การจัดการความเสี่ยงและภาวะวิกฤติ
ความสำคัญและพันธกิจ
การจัดการความเสี่ยงและภาวะวิกฤติมีความสําคัญอย่างยิ่งต่อการดําเนินงานของบริษัท เนื่องจากช่วยให้บริษัทสามารถบรรลุวัตถุประสงค์และเป้าหมายที่ตั้งไว้ได้อย่างมีประสิทธิภาพ การบริหารจัดการความเสี่ยงที่ดีจะช่วยลดผลกระทบที่อาจเกิดขึ้นจากสถานการณ์ฉุกเฉินต่างๆ และทําให้ธุรกิจสามารถดําเนินต่อไปได้อย่างต่อเนื่อง
พันธกิจหลักของการจัดการความเสี่ยงและภาวะวิกฤติ คือ การสร้างความมั่นใจว่าบริษัทมีกระบวนการที่แข็งแกร่งในการระบุ ประเมิน และจัดการความเสี่ยงที่อาจเกิดขึ้น รวมถึงการเตรียมความพร้อมสําหรับสถานการณ์วิกฤติที่อาจส่งผลกระทบต่อการดําเนินงานของบริษัท โดยมีเป้าหมายสูงสุดคือการรักษาความมั่นคงและความยั่งยืนขององค์กร
การสนับสนุนเป้าหมายการพัฒนาที่ยั่งยืน
เป้าหมายที่ 17:
เป้าหมายและผลการดำเนินงาน
เป้าหมาย
ผลการดำเนินงาน
แนวทางการบริหารจัดการ
บริษัทดำเนินการให้มีระบบบริหารความเสี่ยง ตามประกาศนโยบายการบริหารความเสี่ยง เพื่อให้เป็นมาตรฐานและใช้ดำเนินงานได้อย่างเป็นรูปธรรม ซึ่งเป็นกระบวนการที่ช่วยให้บริษัทสามารถวางแผนเพื่อดำเนินธุรกิจในระยะยาว
รวมทั้งสร้างความพร้อมในการปรับตัวต่อการเปลี่ยนแปลงที่อาจเกิดขึ้นในอนาคต โดยมีการประเมินความเสี่ยงที่ครอบคลุมถึงความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk) เพื่อสร้างความเชื่อมั่นให้กับผู้มีส่วนได้เสียว่าการดำเนินธุรกิจและการดำเนินงานด้านต่าง ๆ สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้ มีการบริหารและติดตามความเสี่ยงโดยใช้เครื่องมือด้านการบริหารความเสี่ยงตามตัวชี้วัดเพื่อให้เกิดความยั่งยืน
ความเสี่ยงด้านความยั่งยืน
| ลำดับ | รายการความเสี่ยง | คำอธิบาย |
|---|---|---|
| สิ่งแวดล้อม | ||
| 1 | ผลกระทบจากการเปลี่ยนแปลงสภาพภูมิอากาศ | ความเสี่ยงจากภัยพิบัติ สิ่งแวดล้อม หรือกฎใหม่ ๆ |
| สังคม | ||
| 2 | การพัฒนาบุคลากร | เพิ่มศักยภาพ ความรู้ และวัฒนธรรมองค์กร |
| 3 | ความปลอดภัยในการทำงาน | ความเสี่ยงต่อสุขภาพและชีวิตพนักงาน |
| 4 | พนักงานทุจริต | ส่งผลต่อความเชื่อมั่นและชื่อเสียงองค์กร |
| 5 | การรั่วไหลของข้อมูลส่วนบุคคล (PDPA) | ละเมิดสิทธิส่วนบุคคล เสี่ยงต่อการถูกฟ้อง |
| 6 | การละเมิดสิทธิมนุษยชน | ส่งผลต่อชื่อเสียงและการยอมรับจากสังคม |
| 7 | คู่ค้าไม่มีจรรยาบรรณ | เสี่ยงต่อชื่อเสียงและความน่าเชื่อถือของบริษัท |
| การกำกับดูแลและเศรษฐกิจ | ||
| 8 | ขาดผู้บริหารหลัก | ความเสี่ยงจากการเปลี่ยนแปลงบุคคลสำคัญ |
| 9 | ความไม่ต่อเนื่องด้าน IT | มีผลต่อความสามารถในการดำเนินธุรกิจ |
