ความยั่งยืน

การบริหารความเสี่ยงเเละภาวะวิกฤต

ความยั่งยืน

การบริหารความเสี่ยงเเละภาวะวิกฤต

การสนับสนุนเป้าหมายการพัฒนาที่ยั่งยืน





โอกาสและความท้าทาย

ความท้าทายจากสถานการณ์ความมั่นคงปลอดภัยทางไซเบอร์

ประเด็นด้านภัยคุกคามและความมั่นคงทางไซเบอร์ (Cyber Security) มีแนวโน้มเพิ่มขึ้นและก่อให้เกิดผลกระทบหลากหลายรูปแบบ ทั้งการขโมยข้อมูลสำคัญ การโจมตีด้วยไวรัสคอมพิวเตอร์ ซอฟท์แวร์เรียกค่าไถ่ รวมไปถึงการเจาะระบบเพื่อเข้าควบคุมระบบปฏิบัติการต่าง ๆ ปตท. ตระหนักถึงอันตรายของภัยดังกล่าวและเล็งเห็นความสำคัญของการดำเนินการเชิงป้องกันและลดผลกระทบ เพื่อควบคุมความเสี่ยงที่อาจเป็นเป้าหมายในการถูกโจมตี ซึ่งจะกระทบความต่อเนื่องในการดำเนินธุรกิจ ความเชื่อมั่นและภาพลักษณ์ขององค์กรในสายตาของผู้มีส่วนได้ส่วนเสีย จึงมีการวางระบบ Cyber Security และบริหารจัดการตามมาตรฐานสากลระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ (ISO/IEC 27001) เพื่อปรับปรุงการดำเนินงานทั้งในส่วนของกระบวนการที่เกี่ยวข้องและระบบเทคโนโลยีต่าง ๆ

ความท้าทายจากสถานการณ์แพร่ระบาดของโรคโควิด 19 (COVID-19)

จากสถานการณ์การแพร่ระบาดโรคโควิด 19 ตั้งแต่ช่วงปลายปี 2562 เป็นต้นมา ปตท. ต้องเผชิญกับภาวะชะลอตัวของเศรษฐกิจทั่วโลก รวมถึงมาตรการที่เกี่ยวข้องของภาครัฐที่ส่งผลกระทบเชิงลบต่ออุปสงค์และราคาผลิตภัณฑ์บริษัทในกลุ่ม ปตท. เป็นอย่างมาก ซึ่งเป็นความท้าทายในการดำเนินธุรกิจปิโตรเลียมและปิโตรเคมีของกลุ่ม ปตท. ทั้งนี้ เพื่อลดผลกระทบดังกล่าว ปตท. ได้ติดตามสถานการณ์อย่างใกล้ชิด เพื่อดำเนินการบริหารความเสี่ยงด้านต่าง ๆ เช่น ด้านผลประกอบการและความแข็งแกร่งทางการเงิน ด้านห่วงโซ่อุปทานและกระบวนการดำเนินธุรกิจ และด้านสุขภาพและความปลอดภัยของบุคลากร เป็นต้น และกำหนดมาตรการที่เหมาะสมและสอดคล้องกับแต่ละสถานการณ์

