Risk and Crisis Management

การบริหารจัดการความเสี่ยงและภาวะวิกฤต

เป้าหมายปี 2572

บรรลุการปฏิบัติตามข้อกําหนดทางกฎหมาย หรือระเบียบข้อบังคับ(100%)


พนักงานและกรรมการที่ไม่เป็น ผู้บริหารซึ่งได้รับการฝึกอบรมด้านการจัดการความเสี่ยง (100%)

เป้าหมายปี 2567

บรรลุการปฏิบัติตามข้อกําหนดทางกฎหมาย หรือระเบียบข้อบังคับ(100%)


พนักงานและกรรมการที่ไม่เป็น ผู้บริหารซึ่งได้รับการฝึกอบรมด้านการจัดการความเสี่ยง (100%)

ผลการดำเนินงาน 2567

ปฏิบัติตามข้อกําหนดทางกฎหมาย หรือระเบียบข้อบังคับ (100%)


พนักงานและกรรมการที่ไม่เป็น ผู้บริหารซึ่งได้รับการฝึกอบรมด้านการจัดการความเสี่ยง (100%)

โอกาสและความท้าทาย

ในปัจจุบันที่สภาพแวดล้อมทางธุรกิจมีการเปลี่ยนแปลงอย่างรวดเร็ว ทำให้การดำเนินธุรกิจต้องเผชิญความไม่แน่นอนของปัจจัยด้านต่าง ๆ เช่น สังคม สิ่งแวดล้อม เศรษฐกิจ การเมือง และเทคโนโลยี ที่อาจสร้างผลกระทบอย่างมีนัยสำคัญ ซึ่งหากบริษัทไม่ให้ความสำคัญกับการบริหารความเสี่ยง อาจทำให้ไม่สามารถจัดการความเสี่ยงได้อย่างเหมาะสม ส่งผลให้เกิดความเสียหายต่อผลการดำเนินงานและชื่อเสียง ดังนั้น การบริหารจัดการความเสี่ยงและภาวะวิกฤตที่มีประสิทธิภาพและเป็นระบบจึงเป็นเรื่องจำเป็น อีกทั้งยังช่วยรักษาความต่อเนื่องในการดำเนินธุรกิจ รวมทั้งเพิ่มความเชื่อมั่นให้ผู้มีส่วนได้เสีย ส่งผลให้องค์กรเติบโตอย่างยั่งยืน

ความสำเร็จที่สำคัญ
  • การประเมินความเสี่ยงขององค์กรครอบคลุมประเด็นความเสี่ยงด้านสิ่งแวดล้อม สังคม และธรรมาภิบาล
  • การบริหารจัดการความเสี่ยงเป็นไปตามนโยบายและแนวทางการบริหารความเสี่ยงของกลุ่มธุรกิจทางการเงิน ธนาคารกรุงไทย และตามหลักเกณฑ์การกำกับดูแลกลุ่มธุรกิจทางการเงินของธนาคารแห่งประเทศไทย
  • กรรมการ ผู้บริหาร และพนักงาน ได้รับการอบรมเรื่องหลักการบริหารจัดการความเสี่ยงร้อยละ 100

เคทีซีมีการบริหารความเสี่ยงที่สอดคล้องตามข้อกำหนดของธนาคารแห่งประเทศไทย และแนวทางของ Committee of Sponsoring Organizations of the Treadway Commission (COSO) ที่เป็นกรอบโครงสร้างการบริหารความเสี่ยงองค์กร (Enterprise Risk Management) เพื่อบริหารความเสี่ยงขององค์กรอย่างเป็นระบบและมีประสิทธิภาพ นอกจากนี้ บริษัทมีการติดตามและประเมินผลการดำเนินงาน เพื่อระบุและจัดการความเสี่ยงที่เกิดขึ้นใหม่แบบเชิงรุก ตลอดจนมีการจัดหลักสูตรฝึกอบรมให้กับพนักงานทุกระดับ รวมถึงคณะกรรมการบริษัท เพื่อเพิ่มความตระหนักรู้และเสริมสร้างศักยภาพในการบริหารความเสี่ยง

นโยบายการบริหารความเสี่ยง
การกำกับดูแลความเสี่ยง
การบริหารความเสี่ยง
การจัดการภาวะวิกฤต
ความเสี่ยงที่เกิดขึ้นใหม่
การเสริมสร้างวัฒนธรรมองค์กรที่คำนึงถึงความเสี่ยง

นโยบายการบริหารความเสี่ยง

บริษัทให้ความสำคัญกับการบริหารจัดการความเสี่ยงอย่างมีประสิทธิภาพ โดยกำหนดนโยบายบริหารความเสี่ยงที่สอดคล้องกับแนวทางการกำกับดูแลกิจการที่ดี และครอบคลุมความเสี่ยงประเภทต่าง ๆ ที่สำคัญ ซึ่งนโยบายบริหารความเสี่ยงจะต้องได้รับการพิจารณาและเห็นชอบโดยคณะอนุกรรมการ Risk Management Committee ก่อนนำเสนอต่อคณะกรรมการบริษัทเพื่อพิจารณาอนุมัติเป็นประจำทุกปี และสื่อสารไปยังพนักงานทุกคนเพื่อถือปฏิบัติทั่วทั้งองค์กร โดยนโยบายบริหารความเสี่ยงครอบคลุมความเสี่ยงที่สำคัญ ดังนี้

