเสี่ยงและเป็นพื้นฐานสำคัญในการกำหนดทิศทางของกรอบการบริหารความเสี่ยงขององค์กร ประกอบด้วยหลายประการ เช่น วัฒนธรรม   องค์กร นโยบายของผู้บริหาร แนวทางการปฏิบัติของบุคลากร กระบวนการทำงาน ระบบสารสนเทศ เป็นต้น
  •  การกำหนดวัตถุประสงค์ (Objective Setting) องค์กรจะต้องพิจารณาการกำหนดวัตถุประสงค์ในการบริหารความเสี่ยงให้มีความสอดคล้อง   กับเป้าหมายเชิงกลยุทธ์และความเสี่ยงที่องค์กรยอมรับได้เพื่อวางเป้าหมายในการบริหารความเสี่ยงขององค์กรได้อย่างชัดเจนและเหมาะสม
  •  การระบุความเสี่ยง (Risk Identification) เป็นการรวบรวมเหตุการณ์ที่อาจเกิดขึ้นกับหน่วยงาน ทั้งปัจจัยเสี่ยงที่เกิดขึ้นจากปัจจัยภายในและ   ปัจจัยภายนอกองค์กร และเมื่อเกิดขึ้นแล้วส่งผลให้องค์กรไม่บรรลุวัตถุประสงค์หรือเป้าหมาย เช่น นโยบายการบริหารงาน บุคลากร           การปฏิบัติ งาน การเงิน ระบบสารสนเทศ ระเบียบข้อบังคับ เป็นต้น ทั้งนี้เพื่อทำความเข้าใจต่อเหตุการณ์และสถานการณ์นั้น และเพื่อให้         ผู้บริหาร สามารถพิจารณากำหนดแนวทางและนโยบายในการจัดการกับความเสี่ยงที่อาจจะเกิดขึ้นได้เป็นอย่างดี
  •  การประเมินความเสี่ยง (Risk Assessment) การประเมินความเสี่ยง เป็นการวัดระดับความรุนแรงของความเสี่ยงเพื่อพิจารณาจัดลำดับความ   สำคัญของความเสี่ยงที่มีอยู่โดยการประเมินจากโอกาสที่จะเกิด (Likelihood) และผลกระทบ (Impact)
  •  กิจกรรมควบคุม (Control Activities) การกำหนดกิจกรรมและการปฏิบัติต่างๆ เพื่อช่วยลดหรือควบคุมความเสี่ยงเพื่อสร้างความมั่นใจ
     จะสามารถจัดการกับความเสี่ยงนั้นได้อย่างถูกต้องและทำให้การดำเนินงานบรรลุวัตถุประสงค์และเป้าหมายขององค์กร ป้องกันและลดระดับ   ความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้
  •  สารสนเทศและการสื่อสาร (Information and Communication) องค์กรจะต้องมีระบบสารสนเทศและการติดต่อสื่อสารที่มีประสิทธิภาพ   เพราะเป็นพื้นฐานสำคัญที่จะนำไปพิจารณาดำเนินการบริหารความเสี่ยงต่อไปตามกรอบขั้นตอนการปฏิบัติที่องค์กรกำหนด
  •  การติดตามประเมินผล (Monitoring) องค์กรจะต้องมีการติดตามผลเพื่อให้ทราบถึงผลการดำเนินงานว่าเหมาะสมและสามารถจัดการ
     ความเสี่ยงได้อย่างมีประสิทธิภาพหรือไม่

วัตถุประสงค์

เพื่อกำหนดมาตรการ และแนวทางบริหารจัดการความเสี่ยงที่เหลืออยู่ให้อยู่ในระดับที่ยอมรับได้ขององค์กร โดยพิจารณาตามมาตรการที่ลดโอกาส และ/หรือ ผลกระทบจากความเสี่ยงที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ

1) เพื่อให้สามารถระบุความเสี่ยงและตอบสนองต่อวิกฤตการณ์ ที่ไม่คาดคิดโดยลดความสูญเสีย หรือความเสียหายต่อองค์กรได้ทันกาล

2) เพื่อให้ทุกส่วนงานมีหน้าที่ระบุ ประเมินและบริหารจัดการความเสี่ยงที่สำคัญอย่างสม่ำเสมอ รวมถึงกรณีที่มีเหตุการณ์ กิจกรรม กระบวนการ และ/หรือ โครงการที่สำคัญ หรือการเปลี่ยนแปลงที่มีสาระสำคัญภายในองค์กร โดยคำนึงถึงระดับความเสี่ยงที่ยอมรับได้ และสามารถปฏิบัติได้จริง ด้วยต้นทุนที่เหมาะสม

3) เพื่อให้มีการสื่อสารและการถ่ายทอดความรู้การบริหารความเสี่ยงให้พนักงานอย่างสม่ำเสมอ และพัฒนาพนักงานให้มีความเข้าใจ มีความตระหนักถึงความเสี่ยงที่มีในการปฏิบัติงานในหน่วยงานของตน และองค์กร ตลอดจนมีการบริหารความเสี่ยงร่วมกันภายใต้งานที่รับผิดชอบ

4) เพื่อเป็นการดำเนินการตามหลักการกำกับดูแลกิจการที่ดี และถ่วงดุลอำนาจ บริษัทได้กำหนดอำนาจหน้าที่ในการบริหารความเสี่ยงให้กับฝ่ายจัดการอย่างชัดเจน โดยมีหน่วยงานบริหารความเสี่ยงช่วยสนับสนุนการดำเนินงาน และติดตามดูแลให้ฝ่ายจัดการมีการดำเนินการตามนโยบายบริหารความเสี่ยงอย่างสม่ำเสมอ นอกจากนี้ ยังมีหน่วยงานตรวจสอบภายในช่วยให้ความเชื่อมั่นว่าการจัดการด้านความเสี่ยงเป็นไปอย่างมีประสิทธิภาพ

