นโยบายบริษัท
นโยบายการบริหารความเสี่ยง
รายละเอียดของนโยบาย
1. บริษัทฯ ดำเนินธุรกิจภายใต้ความเสี่ยงที่ยอมรับได้ เพื่อให้บรรลุวัตถุประสงค์ของบริษัทและตอบสนองต่อ ความคาดหวังของผู้มีส่วนได้เสีย โดยกำหนดให้บริหารความเสี่ยงเป็นส่วนหนึ่งของการจัดทำแผนธุรกิจ ประจำปี การบริหารงานและการตัดสินใจประจำวัน รวมถึงกระบวนการบริหารโครงการต่างๆ
2. ผู้บริหารและพนักงานทุกคนของบริษัทฯเป็นเจ้าของความเสี่ยง ซึ่งมีหน้าที่ความรับผิดชอบในการระบุ และ ประเมินความเสี่ยงของหน่วยงานที่ตนเองรับผิดชอบ รวมทั้งกำหนดมาตรการที่เหมาะสม เพื่อจัดการความเสี่ยง
3. ความเสี่ยงที่มีผลกระทบต่อการบรรลุวัตถุประสงค์ของบริษัทฯทั้งหมด ต้องได้รับการดำเนินงานดังนี้
- ระบุความเสี่ยงอย่างทันเวลา
- ประเมินโอกาสของการเกิดความเสี่ยงและผลกระทบหากเกิดเหตุการณ์ดังกล่าว
- จัดการความเสี่ยงให้สอดคล้องตามหลักเกณฑ์การบริหารความเสี่ยงที่กำหนดไว้ โดยคำนึงถึงค่าใช้จ่ายที่เกี่ยวข้องและผลประโยชน์ที่จะได้รับจากการจัดการความเสี่ยงดังกล่าว
- ติดตามดูแล เพื่อให้มั่นใจว่าความเสี่ยงของบริษัทฯ ได้รับการจัดการอย่างเหมาะสม
4. ความเสี่ยงที่อาจมีผลกระทบต่อแผนธุรกิจและกลยุทธ์ของบริษัทฯ ซึ่งมีความเสี่ยงอยู่ในระดับสูงและสูงมาก ทั้งหมด ต้องรายงานให้คณะกรรมการบริหาร คณะกรรมการตรวจสอบ และคณะกรรมการบริษัทรับทราบ
หน้าที่และความรับผิดชอบของผู้ที่เกี่ยวข้องกับการบริหารความเสี่ยง
คณะกรรมการบริษัท
1. มีหน้าที่ความรับผิดชอบโดยรวมในการกำกับดูแลการบริหารความเสี่ยงภายในบริษัทเพื่อให้สอดคล้องกับนโยบายการบริหารความเสี่ยง ตลอดจนการบริหารงานภายใต้หลักการกำกับดูแลที่ดี
2. มีหน้าที่ความรับผิดชอบในการพิจารณาและสอบทานบริหารความเสี่ยง และระบบควบคุมภายในของบริษัท
3. มีหน้าที่ความรับผิดชอบในการแต่งตั้งคณะกรรมการบริหารความเสี่ยง เพื่อสนับสนุนการปฏิบัติงานของคณะกรรมการบริษัทให้ดำเนินกิจกรรมด้านการบริหารความเสี่ยงให้เป็นไปตามนโยบายบริหาร
4. ความเสี่ยงที่คณะกรรมการบริษัทกำหนด รวมถึงส่งเสริมและสนับสนุนให้มีการปรับปรุงและพัฒนาระบบการบริหารความเสี่ยงภายในบริษัทอย่างต่อเนื่องและสม่ำเสมอ
คณะทำงานบริหารความเสี่ยง
1. พิจารณาและให้ความเห็นต่อร่างนโยบาย และกรอบบริหารความเสี่ยง รวมถึงกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) ความเบี่ยงเบนของระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) และมาตรการป้องกันแก้ไข ก่อนนำเสนอต่อคณะกรรมการบริษัทเพื่อพิจารณาอนุมัติ
2. จัดทำนโยบายบริหารความเสี่ยงในเรื่องของการบริหารความเสี่ยงโดยรวม และครอบคลุมถึงความเสี่ยงหลักที่สอดคล้องกับวัตถุประสงค์ เป้าหมายหลัก กลยุทธ์ และความเสี่ยงที่ยอมรับได้ของกิจการ สำหรับเป็นกรอบการปฏิบัติงานในกระบวนการบริหารความเสี่ยงของทุกคนในองค์กรให้เป็นไปในทิศทางเดียวกัน เพื่อเสนอให้คณะกรรมการบริษัทพิจารณา โดยดูแลให้บริษัท และบริษัทย่อยมีการระบุความเสี่ยง โดยพิจารณาปัจจัยทั้งภายนอกและภายในองค์กรที่อาจส่งผลให้บริษัทและบริษัทย่อยไม่สามารถบรรลุวัตถุประสงค์ที่กำหนดไว้
