ความสําคัญ
ทอท. ตระหนักถึงความสำคัญของการบริหารความเสี่ยงในฐานะกลไกหลักที่สนับสนุนการดำเนินธุรกิจท่าอากาศยานให้มีความมั่นคงและยั่งยืน โดยนำแนวทางการบริหารความเสี่ยงแบบบูรณาการมาประยุกต์ใช้ทั่วทั้งองค์กรตามแนวปฏิบัติสากล เพื่อเสริมสร้างความสามารถในการบรรลุวัตถุประสงค์เชิงยุทธศาสตร์ รักษาความต่อเนื่องทางธุรกิจ และเสริมสร้างความเชื่อมั่นให้แก่ผู้มีส่วนได้เสียทุกกลุ่ม
นโยบาย
ทอท. ได้กำหนดนโยบายด้านการบริหารความเสี่ยง การควบคุมภายใน และการบริหารความต่อเนื่องทางธุรกิจอย่างครอบคลุม เพื่อให้ผู้บริหารและพนักงานทุกระดับที่เกี่ยวข้องยึดถือและปฏิบัติเป็นแนวทางเดียวกัน โดยนโยบายดังกล่าวมีความสอดคล้องกับแผนวิสาหกิจของ ทอท. แผนปฏิบัติการ และการบริหารโครงการ ตลอดจนกฎหมาย กฎระเบียบ และนโยบายที่เกี่ยวข้องกับการดำเนินงานขององค์กร โดยนโยบายที่เกี่ยวข้องกับการบริหารความเสี่ยง การควบคุมภายใน และการบริหารความต่อเนื่องทางธุรกิจ ประกอบด้วย
นโยบายการบริหารความเสี่ยง
ในปีงบประมาณ 2568 ทอท. ดำเนินการทบทวนนโยบายการบริหารความเสี่ยงอย่างต่อเนื่อง โดยมุ่งเน้นการบริหารความเสี่ยงแบบบูรณาการทั่วทั้งองค์กรให้สอดคล้องกับหลักการกำกับดูแลกิจการที่ดีและค่านิยมองค์กร ควบคู่กับการเสริมสร้างมูลค่าเพิ่มและความมั่นคงในการดำเนินงานของ ทอท. ทั้งนี้ นโยบายดังกล่าวได้กำหนดแนวทางสำคัญในการดำเนินการ ดังต่อไปนี้
- กำหนดให้การบริหารความเสี่ยงเป็นความรับผิดชอบของทุกคนในองค์กร
- ส่งเสริมให้มีการบูรณาการระหว่างการกำกับดูแลกิจการ การบริหารความเสี่ยง และการกำกับดูแลการปฏิบัติงานของ ทอท. (Integrated Corporate Governance, Risk Management and Compliance : GRC) ให้เป็นส่วนหนึ่งของการดำเนินงาน
- พัฒนาระบบบริหารความเสี่ยงและระบบการบริหารความต่อเนื่องทางธุรกิจตามมาตรฐานสากล เช่น COSO-ERM 2017 และ ISO 22301:2019
- รักษาสมดุลระหว่างความเสี่ยงและผลตอบแทนภายใต้ระดับความเสี่ยงที่ยอมรับได้
- จัดการความเสี่ยงที่กระทบต่อวัตถุประสงค์เชิงยุทธศาสตร์อย่างต่อเนื่อง
- ระบุความเสี่ยงอย่างครอบคลุม
- ประเมินโอกาสและผลกระทบจัดการให้อยู่ในระดับที่ยอมรับได้
- ติดตามและรายงานอย่างสม่ำเสมอ
- เชื่อมโยงการบริหารความเสี่ยงกับค่านิยมองค์กร “5 ใจ” และส่งเสริมวัฒนธรรมการบริหารความเสี่ยง
- พัฒนาระบบบริหารความเสี่ยงและระบบการบริหารความต่อเนื่องทางธุรกิจอย่างต่อเนื่อง รวมถึงการนำเทคโนโลยีสารสนเทศมาสนับสนุนการจัดทำรายงานต่าง ๆ
ดูรายละเอียดเพิ่มเติม
แนวทางการจัดการ
ทอท. ดำเนินการตามหลักการ Three Line of Defense ในการกำกับและควบคุมการดำเนินงานด้านการบริหารความเสี่ยงเพื่อให้เป็นไปตามกรอบแนวทางการบริหารความเสี่ยงของ ทอท. โดยประกอบด้วยหน่วยงานที่เป็นหน่วยงานปฏิบัติ (First Line) หน่วยงานกำกับดูแลกระบวนการ (Second Line) และหน่วยงานตรวจสอบภายใน (Third Line) ซึ่งกระบวนการในแต่ละระดับ (Line) จะสามารถช่วยลด/ป้องกันความเสี่ยง เพื่อทำให้องค์กรบรรลุวัตถุประสงค์ได้อย่างมีประสิทธิภาพ และสร้างความเชื่อมั่นแก่ผู้มีส่วนได้เสียทุกกลุ่มของ ทอท. ประกอบด้วย
- ระดับคณะกรรมการ
บทบาท: กำหนดนโยบายและทิศทางการบริหารความเสี่ยงระดับองค์กร ระดับความเสี่ยงที่องค์กรยอมรับได้ (Risk Appetite) และค่าช่วงระดับความเสี่ยงที่ยอมให้เบี่ยงเบนได้ (Risk Tolerance) พร้อมทั้งกำกับดูแลด้านการบริหารความเสี่ยง รวมถึงกำกับดูแลการตรวจสอบภายในให้มีความโปร่งใสและตรวจสอบได้
- ระดับผู้บริหารระดับสูง
บทบาท: นำนโยบายการบริหารความเสี่ยงไปถ่ายทอด บริหารจัดการและติดตามการบริหารความเสี่ยงอย่างต่อเนื่อง พร้อมทั้งจัดสรรทรัพยากรให้แต่ละแนวป้องกันทำงานได้อย่างราบรื่น เพื่อผลักดันนโยบายสู่การปฏิบัติอย่างเป็นรูปธรรม
- ระดับที่ 1 (First Line): หน่วยงานปฏิบัติ
บทบาท: เป็น “เจ้าของความเสี่ยง” โดยระบุความเสี่ยง ประเมินความเสี่ยง และออกแบบมาตรการควบคุมความเสี่ยงในการดำเนินงานในส่วนที่รับผิดชอบตามกระบวนงานปกติ
- ระดับที่ 2 (Second Line): หน่วยงานกำกับดูแลกระบวนการ
บทบาท: วางกรอบแนวทาง ระบบงานด้านการบริหารความเสี่ยง สนับสนุน ให้คำแนะนำด้านเทคนิค และติดตามการดำเนินงานด้านการบริหารความเสี่ยงของแนวป้องกันที่ 1 ให้เป็นไปตามกรอบแนวทางและระบบงานที่กำหนดไว้
- ระดับที่ 3 (Third Line): หน่วยงานตรวจสอบภายใน
บทบาท: มีความเป็น “อิสระ” และให้ความเชื่อมั่นแก่คณะกรรมการบริษัทว่าระบบการบริหารความเสี่ยงของทั้ง First Line และ Second Line ให้สามารถทำงานได้อย่างมีประสิทธิผล
โครงสร้างการบริหารความเสี่ยงของ ทอท.
โครงสร้างการบริหารความเสี่ยงของ ทอท. ประกอบด้วย
ระดับคณะกรรมการ ได้แก่
- คณะกรรมการ ทอท. (คณก.ทอท.) เป็นผู้กำกับดูแลสูงสุดและสนับสนุนให้การบริหารความเสี่ยงของ ทอท. เป็นไปอย่างเหมาะสมทั่วทั้งองค์กร ผ่านทางคณะกรรมการชุดย่อยที่ได้รับแต่งตั้งจาก คณก.ทอท. จำนวน 2 ชุด ได้แก่ คณะกรรมการบริหารความเสี่ยง (คคส.) และคณะกรรมการตรวจสอบ (คตส.) ได้แก่
- คณะกรรมการบริหารความเสี่ยง (คคส.) มีหน้าที่กำกับดูแลการดำเนินงานด้านการบริหารความเสี่ยง กำหนดนโยบาย แนวทางและกรอบการบริหารความเสี่ยง รวมถึงระดับความเสี่ยงที่องค์กรยอมรับได้ (Risk Appetite) และค่าช่วงระดับความเสี่ยงที่ยอมให้เบี่ยงเบนได้ (Risk Tolerance) อนุมัติแผนและผลการบริหารความเสี่ยงระดับองค์กรของ ทอท. พร้อมทั้งรายงานผลต่อ คณก.ทอท.
- คณะกรรมการตรวจสอบ (คตส.) มีหน้าที่สอบทานการกำกับดูแลกิจการที่ดี ระบบการควบคุมภายใน ระบบบริหารความเสี่ยง เพื่อให้มั่นใจว่าเป็นไปตามมาตรฐานสากล มีความรัดกุม เหมาะสม มีประสิทธิภาพและประสิทธิผล โดยรับรายงานผลการตรวจสอบโดยตรงจากสำนักตรวจสอบ (สตส.) และรายงานผลต่อ คณก.ทอท.
