即使完成風險評估、決定了重大主題,若不監測危害並洞察發展成風險的時機,無法及時應變與處置,仍可能導致失敗的管理結果。
前言
風險很多時候是抽象的,然而危害因子或來源往往是明確或有跡可循的,因此察覺危害的存在是落實風險管理的先決條件之一,目前永續報告書並未要求說明危害來源這樣的細節,也不會要求企業明確列出初步危害清單(Preliminary Hazard List, PHL)或是風險清單,因為 太 ~ 繁 ~ 瑣 ~ 了 ~!
這仍然反映出金管會要求企業公布永續報告書的基本假設:企業有【風險管理制度】或【風險管理的能力】,因此有能力辨識重大主題或重要風險。既然企業已經願意公開發布並完成確信報告或第三方認證,監管機關的目的就已經達成,剩下是企業自己的功課。雖然瑣碎資料沒有強制揭露的必要性,包含PHL、風險清單、衝擊影響樣態等,但……企業自己可以不知道嗎? 就這麼糊裡糊塗地公布永續報告書,只怕有些時候比不揭露被罰款的風險更嚴重吧……
本文延續範疇 V.S. 目標與指標 — 優化永續報告系列 I,已經概念性定位範疇與三個層次,說明不同範疇如何決定目標與指標,本文將進一步解析風險管理定義中,深度影響目標與指標的重要因素:危害(Hazard)與監測(Monitoring)。
範疇
簡要說明基於範疇(Scope)界定三個層次的定位:
- 管理層性質為虛作業(Dummy Activity),對企業整體及永續報告書負責;評估重大主題;決定目標及戰略;檢核重大主題管理績效。
- 部門層性質為虛作業,對管理層制訂的重大主題績效負責;形成核心功能業務;有權調度執行層;決定風險處置的戰術,基本目標為核心功能業務的營運持續或不中斷;進階目標為ESG績效最大化。
- 執行層性質為營運活動(Activity),由人、機、料、水、電透過標準作業程序完成營運活動;決定透過風險處置的戰技,基本目標為確保必要資產及關鍵資源可以正常運作與取得;進階目標為ESG績效或指標的達成。
- 部門層性質為虛作業,對管理層制訂的重大主題績效負責;形成核心功能業務;有權調度執行層;決定風險處置的戰術,基本目標為核心功能業務的營運持續或不中斷;進階目標為ESG績效最大化。
背景
企業營運面臨的風險與營運活動的背景(Context)顯著相關。現階段永續報告書的要求中,企業不須特別說明、金管會也不要求的理由之一,是因為SASB非常貼心地將企業區分為11個產業別及77個行業,為的就是明確地要求相同行業在討論指標時的表達方式,減少模糊地帶。問題在於SASB能做的有限,既不可能預判每一家企業在永續報告書中列出哪些重大主題,也只能要求揭露各個行業的常見風險。
這個現象談不上錯誤,只是會造成重大主題與績效指標之間出現脫勾的情況,白話說就是:【主管機關在意並要求揭露的產業風險,不見得是企業認知的重大主題】,這也是導致永續報告書前後章節內容無法連貫的原因之一,端視個別企業是否願意主動修正或說明其間的落差。
標準與危害
標準(Criteria)? 已經在決定重大主題時討論過了,需要再討論一次嗎?
確實需要!但也不用過度擔心,它很多時候隱藏在【危害】這個概念之下。
再復習一次,風險管理的先行條件包含了範疇與背景,它可以應用在不同層級(Level)。在決定永續報告書的重大主題時,範疇是管理層,所做的評估代表企業整體風險。同理,在範疇因 WBS 向下縮小時,部門層與執行層自然也有自己評估風險的標準,只不過除了繼承最上層的ESG績效指標,如果追溯至風險的源頭,則統稱為危害。
危害本身是一個預設帶有標準、伴隨判斷的名詞,因此它的標準容易被忽略。事實上,企業在現實世界中運作,所討論的風險也大多存在具體的【現象】和【物質】,這些現象和物質變成危害的基本概念在於【程度】或【量】對企業不利,再結合程度與量會因為客觀條件變化,形成危害存在與消失的時間序列,由此討論危害時會衍生出三個問題:
- 根據誰的立場認為不利?
