การบริหารจัดการความเสี่ยง
การบริหารจัดการความเสี่ยงถือเป็นส่วนสำคัญในการดำเนินธุรกิจของ บริษัทฯ โดยบริษัทฯ มีนโยบายการบริหารความเสี่ยงที่อาจมีผลกระทบ ต่อกลุ่มบริษัท ทั้งที่เป็นปัจจัยภายในและภายนอก ให้อยู่ในระดับที่เหมาะสม และยอมรับได้ และไม่ส่งผลกระทบต่อหลักการกำกับดูแลกิจการที่ดี
วัฒนธรรมองค์กรด้านความเสี่ยง (Risk Culture)
กลุ่มบริษัท ตระหนักดีว่า การบริหารจัดการความเสี่ยงอย่างมีประสิทธิภาพ จำเป็นต้องได้รับความร่วมมือจากทุกคนในองค์กร ดังนั้นเพื่อสร้างความตระหนักรู้ และปลูกฝังวัฒนธรรมให้เกิดขึ้นทั่วทั้งองค์กร กลุ่มบริษัท จึงได้ดำเนินการตามแนวปฏิบัติที่เป็นมาตรฐานสากล คือ Committee of the Sponsoring Organisations of the Treadway Commission (COSO) ในแต่ละธุรกิจอย่างเต็มรูปแบบ
นอกจากนี้ กลุ่มบริษัทยังสนับสนุนให้พนักงานเกิดความเข้าใจถึงกระบวนการวิเคราะห์ความเสี่ยง และตระหนักถึงความเสี่ยงที่อาจเกิดขึ้นในหน่วยงานของตน โดยกลุ่มบริษัท ได้เชิญบริษัทที่ปรึกษาที่มีความเชี่ยวชาญด้านการบริหารความเสี่ยงเข้ามาจัดอบรมให้กับพนักงานของบริษัท รวมทั้งส่งเสริมให้พนักงาน ผู้บริหาร และกรรมการ เข้ารับการอบรมต่างๆ อย่างสม่ำเสมอ เพื่อให้เกิดความเข้าใจความเสี่ยงและแนวทางการบริหารจัดการความเสี่ยงใหม่ๆ ที่เกิดขึ้น หรือที่อาจจะเกิดขึ้นในอนาคต (Emerging Risk)
ประเภทของความเสี่ยงแบ่งออกเป็น 5 ประเภท คือ ความเสี่ยงด้านกลยุทธ์ ความเสี่ยงด้านการปฏิบัติการ ความเสี่ยงด้านการเงิน ความเสี่ยงด้าน การปฏิบัติตามกฎหมาย ระเบียบ และข้อบังคับ และความเสี่ยงด้านการ ทุจริต ทั้งนี้ การบริหารความเสี่ยงเป็นส่วนหนึ่งของการจัดทำแผนธุรกิจ (Business Plan) ประจำปี เพื่อให้การกำหนดแนวทางการจัดการ ความเสี่ยงนั้น สอดคล้องกับวัตถุประสงค์ กลยุทธ์ ทิศทางและเป้าหมาย การดำเนินธุรกิจของกลุ่มบริษัท
บริษัทฯ กำหนดให้ผู้บริหารและพนักงานทุกคนในกลุ่มบริษัทเป็นเจ้าของ ความเสี่ยง มีหน้าที่ในการประเมินความเสี่ยงของหน่วยงานของตน รวมถึง ประสิทธิภาพของมาตรการควบคุมความเสี่ยงที่มีอยู่ และนำเสนอแผน และวิธีการในการลดความเสี่ยงดังกล่าว โดยจัดตั้ง คณะทำงานการบริหารความเสี่ยง ซึ่งประกอบด้วยตัวแทนจากหน่วยธุรกิจในกลุ่มบริษัท ทำหน้าที่ รวบรวมความเสี่ยงของแต่ละหน่วยงานและประเมินความเสี่ยงของกลุ่ม บริษัท รวมถึงสนับสนุนการดำเนินการตามกรอบการบริหารความเสี่ยง