แนวทางการจัดการ

การบริหารความเสี่ยงและภาวะวิกฤตGRI102-11, GRI102-30

ปตท. ตระหนักถึงความสำคัญของการบริหารความเสี่ยงภายใต้ความไม่แน่นอนต่าง ๆ โดยถือว่าการบริหารความเสี่ยงเป็นองค์ประกอบที่สำคัญของทุกกระบวนการในการดำเนินธุรกิจที่มีความเชื่อมโยงกันทุกระดับ จึงได้กำหนดเป็นนโยบายบริหารความเสี่ยงทั่วทั้งองค์กรที่พนักงานทุกคนต้องปฏิบัติตาม และมีการแต่งตั้งคณะกรรมการบริหารความเสี่ยงองค์กร ทำหน้าที่ในการกำหนดนโยบาย กรอบการบริหารความเสี่ยง กำกับดูแลและสนับสนุนให้การดำเนินงานด้านการบริหารความเสี่ยงองค์กรสอดคล้องกับกลยุทธ์และเป้าหมายทางธุรกิจ โดยพิจารณาสภาวการณ์ที่เปลี่ยนแปลงไปทั้งภายในและภายนอกภายใต้การวิเคราะห์การเปลี่ยนแปลงของภาวะแวดล้อมตลอดเวลา เช่น ความไม่แน่นอนทางการเมือง อุปสงค์อุปทานของปิโตรเลียมและปิโตรเคมีที่มีความผันผวน ความคาดหวังที่หลากหลายของกลุ่มผู้มีส่วนได้ส่วนเสีย การเปลี่ยนแปลงระเบียบและข้อบังคับต่าง ๆ ความก้าวหน้าของเทคโนโลยี และผลกระทบต่อสิ่งแวดล้อมอันเนื่องมาจากการทำธุรกิจ เป็นต้น รวมถึงให้ข้อเสนอแนะแนวทาง ติดตาม และประเมินผลการบริหารความเสี่ยงต่อคณะกรรมการแผนวิสาหกิจและบริหารความเสี่ยง (Corporate Plan and Risk Management Committee: CPRC) เพื่อนำไปดำเนินการให้เกิดประสิทธิผลสูงสุดและสอดคล้องกับหลักการและการผลักดันตามแนวทางการบริหารจัดการแบบกลุ่ม ปตท. (PTT Group Way of Conduct) รวมทั้งมีการนำเสนอรายงานต่อคณะกรรมการแผนวิสาหกิจและบริหารความเสี่ยง ซึ่งเป็นระดับฝ่ายจัดการ คณะกรรมการบริหารความเสี่ยงองค์กร คณะกรรมการตรวจสอบ และคณะกรรมการ ปตท. ตามกระบวนการที่ ปตท. กำหนดไว้ เพื่อทบทวนและให้ข้อคิดเห็นในการนำไปปรับปรุงประสิทธิภาพของการบริหารจัดการความเสี่ยงอย่างไม่หยุดนิ่ง เพื่อตอบสนองต่อความเสี่ยงได้อย่างทันท่วงทีและสร้างความพร้อมในการรองรับความเสี่ยงของธุรกิจในทุกด้าน

ปตท. ได้กำหนดกรอบการดำเนินงานและขั้นตอนการบริหารความเสี่ยงที่สอดคล้องกับหลักเกณฑ์ของ The Committee of Sponsoring Organizations of the Treadway Commission (COSO) Enterprise Risk Management (ERM) และมาตรฐานสากลหลักการและแนวทางการบริหารความเสี่ยง (ISO31000) (Risk Management - Principles and Guidelines) เพื่อให้ผู้ที่เกี่ยวข้องมีความเข้าใจหลักการบริหารความเสี่ยงและนำไปประยุกต์ใช้ได้อย่างเหมาะสม สำหรับความเสี่ยงในระดับองค์กรจะมีการบริหารจัดการผ่านคณะกรรมการจัดการต่าง ๆ ตามขอบเขตและหน้าที่รับผิดชอบอย่างเป็นระบบ ความเสี่ยงในระดับกลุ่มธุรกิจ หน่วยธุรกิจและระดับสายปฏิบัติงานจะอยู่ภายใต้การกำกับดูแลของผู้บริหารที่รับผิดชอบ โดยถือเป็นหน้าที่รับผิดชอบของทุกหน่วยงานในการบริหารจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้

เอกสารอ้างอิง: นโยบายการบริหารความเสี่ยงของบริษัท ปตท. จำกัด (มหาชน)


โครงสร้างองค์กรของ ปตท.


ความเสี่ยงระดับองค์กรGRI102-15

กระบวนการบริหารความเสี่ยงของ ปตท. ถูกออกแบบให้มีความเชื่อมโยงกับกระบวนการวางแผนกลยุทธ์ในแต่ละขั้นตอน โดยมีการวิเคราะห์และประเมินความเสี่ยง เพื่อจัดทำความเสี่ยงระดับองค์กรที่สอดคล้องกับเป้าหมายองค์กรและแผนกลยุทธ์เป็นประจำทุกปี รวมทั้งการนำความคาดหวังของผู้มีส่วนได้ส่วนเสียกลุ่มต่าง ๆ แนวโน้มภาวะเศรษฐกิจ สถานการณ์ทางการเมือง และการเปลี่ยนแปลงทางด้านสังคมและสิ่งแวดล้อมที่สำคัญมาประกอบการจัดทำความเสี่ยงระดับองค์กร โดยจำแนกปัจจัยความเสี่ยงหลักได้ดังนี้ ความเสี่ยงด้านกลยุทธ์ ความเสี่ยงด้านธุรกิจ ความเสี่ยงด้านปฏิบัติการ และความเสี่ยงทางการเงิน ที่อาจส่งผลกระทบต่อผลประกอบการ พนักงาน ลูกค้า คู่ค้า ชื่อเสียงองค์กร สาธารณชน และสิ่งแวดล้อม รวมทั้งพิจารณาความเสี่ยงจากเหตุการณ์ต่าง ๆ ทั่วไป ความเสี่ยงที่เกิดขึ้นใหม่ และเหตุการณ์ที่มีโอกาสเกิดไม่สูงแต่หากเกิดแล้วก่อให้เกิดความเสียหายและผลกระทบที่รุนแรงต่อธุรกิจ โดยเจ้าของความเสี่ยงจะจัดทำแผนบริหารความเสี่ยงและกำหนดดัชนีชี้วัดความเสี่ยง ติดตามและรายงานผลต่อคณะคณะกรรมการแผนวิสาหกิจและบริหารความเสี่ยง กรรมการบริหารความเสี่ยงองค์กร และคณะกรรมการตรวจสอบตามกระบวนการ
ที่ ปตท. กำหนดไว้


