Risk management
AOT is committed to managing risks as an issue that must be integrated in a concrete manner throughout the organization in compliance with international best practices. As a result, the organization can achieve its specified objectives, strengthen business stability, and create maximum benefits to the stakeholders.
Policy
AOT has established the Risk Management Policy, Corporate Governance Integration Policy, Risk Management and Supervision of AOT's operations, AOT's Business Continuity Management Policy, and Internal Control Policy for relevant executives and employees at all levels to follow by considering the consistency of AOT's Corporate Plan Fiscal Years 2023-2027( Years 2023 Revised Version), Action Plan and Project Management, including laws, rules, regulations and policies related to AOT's operations. Furthermore, AOT prepared the Risk Management Manual to be used as a comprehensive internal practice guideline as well.
See more details
Management System
AOT recognizes the necessity and importance of risk management. Therefore, the risk management system has been developed for all levels of work covering the entire organization or the Enterprise Risk Management, as follows:
AOT's Risk Management Structure
The risk management structure of AOT comprises several components aimed at effective risk governance. It includes the Risk Governance Committee (RGC), appointed by the AOT Board of Directors (BOD), responsible for setting risk management policies, guidelines, acceptable risk levels. The Risk Management Committee (RMC) of AOT, led by a senior executive as chair, and managers from various departments, offices, and airports, implements these policies and guidelines through risk management mechanisms within each area. This includes Internal Control and Risk Management Units (ICRMU) within departments, offices, and airports, responsible for identifying, assessing, and managing risks and reporting outcomes to the RMC and RGC regularly. Additionally, the Risk Management Division (RMD) oversees AOT's overall risk management efforts, ensuring alignment with COSO - ERM 2017 guidelines, which encompass 5 components and 20 principles. AOT's risk management and internal control systems are regularly evaluated by the Internal Audit Office to ensure adequacy, effectiveness, compliance with international standards, and efficiency.
Risk Management Process
AOT has set a risk management process systematically in order to collect and analyze scenarios of changes, or uncertainties both internal and external that may occur and affect AOT's operations. The aforementioned process is implemented annually, twice a year, before starting period of the fiscal year and reviewed in the mid-fiscal year. AOT's risk management process consists of important processes as follows:
AOT's risk management process consists of the following main processes:
1
Risk Universe
The Risk Universe serves as a database for identifying risk factors. The Risk Universe for the fiscal year 2023, compiled from a total of 8 sources, follows criteria for evaluating operational processes and managing Core Business Enablers of state enterprises. These sources include:
- Previous year's risk management outcomes at AOT, categorized as high risk (orange) and very high risk (red).
- SWOT Analysis of the organizational environment.
- Key performance indicators and objectives of strategic objectives.
- Performance Agreement (PA) between the Policy Commission Office of State Enterprises and AOT.
- Board policies of senior management.
- Action plans, operational plans, and public-private partnership projects.
- Internal control assessment reports.
- Risks affecting AOT operations and their implications (Uncertainty).
Analysis of potential changes
and their impact on AOT operations.
2
Analysis of environmental risks to inform the development of strategies, tactics, or risk management plans aimed at reducing the likelihood or impact of potential risks that may occur in the future. This involves assigning the Risk Management and Internal Control Committee of each department, division, office, and airport to analyze data on key change points across 8 dimensions.
3
Risk Index Definition and Review
AOT sets and reviews Key Risk Indicators (KRIs) at least twice annually, before the start of each fiscal year and mid-year, through the 'Review and Establishment of Key Risk Indicators (KRIs)' form. KRIs serve as tools for tracking risks and signaling early warning signs of potential future events. They are linked to significant risks and their impacts. AOT employs KRIs as instruments to monitor risk statuses and facilitate risk management.
การจัดทำแผนบริหารความเสี่ยงของ ทอท.
4
AOT stipulates to prepare the risk management plan at the levels of line / groups / airport to reasonably ensure of achieving the set goal. The details of the important steps are as follows:
กระบวนการบริหารความเสี่ยงของ ทอท.