- 什麼程度或量可以判斷為危害?
- 危害什麼時候出現和消失? (Time related factors.)
上面這三個問題結合不同層次的範疇、目標與指標等背景資訊,在明確的情境下可以更有條理地討論。
危害與監測
執行層
執行層的營運活動往往是危害發生的真實情境,形成【初始風險】,也是最小的風險分析單位,因此可以利用最明確的例子說明危害的概念。(也建議讀者參考職業安全衛生相關制度,如我國的TOSHMS)
由於執行層包含可明確描述營運活動與風險發生的人、事、時、地、物,在此優先延續 WBS 的概念,以營運活動為核心展開,依序說明描述危害時的必要元素:
- 【事】結合企業營運,主要討論面向有二:
- WBS 架構下非虛作業,即執行層的營運活動,必須依企業需求按規劃持續進行。
- 承上,向上支持部門層的核心功能業務,影響管理層的ESG績效。
- 【人】與【物】是營運活動的執行實體,通常不能完全被自動化設備或AI取代而無實體。
- 若以個別人員或設備為單位,則以必要資產提供功能的形式表示,例如董事長、部門主管、技術骨幹,機房、重要設備等。
- 若以數量為單位,則以關鍵資源提供數量的形式表示,例如可相互取代的生產線、工班、外包勞動力、水、電、物料等。
- 【地】若無特別指明,通常代表執行層營運活動的所在地或空間,基於可否取得的功能特性,可以用必要資產的形式表達。
- 若同一營運活動涵蓋多個地點,亦可採用關鍵資源表達,也可能表示 WBS 未落實營運活動的性質劃分。
有了人、事、地、物的具體定義與關係說明,以下結合【監測】與【時間】的觀念,闡述表達危害時必須回答的三個問題:【誰的角度】、【程度和量】、【出現和消失時間】。
危害依據發生時的主體差異,在執行層可以歸納為三種:
- 現象和物質形成危害
- 自然現象無角度問題;可客觀判斷;以通用的外部標準決定起迄時間。
- 危害類型:自然現象超出安全標準;出現危害物質並超出安全標準,例如:
- 氣候變遷導致極端氣候現象如高溫、寒害、暴雨等
- COVID-19 疫情
- 建築物發生火災
- 監測方式:透過外部公開資訊或現場監測設備取得之資料,判斷
- 危害現象何時發生、何時結束
- 危害物質何時開始存在、何時消失、是否可移除
- 必要資產或關鍵資源受到危害影響而失去功能或缺失數量
- 以必要資產或關鍵資源的角度,依其物理或化學性質決定可承受的程度或量,超出其承受範圍時起算,回復至可承受範圍、恢復功能或數量時結束。
- 危害類型:必要資產或關鍵資源的物理、化學、供應源等性質,結合危害現象或物質後的綜合考量,例如:
- 機器因過熱而停機
- 建物因耐震程度不夠遭地震損毀
- 場地因暴雨造成土石流失
- 人員因傳染病而請假
- 因關稅導致原物料短缺
- 發電廠發生事故而斷電
- 監測方式:透過感測器與人員回報
- 必要資產的狀態監控設備、現場人員回報機制
- 關鍵資源的數量盤點機制、供應源確認與供應商管理機制
- 必要資產或關鍵資源受到危害影響而失去功能或缺失數量,營運活動無法進行
- 以營運活動是否持續或中斷的角度,依必要資產或關鍵資源的時間效應決定可承受的程度或量,營運活動中斷時起算,恢復時結束。
- 危害類型:營運活動相關的必要資產或關鍵資源造成:
- 生產線中斷
- 物流延遲
- 場地發生職災意外須先排除
- 監測方式:基於必要資產、關鍵資源及營運活動的恢復狀況綜合判斷
- 因為營運活動所產生的危害
- 考量企業永續ESG的角度;可客觀判斷;以通用的外部標準決定起迄時間
- 此一部份以符合相關法規及主管機關如環境部、國土管理署、消防署等之規範為主。
- 應符合規範,如廢水排放、廢棄物管理。
- 應符合計算原則,如溫室氣體盤查。
綜合上述人、事、時、地、物的脈絡,執行層風險管理的核心監測對象是必要資產的狀態 與 關鍵資源的數量,若希望在第一時間確認危害發生與否,控制並消除初始風險,重點監測的對象則進一步向前延伸,包含危害現象是否發生、危害物質是否存在。