| 10 | การไม่ปฏิบัติตามกฎหมาย/สัญญา | เสี่ยงต่อการถูกลงโทษ หรือถูกฟ้องร้อง |
| 11 | ความเสี่ยงระบบสารสนเทศ | การควบคุมข้อมูลภายในไม่เพียงพอ |
| 12 | การรักษาความปลอดภัยทางไซเบอร์ | Cybersecurity ยังไม่มีประสิทธิภาพ |
สิ่งแวดล้อม
1. ผลกระทบจากการเปลี่ยนแปลงสภาพภูมิอากาศ
ความเสี่ยง: ความเสียหายจากภัยพิบัติ, ความผันผวนของราคา, ความเข้มงวดของกฎหมายด้านสิ่งแวดล้อม
แนวทางจัดการ: ปรับปรุงกระบวนการให้ยั่งยืน, ติดตาม Scope 1-3, ตั้งเป้าหมาย SBTi
สังคม
2. การพัฒนาบุคลากร
ความเสี่ยง: ขาดแคลนทักษะสำคัญ, ความไม่พอใจของพนักงาน, ประสิทธิภาพการทำงานต่ำ
แนวทางจัดการ: จัดแผนอบรม/พัฒนา, วางแผนสืบทอดตำแหน่ง, ส่งเสริม Well-being
3. ความปลอดภัยในการทำงาน
ความเสี่ยง: อุบัติเหตุ, ค่าใช้จ่ายชดเชย, การหยุดชะงักของการดำเนินงาน
แนวทางจัดการ: ระบบจัดการอาชีวอนามัย, การตรวจสอบประจำ, การฝึกซ้อมฉุกเฉิน
4. พนักงานทุจริต
ความเสี่ยง: ความเสียหายต่อชื่อเสียง, การสูญเสียทรัพย์สิน, ความเชื่อมั่นลดลง
แนวทางจัดการ: ระบบตรวจสอบภายใน, แจ้งเบาะแสได้อย่างปลอดภัย, วัฒนธรรมองค์กรโปร่งใส
5. การรั่วไหลของข้อมูลส่วนบุคคล (PDPA)
ความเสี่ยง: ถูกดำเนินคดี, สูญเสียความเชื่อมั่นลูกค้า, ค่าใช้จ่ายปรับปรุงระบบ
แนวทางจัดการ: เข้ารหัสข้อมูล, กำหนดสิทธิ์เข้าถึง, อบรมพนักงานเรื่อง PDPA
6. การละเมิดสิทธิมนุษยชน
ความเสี่ยง: ข้อกล่าวหาสาธารณะ, ความสัมพันธ์ทางธุรกิจเสียหาย
แนวทางจัดการ: จรรยาบรรณธุรกิจ, ตรวจสอบห่วงโซ่อุปทาน, รับรองสิทธิแรงงาน
7. คู่ค้าไม่มีจรรยาบรรณ
ความเสี่ยง: เสี่ยงด้าน ESG, ภาพลักษณ์องค์กรเสียหาย
แนวทางจัดการ: ประเมิน ESG คู่ค้า, สัญญา CSR, ตั้งระบบ blacklist
การกำกับดูแลและเศรษฐกิจ
8. ขาดผู้บริหารหลัก
ความเสี่ยง: สูญเสียทิศทาง, เสถียรภาพองค์กรลดลง
แนวทางจัดการ: แผนสืบทอดตำแหน่ง, วางโครงสร้างผู้บริหารสำรอง
9. ความไม่ต่อเนื่องด้าน IT
ความเสี่ยง: ข้อมูลสูญหาย, ระบบล่ม, ธุรกิจหยุดชะงัก
แนวทางจัดการ: แผน Business Continuity, Backup ข้อมูล, ซ้อมแผนฟื้นฟูระบบ
10. การไม่ปฏิบัติตามกฎหมาย/สัญญา
ความเสี่ยง: ค่าปรับ, สูญเสียใบอนุญาต, เสื่อมความน่าเชื่อถือ
แนวทางจัดการ: ตรวจสอบการปฏิบัติตาม, ฝึกอบรมกฎหมายที่เกี่ยวข้อง
11. ความเสี่ยงระบบสารสนเทศ
ความเสี่ยง: ระบบขัดข้อง, ความล่าช้าในการให้บริการ
แนวทางจัดการ: ตรวจสอบและปรับปรุงโครงสร้าง IT อย่างสม่ำเสมอ
12. การรักษาความปลอดภัยทางไซเบอร์
ความเสี่ยง: โดนแฮ็ก, การสูญหายของข้อมูล
แนวทางจัดการ: Firewall, Multi-factor Authentication, การทดสอบเจาะระบบ
การปฏิบัติงานของคณะทำงานด้านความเสี่ยง
