存在就是真理,也因為一直安全或屢次安然渡過不安全所以存在,但如果不清楚自己為何安全,或何種情境下會不安全,也就無法預防可能發生的風險,經歷下一個風險過後仍然會完好無損嗎?
前言
筆者剛完成一個階段性的專案,總算有一些時間和心力來寫一些東西與大家分享。既有的議題需要一些時間疏理思緒,暫時沒想到要從哪一個坑開始填,不如先從每一次很難花時間解釋,但不解釋又很難溝通的安全說起吧。
話說在前,雖然筆者從事多年研究並承接不少防救災與設施安全防護的計畫,但若非必要很少自己定義新的名詞或觀念,畢竟筆者不認為自己是什麼大師,很多知識都是接觸不同領域、組織、國家的文章、研究成果、教育訓練內容所學來的,但也因為在許多領域轉換與學習,才能有一些集各家理論的心得在此與讀者分享。如果有誤或有所冒犯,歡迎隨時來信糾正。
安全的定義
根據ISO/IEC Guide 51:2014對安全的定義:The term “safe” is often understood by the general public as the state of being protected from all hazards. However, this is a misunderstanding: “safe” is rather the state of being protected from recognized hazards that are likely to cause harm. Some level of risk is inherent in products or systems.
重點翻譯:安全是一個在所有危害下受到保護的狀態。
無論要從哪一個議題談起,談風險往往基於安全有所疑慮,反之,談安全也避不開風險管理的概念。所以想要分析TCFD架構下的實體風險,或是想要建構設施的安全防護計畫,二者必然都在風險管理的架構下進行,這個架構裡至少包含辨識/評估風險與改善/處置風險,目的就是確保國家、企業、設施、甚至是個人處於安全的狀態。
ESG與安全防護
為什麼國際社會開始重視TCFD與企業永續ESG?為什麼我們國家開始要求上市櫃企業揭露氣候風險?開始要求國家關鍵基礎設施必須撰寫安全防護計畫書?顯然安全的狀態無法一直理所當然地維持,有一些危害正在或將要發生,必須從法規與制度等多個面向要求或鼓勵企業落實風險管理。
單就筆者自己的觀察,必須說很多現階段成果都是半調子或趕鴨子上架在急就章的情形下匆促完成,其實為難了許多企業,卻也足見這些議題的重要性,為何如此說?這裡也從TCFD實體風險和設施安全防護這二個面向的觀察談起。
TCFD實體風險
企業被要求揭露TCFD實體風險,然而絕大多數企業的TCFD實體風險的資訊揭露缺少對實體和安全的定義,或是定義不到位,因此做不到對企業本身的量化情境分析,基於此,就說不出防護了哪些氣候風險,如何防護、防護績效為何、是否真的能確認企業不受到極端氣候等環境因素所影響等具體內容,簡單來說就是勉強有做被要求辨識氣候風險的任務,但不知道怎麼說明,甚至沒有風險處置的內容,風險管理的架構缺了後半段,不能說做完,如果到了明年又要揭露一次的時候會不會內容又一模一樣呢?
安全防護計畫
企業或單位所屬的設施被認定為國家關鍵基礎設施,必須撰寫安全防護計畫書的情況下,有國家規定的架構和脈絡可循,感覺上什麼都有,但更多是建立在主觀風險矩陣的評估,再透過一些演習驗證風險處置作為,許多時候是在一些想像中的狀況或災害情境下驗證,至於能有什麼成效往往由人心證,不太容易具體比較或驗證成效,借用一句前輩說過的話:做了多年實在沒什麼成就感。
二種安全狀態
筆者也正在協助一些單位/企業完成上述二種任務,只不過都存在保密協定無法分享案例,因此能具體說明的程度有限,就不討論會因人/事/時/地/物而改變的風險辨識或風險評估,也許思考一下有沒有好的表達方式再以新的文章闡述,但是對於安全這部份或許可以有一些論述,或用簡單的方式舉例說明。考慮容易理解的方式,這裡採用被動安全狀態和主動安全狀態這二個詞彙初步分類,再彙整風險管理的要件形成安全的總體概念。
被動安全狀態
被動安全狀態簡單來說就是在客觀條件下已經處在所有危害下都受到保護的狀態,間接導致大部份人或企業最大的誤區是認為安全狀態理所當然,因為我們不用付出就能獲得安全,從而忘了確定是否真的每時每刻都已經在所有危害下受到保護。當然也有人說:每時每刻都要確認這種事情實在是杞人憂天。是的,筆者在一定程度上是認同的,因為我們已經在地球的大氣層裡的陸地上、國家的體制下、基本的法律規範中維持相當程度的被動安全狀態,大部份企業和人只要在這個條件下都已經達到相當的安全水平,自然不用那麼杞人憂天。
不安全是杞人憂天?
