การบริหารจัดการความเสี่ยงและวิกฤติ และความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล

ผลกระทบต่อธุรกิจ

การบริหารจัดการความเสี่ยงและวิกฤตของบริษัท รวมถึงความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล มีบทบาทสำคัญในการเสริมสร้างความยั่งยืนและศักยภาพในการแข่งขันให้กับธุรกิจพลังงานหมุนเวียน โดยช่วยลดความเสียหายที่อาจเกิดขึ้นจากเหตุการณ์ต่าง ๆ พร้อมเสริมสร้างความมั่นใจให้กับผู้มีส่วนได้เสียทุกภาคส่วน การดำเนินการไม่เพียงช่วยให้บริษัทสามารถปรับตัวต่อการเปลี่ยนแปลงด้านนโยบายและเทคโนโลยีได้อย่างมีประสิทธิภาพ แต่ยังสนับสนุนเป้าหมายและวัตถุประสงค์ของบริษัทในการสร้างระบบบริหารจัดการที่มีคุณภาพและลดความเสี่ยงที่อาจเกิดขึ้น
ทั้งนี้ การบริหารจัดการความเสี่ยงและความมั่นคงปลอดภัยยังส่งผลให้บริษัทมีศักยภาพในการเพิ่มขีดความสามารถการแข่งขัน พร้อมสร้างความไว้วางใจและความน่าเชื่อถือ ซึ่งถือเป็นปัจจัยสำคัญในการผลักดันการเติบโตและเพิ่มมูลค่าให้กับธุรกิจในระยะยาว

ความท้าทายและโอกาส

สถานการณ์โลกที่เปลี่ยนแปลงอย่างรวดเร็วในปัจจุบัน ไม่ว่าจะเป็นสถานการณ์เงินเฟ้อทั่วโลก ความไม่แน่นอนทางเศรษฐกิจ ความขัดแย้งทางภูมิรัฐศาสตร์ การเปลี่ยนแปลงด้านสภาพภูมิอากาศ ตลอดจนภัยคุกคามด้านความมั่งคงทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ล้วนสร้างความท้าทายที่ต่อการดำเนินธุรกิจและผู้มีส่วนได้เสีย

บริษัทจึงให้ความสำคัญกับการติดตามสถานการณ์และกำหนดกระบวนการบริหารจัดการความเสี่ยงอย่างรอบคอบ โดยยึดแนวทางตามมาตรฐานสากลและสอดคล้องตามกฎหมายที่เกี่ยวข้อง พร้อมส่งเสริมสร้างวัฒนธรรมองค์กรที่มุ่งเน้นความพร้อมรับมือกับความเสี่ยงและวิกฤตในอนาคต เพื่อป้องกันและความเสียหายที่อาจเกิดขึ้น ตลอดจนลดผลกระทบต่อผู้มีส่วนได้เสียและนักลงทุน อีกทั้งยังเป็นการเพิ่มโอกาสทางธุรกิจ ผ่านการพัฒนากลยุทธ์ที่ยืดหยุ่นและเหมาะสม เพื่อสนับสนุนการปรับตัวและเพิ่มขีดความสามารถในการแข่งขันให้มีประสิทธิภาพสูงสุด พร้อมขับเคลื่อนธุรกิจให้เติบโตอย่างมั่นคงและยั่งยืน

ความมุ่งมั่น

บริษัทมุ่งมั่นในการบริหารจัดการความเสี่ยงและวิกฤต รวมถึงความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองความเป็นส่วนตัวของข้อมูล โดยปฏิบัติตามมาตรฐานสากลและกฎหมายที่เกี่ยวข้อง ตั้งแต่การกำหนดนโยบาย การจัดโครงสร้างการดำเนินงาน กระบวนการดำเนินงาน ตลอดจนการติดตามผลลัพธ์และการเฝ้าระวังความเสี่ยงใหม่ที่อาจเกิดขึ้นในอนาคต (Emerging Risks)

ทั้งนี้ บริษัทให้ความสำคัญกับการเสริมสร้างวัฒนธรรมองค์กร โดยส่งเสริมการเรียนรู้และสร้างความตระหนักรู้ในทุกระดับเกี่ยวกับการจัดการความเสี่ยงและความมั่นคงปลอดภัย เพื่อให้พนักงานมีศักยภาพในการรับมือกับความเปลี่ยนแปลงที่อาจส่งผลต่อธุรกิจ และมีส่วนร่วมในการสร้างโอกาสการเติบโตอย่างยั่งยืนในระยะยาว

แนวทางเหล่านี้สะท้อนถึงความตั้งใจของบริษัทในการเพิ่มศักยภาพในการปรับตัวและเสริมขีดความสามารถการแข่งขัน พร้อมสร้างระบบบริหารจัดการความเสี่ยงและความมั่นคงปลอดภัยที่เป็นเลิศ เพื่อผลักดันการเติบโตขององค์กรอย่างมั่นคงและยั่งยืนในทุกมิติ.