ขอบเขต

นโยบายฉบับนี้ให้มีผลบังคับใช้กับทุกการดำเนินงานภายในบริษัทฯ รวมถึงกรรมการ ผู้บริหาร และพนักงานทุกคนของบริษัทฯ   

หลักเกณฑ์การบริหารความเสี่ยง

การบริหารความเสี่ยงระดับองค์กร หมายถึงกระบวนการที่บุคคลากรทั่วทั้งองค์กรได้มีส่วนร่วมในการคิด วิเคราะห์ และคาดการณ์ถึงเหตุการณ์ หรือความเสี่ยงที่อาจจะเกิดขึ้น รวมทั้งการระบุแนวทางในการจัดการกับความเสี่ยงดังกล่าว ให้อยู่ในระดับที่เหมาะสมหรือยอมรับได้ เพื่อช่วยให้องค์กรบรรลุในวัตถุประสงค์ที่ต้องการ ตามกรอบวิสัยทัศน์ และพันธกิจขององค์กร

    กรอบการบริหารความเสี่ยงองค์กรนั้น สามารถสะท้อนให้เห็นถึงนโยบายการบริหารจัดการ และการกำกับดูแลกิจการของแต่ละองค์กร โดยหากองค์กรมีการบริหารความเสี่ยงอย่างมีประสิทธิภาพ จะส่งผลให้สามารถบรรลุวัตถุประสงค์องค์กร ทั้งในเชิงประสิทธิภาพและประสิทธิผลของงาน  

    การบริหารความเสี่ยงตามมาตรฐาน COSO ประกอบด้วยองค์ประกอบ 8 ประการ ซึ่งครอบคลุมแนวทางการกำหนดนโยบายการบริหาร การดำเนินงาน และการบริหารความเสี่ยง ดังนี้

  •  สภาพแวดล้อมภายในองค์กร (Internal Environment) สภาพแวดล้อมขององค์กรเป็นองค์ประกอบที่สำคัญในการกำหนดกรอบการบริหารความเสี่ยงและเป็นพื้นฐานสำคัญในการกำหนดทิศทางของกรอบการบริหารความเสี่ยงขององค์กร ประกอบด้วยหลายประการ เช่น วัฒนธรรมองค์กร นโยบายของผู้บริหาร แนวทางการปฏิบัติของบุคลากร กระบวนการทำงาน ระบบสารสนเทศ เป็นต้น
  •  การกำหนดวัตถุประสงค์ (Objective Setting) องค์กรจะต้องพิจารณาการกำหนดวัตถุประสงค์ในการบริหารความเสี่ยงให้มีความสอดคล้องกับเป้าหมายเชิงกลยุทธ์และความเสี่ยงที่องค์กรยอมรับได้เพื่อวางเป้าหมายในการบริหารความเสี่ยงขององค์กรได้อย่างชัดเจนและเหมาะสม
  •  การระบุความเสี่ยง (Risk Identification) เป็นการรวบรวมเหตุการณ์ที่อาจเกิดขึ้นกับหน่วยงาน ทั้งปัจจัยเสี่ยงที่เกิดขึ้นจากปัจจัยภายในและปัจจัยภายนอกองค์กร และเมื่อเกิดขึ้นแล้วส่งผลให้องค์กรไม่บรรลุวัตถุประสงค์หรือเป้าหมาย เช่น นโยบายการบริหารงาน บุคลากร การปฏิบัติงาน การเงิน ระบบสารสนเทศ ระเบียบข้อบังคับ เป็นต้น ทั้งนี้เพื่อทำความเข้าใจต่อเหตุการณ์และสถานการณ์นั้น และเพื่อให้ผู้บริหารสามารถพิจารณากำหนดแนวทางและนโยบายในการจัดการกับความเสี่ยงที่อาจจะเกิดขึ้นได้เป็นอย่างดี
  •  การประเมินความเสี่ยง (Risk Assessment) การประเมินความเสี่ยง เป็นการวัดระดับความรุนแรงของความเสี่ยงเพื่อพิจารณาจัดลำดับความสำคัญของความเสี่ยงที่มีอยู่โดยการประเมินจากโอกาสที่จะเกิด (Likelihood) และผลกระทบ (Impact)
  •  กิจกรรมควบคุม (Control Activities) การกำหนดกิจกรรมและการปฏิบัติต่างๆ เพื่อช่วยลดหรือควบคุมความเสี่ยงเพื่อสร้างความมั่นใจจะสามารถจัดการกับความเสี่ยงนั้นได้อย่างถูกต้องและทำให้การดำเนินงานบรรลุวัตถุประสงค์และเป้าหมายขององค์กร ป้องกันและลดระดับความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้
  •  สารสนเทศและการสื่อสาร (Information and Communication) องค์กรจะต้องมีระบบสารสนเทศและการติดต่อสื่อสารที่มีประสิทธิภาพ เพราะเป็นพื้นฐานสำคัญที่จะนำไปพิจารณาดำเนินการบริหารความเสี่ยงต่อไปตามกรอบขั้นตอนการปฏิบัติที่องค์กรกำหนด
  •  การติดตามประเมินผล (Monitoring) องค์กรจะต้องมีการติดตามผลเพื่อให้ทราบถึงผลการดำเนินงานว่าเหมาะสมและสามารถจัดการความเสี่ยงได้อย่างมีประสิทธิภาพหรือไม่