ระดับผู้บริหารระดับสูง
- คณะทำงานบริหารความเสี่ยงของ ทอท. (คณส.ทอท.) ที่ได้รับแต่งตั้งจาก คคส. ประกอบด้วย กรรมการผู้อำนวยการใหญ่ (กอญ.) เป็นหัวหน้าคณะทำงานฯ และรองกรรมการผู้อำนวยการใหญ่ของแต่ละสายงาน ผู้อำนวยการท่าอากาศยานทั้ง 6 แห่ง เลขานุการบริษัท (ลขบ.) ผู้ช่วยกรรมการผู้อำนวยการใหญ่สายกฎหมาย (ชญก.) ผู้ช่วยกรรมการผู้อำนวยการใหญ่สายงานยุทธศาสตร์ (ชญศ.) และผู้อำนวยการสำนักกรรมการผู้อำนวยการใหญ่ (ผอก.สกอญ.) เป็นผู้ทำงาน มีหน้าที่ในการนำนโยบาย แนวทาง และกรอบการบริหารความเสี่ยงของ ทอท. ที่กำหนดขึ้นโดย คคส. ไปถ่ายทอดสู่การปฏิบัติ และพิจารณาให้ความเห็นชอบแผนและผลการบริหารความเสี่ยง พร้อมทั้งรายงานผลต่อ คคส.
ระดับที่ 1 (First Line): หน่วยงานปฏิบัติ
- คณะทำงานบริหารความเสี่ยงและควบคุมภายในของสายงาน สาย สำนัก และท่าอากาศยาน
(คณส.สายงาน สาย สำนัก และท่าอากาศยาน) ที่ได้รับแต่งตั้งจาก กอญ. มีหน้าที่ดำเนินการบริหารความเสี่ยงตามนโยบาย
การบริหารความเสี่ยง กรอบแนวทางและกระบวนการบริหารความเสี่ยงที่กำหนดขึ้นโดย คคส. และ คณส.ทอท. ติดตามและรายงานผลการบริหารความเสี่ยงที่สายงานฯ เป็นเจ้าของความเสี่ยง (Risk Owner) ต่อ คณส.ทอท. - คณะทำงานการควบคุมภายในและการบริหารความเสี่ยงของส่วนงาน ทอท. (คณส.ส่วนงาน ทอท.)
มีหน้าที่ดำเนินการบริหารความเสี่ยงตามนโยบายการบริหารความเสี่ยง และร่วมดำเนินการตามกระบวนการบริหารความเสี่ยง
พร้อมทั้งสนับสนุนการติดตามและรายงานผลการบริหารความเสี่ยงต่อ คณส.สายงาน สาย สำนัก และท่าอากาศยาน
ระดับที่ 2 (Second Line): หน่วยงานกำกับดูแลกระบวนการ
- ฝ่ายบริหารความเสี่ยง (ฝคส.) สังกัดสายงานยุทธศาสตร์ (สงยศ.) มีหน้าที่เป็นหัวหน้าสายวิชาการ
ด้านการบริหารความเสี่ยง โดยดำเนินการวางกรอบแนวทางด้านการบริหารความเสี่ยง ให้คำปรึกษา แนะนำ และสร้างความเข้าใจเกี่ยวกับกระบวนการบริหารความเสี่ยงแก่ส่วนงาน ทอท. เพื่อสร้างให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของกระบวนการทำงานและปลูกฝังเป็นวัฒนธรรมองค์กร พร้อมทั้งติดตามและรายงานผลการบริหารความเสี่ยง ทั้งในระดับองค์กรและระดับสายงาน สาย สำนักและท่าอากาศยาน ต่อ คณส.ทอท. และ คคส. - ผู้ปฏิบัติภารกิจด้านการบริหารความเสี่ยง การควบคุมภายใน และการบริหารความต่อเนื่องทางธุรกิจ (Risk Agent) ประจำ ณ ท่าอากาศยานทั้ง 6 แห่ง มีหน้าที่ให้คำปรึกษา แนะนำ และสร้างความเข้าใจเกี่ยวกับกระบวนการบริหารความเสี่ยงแก่ส่วนงาน ทอท. ภายใต้สังกัดท่าอากาศยานหรือสายงานที่สังกัด พร้อมทั้งสนับสนุนและรวบรวมข้อมูลด้านการบริหารความเสี่ยงของท่าอากาศยานให้ ฝคส. รวมถึงติดตามรายงานผลการบริหารความเสี่ยงระดับท่าอากาศยานต่อ คณส.ท่าอากาศยาน หรือสายงานที่สังกัด
ระดับที่ 3 (Third Line): หน่วยงานตรวจสอบภายใน
- สำนักตรวจสอบ (สตส.) มีหน้าที่สอบทานอย่างเป็นอิสระ ต่อระบบการบริหารความเสี่ยง และระบบการควบคุมภายในของ ทอท. พร้อมทั้งให้คำแนะนำปรึกษาแก่คณะกรรมการตรวจสอบ ฝ่ายบริหาร และส่วนงาน ทอท. เพื่อให้เกิดการปฏิบัติอย่างถูกต้องมีประสิทธิภาพ ประสิทธิผล รวมถึงรายงานผลการตรวจสอบโดยตรงต่อ คตส.
| ผู้รับผิดชอบสูงสุดในระดับปฏิบัติการต่อการบริหารจัดการความเสี่ยง เพื่อให้มีการบริหารความเสี่ยงตามนโยบายที่กำหนด มนุษยชน | นายดนัย ภูชาดา ผู้อำนวยการฝ่ายบริหารความเสี่ยง |
| ผู้รับผิดชอบสูงสุดในระดับปฏิบัติการต่อการตรวจสอบภายในองค์กร | นายธัญญา เสียงเจริญ ผู้อำนวยการสำนักตรวจสอบ ดำรงตำแหน่งผู้อำนวยการสำนักตรวจสอบ ตั้งแต่วันที่ 1 ตุลาคม 2563 - 30 กันยายน 2568 นางสาวสิรินธร ขำบุญ ผู้อำนวยการสำนักตรวจสอบ ดำรงตำแหน่งผู้อำนวยการสำนักตรวจสอบ ตั้งแต่วันที่ 1 ตุลาคม 2568 - ปัจจุบัน |
กรอบการบริหารความเสี่ยงของ ทอท.
ทอท. จัดทำคู่มือการบริหารความเสี่ยง ประจำปีงบประมาณ 2569 เพื่อเป็นแนวทางการบริหารความเสี่ยงเชิงบูรณาการตามแนวทางของ The Committee of Sponsoring Organizations of the Treadway Commission – Enterprise Risk Management Integrating with Strategy and Performance: COSO – ERM 2017 แนวทางปฏิบัติที่ดีตามหลักเกณฑ์กระทรวงการคลังว่าด้วยมาตรฐานและหลักเกณฑ์ปฏิบัติการบริหารจัดการความเสี่ยงสําหรับหน่วยงานของรัฐ พ.ศ. 2562 รวมถึงแนวทางปฏิบัติของสำนักงานคณะกรรมการกํากับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) โดยนํากระบวนการบริหารความเสี่ยงมาเป็นส่วนหนึ่งในการจัดทําแผนวิสาหกิจ ทอท. และการบริหารโครงการที่มีความสําคัญ เพื่อให้สามารถจัดการความเสี่ยงตลอดจนภัยพิบัติที่อาจเกิดขึ้นและส่งผลกระทบต่อการดําเนินธุรกิจของ ทอท. ได้อย่างทันเวลาและต่อเนื่อง รวมถึงสนับสนุนให้ ทอท. สามารถบรรลุวัตถุประสงค์และเป้าหมายที่กำหนดไว้
การบริหารความเสี่ยงเชิงบูรณาการตามแนวทางของ COSO - ERM 2017 ประกอบด้วย 5 องค์ประกอบ 20 หลักการ ดังนี้
1. การกำกับดูแล และวัฒนธรรมองค์กร (Governance and Culture)
2. การกำหนดกลยุทธ์และเป้าหมายทางธุรกิจ (Strategy and Objective – Setting)
3. ผลการดําเนินงาน (Performance)
4. การทบทวนและการปรับปรุงแก้ไข (Review and Revision)
5. ข้อมูล การสื่อสาร และการรายงานผล (Information Communication and Reporting)
ดูรายละเอียดเพิ่มเติม
แนวทางการบริหารความเสี่ยงของ ทอท.
ทอท. กําหนดให้มีกระบวนการบริหารความเสี่ยงอย่างเป็นระบบ เพื่อรวบรวมและวิเคราะห์เหตุการณ์ความเปลี่ยนแปลงหรือความไม่แน่นอนทั้งภายในและภายนอกองค์กรที่อาจเกิดขึ้นและส่งผลกระทบต่อการดําเนินงานของ ทอท. โดยดําเนินการตามกระบวนการดังกล่าวเป็นประจําทุกปี อย่างน้อยปีละ 2 ครั้ง ในช่วงก่อนเริ่มปีงบประมาณและทบทวนในช่วงกลางปีงบประมาณ หรือทันทีเมื่อมีเหตุการณ์ความเปลี่ยนแปลงที่เป็นสาระสำคัญต่อ ทอท.