แนวทางการบริหารจัดการ

การบริหารความเสี่ยง

บริษัทได้ดำเนินการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management: ERM) โดยยึดถือแนวปฏิบัติตามมาตรฐานสากล COSO (The Committee of Sponsoring Organizations of the Treadway Commission) หรือ COSO-ERM 2017 Framework ซึ่งเป็นกรอบที่ช่วยในการจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ (Risk Appetite / Risk Tolerance) บริษัทได้จัดทำนโยบายและจัดตั้งคณะทำงานบริหารความเสี่ยง ประกอบด้วยผู้บริหารจากทุกสายงาน อาทิ สายงานวางแผนธุรกิจ สายงานวิศวกรรม ฝ่ายเดินเครื่องและบำรุงรักษา ผู้จัดการโรงไฟฟ้า เป็นผู้ได้รับมอบหมายในการจัดทำแผนการบริหารความเสี่ยงรายปี เพื่อให้การจัดการความเสี่ยงนั้นครอบคลุมมิติความเสี่ยงด้านกลยุทธ์ ด้านการดำเนินงาน ด้านการเงิน ด้านกฎหมายและกฎระเบียบ รวมถึงความเสี่ยงด้านสิ่งแวดล้อม สังคม และการกำกับดูแล (ESG Risk) และความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risks) ของบริษัท ตลอดจนกำหนดให้มีการรายงานผลการบริหารความเสี่ยงทุกๆ 3 เดือนหรือทุกไตรมาส เพื่อประเมินและติดตามมาตรการจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ เพื่อเตรียมความพร้อมและตอบสนองต่อการเปลี่ยนแปลงต่าง ๆ ที่อาจส่งผลต่อการดำเนินธุรกิจได้อย่างเหมาะสมและทันท่วงทีโดยมีการจัดประชุมคณะกรรมการบรรษัทภิบาลบริหารความเสี่ยงและการพัฒนาอย่างยั่งยืนจำนวน 4 ครั้งต่อปี เพื่อพิจารณาระเบียบวาระสำคัญและกำกับดูแลบริหารความเสี่ยงอย่างรอบด้าน

นโยบายการบริหารความเสี่ยง
ดาวน์โหลด
บริษัทประเมินความเสี่ยง 4 ด้าน
1
ความเสี่ยงด้านกลยุทธ์
2
ความเสี่ยงด้านการดำเนินงาน
3
ความเสี่ยงด้านการเงิน
4
ความเสี่ยงด้านกฏหมาย
และกฏระเบียบข้อบังคับ
โครงสร้างการบริหารความเสี่ยง

บริษัทได้จัดโครงสร้างการบริหารความเสี่ยง โดยคณะกรรมการบริษัทได้มีการแต่งตั้งคณะกรรมการบรรษัทภิบาลบริหารความเสี่ยงและการพัฒนาอย่างยั่งยืน เพื่อทำหน้าที่สำคัญในการพิจารณาและอนุมัติการบริหารความเสี่ยงของบริษัทและบริษัทในเครือ ทั้งในด้านการกำหนดนโยบาย การให้คำแนะนำ และทวนสอบการบริหารความเสี่ยงให้มีประสิทธิภาพ นอกจากนี้ บริษัทมอบหมายให้ แผนกตรวจสอบภายใน ซึ่งมีความเป็นอิสระจากคณะทำงานบริหารความเสี่ยง ทำหน้าที่ติดตามและสอบทานกระบวนการบริหารความเสี่ยงของบริษัทอีกชั้นหนึ่ง เพื่อเสริมสร้างความมั่นใจในความเหมาะสมและประสิทธิภาพของบริหารความเสี่ยงขององค์ก โครงสร้างดังกล่าวสะท้อนถึงความมุ่งมันของบริษัทในการจัดการความเสี่ยงอย่างเป็นระบบ โปร่งใส และสอดคล่องกับทางการการกำกับดูแลกิจการที่ดี (Good Corporate Governance)

กระบวนการจัดการความเสี่ยง (Risk Management Process)

บริษัทได้นำ “กระบวนการบริหารความเสี่ยง” มาเป็นเครื่องมือในการระบุ วิเคราะห์ และจัดการกับความเสี่ยงที่จะอาจส่งผลกระทบต่อการดำเนินธุรกิจ เพื่อให้การบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิภาพ บริษัทมีการแบ่งกระบวนการบริหารความเสี่ยงออกเป็น 6 ขั้นตอน ดังต่อไปนี้

1
การเตรียมข้อมูล
การรวบรวมและจัดเตรียมข้อมูลพื้นฐานที่เกี่ยวข้องกับความเสี่ยง
2
ระบุความเสี่ยง
การค้นหาและระบุความเสี่ยงที่อาจเกิดขึ้นจากกิจกรรมและกระบวนการของธุรกิจ
3
ประเมินความเสี่ยง
การวิเคราะห์และประเมินระดับความรุนแรงและความน่าจะเป็นของความเสี่ยง
4
ระบุการควบคุม
การพิจารณามาตรการแนวทางในการควบคุมและลดกระทบจากความเสี่ยง
5
แผนภาพความเสี่ยง
การจัดทำภาพรวมของความเสี่ยงและลำดับความสำคัญของแต่ละประเด็นความเสี่ยง
6
การติดตามการบริหารความเสี่ยง
การจัดทำภาพรวมของความเสี่ยงและลำดับความสำคัญของแต่ละประเด็นความเสี่ยง