และรายงานต่อคณะกรรมการบริหารทุกไตรมาส และต่อคณะกรรมการ บริษัทเป็นประจำทุกปี โดย กรอบการบริหารความเสี่ยง ประกอบด้วย กระบวนการ 5 ขั้นตอน ได้แก่ การกำหนดความเสี่ยง การประเมิน ความเสี่ยง การรายงานความเสี่ยง การควบคุมความเสี่ยง และการติดตาม ความเสี่ยง โดย คณะกรรมการบริหาร จะเป็นศูนย์กลางการบริหาร ความเสี่ยงของกลุ่มบริษัท ซึ่งมีบทบาทในการติดตามและควบคุม ความเสี่ยงหลักและปัจจัยต่าง ๆ ที่อาจจะส่งผลกระทบอย่างมีนัยสำคัญ ต่อกลุ่มบริษัท คณะกรรมการบริษัทจะเป็นผู้ดูแลและรับผิดชอบความเสี่ยง จากระดับบนลงล่าง โดยมีบทบาทหน้าที่ในการ 1) กำหนดนโยบาย และกรอบการบริหารความเสี่ยง 2) ประเมินความเหมาะสมของนโยบาย และกรอบการบริหารความเสี่ยงอย่างสม่ำเสมอ และ 3) ดูแลให้มีการนำ นโยบายการบริหารความเสี่ยงองค์กร และการควบคุมภายในไปปฏิบัติจริง และเพื่อให้สามารถบรรลุวัตถุประสงค์ ในการบริหารความเสี่ยง คณะกรรมการตรวจสอบจึงมีบทบาทหน้าที่ในการประเมินความพอเพียง ของนโยบายการบริหารความเสี่ยงองค์กร และให้คำแนะนำต่อ คณะกรรมการบริษัทและฝ่ายบริหาร นอกจากนี้ สำนักตรวจสอบภายใน จะทำหน้าที่ในการตรวจสอบกระบวนการบริหารความเสี่ยง และประเมิน ความมีประสิทธิภาพของระบบการควบคุมภายในอย่างเป็นอิสระ
รายละเอียดเพิ่มเติมสำหรับความเสี่ยงหลักของกลุ่มบริษัทบีทีเอส สามารถดูได้ใน รายงานประจำปี 2562/63 บทที่ 4.2 ภาพรวมการบริหารและจัดการปัจจัยความเสี่ยง
การดำเนินธุรกิจในยุคปัจจุบันต้องพร้อมรับมือกับความท้าทาย ทั้งการแข่งขันทางธุรกิจ การพัฒนานวัตกรรมเทคโนโลยี และการเปลี่ยนแปลงสภาวะแวดล้อมที่เปลี่ยนแปลงอย่างรวดเร็วและตลอดเวลา นอกเหนือจากการวางระบบการควบคุมภายในที่มีประสิทธิภาพและประสิทธิผลแล้ว บริษัทฯ ได้ให้ความสำคัญกับการบริหารความเสี่ยง เพื่อเป็นกลไกบริหารความไม่แน่นอนให้กลายเป็นโอกาสที่สร้างผลกระทบทางบวก และควบคุมไม่ให้เป็นความเสี่ยงที่ส่งผลกระทบด้านลบต่อเป้าหมายและวัตถุประสงค์ขององค์กร
นโยบายการบริหารความเสี่ยง
คณะกรรมการบริษัทฯ ได้กำหนดแนวทางไว้ในนโยบายการบริหารความเสี่ยง เพื่อประสิทธิภาพในการดำเนินงาน และใช้เป็นเครื่องมือทางการบริหารที่ช่วยเพิ่มโอกาสแห่งความสำเร็จตามวัตถุประสงค์ของบริษัทฯ สาระสำคัญของนโยบายดังกล่าว มีดังนี้
โครงสร้างการบริหารความเสี่ยง
