Risk and Crisis Management
Risk Management Structure
The Board of Directors has established a Risk Management Working Group to define an enterprise-wide risk management policy. This group oversees the implementation of risk management systems and processes to appropriately mitigate impacts on the company's business. Their responsibilities include analyzing, reviewing, and ensuring necessary measures are in place to manage material risks. Ms. Pondkarn Rattanakamolporn, Chief Operating Officer, serves as the Chair of the Risk Management Working Group. The group comprises representatives from various departments, including those directly responsible for specific risk areas, as illustrated in the organizational chart below:
To ensure effective and efficient risk management, we arrange for external auditors to review our internal control and risk management systems.
Ms. Monthira Prapachan, Internal Audit Manager, serves as the coordinator for this process.
Risk Assessment
We recognize and prioritize the importance of risk management to align with good corporate governance principles. We use the COSO framework as a tool for managing risks at both the organizational and activity levels. This helps us effectively and efficiently achieve our objectives and goals.
Risk Assessment Process
Risk Assessment and Prioritizing
The Risk Management Working Group, composed of the Chair and representatives from various departments, including Risk Owners, jointly assesses and prioritizes risks. They consider two key components: Likelihood and Impact, as illustrated in the following diagram:
Risk Appetite and Risk Tolerance
We've categorized and identified acceptable risk levels based on severity criteria in our Risk Matrix. Our goal is to ensure that high and very high risks (scores of 8 or more) are considered outside the acceptable deviation range. These require a distinct risk management plan and additional, appropriate measures to bring them down to an acceptable level. This process is subject to the consideration of each risk management unit under the oversight and decision of the Company's Executive Board.
Key Risk Indicators (KRIs)
We establish risk indicators for each identified risk issue to monitor risks and provide early warnings. This enables risk management units to anticipate future risks and implement preventive measures before events occur. Relevant departments are responsible for regularly reporting on indicator monitoring. In case of data anomalies, immediate mitigation measures must be taken.
Performance Reporting and Risk Management Report Preparation
