นโยบายและกระบวนการบริหารความเสี่ยงองค์กร

กรอบการการกำกับดูแล การบริหารความเสี่ยง และการกำกับการปฏิบัติตามกฎหมาย กฎระเบียบองค์กร (GRC) ของ ปตท. ในปัจจุบัน มีคณะกรรมการรับผิดชอบดูแลในแต่ละด้าน ประกอบด้วย คณะกรรมการกำกับดูแลกิจการที่ดีและความยั่งยืน (Corporate Governance and Sustainability Committee: CGSC) และคณะกรรมการจัดการการกำกับดูแล การบริหารความเสี่ยง และการกำกับการปฏิบัติตามกฎหมาย กฎระเบียบองค์กร (Governance Risk and Compliance Management Committee: GRCMC) ทำหน้าที่กำกับดูแล การปฏิบัติตามหลักธรรมาภิบาล การจัดการความเสี่ยงระดับปฏิบัติการและการควบคุมภายใน การกำกับการปฏิบัติตามกฎหมาย กฎระเบียบองค์กร การบริหารจัดการความยั่งยืน การดำเนินงานด้านดูแลสังคม ชุมชน และสิ่งแวดล้อม รวมถึงการบริหารส่งเสริมจริยธรรมและการป้องกันและปราบปรามการทุจริตและประพฤติมิชอบในการดำเนินงานของหน่วยงานรัฐวิสาหกิจ ให้มีประสิทธิภาพ โปร่งใส เป็นรูปธรรม สอดคล้องกับยุทธศาสตร์ชาติว่าด้วยการป้องกันและปราบปรามการทุจริตในภาครัฐ รวมถึงมีคณะกรรมการบริหารความเสี่ยงองค์กร (Enterprise Risk Management Committee: ERMC) และคณะกรรมการแผนวิสาหกิจและบริหารความเสี่ยง (Corporate Plan and Risk Management Committee: CPRC) ทำหน้าที่กำกับดูแลการบริหารความเสี่ยงระดับองค์กร ซึ่งจะมีการรายงานความก้าวหน้าของแผนงานด้านการกำกับดูแลด้านธรรมาภิบาล การบริหารความเสี่ยงและควบคุมภายใน และกฎหมายกฎระเบียบ (GRC) เสนอต่อคณะกรรมการที่เกี่ยวข้องดังกล่าว เพื่อทบทวนประสิทธิภาพและประสิทธิผลตามระยะเวลากำหนด

คณะกรรมการ ปตท. ได้อนุมัติจัดตั้งคณะกรรมการบริหารความเสี่ยงองค์กร (ERMC) เมื่อวันที่ 25 ตุลาคม 2556 โดย ณ วันที่ 31 ธันวาคม 2566 ERMC ประกอบด้วยกรรมการอิสระจากคณะกรรมการ ปตท. 2 ท่าน มีรองกรรมการผู้จัดการใหญ่กลยุทธ์องค์กรและความยั่งยืนได้รับมอบหมายดำรงตำแหน่ง Chief Risk Officer (CRO) และ Chief Stakeholder Officer (CSO) ทำหน้าที่เป็นเลขานุการ

โดยรองกรรมการผู้จัดการใหญ่กลยุทธ์องค์กรและความยั่งยืน (SEVP) ซึ่งเป็นประธานคณะกรรมการแผนวิสาหกิจและบริหารความเสี่ยง  (CPRC) ทำหน้าที่รับมอบนโยบาย ข้อคิดเห็นเสนอแนะจาก ERMC มาดำเนินการเพื่อการบริหารจัดการความเสี่ยงโดยรวม รวมถึง รายงานผลการดำเนินงานต่อ ERMC เพื่อให้มั่นใจว่ากระบวนการบริหารความเสี่ยงและการบริหารผู้มีส่วนได้ส่วนเสียมีประสิทธิภาพได้รับการนำไปปฏิบัติทั่วทั้งองค์กร สอดคล้องกับพันธกิจและกลยุทธ์ ทั้งนี้ ผลการดำเนินงานจาก ERMC จะรายงานผลต่อคณะกรรมการบริษัทเป็นรายไตรมาส

มีผู้ช่วยกรรมการผู้จัดการใหญ่สำนักตรวจสอบภายใน (EVP) สำนักตรวจสอบภายใน ทำหน้าที่สอบทานประสิทธิผลและประสิทธิภาพของการกำกับดูแลกิจการ การบริหารความเสี่ยง และกระบวนการควบคุมภายใน และรายงานผลต่อคณะกรรมการบริษัทอย่างน้อยทุกไตรมาส

กรอบการการกำกับดูแล การบริหารความเสี่ยง และการกำกับการปฏิบัติตามกฎหมาย กฎระเบียบองค์กร (GRC) ของ ปตท. แบ่งหน้าที่เป็น:

Business Owner (first line): Front-line employees or dedicated operational roles (e.g., risk managers, business unit heads) own and manage risks.

Standard Setters (second line): A dedicated role(s) or committee(s) exist(s) at the senior management or executive level, which is responsible for setting control standards and oversees compliance with them (does not include the CEO).

Assurance Provider (third line): An internal audit function that provides independent assurance on the effectiveness of risk management and compliance processes.