3. สอบทานให้บริษัทมีนโยบายการบริหารความเสี่ยงของธุรกิจที่เหมาะสมและมีประสิทธิภาพ
4. จัดทำรายงานของคณะทำงานบริหารความเสี่ยงเสนอต่อที่ประชุมคณะกรรมการบริษัทตามที่เห็นสมควร หรือเมื่อได้รับการร้องขอ
5. พิจารณาและให้ความเห็นชอบเกี่ยวกับผลการประเมินความเสี่ยง แนวทาง มาตรการ และแผนการการจัดการความเสี่ยง เพื่อให้มั่นใจได้ว่าบริษัทมีการบริหารความเสี่ยงที่เพียงพอและเหมาะสม
6. กำกับดูแลและสนับสนุนให้การบริหารความเสี่ยงของบริษัทบรรลุผลสำเร็จตามวัตถุประสงค์และเป้า หมายที่กำหนดไว้ ทั้งในระดับองค์กรและระดับโครงการ (Enterprise Wide Risk Management) โดยมุ่งเน้นให้ฝ่ายจัดการและพนักงานของบริษัททุกคนให้ความสำคัญและคำนึงถึงความเสี่ยง (Risk Awareness) และส่งเสริมให้บริษัทมีวัฒนธรรมองค์กรในด้านการบริหารความเสี่ยง (Risk Culture) โดยคณะทำงานบริหารความเสี่ยงจะติดตามแผนการดำเนินงานอย่างสม่ำเสมอเพื่อลดความเสี่ยง และจะนำมาพิจารณาประกอบการใช้ทรัพยากรและการดำเนินการต่าง ๆ เพื่อให้เหมาะสมกับการดำเนินธุรกิจ ทั้งนี้ เพื่อให้มั่นใจได้ว่าความเสี่ยงที่เกิดขึ้นนั้น จะได้รับการบริหารจัดการอย่างเพียงพอและเหมาะสม โดยคณะทำงานบริหารความเสี่ยงจะให้การสนับสนุนการทำงานของคณะอนุกรรมการบริหารความเสี่ยง และ/หรือ ผู้บริหารความเสี่ยง (Risk Management) อย่างเต็มที่
7. ทบทวนความเพียงพอของนโยบาย และระบบการบริหารความเสี่ยงของบริษัท
และบริษัทย่อย รวมถึงความมีประสิทธิผลของระบบ และการปฏิบัติตามนโยบายที่กำหนดให้ข้อเสนอแนะในสิ่งที่ต้องดำเนินการปรับปรุงแก้ไขต่อคณะกรรมการบริษัท เพื่อให้สอดคล้องกับนโยบายและกลยุทธ์ที่คณะกรรมการบริษัทกำหนดไว้
8. ให้ความเห็นและข้อเสนอแนะในกรณีที่บริษัทมีความจำเป็นที่จะต้องว่าจ้างบุคคลภายนอกเพื่อช่วยในการปฏิบัติงานในบางส่วนที่บริษัทมีบุคลากรเฉพาะด้าน และ/หรือ ความรู้ความชำนาญที่ไม่ เพียงพอในการปฏิบัติหน้าที่เพื่อให้บรรลุผลตามแผนที่กำหนดไว้ อย่างไรก็ตาม การว่าจ้างดังกล่าว จะต้องเป็นการว่าจ้างเป็นครั้งคราวเท่านั้น
9. คณะทำงานบริหารความเสี่ยงจะต้องพิจารณาและทบทวนความเหมาะสมของกฎบัตรอย่างสม่ำเสมอเป็นประจำทุกปี อย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจว่าเนื้อหาในกฎบัตรนั้น สอดคล้องกับวัตถุประสงค์ กลยุทธ์ในการดำเนินงาน และการเปลี่ยนแปลงของกฎหมายในปัจจุบัน และนำเสนอต่อคณะกรรมการบริษัทเพื่อพิจารณาอนุมัติ
คณะกรรมการตรวจสอบ
คณะกรรมการตรวจสอบ มีหน้าที่พิจารณาตรวจสอบการบริหารความเสี่ยง เพื่อให้มั่นใจได้ว่าความเสี่ยงได้รับการบริหารจัดการและควบคุมอย่างมีประสิทธิภาพ อยู่ในระดับที่ยอมรับได้ รวมถึงการสอบทานความเพียงพอ และความมีประสิทธิภาพในการบริหารความเสี่ยงของบริษัท
