การบริหารความเสี่ยง

ความสําคัญ

ทอท. มุ่งบริหารจัดการความเสี่ยงโดยถือเป็นประเด็นที่ต้องดําเนินการแบบบูรณาการอย่างเป็นรูปธรรมทั่วทั้งองค์กร สอดคล้องตามแนวทางปฏิบัติที่ดีในระดับสากล ซึ่งส่งผลให้องค์กรสามารถบรรลวิสัยทัศน์ตามที่กําหนด เสริมสร้างความมั่นคงในการดําเนินธุรกิจ และก่อให้เกิดประโยชน์สูงสุดต่อผู้มีส่วนได้เสีย

นโยบาย

ทอท. กําหนดนโยบายการบริหารความเสี่ยง นโยบายการบูรณาการการกํากับดูแลกิจการ การบริหารความเสี่ยง และการกํากับดูแลการปฏิบัติงานของ ทอท. นโยบายการบริหารความต่อเนื่องทางธุรกิจของ ทอท. และนโยบายการควบคุมภายในให้ผู้บริหารและพนักงานทุกระดับที่เกี่ยวข้องถือปฏิบัติ โดยพิจารณาความสอดคล้องตามแผนวิสาหกิจของ ทอท. ปีงบประมาณ 2566 - 2570 ฉบับทบทวน (ประจำปีงบประมาณ 2567) แผนปฏิบัติการและการบริหารโครงการ รวมถึงกฎหมาย กฎระเบียบ และนโยบายที่เกี่ยวข้องกับการดําเนินงานของ ทอท. นอกจากนี้ ทอท. ได้จัดทําคู่มือการบริหารความเสี่ยง เพื่อใช้เป็นแนวทางการปฏิบัติงานภายในอย่างครอบคลุมอีกด้วย

นโยบายการบริหารความเสี่ยง

ในปี 2567 ทอท. ทบทวนนโยบายการบริหารความเสี่ยงของ ทอท. โดย มุ่งเน้นการบริหารความเสี่ยงแบบบูรณาการทั่วทั้งองค์กร ที่สอดคล้องกับหลักการกำกับดูแลกิจการที่ดีและค่านิยมองค์กร พร้อมทั้งสร้างมูลค่าเพิ่มและความมั่นคงของ ทอท.

  • 1. กำหนดให้การบริหารความเสี่ยงเป็นความรับผิดชอบของทุกคนในองค์กร
  • 2. พัฒนาระบบบริหารความเสี่ยงตามมาตรฐานสากล เช่น COSO-ERM 2017 และระบบการบริหารความต่อเนื่องทางธุรกิจ ISO 22301:2019 และตามหลักเกณฑ์การประเมินกระบวนการปฏิบัติงานและการจัดการ Core Business Enablers ของรัฐวิสาหกิจ ตามระบบประเมินผลรัฐวิสาหกิจ (State Enterprise Assessment Model: SE-AM)
  • 3. รักษาสมดุลระหว่างความเสี่ยงและผลตอบแทนภายใต้ระดับความเสี่ยงที่ยอมรับได้
  • 4. จัดการความเสี่ยงที่กระทบต่อวัตถุประสงค์เชิงยุทธศาสตร์อย่างต่อเนื่อง
    • • ระบุความเสี่ยงอย่างครอบคลุมทันเวลา
    • • ประเมินโอกาสและผลกระทบ
    • • จัดการให้อยู่ในระดับที่ยอมรับได้
    • • ติดตามและรายงานอย่างสม่ำเสมอ
  • 5. เชื่อมโยงการบริหารความเสี่ยงกับค่านิยมองค์กร "5 ใจ" และส่งเสริมวัฒนธรรมการบริหารความเสี่ยงอย่างบูรณาการ
  • 6. พัฒนาระบบบริหารความเสี่ยงและระบบบริหารความต่อเนื่องทางธุรกิจอย่างต่อเนื่อง รวมถึงการนำเทคโนโลยีสารสนเทศมาสนับสนุนการดำเนินงาน เช่น การอนุมัติเอกสาร การจัดทำรายงานต่างๆ และการจัดเก็บเอกสาร เป็นต้น

นโยบายการควบคุมภายใน

ทอท. มุ่งมั่นพัฒนาระบบการควบคุมภายในให้มีประสิทธิภาพและเหมาะสมกับการดำเนินธุรกิจ เพื่อลดความเสี่ยง ส่งเสริมความโปร่งใส และการปฏิบัติงานที่มีประสิทธิภาพ ตามแนวทางของ The committee of Sponsoring Oranization of the Treadway Commission: COSO 2013 ที่ประกอบด้วยการวางแผน (Planning) การปฏิบัติงาน (Executing) การติดตามผล (Monitoring) และการประเมินตนเอง (Control Self Assessment: CSA) ทั้งนี้ นโยบายการควบคุมภายในมอบหมายให้ผู้บริหารดูแลการปฏิบัติตามข้อกำหนดด้านการควบคุมภายในและจัดทำคู่มือการปฏิบัติงาน (Standard Operating Procedure : SOP) ส่งเสริมการอบรมและให้ความรู้แก่พนักงานในทุกระดับ เพื่อสร้างความตระหนักรู้และความเข้าใจในกระบวนการควบคุมภายใน และสร้างระบบการประเมินและรายงานผลการควบคุมภายใน เพื่อการดำเนินงานอย่างโปร่งใสและยั่งยืน

นโยบายการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) ของ ทอท.

ทอท. มุ่งมั่นพัฒนาระบบ BCM โดยสอดคล้องกับมาตรฐาน ISO 22301:2019 เพื่อเพิ่มขีดความสามารถในการรับมือเหตุการณ์ไม่คาดฝันที่อาจส่งผลกระทบต่อการดำเนินธุรกิจเพื่อให้สามารถดำเนินธุรกิจได้อย่างต่อเนื่องในสถานการณ์ฉุกเฉิน รวมถึงสร้างความมั่นใจแก่ผู้มีส่วนได้เสียทุกกลุ่ม โดย ทอท. ปรับปรุงแผนบริหารความต่อเนื่องทางธุรกิจ /กระบวนการและสื่อสารข้อมูลสำคัญผ่านระบบภายในของ ทอท. และ/หรือการฝึกอบรมให้แก่พนักงานทุกคน การฝึกซ้อมแผนบริหารความต่อเนื่องทางธุรกิจ รวมถึงจัดทำรายงานสรุปผลการดำเนินงานด้านการบริหารความต่อเนื่องทางธุรกิจ เป็นประจำทุกปี

ดูรายละเอียดเพิ่มเติม
นโยบายการบริหารความเสี่ยง
นโยบายการบริหารความต่อเนื่องทางธุรกิจ
นโยบายการควบคุมภายใน
กฎบัตรของคณะกรรมการบริหารความเสี่ยง
นโยบายการบูรณาการการกำกับดูแลกิจการการบริหารความเสี่ยง และการกำกับดูแลการปฏิบัติงาน

แนวทางการจัดการ

โครงสร้างการบริหารความเสี่ยงของ ทอท.

โครงสร้างการบริหารความเสี่ยงของ ทอท. ไม่อยู่ภายใต้สายงานธุรกิจเพื่อให้เกิดความเป็นอิสระ ประกอบไปด้วย

  • คณะกรรมการบริหารความเสี่ยง (คคส.) (Board Level Risk Oversight) ซึ่งได้รับการแต่งตั้งจากคณะกรรมการทอท. ทำหน้าที่กำหนดนโยบาย แนวทางและกรอบการบริหารความเสี่ยง และระดับความเสี่ยงที่ยอมรับได้ พร้อมทั้งแต่งตั้งคณะทำงาน และ/หรือพนักงาน (Operational Risk Management Functions) เพื่อให้การสนับสนุนการดำเนินงานตามความเหมาะสม

  • คณะทำงานบริหารความเสี่ยงของ ทอท. (คณส.ทอท.) (Risk Management & Compliance – Second Line) ประกอบด้วย กรรมการผู้อำนวยการใหญ่ รองกรรมการผู้อำนวยการใหญ่ ผู้อำนวยการท่าอากาศยาน เลขานุการบริษัท ผู้ช่วยกรรมการผู้อำนวยการใหญ่ ผู้อำนวยการสำนักกรรมการผู้อำนวยการใหญ่ ผู้อำนวยการฝ่าย และรองผู้อำนวยการฝ่ายบริหารความเสี่ยง เป็นต้น

    อำนาจหน้าที่
    อำนาจหน้าที่ในระดับนโยบาย ให้ความเห็นชอบในแผนการดำเนินงานต่างๆที่เกี่ยวข้องกับการบริหารความเสี่ยง การควบคุมภายใน และการบริหารความต่อเนื่องทางธุรกิจ พร้อมทั้งติดตามผลการดำเนินงานต่างๆ ให้เป็นไปตามแผน รวมทั้งให้การสนับสนุนทรัพยากรบุคคลในการฝึกอบรมเสริมสร้างทักษะที่เป็นประโยชน์ต่อการดำเนินงานด้านการบริหารความเสี่ยง ส่งเสริมการนำเทคโนโลยีมาสนับสนุนการบริหารความเสี่ยง และสนับสนุนงานด้านอื่นๆ ที่เกี่ยวข้อง

  • คณะทำงานบริหารความเสี่ยงและควบคุมภายในของสายงาน สาย สำนัก และท่าอากาศยาน (Operational Risk Ownership – First Line)
    ประกอบด้วย หัวหน้าสายงานและระดับปฏิบัติการด้านความเสี่ยงของแต่ละสายงาน สาย สำนัก และท่าอากาศยาน : ทำหน้าที่ในการระบุ ประเมินความเสี่ยง วางแนวทางในการบริหารจัดการความเสี่ยงให้เป็นไปตามนโยบาย ติดตามและรายงานผลการดำเนินงานบริหารความเสี่ยงและควบคุมภายใน ต่อ คณส.ทอท.