แนวปฏิบัติในการบริหารความเสี่ยง

  •  การนำการบริหารความเสี่ยงมาใช้เป็นเครื่องมือทางกลยุทธ์ เพื่อช่วยสนับสนุนการบรรลุวัตถุประสงค์ขององค์การ
  •  การทำให้การบริหารความเสี่ยงมีความสอดคล้องและรวมอยู่ในกระบวนการดำเนินงานที่มีอยู่ในปัจจุบันขององค์กร ทั้งนี้รวมถึงกำหนด
     ให้การบริหารความเสี่ยงเป็นขั้นตอนหนึ่งในการจัดทำแผนธุรกิจ การกำหนดงบประมาณ การตัดสินใจลงทุนและการบริหารโครงการ
  •  การบริหารความเสี่ยงที่ครอบคลุมถึงความเสี่ยงเกี่ยวกับการปฏิบัติงานในภาพรวมและความเสี่ยงเชิงกลยุทธ์ นอกจากนี้องค์กรควรเพิ่มความ   สนใจต่อความเสี่ยงทั้งที่เป็นความเสียหาย ความไม่แน่นอน การเสียโอกาส ซึ่งต่างจาการบริหารความเสี่ยงแบบเดิมที่เน้นเฉพาะความเสี่ยง
     ที่เกี่ยวกับการปฏิบัติ ตามกฎระเบียบเท่านั้น
  •  กรรมการผู้จัดการและผู้บริหารระดับสูงต้องสนับสนุนและเน้นถึงประโยชน์ที่จะได้รับจากการบริหารความเสี่ยง รวมทั้งแสดงความรับผิดชอบ
     และมีส่วนร่วมในการบริหารความเสี่ยง
  •  การใช้คำนิยามเกี่ยวกับความเสี่ยงที่เป็นที่เข้าใจ และใช้ร่วมกันในองค์กร
  •  การมีกระบวนการในการบ่งชี้ วิเคราะห์ จัดการ ติดตาม และรายงานความเสี่ยงอย่างต่อเนื่องสม่ำเสมอและปฏิบัติทั่วทั้งองค์กร
  •  องค์กรต้องมีความมุ่งมั่นและพยายามอย่างจริงจัง ในการบ่งชี้และบริหารความเปลี่ยนแปลงที่เกิดจากการนำการบริหารความเสี่ยงเข้ามา
     ปรับใช้    ภายในองค์กร
  •  มีการสื่อสารให้ข้อมูลเกี่ยวกับความเสี่ยงอย่างสม่ำเสมอ โดยเน้นให้เห็นถึงความสำคัญของการบริหารความเสี่ยง ประเด็นความเสี่ยง
     ที่ควรต้องได้รับ    การจัดการทันทีและการปรับปรุงแผนการดำเนินการที่จำเป็น
  •  การวัดผลความเสี่ยงทั้งในเชิงคุณภาพ เช่น ชื่อเสียง การขาดบุคลากรหลักในการดำเนินงาน และเชิงประมาณ เช่น ผลขาดทุน มูลค่ารายได้   หรือ ค่าใช้จ่ายที่อาจเพิ่มขึ้นหรือลดลง โดยพิจารณาจากสองประเด็น คือ โอกาสที่อาจเกิดขึ้น และผลกระทบ
  •  การจัดให้มีการฝึกอบรมและใช้กลไกการบริหารทรัพยากรบุคคล เพื่อเผยแพร่ข้อมูลต่างๆ เกี่ยวกับการบริหารความเสี่ยง ความรับผิดชอบ
     ของ    แต่ละบุคคล และเพื่อส่งเสริมให้เกิดการปฏิบัติที่เหมาะสม
  •  การจัดให้มีหน่วยงานหรือผู้รับผิดชอบในการบริหารความเสี่ยง เพื่อทำหน้าที่ช่วยเหลือในการดำเนินการ การสนับสนุนการนำการบริหาร
     ความเสี่ยง    มาปฏิบัติและการพัฒนาความสามารถในการบริหารความเสี่ยงของพนักงาน แต่ไม่มีหน้าที่โดยตรงในการประเมินและจัดการ
     ความเสี่ยงที่เกิดขึ้น
  •  ผู้ตรวจสอบภายในมีบทบาทสำคัญในการทำให้มั่นใจได้ว่าองค์การ มีการควบคุมภายในที่มีประสิทธิภาพและประสิทธิผลในการจัดการความเสี่ยง   และในกรณีที่จำเป็นผู้ตรวจสอบภายในควรเสนอแนะประเด็นที่ควรได้รับการปรับปรุงแต่ผู้ตรวจสอบภายในไม่มีบทบาทโดยตรงต่อการเป็นผู้นำ
     ในการพัฒนา    กรอบการบริหารความเสี่ยง