1. การวิเคราะห์การเปลี่ยนแปลงที่อาจเกิดขึ้นและส่งผลกระทบต่อการดำเนินงานของ ทอท. (Uncertainty)
ทอท. ได้ดำเนินการวิเคราะห์ข้อมูลจากการเปลี่ยนแปลงสำคัญ 8 ด้าน รวมถึงปัจจัยอื่น ๆ ที่เกี่ยวข้อง โดยนำข้อมูลเหล่านี้มาประเมินระดับความรุนแรงของประเด็นความเสี่ยง ทั้งด้านโอกาสเกิดเหตุ (Likelihood) และผลกระทบ (Impact) เพื่อกำหนดแนวทางและแผนการบริหารความเสี่ยงที่เหมาะสม โดยข้อมูลที่ได้จากการวิเคราะห์นี้ใช้ในการกำหนดกลยุทธ์การจัดการความเสี่ยง รวมถึงช่วยปรับปรุงแผนปฏิบัติการประจำปีและแนวทางการบริหารงานขององค์กรให้สามารถรับมือกับความเปลี่ยนแปลงในระยะยาวได้อย่างมีประสิทธิภาพ อีกทั้งยังเป็นส่วนสำคัญในการสนับสนุนการเติบโตและการบริหารความเสี่ยงของ ทอท. ในอนาคต
2. การกำหนดและทบทวนดัชนีชี้วัดความเสี่ยง (Key Risk Indicators: KRIs)
ทอท. มีการกำหนดและทบทวน KRIs เพื่อระบุและติดตามความเสี่ยงสำคัญที่อาจส่งผลกระทบต่อองค์กร โดย KRIs ถูกออกแบบให้เชื่อมโยงกับเป้าหมายทางยุทธศาสตร์ขององค์กร และทำหน้าที่เป็นเครื่องมือสำหรับติดตามความเสี่ยง (Tracking) รวมถึงส่งสัญญาณแจ้งเตือนล่วงหน้า (Early Warning Sign) ในกรณีที่เกิดความเสี่ยงสำคัญในอนาคต
KRIs แบ่งการแสดงผลออกเป็น 3 ระดับ เพื่อใช้วิเคราะห์และตัดสินใจในการปรับปรุงกระบวนการบริหารจัดการความเสี่ยง โดยการกำหนด KRIs ของ ทอท. ช่วยให้องค์กรสามารถติดตามและจัดการความเสี่ยงได้อย่างมีประสิทธิภาพและสอดคล้องกับเป้าหมายทางยุทธศาสตร์ขององค์กร
| สี | ผลของดัชนีชี้วัดความเสี่ยง (Key Risk Indicators : KRIs) | การดำเนินการ |
|---|---|---|
| สีเขียว | ความเสี่ยงมีแนวโน้มเป็นไปตามเป้าหมาย | ติดตามตามรอบปกติ |
| สีเหลือง | ความเสี่ยงมีแนวโน้มเพิ่มขึ้น/ไม่เป็นไปตามเป้าหมาย | ผู้รับผิดชอบความเสี่ยงดำเนินการตามมาตรการควบคุม และแผนจัดการความเสี่ยงเพิ่มเติมอย่างเคร่งครัด |
| สีแดง | ความเสี่ยงไม่เป็นไปตามเป้าหมาย | ผู้รับผิดชอบความเสี่ยงพิจารณาปรับปรุงมาตรการควบคุมที่มีอยู่ และ/หรือ กำหนดแผนจัดการความเสี่ยงเพิ่มเติม |
3. การจัดทำแผนบริหารความเสี่ยง
3.1 การวิเคราะห์ความเสี่ยงที่ต้องเผชิญ (Risk Universe)
ทอท. ได้วิเคราะห์ประเด็นความเสี่ยงที่องค์กรอาจต้องเผชิญผ่านการจัดทำ Risk Universe เพื่อเป็นปัจจัยนำเข้าในการจัดทำแผนบริหารความเสี่ยง โดยพิจารณาจากแหล่งที่มา 6 แหล่ง อ้างอิงตามหลักเกณฑ์การประเมินกระบวนการปฏิบัติงานและการจัดการ Core Business Enablers ของรัฐวิสาหกิจ ด้านที่ 3 การบริหารความเสี่ยงและการควบคุมภายใน (Risk Management & Internal Control: RM&IC) ได้แก่
1. กฎหมายและนโยบายภาครัฐ
2. ยุทธศาสตร์
3. นโยบายของคณะกรรมการและผู้บริหาร (Tone at Top)
4. ห่วงโซ่อุปทาน (Supply Chain)
5. ตัวชี้วัดที่สำคัญ (Key Performance Area) / บันทึกข้อตกลงประเมินผลการดำเนินงานรัฐวิสาหกิจ (Performance Agreement : PA)
6. ปัจจัยเสี่ยงระดับองค์กรของ ทอท. ปีงบประมาณก่อนหน้า
3.2 การพิจารณาคัดเลือกปัจจัยเสี่ยงระดับองค์กร (Identifies Risk)
จากข้อมูล Risk Universe ข้างต้น ประเด็นความเสี่ยงดังกล่าวจะได้รับการประเมินระดับความรุนแรงตามเกณฑ์การประเมินด้านโอกาสเกิด (Likelihood: L) และด้านผลกระทบ (Impact: I) เพื่อพิจารณาระดับความรุนแรงของความเสี่ยงในกรณีที่เหตุการณ์ดังกล่าวเกิดขึ้น
| เกณฑ์การประเมินผลกระทบ | ค่าคะแนน | |||||
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| Service | มีความเสี่ยงเกิดขึ้น แต่ไม่กระทบต่อการให้บริการ | มีความเสี่ยงเกิดขึ้น แต่ส่งผลกระทบต่อการให้บริการเพียงเล็กน้อย | มีความเสี่ยงเกิดขึ้น และส่งผลกระทบต่อการให้บริการ จนเกิดเป็นข้อร้องเรียนมายัง ทอท. | มีความเสี่ยงเกิดขึ้น และส่งผลกระทบต่อการให้บริการมาก จนเกิดเป็นข้อร้องเรียนที่เผยแพร่ต่อสาธารณะ (Traditional & social Media) | มีความเสี่ยงเกิดขึ้นและเกิดผลกระทบจนทำให้การให้การให้บริการหยุดชะงัก | |
| Support | มีความเสี่ยงเกิดขึ้น แต่สามารถบรรลุเป้าหมายของแผนดำเนินงานหรือแผนปฏิบัติการที่กำหนด | มีความเสี่ยงเกิดขึ้น และส่งผลกระทบต่อเป้าหมายของแผนดำเนินงาน หรือแผนปฏิบัติการที่กำหนดอย่างไม่มีนัยสำคัญ | มีความเสี่ยงเกิดขึ้น และส่งผลกระทบต่อเป้าหมายของแผนดำเนินงาน หรือแผนปฏิบัติการที่กำหนดอย่างมีนัยสำคัญ | มีความเสี่ยงเกิดขึ้น และส่งผลให้ไม่บรรลุเป้าหมายตามแผนดำเนินงาน หรือแผนปฏิบัติการที่กำหนด | มีความเสี่ยงเกิดขึ้น ส่งผลให้ต้องยกเลิกแผนดำเนินงาน หรือแผนปฏิบัติการที่กำหนด | |
| Safety | มีเหตุการณ์อันตรายเกิดขึ้น แต่มีผลกระทบที่ตามมาน้อย |
มีเหตุการณ์อันตรายเกิดขึ้น ส่งผลให้
|
มีเหตุการณ์อันตรายเกิดขึ้น ส่งผลให้
|
มีเหตุการณ์อันตรายเกิดขึ้นส่งผลให้
|
มีเหตุการณ์อันตรายเกิดขึ้น
|
|
| Security |
ไม่มีการกระทำอันเป็นการแทรกแซงโดยมิชอบด้วยกฎหมาย
|
มีการกระทำอันเป็นการแทรกแซงโดยมิชอบด้วยกฎหมายส่งผลให้
|
มีการกระทำอันเป็นการแทรกแซงโดยมิชอบด้วยกฎหมายส่งผลให้
|
มีการกระทำอันเป็นการแทรกแซงโดยมิชอบด้วยกฎหมายส่งผลให้
|
มีการกระทำอันเป็นการแทรกแซงโดยมิชอบด้วยกฎหมายส่งผลให้
|
|
| Reporting | ถูกต้อง | ไม่มีข้อผิดพลาด | มีข้อผิดพลาดที่ไม่เป็นสาระสำคัญ | มีข้อผิดพลาดที่ส่งผลต่อสาระสำคัญของรายงานเล็กน้อย | มีข้อผิดพลาดที่ส่งผลต่อสาระสำคัญของรายงานมาก | มีข้อผิดพลาดที่ส่งผลต่อความน่าเชื่อถือของรายงาน |
| ระยะเวลา | แล้วเสร็จก่อนกำหนด | แล้วเสร็จตามกำหนด | แล้วเสร็จล่าช้ากว่ากำหนดเล็กน้อย | แล้วเสร็จล่าช้ากว่ากำหนดมาก | แล้วเสร็จล่าช้ากว่ากำหนด จนส่งผลกระทบต่อการตรวจสอบหรือการดำเนินงานของหน่วยงานที่เกี่ยวข้อง | |