ฝ่ายวางแผนและพัฒนาระบบงาน เป็นหน่วยงานหลักที่รับผิดชอบการบริหารความเสี่ยงองค์กร ภายใต้การกำกับดูแลของสายงานบริหารสินทรัพย์ และบริษัทฯ ยังจัดให้มีคณะทำงานบริหารความเสี่ยง ซึ่งประกอบด้วยผู้บริหารระดับสูงของทุกสายงาน รวมทั้งมีคณะกรรมการบริหารความเสี่ยงที่คณะกรรมการบริษัทฯ เป็นผู้แต่งตั้ง โดยผู้อำนวยการฝ่ายวางแผนและพัฒนาระบบงาน ทำหน้าที่เป็นเลขานุการคณะกรรมการบริหารความเสี่ยง
คณะกรรมการชุดย่อยที่คณะกรรมการบริษัทฯ แต่งตั้งขึ้นมีบทบาทในการพิจารณาปัจจัยเสี่ยงและมาตรการการจัดการความเสี่ยงในประเด็นต่างๆ ให้อยู่ในระดับที่ยอมรับได้ และรายงานผลให้คณะกรรมการบริษัทฯ ทราบ ดังนี้
- คณะกรรมการบริหารความเสี่ยง หน้าที่ในการพิจารณาการบริหารความเสี่ยงในภาพรวมขององค์กร โดยให้ความสำคัญกับสัญญาณเตือนภัยล่วงหน้า และรายการผิดปกติต่างๆ
- คณะกรรมการตรวจสอบพิจารณาการสอบทานกระบวนการบริหารความเสี่ยงขององค์กร
- คณะกรรมการกลั่นกรองการลงทุนพิจารณาปัจจัยเสี่ยงในมิติทางเศรษฐกิจ สิ่งแวดล้อม และสังคม และแนวทางการบริหารความเสี่ยงในการลงทุนโครงการต่างๆ
- คณะกรรมการธรรมาภิบาลและความรับผิดชอบต่อสังคม พิจารณาปัจจัยเสี่ยงด้านธรรมาภิบาลและชื่อเสียงภาพลักษณ์องค์กร
การบริหารความเสี่ยงระดับโครงการ
สายงานพัฒนาธุรกิจ สายงานพัฒนาโครงการ และสายงานบริหารสินทรัพย์ ทำหน้าที่ในการบริหารจัดการความเสี่ยงและผลกระทบที่อาจจะเกิดขั้นในโครงการต่างๆ โดยแต่ละสายงานจะรายงานความก้าวหน้าและผลการดำเนินงานต่อคณะกรรมการชุดย่อยที่เกี่ยวข้อง และคณะกรรมการบริษัทฯ เพื่อทราบและพิจารณา ตามลำดับ นอกจากนี้ ยังมีการกำกับดูแลผ่านผู้แทนบริษัทฯ ที่มอบหมายไปทำหน้าที่ผู้บริหารและ/หรือกรรมการ รวมทั้งผู้ถือหุ้นในบริษัทย่อย บริษัทในเครือและบริษัทร่วมทุนด้วย
แนวทางการบริหารความเสี่ยงองค์กร
บริษัทฯ ได้ใช้มาตรฐานของ The Committee of Sponsoring Organizations of The Treadway Commission-Enterprise Risk Management (COSO-ERM) เป็นกรอบการควบคุมภายในและบริหารความเสี่ยง ที่เชื่อมโยงกันกับแผนกลยุทธ์ทางธุรกิจและการดำเนินงานของบริษัท โดยสรุปขั้นตอนการบริหารความเสี่ยง ดังนี้
การบริหารความเสี่ยงระดับโครงการ
บริษัทฯ ได้วิเคราะห์ ประเมิน หาแนวทางป้องกันและบริหารจัดการเพื่อลดโอกาสเกิดหรือผลกระทบต่อธุรกิจของบริษัทฯ สรุปได้ดังนี้
- ปัจจัยความเสี่ยงหลักด้านแผนกลยุทธ์ (Strategic Risk)