แนวปฏิบัติในการบริหารความเสี่ยง

  •  การนำการบริหารความเสี่ยงมาใช้เป็นเครื่องมือทางกลยุทธ์ เพื่อช่วยสนับสนุนการบรรลุวัตถุประสงค์ขององค์การ
  •  การทำให้การบริหารความเสี่ยงมีความสอดคล้องและรวมอยู่ในกระบวนการดำเนินงานที่มีอยู่ในปัจจุบันขององค์กร ทั้งนี้รวมถึงกำหนดให้การบริหารความเสี่ยงเป็นขั้นตอนหนึ่งในการจัดทำแผนธุรกิจ การกำหนดงบประมาณ การตัดสินใจลงทุนและการบริหารโครงการ
  •  การบริหารความเสี่ยงที่ครอบคลุมถึงความเสี่ยงเกี่ยวกับการปฏิบัติงานในภาพรวมและความเสี่ยงเชิงกลยุทธ์ นอกจากนี้องค์กรควรเพิ่มความสนใจต่อความเสี่ยงทั้งที่เป็นความเสียหาย ความไม่แน่นอน การเสียโอกาส ซึ่งต่างจาการบริหารความเสี่ยงแบบเดิมที่เน้นเฉพาะความเสี่ยงที่เกี่ยวกับการปฏิบัติตามกฎระเบียบเท่านั้น
  •  กรรมการผู้จัดการและผู้บริหารระดับสูงต้องสนับสนุนและเน้นถึงประโยชน์ที่จะได้รับจากการบริหารความเสี่ยง รวมทั้งแสดงความรับผิดชอบและมีส่วนร่วมในการบริหารความเสี่ยง
  •  การใช้คำนิยามเกี่ยวกับความเสี่ยงที่เป็นที่เข้าใจ และใช้ร่วมกันในองค์กร
  •  การมีกระบวนการในการบ่งชี้ วิเคราะห์ จัดการ ติดตาม และรายงานความเสี่ยงอย่างต่อเนื่องสม่ำเสมอและปฏิบัติทั่วทั้งองค์กร
  •  องค์กรต้องมีความมุ่งมั่นและพยายามอย่างจริงจัง ในการบ่งชี้และบริหารความเปลี่ยนแปลงที่เกิดจากการนำการบริหารความเสี่ยงเข้ามาปรับใช้ภายในองค์กร
  •  มีการสื่อสารให้ข้อมูลเกี่ยวกับความเสี่ยงอย่างสม่ำเสมอ โดยเน้นให้เห็นถึงความสำคัญของการบริหารความเสี่ยง ประเด็นความเสี่ยงที่ควรต้องได้รับการจัดการทันทีและการปรับปรุงแผนการดำเนินการที่จำเป็น
  •  การวัดผลความเสี่ยงทั้งในเชิงคุณภาพ เช่น ชื่อเสียง การขาดบุคลากรหลักในการดำเนินงาน และเชิงประมาณ เช่น ผลขาดทุน มูลค่ารายได้ หรือค่าใช้จ่ายที่อาจเพิ่มขึ้นหรือลดลง โดยพิจารณาจากสองประเด็น คือ โอกาสที่อาจเกิดขึ้น และผลกระทบ
  •  การจัดให้มีการฝึกอบรมและใช้กลไกการบริหารทรัพยากรบุคคล เพื่อเผยแพร่ข้อมูลต่างๆ เกี่ยวกับการบริหารความเสี่ยง ความรับผิดชอบของแต่ละบุคคล และเพื่อส่งเสริมให้เกิดการปฏิบัติที่เหมาะสม
  •  การจัดให้มีหน่วยงานหรือผู้รับผิดชอบในการบริหารความเสี่ยง เพื่อทำหน้าที่ช่วยเหลือในการดำเนินการ การสนับสนุนการนำการบริหารความเสี่ยงมาปฏิบัติและการพัฒนาความสามารถในการบริหารความเสี่ยงของพนักงาน แต่ไม่มีหน้าที่โดยตรงในการประเมินและจัดการความเสี่ยงที่เกิดขึ้น
  •  ผู้ตรวจสอบภายในมีบทบาทสำคัญในการทำให้มั่นใจได้ว่าองค์การ มีการควบคุมภายในที่มีประสิทธิภาพและประสิทธิผลในการจัดการความเสี่ยง และในกรณีที่จำเป็นผู้ตรวจสอบภายในควรเสนอแนะประเด็นที่ควรได้รับการปรับปรุงแต่ผู้ตรวจสอบภายในไม่มีบทบาทโดยตรงต่อการเป็นผู้นำในการพัฒนากรอบการบริหารความเสี่ยง

โครงสร้างการบริหารความเสี่ยง

 

บทบาทและความรับผิดชอบของบุคลากรที่เกี่ยวข้องในการบริหารความเสี่ยง

การบริหารความเสี่ยงเป็นงานที่ต้องปฏิบัติอย่างต่อเนื่อง และเป็นส่วนหนึ่งของงานประจำวัน บทบาทและความรับผิดชอบของ
ผู้บริหารและพนักงานแต่ละระดับมีรายละเอียดดังนี้

1) คณะกรรมการบริษัท และ/หรือ คณะกรรมการบริหาร

  •  อนุมัตินโยบายการบริหารความเสี่ยงและนโยบายต่อต้านการทุจริตคอร์รัปชั่น และระดับความเสี่ยงที่บริษัทยอมรับได้
  •  กำกับดูแลการบริหารความเสี่ยงเพื่อให้มั่นใจว่านโยบายการบริหารความเสี่ยงได้รับการนำไปปฏิบัติอย่างมีประสิทธิภาพและต่อเนื่อง
  •  ติดตามความเสี่ยงที่สำคัญของบริษัทเพื่อให้มั่นใจว่าความเสี่ยงได้รับการจัดการให้อยู่ในระดับที่บริษัทยอมรับได้
  • พิจารณาความเสี่ยงโดยรวมของบริษัท และเปรียบเทียบกับระดับความเสี่ยงที่บริษัทสามารถยอมรับได้
  • รับรายงานจากคณะกรรมการบริหารความเสี่ยงเกี่ยวกับการทำนโยบายการบริหารความเสี่ยง

2) คณะกรรมการบริหารความเสี่ยง

  • นำเสนอคณะกรรมการบริษัทในการกำหนดนโยบายการบริหารความเสี่ยงและระดับความเสี่ยงที่สามารถยอมรับได้
  • ประเมินความเสี่ยงจากการทุจริตคอร์รัปชัน ซึ่งบริษัทฯ ให้ความสำคัญต่อการดำเนินการและเพื่อให้ความชัดเจนในการปฏิบัติ การกำหนดมาตรการป้องกันและลดความเสี่ยงที่มีประสิทธิภาพรวมถึงติดตามประเมินผล และรายงานผล
  • สอบทานรายงานการบริหารความเสี่ยง และดำเนินการเพื่อให้มั่นใจได้ว่าการจัดการความเสี่ยงมีความเพียงพอเหมาะสม สามารถจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้และการบริหารความเสี่ยงได้ถูกนำไปปฏิบัติอย่างต่อเนื่อง
  • ประสานงานร่วมกับคณะกรรมการตรวจสอบอย่างสม่ำเสมอโดยการแลกเปลี่ยนความรู้และข้อมูลเกี่ยวกับความเสี่ยง และการควบคุมภายในที่มีผลกระทบหรืออาจมีผลกระทบต่อบริษัท
  • ปฏิบัติการอื่นใดเกี่ยวกับการบริหารความเสี่ยงที่คณะกรรมการบริษัทมอบหมาย
  • ประชุมคณะกรรมการบริหารความเสี่ยง อย่างน้อยปีละ 2 ครั้ง ทั้งนี้ขึ้นอยู่กับการเปลี่ยนแปลงที่สำคัญของบริษัท เช่น การขยายตลาดไปสู่ประเทศเพื่อนบ้าน, การจัดตั้งบริษัทย่อยเพิ่มเติม เป็นต้น