วัฒนธรรมความเสี่ยงภายในองค์กร

ปตท. ปลูกฝังจิตสำนึกด้านการบริหารความเสี่ยงให้แก่พนักงานทุกคน รวมถึงการสร้างบรรยากาศและวัฒนธรรมในการบริหารความเสี่ยง มุ่งเน้นให้มีการจัดสรรทรัพยากรและให้การสนับสนุนในด้านต่าง ๆ อย่างเหมาะสม โดยบูรณาการเข้ากับกระบวนการทำงานที่สำคัญของ ปตท. เพื่อส่งเสริมการบริหารจัดการความเสี่ยงให้มีประสิทธิผล


การบริหารความต่อเนื่องทางธุรกิจ

ปตท. มีความมุ่งมั่นสูงสุดเพื่อสร้างความมั่งคงด้านพลังงานให้กับประเทศไทย คุ้มครองผลประโยชน์ คงไว้ซึ่งความเชื่อใจ ความปลอดภัยและความมั่นคงของผู้มีส่วนได้ส่วนเสียทุกภาคส่วน ปตท. จึงได้พัฒนาระบบการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management System: BCMS) ตามกรอบมาตรฐานระบบการบริหารความต่อเนื่องทางธุรกิจกลุ่ม ปตท. (PTT Group BCMS Standard) โดยอ้างอิงจากมาตรฐานการบริหารความต่อเนื่องทางธุรกิจ (ISO22301) และมาตรฐานอื่นที่เกี่ยวข้อง ครอบคลุมการป้องกัน การตอบสนอง การรองรับ และการฟื้นฟู โดยแบ่งการดำเนินงานเป็น 3 ช่วง ได้แก่ ช่วงการป้องกัน/เตรียมความพร้อม ช่วงการตอบสนอง/ การดำเนินธุรกิจต่อเนื่อง และช่วงการฟื้นฟู ภายใต้การกำกับดูแลของคณะกรรมการบริหารความยั่งยืน ด้วยสภาพแวดล้อมในปัจจุบันที่มีการเปลี่ยนแปลงอย่างต่อเนื่อง จึงเป็นสิ่งท้าทายสำหรับการดำเนินธุรกิจให้บรรลุเป้าหมายอย่างต่อเนื่อง หลายครั้งเกิดวิกฤตการณ์ที่ไม่คาดคิด ภัยธรรมชาติ การก่อการร้าย และภัยคุกคามหลากหลายรูปแบบ ซึ่งส่งผลกระทบต่อความสามารถในการดำเนินธุรกิจ และอาจก่อให้เกิดการหยุดชะงักของกระบวนการที่สำคัญ ซึ่งหาก ปตท. ไม่สามารถฟื้นฟูความสามารถในการดำเนินงานให้กลับสู่สภาพปกติได้จะเกิดความเสียหายต่อทรัพย์สินหรือชีวิตรวมทั้งส่งผลกระทบอย่างกว้างขวางต่อประเทศชาติ สังคม ชุมชน และผู้มีส่วนได้ส่วนเสียทุกกลุ่ม ปตท. จึงให้ความสำคัญในการกำหนดกลยุทธ์บริหารจัดการในระดับองค์กรที่สอดคล้องกัน กำหนดมาตรการป้องกัน การเตรียมความพร้อม การฝึกซ้อม การส่งเสริมความตระหนักรู้และความรับผิดชอบตามกรอบระบบบริหารความต่อเนื่องทางธุรกิจอย่างเต็มความสามารถ