自危害出現到形成風險,完整時間順序可以表示為下方的1至3發展階段:
- 危害現象或物質出現
- 必要資產或關鍵資源受到影響
- 營運活動受到影響
現實中,風險發展歷程往往不會在危害就被察覺,越是不被重視的風險往往也沒人在意過程,因此未徹底落實風險管理(至少包含沒有監測與第一時間應變SOP)的組織單位,極有可能直到階段3才有所察覺而後採取應變,大多為時已晚。現實生活中的事例可以參考另一篇文章:是否落實風險管理的雲泥之別。
實務上,落實監測一事極度考驗企業願意投入的資源,包含人力、時間、預算、和監測過程中可能帶來的不方便,也經常是巨大的沉沒成本。以筆者過去在營造業的經驗,光是工人願意配合參加工具箱會議、配戴防護裝備、落實吊掛安全索等,都是極大的挑戰,不同產業環境也有背景與素質的落差,因此在確認初始風險發生這件事上,假設1-3階段隨機被察覺更符合大部份企業的狀況。
假設初始風險隨機發生的另外一個主要原因,在於危害現象或物質未必發生在企業能監測或可管轄的範圍內,必要資產或關鍵資源也未必時時在企業的掌控之中,常見事例包含重要職務的員工上下班發生意外、COVID-19透過外部途徑傳染至企業內部、關鍵資源的供應商倒閉…等。
無論從永續報告書的優化描述或是完善企業風險管理制度的角度,執行層風險管理績效最核心的描述方式是:對於初始風險發生機率的控制程度。顯然發生的機率越低越好,但是從描述的對象就已經能凸顯企業重視風險管理程度的差異:
- 最佳描述方式:透過數據證明,危害現象或物質發生機率低。
- 次佳:透過歷史紀錄證明,【必要資產】或【關鍵資源】受到影響的機率或頻率低。
- 可接受:透過歷史紀錄證明,營運活動受到影響機率或頻率低。
部門層
部門層屬於僅保留【管理功能】的虛作業,除了管理功能本身形成的風險之外,真實世界中的風險大多是透過執行層向上傳遞所形成。另一方面,部門層以下包含至少1個以上執行層的營運活動,其所面對風險的形式、種類、危害類型(通常已經是失控的複合式危害或災害)、影響程度、財務損失等,相對多元與複雜,故而一般考量危害類型的性質為:大範圍 且/或 跨地區 的系統性風險。
所謂管理功能泛指與管理層ESG重大主題績效相關的核心功能業務,以及與企業存在必須保留的功能業務,前者屬於當年度永續報告書的管理重點,而後者若失控或發生危害現象也可能造成損失或影響ESG績效而成為次一年度的重大主題。
基於管理層與部門層均屬於虛作業,因此危害來源可能是:
- 營運活動衍生的現象或趨勢,透過管理機制彙總的資料,經由調查、統計分析、工作流程分析、情境模擬分析等方式所定義的危害因子,因此
- 基於部門層的功能業務立場;透過ESG重大主題績效指標、專業背景、管理經驗、標準作業程序等綜合判斷;不一定有明確的標準判斷危害是否存在或發生的起迄時間。
- 危害類型:以某種特質、環境現象、參數、假設條件等方式存在,例如:
- 主管人員、部門管理方針過於保守、過於創新
- 不同國情的勞動力教育程度、法制觀念、宗教習慣
- 極端氣候造成區域性災害如颱風、地震、乾旱、水患
- 金管會控管銀行的存款準備率、貸放比率、政策性貸款補助
- 監測方式:透過部門層的管理機制(會議、通報等)進行回報與管控。
- 涵蓋大量執行層所屬的營運活動、必要資產、關鍵資源、危害現象或物質等所組成的複雜結果。
- 基於部門層的功能業務立場,透過ESG績效指標、管理制度與資源調度,要求執行層落實管理制度與SOP並回報執行績效,必要時,採取根本原因分析(Root Cause Analysis, RCA)識別故障或問題的根本原因,直接向下監督與管理執行層的營運活動、必要資產、關鍵資源等。
- 危害類型:營運活動、必要資產、關鍵資源等出現初始風險且未消除危害現象或物質的情境,參考執行層的危害與監測。
- 監測方式:透過部門層的管理機制(定期會議、通報等)進行回報與管控。
無論從永續報告書的優化或是完善企業風險管理制度的角度,部門層風險管理績效最核心的描述方式是:對於初始風險發生後造成衝擊的控制程度,顯然風險造成的衝擊越低越好,部門層通常也有更多資源、空間、時間進行戰術上的調度。