กระบวนการบริหารภาวะวิกฤตและความต่อเนื่องทางธุรกิจ

เพื่อสร้างความมั่นใจให้กับผู้มีส่วนได้เสียในทุกขั้นตอนของห่วงโซ่คุณค่า และสนับสนุนการดำเนินธุรกิจอย่างต่อเนื่องภายใต้การกำกับดูแลกิจการที่ดี บริษัทได้จัดทำนโยบายการบริหารจัดการความต่อเนื่องทางธุรกิจ พร้อมทั้งพัฒนา แผนบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuous Plan : BCP) ควบคู่ไปกับ แผนฉุกเฉิน (Emergency Response Plan) และแผนบริหารจัดการภาวะวิกฤต (Crisis Management Plan) เพื่อรองรับความเสี่ยงที่อาจทำให้ธุรกิจหยุดชะงัก

บริษัทให้ความสำคัญกับการเตรียมความพร้อมผ่านการจัดการฝึกอบรมและการฝึกซ้อมแผนต่างๆ เป็นประจำทุกปี เพื่อเพิ่มขีดความสามารถในการตอบสนองต่อสถานการณ์ฉุกเฉินหรือวิกฤตได้อย่างมีประสิทธิภาพ กระบวนการบริหารจัดการเหล่านี้ครอบคลุมความเสี่ยงรอบด้าน ทั้งด้านการผลิตและการจำหน่ายไฟฟ้าจากแหล่งพลังงานประเภทต่างๆ โดยมุ่งมั่นดำเนินการตามมาตรฐานสากล เพื่อให้การดำเนินธุรกิจเป็นไปอย่างต่อเนื่องและมีเสถียรภาพพร้อมตอบสนองต่อความต้องการของผู้มีส่วนได้เสียอย่างมั่นคงและยั่งยืน

ผลการดำเนินงานความเสี่ยงในปี 2567

บริษัท พบว่า ความเสี่ยงส่วนใหญ่อยู่ในระดับปานกลาง อย่างไรก็ตาม มี 1 ประเด็นความเสี่ยงระดับสูงมากได้แก่ ความเสี่ยงด้านอุปกรณ์และเครื่องจักรไม่พร้อมใช้งาน และ 3 ประเด็นความเสี่ยงระดับสูง ได้แก่

  1. ความเสี่ยงของการบริหารการลงทุนและการเติบโตของธุรกิจ
  2. ความเสี่ยงจากการเปลี่ยนแปลงสภาพภูมิอากาศ
  3. ความเสี่ยงด้านบุคลากร

สำหรับประเด็นความเสี่ยงนี้ บริษัทได้จัดทำ แผนการบริหารความเสี่ยง (Mitigation Plan) อย่างรอบคอบ โดยกำหนดผู้รับผิดชอบในการบริหารจัดการความเสี่ยงที่ชัดเจน พร้อมทั้งระบุระยะเวลาและกระบวนการติดตามผลการจัดการความเสี่ยงในแต่ละด้าน เพื่อให้มั่นใจว่าทุกสถานการณ์ความเสี่ยงจะได้รับการจัดการอย่างมีประสิทธิภาพและลดผลกระทบต่อธุรกิจให้น้อยที่สุด

ความเสี่ยงที่เกิดขึ้นใหม่

บริษัทให้ความสำคัญอย่างยิ่งต่อการระบุและจัดการความเสี่ยงที่เกิดขึ้นใหม่ ซึ่งอาจส่งผลกระทบต่อการดำเนินธุรกิจทั้งในระยะสั้น ระยะกลาง และระยะยาว ความเสี่ยงเหล่านี้สามารถส่งผลต่อความต่อเนื่องของธุรกิจ ความสามารถในการแข่งขัน และความยั่งยืนขององค์กร ทั้งในมิติของความท้าทายที่ต้องรับมือและโอกาสที่อาจเกิดขึ้นจากการบริหารจัดการความเสี่ยงอย่างมีประสิทธิภาพ

จากการประเมินและวิเคราะห์ความเสี่ยงที่ครอบคลุม บริษัทได้ระบุความเสี่ยงใหม่ที่สำคัญ ซึ่งจำเป็นต้องได้รับการติดตามและดำเนินการอย่างเหมาะสมเพื่อสนับสนุนการเติบโตและเสริมสร้างความยั่งยืนให้กับองค์กรในอนาคต ดังนี้