คณะกรรมการบริหาร
1. คณะกรรมการบริหารมีหน้าที่ความรับผิดชอบในการพิจารณาและสอบทานการบริหารความเสี่ยงและระบบควบคุมภายในของบริษัทฯ
2. ประธานคณะกรรมการบริหารมีหน้าที่ความรับผิดชอบในการดำเนินการตามนโยบายฉบับนี้ และกำกับดูแลให้มีการปฏิบัติตามอย่างต่อเนื่อง ผ่านคณะทำงานบริหารความเสี่ยง ซึ่งประกอบด้วยผู้บริหารจากหน่วยงานหลักของบริษัทฯ โดยมีประธานเจ้าหน้าที่บริหารเป็นประธาน
ฝ่ายตรวจสอบภายใน
ฝ่ายตรวจสอบภายในมีหน้าที่ความรับผิดชอบในการสอบทานประสิทธิผลของการควบคุมภายในผ่านการตรวจสอบภายในประจำปี ซึ่งเป็นการตรวจสอบกระบวนการทางธุรกิจที่สำคัญตามปัจจัยเสี่ยง รวมทั้งติดตามการปรับปรุงแก้ไขข้อบกพร่องที่ตรวจพบ
บุคคลากรในองค์กร
ผู้บริหารและพนักงานทุกคนมีหน้าที่ความรับผิดชอบในการระบุ วิเคราะห์ ประเมิน และจัดลำดับความเสี่ยงของหน่วยงานที่ตนเองรับผิดชอบ รวมถึงกำหนดมาตรการที่เหมาะสมในการจัดการความเสี่ยง
วิธีการบริหารความเสี่ยงองค์ประกอบและแนวทางในการบริหารความเสี่ยง
1. การกำหนดเป้าหมาย (Objective Setting)
หมายถึง การเข้าถึงภารกิจ วัตถุประสงค์ และกลยุทธ์ในการดำเนินงานของบริษัท โดยบริษัทควรมั่นใจว่าวัตถุประสงค์ที่กำหนดขึ้นมีความสอดคล้องกับเป้าหมายเชิงกลยุทธ์ และความเสี่ยงที่บริษัทยอมรับได้ เหตุการณ์ที่มีผลกระทบต่อความสำเร็จตามเป้าหมาย หน่วยวัดความสำเร็จ และระดับความคลาดเคลื่อนจากหน่วยวัดที่ยอมรับได้ ทั้งนี้การกำหนดเป้าหมายสำหรับการบริหารความเสี่ยงจะถูกกำหนดไว้ในแผนธุรกิจของบริษัท
2. การกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Identification)
หลังจากระบุเป้าหมายแล้ว บริษัทจะต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Identification) โดย กำหนดขอบเขตการตัดสินใจและผลกระทบจากการตัดสินใจที่ยอมรับได้ เพื่อให้มั่นใจได้ว่า บริษัทจะยังคงสามารถดำเนินงานได้อย่างยั่งยืน และบรรลุวัตถุประสงค์ที่กำหนด โดยครอบคลุมในความเสี่ยง 5 ด้าน ดังนี้
(1.) ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
(2) ความเสี่ยงด้านการเงิน (Financial Risk)
(3) ความเสี่ยงด้านปฏิบัติการ (Operational Risk)
(4) ความเสี่ยงด้านการดำเนินการให้เป็นไปตามกฎหมายและกฎเกณฑ์ต่าง ๆ (Compliance Risk)
(5) ความเสี่ยงด้านการทุจริต (Fraud Risk)
2. การกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Identification)
หลังจากระบุเป้าหมายแล้ว บริษัทจะต้องกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Identification) โดย กำหนดขอบเขตการตัดสินใจและผลกระทบจากการตัดสินใจที่ยอมรับได้ เพื่อให้มั่นใจได้ว่า บริษัทจะยังคงสามารถดำเนินงานได้อย่างยั่งยืน และบรรลุวัตถุประสงค์ที่กำหนด โดยครอบคลุมในความเสี่ยง 5 ด้าน ดังนี้