3) คณะทำงานบริหารความเสี่ยง

  • นำเสนอกลยุทธ์และแผนธุรกิจต่อกรรมการผู้จัดการ พร้อมทั้งระบุความเสี่ยงที่สำคัญที่อาจมีผลต่อกลยุทธ์และแผนธุรกิจรวมถึงความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชั่น
  • นำนโยบายและกรอบการบริหารความเสี่ยงที่ได้รับการอนุมัติจากคณะกรรมการบริษัทไปพัฒนาให้เกิดการปฏิบัติในสายการบังคับบัญชาที่ตนรับผิดชอบ
  • สนับสนุนคณะกรรมการบริหาร ในการปฏิบัติตามหน้าที่และความรับผิดชอบที่ได้รับมอบหมาย
  • สอบทานความเสี่ยงและการจัดการความเสี่ยงภายใต้สายการบังคับบัญชาที่ตนรับผิดชอบ
  • สนับสนุนให้เกิดมีวัฒนธรรมการบริหารความเสี่ยงและการควบคุมภายในที่เหมาะสมภายในสายการบังคับบัญชาที่ตนรับผิดชอบ
  • ประสานงานร่วมกรรมการบริหารหรือฝ่ายงานอื่นๆ เพื่อแลกเปลี่ยนข้อมูลความเสี่ยงและหาวิธีการจัดการความเสี่ยงที่เกิดประโยชน์สูงสุดต่อบริษัท
  • ให้คำแนะนำทีมงานในฝ่ายงานที่รับผิดชอบ เกี่ยวกับปัญหาสำคัญที่เกิดขึ้นในกระบวนการบริหารความเสี่ยง
  • ประสานงานบริหารความเสี่ยงเพื่อให้การปฏิบัติเป็นไปในทางเดียวกันทั่วทั้งบริษัท
  • สนับสนุนการพัฒนากรอบการบริหารความเสี่ยง รวมถึงการนำไปปฏิบัติและการติดตามอย่างต่อเนื่อง
  • ประสานงานให้มีการจัดทำ และปรับปรุงความเสี่ยงของบริษัทให้เป็นปัจจุบัน
  • ประสานงานให้มีการฝึกอบรมเรื่องการบริหารความเสี่ยง
  • ดูแลให้การติดต่อสื่อสารเกี่ยวกับความเสี่ยงมีประสิทธิผลอย่างต่อเนื่อง

4) กรรมการผู้จัดการ

  • นำเสนอกลยุทธ์และแผนธุรกิจต่อกรรมการบริษัท พร้อมทั้งระบุความเสี่ยงที่สำคัญที่อาจมีผลต่อกลยุทธ์และแผนธุรกิจรวมถึงความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชั่น
  • นำนโยบายและกรอบการบริหารความเสี่ยงที่ได้รับการอนุมัติจากคณะกรรมการบริษัทแล้วไปพัฒนาให้เกิดการปฏิบัติทั่วทั้งบริษัท
  • ดำเนินการเพื่อให้มั่นใจได้ว่ากลยุทธ์ทางธุรกิจสามารถบรรลุได้ภายใต้นโยบายความเสี่ยงที่ได้รับการอนุมัติจากคณะกรรมการบริษัท
  • ดำเนินการเพื่อให้มั่นใจว่าการบริหารความเสี่ยงได้รับการนำไปปฏิบัติอย่างต่อเนื่องทั่วทั้งบริษัท
  • สนับสนุนให้เกิดมีวัฒนธรรมการบริหารความเสี่ยงและการควบคุมภายในที่เหมาะสม

5) ผู้ประสานงานความเสี่ยง

  • ประสานงานการบ่งชี้และจัดการความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชันอย่างเหมาะสมภายในหน่วยงานที่รับผิดชอบ
  • ให้ข้อแนะนำแก่ฝ่ายงานต่างๆ เกี่ยวกับเทคนิคบริหารความเสี่ยง
  • อาจทำหน้าที่เป็นผู้ประสานงานความเสี่ยง (Facilitator) ในการประชุมเชิงปฏิบัติการการบริหารความเสี่ยงในกรณีที่ได้รับการร้องขอ
  • รวบรวมและวิเคราะห์ความเสี่ยงของฝ่ายงานที่รับผิดชอบ และฝ่ายงานในคณะทำงานบริหารความเสี่ยง นำเสนอต่อกรรมการผู้จัดการและ
    คณะกรรมการบริหารความเสี่ยง
  • ประสานงานกับคณะทำงานบริหารความเสี่ยงและดำเนินการเพื่อให้มั่นใจว่าความเสี่ยงที่เกี่ยวข้องกับหน่วยงานอื่นๆ ได้รับการจัดการ
    อย่างเหมาะสม
  • ติดตามความคืบหน้าของแผนปฏิบัติการในการจัดการความเสี่ยงในหน่วยงานที่รับผิดชอบและฝ่ายงานในคณะทำงานบริหารความเสี่ยงเพื่อรายงานต่อกรรมการผู้จัดการและคณะกรรมการบริหารความเสี่ยงอย่างสม่ำเสมอ