คณะทํางานบริหารความเสี่ยงและควบคุมภายในของแต่ละสายงานและท่าอากาศยานของ ทอท. มีหน้าที่ในการติดตามและรายงานผลการปฏิบัติงานด้านความเสี่ยงต่อคณะทํางานบริหารความเสี่ยงของ ทอท. และคณะกรรมการบริหารความเสี่ยงเป็นประจํา เพื่อทบทวนความมีประสิทธิภาพของการบริหารจัดการความเสี่ยง นอกจากนี้ ทอท. ยังมีช่องทางในการประเมินระดับความตระหนักด้านความเสี่ยงและรับข้อคิดเห็น เพื่อพัฒนาระบบการบริหารจัดการความเสี่ยงผ่านแบบสอบถามในรูปแบบเอกสารและแบบออนไลน์ โดยทุกข้อเสนอแนะที่ได้รับจะถูกพิจารณาเพื่อยกระดับการบริหารความเสี่ยงของ ทอท. ให้ดีขึ้นอย่างต่อเนื่อง
Risk Management Guidelines and Business Continuity Management Standards of AOT
AOT's risk management system is consistent with the guidelines of the Committee of Sponsoring Organizations of the Treadway Commission - Enterprise Risk Management Integrating with Strategy and Performance: COSO - ERM 2017 and the Business Continuity Management Framework in accordance with International Organization for Standardization: ISO 22301: 2019 (Security and Resilience - Business Continuity Management Systems - Requirements). AOT aims to use the risk management process as a part of AOT's corporate plan preparation and important project management in order to manage risks and disasters that may occur and affect AOT's business operations in a timely and continuous manner. In addition, it also supports AOT to be able to achieve the set objectives and targets.
See more details
ความเสี่ยงของ ทอท.
ความเสี่ยงของ ทอท. สามารถแบ่งออกเป็น 12 ประเภทดังนี้
ความเสี่ยงด้านกลยุทธ์ (Strategic Risk)
หมายถึง ความเสี่ยงที่เกี่ยวข้องกับการกำหนดแผนกลยุทธ์ แผนการดำเนินงาน และการนำแผนดังกล่าวไปปฏิบัติอย่างไม่เหมาะสม นอกจากนี้ ความเสี่ยงด้านกลยุทธ์ยังรวมถึงการเปลี่ยนแปลงจากปัจจัยภายนอกและปัจจัยภายใน อันส่งผลกระทบต่อการกำหนดกลยุทธ์ หรือการดำเนินงาน เพื่อให้บรรลุวัตถุประสงค์หลัก เป้าหมาย และแนวทางการดำเนินงานของ ทอท.
ความเสี่ยงด้านปฏิบัติการ (Operational Risk)
หมายถึง ความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติงานของแต่ละกระบวนการ หรือกิจกรรมภายใน ทอท. รวมทั้งความเสี่ยงที่เกี่ยวข้องกับการบริหารจัดการข้อมูลด้านเทคโนโลยีสารสนเทศ และข้อมูลความรู้ต่าง ๆ เพื่อให้การปฏิบัติงานบรรลุเป้าหมายที่กำหนด ซึ่งความเสี่ยงด้านปฏิบัติการจะส่งผลกระทบต่อประสิทธิภาพของกระบวนการทำงานของ ทอท. และส่งผลต่อการบรรลุวัตถุประสงค์หลักของ ทอท.
ความเสี่ยงด้านการเงิน (Financial Risk)
หมายถึง ความเสี่ยงที่เกี่ยวข้องกับการบริหารจัดการทางการเงิน โดยอาจเป็นความเสี่ยงที่เกิดจากปัจจัยภายใน เช่น การบริหารจัดการด้านสภาพคล่อง ด้านเงินลงทุน หรือจากปัจจัยภายนอก เช่น การเปลี่ยนแปลงของอัตราดอกเบี้ย อัตราแลกเปลี่ยน อันส่งผลกระทบต่อการดำรงอยู่ หรือประสิทธิภาพของกระบวนการทำงานของ ทอท. รวมถึงส่งผลให้เกิดความเสียหายต่อ ทอท.
