DRAFT · ร่าง

Terms of Reference (ร่าง)

ขอบเขตงานจ้างพัฒนาแพลตฟอร์มบริหารความเสี่ยงองค์กร
พร้อมที่ปรึกษาด้านการบริหารความเสี่ยง

Enterprise Risk Management Platform Development & Advisory Services — Port Authority of Thailand (PAT)

ผู้ว่าจ้าง การท่าเรือแห่งประเทศไทย

ผู้รับจ้าง (เสนอ) The Innovation Alliance

มูลค่างาน 3,900,000 บาท (รวม VAT)

ระยะเวลา 12 เดือน

REF: TIA-TOR-PAT-2568-001

ผู้ว่าจ้าง · Procuring Entity

การท่าเรือแห่งประเทศไทย (Port Authority of Thailand — PAT)

444 ถนนท่าเรือ แขวงคลองเตย เขตคลองเตย กรุงเทพมหานคร 10110
Tax ID: 0994000160461 · โทร 0-2269-3000 · ฝ่ายบริหารความเสี่ยงองค์กร

ผู้รับจ้าง (ผู้เสนอราคา) · Bidder

บริษัท เดอะ อินโนเวชั่น อลิอันซ์ จำกัด (The Innovation Alliance Co., Ltd.)

1499/40 ถนนเคหะร่มเกล้า แขวงคลองสองต้นนุ่น เขตลาดกระบัง กรุงเทพมหานคร 10520
Tax ID: 0105568049644 · ทุนจดทะเบียน 1,000,000.00 บาท

ความเป็นมาและเหตุผลความจำเป็น

การท่าเรือแห่งประเทศไทย (กทท.) เป็นรัฐวิสาหกิจสังกัดกระทรวงคมนาคม มีภารกิจหลักในการบริหารจัดการท่าเรือเพื่อสนับสนุนการค้าระหว่างประเทศ การขนส่งทางน้ำ และโลจิสติกส์ของประเทศ ซึ่งดำเนินงานในสภาพแวดล้อมที่มีความเสี่ยงเชิงยุทธศาสตร์ การปฏิบัติการ การเงิน เทคโนโลยีสารสนเทศ ความปลอดภัย ภัยพิบัติ และการกำกับดูแลที่ซับซ้อนและทวีความรุนแรงขึ้น

ตามนโยบายของสำนักงานคณะกรรมการนโยบายรัฐวิสาหกิจ (สคร.) และหลักเกณฑ์ระบบประเมินผลรัฐวิสาหกิจ (Enablers) ที่ระบุให้รัฐวิสาหกิจต้องมีระบบบริหารความเสี่ยงที่สอดคล้องกับมาตรฐานสากล อาทิ COSO ERM 2017 และ ISO 31000:2018 ประกอบกับมติคณะกรรมการ กทท. ครั้งที่ X/2568 ที่ให้ยกระดับระบบ ERM ของ กทท. จากการบริหารด้วย Spreadsheet/Manual เป็นแพลตฟอร์มดิจิทัลกลาง เพื่อสนับสนุนการตัดสินใจของผู้บริหารและการรายงานต่อหน่วยงานกำกับ

กทท. จึงมีความประสงค์จะจัดจ้างที่ปรึกษาเพื่อ (1) พัฒนาและส่งมอบแพลตฟอร์มบริหารความเสี่ยงองค์กร (ERM Platform) และ (2) ให้คำปรึกษา/ทบทวน Risk Universe / KRIs / Risk Culture เพื่อให้สอดคล้องกับยุทธศาสตร์ใหม่ของ กทท. และข้อกำหนด สคร.

