เอ็กโก กรุ๊ป ทบทวนนโยบายและแนวทางในการบริหารจัดการความเสี่ยงเพิ่มเติมเพื่อให้ครอบคลุมประเด็นที่มีความเสี่ยงควบคู่ไปกับการบริหารจัดการด้านความเสี่ยงทั่วทั้งองค์กร (Enterprise-Wide Risk Management) โดยยังคงมุ่งเน้นถึงความสมดุลระหว่างความเสี่ยงและผลตอบแทนที่สร้างมูลค่าเพิ่มอย่างยั่งยืนให้กับผู้ถือหุ้น

ทั้งนี้ นโยบายบริหารความเสี่ยงครอบคลุมถึงบริษัทที่ เอ็กโก กรุ๊ป มีอำนาจควบคุม และสนับสนุนให้บริษัทร่วม คู่ค้า ตลอดจนผู้มีส่วนเกี่ยวข้องรับทราบนโยบายการบริหารความเสี่ยงดังกล่าวเพื่อเป็นหลักในการปฏิบัติให้เป็นไปในทิศทางเดียวกัน

เอ็กโก กรุ๊ป ประยุกต์ใช้แนวทางของ COSO Enterprise Risk Management - Integrated Framework ฉบับปี 2017 (2017 COSO ERM) สำหรับการบริหารความเสี่ยงทั่วทั้งองค์กร และได้กำหนด “คู่มือการบริหารความเสี่ยง” ให้สอดคล้องกับ 2017 COSO ERM รวมทั้งมีการกำหนดตัวชี้วัดความเสี่ยง (Key Risk Indicators) ซึ่งเป็นทั้งตัวชี้วัดนำ (Leading Indicators) และตัวชี้วัดตาม (Lagging Indicators) และยังส่งเสริมให้พนักงานของ เอ็กโก กรุ๊ป และโรงไฟฟ้าต่าง ๆ นำแนวทางของ 2017 COSO ERM และคู่มือไปปฏิบัติอย่างเหมาะสม ทั้งนี้ เพื่อเพิ่มประสิทธิภาพในการวัดผลกระทบของความเสี่ยง เอ็กโก กรุ๊ป ได้ดำเนินการจัดทำการวิเคราะห์ความอ่อนไหว (Sensitivity Analysis) และทดสอบภาวะวิกฤต (Stress Testing) สำหรับประเด็นความเสี่ยงที่มีนัยสำคัญต่อธุรกิจ ได้แก่ ด้านการเงิน (Financial Risks) การเปลี่ยนแปลงสภาพภูมิอากาศ (Climate Change Risks) การบริหารจัดการน้ำ (Changes in Water Availability and Water Quality Risks) และอื่น ๆ (Other Risks) เช่น ความเสี่ยงจากการผลิต (Operational Risks) การตลาด (Market Risks) เชิงกลยุทธ์ (Strategic Business Risks) การบริหารโครงการ (Project Management Risks) การบริหารภาษี (Tax Management Risks) ด้านบุคลากร (Human Capital Risks) ด้านการปฏิบัติตามกฎระเบียบ ข้อบังคับและกฎหมายที่เกี่ยวข้อง (Compliance Risks) การจัดการห่วงโซ่อุปทาน (Supply Chain Management Risks) การรักษาความมั่นคงปลอดภัยทางด้านไซเบอร์ (IT Security and Cyber Security Risks) และการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Risks) เป็นต้น

กระบวนการบริหารจัดการความเสี่ยง

การบริหารความเสี่ยง เป็นกระบวนการที่ดำเนินการอย่างต่อเนื่องภายในองค์กร และควรถูกรวมกับกิจกรรมปกติทางธุรกิจ เพื่อให้องค์กรสามารถดำเนินการตามกลยุทธ์ที่กำหนด บรรลุพันธกิจและวัตถุประสงค์ที่ต้องการ การบริหารความเสี่ยงขององค์กร ประกอบไปด้วยองค์ประกอบที่เกี่ยวโยงกัน 8 องค์ประกอบ จากกระบวนการบริหารงานและวิธีการการดำเนินธุรกิจ ดังนี้