ความเสี่ยงด้านการปฎิบัติตามกฎระเบียบข้อบังคับ (Compliance Risk)
หมายถึง ความเสี่ยงที่เกี่ยวข้องกับการปฏิบัติตามกฎระเบียบ ข้อบังคับของหน่วยงานกำกับดูแล เช่น ตลาดหลักทรัพย์แห่งประเทศไทย สำนักงานการบินพลเรือนแห่งประเทศไทย เป็นต้น รวมทั้งความเสี่ยงที่เกี่ยวกับกฎหมายต่าง ๆ ที่เกี่ยวข้องกับการดำเนินธุรกิจของ ทอท. ซึ่งเมื่อมีความเสี่ยงด้านนี้เกิดขึ้น จะส่งผลกระทบต่อชื่อเสียงและภาพลักษณ์ของ ทอท.
ความเสี่ยงด้านทุนมนุษย์ (Human Capital Risk)
ช่องว่างระหว่างเป้าหมายขององค์กรกับทักษะในการปฏิบัติงานของพนักงาน อาจส่งผลกระทบให้องค์กรไม่สามารถบรรลุเป้าหมายได้ซึ่งอาจจะเกิดจากความตั้งใจหรือมิได้ตั้งใจของพนักงาน เช่น ประสิทธิภาพในการปฏิบัติงานอาจไม่เป็นไปตามที่กำหนด เป็นต้น
ความเสี่ยงด้านความปลอดภัย (Safety Risk)
คือ ความเสี่ยงที่อาจเกิดขึ้นจากมนุษย์หรือกระบวนการโดยมิได้ตั้งใจ จนก่อให้เกิดการได้รับอันตรายต่อบุคคลหรือความเสียหายต่อทรัพย์สิน
ความเสี่ยงด้านการรักษาความปลอดภัย (Security Risk)
การกระทำอันเป็นการแทรกแซงโดยมิชอบด้วยกฎหมาย หรือการฝ่าฝืนการปฏิบัติด้วยความตั้งใจ ซึ่งสามารถนำไปสู่อันตรายต่อบุคคลความเสียหายต่อทรัพย์สิน หรือการต้องหยุดให้บริการเป็นระยะยาว และชื่อเสียงเสียหายหมดสิ้น
ความเสี่ยงด้านอันตรายและสิ่งแวดล้อม (Hazard and Environmental Risk)
ความเสี่ยงที่เกิดจากภัยอันตรายหรือภัยธรรมชาติต่าง ๆ ที่อาจส่งผลกระทบต่อการดำเนินงาน เช่น การเกิดอุทกภัย โรคระบาด รวมไปถึงภัยจากผู้ก่อการร้ายต่าง ๆ เป็นต้น
ความเสี่ยงด้านการทุจริต (Fraud Risk)
หมายถึง ความเสี่ยงที่เกิดจากการกระทำโดยเจตนา เพื่อแสวงหาผลประโยชน์ที่มีควรได้โดยชอบด้วยกฏหมายสำหรับตนเอง หรือผู้อื่น เช่น คนในครอบครัว (ญาติมิตร) เป็นต้น
ความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk)
หมายถึง ความเสี่ยงที่เกิดจากเหตุการณ์ที่มีโอกาสเกิดขึ้นได้และทำให้เกิดความเสียหายต่อสินทรัพย์สารสนเทศของ ทอท. เช่น ไวรัสทำให้ข้อมูลเสียหาย ระบบคอมพิวเตอร์แม่ข่ายหลักเสียหายข้อมูลสำคัญถูกเข้าถึงโดยไม่ได้รับอนุญาต เป็นต้น
ความเสี่ยงด้านภาพลักษณ์ (Reputation Risk)
หมายถึง ความเสี่ยงที่เกิดจากเหตุการณ์ที่มีโอกาสเกิดขึ้นและทำให้เกิดภาพลักษณ์ในเชิงลบต่อ ทอท. ส่งผลให้เป็นที่วิพากษ์วิจารณ์ในสังคมจนนำไปสู่การสูญเสียชื่อเสียง
ความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk)