The primary departments responsible for risk management are tasked with reporting risk management results to the Risk Management Working Group at least twice a year. They also prepare an annual risk management report to present operational performance to the Audit Committee and the Executive Board.
Risks to the Company's Business Operations
We analyze risks that could significantly impact our business operations and have established approaches for risk prevention and mitigation, summarized as follows:
- ความเสี่ยงจากรายได้ หรือยอดขายไม่เป็นไปตามเป้าหมาย เนื่องจาก
- การเปลี่ยนแปลงของเทคโนโลยี
ธุรกิจจำหน่ายและให้บริการระบบบริหารจัดการเอกสาร ให้เช่า จำหน่าย และให้บริการด้านเครื่องถ่ายเอกสาร เครื่องพิมพ์ รวมทั้งสินค้าเทคโนโลยี ซึ่งเป็นธุรกิจที่ได้รับผลกระทบจากการแข่งขัน และการเปลี่ยนแปลงของเทคโนโลยี รวมทั้งแนวโน้มด้านการอนุรักษ์สภาพแวดล้อม ทำให้ผู้ประกอบการลดการใช้กระดาษลง (Paperless Office)
บริษัท จึงดำเนินการศึกษาและติดตามข้อมูลของเทคโนโลยีที่เปลี่ยนแปลง รวมถึงจัดหาผลิตภัณฑ์ใหม่ ๆ เพื่อให้มีความสามารถในการแข่งขันอย่างต่อเนื่อง ซึ่งในปัจจุบันบริษัทได้ขยายธุรกิจจำหน่ายและให้บริการระบบบริหารจัดการเอกสาร ในรูปแบบดิจิทัลอย่างครบวงจร เพื่อรองรับการเปลี่ยนแปลงเทคโนโลยีและพฤติกรรมของกลุ่มผู้บริโภค จนเป็นธุรกิจหลักของบริษัท
นอกจากนี้บริษัท ดำเนินการจัดอบรมบุคลากรให้มีความรู้ และเข้าใจการเปลี่ยนแปลงของเทคโนโลยีอย่างสม่ำเสมอ รวมทั้งการได้รับข้อมูลและความรู้เกี่ยวกับเทคโนโลยีและผลิตภัณฑ์ใหม่ ๆ จากผู้จำหน่ายสินค้าและเจ้าของตราสินค้าที่บริษัทและบริษัทย่อยได้รับการแต่งตั้งเป็นตัวแทนจำหน่าย
- การสูญเสียการเป็นตัวแทนจำหน่ายตราสินค้าที่สำคัญ
จากการที่บริษัท ได้รับการแต่งตั้งเป็นตัวแทนจำหน่ายของตราสินค้าต่าง ๆ ในด้านซอฟต์แวร์ระบบบริหารจัดการเอกสาร เครื่องถ่ายเอกสาร เครื่องพิมพ์และธุรกิจให้บริการรับเหมาวิศวกรรมด้านเทคโนโลยีสำหรับโครงการของหน่วยงานราชการต่าง ๆ เช่น เครื่องฉายดาว เป็นต้น ดังนั้นหากสูญเสียตราสินค้าดังกล่าวไปอาจส่งผลกระทบต่อยอดขายของบริษัทและบริษัทย่อยได้
บริษัทได้สร้างความสัมพันธ์ที่ดีกับเจ้าของผลิตภัณฑ์และดำเนินการติดต่อกับเจ้าของผลิตภัณฑ์เพื่อให้ได้รับสิทธิในการจำหน่ายสินค้าดังกล่าวพร้อมกับศึกษาเทคโนโลยีและค้นหาผลิตภัณฑ์ใหม่ ๆ เพื่อเพิ่มทางเลือกมากขึ้นและลดการพี่งพาจากตัวแทนจำหน่ายเพียงรายเดียว
ความเสี่ยงจาการบริหารโครงการไม่เป็นไปตามเป้าหมาย
เนื่องจากบริษัท มีการให้บริการในลักษณะโครงการ เช่น โครงการระบบบริหารจัดการเอกสาร หรือ งานก่อสร้างโครงสร้างอาคาร หรือโครงการรับเหมาวิศวกรรมด้านเทคโนโลยีสำหรับโครงการของหน่วยงานราชการ เป็นต้น ซึ่งอาจเกิดความเสี่ยงจากการส่งมอบงานล่าช้าที่กำหนดไว้ตามสัญญา เนื่องจากผู้จำหน่ายอุปกรณ์ส่งมอบล่าช้า หรือผู้รับจ้าง (Outsource) ไม่สามารถดำเนินงานให้แล้วเสร็จตามเวลาที่กำหนด หรือส่งมอบผลงานที่ไม่มีคุณภาพตามที่ข้อตกลง ซึ่งจะมีผลกระทบต่อรายได้จากการดำเนินโครงการ และอาจถูกปรับจากผู้ว่าจ้าง