  1. สภาพแวดล้อมภายในองค์กร (Internal Environment) ผู้บริหารจะต้องสร้างปรัชญาเกี่ยวกับการบริหารความเสี่ยงและกำหนดระดับความเสี่ยงที่องค์กรยอมรับได้ สภาพแวดล้อมในองค์กรเป็นพื้นฐานของวิธีการที่บุคลากรขององค์กรจะมองภาพความเสี่ยงและการควบคุมว่าเป็นอย่างไร รวมทั้งจะจัดการเรื่องดังกล่าวอย่างไร หัวใจสำคัญของธุรกิจทุกประเภท คือ ทรัพยากรบุคคล ซึ่งรวมถึงคุณสมบัติเฉพาะตัว ได้แก่ ความซื่อสัตย์ คุณค่าทางจริยธรรม และความสามารถ
  2. การกำหนดวัตถุประสงค์ / เป้าหมาย (Objective Setting) ผู้บริหารจะต้องกำหนดวัตถุประสงค์ให้ได้ก่อนที่จะระบุเหตุการณ์ที่อาจจะเกิดขึ้นและส่งผลต่อการบรรลุผลสำเร็จตามวัตถุประสงค์นั้น การบริหารความเสี่ยงขององค์กรจะทำให้เกิดความมั่นใจว่า ผู้บริหารมีกระบวนการในการกำหนดวัตถุประสงค์อยู่แล้ว และวัตถุประสงค์ที่ผู้บริหารได้เลือกนั้นจะสนับสนุนและสอดคล้องกับพันธกิจขององค์กร รวมทั้งสอดคล้องกับระดับความเสี่ยงที่องค์กรยอมรับได้
  3. การระบุเหตุการณ์ (Event Identification) คือการระบุเหตุการณ์ความเสี่ยงที่อาจจะเกิดขึ้นและมีผลกระทบต่อองค์กร โดยการระบุถึงเหตุการณ์ความเสี่ยงที่อาจเกิดขึ้นทั้งจากแหล่งภายในหรือภายนอก ซึ่งส่งผลต่อการบรรลุเป้าหมายขององค์กร รวมถึงการจำแนกระหว่างเหตุการณ์ที่เป็นความเสี่ยง โอกาส หรือเป็นทั้งความเสี่ยงและโอกาส กรณีที่เป็นโอกาส ผู้บริหารจะนำเอาโอกาสนั้นกลับไปสู่กระบวนการกำหนดกลยุทธ์หรือการกำหนดวัตถุประสงค์ต่อไป

    ในปี 2566 เอ็กโก กรุ๊ป มีนำประเด็นด้าน ESG ซึ่งเป็นประเด็นสำคัญและหัวข้อด้านความยั่งยืน มาพิจารณาในกระบวนการบริหารจัดการความเสี่ยงของขององค์กร (Material topics and issues from materiality assessment are integrated in company’s ERM process)

  4. การประเมินความเสี่ยง (Risk Assessment) ความเสี่ยงต่างๆ ที่ได้ระบุมานั้น จะถูกนำไปวิเคราะห์เพื่อสร้างเกณฑ์การพิจารณาสาหรับตัดสินว่าความเสี่ยงเหล่านั้นควรจะได้รับการจัดการอย่างไร ความเสี่ยงจะมีความสัมพันธ์กับวัตถุประสงค์ซึ่งอาจจะได้รับผลกระทบ จึงต้องมีการประเมินความเสี่ยงทั้งความเสี่ยงที่มีอยู่ตามธรรมชาติ (Inherent Risk) และความเสี่ยงที่เหลืออยู่ (Residual Risk) โดยคำนึงถึงทั้งความเป็นไปได้ที่จะเกิดความเสี่ยงและผลกระทบที่เกิดจากความเสี่ยงนั้นๆ