ประเด็นความเสี่ยง กรอบเวลาที่เกิดผลกระทบ คำอธิบายของความเสี่ยง ผลกระทบที่อาจเกิดขึ้นต่อธุรกิจ แนวทางการจัดการ/โอกาส
การเปลี่ยนแปลงทางเทคโนโลยีด้านพลังงาน ระยะสั้น-ระยะยาว การเปลี่ยนแปลงทางเทคโนโลยีด้านพลังงานมีแนวโน้มตอบสนองต่อพฤติกรรมการใช้พลังงานที่เปลี่ยนแปลง รวมถึงนวัตกรรมใหม่ เช่น พลังงานทดแทน ระบบกักเก็บพลังงาน ไฮโดรเจนสีเขียว และแอมโมเนียสีเขียว ซึ่งอาจส่งผลกระทบต่อการลงทุนและโอกาสการแข่งขันในอนาคต ความล่าช้าในการปรับตัวต่อเทคโนโลยีใหม่ อาจทำให้บริษัทสูญเสียโอกาสในการแข่งขัน และมีต้นทุนที่สูงขึ้นในการพัฒนาเทคโนโลยีหรือปรับปรุงระบบที่ล้าสมัย
  • จัดตั้งคณะทำงาน Exploration Team เพื่อศึกษานวัตกรรมพลังงานใหม่และกฎระเบียบที่เกี่ยวข้อง พร้อมทั้งพิจารณาการพัฒนาโรงไฟฟ้าพลังงานน้ำแบบสูบกลับ (Pump-Storage) และรองรับโอกาสทางธุรกิจจากความต้องการ Energy Storage System ขนาดใหญ่ในอนาคต
  • ศึกษากฎระเบียบ ข้อบังคับ และกฎหมายที่อาจจะเกี่ยวข้องทั้งของประเทศไทย และภูมิภาคอาเซียน เพื่อแสวงหาโอกาสใหม่ รวมถึงลดข้อจำกัดต่าง ๆ ที่อาจเกิดขึ้นระหว่างการดำเนินธุรกิจ
  • กำหนดประเด็นความยืดหยุ่นในการดำเนินธุรกิจ (Business Model Resilience) เป็นหนึ่งในประเด็นสำคัญในการดำเนินธุรกิจอย่างยั่งยืน และได้มีการจัดทำกลยุทธ์พร้อมทั้งกำหนดแนวทางและกรอบการดำเนินงานในระยะ 5 ปี (2565-2659) เพื่อให้เกิดการดำเนินงานอย่างเป็นรูปธรรม พร้อมทั้งมีหน่วยงานรับผิดชอบเพื่อขับเคลื่อนการและติดตามดำเนินงานที่ชัดเจน
ความมั่นคงปลอดภัยด้านไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ระยะสั้น-ระยะยาว ภัยคุกคามทางไซเบอร์ที่อาจทำให้ข้อมูลสำคัญของบริษัท เช่น ข้อมูลทางการเงินและข้อมูลที่มีความละเอียดอ่อน รั่วไหลหรือสูญหาย ซึ่งอาจนำมาซึ่งค่าใช้จ่ายในการกู้ข้อมูลและความเสียหายต่อชื่อเสียง ค่าใช้จ่ายที่เพิ่มขึ้นจากการกู้ข้อมูลที่ถูกขโมย ความเสียหายต่อชื่อเสียง และผลกระทบต่อความเชื่อมั่นของผู้มีส่วนได้เสีย
  • จัดทำนโยบายที่เกี่ยวข้องกับระบบสารสนเทศและแนวทางด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ได้แก่ นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ นโยบายการอนุญาตให้ใช้งานเทคโนโลยีสารสนเทศ คู่มือปฏิบัติการระบบบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศ และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
  • บริษัทได้จัดทำ ISO 27001 มาตรฐานระบบการความมั่นคงปลอดภัยของสารสนเทศ รวมทั้งกำหนดให้มีการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ โดยกำหนดขั้นตอน กระบวนการบริหาร และผู้มีหน้าที่รับผิดชอบ รวมถึงจัดให้มีการรายงานสถานการณ์ที่เกิดขึ้นอย่างรวดเร็วและทันต่อเหตุการณ์ ผ่านบุคคลหรือหน่วยงานที่ทำหน้าที่รับแจ้งเหตุการณ์ เพื่อให้เหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบสารสนเทศได้รับการดำเนินการอย่างถูกต้อง มีประสิทธิภาพ ในช่วงระยะเวลาที่เหมาะสม
  • กำหนดหน้าที่ความรับผิดชอบในการรักษาความมั่นคงปลอดภัยของทรัพย์สินสารสนเทศ เพื่อให้ทรัพย์สินสารสนเทศที่มีความสำคัญได้รับการป้องกันอย่างเหมาะสม
  • การสื่อสารความรู้ความเข้าใจเรื่องความมั่นคงปลอดภัยด้านไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลให้กับผู้บริหารและพนักงานทุกระดับแก่พนักงานทุกระดับอย่างต่อเนื่อง อย่างน้อยปีละ 1 ครั้ง
การสร้างวัฒนธรรมความเสี่ยงในองค์กร

บริษัทให้ความสำคัญต่อการส่งเสริมวัฒนธรรมการบริหารความเสี่ยงที่ดีทั่วทั้งองค์กร โดยได้กำหนดนโยบายและแนวทางในการดำเนินงานที่ชัดเจน พร้อมทั้งใช้ ดัชนีชี้วัดผลการดำเนินงาน (Key Performance Index: KPI) ซึ่งประกอบด้วย ตัวชี้วัดนํา (Leading Indicators) และตัวชี้วัดตาม (Lagging Indicators) มาใช้ในการประเมินและติดตามผลของการบริหารความเสี่ยง เพื่อสร้างแรงจูงใจและความมั่นใจในความความสำเร็จขององค์สู่เป้าหมายด้วยการบริหารความเสี่ยงที่มีประสิทธิภาพ นอกจากนี้บริษัทได้สนับสนุนการสร้างวัฒนธรรมการบริหารความเสี่ยงทั่วทั้งองค์กร โดยการสร้างความตระหนักรู้ให้แก่พนังงาน ผ่านกิจกรรมการจัดอบรมและการบรรยาย ในปี 2567 บริษัทมีกิจกรรมเพื่อส่งเสริมวัฒนธรรมการบริหารความเสี่ยง ดังนี้