บริษัท มีมาตรการป้องกันความเสี่ยงดังกล่าว โดยมีการประสานงาน และติดตามความคืบหน้ากับผู้จำหน่ายอุปกรณ์ และการดำเนินงานของผู้รับจ้าง (Outsource) รวมทั้งผู้ว่าจ้างอย่างใกล้ชิด ทำให้สามารถทราบถึงปัญหาที่อาจจะเกิดขึ้น และสามารถแก้ไขได้อย่างทันท่วงที นอกจากนี้ได้มีการจัดทำสัญญาโดยมีเงื่อนไขกำหนดค่าปรับหากจัดส่งอุปกรณ์ หรือการส่งมอบงานล่าช้า หรือคุณภาพของงานไม่เป็นไปตามที่กำหนด และดำเนินการจัดทำทะเบียนรายชื่อผู้รับจ้าง และผู้จัดจำหน่ายสินค้าสำหรับงานประเภทต่าง ๆ พร้อมกับกำหนดให้มีการประเมินเป็นประจำทุกปี
Risk of Personal Data Breach
จากการประกาศใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล เพื่อไม่ให้เกิดผลกระทบจากการละเมิดข้อมูลส่วนบุคคล เพราะอาจจะเกิดความเสียหายทางด้านภาพลักษณ์ และชื่อเสียงรวมทั้งการขาดความเชื่อมั่นจากนักลงทุน คู่ค้า คู่สัญญา ซึ่งจะทำให้เกิดผลกระทบรุนแรงต่อบริษัทได้
ดังนั้น บริษัทจึงได้ประกาศนโยบายความเป็นส่วนตัว (Privacy Policy) และนโยบายการดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล (Privacy Notice) ขึ้น พร้อมกับสื่อสาร และสร้างความเข้าใจให้กับพนักงานทุกคนให้รับทราบ และนำไปปฏิบัติ นอกจากนี้ได้ดำเนินการบันทึกกิจกรรมดำเนินงานของบริษัท (ROPA) อย่างครบถ้วน และแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) เพื่อควบคุม ดูแล ตรวจสอบ จัดการ การดำเนินการเกี่ยวกับข้อมูลส่วนบุคคล รวมทั้งจัดอบรม และทดสอบความรู้ความเข้าใจกับผู้บริหารและพนักงานเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลที่มีการแก้ไขเพิ่มเติม
Risks Due to Foreign Currency Exchange Rate Variability
เนื่องจากบริษัท มีการจัดซื้อและนำเข้าสินค้าและอุปกรณ์ต่าง ๆ บางส่วนจากต่างประเทศโดยตรง เช่น การจัดซื้อระบบบริหารจัดการเอกสาร หมึก อะไหล่ อุปกรณ์ไดรฟ์ทรู หรือเครื่องฉายดาวเพื่อใช้ในโครงการท้องฟ้าจำลอง ซึ่งการเสนอราคาและการชำระเงินจะใช้สกุลเงินดอลลาร์สหรัฐฯ เป็นหลักดังนั้นบริษัท จึงอาจได้รับผลกระทบจากความผันผวนของอัตราแลกเปลี่ยน ซึ่งจะส่งผลกระทบถึงต้นทุนสินค้าและกำไรขั้นต้นของบริษัท
บริษัท ได้ทำการขอเปิดวงเงินซื้อขายเงินตราต่างประเทศล่วงหน้ากับสถาบันการเงิน เพื่อเป็นการประกันความเสี่ยงที่อาจจะเกิดขึ้นจากความผันผวนของอัตราแลกเปลี่ยนเงินตราต่างประเทศ ทำให้สามารถป้องกัน และลดผลกระทบจากความเสี่ยงดังกล่าว
- Risk of Non-Compliance with Corporate Governance Principles
เป็นความเสี่ยงที่เกิดจากการไม่ปฏิบัติตามหลักธรรมาภิบาลที่บริษัทได้มีประกาศไว้ เช่น ผู้บริหารหรือพนักงานของบริษัทไม่ยึดถือและปฏิบัติตามข้อกฎหมายที่เกี่ยวข้อง หรือกฎระเบียบข้อบังคับของบริษัท หรือข้อบังคับจากผู้ควบคุมอื่นที่เกี่ยวข้อง เช่น การที่ผู้บริหารหรือพนักงานจงใจหรือละเลยไม่ปฏิบัติตามนโยบายหรือระเบียบของบริษัทอันทำให้บริษัทเสียหาย หรือเปิดเผยข้อมูลที่เป็นความลับของบริษัทให้ผู้อื่นรู้อาจทำให้บริษัทและบุคคลภายนอกเสียหายได้ หรือผู้บริหารหรือพนักงานอาจจงใจหรือละเลยไม่ปฏิบัติตามกฎหมายหรือกฎข้อบังคับที่เกี่ยวข้องกับการดำเนินธุรกิจของบริษัทและกฎระเบียบเกี่ยวกับหลักทรัพย์อาจทำให้บริษัทเสื่อมเสียชื่อเสียงและภาพลักษณ์ หรือการสื่อสารข้อมูลที่เกี่ยวข้องด้านกฎหมายภายในบริษัทยังไม่ทั่วถึงหรือยังไม่ครอบคลุมพนักงานทั้งหมดของบริษัทอาจทำให้พนักงานในส่วนต่าง ๆ ขาดความตระหนักในการปฏิบัติงาน