    แผนที่ประเมินความเสี่ยงขององค์กร

    จัดทำเพื่อให้สอดคล้องกับเกณฑ์ COSO ERM และเกณฑ์การประเมินองค์กร สำหรับการประเมินที่ครอบคลุมทุกระดับความเสี่ยงขององค์กร

  5. การตอบสนองต่อความเสี่ยง (Risk Response) บุคลากรขององค์กรจะเป็นผู้ระบุและประเมินแนวทางการตอบสนองต่อความเสี่ยงที่เป็นไปได้ ซึ่งได้แก่ การหลีกเลี่ยงความเสี่ยง (Avoidance) การลดความเสี่ยง (Reduction) การหาผู้ร่วมรับความเสี่ยง (Sharing) และการยอมรับความเสี่ยง (Acceptance) ผู้บริหารจะเป็นผู้เลือกแนวทางที่จะจัดการกับความเสี่ยงในรูปแบบต่างๆ ให้เหมาะสมสอดคล้องกับระดับความเสี่ยงที่ยอมรับได้องค์กร
  6. กิจกรรมการควบคุม (Control Activities) คือการกำหนดนโยบายและขั้นตอนการปฏิบัติงานต่างๆ และนำมาบังคับใช้เพื่อช่วยให้มั่นใจว่าวิธีการตอบสนองต่อความเสี่ยงซึ่งผู้บริหารเลือกมานั้นได้มีการนำไปดำเนินการจนเสร็จสิ้นอย่างมีประสิทธิผล
  7. ข้อมูลสารสนเทศและการสื่อสาร (Information and Communication) ข้อมูลสารสนเทศที่เกี่ยวข้องกันจะต้องได้รับการระบุ จัดเก็บและนำไปสื่อสารในรูปแบบและกรอบเวลาที่เอื้อให้บุคลากรสามารถนำไปใช้ในการปฏิบัติหน้าที่ตามความรับผิดชอบได้ ข้อมูลสารสนเทศเป็นสิ่งที่ทุกระดับในองค์กรจำเป็นต้องใช้ในการระบุ การประเมิน และการตอบสนองต่อความเสี่ยง การสื่อสารที่มีประสิทธิผลจะต้องเกิดขึ้นและรับรู้ในวงกว้าง ทั้งจากระดับบนลงสู่ระดับล่าง ระหว่างหน่วยงาน และจากระดับล่างขึ้นสู่ระดับบน บุคลากรทุกฝ่ายจะต้องได้รับการสื่อสารที่ชัดเจนเกี่ยวกับบทบาทและหน้าที่ความรับผิดชอบของตน
  8. การติดตามประเมินผลและตรวจประเมิน (Monitoring and Audit) กระบวนการบริหารความเสี่ยงขององค์กรทั้งหมดจะต้องมีการติดตามประเมินผลและปรับเปลี่ยนตามความจำเป็น วิธีการเช่นนี้จะทำให้องค์กรสามารถตอบโต้ได้ในทุกๆ สถานการณ์ และปรับตัวได้ในทุกสภาพการณ์ที่เปลี่ยนแปลงไป การติดตามประเมินผลสามารถกระทำโดยผ่านกิจกรรมทางการบริหารซึ่งมีการดำเนินการอย่างต่อเนื่องหรือแยกประเมินผลการบริหารความเสี่ยงขององค์กรต่างหาก หรือทั้งสองวิธีรวมกันก็ได้ เอ็กโก กรุ๊ป มีการติดตามประเมินผลความเสี่ยงระดับองค์กรในทุกเดือน และติดตามประเมินผลความเสี่ยงระดับโรงไฟฟ้าอย่างน้อยในทุกไตรมาส (Quarterly) นอกจากนี้ เอ็กโก กรุ๊ป ยังมีการตรวจประเมินกระบวนการบริหารความเสี่ยงทั้งภายในและภายนอกอย่างสม่ำเสมอ
    • ฝ่ายประเมินความเสี่ยงมีการรายงานผลการดำเนินงานด้านการบริหารความเสี่ยงองค์กร และตัวชี้วัดความเสี่ยงหลัก (KRI) ต่อที่ประชุมคณะกรรมการตรวจสอบ โดยติดต่อประสานงานกับฝ่ายตรวจประเมินภายในในแต่ละไตรมาส รวมจำนวนทั้งสิ้น 4 ครั้งต่อปี นอกจากนี้ ยังนำเสนอต่อที่ประชุมร่วมระหว่างคณะกรรมการกำกับความเสี่ยงและคณะกรรมการตรวจสอบปีละ 2 ครั้ง
    • ในขณะเดี่ยวกัน ฝ่ายประเมินความเสี่ยงได้รับการประเมินผลตามแบบจำลองระดับความพร้อมในการบริหารความเสี่ยง (Risk Maturity Model) จากสมาคมการบริหารความเสี่ยง (RIMS, the risk management society) จากสหรัฐอเมริกา