如果企業或個人處在當前俄烏戰爭下的烏克蘭、美國部份允許攜帶槍枝的州、政治動蕩的國家的話,是否對於安全的定義會有不同程度的調整呢? 同理,顯然國際社會也已經正視地球暖化會帶來的極端氣候和海平面上升,維持被動安全狀態的客觀條件已經在改變,換句話說就是新的危害正在浮現,國際和國家必須介入。
杞人憂天確實不需要,但是不能失去對風險或不安全的敏感度,如果明知有一定程度的不安全或已經有跡象顯示將會不安全了還置之不理,這才是真正需要擔心的,這個邏輯包含了明知道溫室效應持續惡化卻認為減碳、淨零與自己無關;身處在未來海平面上升或極端氣候衝擊的地區卻不做實體風險評估或安全防護;已經是全球許多國家認為當今最容易發生戰爭的臺灣仍自恃過去和平經驗不做任何準備,只能不客氣地問:擺在眼前可能發生的風險真的是杞人憂天嗎?
TCFD與SASB當前的標準制定方向(請參考實體風險、TCFD和SASB)將會要求企業列出所屬的實體設施是否處在一些客觀條件已經維持不了被動安全狀態的環境中,至少包含但不限於洪水區、缺水區、疫病區、核子安全疑慮區域等,未來只要符合任一條件就必須在會計報告中列出相關的實體設施,這已經是必然採取的基本做法。但只這樣劃分顯然是不公平的,因為符合被動條件下屬於不安全狀態的企業也不會坐以待斃。
預先設想不安全的重要性
從另一個角度而言,縱然企業所屬的實體設施不在SASB目前列管的情境下並不代表絕對安全,也需要知道自己還有多安全? 在什麼情況下仍然安全? 這些也都極可能因時因地改變,有待客觀條件驗證。實體設施以企業所在的大樓和廠房為例,企業可以不懂建築技術規則,但也要知道結構體是不是已經老劣化到需要擔心的程度(法規設計標準為50年)?下次大地震來時是不是仍安全?下一次豪大雨有沒有可能淹掉重要設備或產品庫存?
但如果一直對總體客觀條件下真的安全的人討論不安全,也實在是沒有必要。所以筆者團隊經常向客戶表達:我們服務的目的之一是用可取得的客觀數據與合理情境,向金管會或所有利害關係人證明企業真的安全!!
需要額外說明的是:不安全不等於災害。很多人會將企業或設施安全防護與災害防救結合在一起討論,在大方向上不致於出錯,但會造成一些細節處的誤解,有興趣的讀者可以參閱不安全與災害 Versus 成災要件 — 設施安全防護觀念介紹 Part I。
主動安全狀態
這裡所謂主動安全狀態的論述更接近實體防護系統(Physcial Protection System)的設計理論(請參考保安系統評估系列 I :具體要評估什麼?),也就是在危害確定的情況下,無論風險發生機率為何,由每一個個體、企業、設施主動針對這樣的危害建立或執行的安全防護措施。也因為這是由每一個個體、企業、設施所發動,是否需要或需要做到什麼程度完全是取決於個體、企業、設施對於安全的定義與認知,但如果一個主動安全狀態的定義與認知涉及到利害相關者的權益,那這個主動安全狀態的判斷標準必須取得利害相關者的認可,建議是量化的情境標準。
在大部份的情形下,主動安全狀態維持的條件與每一個個體、企業、設施對安全的認知有關,也有一部份是在被動安全無法確保的條件下,個體、企業、設施被迫必須主動採取相應作為。
強化主動安全狀態的日常範例
這裡筆者舉一些被迫必須採取維持主動安全狀態而採取防護措施的例子:
- 騎機車必須戴安全帽;開車必須繫安全帶,這都是道路交通管理處罰條例要求並列有明確罰則的安全防護措施。必須採取指定防護措施也有很明確的情境:行駛於道路上。
- 職業安全衛生設施規則第十一章規範勞工進入特定工作場所必須配戴防護具,常見如進入營造工地必須配戴安全帽、高度達二公尺以上高處作業必須使用安全帶、有危害物場所必須有面罩、眼鏡、防護衣等。必須採取安全防護措施的情境則是不同類型的高風險作業場所。
- TCFD轉型風險透過環境保護法規、金管會行政命令、歐盟要求徵收碳稅等方式,要求企業揭露碳排放、碳足跡,未來將課以碳稅等以懲罰的方式強迫企業減碳與朝淨零的方向前進。
由以上3個例子可以知道,並不是處在一個被動安全狀態下就可以拒絕一切安全防護措施,而是進入特定情境或存在明確危害時,國家法令會要求個體、企業、設施採取相應的防護作為,因為在過去的經驗中已經充份證明了安全防護措施可以有效降低總體傷亡或損失,或未來要達成一個明確目標的時候。(筆者日前做了一個歷年職業災害的粗淺分析,一個小小發現:以前單單營造業的職災人數就已經超過其他產業的加總,近年來則是已經低於其他產業加總,也算是一件過去參與營造業職業安全衛生的研究者能覺得心慰的進步。)