บริษัทได้ประกาศใช้ Code of Ethics / Conduct เพื่อให้พนักงานทุกคนถือปฏิบัติและได้สื่อสารเน้นย้ำให้พนักงานเกิดความตระหนักและให้ลงนามรับทราบ Code of Ethics / Conduct เป็นประจำทุกปี รวมทั้งมีช่องทางพิเศษให้ผู้มีส่วนได้เสีย/พนักงานแจ้งเบาะแสเกี่ยวกับการฉ้อฉลหรือทุจริตโดยให้ฝ่ายตรวจสอบภายในตรวจสอบการปฏิบัติตาม Code of Conduct ของผู้บริหารและพนักงานตามแบบประเมินความเพียงพอของระบบการควบคุมภายใน (COSO)
- ความเสี่ยงจากการเปลี่ยนแปลงสภาพภูมิอากาศ (Climate Change) และจากข้อกำหนดด้านสิ่งแวดล้อมที่เพิ่มขึ้นการเปลี่ยนแปลงสภาพภูมิอากาศ ส่งผลกระทบต่อการดำเนินธุรกิจในทุกภาคอุตสาหกรรม และเป็นปัญหาที่องค์กรต่าง ๆ ระดับสากลให้ความสำคัญการเปลี่ยนแปลงทางสภาพภูมิอากาศอาจนำไปสู่การเพิ่มขึ้นของภัยพิบัติทางธรรมชาติ เช่น พายุ น้ำท่วม หรือไฟไหม้ ซึ่งอาจส่งผลต่อการทำงานและการจัดเก็บข้อมูลของบริษัท ตลอดจนการหยุดชะงักของธุรกิจที่ส่งผลต่อการดําเนินงานของบริษัทและการส่งมอบบริการ และจากการประกาศเป้าหมายที่จะเป็นกลางทางคาร์บอน (Carbon Neutral) ภายในปี ค.ศ.2050 และเป้าหมายการปล่อยก๊าซเรือนกระจกสุทธิเป็นศูนย์ (Net Zero Emission) ภายในปี ค.ศ.2065 ของประเทศไทย ที่ได้ประกาศไว้ในการประชุมรัฐภาคีกรอบอนุสัญญาสหประชาชาติว่าด้วยการเปลี่ยนแปลงสภาพภูมิอากาศ สมัยที่ 26 (UNFCCC COP 26) เมื่อปลายปี 2564 ประเทศไทยกำลังอยู่ในขั้นตอนการร่างยุทธศาสตร์ระยะยาวในการพัฒนาแบบปล่อยก๊าซเรือนกระจกต่ำ จัดทำโดยสำนักงานนโยบายและแผนทรัพยากรธรรมชาติและสิ่งแวดล้อม (สผ.) ซึ่งเมื่อมีการบังคับใช้ อาจนำมาซึ่งความเปลี่ยนแปลงที่ส่งผลกระทบต่อการดำเนินงานของภาคธุรกิจ
บริษัทได้มีการวิเคราะห์และประเมินผลกระทบที่อาจเกิดขึ้นจากการเปลี่ยนแปลงสภาพภูมิอากาศ โดยพิจารณาถึงความเสี่ยงด้านกายภาพ (Physical Risk) และความเสี่ยงในช่วงเปลี่ยนผ่าน (Transition Risk) พร้อมกับกำหนดมาตรการควบคุมความเสี่ยง เพื่อบรรเทาผลกระทบที่จะส่งผลต่อรายได้ ต้นทุนการดำเนินงาน และความยั่งยืนในการดำเนินธุรกิจของบริษัทในอนาคต
นอกจากนี้ บริษัทได้จัดทำรายงานการปล่อยและดูดกลับก๊าซเรือนกระจกของบริษัทระดับองค์กรขึ้น (Carbon Footprint for Organization) เพื่อให้ได้ทราบว่ากิจกรรมต่าง ๆ ที่บริษัทได้ดำเนินการไปนั้นส่งผลกระทบต่อสิ่งแวดล้อมมากน้อยเพียงใด เพื่อที่บริษัทจะได้หาแนวทางและมาตรการที่เหมาะสมมาดำเนินการเพื่อลดผลกระทบต่อสิ่งแวดล้อมอย่างเหมาะสมต่อไป
Risks from Increased Cyber Threats (Widespread Cybercrime)
As digital data and online transactions expand, the risk of cyber threats intensifies, encompassing personal data breaches, phishing, and unauthorized access. These threats can disrupt the company's business through operational interruptions from IT infrastructure damage, loss of critical data affecting customer trust and long-term business stability, and potential penalties under the Personal Data Protection Act for customer data leaks.