| Compliance | ไม่มีการละเมิดการปฏิบัติตามกฎ ระเบียบ ข้อบังคับ สัญญา หรือข้อตกลง | มีการไม่ปฏิบัติตามกฎ ระเบียบ ข้อบังคับ สัญญา หรือข้อตกลงที่ไม่มีนัยสำคัญ | มีการไม่ปฏิบัติตามกฎ ระเบียบ ข้อบังคับ สัญญา หรือข้อตกลงที่มีนัยสำคัญ แต่ไม่ก่อให้เกิดความเสียหาย | มีการไม่ปฏิบัติตามกฎ ระเบียบ ข้อบังคับ สัญญา หรือข้อตกลงที่มีนัยสำคัญ และเกิดความเสียหาย แต่สามารถตกลงการชดใช้ค่าเสียหายได้ | มีการไม่ปฏิบัติตามกฎ ระเบียบ ข้อบังคับ สัญญา หรือข้อตกลงที่มีนัยสำคัญ และเกิดความเสียหาย จนอาจเกิดการฟ้องร้องดำเนินคดี | |
| Financial | ไม่มีค่าใช้จ่ายหรือไม่ต้องชดใช้ความเสียหาย | มีค่าใช้จ่าย หรือต้องชดใช้ความเสียหาย แต่ผลประกอบการยังคงเป็นไปตามเป้าหมาย | มีค่าใช้จ่ายหรือต้องชดใช้ความเสียหาย ทำให้ผลประกอบการมีกำไรต่ำกว่าเป้าหมาย | มีค่าใช้จ่ายหรือต้องชดใช้ความเสียหาย ทำให้ผลประกอบการมีกำไรลดต่ำลงกว่าปีที่ผ่านมา | มีค่าใช้จ่ายหรือต้องชดใช้ความเสียหาย ทำให้ผลประกอบการขาดทุน และมีสภาพคล่องต่ำมากจนต้องหยุดดำเนินธุรกิจ | |
| Reputation | ไม่มีผลกระทบต่อชื่อเสียง ภาพลักษณ์ | เสียชื่อเสียง ภาพลักษณ์ภายในองค์กร | เสียชื่อเสียง ภาพลักษณ์ มีการเผยแพร่ข่าวสารในเชิงลบต่อองค์กร ผ่าน Social Media และช่องทางอื่น ๆ ขยายออกไปสู่สื่อสาธารณะภายในประเทศในวงจำกัด | เสียชื่อเสียง ภาพลักษณ์ มีการเผยแพร่ข่าวสารในเชิงลบต่อองค์กร ผ่าน Social Media และช่องทางอื่น ๆ ขยายออกไปสู่สื่อสาธารณะจนกลายเป็นประเด็นทางสังคม | เสียชื่อเสียง ภาพลักษณ์ มีการเผยแพร่ข่าวสารในเชิงลบต่อองค์กร ผ่าน Social Media และช่องทางอื่น ๆ ขยายออกไปสู่สื่อสาธารณะ เป็นวงกว้างทั้งในประเทศและต่างประเทศ | |
ประเด็นความเสี่ยงที่มีผลการประเมินระดับความรุนแรงอยู่ในระดับสูงหรือสูงมาก จะถูกนำเข้าสู่กระบวนการพิจารณาความเพียงพอของมาตรการควบคุม โดยเกณฑ์การประเมินประสิทธิผลของมาตรการควบคุมจะพิจารณาจาก 3 มุมมอง ได้แก่ (1) ผลการดำเนินงานเมื่อเทียบกับเป้าหมาย (2) มาตรการควบคุม และ (3) การติดตามผล ทั้งนี้ หากผลการประเมินในมุมมองใดมุมมองหนึ่งมีคะแนนต่ำกว่าระดับ 3 จะถือว่าประสิทธิผลของมาตรการควบคุมอยู่ในระดับ “ไม่เพียงพอ”
เนื่องจากระดับความรุนแรงของประเด็นความเสี่ยงสูงเกินกว่าระดับที่องค์กรยอมรับได้ ดังนั้น ไม่ว่ามาตรการควบคุมที่มีอยู่จะมีความเพียงพอหรือไม่ก็ตาม ประเด็นความเสี่ยงดังกล่าวจะถูกนำมาประเมินผลกระทบต่อองค์กรใน 4 มิติ ได้แก่ (1) มิติผลกระทบต่อวัตถุประสงค์เชิงยุทธศาสตร์หรือเป้าหมายระดับองค์กร (2) มิติขอบเขตการแพร่กระจายของผลกระทบ (3) มิติระดับของการตัดสินใจหรือการกำกับดูแลที่จำเป็น และ (4) มิติผลกระทบต่อชื่อเสียงและความสัมพันธ์กับผู้มีส่วนได้เสียหลัก ทั้งนี้ หากผลการประเมินมีคะแนนเฉลี่ยรวมมากกว่าหรือเท่ากับ 4 ประเด็นความเสี่ยงดังกล่าวจะถูกคัดเลือกให้เป็นปัจจัยเสี่ยงระดับองค์กร แต่หากมีคะแนนเฉลี่ยรวมน้อยกว่า 4 จะนำไปพิจารณาเป็นประเด็นความเสี่ยงในระดับ Risk Universe ระดับสายงาน สาย สำนัก และท่าอากาศยานต่อไป
3.3 การกำหนดเป้าหมายในการบริหารความเสี่ยง (Strategy & Objectives Setting)
เพื่อให้การบริหารความเสี่ยงองค์กรมีประสิทธิภาพ ทอท. ได้กำหนดเป้าหมาย/วัตถุประสงค์เป็นจุดเริ่มต้นของการบริหารความเสี่ยงเพื่อให้การดำเนินงานด้านความเสี่ยงมีการบรรลุเป้าหมายที่ตั้งไว้อย่างสมเหตุสมผล โดย ทอท. มีการกำหนดเป้าหมายการบริหารความเสี่ยงผ่านการกำหนดระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite: RA) และระดับความเสี่ยงที่ยอมให้เบี่ยงเบนได้ (Risk Tolerance: RT)
| ระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite: RA) | เป็นระดับความเสี่ยงที่องค์กรสามารถยอมรับได้เพื่อให้องค์กรสามารถบรรลุเป้าหมาย โดยสามารถพิจารณาจากวัตถุประสงค์ที่เป็นภาพรวมขององค์กร (วิสัยทัศน์ พันธกิจ) วัตถุประสงค์หรือเป้าหมายเชิงยุทธศาสตร์และตัวชี้วัดที่สำคัญขององค์กร รวมถึงเป้าหมายที่สอดคล้องกับบันทึกข้อตกลงระหว่างรัฐบาลไทยกับ ทอท. โดย ทอท. มีการระบุ RA ที่สอดคล้องตามพันธกิจ และเป้าหมายที่สอดคล้องตามแผนยุทธศาสตร์หรือตัวชี้วัดตามบันทึกข้อตกลงประเมินผลการดำเนินงานรัฐวิสาหกิจ (Performance Agreement : PA) แล้วแต่ค่าใดจะสูงกว่า |
| ระดับความเสี่ยงที่ยอมให้เบี่ยงเบนได้ (Risk Tolerance: RT) | เป็นระดับความเสี่ยงที่ยอมให้เบี่ยงเบนได้จากเป้าหมายหรือ RA ที่ได้กำหนดไว้ และสอดคล้องกับระดับความเสี่ยงที่ยอมรับได้ ทั้งนี้ สามารถใช้ฐานข้อมูลในอดีต หรือการคาดการณ์ในอนาคตประกอบการกำหนดระดับความเสี่ยงที่ยอมให้เบี่ยงเบนได้ โดย ทอท. มีการระบุ RT ที่สอดคล้องกับค่าเกณฑ์วัด “ระดับ 3” ของตัวชี้วัดตามบันทึกข้อตกลงฯ หรือค่าที่ผ่านการอนุมัติจากคณะกรรมการ ทอท. แล้วแต่ค่าใดต่ำกว่า |
ทั้งนี้ ทอท. ได้มีการกำหนด RA และ RT แยกตามประเภทความเสี่ยง 4 ด้าน ได้แก่ ด้านกลยุทธ์ (Strategic Risk) ด้านการดำเนินงาน (Operational Risk) ด้านการเงิน (Financial Risk) และด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk)
3.4 การวิเคราะห์สาเหตุของปัจจัยเสี่ยง (Root Cause Analysis : RCA)
นอกเหนือจากการกำหนดเป้าหมายและวัตถุประสงค์ด้านการบริหารความเสี่ยงแล้ว ทอท. ยังได้ดำเนินการวิเคราะห์สาเหตุของความเสี่ยง โดยพิจารณาถึงปัจจัยหรือสาเหตุที่อาจก่อให้เกิดความเสี่ยง ทั้งจากปัจจัยภายในองค์กร และจากข้อจำกัดหรือความไม่แน่นอนของปัจจัยภายนอกองค์กร ทั้งนี้ ได้มอบหมายให้ผู้รับผิดชอบความเสี่ยง (Risk Owner) ทำหน้าที่ระบุและวิเคราะห์สาเหตุของปัจจัยเสี่ยงที่เกี่ยวข้อง เพื่อให้สามารถกำหนดแนวทางบริหารจัดการความเสี่ยงได้อย่างเหมาะสมและมีประสิทธิภาพ
3.5 การพิจารณาควบคุมในปัจจุบัน (Existing Control) และแผนจัดการความเสี่ยงเพิ่มเติม (Mitigation Plan)
ภายหลังจากการวิเคราะห์สาเหตุของความเสี่ยงแล้วเสร็จ ฝ่ายบริหารความเสี่ยงร่วมกับผู้รับผิดชอบความเสี่ยง (Risk Owner) ได้ดำเนินการระบุมาตรการควบคุมในปัจจุบัน (Existing Control) ซึ่งหมายถึงแผนงานหรือกิจกรรมที่ได้ดำเนินการอยู่แล้วเพื่อช่วยลดระดับความรุนแรงของสาเหตุความเสี่ยงแต่ละประการ พร้อมทั้งประเมินระดับความรุนแรงของความเสี่ยงรายสาเหตุ เพื่อพิจารณาว่าสาเหตุความเสี่ยงใดที่ยังคงมีระดับความรุนแรงภายหลังการดำเนินมาตรการควบคุมในปัจจุบันสูงเกินกว่าระดับที่องค์กรยอมรับได้
