Risk management policy
องค์กรควรมีความตระหนักถึงความสำคัญและความจำเป็นที่ต้องนำระบบการบริหารความเสี่ยงตามมาตรฐานสากลมาใช้ในการบริหาร โดยมุ่งหวังให้เป็นองค์กรสำคัญที่สร้างความพึงพอใจให้กับลูกค้า มีภาพลักษณ์ที่ดี และพัฒนาการดำเนินงานให้เป็นไปในแนวทางเดียวกันทั่วทั้งองค์กร โดยการจัดตั้งคณะกรรมการบริหารความเสี่ยง เพื่อทำหน้าที่ในการจัดทำนโยบาย วางระบบ และประเมินความเสี่ยงต่าง ๆ ทั้งที่เกิดจากปัจจัยภายนอกและจากการบริหารงาน และการปฏิบัติงานภายในองค์กร รวมทั้งกำหนดแนวทางในการบริหารและจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ มีการสื่อสาร จัดฝึกอบรมสัมมนาเชิงปฏิบัติการแก่พนักงาน ให้ตระหนักถึงความสำคัญของการบริหารความเสี่ยง ตามกระบวนการบริหารความเสี่ยงดังนี้
1.1 การกำหนดนโยบายและหลักเกณฑ์การบริหารความเสี่ยง
เป็นการกำหนดนโยบาย วัตถุประสงค์ ขอบเขตความรับผิดชอบ หลักเกณฑ์ และแนวทางบริหารความเสี่ยงให้สอดคล้องกับกลยุทธ์ เป้าหมาย แผนและทิศทางการดำเนินธุรกิจ ซึ่งควรจะมีการทบทวนเป็นประจำทุกปี และควรจะดำเนินการจัดทำพร้อมกันกับแผนธุรกิจเพื่อให้มีความสอดคล้องกัน การกำหนดนโยบายการบริหารความเสี่ยง ได้แก่
1. คณะกรรมการบริหารความเสี่ยงมีหน้าที่กำหนดนโยบายการบริหารความเสี่ยง ทั้งภายในและภายนอกองค์กรให้มีความครอบคลุม และสอดคล้องกับกลยุทธ์และทิศทางของธุรกิจ ทั้งนี้ ต้องครอบคลุมความเสี่ยงอย่างน้อย 4 ด้าน ดังนี้
1) ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2) ความเสี่ยงด้านการดำเนินงาน (Operational Risk)
3) ความเสี่ยงด้านการเงิน (Report & Financial Risk)
4) ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk)
ทั้งนี้ บริษัทได้มีการประเมินความเสี่ยงที่ครอบคลุมประเภทความเสี่ยงทั้งหมด 9 ด้าน ดังนี้
1) ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
2) ความเสี่ยงด้านการดำเนินงาน (Operational Risk)
3) ความเสี่ยงด้านการเงิน (Report & Financial Risk)
4) ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk)
5) ความเสี่ยงด้านห่วงโซ่อุปทาน (Supply Chain Risk)
6) ความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk)
7) ความเสี่ยงด้านชื่อเสี่ยง (Reputation Risk)
8) ความเสี่ยงด้านการเปลี่ยนแปลงสภาพภูมิอากาศ (Climate Change Risk)
9) ความเสี่ยงด้านการทุจริตและคอร์รัปชัน (Corruption Risk)
2. กำหนดให้การบริหารความเสี่ยงเป็นความรับผิดชอบของพนักงานในทุกระดับชั้นที่ต้องตระหนักถึงความเสี่ยงที่มีในการปฏิบัติงานในหน่วยงานของตนและองค์กร โดยให้ความสำคัญในการบริหารความเสี่ยงด้านต่าง ๆ และบริหารจัดการภายใต้การควบคุมภายในอย่างมีระบบให้อยู่ในระดับที่เพียงพอและเหมาะสม