ทั้งนี้บริษัทมีแนวทางการป้องกันและลดความเสี่ยงดังกล่าว ด้วยมาตรการจัดการความปลอดภัยด้านเทคโนโลยี (Cyber Security) ด้วยการทำการอัพเดทระบบให้มีการกรอง/ป้องกัน ที่ไม่พึงประสงค์ (Spam) บนระบบสารสนเทศ โดยให้ผู้เชี่ยวชาญทางเจ้าของผลิตภัณฑ์เข้ามาวิเคราะห์ ให้มีการใช้งานระบบตรวจจับการบุกรุก (Intrusion Detection System: IDS) ที่เหมาะสม และระบบตรวจจับการบุกรุกแบบฉบับกว้าง (Intrusion Prevention System: IPS) เพื่อตรวจสอบและป้องกันการบุกรุก และได้วางแนวทางที่จะนำเทคโนโลยีทางด้าน DLP เข้ามาใช้เพื่อจุดประสงค์ในด้านการป้องกันข้อมูลรั่วไหล อีกทั้งมีการดําเนินการตรวจสอบความปลอดภัยทางไซเบอร์และการทดสอบระบบเป็นประจําเพื่อระบุและแก้ไขช่องโหว่ในเชิงรุก ตลอดจนถึงการฝึกอบรมพนักงานให้ตระหนักรู้เท่าทันภัยคุกคามทางไซเบอร์ และเข้าใจความเสี่ยงที่อาจเกิดขึ้นได้จากการใช้งานระบบสารสนเทศแบบต่าง ๆ
บริษัทให้ความสำคัญกับแผนการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan: BCP) โดยได้จัดทำแผนที่ครอบคลุมและเป็นระบบ เพื่อให้สามารถรับมือกับสถานการณ์วิกฤติหรือเหตุฉุกเฉินได้อย่างมีประสิทธิภาพ ไม่ว่าจะเกิดจากภัยธรรมชาติ อุบัติเหตุ หรือการกระทำที่มุ่งร้ายต่อบริษัท ซึ่งแผนดังกล่าวมีเป้าหมายเพื่อลดผลกระทบจากความไม่แน่นอนที่อาจส่งผลให้การดำเนินงานหยุดชะงัก หรือไม่สามารถให้บริการได้อย่างต่อเนื่อง โดยมุ่งเน้นการเตรียมความพร้อมในการตอบสนองต่อเหตุการณ์ที่ไม่คาดคิด และทำให้กระบวนการทางธุรกิจที่สำคัญ (Critical Business Process) สามารถกลับมาดำเนินการได้อย่างปกติ หรือตามระดับการให้บริการที่กำหนดไว้ได้อย่างมีประสิทธิภาพ โดยการดำเนินการดังกล่าวไม่เพียงช่วยลดความสูญเสียที่อาจเกิดขึ้นต่อธุรกิจ แต่ยังเสริมสร้างความเชื่อมั่นให้กับผู้มีส่วนได้เสีย ตอกย้ำถึงความมุ่งมั่นของบริษัทในการรักษาความมั่นคงและความต่อเนื่องของการดำเนินงานภายใต้ทุกสถานการณ์