ความเสี่ยงด้านกลยุทธ์
ความเสี่ยงด้านเครดิต
ความเสี่ยงด้านการเงิน
ความเสี่ยงด้านปฏิบัติการ
ความเสี่ยงด้านชื่อเสียง
ความเสี่ยงด้านเทคโนโลยี
สารสนเทศ
โปรดพิจารณารายละเอียดเพิ่มเติมได้ที่ แบบ 56-1 One Report
ประจำปี 2567 หัวข้อ “การบริหารจัดการความเสี่ยง”

การกำกับดูแลความเสี่ยง

การกำกับดูแลความเสี่ยง
คณะอนุกรรมการ Management Committee
  • กำหนด พิจารณา กลั่นกรอง เสนอแนะ ให้ความเห็น วางนโยบายและแนวทางปฏิบัติในด้านการเงินและบัญชี ด้านงบประมาณ ด้านการบริหารเงิน ด้านการตลาด ด้านผลประกอบการของบริษัท ด้านบริหารจัดการงานทรัพยากรบุคคล และด้านอื่น ๆ ที่มีผลต่อการดำเนินธุรกิจ
  • พิจารณาอนุมัติผลิตภัณฑ์ต่าง ๆ (ที่มีการพิจารณาความเสี่ยงรอบด้านแล้ว) ของบริษัทที่จะมีการนำเสนอออกสู่ตลาด รวมทั้งการวางกลยุทธ์
  • กำหนดทิศทางการทำการตลาดของบริษัททั้งด้าน Corporate Image และ Brand Positioning
  • แต่งตั้งคณะอนุกรรมการ คณะทำงานเพื่อศึกษาเรื่องต่าง ๆ ที่อาจมีผลกระทบต่อบริษัท และ/หรือ เพื่อดำเนินงานตามมติคณะอนุกรรมการ Management Committee
  • มีอำนาจหน้าที่ในการกำกับดูแลการดำเนินธุรกิจของบริษัทย่อย
  • งานอื่น ๆ ที่ได้รับนโยบายจากประธานเจ้าหน้าที่บริหาร และ/หรือ คณะกรรมการบริษัท
คณะอนุกรรมการ Risk Management Committee
  • กำหนดและพิจารณาเห็นชอบนโยบายบริหารความเสี่ยงในระดับองค์กรก่อนนำเสนอคณะกรรมการบริษัทเพื่อพิจารณาอนุมัติและประกาศใช้
  • ควบคุม ติดตามและประเมินผลการบริหารความเสี่ยงให้อยู่ในระดับความเสี่ยงที่ยอมรับได้ สอดคล้องกับแนวทางการบริหารความเสี่ยงของกลุ่มธุรกิจทางการเงินของธนาคารกรุงไทยและหลักเกณฑ์การกำกับดูแลกลุ่มธุรกิจทางการเงินของธนาคารแห่งประเทศไทย
  • กำหนดนโยบายสินเชื่อ การอนุมัติความเสี่ยงของผลิตภัณฑ์ก่อนออกสู่ตลาด
  • แต่งตั้งคณะบริหารจัดการภาวะวิกฤติ (Crisis Management Committee) เพื่อพิจารณากำหนดขอบเขตของแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan) ตัดสินใจประกาศใช้หรือยกเลิก และควบคุมดูแลการดำเนินการตามแผนดังกล่าว รวมถึงสื่อสารกับพนักงาน สื่อมวลชน และผู้มีส่วนเกี่ยวข้อง เมื่อเกิดเหตุวิกฤตที่ทำให้การดำเนินการหยุดชะงัก
คณะอนุกรรมการ Information Security Committee
  • กำกับดูแลและดำเนินการด้านความมั่นคงปลอดภัยสารสนเทศของบริษัท กำกับดูแลแผนกลยุทธ์และงบประมาณด้านเทคโนโลยีสารสนเทศ
  • กำหนดนโยบายด้านเทคโนโลยีสารสนเทศให้เป็นไปตามแนวทางที่เป็นมาตรฐาน และนำไปใช้ในองค์กรได้อย่างมีประสิทธิภาพ
  • กำกับดูแลการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ วางแผน และจัดการโครงการให้มีความโปร่งใสและเกิดประสิทธิผล
  • ปฏิบัติหน้าที่เป็นเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  • จัดการการให้บริการด้านเทคโนโลยีสารสนเทศ เช่น กำกับนโยบายการจัดการวางแผนปรับปรุงระบบให้ทันกาลอยู่เสมอ
  • ประเมินและปรับปรุงข้อตกลงการให้บริการ (Service Level Agreement: SLA) ระหว่างสายงานเทคโนโลยีสารสนเทศกับสายงานผู้ใช้บริการ
คณะอนุกรรมการ Market Conduct Committee
  • จัดทำและกำกับดูแลกรอบนโยบาย แผนกลยุทธ์ และแนวทางปฏิบัติ เพื่อให้มั่นใจว่ากระบวนการดำเนินงานสอดคล้องกับหลักเกณฑ์การให้บริการลูกค้าอย่างเป็นธรรม (Market Conduct) เพื่อการคุ้มครองผู้บริโภค