  1. การจัดการอบรมและบรรยาย
    • บริษัทได้จัดอบรมในหัวข้อ ความเสี่ยงด้านความยั่งยืน (ESG Risk) และ ผลการประเมินความเสี่ยงและโอกาสจากการเปลี่ยนแปลงสภาพภูมิอากาศ โดย บริษัท อีอาร์เอ็ม (สยาม) จำกัด (ERM) การอบรมครั้งนี้มีเป้าหมายเพื่อเสริมสร้างความเข้าใจในความสำคัญของความเสี่ยงด้านความยั่งยืน ซึ่งเป็นความเสี่ยงเชิงกลยุทธ์ที่สำคัญของบริษัท พร้อมนำเสนอข้อมูลเกี่ยวกับแนวทางการบริหารจัดการความเสี่ยง ผลกระทบที่อาจเกิดขึ้นต่อบริษัท โอกาสทางธุรกิจ และความเสี่ยงที่บริษัทต้องเผชิญในด้านความยั่งยืนที่อาจส่งผลต่อการดำเนินธุรกิจและกลยุทธ์องค์กร การอบรมดังกล่าวถือเป็นส่วนหนึ่งของความพยายามในการสร้างความตระหนักรู้และเตรียมความพร้อมให้แก่กรรมการทุกท่าน เพื่อสนับสนุนการบริหารความเสี่ยงอย่างมีประสิทธิภาพและสอดคล้องกับแนวทางการพัฒนาที่ยั่งยืนของบริษัทในระยะยาว
  2. การสื่อสาร ผ่านช่องทางต่างๆ
    • วารสาร Compliance Journal
      บริษัทได้เผยแพร่ข้อมูลเกี่ยวกับการบริหารความเสี่ยงและหลักการกำกับดูแลกิจการที่ดีผ่านช่องทางต่าง ๆ โดยในปี 2567 บริษัทได้จัดทำ วารสาร Compliance Journal เพื่อเผยแพร่ข้อมูลความสำคัญของการกำกับดูแลกิจการที่ดี รวมถึงกฎหมายที่เกี่ยวข้องกับการดำเนินธุรกิจในรูปแบบที่เข้าใจง่าย พร้อมตัวอย่างกรณีศึกษาที่สำคัญ นอกจากนี้ บริษัทได้สร้างการมีส่วนร่วมกับกรรมการ ผู้บริหาร และพนักงานทั่วทั้งองค์กร ผ่านกิจกรรมตอบคำถามและเกม เพื่อประเมินการรับรู้และความเข้าใจ ซึ่งสำเร็จลุล่วงครบ 100% ตามเป้าหมาย
    • หลักสูตรการเรียนรู้แบบ E-Learning
      บริษัทได้พัฒนาหลักสูตรการเรียนรู้แบบ E-Learning สำหรับพนักงานทุกระดับ เพื่อส่งเสริมการเรียนรู้ด้วยตนเองในหัวข้อสำคัญ เช่น
      1. การจัดการความเสี่ยงทางกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)
      2. ความเสี่ยงในการละเมิดกฎหมาย
      3. วิธีการปฏิบัติเพื่อลดความเสี่ยง
      4. ความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์
      5. แนวทางในการป้องกันตัวเองจากภัยคุกคามทางไซเบอร์
      6. ความเสี่ยงจากการเปลี่ยนแปลงสภาพภูมิอากาศ

การเรียนรู้ผ่านระบบ E-Learning ช่วยให้พนักงานทุกระดับสามารถเข้าถึงข้อมูลและความรู้ในประเด็นความเสี่ยงที่ครอบคลุม ตระหนักถึงความสำคัญของการปฏิบัติตามกฎหมายและแนวทางที่ดี รวมถึงสามารถนำความรู้ไปประยุกต์ใช้เพื่อลดความเสี่ยงในการทำงานได้อย่างมีประสิทธิภาพ

ความพยายามในการสร้างวัฒนธรรมการบริหารความเสี่ยงที่เข้มแข็งของบริษัทช่วยเสริมสร้างความพร้อมในการรับมือกับความเปลี่ยนแปลงและความท้าทายต่าง ๆ ได้อย่างเหมาะสม ตลอดจนสนับสนุนการเติบโตขององค์กรในระยะยาว ด้วยการส่งเสริมให้พนักงานทุกคนมีบทบาทในการขับเคลื่อนธุรกิจสู่ความยั่งยืนในทุกมิติ.

ความมั่นคงปลอดภัยด้านไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล

นโยบายความมั่นคงปลอดภัยด้านไซเบอร์

บริษัทให้ความสำคัญต่อความเสี่ยงจากภัยคุกคามความมั่นคงด้านไซเบอร์ในทุกรูปแบบ ที่อาจส่งผลกระทบต่อการสูญเสียข้อมูลสําคัญของบริษัท เช่น ข้อมูลที่มีความละเอียดอ่อน (Sensitive Data) บนระบบเซิร์ฟเวอร์ (Server) ข้อมูลด้านการเงินที่มีความสําคัญ รวมถึงระบบการผลิตและจัดการโรงไฟฟ้างมีความจำเป็นต้องรักษาเสถียรภาพเพื่อให้การดำเนินธุรกิจเป็นไปอย่างต่อเนื่องและมั่นคง

เพื่อสร้างความพร้อมในการรับมือและตอบสนองต่อภัยคุกคามที่อาจเกิดขึ้น บริษัทได้ดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์อย่างครอบคลุมและกำหนดขอบเขตความเสี่ยงที่สำคัญ โดยผลจากการประเมินนำมาสู่การจัดทำนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ซึ่งออกแบบให้สอดคล้องกับมาตรฐานสากลและกฎหมายที่เกี่ยวข้อง นโยบายดังกล่าวระบุแนวทางและขั้นตอนปฏิบัติที่ชัดเจน เพื่อให้พนักงานทั่วทั้งองค์กร รวมถึงคู่ค้าในห่วงโซ่อุปทาน มีมาตรการที่เหมาะสมในการรักษาความปลอดภัยไซเบอร์