วัตถุประสงค์

เพื่อให้ กทท. มีแพลตฟอร์ม ERM กลางที่ใช้ร่วมกันทุกฝ่าย/สายงาน รองรับการบริหารความเสี่ยงทั้ง 5 ระดับ (Strategic / Operational / Financial / Compliance / Reputational)
เพื่อบูรณาการ Risk Register, Risk Heatmap, Key Risk Indicators (KRIs), Risk and Control Self-Assessment (RCSA), และ Action Plan Tracking ในระบบเดียว
เพื่อให้สามารถออกรายงานความเสี่ยงต่อ คณะอนุกรรมการบริหารความเสี่ยง คณะกรรมการ กทท. และ สคร. ได้อัตโนมัติและถูกต้องตามรูปแบบที่หน่วยงานกำกับกำหนด
เพื่อพัฒนาวัฒนธรรมความเสี่ยง (Risk Culture) ของบุคลากร กทท. ผ่านการฝึกอบรม Train-the-Trainer และ Coaching รายไตรมาส
เพื่อทบทวน Risk Universe ขององค์กรให้สอดคล้องกับยุทธศาสตร์ปี 2568–2572 และมาตรฐาน COSO ERM 2017

ขอบเขตการดำเนินงาน

3.1 พัฒนาแพลตฟอร์ม ERM (Software Development) Web-Based

Risk Register & Assessment Module — บันทึก/แก้ไข/อนุมัติความเสี่ยงระดับองค์กร/ฝ่าย/หน่วย พร้อม Risk Score (Likelihood × Impact)
Risk Heatmap & Dashboard — แสดงภาพรวมความเสี่ยงเป็น 5×5 Matrix · แยกตาม Strategic/Operational/Financial/Compliance/Reputational · กรองตามฝ่าย/ระดับ
KRI Monitoring — ติดตาม Key Risk Indicators 50–100 ตัว · กำหนด Threshold (Green/Yellow/Red) · แจ้งเตือนอัตโนมัติเมื่อข้าม Threshold
Action Plan Tracking — กำหนด Risk Owner, Mitigation Plan, Due Date · ติดตามสถานะ % Complete
RCSA Module — แบบประเมินตนเองรายฝ่าย/ปี · Workflow อนุมัติหลายขั้น
Risk Reporting — รายงานต่อคณะอนุกรรมการ/บอร์ด/สคร. · Export PDF/Excel · รูปแบบมาตรฐาน Enablers
User Management & RBAC — Multi-role: Risk Owner / Risk Coordinator / CRO / Auditor / Board · LDAP/SSO Integration
Audit Trail — บันทึกทุกการเปลี่ยนแปลงในระบบ พร้อมระบุผู้ทำ/เวลา/ก่อน-หลัง · เก็บไม่น้อยกว่า 7 ปี
Mobile Responsive — รองรับการใช้งานบนมือถือ/แท็บเล็ต ผ่าน Web Browser

3.2 ที่ปรึกษาด้านการบริหารความเสี่ยง (Advisory Services) Consulting

ทบทวน Risk Universe ตามมาตรฐาน COSO ERM 2017 — สัมภาษณ์ผู้บริหารทุกสายงาน, จัดทำ Risk Universe ฉบับใหม่ ครอบคลุม 12+ หมวดความเสี่ยง
กำหนด KRIs ระดับองค์กร 50–100 ตัว พร้อมสูตรคำนวณ, Data Source, Threshold, Owner
จัด Workshop RCSA รวม 8 หน่วยงานหลัก (สำนักงานใหญ่ + ท่าเรือสาขา 7 แห่ง: แหลมฉบัง, กรุงเทพ, เชียงแสน, เชียงของ, ระนอง, สงขลา, ปัตตานี)
จัดทำคู่มือ ERM ฉบับปรับปรุง — Risk Management Manual, Risk Policy Statement, Risk Appetite Statement, Risk Tolerance
Train-the-Trainer 30 คน — Risk Coordinator แต่ละหน่วยงาน 4 วัน · พร้อมประกาศนียบัตรร่วม
Risk Culture Assessment — สำรวจวัฒนธรรมความเสี่ยง pre/post project · จัดทำ Action Plan ปรับปรุง
Coaching รายไตรมาส 6 เดือนแรก หลัง Go-Live — ทุก 2 สัปดาห์ × 24 ครั้ง · On-site/Online

3.3 มาตรฐานเทคโนโลยี (Technical Standards)

Backend: Node.js / Python / .NET (เลือก 1) · Database: PostgreSQL หรือ SQL Server
Frontend: React / Vue / Angular (เลือก 1) · Responsive Design (Mobile/Tablet/Desktop)
Authentication: Single Sign-On (SAML 2.0 / OAuth 2.0) เชื่อมกับ AD ของ กทท.
Security: OWASP Top 10 compliant · Penetration Test ก่อน Go-Live · Data Encryption at-rest + in-transit
Hosting: On-premise ของ กทท. หรือ Government Data Center (GDCC) — ผู้รับจ้างต้องส่งมอบ Source Code + Deployment Guide
มาตรฐาน: ISO/IEC 27001 (Information Security), ISO/IEC 25010 (Software Quality)