คณะอนุกรรมการต่าง ๆ รายงานต่อคณะกรรมการบริษัทตามรอบระยะเวลาที่กำหนด เพื่อนำเสนอผลการดำเนินการและรับฟังข้อเสนอแนะ นอกจากนี้เคทีซีนำแนวทางกำกับดูแลความเสี่ยง 3 ระดับ (Three Lines of Defense) มาปรับใช้กับโครงสร้างการบริหารจัดการความเสี่ยงในภาพรวม ดังนี้

1st Line of Defense
เจ้าของความเสี่ยง
หน่วยงานต่าง ๆ ที่เป็นเจ้าของความเสี่ยง รับผิดชอบในการควบคุม ดูแลความเสี่ยงภายในหน่วยงานให้อยู่ในระดับเหมาะสม
2nd Line of Defense
ฝ่ายบริหารความเสี่ยงองค์กร
ฝ่ายบริหารความเสี่ยงองค์กร ทำหน้าที่กำกับดูแลความเสี่ยงในภาพรวม วางกรอบการบริหารความเสี่ยงขององค์กร เพื่อให้สอดคล้องตามนโยบายการบริหารความเสี่ยง ติดตาม รวมทั้งรายงานต่อคณะอนุกรรมการ Risk Management Committee (RMC) และคณะกรรมการบริษัทตามกรอบระยะเวลาที่กำหนด 
สายงานกำกับกฎระเบียบและข้อบังคับ
 สายงานกำกับกฎระเบียบและข้อบังคับ รับผิดชอบการกำกับดูแล และสอบทานการปฏิบัติตามกฎเกณฑ์ ให้คำปรึกษา และสื่อสารกฎเกณฑ์ต่าง ๆ ของหน่วยงานกำกับดูแล
3nd Line of Defense
สายงานตรวจสอบภายใน
สายงานตรวจสอบภายในเป็นสายงานที่มีความเป็นอิสระ ทำหน้าที่ตรวจสอบการปฏิบัติงานของ 1st Line of Defense และ 2nd Line of Defense และประเมินประสิทธิภาพความเพียงพอของระบบการควบคุมภายใน ระบบการบริหารจัดการความเสี่ยง และระบบการกำกับดูแลกิจการ โดยสายงานตรวจสอบภายในจะนำผลการตรวจสอบดังกล่าวรายงานตรงต่อคณะกรรมการตรวจสอบ กำกับดูแลกิจการ ความรับผิดชอบต่อสังคมและสิ่งแวดล้อม อีกทั้งฝ่ายจัดการของบริษัทจะนำผลการตรวจสอบดังกล่าวไปพิจารณาดำเนินการปรับปรุงแก้ไขในเรื่องต่าง ๆ ที่เกี่ยวข้องเพื่อพัฒนางานให้มีคุณภาพ
 ด้านการตรวจสอบกระบวนการบริหารความเสี่ยง สายงานตรวจสอบภายใน ทำหน้าที่ตรวจสอบประสิทธิภาพและความเพียงพอของกระบวนการบริหารความเสี่ยงเป็นประจำทุกปี เพื่อให้มั่นใจว่าบริษัทมีการนำระบบการบริหารจัดการความเสี่ยงมาใช้อย่างเหมาะสม นอกจากนี้ ผู้ตรวจสอบภายนอกจะตรวจสอบการดำเนินการที่สอดคล้องกับมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2013 และระบบบริหารจัดการข้อมูลส่วนบุคคล ISO/IEC 27701:2019 รวมทั้งมาตรฐานความปลอดภัยในการรับชำระค่าสินค้าและบริการด้วยบัตรเครดิต (PCI DSS) ซึ่งครอบคลุมกระบวนการบริหารความเสี่ยงด้านต่าง ๆ เป็นประจำทุกปีเพื่อสนับสนุนให้องค์กรเข้าใจความเสี่ยงและการควบคุมกระบวนการอย่างเป็นระบบ

กระบวนการบริหารความเสี่ยง

การระบุความเสี่ยง
ดูเพิ่มเติม
การประเมินความเสี่ยง
ดูเพิ่มเติม
การดูแล ควบคุม
และจัดการความเสี่ยง
ดูเพิ่มเติม
การติดตาม
และรายงานความเสี่ยง
ดูเพิ่มเติม

บริษัทจัดทำการประเมินความเสี่ยงตนเองเป็นประจำทุก 6 เดือน ตามหลักเกณฑ์การกำกับดูแลกลุ่มธุรกิจทางการเงินของธนาคารแห่งประเทศไทย ซึ่งครอบคลุมประเด็นความเสี่ยงที่สำคัญ ดังนี้