  • สำนักตรวจสอบ (Independent Audit Unit- Third Line) :
    เป็นหน่วยงานที่เป็นอิสระ ในการตรวจสอบภายในมีสายการบังคับบัญชาขึ้นตรงต่อคณะกรรมการตรวจสอบ สำหรับการบริหารทั่วไปมีสายการบังคับบัญชาขึ้นตรงต่อกรรมการผู้อำนวยการใหญ่ โดยมีหน้าที่ปฏิบัติงานตรวจสอบเพื่อให้ความเชื่อมั่น (Assurance Service) และให้คำแนะนำปรึกษา (Consulting Service) ด้วยความเป็นอิสระ เที่ยงธรรม เพื่อเพิ่มมูลค่าปรับปรุงการดำเนินงาน และช่วยให้ ทอท.บรรลุวัตถุประสงค์ที่กำหนด โดยจัดให้มีแนวทางที่เป็นระเบียบแบบแผนที่ดีมาใช้ในการประเมินประสิทธิผลของกระบวนการบริหารความเสี่ยง กระบวนการควบคุมภายใน และกระบวนการกำกับดูแลกิจการที่ดี

ทั้งนี้ การดำเนินงานด้านความเสี่ยงทั้งหมดจะถูกรายงานต่อกรรมการผู้อำนวยการใหญ่และคณะกรรมการบริหารความเสี่ยงเป็นประจำทุกปี

ผู้รับผิดชอบสูงสุดในระดับปฏิบัติการต่อการบริหารจัดการความเสี่ยง เพื่อให้มีการบริหารความเสี่ยงตามนโยบายที่กำหนด มนุษยชน นายดนัย ภูชาดา
ผู้อำนวยการฝ่ายบริหารความเสี่ยง
ผู้รับผิดชอบสูงสุดในระดับปฏิบัติการต่อการตรวจสอบภายในองค์กร ธัญญา เสียงเจริญ
ผู้อำนวยการสำนักตรวจสอบ

กรอบการบริหารความเสี่ยงของ ทอท.

ทอท. ทบทวนคู่มือความเสี่ยง ประจำปีงบประมาณ 2567 เพื่อเป็นแนวทางการบริหารความเสี่ยงเชิงบูรณาการตามแนวทางของ The Committee of Sponsoring Organizations of the Treadway Commission - Enterprise Risk Management Integrating with Strategy and Performance: COSO - ERM 2017 และกรอบการบริหารความต่อเนื่องทางธุรกิจที่เป็นไปตามข้อกําหนดของมาตรฐานสากล International Organization for Standardization: ISO 22301: 2019 (Societal and Resilience - Business Continuity Management System Requirements) แนวทางปฏิบัติที่ดีตามหลักเกณฑ์กระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการบริหารจัดการความเสี่ยงสำหรับหน่วยงานของรัฐ พ.ศ. 2562 หลักเกณฑ์การประเมินกระบวนการปฏิบัติงานและการจัดการ Core Business Enablers ของรัฐวิสาหกิจ ตามระบบประเมินผลรัฐวิสาหกิจ (State Enterprise Assessment Model: SE-AM) รวมถึงแนวทางปฏิบัติของสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) โดยนํากระบวนการบริหารความเสี่ยงมาเป็นส่วนหนึ่งในการจัดทำแผนวิสาหกิจ ทอท. และการบริหารโครงการที่มีความสำคัญ เพื่อให้สามารถจัดการความเสี่ยงตลอดจนภัยพิบัติที่อาจเกิดขึ้นและส่งผลกระทบต่อการดําเนินธุรกิจของ ทอท. ได้อย่างทันเวลาและต่อเนื่อง รวมถึงสนับสนุนให้ ทอท. สามารถบรรลุวัตถุประสงค์และเป้าหมายที่กำหนดไว้

การบริหารความเสี่ยงเชิงบูรณาการตามแนวทางของ COSO - ERM 2017 ประกอบด้วย 5 องค์ประกอบ 20 หลักการ ดังนี้

    1. การกำกับดูแล และวัฒนธรรมองค์กร (Governance and Culture)
    2. การกำหนดกลยุทธ์และเป้าหมายทางธุรกิจ (Strategy and Objective - Setting)
    3. ผลการดําเนินงาน (Performance)
    4. การทบทวนและการปรับปรุงแก้ไข (Review and Revision)
    5. ข้อมูล การสื่อสาร และการรายงานผล (Information Communication and Reporting)

ดูรายละเอียดเพิ่มเติม
แผนบริหารความเสี่ยง ประจำปีงบประมาณ 2567 (ฉบับทบทวน)

แนวทางการบริหารความเสี่ยงของ ทอท.

ทอท. กําหนดให้มีกระบวนการบริหารความเสี่ยงอย่างเป็นระบบ (Risk Management Process) เพื่อรวบรวมและวิเคราะห์เหตุการณ์ความเปลี่ยนแปลงหรือความไม่แน่นอนทั้งภายในและภายนอกองค์กรที่อาจเกิดขึ้นและส่งผลกระทบต่อการดําเนินงานของ ทอท. โดยดำเนินการตามกระบวนการดังกล่าวเป็นประจำทุกปี ปีละ 2 ครั้ง (Risk Exposure Review) ในช่วงก่อนเริ่มปีงบประมาณและทบทวนในช่วงกลางปีงบประมาณ หรือทันทีเมื่อมีเหตุการณ์ความเปลี่ยนแปลงที่เป็นสาระสำคัญต่อ ทอท.

Toggle List
  • 1. การวิเคราะห์การเปลี่ยนแปลงที่อาจเกิดขึ้นและส่งผลกระทบต่อการดำเนินงานของ ทอท. (Uncertainty) +
    Image 1

    ทอท. วิเคราะห์ข้อมูลจากการเปลี่ยนแปลงสำคัญ 8 ด้าน รวมถึงปัจจัยอื่น ๆ รวมถึงประเด็นความเสี่ยงระยะยาว (3 ปีขึ้นไป) โดยนำข้อมูลเหล่านี้มาเป็นปัจจัยนำเข้าในการกำหนดแผนบริหารความเสี่ยง เพื่อลดโอกาสเกิดเหตุ (Likelihood) และผลกระทบ (Impact) โดยข้อมูลที่ได้จากการวิเคราะห์นี้จะใช้เป็นปัจจัยนำเข้าในการทบทวนแผนวิสาหกิจของ ทอท. ต่อไป เพื่อให้สามารถรับมือกับความเปลี่ยนแปลงในระยะยาวได้อย่างมีประสิทธิภาพ อีกทั้งยังเป็นส่วนสำคัญในการสนับสนุนการเติบโตและการบริหารความเสี่ยงของ ทอท. ในอนาคต

  • 2. การกำหนดและทบทวนดัชนีชี้วัดความเสี่ยง (KRIs) +

    ทอท. กำหนดและทบทวน KRIs อย่างต่อเนื่องปีละ 2 ครั้ง เพื่อระบุและติดตามความเสี่ยงสำคัญที่อาจส่งผลกระทบต่อองค์กร โดย KRIs ถูกออกแบบให้เชื่อมโยงกับเป้าหมายทางยุทธศาสตร์ขององค์กร และทำหน้าที่เป็นเครื่องมือสำหรับติดตามความเสี่ยง (Tracking) รวมถึงส่งสัญญาณแจ้งเตือนล่วงหน้า (Early Warning Sign) ในกรณีที่เกิดความเสี่ยงสำคัญในอนาคต ประเภทของ KRIs ประกอบด้วย 1) กลุ่มปฏิบัติการ (Operational) ที่ครอบคลุมการดำเนินงานของ ทอท. และ 2) กลุ่มการจัดการ (Management) ที่เชื่อมโยงกับกระบวนการบริหารภายในองค์กร KRIs มีการประเมินผลผ่านตัวชี้วัด 3 ระดับ ซึ่งผลลัพธ์แสดงผลในระบบ KRIs Dashboard เพื่อใช้วิเคราะห์และตัดสินใจในการปรับปรุงกระบวนการบริหารจัดการความเสี่ยง โดยการกำหนด KRIs ของ ทอท. ช่วยให้องค์กรสามารถติดตามและจัดการความเสี่ยงได้อย่างมีประสิทธิภาพและสอดคล้องกับเป้าหมายทางยุทธศาสตร์ขององค์กร

    สี ข้อมูล KRIs การดำเนินการ
    สีเขียว ผล KRIs เป็นไปตามเป้าหมาย เฝ้าดูปกติ (Watch)
    สีเหลือง ผล KRIs มีแนวโน้มไม่เป็นไปตามเป้าหมาย ทบทวน/ปรับปรุงมาตรการที่มีอยู่
    สีแดง ผล KRIs มีค่าเกินกว่าค่าเป้าหมายที่กำหนด จัดทำแผนการความเสี่ยงเพิ่มเติมและรายงานผลต่อคณส. ทอท. เพื่อพิจารณาให้ข้อเสนอแนะเชิงนโยบาย
  • 3. การจัดทำแผนบริหารความเสี่ยง+
    1. 1. การวิเคราะห์ประเด็นความเสี่ยงที่ต้องเผชิญ (Risk Universe)+