ระยะเวลาดำเนินการ (12 เดือน)

Phase 1

Discovery & Design

เดือน 1–2

Phase 2

Develop & Configure

เดือน 3–7

Phase 3

Train & RCSA

เดือน 8–9

Phase 4

UAT & Go-Live

เดือน 10–11

Phase 5

Coaching & Handover

เดือน 12

Phase	งานหลัก	ผลส่งมอบ (Deliverable)	ระยะเวลา
Phase 1 Discovery & Design	Kick-off · As-Is Assessment · ทบทวน Risk Universe · Interview ผู้บริหาร · จัดทำ Functional/Technical Specification	Inception Report · As-Is Report · System Design Document	เดือน 1–2
Phase 2 Develop & Configure	Develop Sprints 1–10 (Agile 2-week sprints) · Configure RBAC, KRIs, Risk Universe · Integration กับ AD · Internal QA	Working Software (5 modules) · Sprint Demo Report	เดือน 3–7
Phase 3 Train & RCSA	Train-the-Trainer 30 คน · Workshop RCSA 8 หน่วยงาน · ส่งมอบ ERM Manual ฉบับใหม่	Training Materials + ประกาศนียบัตร · RCSA Reports × 8 · ERM Manual	เดือน 8–9
Phase 4 UAT & Go-Live	UAT 4 สัปดาห์ · Penetration Test · Performance Test · Pilot Deployment 2 หน่วยงาน · Roll-out องค์กรเต็ม	UAT Report · Pen-Test Report · Go-Live Certificate	เดือน 10–11
Phase 5 Coaching & Handover	Coaching รายปักษ์ × 24 ครั้ง · Knowledge Transfer · ส่งมอบ Source Code · ปิดโครงการ	Coaching Logs · Source Code Repository · Project Closure Report	เดือน 12

ผลงานส่งมอบ (Deliverables)

แพลตฟอร์ม ERM ที่ใช้งานได้จริง (Production-Ready) ติดตั้งบน Server ของ กทท.
Source Code ทั้งหมด พร้อม Documentation (Architecture, API, Database Schema)
คู่มือผู้ใช้งาน 5 ระดับ — Risk Owner / Risk Coordinator / CRO / Auditor / Admin
คู่มือ ERM (Risk Management Manual) ฉบับปรับปรุง 2568
Risk Universe + Risk Register แม่แบบ ครอบคลุม 12+ หมวดความเสี่ยง
50–100 KRIs พร้อมสูตรคำนวณและ Data Source
RCSA Reports ของ 8 หน่วยงาน
Training Materials + บันทึกการอบรม Train-the-Trainer 30 คน + ใบประกาศนียบัตร
Risk Culture Assessment Report (pre/post)
Coaching Logs 24 ครั้ง พร้อมรายงานสรุปผล
Penetration Test Report และ Performance Test Report
Project Closure Report และ Knowledge Transfer Sessions ≥ 4 ครั้ง

งบประมาณและการชำระเงิน

มูลค่างานทั้งหมด (รวม VAT 7%)

฿ 3,900,000

สามล้านเก้าแสนบาทถ้วน · ไม่เกินกรอบราคากลางตามระเบียบจัดซื้อจัดจ้าง

หลักประกันสัญญา 5%

฿ 195,000

วางก่อนลงนามสัญญา · คืนเมื่อพ้นระยะรับประกัน

หลักประกันซอง 2%

฿ 78,000

วางตอนยื่นข้อเสนอ · คืนเมื่อทราบผล

งวด	เงื่อนไขการจ่าย	% ของยอด	จำนวนเงิน (บาท)	กำหนดจ่าย
1	เซ็นสัญญา + ส่ง Inception Report	15%	585,000.00	เดือน 1
2	System Design Document + Sprint Demo 1-2	20%	780,000.00	เดือน 4
3	Develop เสร็จครบ + RCSA Workshop เสร็จ 8 หน่วยงาน	30%	1,170,000.00	เดือน 9
4	UAT ผ่าน + Pen-Test ผ่าน + Go-Live + Training เสร็จ	25%	975,000.00	เดือน 11
5	Coaching เสร็จ 24 ครั้ง + ส่งมอบ Source Code + Project Closure	10%	390,000.00	เดือน 12
รวมทั้งสิ้น (Grand Total)		100%	3,900,000.00	—