ทั้งนี้ สำหรับสาเหตุความเสี่ยงที่ยังมีระดับความรุนแรงเกินกว่าระดับที่ยอมรับได้ จะต้องจัดทำแผนบริหารความเสี่ยงเพิ่มเติม (Mitigation Plan) ซึ่งเป็นแผนงานหรือกิจกรรมใหม่ที่ยังไม่เคยดำเนินการมาก่อน เพื่อใช้เป็นมาตรการเสริมในการลดระดับความเสี่ยง และสร้างความมั่นใจว่าระดับความรุนแรงของความเสี่ยงโดยรวมภายหลังการดำเนินมาตรการควบคุมและแผนบริหารความเสี่ยงเพิ่มเติมแล้ว จะลดลงสู่ระดับที่องค์กรสามารถยอมรับได้
3.6 การประเมินความเสี่ยง (Risk Assessment)
ทอท. ดำเนินการวิเคราะห์และจัดลำดับความสำคัญของความเสี่ยง โดยพิจารณาจากระดับโอกาสในการเกิด (Likelihood) และระดับผลกระทบ (Impact) ของความเสี่ยง ผ่านแผนภาพความเสี่ยง (Risk Profile) เพื่อประเมินระดับความรุนแรงของความเสี่ยง โดยการประเมินดังกล่าวอาศัยข้อมูลสถิติในอดีต ข้อมูลผลการดำเนินงาน ตลอดจนการวิเคราะห์แนวโน้มและการคาดการณ์ในอนาคต เพื่อให้เกณฑ์การประเมินมีความเหมาะสม สอดคล้องกับบริบทการดำเนินงาน และสะท้อนระดับความเสี่ยงที่แท้จริงขององค์กร นอกจากนี้ค่าระดับของเกณฑ์การประเมินความเสี่ยงฯ จะมีการพิจารณาให้สอดคล้องกับเป้าหมายองค์กร กฎระเบียบ ข้อบังคับ ดัชนีชี้วัดผลการดำเนินงาน (Key Performance Indicator: KPI) ผลการดำเนินงาน หรือปัจจัยสำคัญที่ส่งผลกระทบต่อการดำเนินงาน รวมถึงระดับความเสี่ยงที่องค์กรสามารถยอมรับได้ (Risk Boundary) เพื่อให้ผลการประเมินสามารถนำไปใช้ในการจัดเตรียมการจัดการหรือมาตรการควบคุมความเสี่ยงที่อาจจะเกิดขึ้นจริง และช่วยลดผลการกระทบให้อยู่ในเกณฑ์ที่สามารถยอมรับได้
ทั้งนี้ ในการประเมินระดับความรุนแรงของความเสี่ยง ทอท. ได้กำหนดการประเมินความเสี่ยงออกเป็น 3 ระดับ เพื่อใช้ในการวิเคราะห์ ติดตาม และบริหารจัดการความเสี่ยงให้สอดคล้องกับระดับความเสี่ยงที่องค์กรสามารถยอมรับได้ ดังนี้
- การประเมินระดับความเสี่ยงที่มีอยู่ (Inherent Risk)
เป็นการประเมินระดับความเสี่ยงที่มีอยู่โดยทั่วไปตามลักษณะของการดำเนินธุรกิจ หรือการดำเนินกิจกรรมทั้งในปัจจุบันและอนาคตก่อนที่จะมีมาตรการควบคุม (จากภาพจะแสดงให้เห็นในแท่งสีฟ้า) - การประเมินระดับความเสี่ยงที่เหลืออยู่ (Residual Risk)
เป็นการประเมินระดับความเสี่ยงที่เหลืออยู่หลังจากมีมาตรการควบคุมในปัจจุบันที่มีการบริหารจัดการเพื่อลดโอกาสเกิดหรือผลกระทบ เช่น การจัดทำแผนปฏิบัติการหรือแผนดำเนินงานเพื่อสนับสนุนการบรรลุเป้าหมายขององค์กร หรือการปรับปรุงกิจกรรมดำเนินงานเพื่อควบคุมกระบวนการให้เป็นไปอย่างมีประสิทธิภาพ (จากภาพจะแสดงให้เห็นในแท่งสีแดง) - การกำหนดระดับความเสี่ยงเป้าหมาย (Target Risk)
เป็นการกำหนดเป้าหมายของความเสี่ยงที่ต้องการ หลังจากที่ได้ดำเนินการตามมาตรการควบคุมในปัจจุบันและแผนจัดการความเสี่ยงเพิ่มเติม (หากมี) โดยคำนึงถึงระดับความเสี่ยงที่ยอมรับได้ (จากภาพจะแสดงให้เห็นในแท่งสีเขียว)
3.7 การตอบสนองความเสี่ยง (Risk Response)
ทอท. ได้กำหนดแนวทางการตอบสนองความเสี่ยงไว้ 4 แนวทาง ได้แก่ (1) การยอมรับความเสี่ยง (Take/Acceptance) (2) การลดความเสี่ยง (Treat/Reduction) (3) การถ่ายโอนความเสี่ยง (Transfer/Sharing) และ (4) การยกเลิกความเสี่ยง (Terminate/Avoidance) เพื่อใช้เป็นแนวทางในการบริหารจัดการความเสี่ยงให้เหมาะสมกับบริบทและระดับความรุนแรงของแต่ละความเสี่ยง ในกรณีที่ระดับความเสี่ยงคงเหลือ (Residual Risk) สูงกว่าระดับความเสี่ยงที่องค์กรยอมรับได้ โดยเฉพาะความเสี่ยงที่อยู่ในระดับสูง (สีส้ม) และระดับสูงมาก (สีแดง) ผู้รับผิดชอบความเสี่ยง (Risk Owner) จะต้องพิจารณาคัดเลือกแนวทางตอบสนองความเสี่ยงที่เหมาะสม โดยคำนึงถึงความคุ้มค่าและประสิทธิผลของมาตรการที่จะนำมาใช้ในการบริหารจัดการความเสี่ยงดังกล่าว โดยการพิจารณาแนวทางตอบสนองความเสี่ยงจะใช้การวิเคราะห์เปรียบเทียบระหว่างต้นทุนและผลประโยชน์ (Cost and Benefit Analysis: CBA) ทั้งในรูปแบบตัวเงินและมิใช่ตัวเงิน ของแต่ละทางเลือกอย่างน้อย 2 ทางเลือก เพื่อประกอบการตัดสินใจเลือกมาตรการที่เหมาะสมและคุ้มค่าที่สุด โดยองค์กรอาจเลือกใช้แนวทางตอบสนองความเสี่ยงเพียงแนวทางเดียว หรือหลายแนวทางร่วมกัน เพื่อช่วยลดโอกาสในการเกิดความเสี่ยงและ/หรือผลกระทบให้อยู่ในระดับที่องค์กรสามารถยอมรับได้อย่างมีประสิทธิภาพ
นอกจากนี้ ทอท. กำหนดให้มีการจัดทำแผนจัดการความเสี่ยงเพิ่มเติม (Mitigation Plan) สำหรับกรณีที่จำเป็นต้องดำเนินมาตรการเพิ่มเติมจากแนวทางควบคุมที่มีอยู่ เพื่อช่วยลดระดับความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ โดยแผนดังกล่าวจะต้องแสดงให้เห็นอย่างชัดเจนว่า เมื่อดำเนินการครบถ้วนตามแผนที่กำหนดแล้ว จะสามารถลดระดับโอกาสในการเกิดความเสี่ยง และ/หรือ ลดผลกระทบของปัจจัยเสี่ยงนั้นได้อย่างเป็นรูปธรรมและสามารถติดตามประเมินผลได้อย่างชัดเจน
3.8 การติดตามรายงานผลการบริหารความเสี่ยง (Reporting)
ทอท. กำหนดให้มีการติดตามและรายงานผลการบริหารความเสี่ยงระดับองค์กรและระดับสายงาน สาย สำนัก และท่าอากาศยาน เป็นรายไตรมาส หรือทันทีเมื่อมีเหตุการณ์เปลี่ยนแปลงที่เป็นสาระสำคัญต่อ ทอท. โดย ทอท. ได้จัดทำแผนการรายงานผลการบริหารความเสี่ยงของ ทอท. ผ่านแผนดำเนินงานของส่วนบริหารความเสี่ยง ฝ่ายบริหารความเสี่ยง เป็นประจำทุกปี และชี้แจงให้กับผู้รับผิดชอบความเสี่ยง (Risk Owner) และผู้ปฏิบัติภารกิจด้านการบริหารความเสี่ยง การควบคุมภายใน และการบริหารความต่อเนื่องทางธุรกิจ (Risk Agent) รับทราบในการประชุมคณะทำงานบริหารความเสี่ยงของ ทอท. (คณส.ทอท.) เพื่อให้ผู้รับผิดชอบความเสี่ยง (Risk Owner) และผู้ปฏิบัติภารกิจด้านการบริหารความเสี่ยง การควบคุมภายใน และการบริหารความต่อเนื่องทางธุรกิจ (Risk Agent) ใช้เป็นกรอบระยะเวลาในการรายงานผลการบริหารความเสี่ยงต่อ คณส.ทอท. และ คคส. ตามลำดับ
4. การบริหารความต่อเนื่องทางธุรกิจของ ทอท.