ปตท. จัดทำแผนเตรียมพร้อมด้านความปลอดภัยและตอบสนองต่อเหตุฉุกเฉิน/ ภาวะวิกฤต โดยแบ่งเป็น 4 ระดับตามความรุนแรงของเหตุการณ์ กล่าวคือ ระดับที่ 1 เป็นเหตุการณ์ที่ ปตท. สามารถระงับเหตุได้ด้วยตนเอง โดยกำหนดให้ตั้งศูนย์ควบคุมเหตุฉุกเฉิน เพื่ออำนวยการแก้ไขสถานการณ์ กรณีเป็นเหตุการณ์ที่ ปตท. จำเป็นต้องขอความช่วยเหลือเพิ่มเติมจากหน่วยงานภายนอกในระดับท้องถิ่น ระดับจังหวัด หรือระดับประเทศ จะพิจารณายกระดับเหตุฉุกเฉิน/ ภาวะวิกฤตขึ้นสู่ระดับ 2, 3 และ 4 ตามลำดับ พร้อมทั้งจัดตั้งศูนย์บริหารจัดการเหตุฉุกเฉิน/ ภาวะวิกฤตและบริหารความต่อเนื่องทางธุรกิจ โดยกำหนดผู้รับผิดชอบพร้อมมอบอำนาจในการบริหารจัดการในแต่ละระดับชั้นอย่างเหมาะสม เพื่อให้การแก้ไขปัญหาเป็นไปอย่างมีประสิทธิภาพ ตอบสนองต่อหน่วยงานทั้งภาครัฐและภาคเอกชน ตลอดจนชุมชมรอบข้างได้อย่างทันท่วงที ปตท. เชื่อมั่นว่าการสร้างภูมิคุ้มกันและมีเครื่องมือสนับสนุนการบริหารงานให้เกิดความต่อเนื่องของกระบวนการธุรกิจได้ในภาวะวิกฤตจะสามารถสร้างความเชื่อมั่นต่อผู้มีส่วนได้ส่วนเสียและสร้างความได้เปรียบในการแข่งขันได้อย่างยั่งยืน

สำหรับการตอบสนองต่อเหตุฉุกเฉิน/ ภาวะวิกฤตนั้น ปตท. แต่งตั้งผู้ประสานงานประจำหน่วยงาน เพื่อทำหน้าที่เป็นสื่อกลางในการส่งผ่านข้อมูลที่สำคัญ เช่น สิ่งที่พนักงานต้องปฏิบัติ หมายเลขโทรศัพท์ที่สำคัญ สถานที่ปฏิบัติงานสำรอง และการเปลี่ยนแปลงที่สำคัญในแต่ละปี เป็นต้น นอกจากนี้ ปตท. ยังมี Emergency & Business Continuity Management Web Portal เพื่อใช้เป็นช่องทางสื่อสารเรื่ององค์ความรู้เกี่ยวกับการบริหารจัดการเหตุฉุกเฉิน/ภาวะวิกฤต และบริหารความต่อเนื่องทางธุรกิจ ตลอดจนความเคลื่อนไหวต่างๆ ทั้งภายในและภายนอกองค์กร เพื่อให้พนักงานในองค์กรสามารถเข้าไปค้นคว้าหาความรู้เพิ่มเติม

การรักษาความปลอดภัยของข้อมูล/การกำกับดูแลความปลอดภัยทางไซเบอร์

คณะกรรมการ ปตท. ทบทวน วิสัยทัศน์ ทิศทาง กลยุทธ์ และความเสี่ยงขององค์กรเป็นประจำทุกปี โดยความปลอดภัยด้านไซเบอร์ได้รับการระบุเป็นหนึ่งในปัจจัยเสี่ยงขององค์กร (ความเสี่ยงด้านปฏิบัติการ) ซึ่งนำเสนอโดยผู้บริหารและได้รับการรับรองโดยคณะกรรมการ ปตท. ทั้งนี้ประสิทธิภาพและประสิทธิผลของการบริหารจัดการความปลอดภัยด้านไซเบอร์อยู่ภายใต้การดูแลของคณะกรรมการตรวจสอบ (Audit Committee: AC) คณะกรรมการบริหารจัดการความเสี่ยงองค์กร (Enterprise Risk Management Committee: ERMC) และคณะกรรมการ ปตท. โดยกรรมการ ปตท. ที่ดูแลกลยุทธ์ความปลอดภัยด้านไซเบอร์ได้แก่ นายจุมพล ริมสาคร (กรรมการ / กรรมการกำหนดค่าตอบแทน / กรรมการบริหารความเสี่ยงองค์กร) ซึ่งมีประสบการณ์ดำรงตำแหน่งผู้บริหารเทคโนโลยีสารสนเทศระดับสูง (CIO) กรมสรรพสามิต และ กระทรวงการคลัง รวมถึงมอบหมายให้ประธานเจ้าหน้าที่เทคโนโลยีและวิศวกรรม (Chief Technology and Engineering Officer: CTO) กำกับดูแลกำหนดกลยุทธ์ นโยบายและมาตรฐานด้านดิจิทัล และความปลอดภัยด้านไซเบอร์ให้สอดรับกับทิศทางกลยุทธ์ขององค์กร 