บริษัทจัดตั้งคณะทำงานด้านความเสี่ยงตามสายงานที่มีการประชุมทุกไตรมาส และในปี 2567 มีการจัดประชุมคณะกรรมการบริหารความเสี่ยงทั้งหมด 4 ครั้ง โดยมีคณะกรรมการบริหารความเสี่ยงทุกท่านเข้าร่วมประชุมทุกครั้ง
คณะกรรมการบริหารความเสี่ยงมีความเห็นว่า บริษัทมีนโยบายจัดการเกี่ยวกับการบริหารความเสี่ยงที่เพียงพอและเหมาะสมโดยมีการปฏิบัติตามนโยบายบริหารความเสี่ยงอย่างต่อเนื่อง รวมทั้งมีการส่งเสริมให้การบริหารความเสี่ยงเป็นวัฒนธรรมองค์กรโดยมีการสร้างความรู้ความเข้าใจเพื่อให้ผู้บริหารทุกระดับและพนักงานตระหนักถึงความสำคัญของการบริหารความเสี่ยงโดยมีการพิจารณาความเสี่ยงในทุกครั้งที่มีการตัดสินใจดำเนินการในเรื่องต่าง ๆ ที่มีความสำคัญและอาจมีผลกระทบต่อการดำเนินงาน
บริษัทได้กำหนดเกณฑ์การประเมินโอกาสเกิดความเสี่ยง (Risk-based Decision Making) และมีการประเมินโอกาสที่จะเกิดและผลกระทบของความเสี่ยงที่สำคัญดังนี้
ตารางประเมินระดับโอกาสที่จะเกิดความเสี่ยง
เกณฑ์การประเมินโอกาสเกิดความเสี่ยง
| ระดับ | ค่าคำจำกัดความของแต่ละระดับในอดีต | ค่าคำจำกัดความของแต่ละระดับที่อาจเกิดขึ้นในอนาคต | จำนวนครั้ง (เดือน) ที่เกิดขึ้นต่อปี |
|---|---|---|---|
| ต่ำมาก 1 | ไม่เคยเกิดเหตุการณ์ขึ้นเลย | คาดว่าอาจเกิดขึ้นในสภาพการณ์ผิดปกติเท่านั้น มีโอกาสเกิด น้อยกว่า หรือ เท่ากับ 5% | 1 ครั้ง / ปี |
| ต่ำ 2 | เคยเกิดเหตุการณ์ขึ้นบ่อยมาก | คาดว่าอาจเกิดขึ้นได้ในบางเวลาเท่านั้น มีโอกาสเกิด มากกว่า 5 แต่ไม่เกิน 25% | 2-3 ครั้ง / ปี |
| ปานกลาง 3 | เคยเกิดเหตุการณ์ขึ้นบ่อยครั้ง | คาดว่าอาจเกิดขึ้นได้ในบางเวลาเท่านั้น มีโอกาสเกิด มากกว่า 25 แต่ไม่เกิน 50% | 4-6 ครั้ง / ปี |
| สูง 4 | เคยเกิดเหตุการณ์ขึ้นต่อเนื่อง | คาดว่าอาจเกิดขึ้นได้ในสภาพการณ์ส่วนใหญ่ มีโอกาสเกิด มากกว่า 50 แต่ไม่เกิน 95% | 7-9 ครั้ง / ปี |
| สูงมาก 5 | เคยเกิดเหตุการณ์ขึ้นเป็นประจำ | คาดว่าอาจเกิดขึ้นได้ในทุกสภาพการณ์ มีโอกาสเกิดมากกว่า 95% | 10-12 ครั้ง / ปี |
ตารางประเมินผลกระทบระดับความเสี่ยง
เป็นการประเมินระดับของความเสี่ยงโดยประเมินจากความรุนแรงของผลกระทบและประเมินจากโอกาสที่จะเกิดขึ้น
ตารางประเมินระดับความเสี่ยงบริษัท (Risk Matrix)
| โอกาสที่จะเกิดเหตุการณ์ความเสี่ยง | ความรุนแรงของผลกระทบ | ||||
|---|---|---|---|---|---|
| ต่ำมาก 1 | ต่ำ 2 | ปานกลาง 3 | สูง 4 | สูงมาก 5 | |
| สูงมาก 5 | ปานกลาง 5 | สูง 10 | สูง 15 | สูงมาก 20 | สูงมาก 25 |
| สูง 4 | ปานกลาง 4 | ปานกลาง 8 | สูง 12 | สูง 16 | สูงมาก 20 |
| ปานกลาง 3 | ต่ำ 3 | ปานกลาง 6 | ปานกลาง 9 | สูง 12 | สูง 15 |
| ต่ำ 2 | ต่ำ 2 | ต่ำ 4 | ปานกลาง 6 | ปานกลาง 8 | สูง 10 |