值得一提的是:部門層可能存在許多虛作業,地理位置也可能不同,這些虛作業排列組合出企業各式各樣的組織結構與運作機制,也包含風險管理制度,這些虛作業之間可能存在各種複雜的權責關係以及監測機制,包含但不限於:
- 獨立存在,屬於管理層與執行層之間的中介層,核心功能業務的權責集中,可能直接影響ESG績效。
- 從屬關係,部門層內以 WBS 關係上下延伸更多虛作業,管理結構更為細分,管控環節增加。
- 並行關係,二個虛作業在執行層具備一部份或全部相同的內容,可以相互取代並完成核心功能業務。
- 串接關係,一個虛作業透過執行層產出的成品或半成品,成為另一個虛作業在執行層所需的關鍵資源,形成企業內部的供應鏈關係。
結合上述部門層特性:虛作業、核心功能業務連結ESG績效指標、重在衝擊的控制程度、複雜交錯的關係、地理位置可能不同等特性,部門層發生的風險屬於系統性危害,由於牽一髮而動全身,必須依個案真實狀況才能具體判斷。
需要具體分析危害時,或由管理層向下梳理並管理風險,建立系統性管理原則以抑制衝擊;或由執行層的危害向上層層分析衝擊的擴大效應,結合執行層的機率評估與部門層的衝擊評估,具體量化分析風險值(Probability * Impact)以評估應抑制的危害。無論從何者出發,監測機制仍屬必要。
管理層
管理層是在所有部門層之上的虛作業,資訊彙聚形成企業整體管理績效的代表層級,對於危害未必存在具體概念。一般而言,危害超出所有部門層與執行層管理範疇的議題才會由管理層投入危害分析與監測的工作。
參考KPMG的產業十大永續風險調查,重要風險包含:國際或區域政治關係惡化、少子化危機、通貨膨脹、極端氣候災害、勞動條件惡化、科技濫用、超高齡化轉型壓力、經濟不平等及貧富差距大、教育難以適性揭才、自然資源枯竭。上述風險無一不超出企業的管理範疇,卻也都構成企業營運的潛在危害,因此大多藉由第三方的調查報告或是政府公開資料進行趨勢研判。
實際上,確認永續報告書中的重大主題之後,管理層最重要的工作之一就是對企業內外部的所有風險進行綜合研判,前述十大永續風險未必發生在個別企業,甚至反而是某些企業的獲利基礎,務實做法仍要在營運活動中找出真正影響企業的風險,結合部門層的管理績效才能有更好地判斷出重大主題。
管理層的危害與監測更多時候屬於績效數字與大環境趨勢變化的及時掌握,以期能及早因應與調整企業營運方向或型態,決定風險管理的戰略方向,調整企業的風險管理制度。企業如何運作筆者所能討論的有限,以更高層級的國家管理風險的公開資訊為例,金管會、中央銀行、銀行之間對於金融管理制度會根據國際局勢不定期進行調整,影響每一家銀行的投融資策略與規則,再向下影響每一家企業的放貸條件,從而確保國家的金融環境免於發生不必要的風險。這個現象也反映在金融保險業的永續策略,好的管理制度與標準制訂在這類型的產業中,有時比找出危害更重要,但是美國2008年的次貸風暴也反映出管理制度過度複雜化時,仍須重視執行層的危害與監測。
對於風險是否積極監控,此議題也凸顯現行大部份企業評估重大主題的定位問題:決定永續報告書重大主題時,若採用利害相關者的問卷調查,是否具備對於危害的監測(Monitor)的機制?亦或只是事後檢討報告(Review & Report)的歸納功能。二者之間,其實已經說明了企業面對永續議題的基本態度。
無論如何,企業仍舊可以從管理層的角度思考,諸多潛在危害是否會形成風險,包含KPMG報告所列的十大永續風險,什麼程度或量可以判斷為危害? 危害什麼時候出現和消失? 具備了這些必要資訊才有可能提出具體的風險管理戰略、戰術、戰技。
危害與不安全
基於 ISO 31000 的定義,危害的現象或物質透過背景、範疇和標準的說明而更明確,結合監測機制客觀判斷企業是否存在風險,原則上可以透過各種技術手段進行確認。既然可確認,延伸出來的概念是:企業究竟安全或不安全? 安全或不安全到什麼程度?