ระบบการบริหารความเสี่ยงของ ทอท. มีความสอดคล้องตามแนวทางของ The Committee of Sponsoring Organizations of the Treadway Commission – Enterprise Risk Management Integrating with Strategy and Performance: COSO – ERM 2017 และกรอบการดำเนินการระบบการบริหารความต่อเนื่องทางธุรกิจที่เป็นไปตามมาตรฐานสากล ISO 22301:2019, Security and Resilience – Business Continuity Management System Requirements โดยนํากระบวนการบริหารความเสี่ยงมาเป็นส่วนหนึ่งในการจัดทําแผนวิสาหกิจ ทอท. และการบริหารโครงการที่มีความสําคัญ เพื่อให้สามารถจัดการความเสี่ยงตลอดจนภัยพิบัติที่อาจเกิดขึ้นและส่งผลกระทบต่อการดําเนินธุรกิจของ ทอท. ได้อย่างทันเวลาและต่อเนื่อง รวมถึงสนับสนุนให้ ทอท. สามารถบรรลุวัตถุประสงค์และเป้าหมายที่กําหนดไว้
ทอท. ได้กำหนดกระบวนการและขั้นตอนการดำเนินงานระบบการบริหารความต่อเนื่องทางธุรกิจ (BCMS) มีความเชื่อมโยงและสอดรับกับกลยุทธ์ตามแผนวิสาหกิจของ ทอท. โดยอ้างอิงลักษณะการดำเนินธุรกิจ สภาพแวดล้อมขององค์กร วิสัยทัศน์ ยุทธศาสตร์ ผลการวิเคราะห์ SWOT และกระบวนการสำคัญ เพื่อกำหนดขอบข่ายของ BCMS ให้ครอบคลุม สนญ.ทอท. และท่าอากาศยานของ ทอท. ทั้ง 6 แห่ง
ทอท. มีการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) การประเมินความเสี่ยง จัดทำแผนความต่อเนื่อง
ทางธุรกิจ (Business Continuity Plan: BCP) และการฝึกซ้อมแผนร่วมกับหน่วยงานภายนอกที่เกี่ยวข้องเป็นประจำทุกปี นอกจากนี้ ทอท. ยังให้ความสำคัญกับการสร้างความรู้ ความเข้าใจ และความตระหนักด้าน BCMS แก่ผู้บริหารและพนักงาน ผ่านโครงการฝึกอบรมและสื่อประชาสัมพันธ์ต่าง ๆ อย่างสม่ำเสมอ เพื่อสร้างความเชื่อมั่นให้แก่ผู้มีส่วนได้เสียว่า ทอท.
มีความพร้อมในการตอบสนองต่อสถานการณ์ฉุกเฉิน และสามารถฟื้นคืนบริการสำคัญกลับสู่ภาวะปกติได้อย่างทันท่วงที
5. การรับรอง BCMS ของ ทอท.
ทอท. ได้มีการพัฒนาปรับปรุง BCMS ของ สนญ.ทอท. และท่าอากาศยานของ ทอท. ทั้ง 6 แห่ง และได้ผ่านการตรวจประเมินเพื่อต่ออายุการรับรอง BCMS: ISO 22301:2019 จากหน่วยงานให้การรับรอง (Certification Body: CB) โดยมีระยะเวลาของการรับรอง 3 ปี ระหว่างปีงบประมาณ 2568 – 2571 ทำให้เชื่อมั่นได้ว่า สนญ.ทอท. และท่าอากาศยานของ ทอท. ทั้ง 6 แห่ง ได้ดำเนินการ BCMS ครบถ้วนทุกขั้นตอนตามที่ ISO 22301:2019 กำหนดไว้
การดำเนินงาน
ในปีงบประมาณ 2568 ทอท. ดำเนินการบริหารความเสี่ยงระดับองค์กรอย่างเป็นระบบ โดยมีการประเมินและจัดลำดับความเสี่ยงจากประเด็นที่หน่วยงานผู้รับผิดชอบความเสี่ยงระบุ เพื่อกำหนดมาตรการบริหารและควบคุมความเสี่ยงให้เหมาะสมกับระดับความเสี่ยงที่ยอมรับได้
ตัวอย่างประเด็นความเสี่ยงที่มีนัยสำคัญและแนวทางการจัดการ แสดงดังตารางต่อไปนี้
| ประเภทความเสี่ยง | รายละเอียดความเสี่ยง | มาตรการจัดการความเสี่ยง |
|---|---|---|
|
ความเสี่ยงด้านกลยุทธ์และความยั่งยืน (RF5)
• ระดับความเสี่ยงก่อนการจัดการ: 6 (โอกาสเกิด 2, ผลกระทบ 3)
• ระดับความเสี่ยงหลังการจัดการ: 4 (โอกาสเกิด 2, ผลกระทบ 2) |
ความเสี่ยงจากการดำเนินงานด้าน ESG ที่ยังต้องได้รับการยกระดับอย่างต่อเนื่อง เพื่อรองรับความคาดหวังของผู้มีส่วนได้เสียและมาตรฐานด้านความยั่งยืนที่เพิ่มสูงขึ้น ทอท. ตั้งเป้าหมายผลประเมินหุ้นยั่งยืนระดับ AA และยอบรับได้ที่ระดับ A |
1. เตรียมความพร้อมข้อมูลสำหรับการตอบแบบประเมิน 2. พัฒนาบุคลากรเพื่อสร้างความรู้ความเข้าใจในการดำเนินงานด้านความยั่งยืน 3. ขอรับรองข้อมูลตัวชี้วัดด้านความยั่งยืนจากหน่วยงานภายนอก |
|
ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบและเทคโนโลยี (RF7)
• ระดับความเสี่ยงก่อนการจัดการ: 20 (โอกาสเกิด 4, ผลกระทบ 5)
• ระดับความเสี่ยงหลังการจัดการ: 2 (โอกาสเกิด 1, ผลกระทบ 2) |
ความไม่ปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศในองค์กร ทอท. ตระหนักถึงความเสี่ยงจากการคุกคามทางไซเบอร์ และมุ่งเน้นการป้องกัน ตรวจจับ และลดผลกระทบจากเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อไม่ให้เกิดความเสียหายต่อระบบและการให้บริการ |
จัดทำและดำเนินการระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001 ควบคู่กับการจัดทำแผนบริหารความต่อเนื่องด้านเทคโนโลยีสารสนเทศ และการพัฒนาศักยภาพบุคลากรด้าน Cybersecurity และ ISMS อย่างต่อเนื่อง |
ความเสี่ยงที่เกิดขึ้นใหม่ของ ทอท. (Emerging Risks)
ความเสี่ยงที่เกิดขึ้นใหม่เป็นความท้าทายที่เกิดขึ้นจากการเปลี่ยนแปลงในเรื่องต่าง ๆ ซึ่งถือว่ามีความเสี่ยงต่อการดำเนินงานธุรกิจท่าอากาศยาน โดยที่อาจส่งผลกระทบอย่างมีนัยสำคัญต่อธุรกิจท่าอากาศยานและสังคม ในบริบทต่าง ๆ ตามแต่ละประเด็นความเสี่ยง ความเสี่ยงเหล่านี้ครอบคลุมถึงปัจจัยด้านสิ่งแวดล้อม สังคม และการกำกับดูแล เช่น การเปลี่ยนแปลงสภาพภูมิอากาศ การขาดแคลนทรัพยากร การเปลี่ยนแปลงของกฎระเบียบ และการหยุดชะงักทางเทคโนโลยี รวมถึง ความขัดแย้งระหว่างประเทศและการแบ่งขั้วทางการเมือง การจัดการความเสี่ยงที่เกิดขึ้นใหม่ต้องใช้กลยุทธ์เชิงรุกเพื่อให้แน่ใจว่ามีความยืดหยุ่น ลดผลกระทบเชิงลบที่อาจเกิดขึ้น และใช้ประโยชน์จากโอกาสในการเติบโตอย่างยั่งยืน การระบุและจัดการความเสี่ยงเหล่านี้จะช่วยให้องค์กรสามารถปรับตัวให้สอดคล้องกับเป้าหมายความยั่งยืนระดับโลกได้ดีขึ้นและรักษามูลค่าของธุรกิจในระยะยาวได้
| ความเสี่ยงด้านภูมิรัฐศาสตร์และผลกระทบต่อต้นทุนพลังงาน (Geopolitical Risk and Energy Cost Impact) | ภัยคุกคามทางไซเบอร์และการหยุดชะงักจากปัญญาประดิษฐ์ (Cyber Threats and AI Disruption) |