บริษัทได้กำหนดประเภทความเสี่ยงระดับองค์กรไว้ 5 ประเภท ดังนี้

  1. ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
    ความเสี่ยงที่เกิดจากการกำหนดแผนกลยุทธ์ แผนการดำเนินงาน และการนำไปปฏิบัติอย่างไม่เหมาะสม ความไม่สอดคล้องกับประเด็นยุทธศาสตร์ วิสัยทัศน์ ซึ่งส่งผลกระทบต่อการบรรลุวัตถุประสงค์หลักขององค์กร
  2. ความเสี่ยงด้านการดำเนินงาน/ปฏิบัติการ (Operational Risk)
    ความเสี่ยงที่เกี่ยวข้องกับความมีประสิทธิภาพ ประสิทธิผล ของการใช้ทรัพยากร หรือการปฏิบัติงานโดยอาจเกี่ยวข้องกับกระบวนการปฏิบัติงานภายใน บุคลากร ระบบงาน หรือเหตุการณ์ภายนอก ซึ่งส่งผลต่อการดำเนินงานและการขับเคลื่อนองค์กรให้บรรลุวัตถุประสงค์ด้านกลยุทธ์ได้
  3. ความเสี่ยงด้านการเงิน (Financial Risk)
    ความเสี่ยงที่เกี่ยวข้องกับการบริหารงบประมาณและการเงินขององค์กร ซึ่งอาจส่งผลกระทบต่อสถานะการเงินของบริษัท ความน่าเชื่อถือ ความโปร่งใส และการใช้เงินงบประมาณไม่บรรลุตามวัตถุประสงค์
  4. ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ (Compliance Risk)
    ความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติตามกฎระเบียบ และข้อบังคับต่างๆ ตลอดจนความไม่ชัดเจน และการไม่เป็นปัจจุบันของกฎหมายหรือระเบียบข้อบังคับต่างๆ ซึ่งส่งผลต่อความน่าเชื่อถือและชื่อเสียงของบริษัท
  5. ความเสี่ยงด้านโครงสร้างองค์กร (Organization Structure Risk)
    ความเสี่ยงที่เกี่ยวข้องกับโครงสร้างองค์กร เช่น การสูญเสียบุคลากรที่เป็นกำลังสำคัญ การไม่สามารถพัฒนาบุคลากร และระบบเทคโนโลยีสารสนเทศในการทำงานอย่างเหมาะสม การที่องค์กรไม่มีแผนเพื่อการเติบโตอย่างยั่งยืนและรับผิดชอบต่อสังคมและสิ่งแวดล้อม จนอาจทำให้ประสิทธิภาพและประสิทธิผลในการทำงานลดลง ขาดความต่อเนื่องในการดำเนินธุรกิจ นอกจากนี้อาจทำให้เกิดการสูญเสียองค์ความรู้ที่ใช้ในการพัฒนาองค์กรได้