(1.) ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
(2) ความเสี่ยงด้านการเงิน (Financial Risk)
(3) ความเสี่ยงด้านปฏิบัติการ (Operational Risk)
(4) ความเสี่ยงด้านการดำเนินการให้เป็นไปตามกฎหมายและกฎเกณฑ์ต่าง ๆ (Compliance Risk)
(5) ความเสี่ยงด้านการทุจริต (Fraud Risk)
3. การประเมินความเสี่ยง (Risk Assessment)
หมายถึง การคาดคะเนโอกาสที่ความเสี่ยงนั้นจะเกิดขึ้น (Likelihood) ว่ามีความถี่มากน้อยเพียงใด และผลกระทบที่อาจเกิดขึ้น (Impact) จากความเสี่ยงนั้น ๆ ว่ามีระดับความรุนแรงมากน้อยเพียงใด ซึ่งถ้าความเสี่ยงนั้นมีโอกาสเกิดขึ้นบ่อยและสามารถสร้างความเสียหายได้มาก ก็จะถูกจัดเป็นความเสี่ยงที่จะต้องถูกแก้ไขเป็นอันดับแรก
4. การตอบสนองความเสี่ยง (Risk Responses)
การประเมินความเสี่ยงข้างต้น จะทำให้บริษัทสามารถจัดลำดับความสำคัญของความเสี่ยงที่จะเข้าไปแก้ปัญหาได้ โดยบริษัทได้กำหนดวิธีการ หรือกลยุทธ์ที่จะเข้าไปแก้ปัญหาหรือลดระดับความเสี่ยง ซึ่งมีกลยุทธ์ที่สำคัญ ดังนี้
(1) การยอมรับความเสี่ยง (Take / Accepted) กลยุทธ์นี้จะไม่มีการดำเนินการใด ๆ เพื่อลดความเสี่ยง แต่เป็นการที่บริษัทพิจารณาแล้วว่าความเสี่ยงนั้นอยู่ในระดับที่ต่ำมาก หากบริษัทตัดสินใจเลือกที่จะลดระดับความเสี่ยงนั้น อาจจะต้องใช้ค่าใช้จ่าย หรือเวลาที่มากเกินควร จึงเลือกที่จะยอมรับความเสี่ยงนั้น
(2) การควบคุมความเสี่ยง (Treat) เป็นการลดโอกาสที่จะเกิดความเสี่ยง เช่น การควบคุมคุณภาพ (Quality control: QC) เพื่อลดข้อบกพร่อง (Defect) ของสินค้า หรือการปรับวิธีการทำงาน หรือกำหนดมาตรการในการติดตาม เป็นต้น
(3) การหลีกเลี่ยงความเสี่ยง (Terminate) เป็นการกำจัดความเสี่ยงออกไป ถ้าพิจารณาแล้วได้ไม่คุ้มเสีย เช่น การยกเลิกโครงการ เป็นต้น
(4) การถ่ายโอนความเสี่ยง (Transfer) ซึ่งอาจจะเป็นการดำเนินการให้บุคคลที่สามมารับความเสี่ยงนี้ไป เช่น การทำประกันภัย เป็นต้น
5. กิจกรรมควบคุม (Control Activities)
หมายถึง วิธีการปฏิบัติงานที่กำหนดขึ้นเพื่อช่วยให้ฝ่ายบริหารมั่นใจได้ว่ามีการบริหารจัดการความเสี่ยงอย่างมีประสิทธิภาพ โดยการควบคุม ป้องกัน ค้นพบ และแก้ไข ซึ่งรวมถึงวิธีการดังต่อไปนี้
(1) การกำหนดวิธีการปฏิบัติงาน หรือจัดทำคู่มือปฏิบัติงาน
(2) การรับรอง / อนุมัติ
(3) การสอบทานผลการปฏิบัติงาน
(4) การรักษาความปลอดภัยของระบบข้อมูลหรือการเข้าถึงระบบข้อมูล
(5) การแบ่งแยกหน้าที่ความรับผิดชอบ
ทั้งนี้ กิจกรรมการควบคุมจะถูกออกแบบ และกำหนดอยู่ในวิธีการปฏิบัติงานในทุกส่วนงาน และ
ทุกระดับชั้นงาน โดยผู้บริหารและพนักงานทุกระดับล้วนมีส่วนร่วมในกิจกรรมควบคุมดังกล่าว
6. การติดตามและประเมินผล (Monitoring)