                    หมายเหตุการชำระเงิน:
                    ราคารวม VAT 7% และค่าใช้จ่ายทั้งหมด (ไม่มี Out-of-Pocket Expense เพิ่มเติม)
หัก ณ ที่จ่าย 3% ตามมาตรา 50(3) แห่งประมวลรัษฎากร · ออกหนังสือรับรอง 50 ทวิ ทุกงวด
กทท. จะจ่ายเงินภายใน 30 วันหลังตรวจรับงานในแต่ละงวด
การจ่ายงวดสุดท้ายจะเริ่มหลังคืนหลักประกันสัญญาตามระยะรับประกัน 1 ปี

                

คุณสมบัติผู้เสนอราคา

เป็นนิติบุคคลที่จดทะเบียนในประเทศไทย ทุนจดทะเบียนชำระแล้วไม่น้อยกว่า 1,000,000 บาท
มีผลงานพัฒนาระบบ ERM/GRC Platform ให้รัฐวิสาหกิจ/หน่วยงานรัฐ/บริษัทมหาชน ในรอบ 5 ปีที่ผ่านมา ไม่น้อยกว่า 2 โครงการ มูลค่ารวมกันไม่ต่ำกว่า 5,000,000 บาท (มีหนังสือรับรองผลงาน)
มีบุคลากรที่มีใบรับรองด้าน Risk Management สากล เช่น CRMA, CRMP, FRM, CIA หรือเทียบเท่า ≥ 2 คน
มีนักพัฒนาซอฟต์แวร์ Senior ≥ 2 คน ประสบการณ์ ≥ 5 ปี ในเทคโนโลยีที่เสนอ
ไม่อยู่ในบัญชีผู้ทิ้งงานของกระทรวงการคลัง · ไม่เคยถูกขึ้นทะเบียน Black-list ของรัฐวิสาหกิจ
ผ่านการคัดเลือกในระบบจัดซื้อจัดจ้างภาครัฐด้วยวิธีคัดเลือก/เฉพาะเจาะจง ตามระเบียบกระทรวงการคลังว่าด้วยการจัดซื้อจัดจ้าง พ.ศ. 2560
มีระบบISO 9001 (QMS) หรือ ISO 27001 (ISMS) ที่ยังคงสภาพ (พิจารณาเพิ่มคะแนน)

ทีมงานขั้นต่ำ

ลำดับ	ตำแหน่ง	คุณวุฒิ/ประสบการณ์ขั้นต่ำ	จำนวน	ภาระงาน
1	Project Manager	ป.โท ≥ 12 ปี · เคย PM ERM/GRC ≥ 3 โครงการ · PMP/Prince2	1	Full-time
2	ERM Lead Consultant	ป.โท ≥ 10 ปี · CRMA/CRMP/FRM · เคยทำ COSO/ISO31000	1	Full-time
3	ERM Consultant	ป.ตรี ≥ 5 ปี ด้าน Risk/Audit/Compliance	2	Full-time
4	Solution Architect	ป.ตรี ≥ 10 ปี · เคยออกแบบระบบขนาด ≥ 1,000 users	1	Part-time
5	Senior Developer (Full-stack)	≥ 5 ปี · Backend (Node/Py/.NET) + Frontend (React/Vue)	2	Full-time
6	UI/UX Designer	≥ 3 ปี · Portfolio รัฐวิสาหกิจ/Banking	1	Part-time
7	QA / Tester	≥ 3 ปี · ISTQB Certified	1	Full-time Phase 2-4
8	Trainer	≥ 5 ปี · เคยอบรม ERM/GRC ≥ 100 คน	1	Phase 3 only