การรักษาความปลอดภัยของข้อมูล และความพร้อมของระบบ

ปตท. ได้นำกรอบการดำเนินงานมาตรฐานสากล ISO/IEC 27001 มาประยุกต์ใช้เพื่อพัฒนาประสิทธิภาพความปลอดภัยด้านไซเบอร์ โดยมีการดำเนินกิจกรรมที่สำคัญ เช่น การตรวจสอบระบบและประเมินหาความเสี่ยงที่เกิดจากช่องโหว่ของระบบดิจิทัล การติดตั้งอุปกรณ์ป้องกันเป็น Line of defend ทั้ง Intrusion Prevention System (IPS) Antivirus และใช้ AI ในการตรวจสอบและติดตามภัยคุกคาม รวมถึงพัฒนานโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศตามมาตรฐานสากล ISO/IEC 27032 ครอบคลุมทั้งในส่วนของ Information Technology (IT) และ Operation Technology (OT) โดยใช้บริการ Cyber Security Operations Center  (CSOC) ของ  บริษัท พีทีที ดิจิตอล โซลูชั่น จำกัด ทำหน้าที่เฝ้าระวังและป้องกันระบบดิจิทัลตลอดจนอุปกรณ์สำคัญขององค์กรจากการบุกรุกหรือการเข้าถึงโดยไม่ได้รับอนุญาตตลอดทุกวัน 24 ชั่วโมง โดยมีการทดสอบหาข้อปรับปรุงของ Service หรือ Application (Vulnerability Assessment)  อีกทั้ง ปตท. ยังมีมาตรฐานระบบการบริหารความต่อเนื่องทางธุรกิจกลุ่ม ซึ่งมีความเชื่อมโยงกันระหว่างหน่วยธุรกิจ และมีกระบวนการดำเนินการซ้อมแผน อาทิเช่น แผนการบริหารความต่อเนื่องทางธุรกิจ แผนการจัดเตรียมทรัพยากรบุคคล (กระบวนการติดตามบุคลากรหลัก) แผนการจัดเตรียมสถานที่ปฏิบัติงานสำรอง แผนการจัดเตรียมระบบดิจิทัล เป็นต้น เพื่อรองรับในกรณีที่เกิดภัยคุกคามขึ้นกับระบบดิจิทัลของ ปตท. และเมื่อเกิดเหตุฉุกเฉินที่อาจส่งผลกระทบต่อธุรกิจ ปตท. มีการประสานงานองค์กรเครือข่ายความร่วมมือเพื่อควบคุมสถานการณ์และลดผลกระทบที่เกิดขึ้นอย่างทันท่วงที ควบคู่ไปกับการเตรียมความพร้อมให้กับพนักงานในองค์กรโดยให้ความรู้ข้อมูลที่ถูกต้องเกี่ยวกับความปลอดภัยด้านไซเบอร์แก่พนักงานทั้งองค์กร ผ่าน e-Learning  ในหลักสูตรความปลอดภัยด้านไซเบอร์ และหลักสูตรความรู้เบื้องต้นเกี่ยวกับหลักการกำกับดูแลกิจการที่ดี และการต่อต้านการทุจริตและคอร์รัปชันของ ปตท. นอกจากนี้ยังมีการทดสอบความพร้อมการรับมือภัยคุกคามด้านไซเบอร์ของพนักงานเป็นประจำ เช่น การทดสอบ Phishing Mail รายไตรมาส โดยมีการติดตามวัดผลอย่างใกล้ชิด หากพนักงานคนใดยังปฏิบัติไม่ถูกต้องจะมีการสื่อสารและสร้างความตระหนักรู้เฉพาะบุคคลต่อไป