3. ให้มีกระบวนการบริหารความเสี่ยงองค์กรที่เป็นไปตามมาตรฐานที่ดีตามแนวปฏิบัติสากล เพื่อให้เกิดการบริหารจัดการความเสี่ยงที่อาจส่งผลกระทบกับการดำเนินงานอย่างมีประสิทธิภาพ เกิดการพัฒนาและมีการปฏิบัติงานด้านการบริหารความเสี่ยงทั่วทั้งองค์กรในทิศทางเดียวกัน โดยนำระบบการบริหารความเสี่ยงมาเป็นส่วนหนึ่งในการตัดสินใจ การวางแผนกลยุทธ์ แผนงาน และการดำเนินงาน รวมถึงการมุ่งเน้นให้บรรลุวัตถุประสงค์ เป้าหมาย วิสัยทัศน์ พันธกิจ กลยุทธ์ที่กำหนดไว้ เพื่อสร้างความเป็นเลิศในการปฏิบัติงานและสร้างความเชื่อมั่นให้ผู้เกี่ยวข้อง
4. มีการกำหนดแนวทางป้องกันและบรรเทาความเสี่ยงจากการดำเนินงาน เพื่อหลีกเลี่ยงความเสียหาย หรือความสูญเสียที่อาจจะเกิดขึ้น รวมถึงการติดตามและประเมินผลการบริหารความเสี่ยงอย่างสม่ำเสมอ เพื่อให้ความเสี่ยงอยู่ในระดับที่ยอมรับได้ภายใต้การควบคุมภายในที่เหมาะสมตามที่กำหนด
5. ส่งเสริมและพัฒนาการนำระบบเทคโนโลยีสารสนเทศที่ทันสมัยมาใช้ในกระบวนการบริหารความเสี่ยง และสนับสนุนให้พนักงานทุกระดับสามารถเข้าถึงแหล่งข้อมูลข่าวสารการบริหารความเสี่ยงอย่างทั่วถึง ตลอดจนการจัดระบบการรายงานการบริหารความเสี่ยงให้คณะทำงานบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิภาพ
1.2 การระบุความเสี่ยง
เป็นการระบุความเสี่ยงที่อาจมีผลกระทบต่อการบรรลุวัตถุประสงค์และเป้าหมาย โดยพิจารณาจากความเสี่ยงที่เกิดจากปัจจัยภายในและปัจจัยภายนอก เช่น จากสภาพแวดล้อม กฎหมาย การเงิน ระบบสารสนเทศ ระบบข้อมูลเพื่อการตัดสินใจ ความพึงพอใจของนักลงทุน การบริหารเงินลงทุน ทรัพยากรบุคคล ชื่อเสียงและภาพลักษณ์ ระบบรักษาความปลอดภัย เป็นต้น การบริหารความเสี่ยงโดยพิจารณาจัดลำดับความเสี่ยงก่อนการพิจารณาระบบการควบคุม ซึ่งถ้าอยู่ในเกณฑ์สูงและสูงมาก องค์กรจะนำความเสี่ยงเหล่านั้นมาวิเคราะห์เพื่อใช้ในการจัดการก่อน
1.3 การวิเคราะห์ความเสี่ยง
เป็นการวิเคราะห์เพื่อประเมินระดับความเสี่ยงที่เหลืออยู่หลังจากได้ประเมินระบบการควบคุมที่มีอยู่ และการจัดลำดับความสำคัญของความเสี่ยง ซึ่งหากความเสี่ยงที่เหลือยังคงอยู่ในระดับสูงหรือสูงมาก จะต้องกำหนดมาตรการการจัดการความเสี่ยงทันที โดยผู้บริหารระดับสูงที่รับผิดชอบ และหากความเสี่ยงที่เหลืออยู่ในระดับปานกลางหรือระดับต่ำ ให้กำหนดมาตรการจัดการในระดับฝ่ายหรือแก้ไขในกระบวนการปฏิบัติงาน
1.4 การจัดการความเสี่ยง
เป็นการกำหนดวิธีการจัดทำแผนในการจัดการความเสี่ยงที่มีความสำคัญ ตามที่ได้มีการจัดลำดับไว้ในขั้นตอนของการวิเคราะห์ความเสี่ยง การจัดการความเสี่ยงมีได้หลายวิธี เช่น การควบคุมความเสี่ยง การโอนความเสี่ยง การหลีกเลี่ยงความเสี่ยง การใช้ประโยชน์จากความเสี่ยง หรือการยอมรับความเสี่ยง
1.5 การติดตามผลและการสอบทาน
เป็นขั้นตอนของการติดตามผลการบริหารความเสี่ยงตามแผนที่กำหนดไว้ รวมทั้งประเมินผลการจัดการความเสี่ยง ซึ่งคณะกรรมการบริหารความเสี่ยงจะติดตามและรายงานต่อผู้บริหารระดับสูงและคณะกรรมการตรวจสอบ