การประเมินความเสี่ยงตนเอง

กระบวนการประเมินดังกล่าว ครอบคลุมการประเมินระดับความเสี่ยง คุณภาพการจัดการความเสี่ยง แนวโน้มความเสี่ยง พร้อมระบุแนวทางการจัดการหรือควบคุมความเสี่ยง ซึ่งผลการประเมินความเสี่ยงตนเองดังกล่าว ต้องผ่านการพิจารณาจากคณะอนุกรรมการ Risk Management Committee และนำส่งต่อไปยังธนาคารกรุงไทย เพื่อรายงานต่อคณะกรรมการกำกับดูแลความเสี่ยงของธนาคาร

การจัดการภาวะวิกฤต

การดำเนินธุรกิจของบริษัทต้องเผชิญกับความเสี่ยงที่สำคัญในหลาย ๆ ด้าน เพื่อรองรับเหตุการณ์และปัจจัยต่าง ๆ ที่อาจเกิดความเสี่ยง บริษัทมีแนวทางการจัดการภาวะวิกฤตในระดับองค์กร ดังนี้

  • บริษัทมีระบบการบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) และจัดทำแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (Business Continuity Plan: BCP) รวมถึงแผนรองรับเหตุการณ์ฉุกเฉินจากภัยพิบัติ หรือเหตุการณ์อื่น ๆ เช่น แผนรองรับเหตุการณ์อัคคีภัย แผนรองรับเหตุการณ์แผ่นดินไหว แผนรองรับกรณีเกิดอุทกภัย แผนรองรับการชุมนุม แผนรองรับการเกิดโรคระบาด ตลอดจนแนวทางการปฏิบัติในการเคลื่อนย้ายผู้ประสบภัยที่เป็นส่วนหนึ่งของแผน BCP จัดเตรียมศูนย์ปฏิบัติงานสำรอง (Alternate Site) และทรัพยากรที่เพียงพอเพื่อให้สามารถดำเนินกิจกรรมทางธุรกิจที่สำคัญได้อย่างต่อเนื่อง ในกรณีที่สถานที่ปฏิบัติงานหลักได้รับผลกระทบหรือไม่สามารถดำเนินการได้ นอกจากนี้ บริษัทยังได้จัดทำแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ (Disaster Recovery Plan: DRP) เพื่อรองรับเหตุการณ์สำคัญต่าง ๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยและความพร้อมใช้งานของระบบเทคโนโลยีสารสนเทศ โดยมีการทบทวนและทดสอบ DRP เป็นประจำทุกปี
  • บริษัททบทวนและทดสอบผังการติดต่อสื่อสาร (Communication Tree: Call Tree) และแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง แบบไม่แจ้งล่วงหน้า (Surprise Test) เป็นประจำทุกปี รวมทั้งเข้าร่วมสังเกตการณ์การทดสอบแผน BCP ของบริษัทผู้ให้บริการภายนอกที่รับให้บริการงานที่เกี่ยวข้องกับธุรกรรมหลักของบริษัท

ทั้งนี้ ในปี 2567 ผลการทดสอบดังกล่าวอยู่ภายใน recovery time objective ที่บริษัทกำหนด

ความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risk)

นอกเหนือจากการพิจารณาความเสี่ยงจากสภาพแวดล้อมทางธุรกิจปัจจุบันแล้ว เคทีซียังได้พิจารณาความเสี่ยงที่เกิดขึ้นใหม่ที่อาจส่งผลกระทบต่อการดำเนินธุรกิจของบริษัท

1. ความเสี่ยงด้านภูมิรัฐศาสตร์ (Geopolitical Risk)

คำอธิบาย

ความเสี่ยงด้านภูมิรัฐศาสตร์เกิดขึ้นจากความขัดแย้งระหว่างประเทศซึ่งเกี่ยวข้องกับการเมือง เขตแดนทางภูมิศาสตร์ และทรัพยากรทางเศรษฐกิจ โดยเหตุการณ์เหล่านี้อาจรุนแรงไปสู่การใช้ปฏิบัติการทางทหาร หรือสงครามการค้าในรูปแบบต่าง ๆ ซึ่งส่งผลกระทบเชิงลบต่อเศรษฐกิจทั้งในระดับภูมิภาคและระดับโลก

สถานการณ์ความขัดแยงที่ยังคงดำเนินอยู่ อาทิ สงครามระหว่างรัสเซียและยูเครน รวมถึงความตึงเครียดในภูมิภาคตะวันออกกลาง ยังคงกดดันภาวะเศรษฐกิจโลกอย่างต่อเนื่อง รวมทั้งการเปลี่ยนแปลงนโยบายเศรษฐกิจของประเทศมหาอำนาจยังส่งผลให้เกิดความไม่แน่นอนในระบบเศรษฐกิจในภาพรวมมากยิ่งขึ้น อีกทั้งความขัดแย้งทางการค้าระหว่างประเทศชั้นนำมีแนวโน้มที่จะทวีความรุนแรงในอนาคต ด้วยเหตุนี้ บริษัทจึงให้ความสำคัญและติดตามสถานการณ์เหล่านี้อย่างใกล้ชิด เพื่อประเมินผลกระทบและปรับกลยุทธ์ให้เหมาะสม