6) ผู้บริหารและพนักงานทุกคน

  • ดำเนินการบ่งชี้และจัดการความเสี่ยงเป็นส่วนหนึ่งของการปฏิบัติงานประจำและมีความต่อเนื่องเป็นไปตามกรอบการบริหารความเสี่ยงของบริษัท
  • ติดตามการจัดการความเสี่ยงที่เกี่ยวข้องกับงานที่รับผิดชอบอย่างสม่ำเสมอ
  • รายงานความเสี่ยงที่สำคัญ และปัญหาที่เกิดขึ้นในการบริหารความเสี่ยงให้ผู้บังคับบัญชาทราบตามลำดับขั้นในเวลาที่เหมาะสม

7) คณะกรรมการตรวจสอบ

  • ดำเนินการเพื่อให้มั่นใจได้ว่ามีระบบการควบคุมภายในที่เหมาะสมเพื่อจัดการกับความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชันของบริษัท
  • ดำเนินการสอบทานที่เป็นอิสระเพื่อให้มั่นใจว่าการบริหารความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชันมีการปฏิบัติอย่างมีประสิทธิภาพมีการปรับปรุงแก้ไขให้เหมาะสมอยู่เสมอ
  • ประสานงานกับคณะกรรมการบริหารความเสี่ยง เพื่อรับทราบข้อมูลเกี่ยวกับความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชัน และการควบคุมภายในที่มีผลกระทบหรืออาจมีผลกระทบต่อบริษัท และมอบหมายให้หน่วยงานตรวจสอบภายในวางแผนและตรวจสอบความเสี่ยงดังกล่าว
  • ชี้แจงประสิทธิภาพของการควบคุมภายใน และการบริหารความเสี่ยงที่สำคัญให้คณะกรรมการบริษัทพิจารณา

8) หน่วยงานตรวจสอบภายใน

  • ให้การสนับสนุนคณะกรรมการบริษัท คณะกรรมการตรวจสอบ และผู้บริหารระดับสูง ในการปฏิบัติหน้าที่สอบทานกระบวนการบริหารความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชัน และการควบคุมภายใน และให้ข้อเสนอแนะเพื่อปรับปรุงกระบวนการบริหารความเสี่ยงให้มีความเพียงพอและมีประสิทธิผล
  • ดำเนินการสอบทานเพื่อให้มั่นใจได้ว่าการควบคุมภายในได้ปฏิบัติอย่างเหมาะสม เพื่อจัดการความเสี่ยงของบริษัท
  • นำข้อมูลความเสี่ยงทั่วไป และความเสี่ยงอันเกิดจากการทุจริตคอร์รัปชัน จากกระบวนการบริหารความเสี่ยงรวมทั้งการบ่งชี้ประเด็นที่คณะกรรมการ และผู้บริหารระดับสูงให้ความสำคัญไปใช้วางแผนงานการตรวจสอบตามความเสี่ยง
  • ประสานงานร่วมกับคณะทำงานบริหารความเสี่ยงเพื่อการแลกเปลี่ยนความรู้และข้อมูลความเสี่ยงที่มีผลกระทบหรืออาจมีผลกระทบต่อบริษัท

ประเภทความเสี่ยง 6 ประเภท

ความเสี่ยงด้านกลยุทธ์ (Strategic Risk: S) หมายถึง ความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ และการปฏิบัติตามแผนกลยุทธ์อย่าง
ไม่เหมาะสม รวมถึงความไม่สอดคล้องกันระหว่างนโยบาย เป้าหมายกลยุทธ์ โครงสร้างองค์กร ภาวการณ์แข่งขัน ทรัพยากรและสภาพแวดล้อมอันส่งผลกระทบต่อวัตถุประสงค์หรือเป้าหมายองค์กร

ความเสี่ยงด้านการดำเนิน (Operational Risk: O) หมายถึง ความเสี่ยงที่เกิดจากการปฏิบัติงานทุกๆ ขั้นตอน อันเนื่องมาจากขาดการกำกับดูแล
ที่ดีหรือขาดการควบคุมภายในที่ดีโดยครอบคลุมถึงปัจจัยที่เกี่ยวข้องกับกระบวนการ / อุปกรณ์ / เทคโนโลยีสารสนเทศ / บุคลากรในการปฏิบัติงานและความปลอดภัยของทรัพย์สิน

ความเสี่ยงด้านการเงิน (Financial Risk: F) หมายถึง ความเสี่ยงเกี่ยวกับสภาพคล่องทางการเงิน การบริหารทางการเงินและงบการเงิน เช่น ความเสี่ยงจากการจัดสรรงบประมาณไม่เหมาะสม ตั้งงบประมาณผิดพลาด และใช้งบประมาณเกิน รวมทั้งความเสี่ยงจากความผันผวนของปัจจัยทางการตลาด (Market Risk) และ ความเสี่ยงจากการที่คู่สัญญาไม่ปฏิบัติตามภาระผูกพัน (Credit Risk)

ความเสี่ยงด้าน กฎหมาย และข้อกาหนดผูกพันองค์กร (Compliance Risk: C) หมายถึง ความเสี่ยงจากการที่หน่วยงานต่างๆ ต้องปฏิบัติตามกฎหมายและข้อกำหนดผูกพันองค์กร เช่น ความเสี่ยงจาก การผิดสัญญาข้อผูกพัน ความเสี่ยงจากการขาดการรายงานตามกฎระเบียบ หรือ
การไม่ปฏิบัติตามกฎหมาย ระเบียบและข้อบังคับ