ผลการดำเนินงานที่สำคัญ

ในปี 2563 คณะกรรมการบริหารความเสี่ยงองค์กรกำหนดให้มีมาตรการเชิงรุกที่เน้นการบริหารจัดการเพื่อลดโอกาสเกิดเหตุการณ์ และมีมาตรการเชิงรับด้วยการจัดทำแผนบริหารจัดการความเสี่ยงรองรับสถานการณ์ต่าง ๆ อย่างครบถ้วน พิจารณาผลกระทบจากแผนธุรกิจต่อผู้มีส่วนได้ส่วนเสีย และนำมาจัดทำแผนงานเพื่อลดผลกระทบตามรูปแบบการบริหารจัดการที่เหมาะสม พิจารณาและให้ข้อคิดเห็น
วาระโครงการลงทุนขนาดใหญ่และสัญญาที่มีภาระผูกพันในระยะยาว มีความซับซ้อนเชิงธุรกิจ และมีความเสี่ยงที่ส่งผลกระทบต่อ ปตท. อย่างมีนัยสำคัญ พิจารณากลั่นกรองรายการความเสี่ยงองค์กรประจำปี โดยให้มีการบูรณาการรายการความเสี่ยงและแผนบริหารความเสี่ยงองค์กรควบคู่ไปกับการจัดทำแผนวิสาหกิจ เพื่อให้มีความชัดเจน สอดคล้องกับทิศทาง เป้าหมาย กลยุทธ์การดำเนินธุรกิจ มีการถ่ายทอดสู่การปฏิบัติทั่วทั้งองค์กร และติดตามการบริหารความเสี่ยงอย่างใกล้ชิดเป็นประจำทุกไตรมาส โดยกำหนดให้มีตัวชี้วัดความเสี่ยงเพื่อเฝ้าระวังและเตือนภัยล่วงหน้า รวมถึงการวัดประสิทธิผลของการบริหารความเสี่ยง และให้ข้อเสนอแนะแก่ฝ่ายจัดการในการทบทวนแผนบริหารความเสี่ยงให้สอดคล้องกับกลยุทธ์และสภาพแวดล้อมทางธุรกิจที่เปลี่ยนแปลงไป และมีการรายงานผลการดำเนินงานต่อคณะกรรมการ ปตท.

นอกจากนี้ ยังมีการจัดหลักสูตรอบรมเกี่ยวกับการบริหารความเสี่ยงให้แก่คณะกรรมการ ปตท. และคณะกรรมการบริหารความเสี่ยงองค์กร และปฐมนิเทศเรื่องการบริหารความเสี่ยงองค์กรให้แก่คณะกรรมการบริหารความเสี่ยงท่านใหม่ที่เข้ารับตำแหน่ง

กระบวนการบริหารจัดการความเสี่ยงและโอกาส

ปัจจุบัน ปตท. ได้ปรับปรุงกระบวนการบริหารจัดการความเสี่ยงและโอกาส โดยวิเคราะห์ความเสี่ยงจากปัจจัยภายในของกลุ่มธุรกิจ หน่วยธุรกิจ และสายงานสนับสนุน เพื่อให้ทราบถึงจุดแข็งและจุดอ่อนขององค์กร รวมถึงความเสี่ยงจากปัจจัยภายนอกที่มาจากการวิเคราะห์โอกาสและอุปสรรค รวมถึงสถานการณ์ต่าง ๆ ที่อาจส่งผลกระทบรุนแรงต่อองค์กรทั้งในเชิงบวกและลบและเพิ่มการวิเคราะห์ความเสี่ยงระดับสากล โดยระบุปัจจัยความเสี่ยงหลักและปัจจัยที่เป็นโอกาสที่ส่งผลกระทบต่อองค์กรในระยะสั้นและระยะยาว ครอบคลุมด้านสิ่งแวดล้อม สังคม เศรษฐกิจ และเทคโนโลยี เพื่อนำเข้ากระบวนการจัดทำแผนกลยุทธ์ และแผนบริหารความเสี่ยง พร้อมกำหนดผู้ที่มีหน้าที่รับผิดชอบในการบริหารความเสี่ยง และบูรณาการกับแผนวิสาหกิจเพื่อขอความเห็นชอบจากคณะกรรมการ ปตท. ถ่ายทอดไปยังหน่วยงานต่าง ๆ ทั่วทั้งองค์กรต่อไป นอกจากนี้ ยังได้มีการจัดทำแผนบริหารความต่อเนื่องทางธุรกิจ ที่สอดคล้องตามมาตรฐานระบบการบริหารความต่อเนื่องทางธุรกิจ กลุ่ม ปตท.