ผลกระทบ

ความขัดแย้งและการแข่งขันที่ทวีความรุนแรงขึ้นระหว่างประเทศมหาอำนาจ อาจส่งผลให้เกิดความผันผวนในปัจจัยทางเศรษฐกิจหลายด้าน อาทิ:

  • อัตราดอกเบี้ย อัตราแลกเปลี่ยน อัตราภาษี
  • ราคาสินค้าและบริการ
  • การเดินทาง และปริมาณการใช้จ่ายของนักท่องเที่ยวจากประเทศที่ได้รับผลกระทบ
  • กำลังซื้อ และความสามารถในการชำระหนี้ของลูกค้าจากค่าครองชีพที่เพิ่มขึ้น
  • เงื่อนไขทางการค้าเพิ่มเติมและข้อกำหนดในการดำเนินงานที่เพิ่มมากขึ้น

ปัจจัยเหล่านี้อาจส่งผลกระทบอย่างมีนัยสำคัญต่อแผนกลยุทธ์และผลประกอบการโดยรวมของบริษัท

แนวทางการจัดการ
การติดตามแนวโน้มและสถานการณ์ด้านเศรษฐกิจ
  • จัดสัมมนารายเดือนร่วมกับสถาบันวิจัยเพื่อการพัฒนาประเทศไทย (Thailand Development Research Institute: TDRI) เพื่ออัปเดตแนวโน้มเศรษฐกิจโลก ความเคลื่อนไหวในภูมิภาค และสถานการณ์เศรษฐกิจของประเทศไทย
  • ผู้บริหารระดับสูงเข้าร่วมรับฟังบทวิเคราะห์เชิงลึก พร้อมช่วงถาม-ตอบเกี่ยวกับผลกระทบต่อภาคการเงิน
  • จัดสัมมนาระดับองค์กรรายไตรมาส เพื่อถ่ายทอดและแปลงข้อมูลแนวโน้มเศรษฐกิจให้เชื่อมโยงกับผลกระทบทางธุรกิจ
  • จัดการประชุมเชิงปฏิบัติการรายแผนก เพื่อวิเคราะห์ผลกระทบต่อลูกค้า ปรับระดับความเสี่ยง และสำรวจโอกาสในการพัฒนาผลิตภัณฑ์ใหม่
  • ส่งรายงานสรุปภาวะเศรษฐกิจรายเดือน (Economic Dashboard) ให้แก่ผู้บริหาร พร้อมตัวชี้วัดสำคัญและบทเคราะห์ตลาด
  • นำข้อมูลเชิงลึกด้านเศรษฐกิจมาประยุกต์ใช้ในกระบวนการจัดทำแผนงานและการประเมินผลการดำเนินธุรกิจ
การประเมินความเสี่ยงและการวางแผน
  • จัดทำสถานการณ์จำลองและการทดสอบภาวะวิกฤต โดยอ้างอิงสมมติฐานและการคาดการณ์สภาวะเศรษฐกิจ
  • วิเคราะห์ปัจจัยเสี่ยงอย่างครอบคลุม รวมถึงความเสี่ยงด้านภูมิรัฐศาสตร์ เพื่อประเมินผลกระทบที่อาจเกิดขึ้นต่อการดำเนินธุรกิจ
  • พัฒนามาตรการช่วยเหลือลูกค้าตามความสามารถในการชำระหนี้
การกระจายความเสี่ยงเชิงกลยุทธ
  • พัฒนาโครงสร้างพื้นฐานเพื่อรองรับการเชื่อมต่อกับพันธมิตรทางการเงินระดับโลกที่หลากหลาย อาทิ Visa, Mastercard, JCB, UnionPay และ Alipay+
  • เพิ่มความหลากหลายของช่องทางการชำระเงินและอำนวยความสะดวกให้แก่ลูกค้าทุกกลุ่ม
  • ดำเนินกลยุทธ์ลดความเสี่ยงผ่านการกระจายพันธมิตรทางการค้า เพื่อป้องกันผลกระทบจากการพึ่งพาระบบเดียวหรือภูมิภาคใดภูมิภาคหนึ่งมากเกินไป

2. ความเสี่ยงจากการใช้งานปัญญาประดิษฐ์ (AI Risk)

คำอธิบาย

เคทีซีตระหนักถึงความสำคัญของการนำเทคโนโลยีปัญญาประดิษฐ์ (AI) มาใช้ในการดำเนินธุรกิจ เนื่องจาก AI มีความสามารถในการเรียนรู้และประมวลผลจากข้อมูลขนาดใหญ่ ซึ่งช่วยยกระดับประสิทธิภาพในการดำเนินงาน โดยปัจจุบันบริษัทได้นำ Generative AI มาสนับสนุนการปฏิบัติงานในหลากหลายด้าน อาทิ การวิเคราะห์ข้อมูล และการแนะนำแนวทางการแก้ไขปัญหาต่าง ๆ นอกจากนี้ บริษัทฯ ได้จัดทำแผนกลยุทธ์ด้านเทคโนโลยี เพื่อประยุกต์ใช้ AI ในการวิเคราะห์พฤติกรรมผู้บริโภค และเสริมสร้างประสิทธิภาพในการโต้ตอบกับผู้ใช้งาน เพื่อยกระดับประสบการณ์ของลูกค้า (Customer Experience) อย่างมีประสิทธิภาพ