ความเสี่ยงด้าน IT (IT Risk: T) ความเสี่ยงจากการเปลี่ยนแปลงเทคโนโลยีดิจิทัล (Digital Transformation) เทคโนโลยีดิจิทัลเข้ามามีบทบาทอย่างมากในการดำเนินชีวิตประจาวันและการทำธุรกิจ เช่น การนำเทคโนโลยีดิจิทัลมาใช้ในการให้บริการขนส่ง การทำการตลาดและการจำหน่ายสินค้าออนไลน์ ซึ่งในระยะยาวการเปลี่ยนแปลงดังกล่าวเป็นความเสี่ยงที่อาจส่งผลต่อรูปแบบการดำเนินธุรกิจและช่องทางการจัดจำหน่ายแบบเดิมจนทำให้บริษัทฯ สูญเสียความสามารถในการแข่งขัน รวมทั้งอาจเป็นโอกาสในการสร้างธุรกิจใหม่ๆ ที่สร้างมูลค่าเพิ่มให้กับองค์กร ดังนั้นบริษัทฯ ได้กำหนดให้มีการติดตามและวิเคราะห์แนวโน้มการเปลี่ยนแปลงด้านเทคโนโลยีดิจิทัลเพื่อนำมาพัฒนาการทำงาน ปรับปรุงและสร้างสรรค์ธุรกิจใหม่ๆ เพื่อเพิ่มความสามารถในการแข่งขัน เช่น การค้นหาสิ่งที่จะตอบสนองความต้องการของลูกค้าและเพิ่มประสิทธิภาพการทำงานจากการใช้เทคโนโลยีดิจิทัล
การประหยัดพลังงาน การจัดการสินค้าและการขนส่ง เป็นต้น

ความเสี่ยงด้าน ทุจริต (Fraud Risk: F) ความเสี่ยงของการดำเนินงานที่อาจก่อให้เกิดการทุจริตการขัดกันระหว่างผลประโยชน์ส่วนตน
กับผลประโยชน์ส่วนรวม หรือการรับสินบน

ประเภทความเสี่ยง 6 ประเภท

ความเสี่ยงด้านกลยุทธ์ (Strategic Risk: S) หมายถึง ความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ และการปฏิบัติตามแผนกลยุทธ์อย่างไม่เหมาะสม รวมถึงความไม่สอดคล้องกันระหว่างนโยบาย เป้าหมายกลยุทธ์ โครงสร้างองค์กร ภาวการณ์แข่งขัน ทรัพยากรและสภาพแวดล้อมอันส่งผลกระทบต่อวัตถุประสงค์หรือเป้าหมายองค์กร

ความเสี่ยงด้านการดำเนิน (Operational Risk: O) หมายถึง ความเสี่ยงที่เกิดจากการปฏิบัติงานทุกๆ ขั้นตอน อันเนื่องมาจากขาดการกำกับดูแลที่ดีหรือขาดการควบคุมภายในที่ดีโดยครอบคลุมถึงปัจจัยที่เกี่ยวข้องกับกระบวนการ / อุปกรณ์ / เทคโนโลยีสารสนเทศ / บุคลากรในการปฏิบัติงานและความปลอดภัยของทรัพย์สิน

ความเสี่ยงด้านการเงิน (Financial Risk: F) หมายถึง ความเสี่ยงเกี่ยวกับสภาพคล่องทางการเงิน การบริหารทางการเงินและงบการเงิน เช่นความเสี่ยงจากการจัดสรรงบประมาณไม่เหมาะสม ตั้งงบประมาณผิดพลาด และใช้งบประมาณเกิน รวมทั้งความเสี่ยงจากความผันผวนของปัจจัยทางการตลาด (Market Risk) และ ความเสี่ยงจากการที่คู่สัญญาไม่ปฏิบัติตามภาระผูกพัน (Credit Risk)

ความเสี่ยงด้าน กฎหมาย และข้อกาหนดผูกพันองค์กร (Compliance Risk: C) หมายถึง ความเสี่ยงจากการที่หน่วยงานต่างๆ ต้องปฏิบัติตามกฎหมายและข้อกำหนดผูกพันองค์กร เช่น ความเสี่ยงจาก การผิดสัญญาข้อผูกพัน ความเสี่ยงจากการขาดการรายงานตามกฎระเบียบ หรือการไม่ปฏิบัติตามกฎหมาย ระเบียบและข้อบังคับ

ความเสี่ยงด้าน IT (IT Risk: T) ความเสี่ยงจากการเปลี่ยนแปลงเทคโนโลยีดิจิทัล (Digital Transformation) เทคโนโลยีดิจิทัลเข้ามามีบทบาทอย่างมากในการดำเนินชีวิตประจาวันและการทำธุรกิจ เช่น การนำเทคโนโลยีดิจิทัลมาใช้ในการให้บริการขนส่ง การทำการตลาดและการจำหน่ายสินค้าออนไลน์ ซึ่งในระยะยาวการเปลี่ยนแปลงดังกล่าวเป็นความเสี่ยงที่อาจส่งผลต่อรูปแบบการดำเนินธุรกิจและช่องทางการจัดจำหน่ายแบบเดิมจนทำให้บริษัทฯ สูญเสียความสามารถในการแข่งขัน รวมทั้งอาจเป็นโอกาสในการสร้างธุรกิจใหม่ๆ ที่สร้างมูลค่าเพิ่มให้กับองค์กร ดังนั้นบริษัทฯ ได้กำหนดให้มีการติดตามและวิเคราะห์แนวโน้มการเปลี่ยนแปลงด้านเทคโนโลยีดิจิทัลเพื่อนำมาพัฒนาการทำงาน ปรับปรุงและสร้างสรรค์ธุรกิจใหม่ๆ เพื่อเพิ่มความสามารถในการแข่งขัน เช่น การค้นหาสิ่งที่จะตอบสนองความต้องการของลูกค้าและเพิ่มประสิทธิภาพการทำงานจากการใช้เทคโนโลยีดิจิทัล
การประหยัดพลังงาน การจัดการสินค้าและการขนส่ง เป็นต้น