|---|---|
| ลักษณะของความเสี่ยง (Description) | |
| ความตึงเครียดทางภูมิรัฐศาสตร์ที่ยังคงดำเนินอยู่อย่างต่อเนื่อง ไม่ว่าจะเป็นความขัดแย้งระหว่างประเทศ สงครามการค้า และการแบ่งขั้วทางการเมืองของมหาอำนาจโลก ได้ก่อให้เกิดผลกระทบต่อระบบพลังงานและห่วงโซ่อุปทานของอุตสาหกรรมการบินทั่วโลก ความผันผวนของราคาพลังงานที่เกิดขึ้นจากปัจจัยภูมิรัฐศาสตร์เหล่านี้ถือเป็นความเสี่ยงภายนอกที่มีผลกระทบอย่างมีนัยสำคัญต่อโครงสร้างต้นทุนการดำเนินงาน ทั้งในส่วนของต้นทุนพลังงานที่ใช้ในท่าอากาศยาน และต้นทุนเชื้อเพลิงของสายการบิน ซึ่งส่งผลต่อปริมาณเที่ยวบินและผู้โดยสาร ในขณะเดียวกัน แรงกดดันด้านการเปลี่ยนผ่านพลังงาน (Energy Transition) ที่มาพร้อมกับกระแส Net Zero และการเปลี่ยนไปสู่เชื้อเพลิงอากาศยานยั่งยืน (Sustainable Aviation Fuel: SAF) ยิ่งเพิ่มความซับซ้อนต่อการบริหารต้นทุนในระยะยาว สอดคล้องกับการระบุปัจจัยเสี่ยง ประจำปีงบประมาณ 2568 ระบุว่า “ความขัดแย้งทางภูมิรัฐศาสตร์และสงครามการค้าระหว่างประเทศ” เป็นหนึ่งในความเสี่ยงสำคัญที่ ทอท. ต้องเผชิญ (SWOT: T1) | ทอท. ดำเนินงานท่าอากาศยานหลักจำนวน 6 แห่งในประเทศไทย โดยมีข้อมูลผู้โดยสารและข้อมูลการบินปริมาณมหาศาลไหลเวียนผ่านระบบดิจิทัลตลอดเวลาอย่างต่อเนื่อง ทำให้ ทอท. ต้องพึ่งพาโครงสร้างพื้นฐานดิจิทัลอย่างสูงในการดำเนินงาน ทั้งนี้ ระบบดิจิทัลที่มีความสะดวกสูงย่อมมีความเสี่ยงจากการโจมตีทางไซเบอร์ที่สามารถก่อให้เกิดภัยอันตรายและความเสี่ยหายได้เป็นอย่างมาก โดยความเสี่ยงนี้มี 2 มิติที่เชื่อมโยงกัน มิติแรก คือ การโจมตีทางไซเบอร์ที่ขับเคลื่อนด้วย AI : ผู้โจมตีในปัจจุบันนำปัญญาประดิษฐ์ (AI) มาใช้เพิ่มขนาด ความเร็ว และความซับซ้อนของการโจมตี เพื่อยกระดับการโจมตี ทำให้ภัยคุกคามพัฒนาเกินกว่ารูปแบบเดิม เป็นความเสี่ยงภายนอกที่อยู่นอกเหนือการควบคุมโดยตรงของ ทอท. มิติที่สอง คือ การหยุดชะงักจากการนำ AI มาใช้ในอุตสาหกรรมการบิน : ความก้าวหน้าของ AI กำลังเปลี่ยนแปลงรูปแบบการดำเนินงานท่าอากาศยานทั่วโลก หาก ทอท. ไม่สามารถปรับตัวและนำ AI มาใช้ได้อย่างมีประสิทธิภาพและทันเวลา อาจส่งผลต่อขีดความสามารถในการแข่งขัน คุณภาพการให้บริการ และประสิทธิภาพการดำเนินงานในระยะยาว รวมถึงสูญเสียความเชื่อมั่นจากนักลงทุนและผู้ถือหุ้น ซึ่งสอดคล้องกับ SWOT (W1) ที่ระบุว่า ทอท. ยังไม่สามารถบริหารจัดการบริการและนวัตกรรมการบริการยังไม่สามารถแข่งขันกับคู่แข่งชั้นนำได้ ่งขึ้น |
| ผลกระทบต่อธุรกิจ (Impact) | |
| ผลกระทบจากความเสี่ยงนี้เกิดขึ้นใน 2 ระดับ ได้แก่ 1. ระดับการดำเนินงาน : ความผันผวนของราคาพลังงานส่งผลโดยตรงต่อต้นทุนการให้บริการท่าอากาศยาน ทั้งค่าไฟฟ้า ระบบปรับอากาศ และระบบสาธารณูปโภคที่จำเป็นในพื้นที่อาคารผู้โดยสารขนาดใหญ่ นอกจากนี้ หากราคาเชื้อเพลิงอากาศยานพุ่งสูงจากเหตุการณ์ ภูมิรัฐศาสตร์ สายการบินอาจลดความถี่เที่ยวบินหรือยกเลิกเส้นทาง ทำให้ปริมาณผู้โดยสารและเที่ยวบินลดลง ซึ่งกระทบต่อรายได้หลักของ ทอท. ทั้งค่าธรรมเนียมการบินและรายได้เชิงพาณิชย์ภายในท่าอากาศยาน รวมถึงมาตรการกีดกันทางการค้าในรูปแบบต่าง ๆ ที่อาจส่งผลกระทบต่อปริมาณการขนส่งสินค้าทางอากาศให้ปรับตัวลดลง ขณะเดียวกันความไม่แน่นอนทางภูมิรัฐศาสตร์อาจส่งผลต่อความเชื่อมั่นของพันธมิตรรายใหญ่ และนำไปสู่ความระมัดระวังในการตัดสินใจร่วมลงทุนในอุตสาหกรรมการบินมากยิ่งขึ้น 2. ระดับกลยุทธ์ : ความล่าช้าในการเปลี่ยนผ่านสู่พลังงานสะอาดอาจทำให้ ทอท. สูญเสียความได้เปรียบด้านการแข่งขันทางการตลาด และอาจเผชิญกับข้อกำหนดด้านสิ่งแวดล้อมที่เข้มงวดขึ้นจากองค์กรการบินพลเรือนระหว่างประเทศในอนาคต |
ผลกระทบแบ่งได้เป็น 2 ระดับ ได้แก่ 1. ระดับการดำเนินงาน : ระบบสำคัญอาจตกเป็นเป้าหมายของการโจมตีที่ใช้ AI ได้แก่ ระบบควบคุมการบิน ระบบเช็คอินอัตโนมัติ ระบบลำเลียงกระเป๋าสัมภาระ และระบบแสดงข้อมูลเที่ยวบิน เมื่อระบบที่สำคัญต่อการให้บริการเหล่านี้ถูกโจมตี การดำเนินงานอาจหยุดชะงักทันที ส่งผลให้ต้องระงับบริการและเที่ยวบินล่าช้า นอกจากนี้ ทอท. อาจเผชิญความเสี่ยงจากการโจมตีทางไซเบอร์ที่มุ่งเข้าถึงข้อมูลสำคัญ รวมถึงการเผยแพร่ข้อมูลอันเป็นเท็จและการบิดเบือนข้อมูล ซึ่งอาจก่อให้เกิดผลกระทบต่อผู้โดยสารที่ใช้บริการ ตลอดจนส่งผลต่อความเชื่อมั่นของผู้มีส่วนได้เสียทุกภาคส่วน 2. ระดับกลยุทธ์ : หากข้อมูลสำคัญขององค์กรถูกเปิดเผย หรือหาก ทอท. ปรับตัวต่อ AI Disruption ได้ช้ากว่าคู่แข่ง อาจนำไปสู่การสูญเสียความเชื่อมั่นของผู้โดยสารและนักลงทุน ความเสียเปรียบในการแข่งขัน และความจำเป็นในการปรับกลยุทธ์ธุรกิจอย่างเร่งด่วน |
| แนวทางการจัดการ (Mitigation Actions) | |
|
|
การส่งเสริมวัฒนธรรมความเสี่ยง (Risk Culture)
ทอท. ให้ความสำคัญกับการเสริมสร้างบรรยากาศและวัฒนธรรมองค์กรที่สนับสนุนการบริหารความเสี่ยงอย่างเป็นระบบและต่อเนื่อง เพื่อปลูกฝังให้การบริหารความเสี่ยงเป็นส่วนหนึ่งของกระบวนการปฏิบัติงานและการตัดสินใจในทุกระดับขององค์กร โดยยึดกรอบแนวคิดการสร้างวัฒนธรรมด้านความเสี่ยงตามแนวทาง Deloitte Risk Culture Framework เป็นแนวทางในการดำเนินงาน พร้อมทั้งกำหนดพฤติกรรมพึงประสงค์ด้านความเสี่ยง สำหรับคณะกรรมการ ผู้บริหาร และพนักงานในแต่ละกลุ่มเป้าหมายอย่างเหมาะสม เพื่อส่งเสริมพฤติกรรมและการปฏิบัติงานที่สอดคล้องกับค่านิยมองค์กรและเป้าหมายการดำเนินงานของ ทอท. อย่างมีประสิทธิภาพและยั่งยืน