                    หมายเหตุ: ผู้รับจ้างต้องส่งประวัติทีมงานทุกตำแหน่งภายใน 7 วันหลังลงนามสัญญา · การเปลี่ยนตัวบุคลากรหลัก (PM/ERM Lead/Solution Architect) ต้องได้รับความเห็นชอบจาก กทท. เป็นลายลักษณ์อักษรล่วงหน้า
                

หลักเกณฑ์การพิจารณาข้อเสนอ

วิธีคัดเลือก: พิจารณาแบบ คะแนนรวมด้านเทคนิคและราคา (80:20)

เกณฑ์	น้ำหนัก	รายละเอียด
ข้อเสนอด้านเทคนิค	80%	—
· ประสบการณ์/ผลงานที่ผ่านมา	20%	โครงการคล้ายกัน + รัฐวิสาหกิจ
· คุณภาพบุคลากร (CV ทีม)	15%	วุฒิ + ใบรับรอง + ประสบการณ์
· ความเข้าใจขอบเขตงาน	15%	วิธีการทำงาน + แผน Mitigation
· วิธีการพัฒนา/แนวทางทางเทคนิค	15%	Architecture + Tech Stack + Demo
· แผนการบริหารจัดการโครงการ	10%	WBS + Schedule + Risk Plan
· การถ่ายทอดความรู้และ Coaching	5%	Training Plan + Materials
ข้อเสนอด้านราคา	20%	คะแนนแปรผกผันกับราคา
รวม	100%	คะแนนต่ำสุดผ่านเกณฑ์ 70%

เงื่อนไขทั่วไป · ค่าปรับ · กรรมสิทธิ์

10.1 กรรมสิทธิ์ในผลงาน (Intellectual Property)

กรรมสิทธิ์ใน Source Code, Documentation, Risk Universe, Risk Register, KRIs, Training Materials ทั้งหมดเป็นของ กทท.
ผู้รับจ้างต้องส่งมอบ Source Code Repository (Git) พร้อมสิทธิ์เข้าถึงเต็มให้ กทท.
ผู้รับจ้างคงสิทธิ์ใช้ Tools/Frameworks/Libraries ที่เป็น Open-source หรือเป็นของผู้รับจ้างเองได้

10.2 การรับประกันและบำรุงรักษา (Warranty)

รับประกันแก้ไข Bug และ Security Patches ภายใน 1 ปี หลัง Go-Live โดยไม่มีค่าใช้จ่าย
SLA: Critical bug แก้ภายใน 24 ชม., Major bug 72 ชม., Minor bug 7 วัน

10.3 ค่าปรับการล่าช้า

                    หากส่งมอบงานล่าช้า ผู้รับจ้างยินยอมให้ปรับในอัตราร้อยละ 0.10 ของมูลค่างานต่อวัน (3,900 บาท/วัน) จนกว่าจะส่งมอบครบถ้วน · ค่าปรับสูงสุดไม่เกิน 10% ของมูลค่างานทั้งหมด (390,000 บาท) · เกินจากนี้ กทท. มีสิทธิบอกเลิกสัญญาและริบหลักประกัน
                

10.4 การรักษาความลับ (Confidentiality)

ผู้รับจ้างและทีมงานต้องลงนาม NDA ก่อนเริ่มงาน
ห้ามเปิดเผยข้อมูล Risk Register, KRIs, รายงานความเสี่ยงของ กทท. แก่บุคคลที่สาม โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร
ผูกพันต่อเนื่อง 5 ปีหลังสิ้นสุดสัญญา

10.5 การปฏิบัติตามกฎหมาย/มาตรฐาน

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
ระเบียบกระทรวงการคลัง ว่าด้วยการจัดซื้อจัดจ้างฯ พ.ศ. 2560
มาตรฐานการรักษาความมั่นคงปลอดภัยสารสนเทศของ ETDA
กฎหมายไทย · ศาลที่มีเขตอำนาจในกรุงเทพมหานคร

( .................................................... )

ผู้แทน การท่าเรือแห่งประเทศไทย

ผู้ว่าจ้าง · Procuring Entity

วันที่ ........... / ........... / ...........

( นายพีระวิช คงเมือง )

กรรมการผู้มีอำนาจลงนาม

บริษัท เดอะ อินโนเวชั่น อลิอันซ์ จำกัด · ผู้รับจ้าง