PTT GRC Framework

และมีฝ่ายบริหารผลดำเนินงาน ความเสี่ยงและพิจารณาการลงทุน (PCRIM) เป็นหน่วยงานภายใต้รองกรรมการผู้จัดการใหญ่กลยุทธ์องค์กรและความยั่งยืน ซึ่งโครงสร้างแยกออกจากหน่วยธุรกิจเพื่อความเป็นกลาง โดยมีความรับผิดชอบหลักดังนี้

1. ดำเนินกรอบและนโยบายการบริหารความเสี่ยงองค์กร (ERM) ให้สอดคล้องกับกลยุทธ์และวัตถุประสงค์ทางธุรกิจ
2. วิเคราะห์ความเสี่ยงเพื่อระบุความเสี่ยงที่มีนัยสำคัญและนำเสนอต่อคณะกรรมการ CPRC ERMC และคณะกรรมการ ปตท. ตามลำดับ
3. กำกับดูแลให้กระบวนการบริหารความเสี่ยงมีประสิทธิผลทั่วทั้ง ปตท.
4. ติดตาม รายงานเหตุการณ์ความเสี่ยงและผลการบริหารความเสี่ยงต่อ CPRC และ ERMC
   

การเสริมสร้างวัฒนธรรมความเสี่ยงองค์กร

ปตท. มีกลยุทธ์ในการส่งเสริมวัฒนธรรมความเสี่ยงที่มีประสิทธิผลทั่วทั้งองค์กรผ่านวัฒนธรรม GRC โดยใช้หลักการกำกับดูแลกิจการที่ดีและจรรยาบรรณในการดำเนินธุรกิจ บูรณาการเข้ากับการบริหารความเสี่ยง การควบคุมภายใน และการปฏิบัติตามกฎระเบียบ สื่อสารประเด็นผ่านช่องทางต่างๆ เพื่อให้พนักงานพัฒนาความรู้ความเข้าใจเกี่ยวกับ GRC ซึ่งเป็นการปลูกฝังจิตสำนึก สร้างบรรยากาศและวัฒนธรรมด้านการบริหารความเสี่ยงให้แก่พนักงานทุกคน รวมถึงมุ่งเน้นการจัดสรรทรัพยากรอย่างเหมาะสมเพื่อปรับปรุงประสิทธิภาพของการบริหารความเสี่ยงองค์กรอย่างต่อเนื่อง โดยส่งเสริมให้มีการฝึกอบรมหลักสูตรต่าง ๆ ด้าน GRC รวมถึงมีกิจกรรมเสริมสร้างวัฒนธรรม อาทิ กำหนดให้มี GRC Talkในการประชุมคณะกรรมการจัดการของ ปตท. (PTTMC) รายเดือน และกำหนดเป็นวาระประจำในทุกการประชุมของสายงาน มีการจัดกิจกรรม GRC Forum มีการเผยแพร่คลิปสัมภาษณ์ผู้บริหารระดับสูง ด้าน GRC เพื่อเป็น Tone from the Top ให้แก่ผู้บริหารและพนักงาน สำรวจความคิดเห็นและความรู้ความเข้าใจของบุคลากรเกี่ยวกับการบริหารความเสี่ยงองค์กรเป็นประจำทุกปี รวมถึงมีช่องทางในการรับข้อเสนอแนะเกี่ยวกับการบริหารความเสี่ยงตั้งแต่ระดับคณะกรรมการ ระดับผู้บริหาร ไปจนถึงพนักงานทุกคน โดยข้อเสนอแนะจะถูกรวบรวมเพื่อลดความเสี่ยงในอนาคต

ปี 2566 ปตท. เพิ่มกิจกรรม GRC Knowledge Awareness Workshop ตลอดจนประชาสัมพันธ์ GRC Policy และความรู้ด้าน GRC รวมทั้งเพิ่มช่องทางให้พนักงานศึกษานโยบายการบริหารความเสี่ยง คู่มือบริหารความเสี่ยงทั่วทั้งองค์กร เอกสารสื่อความประชาสัมพันธ์ต่าง ๆ ผ่านระบบ Risk Management Dashboard (RMD)

จัดให้มีช่องทางการสื่อสารและการรายงานให้กับพนักงาน เพื่อรายงานความเสี่ยงที่อาจเกิดขึ้นพร้อมทั้งให้คำแนะนำ เช่น

• การแจ้งเบาะแส: เว็บไซต์ www.pttplc.com อีเมล (corporate@pttplc.com) และอีเมล
• การประชุมฝ่ายตาม agenda-based: การบริหารความเสี่ยงและหัวข้อที่เกี่ยวข้องกับความเสี่ยง เช่น GRC Talk ต้องมีการรายงานอย่างสม่ำเสมอควบคู่กับผลการปฏิบัติงาน
• ระบบข้อเสนอแนะ: ให้พนักงานเสนอข้อเสนอแนะปรับปรุงประสิทธิผลและประสิทธิภาพของกระบวนการทำงาน
• ระบบการรายงาน Sub-standard/Near-missed: ให้พนักงานสามารถรายงานกิจกรรมที่อาจส่งผลให้ทรัพย์สินสูญหายหรือบาดเจ็บ
• กระบวนการทบทวนกลยุทธ์และแผนธุรกิจ: กระบวนการทบทวนกลยุทธ์มีการหารือความเสี่ยงที่สำคัญพร้อมกับวัตถุประสงค์ธุรกิจและแผนปฏิบัติการ ผู้บริหารและพนักงานจะระดมความคิด จัดทำ Risk Profile พร้อมแผนลดผลกระทบในทุกปี