對於危害和安全程度的認知,不同的國際標準基於立場與角度的不同,因而存在用詞的落差,導致執行風險管理時的混淆。
ISO 31000 與 ISO 14091
ISO 31000 是以組織或企業的角度出發,建立風險管理制度、啟動風險管理的流程;另一方面,參考ISO 14091 氣候變遷調適,評估風險時可以利用三個維度進行:危害度、暴露度、脆弱度。這二個國際標準是企業在撰寫永續報告書時最常引用也最容易混淆的二個風險管理標準。筆者試著基於判斷危害時應該回答的三個問題,說明兩者的差異:
- 誰的角度認為不利?
- ISO 31000 以企業自己為出發點,確保企業永續。
- ISO 14091 以氣候變遷引起的極端氣候現象為出發點,評估衝擊與調適能力
- 更貼近國家或聯合國的管理立場。
- 全球性或主導龐大供應鏈的企業更適合採用。
- 什麼程度或量可以判斷為危害?
- ISO 31000 透過企業內部不同範疇的標準,結合企業的立場與經驗進行判斷。
- ISO 14091 以危害度、暴露度、脆弱度由大環境的變化評判企業氣候調適能力
- 更貼近災害治理的觀點 (可參考:不安全與災害 Versus 成災要件 — 設施安全防護觀念介紹 Part I)。
- 危害什麼時候出現和消失?
- ISO 31000 講求基於風險處置手段,以求迴避、減輕、轉嫁、接受風險,可能因妥善處置而可降低危害影響的重要性。
- ISO 14091 預想未來一段時間氣候變遷不可迴避也不一定能轉嫁,透過調適規劃 (Adaptation Planning)減輕並接受風險。
筆者對於企業的建議是:【無論是撰寫永續報告書或建立風險管理制度,優先採用 ISO 31000】,因為重大主題並不限於氣候風險,針對氣候風險時再引用ISO 14091 即可,但本質上,只要 ISO 31000 建立的風險管理制度結合 ISO 14091 的前瞻性思維,併入對於未來風險的提前【調適規劃】、【實施】與【監控與評估】等,就足以同時滿足二個國際標準的要求,同時符合 IFRS 的發展方向,必然更適合企業在未來幾十年間持續強化風險管理能力與優化永續報告書的立場。
不安全狀態
有別於危害度、暴露度、脆弱度這三個 ISO 14091 的用詞,筆者更傾向於使用以安全(Safety)為目標的用詞,反義即為不安全,融入風險管理制度中,關於【不安全狀態】的定義:
- 企業在管理層、部門層、執行層三個層次的範疇下,危害持續存在期間的狀態。
- 管理層:全球環境造成企業永續相關的不安全狀態
- 部門層:跨區域、大範圍極端現象造成核心功能業務的不安全狀態
- 執行層:危害現象或物質造成必要資產和關鍵資源的不安全狀態
- 不安全狀態必須結合判斷標準,包含誰的角度、危害的程度或量、開始和結束時間
- 進入不安全狀態僅代表危害存在,不等同於初始風險已經發生,參考危害形成風險的3個階段,不安全狀態僅處於階段1。
- 不安全狀態下,初始風險的發生機率較安全狀態為高。
- 特定危害已經存在,相應的不安全狀態必然存在明確的風險處置原則、標準作業程序(如BCP)
- 長期處於不安全狀態下的監測:
- 判斷危害的程度與量必須進一步基於企業的主、客觀綜和資訊決定,發生機率應納入績效指標。
- 考量氣候變遷,企業可承受危害的程度與量必須以接軌 IPCC 或 TCCIP 預測的極端氣候條件為目標。