อย่างไรก็ตาม บริษัทตระหนักถึงความเสี่ยงที่อาจเกิดขึ้นจากการใช้เทคโนโลยี AI ซึ่งรวมถึงความเสี่ยงด้านการละเมิดข้อมูลส่วนบุคคล ความเสี่ยงด้านจริยธรรม รวมถึงปัญหาอาชญากรรมทางไซเบอร์ ดังนั้น การพัฒนาและประยุกต์ใช้ AI จะต้องอยู่ภายใต้การควบคุมและธรรมาภิบาลที่เหมาะสม เพื่อให้มั่นใจว่าการใช้งาน AI เป็นไปอย่างเหมาะสม

ผลกระทบ

การขาดระบบธรรมาภิบาลและการควบคุมการใช้เทคโนโลยีปัญญาประดิษฐ์ (AI) ที่เหมาะสม อาจก่อให้เกิดความเสี่ยงในหลายด้าน อาทิ:

  • ความเปราะบางด้านความมั่นคงปลอดภัยทางไซเบอร์ และความเสี่ยงจากการรั่วไหลของข้อมูล
  • การเผยแพร่ข้อมูลที่มีความลับอันเป็นทรัพย์สินขององค์กร
  • การพึ่งพาข้อมูลที่สร้างขึ้นโดย AI ซึ่งอาจมีความคลาดเคลื่อน ล้าสมัย หรือมีอคติ
  • ความเสี่ยงที่เพิ่มขึ้นจากอาชญากรรมไซเบอร์ที่ใช้ AI เป็นเครื่องมือ เช่น การฟิชชิ่ง การปลอมแปลงภาพ/เสียง (deepfake) และการสวมรอย
  • ความเสียหายต่อทรัพย์สินของลูกค้าและภาพลักษณ์ขององค์กร
  • ความเสี่ยงในการฝ่าฝืนกฎระเบียบหรือข้อบังคับที่เกี่ยวข้อง
แนวทางการจัดการ
กรอบการกำกับดูแลและนโยบาย
  • บริษัทมีนโยบายด้านเทคโนโลยีสารสนเทศอย่างรอบด้าน โดยมีการทบทวนเป็นประจำทุกปี หรือเมื่อมีการเปลี่ยนแปลงสำคัญ ได้แก่
    • นโยบายเทคโนโลยีสารสนเทศ (Information Technology Policy)
    • นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy)
    • นโยบายการใช้เทคโนโลยีปัญญาประดิษฐ์ (AI Policy)
    • นโยบายการคุ้มครองข้อมูลส่วนบุคคล
มาตรฐานและการรับรองด้านความมั่นคงปลอดภัย
  • การดำเนินงานตามมาตรฐานความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ เช่น
    • มาตรฐานการติดตั้งระบบงาน ระบบเครือข่าย (System Configuration Standard)
    • มาตรฐานรหัสผ่านสำหรับการควบคุมการเข้าถึงระบบงาน (Password Control Standard)
    • มาตรฐานการเข้ารหัส (Cryptographic Standard)
  • ปฏิบัติตามมาตรฐานสากลที่ได้รับการรับรอง ได้แก่
    • ISO/IEC 27701:2019 (การจัดการข้อมูลส่วนบุคคล)
    • ISO/IEC 27001:2013 (ระบบบริหารจัดการความมั่นคงปลอดภัยของข้อมูล)
    • มาตรฐาน PCI-DSS (การรักษาความปลอดภัยของข้อมูลบัตรชำระเงิน)
การควบคุมและทดสอบระบบ
  • ใช้เทคโนโลยี AI จากผู้ให้บริการที่ได้รับการรับรอง และมีมาตรการความมั่นคงปลอดภัยที่เข้มงวด
  • ทดสอบการเจาะระบบและเครือข่าย (Penetration Testing) บนระบบที่เชื่อมต่อภายนอกเป็นประจำทุกปี
  • ประเมินช่องโหว่ (Vulnerability Assessment) ของระบบเครือข่ายภายในและภายนอก พร้อมดำเนินการแก้ไขทันทีในกรณีที่พบความเสี่ยงสูง
  • ทดสอบแผนฉุกเฉินด้านเทคโนโลยีสารสนเทศ (Disaster Recovery Plan – DRP) เป็นประจำทุกปี
  • จัดทำการซ้อมแผนตอบสนองเหตุการณ์ผิดปกติ (Incident Response Plan – IRP) เป็นประจำทุกปี
การติดตามและตรวจสอบการปฏิบัติงาน
  • สายงานกำกับกฎระเบียบและข้อบังคับ และสายงานตรวจสอบภายในดำเนินการตรวจสอบความสอดคล้องกับนโยบายอย่างสม่ำเสมอ
การอบรมและสร้างความตระหนักรู้
  • จัดฝึกอบรมประจำปีสำหรับผู้บริหาร พนักงาน และผู้ให้บริการภายนอก เพื่อสร้างความตระหนักรู้เกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ การคุ้มครองข้อมูลส่วนบุคคล ความปลอดภัยของข้อมูลบัตรชำระเงิน และความเสี่ยงด้านภัยคุกคามไซเบอร์
โปรดพิจารณารายละเอียดเพิ่มเติมเกี่ยวกับความเสี่ยงที่เกิดขึ้นใหม่ได้ที่ แบบ 56-1 One Report ประจำปี 2567 หัวข้อ “การบริหารจัดการความเสี่ยง”  