โดยกรรมการที่ได้รับแต่งตั้งให้เป็นกรรมการ ERMC ปตท.จัดให้มีการปฐมนิเทศภายในเพื่อสนับสนุนความรับผิดชอบการบริหารความเสี่ยงและผู้มีส่วนได้ส่วนเสีย มีเนื้อหาประกอบด้วยมาตรฐานการบริหารความเสี่ยง นโยบาย กรอบการบริหาร และโครงสร้าง ความเสี่ยงและแนวทางการลดความเสี่ยงของ ปตท. เพื่อมั่นใจว่า ERMC กำกับและพิจารณาการบริหารความเสี่ยงได้อย่างมีประสิทธิภาพ

การอบรมทั่วทั้ง ปตท. เรื่องการบริหารความเสี่ยง ปตท.ได้จัดตั้งสถาบันพัฒนาผู้นำและการเรียนรู้กลุ่ม ปตท. (PLLI) มีวัตถุประสงค์ในการพัฒนาศักยภาพพนักงาน ส่งเสริมการเรียนรู้และเผยแพร่ความรู้เกี่ยวกับการบริหารความเสี่ยงให้กับผู้บริหารและพนักงานผ่านหลักสูตรการบริหารความเสี่ยง สื่อสารข้อมูลเกี่ยวกับการบริหารความเสี่ยงผ่านคู่มือการบริหารความเสี่ยงและ Knowledge Management Portal

ปี 2566 PLLI ได้พัฒนาหลักสูตร E-learning แบบครบวงจรภายใต้ Intranet ของ ปตท. เพื่อให้ผู้บริหารและพนักงานทุกคนเข้าร่วมอบรมได้ง่าย มีหลักสูตรการบริหารความเสี่ยงในรูปแบบ E-learning เช่น Strategic Enterprise Risk Management, Introduction to ESG for Business นอกจากนี้ยังมีหลักสูตรเฉพาะทางในการบริหารความเสี่ยง เช่น การควบคุมความเสี่ยงในการซื้อขาย การบริหารความเสี่ยงทางการเงิน เมื่อสิ้นสุดหลักสูตรผู้เข้ารับการอบรมจะได้รับการประเมินผลการอบรม

รวมถึง ปตท. ได้ผูกแรงจูงใจทางการเงินเข้ากับตัวชี้วัดการบริหารความเสี่ยง กำหนดในค่านิยมหลัก: SPIRIT ซึ่งมีความสำคัญในการสร้างพฤติกรรมและวิถีการทำงานร่วมกันของผู้บริหารและพนักงาน ปตท. หัวข้อการบริหารความเสี่ยงในค่านิยม SPIRIT ขององค์กร เพื่อส่งเสริมและเผยแพร่ความรู้เกี่ยวกับการบริหารความเสี่ยงให้กับพนักงานตระหนัก ได้แก่:
I – Integrity & Ethics: สร้างพลังความดี มุ่งเน้นให้พนักงานทำงานอย่างถูกต้อง โปร่งใส ปฏิบัติตนเป็นพนักงานที่ดีขององค์กร ประพฤติตนด้วยความซื่อสัตย์สุจริต ตั้งอยู่ในจริยธรรมอันดีงามและตระหนักรู้เกี่ยวกับความเสี่ยงในที่ทำงาน
P – Performance Excellence: สร้างความเป็นเลิศ มุ่งเน้นให้พนักงานพร้อมปรับตัวต่อการเปลี่ยนแปลงอย่างรวดเร็ว ตั้งใจทำงานเพื่อให้ได้ผลลัพธ์ที่เหนือความคาดหมาย เพื่อสร้างและส่งมอบคุณค่าที่ดีที่สุดให้แก่ผู้มีส่วนได้ส่วนเสีย

ค่านิยมองค์กรเป็นเกณฑ์หนึ่งในการประเมินผลการปฏิบัติงาน พนักงานต้องแสดงให้เห็นถึงความสำเร็จเชื่อมโยงกับค่านิยม SPIRIT ของ ปตท. ซึ่งส่งผลต่อการพิจารณาเลื่อนตำแหน่ง เงินเดือน และโบนัสคงที่/ผันแปร

ปตท. ใช้ KPI เป็นเครื่องมือสำคัญในการบริหารผลการปฏิบัติงานองค์กร ซึ่งมีความสอดคล้องกันระหว่างวัตถุประสงค์ของผู้บริหารและพนักงาน เพื่อให้พนักงานมีส่วนร่วมในการบริหารความเสี่ยง ตัวอย่าง KPI ที่เกี่ยวข้องกับการบริหารความเสี่ยง เช่น ประสิทธิผลการบริหารความเสี่ยงระดับองค์กร และประสิทธิผลการป้องกันความเสี่ยงด้านราคา เป็นต้น