แนวทางในการป้องกันและบริหารจัดการความเสี่ยงและลดผลกระทบ- ติดตามการเปลี่ยนแปลงในด้านต่างๆ อย่างสม่ำเสมอ พร้อมทั้งวิเคราะห์และประเมินผลกระทบที่อาจก่อให้เกิดความเสี่ยงต่อแผนกลยุทธ์ (Strategic Risk) ขององค์กร เช่น เป้าหมาย การดำเนินงาน การเงิน หรือสิ่งแวดล้อม เป็นต้น
- ประเมินปัจจัยภายใน (Internal Factors) ขององค์กรในการสนับสนุนการดำเนินงาน เช่น แผนการลงทุนการบริหารจัดการทรัพยากรบุคคล การสร้างความสัมพันธ์กับผู้มีส่วนได้เสีย เป็นต้น
- กำหนดให้มีการทบทวนแผนกลยุทธ์และเป้าหมายของบริษัทฯ เป็นประจำทุกปี
- ปัจจัยความเสี่ยงหลักด้านการเงิน (Financial Risk)
แนวทางในการป้องกันและบริหารจัดการความเสี่ยงและลดผลกระทบ- ติดตามผลการดำเนินงานและการประเมินความเสี่ยงด้านการบริหารจัดการโรงไฟฟ้า ประสิทธิภาพการเดินเครื่องการวางแผนบำรุงรักษาตามมาตรฐานที่กำหนด และความน่าเชื่อถือได้ของเครื่องจักร (Efficiency and Reliability) ตามสัญญาซื้อขายไฟฟ้า
- ให้ความสำคัญต่อความปลอดภัยของผู้ปฏิบัติงาน ผู้รับเหมา และสิ่งแวดล้อม ตามกฎระเบียบและกฎหมายที่เกี่ยวข้อง
- ติดตามและประเมินผลความสามารถในการสร้างรายได้ของโรงไฟฟ้าทั้งในด้านของประสิทธิภาพและความพร้อมจ่ายของโรงไฟฟ้าอย่างสม่ำเสมอ
- ติดตามคุณภาพงานบำรุงรักษาให้เป็นไปตามมาตรฐานตามแผนงานที่กำหนดอย่างใกล้ชิด
- พัฒนาระบบความปลอดภัยเพื่อป้องกันระบบเครือข่ายของบริษัทฯ ให้เข้มข้นและรัดกุมมากขึ้น เช่น การกำหนดสิทธิในการเข้าถึงอุปกรณ์ต่างๆ, การติดตั้ง Firewall, Web and Mail Filtering, ติดตั้งระบบป้องกันเครื่องคอมพิวเตอร์ (Server/Client) ได้แก่ Server Firewall, Logon Policy, Anti-Virus Program
- ปัจจัยความเสี่ยงหลักด้านการดำเนินการ (Operation Risk)
แนวทางในการป้องกันและบริหารจัดการความเสี่ยงและลดผลกระทบ- ติดตามผลการดำเนินงานและการประเมินความเสี่ยงด้านการบริหารจัดการโรงไฟฟ้า ประสิทธิภาพการเดินเครื่องการวางแผนบำรุงรักษาตามมาตรฐานที่กำหนด และความน่าเชื่อถือได้ของเครื่องจักร (Efficiency and Reliability) ตามสัญญาซื้อขายไฟฟ้า
- ให้ความสำคัญต่อความปลอดภัยของผู้ปฏิบัติงาน ผู้รับเหมา และสิ่งแวดล้อม ตามกฎระเบียบและกฎหมายที่เกี่ยวข้อง
- ติดตามและประเมินผลความสามารถในการสร้างรายได้ของโรงไฟฟ้าทั้งในด้านของประสิทธิภาพและความพร้อมจ่ายของโรงไฟฟ้าอย่างสม่ำเสมอ
- ติดตามคุณภาพงานบำรุงรักษาให้เป็นไปตามมาตรฐานตามแผนงานที่กำหนดอย่างใกล้ชิด