      ในการดำเนินงานด้านการบริหารความเสี่ยงในขั้นตอนของการวิเคราะห์ความเสี่ยงจากสภาพแวดล้อม ทอท. ได้จัดทำประเด็นและปัจจัยความเสี่ยงที่อาจเกิดขึ้นได้ทั้งหมด (Risk Universe) เป็นฐานข้อมูล โดยพิจารณาจากแหล่งที่มา 13 แหล่ง อ้างอิงตามหลักเกณฑ์การประเมินกระบวนการปฏิบัติงานและการจัดการ Core Business Enablers ของรัฐวิสาหกิจ (ฉบับปรับปรุงปี 2566) ด้านที่ 3 การบริหารความเสี่ยงและการควบคุมภายใน (Risk Management & Internal Control: RM & IC) ได้แก่

        1. 1.ปัจจัยเสี่ยงระดับองค์กรของ ทอท. ปีงบประมาณก่อนหน้าที่มีผลการบริหารความเสี่ยงยังไม่เป็นไปตามเป้าหมาย
        2. 2. ผลการวิเคราะห์สภาพแวดล้อมขององค์กร (SWOT Analysis)
        3. 3. ตัวชี้วัดและเป้าหมายของวัตถุประสงค์เชิงยุทธศาสตร์ (Strategic Objective : SO)
        4. 4. ความท้าทายเชิงยุทธศาสตร์ (Strategic Challenges : SC)
        5. 5. ตัวชี้วัดตามยุทธศาสตร์ภายใต้แผนวิสาหกิจของ ทอท.
        6. 6. ปัจจัยขับเคลื่อนมูลค่า (Value Driver)
        7. 7. ตัวชี้วัดและเป้าหมายตามร่างบันทึกข้อตกลงประเมินผลการดำเนินงานรัฐวิสาหกิจ ระหว่างสำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) กับ ทอท. (Performance Agreement : PA) ในปีงบประมาณ 2567 และผล/คาดการณ์ผลการดำเนินงานตามบันทึกข้อตกลงฯ ปี 2566 ที่ไม่เป็นไปตามเป้าหมาย
        8. 8. นโยบายของผู้บริหารระดับสูง (Board Policy)
        9. 9. แผนปฏิบัติการ (Action Plan) แผนดำเนินงาน (Work Plan) และโครงการร่วมทุนระหว่างภาครัฐและเอกชน (Public Private Partnership : PPP)
        10. 10. ผลการวิเคราะห์ประเด็นความเสี่ยงที่อาจเกิดขึ้นและส่งผลกระทบต่อ การดำเนินงานของ ทอท. (Uncertainty)
        11. 11. ผลการวิเคราะห์ความเสี่ยงเพื่อเข้าถึงโอกาสทางธุรกิจ (Intelligence Risk)
        12. 12. แนวโน้มความต้องการของกลุ่มลูกค้าหลัก (Stakeholder Management)
        13. 13. ผลการประเมินและปรับปรุงการควบคุมภายในระดับองค์กร (Control Self-Assessment: CSA)

      เกณฑ์ในการประเมินและวิเคราะห์ Risk Universe
      Risk Universe ที่ ทอท. อาจจะต้องเผชิญภายในระยะเวลา 1-2 ปี จะเป็นปัจจัยนำเข้า ในการจัดทำแผนบริหารความเสี่ยงประจำปี โดยพิจารณาร่วมกับเกณฑ์การประเมินประสิทธิผลของมาตรการควบคุม ทั้งนี้ เกณฑ์การประเมินประสิทธิผลฯ จะพิจารณาว่า “ไม่เพียงพอ” เมื่อมีผลการประเมินฯ ต่ำกว่าระดับ 3 ในมิติใดมิติหนึ่ง กรณีที่ประเด็นความเสี่ยงมีผลการประเมินฯ “เพียงพอ” จะถูกติดตาม (Monitor) ต่อภายในส่วนงาน สำหรับประเด็นความเสี่ยงที่ผลการประเมินฯ “ไม่เพียงพอ” จะเป็นปัจจัยนำเข้าในการจัดทำแผนบริหารความเสี่ยงของ ทอท. ต่อไป
      Risk Universe ที่ ทอท. อาจจะต้องเผชิญภายในระยะเวลาตั้งแต่ 3 ปีขึ้นไป ฝ่ายบริหารความเสี่ยง. จะวิเคราะห์และจัดทำเป็นประเด็นความเสี่ยงที่อาจเกิดขึ้นและส่งผลกระทบต่อการดำเนินงานของ ทอท. (Uncertainty) และจัดส่งให้ ฝกอ. เพื่อเป็นปัจจัยนำเข้าในการทบทวนแผนวิสาหกิจของ ทอท. ต่อไป

      ประเภทความเสี่ยง
      • ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) หมายถึง ความเสี่ยงที่ก่อให้เกิดการสูญเสียทางการเงินหรือศักยภาพในการแข่งขัน อันเนื่องมาจากกระบวนการตัดสินใจเชิงกลยุทธ์ที่ไม่เหมาะสม
      • ความเสี่ยงด้านปฏิบัติการ (Operational Risk) หมายถึง ความเสี่ยงที่อาจส่งผลกระทบต่อการดำเนินงานขององค์กร อันเนื่องมาจากความผิดพลาดที่เกิดจากการปฏิบัติงานของบุคลากร ระบบ หรือกระบวนการต่างๆ
      • ความเสี่ยงด้านการเงิน (Financial Risk) หมายถึง ความเสี่ยงทเกิดจากความผันผวนของตัวแปรทางการเงิน เช่น อัตราแลกเปลี่ยน อัตราดอกเบี้ย สภาพคล่องทางการเงิน และราคาโภคภัณฑ์ (Commodity) ซึ่งก่อให้เกิดการสูญเสียทางการเงิน
      • ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบข้อบังคับ (Compliance Risk) หมายถึง ความเสี่ยงที่เกิดจากการละเมิดหรือไม่ปฏิบัติตามนโยบาย กระบวนการ หรือการควบคุมต่างๆ ที่กำหนดขึ้นเพื่อให้สอดคล้องกับกฎระเบียบ ข้อบังคับ ข้อสัญญา และข้อกฎหมายที่เกี่ยวข้องกับการดำเนินงานขององค์กร
      • ความเสี่ยงด้านทุนมนุษย์ (Human Capital Risk) คือ ช่องว่างระหว่างเป้าหมายขององค์กรกับทักษะในการปฏิบัติงานของพนักงาน อาจส่งผลกระทบให้องค์กรไม่สามารถบรรลุเป้าหมายได้ ซึ่งอาจจะเกิดจากความตั้งใจหรือมิได้ตั้งใจของพนักงาน เช่น ประสิทธิภาพในการปฏิบัติงานอาจไม่เป็นไปตามที่กำหนด เป็นต้น
      • ความเสี่ยงด้านความปลอดภัย (Safety Risk) คือ ความเสี่ยงที่อาจเกิดขึ้นจากมนุษย์หรือกระบวนการโดยมิได้ตั้งใจ จนก่อให้เกิดการได้รับอันตรายต่อบุคคลหรือความเสียหายต่อทรัพย์สิน
      • ความเสี่ยงด้านการรักษาความปลอดภัย (Security Risk) คือ การกระทำอันเป็นการแทรกแซงโดยมิชอบด้วยกฎหมาย หรือการฝ่าฝืนการปฏิบัติด้วยความตั้งใจ ซึ่งสามารถนำไปสู่อันตรายต่อบุคคล ความเสียหายต่อทรัพย์สิน หรือการต้องหยุดให้บริการเป็นระยะยาว และการเสียชื่อเสียง
      • ความเสี่ยงด้านอันตรายและสิ่งแวดล้อม (Hazard and Environmental Risk) คือ ความเสี่ยงที่เกิดจากภัยอันตรายหรือภัยธรรมชาติต่าง ๆ ที่อาจส่งผลกระทบต่อการดำเนินงาน เช่น อุทกภัย โรคระบาด รวมไปถึงการก่อการร้าย เป็นต้น
      • ความเสี่ยงด้านการทุจริต (Fraud Risk) หมายถึง ความเสี่ยงที่เกิดจากการกระทำโดยเจตนา เพื่อแสวงหาผลประโยชน์ที่มิควรได้โดยชอบด้วยกฎหมายสำหรับตนเองหรือผู้อื่น เช่น คนในครอบครัว เป็นต้น
      • ความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk) หมายถึง ความเสี่ยงที่เกิดจากเหตุการณ์ที่มีโอกาสเกิดขึ้นได้และทำให้เกิดความเสียหายต่อสินทรัพย์ สารสนเทศของ ทอท. เช่น ไวรัสทำให้ข้อมูลเสียหาย ระบบคอมพิวเตอร์แม่ข่ายหลักเสียหายข้อมูลสำคัญถูกเข้าถึงโดยไม่ได้รับอนุญาต เป็นต้น
      • ความเสี่ยงด้านภาพลักษณ์ (Reputation Risk) หมายถึง ความเสี่ยงที่เกิดจากเหตุการณ์ที่มีโอกาสเกิดขึ้นและทำให้เกิดภาพลักษณ์ในเชิงลบต่อ ทอท. ส่งผลให้เป็นที่วิพากษ์วิจารณ์ในสังคมจนนำไปสู่การสูญเสียชื่อเสียง
      • ความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk) คือ ความเสี่ยงที่จะเกิดใหม่เป็นความสูญเสียที่เกิดขึ้นจากความเสี่ยงที่ยังไม่ได้ปรากฏขึ้นในปัจจุบันแต่อาจจะเกิดขึ้นได้ในอนาคต เนื่องจากสภาวะแวดล้อมที่เปลี่ยนไป ความเสี่ยงประเภทนี้เป็นความเสี่ยงที่เกิดขึ้นอย่างช้า ๆ ยากที่จะระบุได้ มีความถี่ของการเกิดน้อยแต่เมื่อเกิดขึ้นแล้วจะส่งผลกระทบอย่างรุนแรง ความเสี่ยงที่เกิดใหม่นี้มักจะถูกระบุขึ้นมาจากการคาดการณ์บนพื้นฐานของการศึกษาจากหลักฐานที่มีปรากฏอยู่ มักจะเป็นผลมาจากการเปลี่ยนแปลงทางการเมือง กฎหมาย สังคม เทคโนโลยี สภาพแวดล้อมทางกายภาพ หรือการเปลี่ยนแปลงตามธรรมชาติ ในบางครั้งผลกระทบของความเสี่ยงประเภทนี้อาจจะไม่สามารถระบุได้ในปัจจุบัน ตัวอย่าง เช่น ปัญหาที่เกิดขึ้นจากนาโนเทคโนโลยี การเปลี่ยนแปลงของสภาวะภูมิอากาศ หรือโรคอุบัติใหม่ เป็นต้น