นโยบายและกระบวนการบริหารความเสี่ยงองค์กร

ปตท. ตระหนักถึงความสำคัญของการบริหารความเสี่ยงภายใต้การเปลี่ยนแปลงจากปัจจัยภายในและภายนอกที่อาจส่งผลกระทบต่อธุรกิจ จึงใช้หลักมาตรฐานสากล Committee of Sponsoring Organizations of the Treadway Commission (COSO-ERM 2017) เพื่อบริหารความเสี่ยงอย่างต่อเนื่องและถือเป็นองค์ประกอบสำคัญของทุกกระบวนการดำเนินธุรกิจของ ปตท. ที่ต้องมีความเชื่อมโยงกันทุกระดับ จึงมีการบูรณาการระบบงานด้านการกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง และการปฏิบัติตามกฎหมาย กฎระเบียบองค์กร (Governance Risk and Compliance: GRC) เพื่อให้สามารถสนับสนุนการตัดสินใจของผู้บริหาร ช่วยปกป้องหรือสร้างมูลค่าเพิ่มให้กับองค์กรจากปัจจัยเสี่ยงที่องค์กรต้องเผชิญได้อย่างเป็นระบบและมีประสิทธิภาพ

ปตท. กำหนดนโยบายบริหารความเสี่ยง ขึ้น ซึ่งพนักงานทุกคนต้องถือปฏิบัติ ลงนามโดยประธานคณะกรรมการบริหารความเสี่ยงองค์กร และปี 2566 ปตท. ได้ประกาศ Risk Appetite Statement (RAS) ฉบับทบทวนเพื่อให้สอดคล้องกับเงื่อนไขที่เปลี่ยนแปลง และสื่อสารไปยังพนักงาน ปตท. ทุกคนรวมถึงได้จัดทำกระบวนการบริหารความเสี่ยงองค์กร เป็น “คู่มือการบริหารความเสี่ยงทั่วทั้งองค์กรของ ปตท. (PTT Enterprise Risk Management Manual (ERM)” เป็นลายลักษณ์อักษร เพื่อกำหนดให้เป็นแนวทางการปฏิบัติที่เป็นมาตรฐานทั่วทั้งองค์กร ประกอบไปด้วยรายละเอียดของการบริหารความเสี่ยงทั่วทั้งองค์กรแบบบูรณาการ นิยามและคำจำกัดความ กรอบการบริหารความเสี่ยงทั่วทั้งองค์กรของ ปตท. และกระบวนการบริหารความเสี่ยง เป็นต้น

ปตท. บริหารจัดการความเสี่ยงอย่างเป็นระบบผ่านคณะกรรมการจัดการต่าง ๆ และบูรณาการการบริหารความเสี่ยงควบคู่ไปกับการจัดทำแผนวิสาหกิจ เพื่อให้แผนบริหารความเสี่ยงมีประสิทธิภาพและประสิทธิผล สอดคล้องกับเป้าหมายและกลยุทธ์ขององค์กร ความเสี่ยงในการปฏิบัติงานถือเป็นหน้าที่รับผิดชอบของทุกหน่วยงานภายใต้การกำกับดูแลของผู้บริหารในการจัดการและควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ ซึ่งมีการระบุไว้ชัดเจนในคำบรรยายหน้าที่งานของทุกหน่วยงาน ทั้งนี้ กระบวนการบริหารความเสี่ยงของ ปตท. ได้รับการตรวจสอบโดยหน่วยงานภายในของ ปตท. ได้แก่ ฝ่ายระบบบริหารองค์กร และฝ่ายตรวจสอบภายในองค์กรอย่างสม่ำเสมอ รวมถึงได้รับการสอบทานโดยคณะกรรมการตรวจสอบของ ปตท. และสำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจเป็นประจำทุกปี

ปี 2566 ปตท. ได้ปรับปรุงกระบวนการบริหารความเสี่ยงองค์กรของ ปตท. ให้สอดคล้องกับหลักเกณฑ์และระบบประเมินผลการดำเนินงานรัฐวิสาหกิจมากยิ่งขึ้น รวมถึงมีการปรับปรุงกระบวนการบริหารความเสี่ยงจากการทบทวนโดยคณะกรรมการบริหารความเสี่ยงองค์กร ดังนี้