นอกจากนี้ บริษัทได้ดำเนินการ สอบทานนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศเป็นประจำทุกปี เพื่อให้สอดรับกับการเปลี่ยนแปลงของภัยคุกคามและความก้าวหน้าของเทคโนโลยี พร้อมทั้งระบุบทบาทและความรับผิดชอบภายในองค์กรอย่างชัดเจน เพื่อสนับสนุนการดำเนินงานด้านความมั่นคงปลอดภัยทางไซเบอร์อย่างมีประสิทธิภาพ และสร้างความมั่นใจให้แก่ผู้มีส่วนได้เสียทุกภาคส่วน.

นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
ดาวน์โหลด
การบริหารจัดการความมั่นคงปลอดภัยด้านไซเบอร์

บริษัทให้ความสำคัญกับการเตรียมความพร้อมรับมือกับความเสี่ยงจากภัยคุกคามไซเบอร์ ที่อาจส่งผลกระทบต่อการสูญเสียข้อมูลสําคัญของบริษัท โดยบริษัทบริหารจัดการความเสี่ยงด้านไซเบอร์ถูกกำหนดให้สอดคล้องกับนโยบายการบริหารความเสี่ยงองค์กรและถูกรวมเป็นส่วนหนึ่งของการบริหารความต่อเนื่องทางธุรกิจ เพื่อให้ระบบสารสนเทศมีความพร้อมใช้งานอยู่เสมอ ทั้งนี้ยังดำเนินการตามกฎหมาย ข้อบังคับ และมาตรฐานที่เกี่ยวข้อง เช่น มาตรฐาน ISO 27001

เพื่อเพิ่มความแข็งแกร่งให้กับระบบความปลอดภัยของข้อมูล ลดความเสี่ยง และปกป้องข้อมูลจากการถูกโจรกรรม บริษัทได้กำหนดกระบวนการและขั้นตอนเฝ้าระวัง รวมถึงมาตรการควบคุมเพื่อป้องกันเหตุการณ์ที่อาจกระทบต่อระบบสารสนเทศ โดยมีการดำหนดกระบวนการรับมือที่ชัดเจนในกรณีเกิดเหตุการณ์ พร้อมระบุผู้มีหน้าที่รับผิดชอบและช่องทางการรายงานเหตุการณ์อย่างรวดเร็วและทันต่อเหตุการณ์ เพื่อให้สามารถจัดการปัญหาหรือช่องโหว่ได้อย่างถูกต้องและมีประสิทธิภาพในเวลาที่เหมาะสม กรอบการบริหารจัดการดังนี้

ด้านความคุ้มครองความเป็นส่วนตัวของข้อมูล

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัทให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล โดยจัดทํานโยบายคุ้มครองข้อมูลส่วนบุคคลภายนอกองค์กร ตามบทบัญญัติของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎหมายอื่นที่เกี่ยวข้อง เพื่อสร้างความมั่นในในความปลอดภัยของข้อมูลส่วนบุคคล โดยนโยบายดังกล่าวครอบคลุมถึง การกำหนดนิยามของข้อมูลส่วนบุคคล ประเภทของข้อมูลส่วนบุคคล วัตถุประสงค์ในเก็บรวมรวม การใช้และการเปิดเผยข้อมูลส่วนบุคคล หน่วยงานหรือบุคคลที่บริษัทอาจเปิดเผยข้อมูล ระยะเวลาในการจัดเก็บข้อมูลต่างๆ รูปแบบการจัดเก็บข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูล ทั้งนี้ บริษัทได้มีการกำหนดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) เพื่อดูแลและดำเนินการให้สอดคล้องกับกฎหมายและข้อกำหนด พร้อมกำหนด ขั้นตอนการรับข้อร้องเรียนและกระบวนการจัดการข้อร้องเรียนที่เกี่ยวข้องกับการประมวลผลข้อมูลของบริษัท พร้อมทั้งจัดทำแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านข้อมูล ส่วนบุคคล เพื่อป้องกันมิให้ข้อมูลส่วนบุคคลสูญหาย หรือถูกเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยโดยปราศจากอํานาจ หรือโดยมิชอบด้วยกฎหมาย

การบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคล

บริษัทให้ความสำคัญกับบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคล โดยกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล ข้อมูลสารสนเทศ ระบบประมวลผลสารสนเทศ และสินทรัพย์ด้านเทคโนโลยีสารสนเทศอื่นๆ ตามวัตถุประสงค์ทางธุรกิจ และตามหลักความจำเป็นต้องรู้ (need-to-know) (Need-to-Know) และ “ความจำเป็นต้องใช้งาน” (Need-to-Use) เพื่อให้มั่นใจว่าการเข้าถึงข้อมูลดังกล่าวมีความสอดคล้องกับวัตถุประสงค์ทางธุรกิจ และดำเนินการภายใต้กรอบที่ปลอดภัย