      หมายเหตุ: จากการวิเคราะห์ประเด็นความเสี่ยงที่เกิดจากสิ่งแวดล้อมภายนอก และภายใน สามารถนำมาสู่ การบริหารความเสี่ยงเพื่อสร้างสรรค์มูลค่าให้กับองค์กร (Value Creation) ซึ่งเป็นการบริหารความเสี่ยงของ การสูญเสีย “โอกาสของธุรกิจ” หรือเป็นการที่องค์กรสามารถพลิกผันเหตุการณ์/วิกฤติให้เป็นโอกาสทางธุรกิจ จนเกิดการได้เปรียบทางการแข่งขัน โดยที่ “โอกาสของธุรกิจ” พิจารณาจากการการระบุเหตุการณ์ที่เป็นโอกาส ของธุรกิจ (Opportunities) จากการวิเคราะห์ SWOT ขององค์กร และนำมาวิเคราะห์ถึงปัจจัยเสี่ยงของเหตุการณ์ ดังกล่าว จากนั้นนำเข้ากระบวนการบริหารความเสี่ยงจนทำให้ระดับความเสี่ยงของปัจจัยเสี่ยงดังกล่าวลดลง

    2. 2. การพิจารณาคัดเลือกปัจจัยเสี่ยงระดับองค์กร (Identifies Risk)+
      คัดเลือกปัจจัยเสี่ยงระดับองค์กร

      จากข้อมูลประเด็นความเสี่ยงระยะสั้น (1-2 ปี) จาก Risk Universe ที่มีผลการประเมินประสิทธิผลของมาตรการควบคุม “ไม่เพียงพอ” จะถูกรวบรวมและวิเคราะห์เพื่อคัดเลือกปัจจัยเสี่ยงระดับองค์กรของ ทอท. ต่อไป โดยพิจารณาจากผลกระทบของประเด็นความเสี่ยงต่อวัตถุประสงค์ เชิงยุทธศาสตร์ (Strategic Objective) กระบวนการปฏิบัติงาน (Work Process) ปัจจัยเสี่ยงที่เป็นสาเหตุที่ทำให้เกิดปัจจัยเสี่ยงอื่น ๆ หรือสาเหตุร่วม (Common Root Cause) ประเด็นความเสี่ยงที่มีผลกระทบในระดับปานกลาง (สีเหลือง) และสูง (สีแดง) จะถูกคัดเลือกเป็นปัจจัยเสี่ยงระดับองค์กรของ ทอท. ส่วนประเด็นความเสี่ยงที่มีผลกระทบในระดับต่ำ (สีเขียว) จะถูกบริหารจัดการผ่านกระบวนการควบคุมภายใน จากผลการพิจารณาคัดเลือกปัจจัยเสี่ยงระดับองค์กร ฝ่ายบริหารความเสี่ยง ร่วมกับผู้รับผิดชอบความเสี่ยง (Risk Owner) จัดทำรายละเอียดแผนบริหารความเสี่ยงของปัจจัยเสี่ยงระดับองค์กร ประจำปีงบประมาณ 2567 โดยมีกระบวนการที่สำคัญตั้งแต่ การกำหนดเป้าหมายในการบริหารความเสี่ยง (Strategy & Objectives Setting) ตลอดจนการทำแผนที่ความเสี่ยง (Risk Correlation Map)

    3. 3. การกำหนดเป้าหมายในการบริหารความเสี่ยง (Strategy & Objectives Setting)+

      เพื่อให้การบริหารความเสี่ยงองค์กรี่มีประสิทธิภาพ ทอท. ได้จัดทำการกำหนดเป้าหมาย/วัตถุประสงค์เป็นจุดเริ่มต้นของการบริหารความเสี่ยงเพื่อให้การดำเนินงานด้านความเสี่ยงมีการบรรลุเป้าหมายที่ตั้งไว้อย่างสมเหตุสมผล โดยแบ่งเป็น ระดับที่เป็นภาพรวมขององค์กร คือ วิสัยทัศน์ พันธกิจ ซึ่งนำไปสู่วัตถุประสงค์หรือเป้าหมายองค์กร ระดับรองลงมาคือวัตถุประสงค์หรือเป้าหมายของสายงาน และส่วนงานต่าง ๆ และระดับที่ย่อยลงไปจนถึงวัตถุประสงค์หรือเป้าหมายของกระบวนการและโครงการ ทอท.มีการกำหนดเป้าหมายในการบริหารความเสี่ยงผ่าน 2 ระดับความเสี่ยง ระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite: RA) และระดับความเสี่ยงที่ยอมให้เบี่ยงเบนได้ (Risk Tolerance: RT) โดยทั่วไปการดำเนินงานเพื่อให้ได้ผลตอบแทนตามเป้าหมายที่กำหนดนั้น องค์กรอาจจำเป็นต้องยอมรับความเสี่ยงบ้าง การกำหนดระดับความเสี่ยงที่ยอมรับได้จะช่วยให้องค์กรทราบว่า ความเสี่ยงประเภทใด ความเสี่ยงลักษณะใด และความเสี่ยงระดับที่สูงเพียงใดที่องค์กรสามารถยอมรับเพื่อให้สามารถดำเนินงานได้ตามเป้าหมาย

      ระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite: RA) ระดับความเสี่ยงที่กำหนดขึ้นในภาพรวม (Board – Based Amount) และองค์กรสามารถยอมรับได้ในการมุ่งสู่วิสัยทัศน์และพันธกิจขององค์กร มีลักษณะ เป็นค่าเป้าหมาย (ค่าเดียว) หรือค่าช่วง สอดคล้องกับเป้าหมายขององค์กร โดยแนวทางในการกำหนดระดับ ความเสี่ยงที่ยอมรับได้ สามารถทำได้โดยผู้บริหารระดับสูงขององค์กรเป็นผู้กำหนด ภายใต้การกำกับดูแล ของคณะกรรมการบริหารองค์กร
      ระดับความเสี่ยงที่ยอมให้เบี่ยงเบนได้ (Risk Tolerance: RT) ต้องกำหนดให้สอดคล้องกับระดับความเสี่ยงที่องค์กรยอมรับได้ ซึ่งอาจระบุไว้ในประมาณการทางการเงิน หรือบันทึกข้อตกลงประเมินผลการดำเนินงานองค์กร (Performance Agreement : PA) ประจำปี หากไม่มีการระบุ ควรเป็นค่าที่ได้รับความเห็นชอบจากผู้บริหารระดับสูงและคณะกรรมการบริหารองค์กร
    4. 4. การวิเคราะห์สาเหตุของปัจจัยเสี่ยง (Root Cause Analysis : RCA)+
      ประเภทความเสี่ยง

      นอกจากการกำหนดเป้าหมาย/วัตถุประสงค์สำหรับการบริหารความเสี่ยง ทอท. ได้ดำเนินการวิเคราะห์ถึงสาเหตุของความเสี่ยงต่าง ๆ โดยวิเคราะห์ถึงปัจจัยที่ทำให้เกิดความเสี่ยงหรือสาเหตุของการเกิดความเสี่ยง โดยแบ่งเป็นการวิเคราะห์สาเหตุของความเสี่ยงที่เกิดจากภายในองค์กรและสาเหตุเกิดจากข้อจำกัดหรือความไม่แน่นอนของเหตุการณ์ภายนอกองค์กร โดยมีกลุ่มผู้ที่รับผิดชอบความเสี่ยง (Risk Owner) ต่าง ๆ ทำหน้าที่ในการระบุถึงสาเหตุของปัจจัยความเสี่ยง ซึ่งสามารถทำตามขั้นตอนได้ ดังนี้