คือ ความเสี่ยงที่จะเกิดใหม่เป็นความสูญเสียที่เกิดขึ้นจากความเสี่ยงที่ยังไม่ได้ปรากฏขึ้นในปัจจุบันแต่อาจจะเกิดขึ้นได้ในอนาคต เนื่องจากสภาวะแวดล้อมที่เปลี่ยนไป ความเสี่ยงประเภทนี้เป็นความเสี่ยงที่เกิดขึ้นอย่างช้า ๆ ยากที่จะระบุได้ มีความถี่ของการเกิดน้อยแต่เมื่อเกิดขึ้นแล้วจะส่งผลกระทบอย่างรุนแรง ความเสี่ยงที่จะเกิดใหม่นี้มักจะถูกระบุขึ้นมาจากการคาดการณ์บนพื้นฐานของการศึกษาจากหลักฐานที่มีปรากฏอยู่ ความเสี่ยงที่จะเกิดใหม่นี้ มักจะเป็นผลมาจากการเปลี่ยนแปลงทางการเมือง กฎหมาย สังคม เทคโนโลยี สภาพแวดล้อมทางกายภาพ หรือการเปลี่ยนแปลงตามธรรมชาติ ในบางครั้งผลกระทบของความเสี่ยงประเภทนี้อาจจะไม่สามารถระบุได้ในปัจจุบัน ตัวอย่าง เช่น ปัญหาที่เกิดขึ้นจากนาโนเทคโนโลยี หรือการเปลี่ยนแปลงของสภาวะภูมิอากาศ เป็นต้น
Emerging Risks
1. สังคม (Society) ความเสี่ยงในมิติของสังคมประกอบด้วย
- การเพิ่มขึ้นของค่าครองชีพ ซึ่งเป็นผลมาจากมาตรการป้องกันการแพร่ระบาดของโรคโควิด-19 เช่น การงดกิจกรรมทางเศรษฐกิจที่มีการรวมกลุ่มและการสัมผัส การจํากัดการเดินทาง เป็นต้น รวมถึงปัญหาความขัดแย้งทางภูมิรัฐศาสตร์ ที่ทําให้ประเทศที่มีข้อพิพาท ต้องอยู่ในภาวะสงคราม รวมถึงไปประเทศใกล้เคียงและประเทศคู่ค้าที่ได้รับผลกระทบจากการไม่สามารถส่งมอบสินค้าและบริการ หรือการเพิ่มขึ้นของต้นทุนในการดําเนินกิจกรรมทางเศรษฐกิจที่เกิดขึ้น
- ความแตกแยกทางสังคม เป็นผลมาจากความเหลื่อมลํ้าทางสังคม ช่องว่างระหว่างวัยและความหลากหลายทางเพศ เป็นต้น ซึ่งประเด็นข้างต้นอาจส่งผลกระทบให้แนวโน้มความต้องการการเดินทางทางอากาศลดลง ในขณะที่มิติของความแตกแยกทางสังคม ทั้งด้านความหลากหลายทางเพศ และด้านช่องว่างระหว่างวัย อาจส่งผลกระทบต่อการปรับปรุงโครงสร้างพื้นฐานและสิ่งอํานวยความสะดวกภายในท่าอากาศยาน ซึ่งประเด็นดังกล่าวเป็น สิ่งที่ ทอท.ตระหนักและได้กําหนดแนวทางในการดําเนินงานที่สอดคล้องกับบริบททางสังคมเรียบร้อยแล้ว
2. ความเสียหายในห่วงโซ่อุปทาน (Supply Chain Damage)
- ที่ผ่านมาห่วงโซ่อุปทานที่สำคัญของ ทอท. ทั้งสายการบิน คู่ค้า ผู้ประกอบการต่าง ๆ และผู้ให้บริการภายในท่าอากาศยานของ ทอท. ต่างได้รับผลกระทบจากการแพร่ระบาดของ Covid-19 และเมื่อสถานการณ์การแพร่ระบาดของ Covid-19 เริ่มคลี่คลายและภาครัฐเริ่มผ่อนคลายมาตรการการควบคุมการแพร่ระบาดฯ ส่งผลให้การจราจรทางอากาศเริ่มฟื้นตัว ในขณะที่ผู้ให้บริการและผู้ประกอบการยังไม่สามารถกลับมาดำเนินธุรกิจได้อย่างเต็มขีดความสามารถเดิม