ตัวอย่างความเสี่ยงหลักขององค์กร

สำหรับความเสี่ยงสำคัญที่มีผลกระทบต่อเอ็กโก กรุ๊ป และมาตรการป้องกันความเสี่ยงประจำปีทั้งหมด สามารถรับทราบเพิ่มเติมได้ที่ รายงานประจำปี

ความเสี่ยงหลักขององค์กร (Corporate Key Risk) รายละเอียด มาตรการจัดการความเสี่ยง (Risk Mitigating Actions) การตรวจประเมินกระบวนการบริหารความเสี่ยง (ภายในและภายนอก) การประเมินระดับความเสี่ยงที่มีอยู่ตามธรรมชาติ (ความเป็นไปได้ที่จะเกิดความเสี่ยง x ผลกระทบที่เกิดจากความเสี่ยง) ระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) & ระดับความเบี่ยงเบนความเสี่ยง (Risk Tolerance)
ความเสี่ยงจากการปฏิบัติการของโรงไฟฟ้า: ความเสี่ยงด้านประสิทธิภาพของโรงไฟฟ้า ในกระบวนการผลิตไฟฟ้ามีปัจจัยหลายประการที่เป็นตัววัดประสิทธิภาพของโรงไฟฟ้า อาทิ ค่าความร้อน (Heat Rate) ซึ่งถูกกำหนดไว้ในสัญญาซื้อขายกระแสไฟฟ้า หากโรงไฟฟ้าไม่สามารถรักษาประสิทธิภาพในการผลิตได้จะส่งผลให้ต้องรับภาระต้นทุนในการผลิตที่สูงกว่าในสัญญา โดยสาเหตุหลักของความเสี่ยงเกิดจากการปฏิบัติหน้าที่ที่บกพร่องในการดูแลรักษาโรงไฟฟ้า

เอ็กโก กรุ๊ป กำหนดนโยบายและระบบการบริหารจัดการโรงไฟฟ้าเพื่อให้โรงไฟฟ้ามีการบำรุงรักษาอย่างสม่ำเสมอดตามหลักการการบำรุงรักษาเชิงป้องกัน (Preventive Maintenance) นอกจากนี้ ผู้บริหารโรงไฟฟ้าได้กำหนดมาตรการในระบบปฏิบัติการเพื่อป้องกันความเสี่ยง ดังนี้