การเสริมสร้างวัฒนธรรมองค์กรที่คำนึงถึงความเสี่ยง

เคทีซีตระหนักถึงความสำคัญของการเสริมสร้างวัฒนธรรมองค์กรที่คำนึงถึงความเสี่ยงอย่างมีประสิทธิภาพ ซึ่งเป็นปัจจัยสำคัญต่อความสำเร็จของการบริหารความเสี่ยงขององค์กร โดยบริษัทมุ่งเน้นส่งเสริมความตระหนักด้านความเสี่ยงให้แก่พนักงานในทุกระดับ เพื่อเน้นย้ำว่าการบริหารความเสี่ยงเป็นความรับผิดชอบร่วมกันของทุกคนในองค์กร

การพิจารณาค่าตอบแทนทางการเงินที่เกี่ยวข้องกับความเสี่ยง

บริษัทมุ่งสร้างความตระหนักด้านความเสี่ยงให้กับผู้บริหาร และพนักงานทุกระดับและป้องกันความเสี่ยงที่อาจส่งผลกระทบอย่างมีนัยสำคัญ โดยกำหนดให้ดัชนีชี้วัดความเสี่ยง (KRI) เป็นส่วนหนึ่งในการประเมินผลการปฏิบัติงานประจำปีสำหรับผู้บริหารและพนักงานทุกคน เช่น การปฏิบัติตามหลักเกณฑ์การบริหารจัดการด้านการให้บริการแก่ลูกค้าอย่างเป็นธรรม (Market Conduct) และเหตุการณ์ละเมิดข้อมูลส่วนบุคคล นอกจากนี้ ในหน่วยงานที่มีความเสี่ยงเฉพาะที่เกี่ยวข้องกับการดำเนินธุรกิจ ตัวชี้วัดผลการดำเนินงานจะถูกกำหนดให้สัมพันธ์กับความเสี่ยงที่เกี่ยวข้องกับสายงานเจ้าของความเสี่ยง (Risk Owner) นั้น ๆ ซึ่งจะมีผลต่อการพิจารณาค่าตอบแทนทางการเงิน

การบริหารความเสี่ยงที่ครอบคลุมทั่วทั้งองค์กร

มีการประสานงานระหว่างสายงานเจ้าของความเสี่ยง (Risk Owner) และฝ่ายงานบริหารความเสี่ยง โดยกำหนดให้ทุกสายงานต้องมีผู้จัดการความเสี่ยง (Risk Manager) และเจ้าหน้าที่ประสานงานความเสี่ยงด้านปฏิบัติการ (Operational Risk Officer : ORO) เพื่อดำเนินงานบริหารความเสี่ยงด้านปฏิบัติการในหน่วยงานของตน โดย

  • กำหนดให้ทุกสายงานจัดทำการประเมินการควบคุมความเสี่ยงตนเอง (Risk Control Self-Assessment: RCSA) ซึ่งเป็นกระบวนการที่ให้ผู้บริหารและพนักงานทุกระดับ ระบุ ประเมิน และควบคุมความเสี่ยงในการทำงานของตนเอง โดยกำหนดให้หน่วยงานจัดทำ RCSA ปีละ 2 ครั้ง
  • กำหนดให้ทุกหน่วยงานต้องรายงานข้อมูลความเสียหายจากการปฏิบัติการ (Operational Loss Data) เป็นรายเดือน รวมถึงความเสียหายที่เกิดขึ้นจริง (Actual Loss) ความเสียหายที่อาจเกิดขึ้น (Potential Loss) และความเสียหายที่เกิดขึ้นแล้วหรืออาจเกิดขึ้นแต่บริษัทสามารถป้องกันความเสียหายไว้ได้ (Near Miss) โดยให้รายงานข้อมูลทุกประเภทและทุกมูลค่าความเสียหาย

การพัฒนาหรือออกผลิตภัณฑ์และ/หรือบริการทางการเงินของบริษัท กำหนดให้ต้องมีการปฏิบัติตามระเบียบปฏิบัติ เรื่องการออก/ เปลี่ยนแปลง/ ยกเลิก ผลิตภัณฑ์และ/หรือบริการทางการเงิน เพื่อประเมินความเสี่ยง ทั้งด้านกฎหมาย ความเสี่ยงโดยรวม และงบประมาณ เพื่อให้มั่นใจว่าผลิตภัณฑ์และ/หรือบริการที่ออกหรือเสนอขายนั้น มีการพิจารณาประเด็นความเสี่ยงรอบด้าน