1. ปรับปรุง “ความเสี่ยงที่ยอมรับได้” (Risk Appetite Statement) ให้สอดคล้องกับสถานการณ์ที่เปลี่ยนแปลงไป
2. พิจารณาผลกระทบจากแผนธุรกิจต่อผู้มีส่วนได้ส่วนเสีย นำไปสู่การจัดทำแผนงานเพื่อลดผลกระทบตามรูปแบบการบริหารจัดการที่เหมาะสม
3. กำกับดูแลการจัดการนวัตกรรมองค์กรให้มีความครบถ้วนสมบูรณ์ สามารถเพิ่มประสิทธิผลด้านนวัตกรรมที่สอดคล้องตามวัตถุประสงค์เชิงยุทธศาสตร์และเป้าหมายหลักของ ปตท.
4. พิจารณาให้ข้อคิดเห็นวาระโครงการลงทุนขนาดใหญ่และสัญญาที่มีภาระผูกพันในระยะยาว มีความซับซ้อนเชิงธุรกิจ และมีความเสี่ยงที่ส่งผลกระทบต่อ ปตท. อย่างมีนัยสำคัญก่อนนำเสนอขออนุมัติต่อคณะกรรมการ ปตท.
5. พิจารณากลั่นกรองรายการความเสี่ยงองค์กรประจำปี ก่อนนำเสนอขออนุมัติต่อคณะกรรมการ ปตท. พร้อมแผนวิสาหกิจประจำปี โดยให้มีการบูรณาการรายการความเสี่ยงและแผนบริหาร
   ความเสี่ยงองค์กรควบคู่ไปกับการจัดทำแผนวิสาหกิจ เพื่อให้มีความชัดเจน สอดคล้องกับทิศทาง เป้าหมาย กลยุทธ์การดำเนินธุรกิจ มีการถ่ายทอดสู่การปฏิบัติทั่วทั้งองค์กร
6. ติดตามการบริหารความเสี่ยงอย่างใกล้ชิดเป็นประจำทุกไตรมาส โดยกำหนดให้มีตัวชี้วัดความเสี่ยงเพื่อเฝ้าระวังและเตือนภัยล่วงหน้า รวมถึงการวัดประสิทธิผลของการบริหารความเสี่ยง และให้ข้อเสนอแนะแก่ฝ่ายจัดการในการทบทวนแผนบริหารความเสี่ยงให้สอดคล้องกับกลยุทธ์และสภาพแวดล้อมทางธุรกิจที่เปลี่ยนแปลงไป และมีการรายงานผลการดำเนินงานต่อคณะกรรมการ ปตท.
7. พิจารณาผลประเมินความเสี่ยง ระดับความรุนแรงของผลกระทบ และการจัดทำมาตรการรองรับของ ปตท. กรณีเกิดเหตุการณ์สำคัญที่มีความเสี่ยงและอาจส่งผลกระทบต่อการดำเนินธุรกิจของ กลุ่ม ปตท. (Risk Event) พร้อมให้ข้อคิดเห็น หรือมอบนโยบายการจัดทำแผนบริหารความเสี่ยงเพิ่มเติม
8. ปรับปรุงแนวทางการบริหารความเสี่ยงด้านราคาโดยการใช้ตราสารอนุพันธ์ของบริษัทในกลุ่ม ปตท.

เครื่องมือที่ใช้ในการบริหารความเสี่ยง

ปตท. ศึกษาและนำเครื่องมือบริหารความเสี่ยงในรูปแบบต่าง ๆ มาประยุกต์ใช้ เช่น

• การกำหนดระดับความเสี่ยงที่องค์กรยอมรับได้ (Risk Appetite) เพื่อเป็นกรอบในการดำเนินงานขององค์กร โดยมีองค์ประกอบหลัก 4 ด้าน ได้แก่
  
  1. ด้าน Strategic Risk เกี่ยวกับความมั่นคงด้านพลังงาน และ Portfolio การลงทุน
  2. ด้าน Compliance Risk เกี่ยวกับความโปร่งใส และมีธรรมาภิบาล
  3. ด้าน Operation Risk เกี่ยวกับ Efficiency SSHE และ Cyber Security
  4. ด้าน Financial Risk เกี่ยวกับ Financial Health และ Credit Rating

นอกจากนี้ ปตท. มีการกำหนดความเสี่ยงที่องค์กรยอมรับได้ระดับองค์กร ประจำปี (Key Risk Indicator: KRI) ในแต่ละแผนบริหารความเสี่ยง (Mitigation Plan) สำหรับรายการความเสี่ยงระดับองค์กร (Corporate Risk Profile) โดย PTT Risk Appetite รวมถึงแผนบริหารความเสี่ยง และ KRI จะมีการสื่อสารและถ่ายทอดต่อผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องรวมถึงมีการติดตามเป็นประจำ เพื่อให้มั่นใจว่าระดับของความเสี่ยงที่องค์กรตั้งใจจะรับไว้ไม่เกินค่าที่กำหนด

• การประเมินและจัดลำดับปัจจัยความเสี่ยงโดยแผนที่ความเสี่ยง (Risk Map) โดยกำหนดระดับความรุนแรงทั้งโอกาสและผลกระทบให้สัมพันธ์กับขอบเขตระดับความเสี่ยงที่องค์กรสามารถรับได้ (Risk Boundary) แบ่งเป็น 4 ระดับ ได้แก่ ความเสี่ยงระดับต่ำ (สีเขียว) ความเสี่ยงระดับปานกลาง (สีเหลือง) ความเสี่ยงระดับสูง (สีส้ม) และความเสี่ยงระดับสูงมาก (สีแดง) ดังแสดงตามรูป
  
  

ทั้งนี้ รายการความเสี่ยงระดับสูงและสูงมาก จะถูกกำหนดให้เป็นความเสี่ยงระดับองค์กรซึ่งจะต้องดำเนินการตามกระบวนการบริหารความเสี่ยง องค์กร