ดังนั้นความสามารถในการฟื้นคืนศักยภาพของห่วงโซ่อุปทานด้านการบินของ ทอท. ที่ไม่สอดคล้องกับแนวโน้มของความต้องการการเดินทางอากาศ อาจส่งผลกระทบต่อคุณภาพการให้บริการของ ทอท. ในภาพรวม โดยเฉพาะบริการภาคพื้น ซึ่งเป็นภารกิจที่สำคัญต่อการให้บริการของท่าอากาศยานในภาพรวม โดยเฉพาะบริการภาคพื้น ซึ่งเป็นภารกิจที่สำคัญต่อการให้บริการของท่าอากาศยาน ซึ่งยังคงมีข้อจำกัดจากจำนวนผู้ประกอบการที่ให้บริการและความสามารถในการให้บริการส่งผลกระทบต่อการจัดสรรตารางการบินของ ทอท. และการสร้างรายได้ของ ทอท. ในอนาคต ทอท. จึงได้มีนโยบายให้บริษัทรวมทุนของ ทอท. เป็นผู้ดำเนินการในกิจกรรมต่าง ๆ ที่จำเป็นเพื่อให้ ทอท. ยังคงสามารถให้บริการและดำเนินธุรกิจได้อย่างต่อเนื่อง นอกจากนี้ ทอท. ยังใช้ระบบบริหารความเสี่ยงเป็นเครื่องมือในการกำกับดูแลกิจกรรมที่ส่งผลต่อการดำเนินงานของ ทอท. เพื่อให้มั่นใจได้ว่า ทอท. จะสามารถบริหารจัดการความเสี่ยงในการดำเนินธุรกิจได้อย่างต่อเนื่อง และสามารถเติบโตได้อย่างยั่งยืนต่อไป
การส่งเสริมวัฒนธรรมความเสี่ยง
ทอท. มีการดําเนินการตามกระบวนการสร้างบรรยากาศและวัฒนธรรมที่สนับสนุนการบริหารความเสี่ยง โดยมีการกําหนดการประชุมคณะทํางานบริหารความเสี่ยงของ ทอท. และคณะกรรมการบริหารความเสี่ยงเป็นประจําทุกเดือน เพื่อใช้เป็นเวทีในการทบทวนสถานการณ์ความเสี่ยงที่จะช่วยให้ทุกคนเข้าใจถึงความสัมพันธ์และผลกระทบของความเสี่ยงก่อนตัดสินใจ รวมถึงกระตุ้นให้เกิดการรับรู้ถึงความเสี่ยงในองค์กร ตัวอย่างกิจกรรมการส่งเสริมวัฒนธรรมการบริหารความเสี่ยง ได้แก่ AOT e-Learning Platform การประชุมร่วมระหว่างสายงานมาตรฐานท่าอากาศยานและการบิน และการสำรวจความตระหนักด้านความเสี่ยง
การสำรวจความตระหนักด้านความเสี่ยง
ทอท. ดำเนินการสำรวจความตระหนักด้านความเสี่ยงของพนักงาน ทอท. เป็นประจำทุกปี โดยมีจุดประสงค์เพื่อการประเมินประสิทธิภาพการรับรู้ข้อมูลด้านการบริหารความเสี่ยงผ่านช่องทางสื่อประชาสัมพันธ์ภายในและภายนอกองค์กร และเพื่อนำผลการสำรวจมาพัฒนาช่องทางการสื่อสารในการสร้างการรับรู้และความตระหนักด้านการบริหารความเสี่ยงให้เกิดประสิทธิภาพ
ผลการสำรวจในปี 2565 พบว่า ระดับความเข้าใจและระดับความสามารถในนำสิ่งที่ได้เรียนรู้เกี่ยวกับการบริหารความเสี่ยงของ ทอท. ไปปฏิบัติ อยู่ในระดับมากและมากที่สุดตามลำดับ ซึ่งสูงขึ้นจากปี 2564 โดย AOT Staff Application เป็นช่องทางที่พนักงานกว่าร้อยละ 75 ได้รับข่าวสารเกี่ยวกับการบริหารจัดการความเสี่ยง และในปี 2566 ทอท. ดำเนินการเผยแพร่ สื่อสาร และสร้างความตระหนักด้านการบริหารความเสี่ยงผ่านช่องทางต่าง ๆ เช่น เว็บไซต์หลักของ ทอท. อินทราเน็ต อีเมล เป็นต้น รวมถึงการจัดแสดงการแจ้งเตือนความเสี่ยงผ่าน Digital Platform