  • การตรวจสอบการใช้งานและการจัดให้มีการบำรุงรักษาตามระยะเวลาที่กำหนดเป็นประจำและต่อเนื่องโดยช่างผู้ชำนาญงาน
  • การติดตั้งระบบตรวจสอบและติดตามสำหรับอุปกรณ์ที่สำคัญต่อในกระบวนการผลิตกระแสไฟฟ้า รวมถึงมีการแจ้งเตือนล่วงหน้าหากพบว่ามีปัญหาเกิดขึ้นกับอุปกรณ์ เช่น ระบบตรวจวัดการสั่นสะเทือน (Vibration Monitoring) ของระบบกังหันก๊าซ (Gas Turbine) ระบบกังหันไอน้ำ (Steam Turbine). และระบบตรวจวัดความดัน และอุณภูมิของไอน้ำที่่จะเข้าระบบกังหันไอน้ำ
  • การจัดให้มีการสำรองสินค้าคงคลังสําหรับการซ่อมบํารุงที่่จำเป็น เช่น อะไหล่เครื่องจักร สารเคมี น้ำมันหล่อลื่น และวัสดุอื่น ๆ ที่่ใช้ในการบำรุงรักษา ให้เพียงพอต่อการใช้งานและการบำรุงรักษา ภายใต้การจัดการสินค้าคงคลังที่เหมาะสม
  • การนำมาตรฐานระบบบริหารคุณภาพ (ISO 9001:2015) เข้าใช้งานภายในโรงไฟฟ้าทั้ง 12 แห่ง ได้แก่ โรงไฟฟ้าขนอม โรงไฟฟ้าจีพีจี โรงไฟฟ้าจีวายจี โรงไฟฟ้าเอสพีพี ทู โรงไฟฟ้าเอสพีพี ทรี โรงไฟฟ้าเอสพีพี โฟร์ โรงไฟฟ้าเอสพีพี ไฟว์ โรงไฟฟ้าจีพีเอส โรงไฟฟ้าโซลาร์ โก โรงไฟฟ้าเอสอีจี โรงไฟฟ้าพาจู และโรงไฟฟ้าเอสบีพีแอล
  • การพัฒนาความรู้ความสามารถของบุคลากรอย่างต่อเนื่อง
การตรวจประเมินภายนอก: ISO 9001:2015
ดูภาพขนาดใหญ่
จำนวนโรงไฟฟ้าที่หยุดเดินเครื่องเป็นศูนย์
ความเสี่ยงจากการปฏิบัติการของโรงไฟฟ้า: ความเสี่ยงด้านความปลอดภัย อาชีวอนามัย สิ่งแวดล้อม และสังคม ตามมาตรฐานสากล ในการดำเนินธุรกิจของเอ็กโก กรุ๊ป อาจเกิดความเสี่ยงในด้านต่าง ๆ เช่น อุบัติเหตุุที่่เกิดขึ้นจากการปฏิบัติงานของบุุคลากรหรือจากอุปกรณ์ที่เสื่อมประสิทธิภาพ รวมถึงความเสี่ยงจากการต่อต้านหากกระบวนการผลิตก่อให้เกิดผลกระทบต่อชุมชน นอกจากนี้้ โรงไฟฟ้ายังมีความเสี่ยงจากเหตุการณ์การก่อวินาศกรรมซึ่งสามารถสร้างความเสียหายในโรงไฟฟ้าอย่างรุนแรง

ผู้บริหารได้กำหนดมาตรการเพื่อตรวจสอบและลดความเสี่ยง ดังนี้

  • การดำเนินการตามข้อกำหนดในคู่มือการบริหารความปลอดภัย อาชีวอนามัย และสิ่งแวดล้อม โดยกำหนดแนวทางปฏิบัติเพื่อการดำเนินงาน การติดตาม และตรวจสอบ
  • ปฏิบัติตามคู่มือการทำงานและแผนฉุกเฉินอย่างเคร่งครัด รวมถึงจัดให้มีการฝึกอบรมและการทดสอบแผน อุปกรณ์ และระบบเตือนภัย
  • การนำมาตรฐานระบบการจัดการสิ่งแวดล้อม (ISO 14001:2015) เข้าใช้งานในโรงไฟฟ้าเพื่อให้พัฒนาปรับปรุงระบบจัดการสิ่งแวดล้อมอย่างต่อเนื่องและยั่งยืน โรงไฟฟ้าทั้ง 10 โรงประกอบด้วย โรงไฟฟ้าขนอม โรงไฟฟ้าจีพีจี โรงไฟฟ้าบีแอลซีพี โรงไฟฟ้าเคแอลยู โรงไฟฟ้าบีพียู โรงไฟฟ้าจีวายจี โรงไฟฟ้าทีดับบลิวเอฟ โรงไฟฟ้าเอ็นทีพีซี โรงไฟฟ้าเอสอีจี และโรงไฟฟ้าพาจู
  • การนำมาตรฐานระบบการบริหารจัดการอาชีวอนามัยและความปลอดภัย (ISO45001:2018) เข้าใช้งานใน 5 โรงไฟฟ้า ประกอบด้วย โรงไฟฟ้าขนอม โรงไฟฟ้าบีแอลซีพี โรงไฟฟ้าเอ็นอีดี โรงไฟฟ้าเอ็นทีพีซี และโรงไฟฟ้าเอสอีจี เพื่อลดและควบคุมความเสี่่ยงด้านอาชีวอนามัยและความปลอดภัยของพนักงานและผู้มีส่วนได้เสีย เพิ่มประสิทธิภาพการดำเนินงานของธุรกิจ รักษาระดับความปลอดภัยและเพื่อส่งเสริมภาพพจน์ด้านความรับผิดชอบขององค์กรที่่มีต่อพนักงานและสังคม
  • การสื่อสารกับผู้ปฏิบัติงานเพื่อหลีกเลี่ยงความประมาท
  • การบำรุงรักษาอุปกรณ์ทั้งหมดอย่างสม่ำเสมอ
  • การสร้างความสัมพันธ์กับชุมชนรอบโรงไฟฟ้า
  • การประสานงานกับหน่วยงานภาครัฐและส่วนราชการท้องถิ่นที่เกี่ยวข้อง
  • การกำหนดแผนการรักษาความปลอดภัย และการฝึกซ้อมเป็นประจำ และตรวจอุปกรณ์ต่าง ๆ เช่น ระบบกล้องวงจรปิดและอุปกรณ์การติดตามให้อยู่ในสภาพพร้อมใช้งานเสมอ
  • การฝึกซ้อมดับเพลิงและอพยพหนีไฟเป็นประจำทุกปี เพื่อให้พร้อมเผชิญกับภาวะฉุกเฉินทั้งที่โรงไฟฟ้าและที่อาคารเอ็กโกสำนักงานใหญ่
  • การจัดทำและซ้อมแผนดำเนินการธุรกิจต่อเนื่อง (Business Continuity Plan) เพื่อรองรับกรณีเกิดสภาวะวิกฤต
การตรวจประเมินภายนอก: ISO 45001:2018, ISO 14001:2015
ดูภาพขนาดใหญ่
  • การปล่อยก๊าซเรือนกระจกตามข้อกำหนดในการประเมินผลกระทบด้านสิ่งแวดล้อม (EIA)
  • จำนวนการเกิดอุบัติเป็นศูนย์
ความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยทางด้านไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล

การพัฒนาทางเทคโนโลยีและระบบสารสนเทศต่างๆ เป็นไปอย่างรวดเร็วในช่วงหลายปีที่ผ่านมา งานต่างๆ ของเอ็กโกถูกพัฒนาและนำเข้าระบบออนไลน์เพื่อบูรณาการทำงานร่วมกันระหว่างหน่วยงานต่างๆ ภายในองค์กร จึงมีความจำเป็นต้องรักษาและคุ้มครองข้อมูลในการทำธุรกิจ ข้อมูลผู้มีส่วนได้เส่วนเสีย ข้อมูลคู่ค้าและพันธมิตร รวมถึงข้อมูลส่วนบุคคลของพนักงานให้เป็นความลับและไม่รั่วไหลออกไปภายนอก

ระบบเทคโนโลยีสารสนเทศเป็นโครงสร้างพื้นฐานที่เพิ่มประสิทธิภาพการดำเนินธุรกิจ การควบคุมประสิทธิภาพการผลิตไฟฟ้า การบริหารจัดการต้นทุนการดำเนินงาน ให้สามารถแข่งขันได้ในประเทศและในต่างประเทศที่เอ็กโกลงทุนและมีแผนเข้าไปลงทุน เทคโนโลยีสารสนเทศจึงมีบทบาทสำคัญต่อการดำเนินธุรกิจมากขึ้นตามลำดับ

ทั้งนี้ในปี 2566 เอ็กโกได้ดำเนินกลยุทธ์การบริหารความเสี่ยงดังกล่าวอย่างต่อเนื่อง โดยมีการปรับปรุงแผนแม่บทด้านเทคโนโลยีสารสนเทศให้สอดคล้องกับกลยุทธ์ใหม่ของเอ็กโก แนวโน้มเทคโนโลยีสารสนเทศ อุตสาหกรรมพลังงาน และแนวโน้มของเทคโนโลยีทางการเงิน รวมทั้งทบทวนและปรับปรุงความปลอดภัยของข้อมูลทางเทคนิค เพื่อลดความเสี่ยงจากภัยคุกคามภายนอก โดยมีกิจกรรมที่สำคัญดังต่อไปนี้