• การนำเทคนิค Monte Carlo Simulation มาใช้ในการบ่งชี้ผลกระทบต่อผลประกอบการในรูปแบบมูลค่าความเสี่ยง (Value at Risk: VaR) โดยวิเคราะห์จากปัจจัยเสี่ยงหลัก (Key Risk Factors) ที่ส่งผลกระทบต่อผลประกอบการ (กำไรสุทธิ) ของกลุ่ม ปตท.  อาทิเช่น ราคาผลิตภัณฑ์ปิโตรเลียมและปิโตรเคมี ค่าการกลั่น อัตราแลกเปลี่ยน และปริมาณการผลิต รวมถึงจัดทำ Sensitivity Impact Analysis เพื่อวิเคราะห์และประเมินผลกระทบของแต่ละปัจจัยเสี่ยงหลักภายใต้สถานการณ์ที่เปลี่ยนแปลง โดยกำหนดความถี่การดำเนินการดังกล่าวเป็นรายไตรมาส เพื่อให้ ปตท. มีความพร้อมใน
  การปรับปรุงแผนบริหารความเสี่ยงให้มีประสิทธิภาพมากยิ่งขึ้น

การบริหารความเสี่ยงระดับองค์กร

กิจกรรมควบคุมและแผนบริหารความเสี่ยง (Control and Mitigation Plan) ภายหลังได้รับการเห็นชอบจากคณะกรรมการ ปตท. จะมีการติดตามอย่างต่อเนื่อง โดยหากเกิดสัญญาณแจ้งเตือน (Trigger Alert) หน่วยงานผู้รับผิดชอบ (Risk Owner) จะต้องเตรียมข้อมูลพร้อมแผนปรับปรุงการบริหารความเสี่ยง นำเสนอคณะกรรมการแผนวิสาหกิจและบริหารความเสี่ยง (CPRC) และคณะกรรมการบริหารความเสี่ยงองค์กร ปตท. (ERMC) พิจารณาอนุมัติแผนและเร่งดำเนินการเพื่อให้ระดับของความเสี่ยงกลับมาอยู่ในระดับปกติ

นอกจากนี้ ปตท. กำหนดให้มี Control-Self-Assessment (CSA) ในทุกกระบวนการเพื่อให้มั่นใจว่ามีการนำกิจกรรมการควบคุมภายในที่มีประสิทธิผลมาใช้อย่างสม่ำเสมอ เจ้าของกระบวนการมีความเข้าใจถึงความเสี่ยงต่อเนื่องจากกระบวนการหรือกิจกรรม ก่อนที่จะประเมินความเพียงพอของกิจกรรม/มาตรการควบคุม หากมีความเสี่ยงที่เหลืออยู่เกินระดับยอมรับได้ เจ้าของกระบวนการมีหน้าที่รับผิดชอบในการออกแบบการควบคุมเพิ่มเติมเพื่อลดผลกระทบหรือโอกาสให้อยู่ในระดับที่ยอมรับได้ ฝ่ายบริหารมีหน้าที่กำกับดูแล ปรับปรุงการควบคุมให้มีประสิทธิผลอย่างต่อเนื่อง ผลลัพธ์ของ CSA จะถูกรวบรวมโดยฝ่ายควบคุมภายในและจัดการความเสี่ยง เพื่อวิเคราะห์ประสิทธิผลของการควบคุม และรายงานต่อคณะกรรมการที่รับผิดชอบเพื่อให้ข้อเสนอแนะในการปรับปรุง CSA และอนุมัติแผนในปีถัดไป

ตัวอย่าง 2 หัวข้อ สำหรับการระบุความเสี่ยงของ ปตท. (พิจารณาจากโอกาสและผลกระทบ) รวมถึงการบรรเทาผลกระทบ