      1. ผู้ปฏิบัติงานเป็นผู้ระบุสาเหตุของปัจจัยเสี่ยง เนื่องจากผู้ปฏิบัติงานเป็นผู้ที่มีข้อมูล ความรู้และความเข้าใจในการปฏิบัติงาน และสามารถระบุเหตุการณ์หรือสาเหตุของความเสี่ยงได้
      2. การสัมภาษณ์หรือการสำรวจความคิดเห็นด้านความเสี่ยง เนื่องจากบางครั้งผู้ปฏิบัติงานอาจมองไม่เห็นสาเหตุของความเสี่ยงของตนเอง ดังนั้นการรับฟังความคิดเห็นของผู้อื่นจึงเป็นอีกแนวทางหนึ่งที่ช่วยให้สามารถระบุสาเหตุที่ครอบคลุมมากยิ่งขึ้น การสัมภาษณ์และแบบสอบถามเป็นเทคนิคที่เป็นประโยชน์สำหรับการรวบรวมข้อมูลความเสี่ยง ข้อมูลที่รวบรวมได้จากการสัมภาษณ์หรือการสำรวจความคิดเห็นสามารถใช้เป็นจุดเริ่มต้นสำหรับการหารือในการประชุมเชิงปฏิบัติการความเสี่ยงได้
      3. การวิเคราะห์แผนภาพขั้นตอนการปฏิบัติงาน การทำความเข้าใจการดำเนินงานปัจจุบันหรือกระบวนการตามแนวปฏิบัติที่ดี (Best Practice) สามารถช่วยระบุสาเหตุของความเสี่ยงได้ โดยแผนภาพขั้นตอนการปฏิบัติงานอาจอยู่ในรูปแบบแผนภาพกระบวนการ (Process Map) คำอธิบาย หรือทั้งสองอย่าง
      4. การประชุมเชิงปฏิบัติการ (Workshop) เป็นวิธีที่ใช้โดยทั่วไปในการระบุสาเหตุของความเสี่ยง ซึ่งควรดำเนินการโดยผู้ประสานงาน (Facilitator) ที่มีความเชี่ยวชาญเพื่อให้แน่ใจว่าสามารถบรรลุวัตถุประสงค์ภายใต้กระบวนการและเวลาที่กำหนด อย่างไรก็ตาม ควรระมัดระวังในการคัดเลือกผู้เข้าร่วมประชุมเชิงปฏิบัติการให้เหมาะสม โดยผู้เข้าร่วมประชุมจะต้องเป็นผู้ที่มีความรู้ในประเด็นหรือกระบวนการที่จะหารือในการประชุมเชิงปฏิบัติการและสามารถมีส่วนร่วมในการหารือดังกล่าว
    5. 5. การกำหนดมาตรการควบคุมในปัจจุบัน (Existing Control) และแผนจัดการความเสี่ยงเพิ่มเติม (Mitigation Plan)+
      Mitigation Plan

      การบริหารความเสี่ยงองค์กรของ ทอท. มีการจัดทำแผนการหรือมาตรการเพื่อควบคุมและลดระดับความเสี่ยงให้อยู่ในระดับที่ได้มีการกำหนดไว้ตามเป้าหมายและวัตถุประสงค์ ซึ่งดำเนินการผ่านส่วนงานต่าง ๆ พร้อมกันกับจัดทำการประเมินความเพียงพอของมาตรการควบคุมในปัจจุบันรายสาเหตุ โดยการประเมินต้องผ่านเกณฑ์ที่มีการกำหนดสำหรับการประเมินใน 3 มิติ ได้แก่ ผลการดำเนินงานเมื่อเทียบกับเป้าหมาย กระบวนการควบคุม และการติดตาม โดยหากการประเมินมาตรการควบคุมที่มีอยู่ในมิติใดมิติหนึ่งมีผลการประเมินต่ำกว่าระดับ 3 หรือไม่เพียงพอ จะต้องเข้าสู่การพิจารณาแผนการจัดการความเสี่ยงเพิ่มเติม (Mitigation Plan) เพื่อใช่ควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้

    6. 6. การประเมินความเสี่ยง (Risk Assessment)+
      Sub Image 6

      ในการดำเนินการประเมินความเสี่ยงจากประเด็นที่มีการระบุ ทอท. ดำเนินการจัดลำดับความสำคัญของความเสี่ยง โดยพิจารณาโอกาสในการเกิด (Likelihood) และผลกระทบ (Impact) ผ่านแผนภาพความเสี่ยง (Risk Matrix) ที่นำไปสูู่้ประเด็นความเสี่ยงที่มีความน่าจะเป็นที่จะเกิดขึ้นและส่งผลต่อการดำเนินงานของ ทอท. ซึ่งสามารถจัดทำการประเมินเพื่อจัดลำดับความเสี่ยงต่อองค์กรโดยใช้สถิติข้อมูลในอดีตหรือการคาดการณ์ในอนาคตกำหนดเป็นค่าระดับของเกณฑ์การประเมินความเสี่ยงฯ โดยสามารถพิจารณาข้อมูลให้สอดคล้องกับขั้นตอนการระบุปัจจัยเสี่ยง เช่น เป้าหมายองค์กร กฎระเบียบ ข้อบังคับ ดัชนีชี้วัดผลการดำเนินงาน (Key Performance Indicator: KPI) ผลการดำเนินงาน หรือปัจจัยสำคัญที่ส่งผลกระทบต่อการดำเนินงาน ทั้งนี้ ก็เพื่อเตรียมการ หรือมาตรการควบคุมความเสี่ยงที่อาจจะเกิดขึ้นจริง และเพื่อการลดผลการกระทบให้อยู่ในเกณฑ์ที่สามารถยอมรับได้

      Sub Image 6
    7. 7. การตอบสนองความเสี่ยง (Risk Response)+

      สำหรับสาเหตุของปัจจัยเสี่ยงที่มีผลการประเมินประสิทธิผลของมาตรการควบคุมในปัจจุบัน “ไม่เพียงพอ” จะต้องมีการกำหนดแผนจัดการความเสี่ยงเพิ่มเติม ซึ่งเป็นแผนจัดการความเสี่ยงที่ส่วนงานจำเป็น ต้องมีการเริ่มดำเนินการขึ้นใหม่เพื่อลดระดับความเสี่ยงให้อยู่ในระดับที่ยอมรับได้อย่างไรก็ตาม องค์กรจำเป็น ต้องประเมินความคุ้มค่าของมาตรการที่จะใช้ตอบสนองความเสี่ยงดังกล่าว โดยคำนึงถึงระดับความเสี่ยงที่ยอมรับได้ ว่าคุ้มค่าที่จะดำเนินการหรือไม่ ทั้งนี้ ผู้รับผิดชอบความเสี่ยง (Risk Owner) ต้องพิจารณาเปรียบเทียบระหว่างต้นทุน และผลประโยชน์ (Cost and Benefit Analysis : CBA) ทั้งที่เป็นตัวเงินหรือมิใช่ตัวเงิน เพื่อให้การบริหารความเสี่ยง เป็นไปอย่างมีประสิทธิผล ซึ่งองค์กรอาจเลือกแนวทางการตอบสนองความเสี่ยงอย่างใดอย่างหนึ่ง หรือหลายแนวทาง รวมกันเพื่อลดระดับโอกาสที่อาจจะเกิดขึ้นและ/หรือผลกระทบของเหตุการณ์ให้อยู่ในระดับที่องค์กรยอมรับได้

    8. 8. แผนที่ความเสี่ยง (Risk Correlation Map)+

      แผนที่ความเสี่ยง คือ แผนภาพแสดงความสัมพันธ์ของปัจจัยเสี่ยงและผลกระทบทั้งในเชิงปริมาณและเชิงคุณภาพที่ส่งผลเชื่อมโยงต่อเป้าหมายองค์กร แผนที่ความเสี่ยงช่วยให้การจัดทำแผนบริหารความเสี่ยง มีประสิทธิภาพมากขึ้น ครอบคลุมปัจจัยเสี่ยงต่าง ๆ ได้ครบถ้วน โดยเมื่อได้มีการระบุปัจจัยเสี่ยงและสาเหตุ ของปัจจัยเสี่ยง มีการประเมินความเสี่ยงและวิเคราะห์แนวทางการตอบสนองต่อความเสี่ยงเรียบร้อยแล้ว ฝ่ายบริหารความเสี่ยงจะทบทวนรายการปัจจัยเสี่ยงทั้งหมดและจัดทำเป็นแผนที่ความเสี่ยง ประกอบด้วยปัจจัยเสี่ยง สาเหตุ และค่าน้ำหนัก เพื่อพิจารณา วิเคราะห์ความสัมพันธ์ของปัจจัยเสี่ยงทั้งหมด พร้อมแสดงผลกระทบและระดับความรุนแรงของแต่ละสาเหตุของปัจจัยเสี่ยง

    9. 9. การติดตามรายงานผลการบริหารความเสี่ยง (Reporting)+

      แผนการรายงานผลการบริหารความเสี่ยงของทอท. ประจำปีงบประมาณ 2567

      Sub Image 9
      เป็นการติดตามระดับความเสี่ยง ผลการดำเนินงานตามมาตรการควบคุมในปัจจุบัน และแผนจัดการความเสี่ยงเพิ่มเติม เพื่อให้มั่นใจว่าการบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิภาพ มีความ เหมาะสม หรือควรปรับเปลี่ยนหากแผนจัดการความเสี่ยงเพิ่มเติมมีประสิทธิภาพไม่เพียงพอ ทอท. กำหนดให้มีการติดตามรายงานผลการบริหารความเสี่ยงระดับองค์กรและ ท่าอากาศยาน โดยผู้รับผิดชอบความเสี่ยง (Risk Owner) จะรายงานผลทั้งในลักษณะของความก้าวหน้าในการดำเนินการตามมาตรการควบคุมที่มีอยู่ในปัจจุบัน แผนจัดการความเสี่ยงเพิ่มเติม (หากมี) และประเมินระดับความรุนแรงของปัจจัยเสี่ยง (โอกาสเกิดและผลกระทบ) เป็นรายไตรมาส หรือทันทีเมื่อมีเหตุการณ์เปลี่ยนแปลงที่เป็นสาระสำคัญต่อ ทอท. ผ่านแบบฟอร์ม “การรายงานผลการบริหารความเสี่ยง บริษัทท่าอากาศยานไทย จำกัด (มหาชน) (แบบ RM-2)”โดยผู้ทำงานและเลขานุการ คณส.ของสายงาน สาย สำนัก และท่าอากาศยาน เป็นผู้รวบรวมและวิเคราะห์สรุปผลการบริหารความเสี่ยงเสนอต่อ คณส.ของสายงาน สาย สำนัก และท่าอากาศยาน ก่อนพิจารณาให้ความเห็นชอบและอนุมัติจากนั้นนำเสนอ คณส.ทอท. และคณะกรรมการบริหารความเสี่ยง (คคส.) เพื่อทราบต่อไป ทั้งนี้ ทอท. ได้จัดทำแผนการรายงานผลการบริหารความเสี่ยงของ ทอท. ผ่านแผนการดำเนินงานของส่วนบริหารความเสี่ยง ฝ่ายบริหารความเสี่ยง ประจำปีงบประมาณ 2567 และชี้แจงให้กับผู้รับผิดชอบความเสี่ยง (Risk Owner) และผู้ปฏิบัติภารกิจด้านการบริหารความเสี่ยง การควบคุมภายใน และการบริหารความต่อเนื่องทางธุรกิจ (Risk Agent) รับทราบในการประชุมชี้แจงแผนการดำเนินงานสำหรับ Risk Agent เมื่อวันที่ 11 ตุลาคม 2566 เพื่อให้ผู้รับผิดชอบความเสี่ยง (Risk Owner) และผู้ปฏิบัติภารกิจด้านการบริหารความเสี่ยง การควบคุมภายใน และการบริหารความต่อเนื่องทางธุรกิจ (Risk Agent) ใช้เป็นกรอบระยะเวลาในการรายงานผลการบริหารความเสี่ยงต่อ คณส.ทอท. และ คคส. ตามลำดับ

การบริหารความต่อเนื่องทางธุรกิจของ ทอท.