  • ผู้ตรวจประเมินภายนอก (Certificate Body) ได้มาทำการการตรวจประเมินเพื่อติดตามการรักษาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013 (Information Security Management System: ISMS) และได้ให้การยืนยัน EGCO ผ่านการตรวจประเมินเพื่อติดตามการรักษาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013 ของปีที่ 3 (Surveillance Assessment Year 3) ในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของศูนย์คอมพิวเตอร์ (Data Center)
  • บริษัท ผลิตไฟฟ้าขนอม จํากัด ได้รับการตรวจติดตามการรักษาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013 (Information Security Management System: ISMS) ในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของระบบควบคุมโรงไฟฟ้าขนอม 4 ของปีที่1 (Surveillance Assessment Year 1)
  • บริษัท บ้านโป่ง ยูทิลิตี้ จำกัด ได้ผ่านรับรองมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013 (Information Security Management System: ISMS) ในการจัดทำระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศ ในการดำเนินงานของระบบควบคุมด้วยคอมพิวเตอร์ที่สนับสนุนกระบวน การผลิตไฟฟ้าจากกังหันน้ำและกังหันก๊าซ
  • จัดอบรมสร้างความตะหนักรู้เท่าทันภัยคุกคามทางไซเบอร์ให้กับพนักงาน เพื่อลดความเสี่ยงการเข้าถึงข้อมูลจากภัยคุกคามของอาชญากรรมไซเบอร์ และข้อมูลทางธุรกิจรั่วไหล เนื่องจากปัจจุบันผู้ไม่ประสงค์ดีได้ใช้ประโยชน์จากการทำงานระยะไกลในช่วงแพร่ระบาดของโควิด-19 และพัฒนาการโจมตีที่หลากหลายมากยิ่งขึ้น
  • จัดให้มีการตรวจสอบช่องโหว่และทดสอบเจาะระบบ โดยผู้เชี่ยวชาญภายนอก เพื่อหาช่องโหว่ของแอพพลิเคชั่น ระบบข้อมูลและระบบเครือข่ายภายในของเอ็กโก ตลอดจนวิเคราะห์ ประเมินความเสี่ยง ช่องโหว่และจุดอ่อน ที่ตรวจพบจากการทดสอบเจาะระบบ รวมถึงแนวทางให้บริษัทฯ พิจารณาปรับปรุงประสิทธิภาพระบบและมาตราการรักษาความมั่นคงปลอดภัย
  • ทางด้านคณะทำงานคุ้มครองข้อมูลส่วนบุคคลและฝ่ายโครงสร้างพื้นฐานและความมั่นคงปลอดภัยระบบสารสนเทศ ที่เอ็กโกจัดตั้งขึ้น มีการทบทวน เผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคล (PDPA) และรายละเอียดนโยบายของฝ่ายโครงสร้างพื้นฐานและความมั่นคงปลอดภัยระบบสารสนเทศ รวมถึงแนวปฏิบัติที่เกี่ยวข้องต่างๆ ให้พนักงานได้รับทราบและปฏิบัติร่วมกัน ประกอบด้วย นโยบายคุ้มครองข้อมูลส่วนบุคคล แนวปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล นโยบายด้านความมั่นคงปลอดภัยสารสนเทศและการรักษาความมั่นคงปลอดภัยไซเบอร์ แนวปฏิบัติการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศสำหรับผู้ใช้งาน และแนวปฏิบัติการจัดระดับชั้นความลับ การติดป้ายและการจัดการข้อมูล
การผ่านการตรวจประเมินติดตามการรักษามาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013 (Information Security Management System: ISMS) ในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของศูนย์คอมพิวเตอร์ (Data Center)
ดูภาพขนาดใหญ่
จำนวนโรงไฟฟ้าที่ผ่านการตรวจประเมินเพื่อติดตามการรักษาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013