ความเสี่ยง (Exposure)	แนวทางบริหารความเสี่ยง	ระดับความเสี่ยงที่ยอมรับได้ ภายหลังการบริหารจัดการ (Risk Movement)	ระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite)
1. ความเสี่ยงในการดำเนินธุรกิจ AI, Robotics & Digitalization และ Logistics & Infrastructure ให้ประสบความสำเร็จเป็น New S-Curve ของ ปตท.: หาก ปตท. ไม่สามารถแสวงหาโอกาสและพัฒนาธุรกิจรูปแบบใหม่ได้ อาจส่งผลกระทบต่อผลประกอบการของ ปตท.	จัดทำตัวจำลองต้นแบบ (Prototype) เพื่อทดสอบเทคโนโลยีและการตอบรับของตลาดก่อนพัฒนาไปสู่เชิงพาณิชย์ (Scale up to Commercial) สรรหาและพัฒนาทีมงานที่มีความรู้ความเชี่ยวชาญ ตลอดจนแสวงหาการลงทุนเพิ่มเติมกับพันธมิตรที่มีศักยภาพ		% Invested Capital of Low Price Volatility Business in PTT Group Investment Portfolio
2. ความเสี่ยงจากความมั่นคงปลอดภัยทางไซเบอร์: หากเกิดภัยคุกคามทางไซเบอร์ภายในระบบ Information Technology (IT) และ Operation Technology (OT) ของ ปตท. อาจส่งผลกระทบในด้านต่าง ๆ เช่น ถูกขโมยข้อมูล ถูกขู่กรรโชกเพื่อเรียกค่าไถ่ สูญเสียภาพลักษณ์และชื่อเสียง ไปจนถึงทำให้ธุรกิจต้องหยุดชะงัก	ดำเนินงานตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศอย่างเคร่งครัด เพิ่มประสิทธิภาพการดำเนินงานโดยลงทุนในเทคโนโลยี เพิ่มประสิทธิภาพของกระบวนการทำงาน และเพิ่มความตระหนักรู้ถึงภัยคุกคามทางด้านไซเบอร์ให้กับบุคลากรภายในองค์กร เช่น ตรวจสอบค้นหาช่องโหว่ รวมถึงทำการทดสอบการเจาะระบบโดยผู้เชี่ยวชาญ เพื่อค้นหาช่องโหว่และวัดประสิทธิภาพของระบบป้องกันภายในองค์กร โดยครอบคลุมทั้ง Information Technology (IT) และ Operation Technology (OT) เป็นต้น มอบหมายให้บริษัท PTT Digital Solutions เป็นผู้ให้บริการด้าน Cybersecurity ให้กับบริษัทในกลุ่ม ปตท. โดยมีศูนย์ Cyber Security Operation Center (CSOC) ทำหน้าที่เฝ้าระวังตรวจสอบความผิดปกติจากการโจมตีทางด้านไซเบอร์ตลอด 24 ชั่วโมง รวมทั้งมีแผนรองรับการตอบสนองการเกิดเหตุด้านไซเบอร์ในรูปแบบต่าง ๆ อย่างชัดเจน  มีการประสานงานร่วมกับศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) และ Community สากลอื่น ๆ เพื่อแลกเปลี่ยนข้อมูลเหตุการณ์ทางด้าน Cybersecurity ระหว่างกัน		Cybersecurity Incident Case

Sensitivity Analysis & Stress Test

ปตท. เปิดเผยข้อมูลการวิเคราะห์ความอ่อนไหว (Sensitivity Analysis) หรือการทดสอบภาวะวิกฤต(Stress Test) เกี่ยวกับความเสี่ยงทางการเงิน ได้แก่ อัตราแลกเปลี่ยนเงินตราต่างประเทศ อัตราดอกเบี้ย ราคาตลาดน้ำมันใน แบบ 56-1 One Report 2566: รายงานทางการเงิน, หน้า 200-201

นอกจากนี้ ปตท. ได้จัดทำแผนธุรกิจเพื่อรองรับสถานการณ์ที่หลากหลาย (Scenario Planning) ในสถานการณ์ระดับราคาน้ำมันต่างๆ รองรับการเปลี่ยนแปลงและความไม่แน่นอนที่อาจเกิดขึ้นในอนาคตอย่างทันท่วงที อีกทั้งมีการตั้งคณะทำงานบริหารความเสี่ยงด้านราคา (Price Strategy and Risk Management) ภายใต้โครงการ Petrochemical and Refining Integrated Synergy Management (PRISM) ทำหน้าที่วิเคราะห์สถานการณ์ความเคลื่อนไหวราคาน้ำมันในตลาดโลกและบริหารความเสี่ยงด้านราคา (Hedging) ร่วมกันภายในกลุ่ม ปตท. โดยปัจจุบัน กลุ่ม ปตท. ดำเนินการบริหารจัดการความเสี่ยงด้านราคาปิโตรเลียมและปิโตรเคมีโดยใช้ตราสารอนุพันธ์ (Derivatives) เป็นเครื่องมือซึ่งมีการวิเคราะห์ข้อมูลอย่างรอบคอบและถี่ถ้วน รวมทั้งเลือกเครื่องมือที่ใช้ในการบริหารความเสี่ยงที่เหมาะสมกับช่วงเวลาและวัตถุประสงค์ (แบบ 56-1 One Report 2566 หน้า 66-69)

Emerging Risks

รายละเอียดเพิ่มเติมเกี่ยวกับปัจจัยความเสี่ยงที่ส่งผลต่อการดำเนินธุรกิจของบริษัทในปี 2566 สามารถศึกษาเพิ่มเติมได้ในแบบ 56-1 One Report 2566 หน้า 63-69