ระบบบริหารความต่อเนื่องทางธุรกิจของ ทอท. มีความสอดคล้องตามข้อกำหนดของมาตรฐานสากล ISO 22301 : 2019 (Security and resilience - Business continuity management systems - Requirements) เพื่อให้สามารถจัดการความเสี่ยงตลอดจนภัยพิบัติที่อาจเกิดขึ้นและส่งผลกระทบต่อการดําเนินธุรกิจของ ทอท. ได้อย่างทันเวลาและเกิดความต่อเนื่องในการดำเนินธุรกิจ รวมถึงสนับสนุนให้ ทอท. สามารถบรรลุวัตถุประสงค์และเป้าหมายที่กําหนดไว้ ทอท. กำหนดกระบวนการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) ให้เชื่อมโยงกับเป้าหมายและยุทธศาสตร์องค์กร โดยจัดทำแผนบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan: BCP) อย่างเป็นลายลักษณ์อักษร โดยได้รับการอนุมัติจากคณะ คณะทำงานบริหารความต่อเนื่องทางธุรกิจ สำนักงานใหญ่และ 6 ท่าอากาศยาน โดยมีผู้บริหาร ทอท. พนง.ทอท.และบุคลากรจากหน่วยงานภายนอกที่เกี่ยวข้องเข้าร่วมดำเนินงาน โดยกระบวนการนี้ได้รับการพัฒนาขึ้นให้ครอบคลุมลักษณะธุรกิจ ปริมาณธุรกรรม เทคโนโลยีสารสนเทศ และความเสี่ยงที่อาจเกิดขึ้นทั่วทั้งบริษัท (สำนักงานใหญ่และ 6 ท่าอากาศยาน) รวมถึงสถานการณ์ที่ส่งผลกระทบต่อการดำเนินงานขององค์กร แผนงานและแนวปฏิบัติได้รับการออกแบบให้ครบถ้วนและเป็นระบบ เพื่อสร้างความมั่นคงต่อการดำเนินธุรกิจอย่างต่อเนื่อง ครอบคลุมอุบัติการณ์ต่าง ๆ เช่น

  • อากาศยานอุบัติเหตุในเขตท่าอากาศยาน
  • ระบบไฟฟ้าขัดข้อง
  • Runway/ Taxiway ชำรุด ใช้งานไม่ได้
  • ภัยพิบัติทางธรรมชาติ
  • การแทรกแซงโดยมิชอบด้วยกฎหมาย หรือการก่อการร้าย
  • เพลิงไหม้อาคาร สถานที่ และการระเบิด
  • ระบบเทคโนโลยีสารสนเทศและการสื่อสารขัดข้อง

  • โรคติดต่ออันตราย/โรคระบาด
  • ระบบลำเลียงกระเป๋าสัมภาระขัดข้อง
  • หอบังคับการบินไม่สามารถให้บริการได้
  • ระบบขนส่งผู้โดยสารอัตโนมัติ (ระบบ Automated People Mover : APM) ขัดข้อง
  • ผู้ประกอบการบริการภาคพื้นไม่สามารถให้บริการได้ (ครอบคลุมบริการภาคพื้น บริการคลังสินค้า และบริการ เชื้อเพลิงอากาศยาน)

กระบวนการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) สามารถแบ่งระดับความก้าวหน้าของกระบวนการ ดังนี้

ระดับ 1: องค์กรกำหนดกระบวนการ BCM ที่สอดคล้องกับเป้าหมายและยุทธศาสตร์องค์กร พร้อมจัดทำแผนบริหารความต่อเนื่องทางธุรกิจ (BCP) อย่างเป็นลายลักษณ์อักษร ซึ่งได้รับการอนุมัติจากคณะกรรมการองค์กร โดยมีการจัดตั้งคณะทำงานหรือหน่วยงานที่รับผิดชอบในการจัดทำและดำเนินการตามแผนดังกล่าว ผู้บริหารและบุคลากรที่เกี่ยวข้องมีส่วนร่วมในการพัฒนาและดำเนินการแผนนี้อย่างเต็มที่

ระดับ 2: กระบวนการ BCM ได้รับการพัฒนาเพิ่มเติม โดยคำนึงถึงลักษณะธุรกิจ ความซับซ้อนของเทคโนโลยีสารสนเทศ ปริมาณธุรกรรม และเหตุการณ์ความเสี่ยงที่เกี่ยวข้อง การดำเนินการนี้ครอบคลุมสถานการณ์ที่อาจส่งผลต่อความต่อเนื่องของธุรกิจ โดยออกแบบกระบวนการและแนวปฏิบัติที่เป็นระบบและครบถ้วน เพื่อลดผลกระทบและเพิ่มความยืดหยุ่นในการดำเนินงาน

ระดับ 3: องค์กรนำกระบวนการ BCM มาใช้งานจริง โดยข้อมูลมีความทันกาล และกระบวนการนี้ถูกถ่ายทอดไปยังผู้รับผิดชอบ พนักงาน ผู้ส่งมอบ คู่ค้า ลูกค้า และผู้มีส่วนได้ส่วนเสียอื่นๆ อย่างครบถ้วน การประเมินการรับรู้ของผู้เกี่ยวข้องช่วยให้มั่นใจว่าทุกฝ่ายเข้าใจและพร้อมดำเนินการตามแผน BCM ได้อย่างมีประสิทธิภาพ

ระดับ 4: กระบวนการ BCM มีความเชื่อมโยงและสอดคล้องกับแผนปฏิบัติการดิจิทัลขององค์กร โดยกำหนดตัวชี้วัด (KPIs) เพื่อวัดผล ติดตาม และประเมินประสิทธิภาพของกระบวนการ นอกจากนี้ องค์กรยังใช้ผลการวัดประสิทธิภาพดังกล่าวเพื่อทบทวนและปรับปรุงแผนบริหารความต่อเนื่อง รวมถึงการจัดทำแผนปฏิบัติการดิจิทัลในระยะยาว เพื่อเสริมสร้างความยั่งยืนและความพร้อมต่อการเปลี่ยนแปลงในอนาคต

การตรวจสอบทั้งภายในและภายนอก (Internal and External Audits)

ทอท. ได้ดำเนินการตรวจสอบระบบการบริหารความเสี่ยงผ่านกระบวนการตรวจสอบทั้งภายในและภายนอก (รวมถึงการต่ออายุใบรับรองจากภายนอกอย่างต่อเนื่อง) เพื่อให้มั่นใจว่าระบบการบริหารความเสี่ยงเป็นหนึ่งในเครื่องมือสำคัญที่สนับสนุนความสำเร็จของพันธกิจและเป้าหมายทางธุรกิจขององค์กร ทอท. ให้ความสำคัญกับการตรวจสอบประสิทธิภาพและการดำเนินงานของระบบให้เป็นไปตามมาตรฐานสากล

ดูรายละเอียดเพิ่มเติม
External Audit
Internal Audit

การดำเนินงาน

ในปี 2567 ทอท. ได้มีการดำเนินงานด้านการจัดการความเสี่ยงองค์กรโดยมีการประเมินความเสี่ยงเพื่อจัดลำดับความเสี่ยงของประเด็นความเสี่ยงที่ได้รับการระบุจากผู้รับผิดชอบความเสี่ยงเพื่อจัดทำแผนการหรือมาตรการในการบริหารและควบคุมความเสี่ยง โดยมีตัวอย่างการประเมินและจัดลำดับความเสี่ยงดังนี้