บริษัทได้จัดให้มี การจัดลำดับชั้นของสิทธิในการเข้าถึงข้อมูล (Hierarchical Access Rights) ซึ่งผู้บริหารและพนักงานทุกคนต้องปฏิบัติตามอย่างเคร่งครัด ทั้งนี้เพื่อป้องกันไม่ให้ข้อมูลที่สำคัญ ทั้งข้อมูลส่วนบุคคลและข้อมูลสารสนเทศใดๆ รั่วไหลออกสู่บุคคลภายนอก แนวทางการปฏิบัติดังกล่าวถูกกำหนดไว้อย่างชัดเจนใน จรรยาบรรณในการดำเนินธุรกิจของบริษัท ที่กำหนดให้ผู้บริหารและพนักงานทุกคนพึงปฏิบัติ พร้อมทั้งห้ามเปิดเผยข้อมูลอันเป็นความลับที่ได้รับรู้จากการปฏิบัติหน้าที่เพื่อนำไปแสวงหาผลประโยชน์ส่วนตัวหรืออื่นใด มาตรการเหล่านี้สะท้อนถึงความมุ่งมั่นของบริษัทในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลและข้อมูลสารสนเทศ เพื่อปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต และสร้างความเชื่อมั่นให้กับผู้มีส่วนได้เสียทุกกลุ่มอย่างยั่งยืน.

นโยบายคุ้มครองข้อมูลส่วนบุคคลภายนอกองค์กร
ดาวน์โหลด
ด้านการตรวจสอบความมั่นคงปลอดภัยด้านไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล

การตรวจสอบระบบ ISMS (Information Security Management System):

บริษัทดำเนินการตรวจสอบระบบ Information Security Management System (ISMS) เป็นประจำทุกปี โดยมีการตรวจสอบภายในเพื่อตรวจสอบว่า วัตถุประสงค์การควบคุม มาตรการการควบคุม กระบวนการ และระเบียบปฏิบัติของระบบ มีความสอดคล้องกับข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศ นอกจากนี้ ยังมีการประเมินและบำรุงรักษาอย่างต่อเนื่อง เพื่อให้มั่นใจว่าระบบสามารถบรรลุผลตามเป้าหมาย และเป็นไปตามข้อกำหนดของมาตรฐาน ISO 27001 รวมถึงกฎหมายที่เกี่ยวข้อง

การรับรองและการตรวจประเมินภายนอก:

บริษัทได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 จาก BSI (British Standards Institution) ในปี 2022 และยังคงได้รับการตรวจประเมินจากหน่วยงานภายนอกเป็นประจำ เพื่อวิเคราะห์ช่องโหว่ เสริมสร้างความมั่นคงปลอดภัยของระบบสารสนเทศให้สอดคล้องกับมาตรฐานสากล และกฎหมายที่เกี่ยวข้อง

นโยบายด้านการคุ้มครองข้อมูลส่วนบุคคล:

บริษัทให้ความสำคัญกับการเคารพความเป็นส่วนตัวของข้อมูลส่วนบุคคล และดำเนินการจัดการข้อมูลอย่างเหมาะสมตามกฎหมายที่เกี่ยวข้อง โดยจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ซึ่งสอดคล้องกับแนวทางของบริษัทจดทะเบียนที่กำหนดโดยตลาดหลักทรัพย์แห่งประเทศไทย นอกจากนี้ บริษัทได้ส่งเสริมการใช้ระบบเทคโนโลยีสารสนเทศที่มีการติดตามและบริหารจัดการความเสี่ยงด้านความปลอดภัยไซเบอร์อย่างเป็นระบบ

การอบรมและส่งเสริมความรู้ด้าน ISMS:

บริษัทได้กำหนดหน้าที่และความรับผิดชอบในการรักษาความมั่นคงปลอดภัยของทรัพย์สินสารสนเทศ เพื่อป้องกันข้อมูลและระบบสารสนเทศที่สำคัญอย่างเหมาะสม นอกจากนี้ ยังมีการจัดอบรมพนักงานในหัวข้อ ISMS Intensive Training และ ISMS Security Awareness Training เพื่อเพิ่มพูนความรู้และสร้างความตระหนักถึงความปลอดภัยด้านเทคโนโลยีสารสนเทศ พนักงานสามารถเข้าถึงหลักสูตรได้ผ่านทาง Email และ CKPower Mobile Applications ซึ่งช่วยให้การเรียนรู้เป็นไปอย่างสะดวกและครอบคลุมทุกระดับ

การประเมินประสิทธิภาพของระบบ:

บริษัทจัดให้มีการประเมินประสิทธิภาพของระบบการรักษาความมั่นคงปลอดภัยสารสนเทศ และระบบการเดินเครื่องของโรงไฟฟ้าอย่างสม่ำเสมอ เพื่อรับรองความมั่นคงปลอดภัยของระบบสารสนเทศและการดำเนินงานโรงไฟฟ้า ซึ่งช่วยสร้างความมั่นใจในการดำเนินธุรกิจให้กับผู้มีส่วนได้เสียทุกกลุ่ม

มาตรการเหล่านี้สะท้อนถึงความมุ่งมั่นของบริษัทในการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลอย่างยั่งยืน พร้อมสนับสนุนการดำเนินธุรกิจที่โปร่งใสและมั่นคงในระยะยาว.