การบริหารความต่อเนื่องทางธุรกิจ

กระบวนการบริหารความต่อเนื่องทางธุรกิจ

ปตท. ได้พัฒนาระบบการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management System: BCMS) ตามมาตรฐานการบริหารความต่อเนื่องทางธุรกิจ (ISO22301:2019) และมาตรฐานอื่นที่เกี่ยวข้อง ครอบคลุมการป้องกัน การตอบสนอง การรองรับ และการฟื้นฟู โดยแบ่งการดำเนินงานเป็น 3 ช่วง ได้แก่ ช่วงการป้องกัน/ เตรียมความพร้อม ช่วงการตอบสนอง/ การดำเนินธุรกิจต่อเนื่อง และช่วงการฟื้นฟู โดยแผนบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan: BCP) ได้รับความเห็นชอบจากคณะกรรมการจัดการ และคณะกรรมการ ปตท. ด้วยสภาพแวดล้อมในปัจจุบันที่มีการเปลี่ยนแปลงอย่างต่อเนื่อง จึงเป็นสิ่งท้าทายสำหรับองค์กรในเรื่องการเกิดวิกฤตการณ์ที่ไม่คาดคิด ภัยธรรมชาติ ความไม่สงบทางการเมือง การก่อการร้าย โรคระบาด ภัยคุกคามทางไซเบอร์ ซึ่งอาจก่อให้เกิดการหยุดชะงักของกระบวนการที่สำคัญของ ปตท. หาก ปตท. ไม่สามารถฟื้นฟูความสามารถในการดำเนินงานให้กลับสู่สภาพปกติได้จะเกิดความเสียหายต่อทรัพย์สินหรือชีวิตรวมทั้งส่งผลกระทบอย่างกว้างขวางต่อประเทศชาติ สังคม ชุมชน และผู้มีส่วนได้ส่วนเสียทุกกลุ่ม ปตท. ตระหนักถึงความสำคัญในการเตรียมความพร้อมด้านต่าง ๆ เพื่อตอบสนองวิกฤตการณ์และดำเนินธุรกิจได้อย่างต่อเนื่อง จึงกำหนดนโยบายด้านการบริหารความต่อเนื่องทางธุรกิจ โดยให้ผู้บริหารและพนักงาน ตลอดจนผู้ปฏิบัติให้กับ ปตท. ทุกคนตระหนักถึงการมีส่วนร่วมในการดำเนินการ สนับสนุน และปฏิบัติตามนโยบายฯ อย่างสม่ำเสมอ

ปตท. จัดทำแผนเตรียมพร้อมด้านความปลอดภัยและตอบสนองต่อเหตุฉุกเฉิน/ ภาวะวิกฤต โดยแบ่งเป็น 4 ระดับตามความรุนแรงของเหตุการณ์ กล่าวคือ กรณีเป็นเหตุการณ์ที่ ปตท. จำเป็นต้องขอความช่วยเหลือเพิ่มเติมจากหน่วยงานภายนอกในระดับท้องถิ่น ระดับจังหวัด ระดับภูมิภาค หรือระดับประเทศ จะพิจารณายกระดับเหตุฉุกเฉิน/ ภาวะวิกฤตขึ้นสู่ระดับ 1, 2, 3 และ 4 ตามลำดับ พร้อมทั้งจัดตั้งศูนย์บริหารจัดการเหตุฉุกเฉิน/ ภาวะวิกฤตและบริหารความต่อเนื่องทางธุรกิจ โดยกำหนดผู้รับผิดชอบพร้อมมอบอำนาจในการบริหารจัดการในแต่ละระดับชั้นอย่างเหมาะสม เพื่อให้การแก้ไขปัญหาเป็นไปอย่างมีประสิทธิภาพ ตอบสนองต่อหน่วยงานทั้งภาครัฐและภาคเอกชน ตลอดจนชุมชมรอบข้างได้อย่างทันท่วงที นอกจากนี้ ปตท. มีการแต่งตั้งผู้ประสานงานประจำหน่วยงาน เพื่อทำหน้าที่เป็นสื่อกลางในการส่งผ่านข้อมูลที่สำคัญ เช่น สิ่งที่พนักงานต้องปฏิบัติ หมายเลขโทรศัพท์ที่สำคัญ สถานที่ปฏิบัติงานสำรอง และการเปลี่ยนแปลงที่สำคัญในแต่ละปี เป็นต้น รวมทั้งมีการจัดทำ Emergency & Business Continuity Management Web Portal เพื่อใช้เป็นช่องทางสื่อสารและดำเนินการเรื่องการบริหารจัดการเหตุฉุกเฉิน/ภาวะวิกฤต และบริหารความต่อเนื่องทางธุรกิจ

ปตท. จัดฝึกซ้อมแผนบริหารความต่อเนื่องทางธุรกิจ กรณีเกิดเหตุฉุกเฉินจากภัยคุกคามทางไซเบอร์ (Cyber Attack) ส่งผลให้ระบบงานทั้งหมดไม่สามารถใช้งานได้ จึงต้องมีการบริหารจัดการกรณีก๊าซธรรมชาติฝั่งตะวันออกและตะวันตกมีปริมาณลดลง โดยมีประธานเจ้าหน้าที่บริหารและกรรมการผู้จัดการใหญ่ เป็นประธาน และมีผู้บริหารตามโครงสร้างศูนย์บริหารจัดการภาวะวิกฤตและบริหารความต่อเนื่องทางธุรกิจ (Crisis Management Center: CMC) เข้าร่วมการฝึกซ้อมด้วย มีการประสานไปยังศูนย์บริหารจัดการเหตุฉุกเฉินของกลุ่มธุรกิจ รวมถึง บริษัท พีทีที ดิจิตอล โซลูชั่น จำกัด ผ่านระบบการประชุมทางไกลด้วยวีดิทัศน์ ในปี 2566 ปตท. ยังคงได้รับการรับรองมาตรฐานการบริหารความต่อเนื่องทางธุรกิจ (ISO 22301) จากสถาบันรับรองมาตรฐานไอเอสโอ (สรอ.)