| ต่ำมาก 1 | ต่ำมาก 1 | ต่ำ 2 | ต่ำ 3 | ปานกลาง 4 | ปานกลาง 5 |
การควบคุมความเสี่ยงก่อนการให้สินเชื่อ
บริษัทพิจารณาความเสี่ยงในการให้สินเชื่อก่อนการให้สินเชื่อตามความสามารถในการชำระหนี้อย่างโปร่งใสและเป็นธรรม มีการกำกับดูแลให้ปฏิบัติที่ถูกต้องตามข้อกำหนดของกฎหมาย ข้อบังคับขององค์กรกำกับ และเงื่อนไขของสัญญา ด้วยการตรวจสอบการมีตัวตนของลูกค้าก่อนให้สินเชื่อเสมอ เป็นไปตามพระราชบัญญัติป้องกันและปราบปรามการฟอกเงิน พ.ศ. 2542 เกี่ยวกับการทำธุรกรรมกับลูกค้าที่อาจเข้าข่ายเป็นการกระทำความผิดตามกฎหมาย และเพื่อการบริหารจัดการความเสี่ยงอาจเกิดขึ้นได้อย่างมีประสิทธิภาพ บริษัทจึงได้กำหนดนโยบายการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้าขึ้นตามนโยบายการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า
การบริหารความต่อเนื่องทางธุรกิจ
บริษัทจัดทำแผนป้องกันและเตรียมความพร้อมในการจัดการภาวะวิกฤต ด้วยระบบการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management : BCM) ตามนโยบายการบริหารความต่อเนื่องทางธุรกิจ เพื่อบรรเทาผลกระทบ เช่น อัคคีภัย ภัยธรรมชาติ การก่อการร้าย การแพร่กระจายของเชื้อไวรัส เป็นต้น มีการตอบสนองที่มีประสิทธิผล เพื่อให้บริษัทมีความมั่นใจว่าจะดำเนินธุรกิจได้อย่างต่อเนื่อง ไม่หยุดชะงักหรือได้รับผลกระทบน้อยที่สุดหากเกิดภาวะวิกฤต สามารถฟื้นฟูการดำเนินงานของบริษัท ให้กลับมาสู่ภาวะปกติได้โดยเร็วที่สุด เพื่อสร้างความมั่นใจให้กับผู้มีส่วนได้เสียของบริษัท และสอดคล้องตามหลักการกำกับดูแลกิจการที่ดี
การบริหารจัดการความเสี่ยงของคู่ค้า
บริษัทแสดงความมุ่งมั่นของบริษัทในการบริหารจัดการคู่ค้าทางธุรกิจอย่างรับผิดชอบ โดยปฏิบัติตามนโยบายและแนวปฏิบัติในการจัดหาและคัดเลือกคู่ค้า เพื่อให้เป็นไปตามมาตรฐานที่กำหนดในการคัดเลือก ประเมิน และตรวจสอบคู่ค้าอย่างยุติธรรม โปร่งใส ยึดหลักความมั่นคงทางธุรกิจ ความเชื่อถือได้ของคู่ค้าที่มีแนวทางในการดำเนินธุรกิจที่มีคุณธรรม มีสถานภาพทางการเงินที่ดี ประวัติในการดำเนินธุรกิจที่น่าเชื่อถือ และมีสถานประกอบการที่สามารถตรวจสอบได้ ไม่มีการละเมิดสิทธิมนุษยชน และตระหนักถึงความรับผิดชอบต่อสังคม ชุมชน และสิ่งแวดล้อม หาแนวทางในการลดความเสี่ยง และสร้างความเข้าใจในการดำเนินธุรกิจร่วมกัน โดยการคัดเลือกคู่ค้าตามเกณฑ์ที่บริษัทกำหนด
ปี 2567 บริษัทเข้าพบคู่ค้าเพื่อประเมินความเสี่ยงในการดำเนินธุรกิจ จำนวน 2 แห่ง ในจังหวัดอุตรดิตถ์ และส่งเสริม สนับสนุนให้คู่ค้ามีการดำเนินธุรกิจอย่างยั่งยืนด้วยเกณฑ์การประเมินแบ่งเป็น
ด้านธรรมาภิบาล
ด้านสังคม
ด้านสิ่งแวดล้อม
ผู้มีส่วนได้เสียที่เกี่ยวข้อง
ผู้ถือหุ้น
ลูกค้า
คู่ค้า
เจ้าหนี้