ความเสี่ยงด้าน ทุจริต (Fraud Risk: F) ความเสี่ยงของการดำเนินงานที่อาจก่อให้เกิดการทุจริตการขัดกันระหว่างผลประโยชน์ส่วนตนกับ ผลประโยชน์ส่วนรวม หรือการรับสินบน

นโยบายการบริหารความเสี่ยง

  1. บริษัทฯ ได้จัดตั้งคณะกรรมการบริหารความเสี่ยงระดับองค์กร มีประธานเจ้าหน้าที่บริหารสายงาน โดยคณะกรรมการฯ จะเป็นผู้กำหนดแนวทางในการบริหารความเสี่ยง ระบุปัจจัยเสี่ยง ประเมินความเสี่ยง จัดทำแผนบริหารความเสี่ยง รายงานผลการบริหารความเสี่ยง การติดตามและประเมินผลการบริหารความเสี่ยงเสนอต่อคณะกรรมการบริหาร
  2. บริษัทฯ ได้มอบหมายให้พนักงานทุกคนมีบทบาทหน้าที่ความรับผิดชอบร่วมกัน และกำหนดอำนาจการดำเนินงานในระดับบริหารและระดับปฏิบัติการทุกระดับไว้อย่างชัดเจน โดยให้การบริหารความเสี่ยงเป็นความรับผิดชอบของพนักงานในทุกระดับชั้น เพื่อให้พนักงานตระหนักถึงความเสี่ยงที่มีในการปฏิบัติงานในหน่วยงานของตนเองและองค์กร โดยให้ความสำคัญในการบริหารความเสี่ยงด้านต่างๆ ให้อยู่ในระดับที่ยอมรับได้และเหมาะสม
  3. บริษัทฯ มีการวางแผนบริหารความเสี่ยงโดยกำหนดความเสี่ยงแยกตามแต่ละระบบงาน และวางแนวทางป้องกันและบรรเทาความเสี่ยงจากการดำเนินงาน เพื่อหลีกเลี่ยงความเสียหาย หรือความสูญเสียที่อาจจะเกิดขึ้น รวมถึงการติดตามและประเมินผลการบริหารความเสี่ยงอย่างสม่ำเสมอ
  4. บริษัท มีการสอบทานผลการปฏิบัติงานอย่างสม่ำเสมอ เพื่อพิจารณาว่าองค์กรมีการบริหารความเสี่ยงที่มีประสิทธิผลเพียงใด และมีการทบทวนการบริหารความเสี่ยงเพื่อปรับปรุงอย่างต่อเนื่อง
  5. บริษัทมีระบบสารสนเทศที่ส่งเสริมในการบริหารความเสี่ยงสามารถดำเนินไปอย่างมีประสิทธิภาพ ซึ่งระบบดังกล่าวจะช่วยสนับสนุนข้อมูลความเสี่ยง ข้อมูลปฏิบัติงาน และการจัดทำรายงานผลการบริหารความเสี่ยง เพื่อให้มีการสื่อสารผลการบริหารความเสี่ยงต่อผู้มีส่วนได้เสียอย่าง
    ต่อเนื่องและเหมาะสม

แนวทางในการจัดการความเสี่ยง (4T) 

เป็นการดำเนินการที่จะต้องคำนึงถึงความเสี่ยงที่ยอมรับได้ และต้นทุนที่เกิดขึ้น และเปรียบเทียบกับผลประโยชน์ที่จะได้รับเพื่อการ
บริหารความเสี่ยง มีประสิทธิผล  ลดความสูญเสียหรือโอกาสที่จะเกิดผลกระทบ โดยพิจารณาตามแนวทางดังนี้

  • Terminate เป็นการหยุด/ยกเลิกกิจกรรมที่ก่อให้เกิดความเสี่ยง มักใช้ในกรณีที่ความเสี่ยงมีความรุนแรงสูง ไม่ สามารถหาวิธีลด/จัดการ
    ให้อยู่ในระดับที่ยอมรับได้

  • Take เป็นการยอมรับความเสี่ยงที่มีอยู่โดยไม่ดำเนินการใด ๆ มักใช้กับความเสี่ยงที่ต้นทุนของมาตรการ จัดการสูงไม่คุ้มกับประโยชน์ที่ได้รับ

  • Treat เป็นการจัดหามาตรการจัดการ เพื่อลดโอกาสการเกิดเหตุการณ์ความเสี่ยง หรือผลกระทบที่อาจเกิดขึ้น เช่น การเตรียมแผนฉุกเฉิน (Contingency plan)

  • Transfer เป็นการถ่ายโอนความเสี่ยงทั้งหมดหรือบางส่วนไปยังบุคคล/หน่วยงานภายนอกองค์กร ให้ช่วยแบกรับ ความเสี่ยงแทน เช่น การซื้อกรมธรรม์ประกันภัย

การติดตามผลและทบทวน (Monitoring and Review)

หน่วยงานบริหารความเสี่ยงจะประสานงานให้ฝ่ายจัดการที่รับผิดชอบความเสี่ยงรายงานสถานะความเสี่ยง รวมถึงกระบวนการความเสี่ยงให้ที่ประชุม
ผู้บริหาร คณะกรรมการบริหารความเสี่ยง คณะกรรมการตรวจสอบ และ คณะกรรมการบริษัทฯ เพื่อทราบ/พิจารณาต่อไป ฝ่ายจัดการควรวิเคราะห์/ติดตามการเปลี่ยนแปลงของสภาพแวดล้อมทั้งภายในและภายนอกรวมถึงการเปลี่ยนแปลงในความเสี่ยงที่อาจเกิดขึ้น ซึ่งอาจส่งผลให้ต้องมีการทบทวนจัดการความเสี่ยงและการจัดลำดับความสำคัญ รวมถึงอาจนำไปใช้ในการทบทวนกรอบการบริหารความเสี่ยงโดยรวม