(1) เนื่องจากสภาพแวดล้อมของบริษัททั้งภายนอกและภายในนั้น มีการเปลี่ยนแปลงอยู่ตลอดเวลา ดังนั้นกิจกรรมการควบคุมอาจจะมีประสิทธิภาพน้อยลง หรือเป้าหมายในการดำเนินงานอาจจะเปลี่ยนแปลงไปจากเดิม จึงจำเป็นที่จะต้องมีการติดตามตรวจสอบอยู่เสมอว่าการบริหารความเสี่ยงนั้น ยังคงมีประสิทธิภาพอยู่หรือไม่ ซึ่งสามารถทำได้ใน 2 วิธีการ คือ การติดตามตรวจสอบระหว่างการปฏิบัติงาน (Ongoing Monitoring) และการประเมินผลเป็นช่วง ๆ (Separate Evaluation)
(2) การรายงานผลเป็นการเข้าถึงข้อมูลและปัญหาของผู้บริหาร ซึ่งมีหน้าที่รับผิดชอบ อย่างไรก็ตาม ผู้บริหารไม่ได้เป็นผู้ที่ปฏิบัติงานโดยตรง ดังนั้น เมื่อพบเจอลักษณะที่บ่งชี้ถึงปัญหา จะช่วยให้บริษัทสามารถเข้าไปแก้ปัญหานั้นได้อย่างทันต่อเหตุการณ์ การบริหารความเสี่ยงให้มีประสิทธิภาพในระยะยาวนั้น จำเป็นจะต้องมีการประเมินผลเป็นระยะ ๆ โดยบริษัทอาจให้บุคคลภายนอกเป็นผู้ประเมิน (Independent Appraisal) หรือใช้วิธีการในลักษณะของการประเมินตนเอง (Self- Appraisal) ก็ได้
7. สภาพแวดล้อมภายในองค์กร (Internal Environment)
บริษัทได้จัดโครงสร้างภายในองค์กร โดยกำหนดให้มีสภาพแวดล้อมที่ดี และบรรยากาศที่เอื้ออำนวยเพื่อจัดการกับความเสี่ยงที่อาจมีผลกระทบต่อการกำหนดกลยุทธ์ และเป้าหมายของบริษัท โดยองค์ประกอบสำคัญที่มีผลต่อสภาพแวดล้อมภายในบริษัท คือ ปรัชญา ความเชื่อ และวัฒนธรรมในการบริหารความเสี่ยง เพื่อสร้างมูลค่าให้กับบริษัทในระยะยาวและอีกปัจจัยที่สำคัญในการบริหารความเสี่ยง คือ บทบาทของคณะกรรมการตรวจสอบ นอกจากนี้ บริษัทจะเลือกบุคลากรที่มีความรู้ ความสามารถ และความซื่อสัตย์ รวมทั้งพัฒนาบุคลากรให้เหมาะสมกับงานที่รับผิดชอบให้มีประสิทธิภาพ
8. สารสนเทศและการสื่อสาร (Information and Communication)
หมายถึง การจัดการของบริษัทให้มีระบบการสื่อสาร ระบบสารสนเทศ และระบบการบริหารความเสี่ยงที่ดี เพื่อให้มั่นใจว่าผู้บริหารและพนักงานทุกคนเข้าใจกระบวนการ และบทบาทหน้าที่ความรับผิดชอบของตนที่เกี่ยวข้องกับการบริหารความเสี่ยง ได้แก่
(1) ผู้บริหารระดับสูง มีการสื่อสารเกี่ยวกับนโยบายบริหารความเสี่ยงและสถานการณ์ความเสี่ยงให้แก่พนักงานทุกคนเข้าใจ และดำเนินการบริหารความเสี่ยงตามบทบาทหน้าที่ของตน
(2) จัดให้มีการสื่อสารที่มีประสิทธิภาพระหว่างผู้บริหาร และพนักงาน
(3) จัดให้มีการประสานงานระหว่างงานบริหารความเสี่ยง กับงานตรวจสอบเพื่อที่จะได้เกิดการ
แลกเปลี่ยนข้อมูลที่เป็นประโยชน์ระหว่างกัน
(4) จัดให้มีการสื่อสารข้อมูล และสาระความรู้เกี่ยวกับความเสี่ยงอย่างสม่ำเสมอและทันต่อเหตุการณ์
การทบทวนนโยบาย
บริษัทฯ กำหนดให้มีการทบทวนนโยบายฉบับนี้เป็นประจำทุกปี หรือเมื่อมีเหตุการณ์เปลี่ยนแปลง และเสนอให้คณะกรรมการตรวจสอบและคณะกรรมการบริษัทพิจารณาอนุมัติหากมีการเปลี่ยนแปลง
นโยบายฉบับนี้อนุมัติโดย มติที่ประชุมคณะกรรมการบริษัท ครั้งที่ 2/2567 เมื่อวันที่ 15 พฤษภาคม 2567 และมีผลบังคับใช้ในวันเดียวกัน