การฝึกอบรมด้านความเสี่ยง
การอบรม Risk Agents
จากผลการสำรวจความตระหนักด้านความเสี่ยง ทอท. จัดการฝึกอบรมที่สอดแทรกองค์ความรู้ด้านการบริหารจัดการความเสี่ยงให้กับบุคลากรของ ทอท. โดยในปีงบประมาณ 2565 ทอท. ผ่าน 2 การฝึกอบรม ได้แก่ การจัดการท่าอากาศยานระดับกลาง (Intermediate Airport Management) และ การจัดการท่าอากาศยาน (Airport Management) ซึ่งอ้างอิงเนื้อหาจากคู่มือการบริหารความเสี่ยงประจำปีงบประมาณ 2566
ในปี 2566 ทอท. ดำเนินโครงการฝึกอบรมด้านความเสี่ยงเรื่อง “การบริหารความเสี่ยงและการควบคุมภายใน ประจำปีงบประมาณ 2566” เพื่อตอบสนองยุทธ์ศาสตร์ที่ 4 Intelligent Services กลยุทธ์ที่ 4.2 การพัฒนาประสิทธิภาพการบริหารจัดการองค์กร ของแผนวิสาหกิจของ ทอท. ปีงบประมาณ 2566 - 2570 ฉบับทบทวน (ประจำปีงบประมาณ 2566) และการอบรม Risk Agents ทั้งนี้ ผลของการฝึกอบรมและการเผยแพร่ข้อมูลด้านความเสี่ยง พบว่า พนักงานมีความรู้ความเข้าใจด้านความเสี่ยงโดยเฉลี่ยมากขึ้นจากปีก่อนหน้าอยู่ที่ร้อยละ 18
การตรวจประเมินผลการดำเนินงานด้านการบริหารจัดการความเสี่ยง
ทอท. เข้ารับการตรวจประเมินผลการดำเนินงานด้านการบริหารจัดการความเสี่ยงตามระบบประเมินรัฐวิสาหกิจ (State Enterprise Assessment Model : SE-AM) เพื่อการพัฒนาการดำเนินงานด้านการบริหารจัดการความเสี่ยงของ ทอท. อย่างต่อเนื่อง โดยผลการประเมินจะเป็นตัวบ่งชี้ถึงจุดแข็งและจุดอ่อนของการดำเนินงาน ใน 5 มิติ ได้แก่
- ธรรมาภิบาลและวัฒนธรรมองค์กร
- ข้อมูลสารสนเทศ การสื่อสาร และการรายงานผล
- การทบทวนการบริหารความเสี่ยง
- กระบวนการบริหารความเสี่ยง
- การกำหนดยุทธศาสตร์และวัตถุประสงค์
โครงการบริหารความเสี่ยง Triple A (3A: Alert Analysis Agility)
โครงการบริหารความเสี่ยง Triple A เกิดจากความร่วมมือระหว่างฝ่ายความเสี่ยงและฝ่ายบุคคลของ ทอท. ในการสร้างพฤติกรรมที่พึงประสงค์ด้านการบริหารความเสี่ยงให้กับผู้บริหารและพนักงาน เพื่อสร้างวัฒนธรรมความเสี่ยงขององค์กรที่เข้มแข็ง โดยโครงการบริหารความเสี่ยง Triple A ถือเป็นผลผลิตจากการสำรวจความตระหนักด้านความเสี่ยงและการตรวจประเมินผลการดำเนินงานด้านการบริหารจัดการความเสี่ยง
Last Updated: April, 12 2024