- พัฒนาระบบความปลอดภัยเพื่อป้องกันระบบเครือข่ายของบริษัทฯ ให้เข้มข้นและรัดกุมมากขึ้น เช่น การกำหนดสิทธิในการเข้าถึงอุปกรณ์ต่างๆ, การติดตั้ง Firewall, Web and Mail Filtering, ติดตั้งระบบป้องกันเครื่องคอมพิวเตอร์ (Server/Client) ได้แก่ Server Firewall, Logon Policy, Anti-Virus Program
- ปัจจัยความเสี่ยงหลักความเสี่ยงด้านการทุจริตคอร์รัปชั่น (Corruption Risk)
และความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ และข้อกฎหมายที่เกี่ยวข้อง (Compliance Risk)
แนวทางในการป้องกันและบริหารจัดการความเสี่ยงและลดผลกระทบ- คณะกรรมการบริษัทฯ ได้ประกาศนโยบายการต่อต้านการทุจริตและคอร์รัปชั่นของกลุ่มบริษัทฯ และระเบียบบริษัทฯว่าด้วยการต่อต้านการทุจริตและคอร์รัปชั่นไว้เป็นกรอบในการปฏิบัติของพนักงานทุกคน
- กำหนดให้มีการทดสอบความรู้ความเข้าใจของพนักงานเกี่ยวกับแนวทางการต่อต้านการทุจริตของบริษัทฯโดยให้เป็นส่วนหนึ่งในการประเมินผลการปฏิบัติงานรายบุคคล
- ออกระเบียบที่เกี่ยวข้องเพื่อใช้เป็นกรอบการปฏิบัติงานที่ชัดเจน และเป็นกลไกการตรวจสอบและป้องกันการทุจริตที่สอดคล้องกับหลักการการต่อต้านทุจริตของสถาบันส่งเสริมกรรมการบริษัทไทย โดยมีคณะกรรมการตรวจสอบ ทำหน้าที่กำกับดูแลและติดตามตรวจสอบการดำเนินงานในภาพรวม
- ศึกษาและติดตามการเปลี่ยนแปลงกฎหมาย ข้อบังคับ หลักเกณฑ์และระเบียบต่างๆ ของประเทศที่เป็นเป้าหมายการลงทุนอย่างลึกซึ้งและรอบด้าน รวมทั้งจัดหาที่ปรึกษาทางกฎหมายที่เชี่ยวชาญเฉพาะด้านเพื่อให้คำแนะนำ
- ศึกษาและสอบทานข้อมูลการลงทุนและความเสี่ยงในแต่ละประเทศจากแหล่งข้อมูลต่างๆ ที่เชื่อถือได้ พร้อมทั้งจัดหาที่ปรึกษากฎหมายที่มีประสบการณ์ในประเทศนั้นๆ เข้ามาร่วมทำงาน เพื่อให้การปฏิบัติตามกฎหมายถูกต้องและครบถ้วน
- แสวงหาพันธมิตรที่มีประสบการณ์และความรู้ความเชี่ยวชาญในธุรกิจของประเทศนั้นๆ ที่สนใจลงทุน
การบริหารความเสี่ยงใหม่
บริษัทฯ ได้ติดตามสภาพแวดล้อมทั้งภายในและภายนอก เพื่อประเมินปัจจัยเสี่ยงใหม่ๆ ที่ยังมีความไม่แน่นอนและอาจจะเกิดขึ้นและส่งผลกระทบต่อธุรกิจในอนาคต ทั้งนี้ ประเด็นการเปลี่ยนแปลงสภาพภูมิอากาศ และเทคโนโลยี ถือเป็นปัจจัยเสี่ยงใหม่ที่บริษัทฯ ให้ความสำคัญและแสวงหาแนวทางป้องกัน และปรับตัวรองรับความท้าทายใหม่ๆ ที่จะตามมา