การดำเนินงานความเสี่ยง
ปัจจัยเสี่ยง ระดับความเสี่ยง แนวทางการบริหาร (Mitigation Actions)
ก่อนบริหาร เป้าหมาย หลังบริหาร
ด้านการปฏิบัติ ตามกฎ ระเบียบ ข้อบังคับ (RF1)
ทอท.อาจไม่สามารถบูรณาการความร่วมมือในการบริหารจัดการสถานการณ์ฉุกเฉินและเคลื่อนย้ายอากาศยานที่ขัดข้อง 		สูงมาก ปานกลาง ต่ำ
  • ฝึกซ้อมแผนเคลื่อนย้ายอากาศยานที่ขัดข้อง
  • ประเมินและรายงานผลการดำเนินงานต่อคณะกรรมการ ทอท.
  • ลงนามบันทึกข้อตกลงความร่วมมือการเคลื่อนย้ายอากาศยานที่ขัดข้องร่วมกับสายการบิน
ด้านกลยุทธ์ (RF2)
ความเสี่ยงจากโครงการขยายขีดความสามารถของ ทอท. 		สูงมาก ปานกลาง ปานกลาง
  • จัดทำแผนจัดการความเสี่ยงและมาตรการควบคุมเพิ่มเติม ผ่านการประชุมเชิงปฏิบัติการ เรื่อง “แนวทางการบริหารความเสี่ยงและจัดทำรายละเอียดของแผนบริหารความเสี่ยงระดับองค์กรของ ทอท. ประจำปีงบประมาณ 2568”
ด้านกลยุทธ์ (RF3)
ทอท. อาจไม่พร้อมในการฟื้นคืนศักยภาพการให้บริการลานจอดและอุปกรณ์ภาคพื้น ณ ทสภ. 		สูง ปานกลาง ปานกลาง
  • ทบทวนและปรับปรุงแผนงานการจัดหาผู้ประกอบการให้บริการลานจอดและอุปกรณ์ภาคพื้น
  • บริหารสัญญาและกำกับดูแลผู้ประกอบการให้สอดคล้องกับสภาพแวดล้อมที่เปลี่ยนแปลงไป
ด้านการเงิน (RF4)
ความเสี่ยงจากการไม่สามารถบริหารแผนการลงทุนให้เป็นไปตามเป้าหมา		 สูง ปานกลาง ต่ำ
  • จัดทำแผนจัดการความเสี่ยงและมาตรการควบคุมเพิ่มเติม ผ่านการประชุมเชิงปฏิบัติการ เรื่อง “แนวทางการบริหารความเสี่ยงและจัดทำรายละเอียดของแผนบริหารความเสี่ยงระดับองค์กรของ ทอท. ประจำปีงบประมาณ 2568”
ด้านกลยุทธ์ (RF5)
ตัวชี้วัดของ ทอท. ประจำปีงบประมาณ 2567 อาจไม่เป็นไปตามเป้าหมาย 		สูง ปานกลาง ปานกลาง
  • ปรับปรุงตัวชี้วัดให้มีความเหมาะสมมากยิ่งขึ้นในปีงบประมาณ 2568

ความเสี่ยงที่เกิดขึ้นใหม่ของ ทอท. (Emerging Risks)

ความเสี่ยงที่เกิดขึ้นใหม่เป็นความท้าทายที่เกิดขึ้นจากการเปลี่ยนแปลงในเรื่องต่าง ๆ ซึ่งถือว่ามีความเสี่ยงต่อการดำเนินงานธุรกิจท่าอากาศยาน โดยที่อาจส่งผลกระทบอย่างมีนัยสำคัญต่อธุรกิจท่าอากาศยานและสังคม ในบริบทต่าง ๆ ตามแต่ละประเด็นความเสี่ยง ความเสี่ยงเหล่านี้ครอบคลุมถึงปัจจัยด้านสิ่งแวดล้อม สังคม และการกำกับดูแล เช่น การเปลี่ยนแปลงสภาพภูมิอากาศ การขาดแคลนทรัพยากร การเปลี่ยนแปลงของกฎระเบียบ และการหยุดชะงักทางเทคโนโลยี การจัดการความเสี่ยงที่เกิดขึ้นใหม่ต้องใช้กลยุทธ์เชิงรุกเพื่อให้แน่ใจว่ามีความยืดหยุ่น ลดผลกระทบเชิงลบที่อาจเกิดขึ้น และใช้ประโยชน์จากโอกาสในการเติบโตอย่างยั่งยืน การระบุและจัดการความเสี่ยงเหล่านี้จะช่วยให้องค์กรสามารถปรับตัวให้สอดคล้องกับเป้าหมายความยั่งยืนระดับโลกได้ดีขึ้นและรักษามูลค่าของธุรกิจในระยะยาวได้

การเผยแพร่ข้อมูลเท็จและการบิดเบือนข้อมูล (Misinformation and Disinformation) สภาพอากาศสุดขั้ว (Extreme Weather)
ลักษณะของความเสี่ยง (Description)
การเปลี่ยนแปลงทางด้านเทคโนโลยีดิจิทัลเป็นปัจจัยสนับสนุนการขับเคลื่อนธุรกิจที่สำคัญ ซึ่ง ทอท. ได้พิจารณานำเทคโนโลยีดิจิทัลมาเพิ่มประสิทธิภาพการให้บริการและการบริหารจัดการองค์กรผ่าน AOT Digital Platform ในทางกลับกัน ความก้าวหน้าทางเทคโนโลยีดิจิทัลและการใช้งานอินเตอร์เน็ตในทุกสิ่ง (Internet of Things : IoT) อาจนำไปสู่การคุกคามทางไซเบอร์ในรูปแบบต่าง ๆ จากความสามารถในการเข้าถึงและการเผยแพร่ข้อมูลที่สามารถกระทำได้โดยง่ายและไม่จำเป็นต้องใช้ทักษะเฉพาะ รวมถึงการส่งต่อข้อมูลเท็จได้โดยไม่ตั้งใจ หรืออาจเกิดการจงใจบิดเบือนข้อมูลต่อสาธารณะ ซึ่ง ทอท. ในฐานะที่เป็นหน่วยงานโครงสร้างพื้นฐานที่สำคัญของประเทศจึงอาจเป็นเป้าหมายของการก่ออาชญากรรมไซเบอร์ทั้งในประเด็นของการเผยแพร่ข้อมูลเท็จและการบิดเบือนข้อมูล ส่งผลกระทบต่อภาพลักษณ์และชื่อเสียงขององค์กร การเปลี่ยนแปลงสภาพภูมิอากาศมีแนวโน้มที่จะทวีความรุนแรงเพิ่มขึ้นจนกลายเป็นสภาพอากาศสุดขั้ว (Extreme Weather) โดยมีความเสี่ยงทางกายภาพสามารถเกิดขึ้นได้ อาทิ (1) ฝนตกหนักจนเกิดน้ำท่วมรุนแรง (2) คลื่นความร้อนสูงขึ้นและยาวนานกว่าเดิม (3) ความแห้งแล้งที่ยาวนานขึ้น และ (4) การเพิ่มขึ้นของการเกิดไฟป่า ซึ่งความเสี่ยงดังกล่าวจะมีผลกระทบและโอกาสการเกิดที่มีแนวโน้มจะเพิ่มขึ้นอันเนื่องมาจากการเพิ่มขึ้นของการปล่อยก๊าซเรือนกระจกที่เร่งให้ความเสี่ยงทางกายภาพดังกล่าวสร้างความเสียหายให้กับ ทอท. มากยิ่งขึ้น
ผลกระทบต่อธุรกิจ (Impact)
ความเสี่ยงที่เกิดขึ้นจากข้อมูลข่าวสารต่าง ๆ ส่งผลกระทบต่อการดำเนินงานของ ทอท. ได้ในหลายแง่มุมโดยเฉพาะอย่างยิ่ง ความเชื่อมั่นของกลุ่มผู้มีส่วนได้เสียของ ทอท. ซึ่งมีความเสี่ยงต่อภาพรวมของการดำเนินธุรกิจจากรายได้ที่ลดลงในกลุ่มนักลงทุนหรือผู้โดยสารที่ใช้บริการของ ทอท. ความเสี่ยงทางกายภาพที่เกิดขึ้นจากการเปลี่ยนแปลงสภาพภูมิอากาศ ส่งผลกระทบต่อการดำเนินธุรกิจท่าอากาศยานตามประเภทของความเสี่ยง โอกาสในการเกิดและระดับความรุนแรง ซึ่งมีผลกระทบต่อ ทอท. ในหลายด้าน เช่น ทอท. ไม่สามารถดำเนินธุรกิจได้อย่างต่อเนื่องหากเกิดพายุ ฝนตกรุนแรงและน้ำท่วม ผลกระทบทางด้านค่าใช่จ่ายที่เพิ่มขึ้นจากการใช้พลังงานภายในอาคารผู้โดยสาร จากความร้อนภายนอกที่เพิ่มขึ้น ความเสี่ยงและผลกระทบดังกล่าวยังส่งผลต่อมูลค่าทรัพย์สินของ ทอท. ที่ต้องมีการรายงานด้านการเงินประจำปี ซึ่งเกิดจากสินทรัพย์ที่ได้รับผลกระทบจากมูลค่าของสินทรัพย์ที่ลดลง (Stranded Asset) อันเนื่องมาจากความเสี่ยงทางกายภาพของการเปลี่ยนแปลงสภาพภูมิอากาศ ที่เกิดขึ้นโดยตรงต่อโครงสร้างพื้นฐานด้านการบินที่ใช้ในการรองรับผู้โดยสารและการขนส่งสินค้าทั้งในและต่างประเทศ
แนวทางการจัดการ (Mitigation Actions)
  • แผนการรับมือภัยคุกคามทางไซเบอร์(Cybersecurity Incident Response Plan) มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ (Detect) และมาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์ (Respond)
  • เพิ่มความตระหนักรู้ของพนักงานและการประชาสัมพันธ์แก่ประชาชน เกี่ยวกับอันตรายของข้อมูลเท็จและการบิดเบือนข้อมูลผ่านแคมเปญสื่อ
  • ติดตามและตรวจสอบแนวโน้มข้อมูลเท็จอย่างต่อเนื่องเพื่อพัฒนามาตรการตอบโต้ที่มีประสิทธิภาพ
บังคับใช้นโยบายและกฎระเบียบเพื่อให้แพลตฟอร์มและบุคคลรับผิดชอบต่อการเผยแพร่ข้อมูลเท็จ
  • วิเคราะห์ความเสี่ยงทางกายภาพที่มีโอกาสเกิดและมีผลกระทบต่อการดำเนินธุรกิจ ท่าอากาศยานของ ทอท. เพื่อจัดทำแผนหรือมาตรการสำหรับการเตรียมความพร้อมในการรับมือกับความเสี่ยงที่เกิดขึ้น
  • ออกแบบโครงสร้างพื้นฐานที่คำนึงถึงความสามารถในการรับมือกับความเสี่ยงทางกายภาพที่มีโอกาสเกิดและมีผลกระทบต่อการดำเนินงาน
  • ติดตามและตรวจสอบอย่างต่อเนื่องสำหรับการดำเนินงานที่เกี่ยวข้องกับการจัดการความเสี่ยงทางกายภาพอันเนื่องมาจากการเปลี่ยนแปลงสภาพภูมิอากาศ ประสิทธิภาพ
เพิ่มหลักสูตรหรือโครงการอบรมความรู้ต่อความเสี่ยงทางกายภาพต่าง ๆ ให้แก่พนักงานของ ทอท. เพื่อตอบสนองต่อผลกระทบที่มีโอกาสเกิดขึ้น อมูลเท็จ