บริษัทมีการทบทวนการจัดทำแผนการจัดการภาวะวิกฤติอย่างสม่ำเสมอ ตลอดจนการซ้อมแผนการจัดการดังกล่าวทุกสถานที่ตั้งทั้งสี่สาขา เพื่อให้พนักงานในพื้นที่มีความเตรียมพร้อมรับมืออยู่เสมอ รวมถึงมีสถานที่สำรองในการปฏิบัติงาน และจัดเก็บข้อมูลสำรอง นอกจากนี้ บริษัทยังได้จัดทำซอฟต์แวร์ระบบการจัดการภายใน (Work Flow System) เพิ่มเติม เพื่อที่จะทำให้พนักงานของบริษัททุกคนนั้นสามารถทำงานได้ทุกสถานที่ ที่ใดก็ได้ที่สามารถเชื่อมระบบอินเทอร์เน็ตได้เพื่อให้การดำเนินงานของบริษัทยังคงดำเนินการต่อไปได้เป็นปกติแม้จะมีเหตุการณ์ดังกล่าวเกิดขึ้น
บริษัทมีการส่งเสริมวัฒนธรรมด้านการบริหารความเสี่ยงอย่างเป็นระบบ โดยเน้นให้เกิดการมีส่วนร่วมจากทุกภาคส่วนภายในองค์กร เพื่อเสริมสร้างประสิทธิภาพในการจัดการความเสี่ยง พร้อมรับมือกับการเปลี่ยนแปลงที่อาจเกิดขึ้นได้อย่างเหมาะสมและยั่งยืน
บริษัทได้มีการนำหัวข้อการบริหารความเสี่ยง (Risk Management) มาเป็นหนึ่งในดัชนีชี้วัดความสำเร็จ (KPIs) ของผู้บริหารและเจ้าของความเสี่ยง (Risk Owner) โดยให้มีความสอดคล้องกับความเสี่ยงขององค์กร และตัวชี้วัดด้านความเสี่ยง ซึ่งช่วยส่งเสริมให้ทั้งผู้บริหารและพนักงานมีความตระหนักรู้ถึงบทบาทและความรับผิดชอบในการระบุ วิเคราะห์ และกำหนดมาตรการป้องกันความเสี่ยงอย่างรอบด้าน และมีการติดตามและประเมินผลการดำเนินงานด้านการบริหารความเสี่ยงอย่างต่อเนื่อง เพื่อลดโอกาสเกิดความเสี่ยงในทุกมิติ
นอกจากนี้ บริษัทได้จัดให้มีการอบรมเชิงปฏิบัติการในหัวข้อ “การบริหารความเสี่ยงระดับองค์กร (Enterprise Risk Management)” และให้บุคลากรในองค์กรที่มีหน้าที่เกี่ยวข้องทุกฝ่ายมีส่วนร่วมในการวิเคราะห์ ตรวจสอบ ประเมินความเสี่ยงและผลกระทบที่อาจเกิดขึ้นกับองค์กรอยู่เสมอเป็นการสร้างความตระหนักรู้ด้านความเสี่ยงให้แก่บุคลากรในทุกระดับ ถือเป็นการสร้างรากฐานที่แข็งแกร่งด้านการบริหารความเสี่ยง ซึ่งจะช่วยให้การดำเนินงานด้านความเสี่ยงเป็นไปอย่างมีประสิทธิภาพมากยิ่งขึ้น ทั้งนี้ได้จัดทำแผนความเสี่ยงครอบคลุมทุกหน่วยงานในองค์กรและได้รับความร่วมมือจากทุกฝ่ายถือเป็นการส่งเสริมวัฒนธรรมการบริหารความเสี่ยงขององค์กร
Risk Management Plan Development Guide
Business Continuity Plan (BCP)