ISMS Intensive Training

ISO/IEC 27001:2022

เป้าหมายระยะยาว เป้าหมายปี 2567 และผลการดำเนินงานปี 2567

การบริหารจัดการความเสี่ยง
การบริหารจัดการความเสี่ยงและภาวะวิกฤติ
และความมั่นคงปลอดภัยทางไซเบอร์ และความเป็นส่วนตัวของข้อมูล
การบริหารจัดการความเสี่ยง
(GRI 201, GRI 308, GRI 414, GRI 418)
เป้าหมายระยะยาว
สร้างวัฒนธรรมการบริหารความเสี่ยง
ทั่วทั้งบริษัทและบริษัทในเครือ
100%
เป้าหมายปี 2567 ผลการดำเนินงานปี 2567
กรรมการผ่านการอบรมความเสี่ยง
ด้านความยั่งยืน (ESG Risk)
100%
100%
ผู้บริหารและพนักงานรับรู้และเข้าใจ
ความเสี่ยงด้านการทุจริต
100%
100%
ผู้บริหารและพนักงานผ่านเกณฑ์
แบบทดสอบความเสี่ยงด้านการทุจริต
100%
97.83%
SDGs
ความมั่นคงปลอดภัยด้านไซเบอร์
การบริหารจัดการความเสี่ยงและภาวะวิกฤติ และความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล
ความมั่นคงปลอดภัยด้านไซเบอร์
(GRI 103, GRI 418)
เป้าหมายระยะยาว
สร้างวัฒนธรรมด้านความมั่นคงปลอดภัยด้านไซเบอร์ทั่วทั้งบริษัทและบริษัทในเครือ
100%
เป้าหมายปี 2567 ผลการดำเนินงานปี 2567
การละเมิดความปลอดภัยไซเบอร์ หรือภัยคุกคามไซเบอร์อื่น ๆ
ไม่มี
กรณี
1
กรณี
การเกิดข้อมูลรั่วไหล การโจรกรรม หรือการสูญหาย
ไม่มี
กรณี
ไม่มี
กรณี
ลูกค้าและพนักงานที่ได้รับผลกระทบ จากข้อมูลรั่วไหล
ไม่มี
ไม่มี
ค่าปรับจากเหตุการณ์ละเมิดความปลอดภัยของข้อมูลหรือภัยคุกคามไซเบอร์
0
บาท
0
บาท
ด้านความคุ้มครองความเป็นส่วนตัวของข้อมูล
การบริหารจัดการความเสี่ยงและภาวะวิกฤติ
และความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล
ด้านความคุ้มครองความเป็นส่วนตัวของข้อมูล
(GRI 418)
เป้าหมายระยะยาว
สร้างวัฒนธรรมด้านความคุ้มครองความเป็นส่วนตัวของข้อมูลทั่วทั้งบริษัทและบริษัทในเครือ
100%
เป้าหมายปี 2567 ผลการดำเนินงานปี 2567
ข้อร้องเรียนที่เข้าข่ายการละเมิดข้อมูลส่วนบุคคล จากบุคคลหรือหน่วยงานทั่วไป
ไม่มี
กรณี
ไม่มี
กรณี
ข้อร้องเรียนที่เข้าข่ายการละเมิดข้อมูลส่วนบุคคล จากหน่วยงานกำกับดูแลต่าง ๆ
ไม่มี
กรณี
ไม่มี
กรณี

ผลการดำเนินงาน ในปี 2567

ในปี 2567 บริษัทเผชิญกับเหตุโจมตีทางไซเบอร์จำนวน 1 ครั้ง แต่สามารถป้องกันและควบคุมสถานการณ์ได้อย่างมีประสิทธิภาพและรวดเร็ว โดยไม่มีการรั่วไหลของข้อมูลส่วนบุคคลแต่อย่างใด บริษัทได้ดำเนินการตรวจจับและตอบสนองต่อภัยคุกคามอย่างมีระบบ พร้อมทั้งเพิ่มความเข้มงวดด้านความปลอดภัยทางไซเบอร์ และปรับปรุงแผนการจัดการความเสี่ยงอย่างต่อเนื่อง เพื่อป้องกันเหตุการณ์ที่อาจเกิดขึ้นในอนาคต

แนวทางการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลของบริษัทในปี 2567 ประกอบด้วย:

  • การจัดทำนโยบายความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อกำหนดกรอบแนวทางการดำเนินงานที่สอดคล้องกับมาตรฐานสากล
  • การนำมาตรฐาน ISO/IEC 27001:2022 มาใช้ในระบบความปลอดภัยของสารสนเทศ พร้อมทั้งจัดการตรวจประเมินเป็นประจำทุกปี โดยผู้ตรวจประเมินทั้งภายในและภายนอก
  • การจัดอบรม Cyber Security Awareness Training ให้พนักงานทุกระดับอย่างน้อยปีละ 1 ครั้ง เพื่อเพิ่มความตระหนักรู้และเสริมสร้างความพร้อมในการรับมือกับภัยคุกคาม
  • การพัฒนาและปรับปรุงแผนการตอบสนองต่อภัยคุกคามทางไซเบอร์อย่างต่อเนื่อง เพื่อให้ทันต่อการเปลี่ยนแปลงของภัยคุกคามในโลกไซเบอร์

มาตรการเหล่านี้ไม่เพียงสร้างความมั่นใจให้กับผู้มีส่วนได้เสียทุกภาคส่วน แต่ยังช่วยเสริมความแข็งแกร่งด้านความปลอดภัยของข้อมูลองค์กร และสร้างพื้นฐานที่มั่นคงสำหรับการดำเนินธุรกิจในระยะยาว