การส่งเสริมวัฒนธรรมความเสี่ยง (Risk Culture)

ทอท. มีการดำเนินการตามกระบวนการสร้างบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง โดยมีการกําหนดการประชุมคณะทำงานบริหารความเสี่ยงของ ทอท. และคณะกรรมการบริหารความเสี่ยงเป็นประจำทุกเดือน เพื่อใช้เป็นเวทีในการทบทวนสถานการณ์ความเสี่ยงที่จะช่วยให้ทุกคนเข้าใจถึงความสัมพันธ์และผลกระทบของความเสี่ยงก่อนตัดสินใจ รวมถึงกระตุ้นให้เกิดการรับรู้ถึงความเสี่ยงในองค์กร ตัวอย่างกิจกรรมการส่งเสริมวัฒนธรรมการบริหารความเสี่ยง ได้แก่ AOT e-Learning Platform การประชุมร่วมระหว่างสายงานมาตรฐานท่าอากาศยานและการบิน และการสำรวจความตระหนักด้านความเสี่ยง

1. เสริมสร้างความตระหนักด้านความเสี่ยง (Risk Management Education)
ทอท. ดำเนินการสำรวจความตระหนักด้านความเสี่ยงของพนักงาน ทอท. เป็นประจำทุกปี โดยมีจุดประสงค์เพื่อการประเมินประสิทธิภาพการรับรู้ข้อมูลด้านการบริหารความเสี่ยงผ่านช่องทางสื่อประชาสัมพันธ์ภายในและภายนอกองค์กร และเพื่อนำผลการสำรวจมาพัฒนาช่องทางการสื่อสารในการสร้างการรับรู้และความตระหนักด้านการบริหารความเสี่ยงให้เกิดประสิทธิภาพ นอกจากนี้ ทอท. ผนวกเกณฑ์ความเสี่ยงเข้ากับการพัฒนาการให้บริการของ ทอท. (Incorporation Of Risk Criteria In AOT Services) และกำหนดตัวชี้วัดด้านความเสี่ยง (Risk Management Metrics) ให้แก่หน่วยงานที่เกี่ยวข้องซึ่งมีผลโดยตรงต่อการกำหนดค่าตอบแทน (Financial Incentive)

ทอท. ดำเนินโครงการบริหารความเสี่ยง Triple A เกิดจากความร่วมมือระหว่างฝ่ายความเสี่ยงและฝ่ายบุคคลของ ทอท. ในการสร้างพฤติกรรมที่พึงประสงค์ด้านการบริหารความเสี่ยงให้กับผู้บริหารและพนักงาน เพื่อสร้างวัฒนธรรมความเสี่ยงขององค์กรที่เข้มแข็ง โดยโครงการบริหารความเสี่ยง Triple A ถือเป็นผลผลิตจากการสำรวจความตระหนักด้านความเสี่ยงและการตรวจประเมินผลการดำเนินงานด้านการบริหารจัดการความเสี่ยง

2. การฝึกอบรมด้านความเสี่ยง (Risk-Focused Training)
ทอท. จัดโครงการฝึกอบรม และกิจกรรมเพื่อเสริมสร้างทักษะและความเชี่ยวชาญให้แก่ผู้เข้าร่วมอบรมด้านการบริหารความเสี่ยง และการดำเนินการตามแนวปฏิบัติที่กำหนด เตรียมความพร้อมของท่าอากาศยานทั้ง 6 แห่ง ในการตรวจประเมินตามมาตรฐานสากล รวมถึงเพิ่มความเข้าใจ และความตระหนักรู้ ของบุคลากรทุกระดับดับชั้น

หลักสูตรฝึกอบรมด้านความเสี่ยง ผู้เข้ารับการฝึกอบรม
โครงการสัมมนา “การสร้างวัฒนธรรมความเสี่ยงกับผู้ปฏิบัติภารกิจด้านการบริหารความเสี่ยง การควบคุมภายใน และการบริหารความต่อเนื่องทางธุรกิจของ ท่าอากาศยาน (Risk Agent)”
Course 1 		กรรมการและผู้บริหารระดับสูง ผู้ปฏิบัติภารกิจด้านการบริหารความเสี่ยง การควบคุมภายใน และการบริหารความต่อเนื่องทางธุรกิจของท่าอากาศยาน (Risk Agent) และพนักงานฝ่ายบริหารความเสี่ยง
การจัดการท่าอากาศยานระดับต้น (Junier Airport Management) ระดับกลาง (Intermediate Airport Management) และระดับสูง (Senior Airport Management) (ข้อมูลการฝึกอบรมจากคู่มือความเสี่ยง)
Course 2 		พนักงานทอท.
โครงการฝึกอบรมเชิงปฏิบัติการหลักสูตร “การสร้างหัวหน้าทีมผู้ตรวจประเมินภายในระบบการบริหารความต่อเนื่องทางธุรกิจ ตามมาตรฐาน 22301:2019” ประจำปี ปีงบประมาณ 2567 เพื่อสร้างหัวหน้าทีมผู้ตรวจประเมินภายใน BCMS ที่มีคุณสมบัติตรงตามมาตรฐาน ISO 22301:2019 โดยได้รับการรับรองจากสถาบันระดับสากล เช่น Chartered Quality Institute (CQI) และ International Register of Certificated Auditors (IRCA) ผู้ปฏิบัติงานด้านการบริหารความต่อเนื่องทางธุรกิจของ สนญ.ทอท. และท่าอากาศยานทั้ง 6 แห่ง (Risk Agent) ที่มีประสบการณ์ทำงานด้าน BCMS อย่างน้อย 1 ปี
การอบรมเกี่ยวกับการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management System: BCMS) ตามมาตรฐานสากล ISO 22301:2019 ในปีงบประมาณ 2567 ประกอบด้วยโครงการฝึกอบรมเชิงปฏิบัติการหลักสูตรสำคัญ ได้แก่
  • การประเมินและการปรับปรุงผลของการวิเคราะห์ผลกระทบทางธุรกิจและการประเมินความเสี่ยง
  • การสร้างเจ้าหน้าที่ทีมผู้ตรวจประเมินภายในระบบบริหารความต่อเนื่องทางธุรกิจ
คณะผู้ตรวจประเมินภายใน และผู้ที่เกี่ยวข้องกับ BCMS ของ สนญ. ทอท. และท่าอากาศยานทั้ง 6 แห่ง พร้อมรับการตรวจประเมินต่ออายุการรับรองจาก Certification Body (CB)
โครงการฝึกอบรมเชิงปฏิบัติการหลักสูตร “การตรวจประเมินภายในระบบการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management System: BCMS) ตามมาตรฐานสากล ISO 22301:2019” โดยเน้นการสร้างความพร้อมของบุคลากรและการจัดกระบวนการจัดการที่เป็นระบบ รวมถึงการเตรียมผู้ตรวจประเมินภายใน BCMS เพื่อให้สามารถดำเนินการตามมาตรฐานได้อย่างมีประสิทธิภาพ โดยมี 2 หลักสูตรย่อย ได้แก่
  • การสร้างผู้ตรวจประเมินภายในระบบการบริหารความต่อเนื่องทางธุรกิจ(Business Continuity Management System: BCMS) ตามมาตรฐานสากล ISO 22301:2019
  • การตรวจประเมินภายในระบบการบริหารความต่อเนื่องทางธุรกิจ(Business Continuity Management System: BCMS) ตามมาตรฐานสากล ISO 22301:2019
คณะผู้ตรวจประเมินภายใน และผู้ที่เกี่ยวข้องกับ BCMS ของ สนญ. ทอท. และท่าอากาศยานทั้ง 6 แห่ง พร้อมรับการตรวจประเมินต่ออายุการรับรองจาก Certification Body (CB)

3. การตรวจประเมินผลการดำเนินงานด้านการบริหารจัดการความเสี่ยง
ทอท. เข้ารับการตรวจประเมินผลการดำเนินงานด้านการบริหารจัดการความเสี่ยงตามระบบประเมินรัฐวิสาหกิจ (State Enterprise Assessment Model : SE-AM) เพื่อการพัฒนาการดำเนินงานด้านการบริหารจัดการความเสี่ยงของ ทอท. อย่างต่อเนื่อง โดยผลการประเมินจะเป็นตัวบ่งชี้ถึงจุดแข็งและจุดอ่อนของการดำเนินงานใน 5 มิติ ได้แก่

  1. 1. ธรรมาภิบาลและวัฒนธรรมองค์กร
  2. 2.ข้อมูลสารสนเทศ การสื่อสาร และการรายงานผล
  3. 3. การทบทวนการบริหารความเสี่ยง
  4. 4. กระบวนการบริหารความเสี่ยง
  5. 5. การกำหนดยุทธศาสตร์และวัตถุประสงค์

ทบทวนล่าสุด ณ วันที่ 31 มีนาคม 2568