- การเปลี่ยนแปลงสภาพภูมิอากาศ อันเป็นผลจากการใช้ทรัพยากรเพิ่มขึ้นในภาคการผลิต ธุรกิจ และครัวเรือนตามจำนวนประชากรที่มากขึ้น
ความเป็นไปได้ในการจัดการ/โอกาส- วิเคราะห์และประเมินความเสี่ยงและผลกระทบด้านสิ่งแวดล้อม รวมทั้งความเพียงพอของวัตถุดิบ คือ น้ำ และเชื้อเพลิง ตลอดอายุโครงการ
- ติดตามข้อมูลการศึกษาและวิจัยเกี่ยวกับการเปลี่ยนแปลงสภาพภูมิอากาศอย่างต่อเนื่อง เพื่อนำมาประกอบการวิเคราะห์ความเสี่ยงโครงการและการเลือกที่ตั้งโครงการ
- ใช้วิธีการโอนถ่ายความเสี่ยงด้วยการประกันภัยภัยธรรมชาติ เพื่อลดผลกระทบด้านเศรษฐกิจของบริษัทฯ ทั้งโรงไฟฟ้าที่ดำเนินการแล้วและโครงการใหม่ๆ
- ปรับสัดส่วนการลงทุนในพลังงานทดแทนในการผลิตไฟฟ้าเพิ่มขึ้น เพื่อลดผลกระทบด้านวัตถุดิบและลดการปล่อยก๊าซเรือนกระจก
- ติดตามและศึกษามาตรการทางกฎหมายเกี่ยวกับการบริหารจัดการก๊าซเรือนกระจกของประเทศเพื่อประเมินผลกระทบและวางแผนการจัดการก๊าซเรือนกระจกในการดำเนินธุรกิจของบริษัทฯ
- ความเสี่ยงด้านเทคโนโลยี อันเป็นผลพวงจากความก้าวหน้าในการพัฒนาเทคโนโลยีอย่างรวดเร็วโดยเฉพาะเทคโนโลยีเกี่ยวกับ Big Data ปัญญาประดิษฐ์ Quantum Computing รวมทั้งการเปลี่ยนผ่านสู่ยุคดิจิทัล
ความเป็นไปได้ในการจัดการ/โอกาส- วิเคราะห์โอกาสทางธุรกิจเพื่อสนับสนุนเป้าหมายการลงทุนธุรกิจใหม่หรือ New S Curveของบริษัทฯ
- แสวงหาพันธมิตรที่มีประสบการณ์ความเชี่ยวชาญด้านเทคโนโลยี เพื่อร่วมลงทุนในธุรกิจใหม่ๆ เพื่อให้บรรลุเป้าหมาย และลดความเสี่ยงรวมทั้งผลกระทบด้านเศรษฐกิจของบริษัทฯ
- ติดตามวิวัฒนาการและรูปแบบการโจมตีทางด้านไซเบอร์ที่เกิดขึ้น และประเมินประสิทธิภาพของระบบการป้องกันความปลอดภัยระบบเครือข่ายและระบบข้อมูลของบริษัทฯ รวมทั้งระบบการควบคุมการเดินเครื่องของโรงไฟฟ้า พร้อมทั้งจัดหาที่ปรึกษาที่เชี่ยวชาญด้านเทคโนโลยีเพื่อให้คำแนะนำและร่วมหาแนวทางการป้องกัน
- ติดตามการเปลี่ยนแปลงของกฎหมายและการบังคับใช้กฎหมายที่อาจจะนำมาซึ่งมาตรการเกี่ยวกับการปกป้องข้อมูลและการป้องกันความเป็นส่วนตัว
การจัดการภาวะวิกฤตและความต่อเนื่องทางธุรกิจ
บริษัทฯ จัดเตรียมความพร้อมของแผนการจัดการภาวะวิกฤต แผนการสื่อสารภาวะวิกฤต และแผนความต่อเนื่องทางธุรกิจ โดยมีการทบทวนและปรับปรุงอยู่เป็นประจำทุกปี พร้อมทั้งประกาศนโยบายการบริหารความต่อเนื่องทางธุรกิจ เพื่อเป็นแนวทางในการบริหารความต่อเนื่องทางธุรกิจ และการบริหารจัดการความเสี่ยงอันอาจเกิดจากการเปลี่ยนแปลงอย่างรวดเร็วและความไม่แน่นอนที่ไม่อาจคาดการณ์ได้ในอนาคตทั้งจากปัจจัยภายในและภายนอก