นอกจากนี้ ทอท. ยังได้ดำเนินกิจกรรมเพื่อส่งเสริมและผลักดันวัฒนธรรมการบริหารความเสี่ยงให้เกิดขึ้นอย่างเป็นรูปธรรมทั่วทั้งองค์กร ได้แก่
(1) การเสริมสร้างการรับรู้และความตระหนัก ผ่านการจัดทำสื่อประชาสัมพันธ์ สื่อเผยแพร่ความรู้ และการจัดกิจกรรมส่งเสริมการมีส่วนร่วมด้านการบริหารความเสี่ยงอย่างต่อเนื่อง และ
(2) การจัดฝึกอบรมเพื่อเสริมสร้างความรู้ ความเข้าใจ และทักษะด้านการบริหารความเสี่ยง เพื่อพัฒนาศักยภาพบุคลากรให้สามารถบริหารจัดการความเสี่ยงได้อย่างเหมาะสม มีประสิทธิภาพ และสอดคล้องกับบริบทการดำเนินงานขององค์กรในปัจจุบัน
การดำเนินงานด้านการส่งเสริมวัฒนธรรมความเสี่ยงในปี 2568
1. เสริมสร้างความตระหนักด้านความเสี่ยง (Risk Management Education)
ทอท. ได้กำหนดพฤติกรรมพึงประสงค์ด้านความเสี่ยงภายใต้แนวคิด “3A” เพื่อส่งเสริมค่านิยมองค์กรและผลักดันวัฒนธรรมการบริหารความเสี่ยงให้เกิดขึ้นอย่างทั่วถึงทั้งองค์กร โดยมุ่งเน้นให้คณะกรรมการ ผู้บริหาร และพนักงานทุกระดับมีพฤติกรรมการปฏิบัติงานที่สอดคล้องกับแนวทางการบริหารความเสี่ยงขององค์กรซึ่งมีรายละเอียดดังนี้
นอกจากนี้ ทอท.ยังได้ผนวกเกณฑ์ความเสี่ยงเข้ากับการพัฒนาการให้บริการของ ทอท. และกำหนดตัวชี้วัดด้านความเสี่ยงให้แก่หน่วยงานที่เกี่ยวข้องซึ่งมีผลโดยตรงต่อการกำหนดค่าตอบแทน (Financial Incentive) อีกทั้งในปีงบประมาณ 2568 ทอท. ได้ดำเนินโครงการและกิจกรรมต่าง ๆ เพื่อสร้างการรับรู้ ความเข้าใจ และส่งเสริมให้ผู้บริหารและพนักงานทุกระดับมีพฤติกรรมพึงประสงค์ด้านความเสี่ยงตามที่องค์กรกำหนดอย่างต่อเนื่องและเป็นรูปธรรม ซึ่งเกิดจากความร่วมมือระหว่างสายงานยุทธศาสตร์และสายงานทรัพยากรบุคคลและอำนวยการของ ทอท. โดยมีกิจกรรมสำคัญ ดังนี้
1) โครงการนิทรรศการความเสี่ยง ควบคุมภายใน และความต่อเนื่องทางธุรกิจ (Risk Day 2025)
วัตถุประสงค์: เพื่อให้ผู้บริหารและพนักงาน ทอท. ในกลุ่มเป้าหมายรับรู้พฤติกรรมพึงประสงค์ด้านการบริหารความเสี่ยง การควบคุมภายใน และการบริหารความต่อเนื่องทางธุรกิจ 3A โดยกลุ่มเป้าหมายทั้งหมดสามารถสื่อสารพฤติกรรมดังกล่าวในส่วนงานจนเกิดเป็นวัฒนธรรมความเสี่ยงที่สอดคล้องกับค่านิยมองค์กร (Core Values)
2) โครงการกิจกรรม AOT Core Values Day 2025 : Embracing DEI&B
วัตถุประสงค์: เพื่อส่งเสริมความรู้ ความเข้าใจเกี่ยวกับแนวคิด DEI&B ที่ช่วยในการสนับสนุนค่านิยมและวัฒนธรรมองค์กร และแลกเปลี่ยนประสบการณ์ด้านค่านิยมและวัฒนธรรมองค์กรให้กับบุคลากร ทอท. รวมถึงให้ผู้บริหาร พนักงาน และลูกจ้าง ทอท. ตระหนักถึงความสำคัญของค่านิยมและวัฒนธรรมองค์กรที่เป็นพื้นฐานสำคัญในการปฏิบัติงานและการพัฒนาองค์กร เพื่อสนับสนุนการบรรลุวิสัยทัศน์ของ ทอท.
3) การเผยแพร่สื่อประชาสัมพันธ์เกี่ยวกับการบริหารความเสี่ยงของ ทอท. ผ่านแอพพลิเคชัน AOTStaff
วัตถุประสงค์: ให้พนักงานทุกระดับสามารถเข้าถึงข้อมูลข่าวสารเกี่ยวกับประเด็นความเสี่ยง แนวทางการจัดการ และมาตรการที่เกี่ยวข้องได้อย่างถูกต้อง รวดเร็ว และทันสมัย และเพื่อกระตุ้นให้พนักงานตระหนักถึงความสำคัญของการบริหารความเสี่ยง และนำไปประยุกต์ใช้ในการทำงานประจำวันได้อย่างต่อเนื่อง
นอกจากนี้ ทอท. ยังได้ดำเนินการสำรวจระดับการรับรู้และความตระหนักด้านการบริหารความเสี่ยงของพนักงานเป็นประจำทุกปี เพื่อประเมินประสิทธิผลของการสื่อสารและการเผยแพร่ข้อมูลด้านการบริหารความเสี่ยงผ่านช่องทางต่าง ๆ ทั้งภายในและภายนอกองค์กร ตลอดจนนำผลการสำรวจมาใช้ในการพัฒนาและปรับปรุงรูปแบบ รวมถึงช่องทางการสื่อสาร เพื่อเสริมสร้างการรับรู้ ความเข้าใจ และวัฒนธรรมด้านการบริหารความเสี่ยงให้เกิดประสิทธิภาพและครอบคลุมทั่วทั้งองค์กรอย่างต่อเนื่อง
2. การฝึกอบรมด้านความเสี่ยง (Risk-Focused Training)
ทอท. จัดโครงการฝึกอบรม และกิจกรรมเพื่อเสริมสร้างทักษะและความเชี่ยวชาญให้แก่ผู้เข้าร่วมอบรมด้านการบริหารความเสี่ยง และการดำเนินการตามแนวปฏิบัติที่กำหนด เตรียมความพร้อมของทั้ง 6 ท่าอากาศยาน ในการตรวจประเมินตามมาตรฐานสากล รวมถึงเพิ่มความเข้าใจ และความตระหนักรู้ ของบุคลากรทุกระดับดับชั้น
| หลักสูตรฝึกอบรมด้านความเสี่ยง | ผู้เข้ารับการฝึกอบรม |
|---|---|
โครงการฝึกอบรมหลักสูตร “ความรู้การบริหารความเสี่ยงของ ทอท.” ผ่านระบบ e-Learning”
|
ผู้บริหารและพนักงานทุกระดับ |
การประชุมเชิงปฏิบัติการเพื่อให้ความรู้ด้านกระบวนการบริหารความเสี่ยงของ ทอท. และจัดทำแผนบริหารความเสี่ยง
|
สายงาน สาย สำนัก และท่าอากาศยานผู้รับผิดชอบปัจจัยเสี่ยงระดับองค์กรของ ทอท. ประจำปีงบประมาณ 2569 |
การบรรยายให้ความรู้ด้านการบริหารความเสี่ยงในหลักสูตรการพัฒนาบุคคล จำนวน 2 หลักสูตร ได้แก่
|
พนักงานระดับ 4 - 6 |
| โครงการฝึกอบรมเชิงปฏิบัติการหลักสูตร “การสร้างหัวหน้าทีมผู้ตรวจประเมินภายในระบบการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management System: BCMS) ตามมาตรฐาน 22301:2019” ประจำปีงบประมาณ 2568 เพื่อสร้างหัวหน้าทีมผู้ตรวจประเมินภายใน BCMS โดยได้รับการรับรองจากสถาบันระดับสากล ได้แก่ Chartered Quality Institute (CQI) และ International Register of Certificated Auditors (IRCA) | ผู้ปฏิบัติงานด้านการบริหารความต่อเนื่องทางธุรกิจของ สนญ.ทอท. และท่าอากาศยานทั้ง 6 แห่ง (Risk Agent) ที่มีประสบการณ์ทำงานด้าน BCMS อย่างน้อย 1 ปี |
โครงการฝึกอบรมเชิงปฏิบัติการที่เกี่ยวข้องกับการตรวจประเมินภายใน BCMS และ BCMS ตามมาตรฐานสากล ISO 22301:2019 ประจำปีงบประมาณ 2568 ประกอบด้วยหลักสูตรที่สำคัญ ดังนี้
|
พนักงานที่ปฏิบัติงานเกี่ยวข้องกับ BCMS พนักงาน ทอท. คณะผู้ตรวจประเมินภายใน BCMS |