- 風險管理績效指標結合前瞻性與 PDCA 的品質管理概念,更能符合 ESG 意旨、落實風險處置、持續監測危害變化、避免落入不安全狀態。
落實風險管理的基礎往往不是想像中或不確定的情境,而是真真實實感受到的危害與不安全,才有動力和明確的方向進一步務實地強化自身對抗風險的能力,在這件事情上,無論是企業、個人、政府機關都是相同的。與其想像不一定會發生的風險,明確地指出危害與不安全狀態才更清楚自己該做什麼、該如何改善,再具體討論更嚴峻情境的應變能力,缺少這層認知,其實很難落實風險管理。
小結
危害與監測的資訊在當前的永續報告書中尚未要求揭露,因此也極少有企業花費篇幅說明,並不是因為它不重要,而是缺少具體的脈絡強化它與重大主題之間的關聯性,同時,形成危害的標準必須由企業根據自己的經驗與風險管理的態度訂定。
想要直面風險並在永續報告中論述績效的企業,危害與監測是應該及早規劃的一環,道理很簡單:
- 若沒有危害,何來風險?
- 既然有風險/重大主題,需要監控和管理的危害是什麼? 績效如何評估?
- 參考是否落實風險管理的雲泥之別一文,導致企業岌岌可危的危害往往是在執行層。
- 如果風險和危害一直存在或無法完全排除,長期處於不安全狀態時,企業又該做什麼?
- 風險發生機率升高,落實監控和強化風險處置能力恰恰是解決之道。
- 監控所形成的ESG管理績效、所需的財務支出,都在 IFRS 計畫要求企業應揭露的資訊範疇內。
這些事情很瑣碎、複雜嗎? 有完整的概念和具體的理論、系統性的方法就不難理解,相信這篇文章已經足以啟發有興趣的讀者進一步深思。
目前幾篇文章利用流程化的表達方式,還是存在一些重要但無法立即融入脈絡的觀念,呈現上也不容易收斂,很多時候筆者也仍在摸索如何讓風險管理實務的觀念更容易表達與理解,畢竟關鍵基礎設施安全防護(CIP)的理論體系的發展,也僅自美國911事件後的二十餘年,起源本就是解決傳統風險管理不明確的部份。
下一篇文章將進入弱環和韌性的概念介紹了,這部份反而在這個網站許多文章已經多次論述,不過還是在這個系列文章結合流程圖再梳理一次。
最後,敬祝各位讀者中秋佳節愉快。
若有疑問或需求可洽詢CIPService@nbhic.com。
文章內容歡迎轉載,請註明出處及作者,謝謝!!
核心功能業務與營運活動 (補充)
部門層的核心功能業務與執行層的營運活動之間,存在管理概念與實務運作之間的關係,二者的差別在於是否存在具體活動的性質,前者屬於虛作業故無實體存在,僅代表企業運作不可或缺或與重大主題相關的管理功能或業務;後者必須具備人、事、時、地、物的組成才能運作,銜接二者時,存在的對應關係包含:
- 當一個營運活動結束就滿足特定核心功能業務完成所需的指標時,或一個營運活動持續產出就足以維持特定核心功能業務時,二者所指相同,部門層與執行層可能在同一個單位下運作。
- 此情形即為本網站多篇文章中所稱之【設施層級】,亦符合國家安全所謂【關鍵基礎設施】定義之要件。
- 當數個營運活動結束才代表特定核心功能業務完成時,較接近專案管理架構下作業(Activity)與專案(Project)的關係。
- 當一個或數個營運活動持續進行,產出或累積一個以上核心功能業務所需的指標時,則營運活動也因此帶有必須營運持續或不中斷的性質。