บริษัทฯ จัดเตรียมความพร้อมของแผนการจัดการภาวะวิกฤต แผนการสื่อสารภาวะวิกฤต และแผนความต่อเนื่องทางธุรกิจ โดยมีการทบทวนและปรับปรุงอยู่เป็นประจำทุกปี พร้อมทั้งประกาศนโยบายการบริหารความต่อเนื่องทางธุรกิจ เพื่อเป็นแนวทางในการบริหารความต่อเนื่องทางธุรกิจ และการบริหารจัดการความเสี่ยงอันอาจเกิดจากการเปลี่ยนแปลงอย่างรวดเร็วและความไม่แน่นอนที่ไม่อาจคาดการณ์ได้ในอนาคตทั้งจากปัจจัยภายในและภายนอก
นโยบายบริหารความต่อเนื่องทางธุรกิจ
การควบคุมภายใน
คณะกรรมการบริษัทฯ ได้แต่งตั้ง “คณะกรรมการตรวจสอบ” ทำหน้าที่ในการกำหนดเป้าหมายการกำกับ ติดตาม และตรวจสอบระบบการควบคุมภายในของบริษัทฯ โดยมี “ฝ่ายตรวจสอบภายใน” เป็นผู้รับผิดชอบดำเนินการ
ทั้งนี้ บริษัทฯ ได้ประยุกต์ใช้มาตรฐานของ The Committee of Sponsoring Organizations of The Treadway Commission-Enterprise Risk Management (COSO-ERM) ตามกรอบงานการควบคุมภายในและการบริหารความเสี่ยง ซึ่งสัมพันธ์กับการดำเนินธุรกิจและกระบวนการบริหารงานของบริษัทฯ มาเป็นแนวปฏิบัติในการติดตามตรวจสอบภายในองค์กร 8 ประเด็น ได้แก่ สภาพแวดล้อมภายในองค์กร การกำหนดวัตถุประสงค์การปฏิบัติงาน การบ่งชี้เหตุการณ์และปัจจัยเสี่ยง การประเมินความเสี่ยง การตอบสนองความเสี่ยง กิจกรรมการควบคุม ข้อมูลและการติดต่อสื่อสาร และการติดตามผล
ฝ่ายตรวจสอบภายใน มีความเป็นอิสระ มีผู้อำนวยการฝ่ายตรวจสอบภายใน ปฏิบัติหน้าที่หัวหน้าหน่วยงานตรวจสอบภายใน และเป็นเลขานุการของคณะกรรมการตรวจสอบ โดยรายงานตรงต่อคณะกรรมการตรวจสอบเกี่ยวกับการตรวจสอบ และรายงานต่อกรรมการผู้จัดการใหญ่ในด้านงานบริหารหน่วยงาน ภายใต้คำสั่งบริษัทฯ เรื่อง หน้าที่ความรับผิดชอบของส่วนงาน และคำสั่งบริษัทฯ เรื่อง การตรวจสอบภายใน สำหรับภารกิจ ขอบเขต หน้าที่ความรับผิดชอบรวมถึงสิทธิในการปฏิบัติงานตรวจสอบของฝ่ายตรวจสอบภายในมีการกำหนดไว้อย่างชัดเจน นอกจากนี้ ยังมีหน้าที่รับผิดชอบในภาระหน้าที่ที่คณะกรรมการตรวจสอบได้รับมอบหมายจากคณะกรรมการบริษัทฯ ด้วย
ทั้งนี้ การแต่งตั้ง ถอดถอน โยกย้าย เลิกจ้าง รวมไปถึงการพิจารณาความเป็นอิสระของผู้ดำรงตำแหน่งผู้อำนวยการ ฝ่ายตรวจสอบภายใน ต้องได้รับอนุมัติจากคณะกรรมการตรวจสอบ