หัวข้อ สำหรับ รูปแบบ
ความสำคัญของความเสี่ยงและการบริการความเสี่ยง (Risk Awareness) พนักงานทุกคน การเรียนรู้ด้วยตนเอง
การป้องกันการฟอกเงินและต่อต้านการสนับสนุนทางการเงินแก้การก่อการร้ายและการเผยแพร่ขยายอาวุธที่มีอานุภาพทำลายล้างสูง (AML/CFT&WMD) ประจำปี 2567 พนักงานทุกคน การเรียนรู้ด้วยตนเอง
ISO (ISO/IEC 27001:2013 and ISO/IEC 27701:2019) ประจำปี 2567 พนักงานทุกคน การเรียนรู้ด้วยตนเอง
การกำกับดูแลกิจการและการพัฒนาอย่างยั่งยืน ประจำปี 2567 พนักงานทุกคน การเรียนรู้ด้วยตนเอง
หลักเกณฑ์การให้สินเชื่ออย่างรับผิดชอบและเป็นธรรม (Responsible Lending) ประจำปี 2567 พนักงานทุกคน การเรียนรู้ด้วยตนเอง
Cybersecurity Awareness ประจำปี 2567 พนักงานทุกคน การเรียนรู้ด้วยตนเอง
RCSA (Risk Control Self-Assessment) และ PII Data List 2567 Operation Risk Oddicer (ORO) การบรรยาย Onsite
ทิศทางเศรษฐกิจโลกและเศรษฐกิจไทย : โอกาสและความท้าทายในปี 2568 พนักงานที่สนใจ การบรรยาย Onsite
หมายเหตุ: พนักงานทุกคน หมายถึง ผู้บริหารและพนักงาน

หลักสูตรเสริมสร้างความตระหนักด้านความเสี่ยง

ในปี 2567 บริษัทได้จัดทำหลักสูตรเกี่ยวกับการบริหารความเสี่ยงอย่างมีประสิทธิภาพผ่านการเรียนรู้แบบออนไลน์ ซึ่งพนักงานทุกคนรวมถึงผู้บริหารได้ผ่านการฝึกอบรมหลักสูตรนี้ และผ่านแบบทดสอบหลังการฝึกอบรมด้วยคะแนนร้อยละ 100 นอกจากนี้บริษัทยังได้มีการสื่อสารเนื้อหาการฝึกอบรมให้แก่คณะกรรมการบริษัท รวมถึงกรรมการที่ไม่เป็นผู้บริหารทราบอีกด้วย โดยหลักสูตรนี้แบ่งออกเป็น 4 ส่วน ดังนี้

หลักสูตรเสริมสร้างความตระหนักด้านความเสี่ยง

นวัตกรรมเพื่อเสริมสร้างวัฒนธรรมองค์กรที่คำนึงถึงความเสี่ยง

บริษัทได้ประยุกต์ใช้นวัตกรรมต่าง ๆ เพื่ออำนวยความสะดวกในการบริหารความเสี่ยงและการรายงานความเสี่ยงให้มีประสิทธิภาพมากขึ้น สอดคล้องกับค่านิยมหลักขององค์กร (Core Value) ซึ่งช่วยลดขั้นตอนการทำงาน ง่ายต่อการสืบค้นข้อมูล ลดปริมาณการใช้และการจัดเก็บเอกสารในรูปแบบกระดาษ (Hard Copy) รวมทั้งเป็นการส่งเสริมวัฒนธรรมความเสี่ยง ดังนี้ 

  • ใช้ระบบรายงานความเสียหายทางด้านปฏิบัติการ (Operational Loss Data Report) เพื่อลดขั้นตอนการรายงาน
  • ใช้ระบบการรายงานดัชนีชี้วัดความเสี่ยง (KRI) ด้านปฏิบัติการระดับองค์กร ผ่านระบบงาน SharePoint เพื่อลดขั้นตอนในการรายงาน สะดวกในการรวบรวมข้อมูล และมั่นใจได้ว่าการจัดเก็บข้อมูลมีความปลอดภัยและมีประสิทธิภาพ
  • จัดช่องทางออนไลน์ในการรับแจ้งกรณีเกิดเหตุการณ์ความเสี่ยงด้านต่าง ๆ เช่น กรณีมีข้อมูลส่วนบุคคลรั่วไหล การพบความบกพร่องของอุปกรณ์ในสถานประกอบการ เป็นต้น
  • ใช้ระบบ KTC e-Library เพื่อให้พนักงานสามารถหยิบยืมหนังสืออิเล็กทรอนิกส์ (e-Books) เพื่อส่งเสริมการเรียนรู้ต่าง ๆ รวมถึงหนังสือความรู้ด้านการบริหารความเสี่ยง
  • จัดทำหลักสูตรให้ความรู้เกี่ยวกับการบริหารความเสี่ยงในแพลตฟอร์ม e-Learning ของบริษัท ซึ่งพนักงานทุกคนต้องศึกษาและทำแบบทดสอบให้ผ่านเกณฑ์ที่กำหนด