主觀上的不安全並不一定需要科學證明
值得一提的是:很多法規強制的主動安全防護措施並不完全是基於明確的統計分析精準地證明發生風險的機率才要求執行,只是基於災害確實可能發生或傷亡嚴重程度可以透過適當防護而下降,就已經藉由法令強制要求,換句話說:不須用科學數據證明某個工作場所或是某條道路的事故發生機率,做好相應的安全防護措施就對了。當然有科學數據證明則能更採取更進一步的防護措施加以改善。
大部份主動安全狀態是由個體、企業、設施自己決定的安全防護措施所維持,筆者經常舉的例子是家中門鎖的數量,對於當地治安有信心或安全標準較低的民眾,通常是有門鎖或安裝一千元左右的不锈鋼鎖就可以了;相對於需要更有安全感的民眾則可能會安裝二道、三道鐵門,或買上萬元的高級門鎖,但除了公共空間很少人完全不裝門鎖,因為缺乏最低限度的安全感。其他類型的通例諸如:
- 大樓設施可能會考慮聘僱保全公司、常駐警衛、重要出入口安裝攝影機。
- 企業所屬的倉庫可能會考慮由保全公司安裝門戶偵測系統與巡邏警衛。
- 重要的供應鏈廠商(關鍵資源提供者)需要確保穩定供應,預防水資源或電力供應中斷也有諸如UPS等備援機制。
- 國家正在訓練專業警力設立保安警察第八總隊,未來幾年就會針對國家關鍵基礎設施配置警力,加強安全防護能力。
企業必須定義自己不安全的標準
總體來說,主動安全狀態經常與有備無患的觀念結合在一起,這個時候端視個體、企業、設施自己對於安全的認知標準,但是實務上所有主動安全的措施都必須付出成本,包含人力、時間、金錢、不方便,相對高的主動安全標準往往也要付出更高的代價,因此無論是TCFD實體風險或關鍵基礎設施安全防護的工作時,最常見的情況是企業會一再強調自己很安全或營運不會中斷,一來是因為過去經驗就是如此,二來至少不會增加額外的成本。這實際上無可厚非,但應該在掃除一些安全議題的盲點之後再下結論,這個盲點不能用安全與否來定論,而是安全程度。
揭露TCFD實體風險與建立設施安全防護計畫應該以安全程度為衡量標準
安全程度與韌性
這裡所指的安全程度,在風險管理對應的是危害、曝露、脆弱度;從安全的角度說得更直白一點就是面對風險的韌性。但是很多文獻對於韌性的定義都只適用在一個領域或範圍,因此筆者在這裡表達安全程度的方式是維持被動安全狀態與主動安全狀態其能量或力度的總和,與既有的所有危害相制衡。若沒有明確風險發生或可能出現,安全程度只會相對穩定的區間內浮動,也會基於因人/事/時/地/物而定,也不能直接套用至所有個體、企業、設施。為了完整闡述安全程度,至少包含以下幾個評估量度:
風險發生機率 >> 機率值越高越不安全
是的,談安全不可能不談風險,而風險則必然包含發生機率(Probability)的評估,這一體二面的風險面請參考另一篇文件:實體風險評估 與 關鍵基礎設施安全防護 的 關係與示例,簡要來說,掌握真實風險大略的發生機率是必要的,但機率評估的精準程度儘力而為達到一定程度即可,尤其利用TCFD建議量化情境分析的方式,畢竟定性或主觀的評估不利於說服利害關係者,也不利於後續風險管理績效的表達。
至於是否必須將風險的衝擊(Impact)納入,筆者的建議是視評估的對象而定,若是設施層級(請參考實體風險評估與安全防護量化績效—設施層級)並且針對單一設施營運中斷的情境,忽略衝擊評估也是可以一定程度足以表述與溝通的;若是系統層級(請參考實體風險評估與安全防護量化績效—系統層級—串接關係 I / 實體風險評估與安全防護量化績效—系統層級—弱環與並行關係),因為會涉及到核心功能業務的種類與數量、供應鏈組成的結構等,也不建議忽略這些就直接表述,本文為了避免過於複雜陳述也不在此深度論述衝擊評估,請讀者自行閱讀上述文章。
被動安全狀態 >> 大環境下新的危害數量與嚴重度
被動安全狀態的量度評估,大致上契合TCFD與SASB這二個國際標準當前的建議,也與多數企業112年度上傳報告中實體風險的評估內容契合,但基於本文對被動安全狀態的定義,筆者希望提供更完整的觀點與論述。由於TCFD與SASB的整合也在持續發展中,在此筆者也只是先抛磚引玉。
如同進入行駛道路、進入高風險作業場所、企業的實體設施處於氣候變遷的潛在區域等已經提到的例子,被動安全狀態的程度也是變動的,即使客觀環境條件維持不變,個別實體的狀態也會改變,包括建築物的老劣化、設備的老舊汱換、人員的離職與退休、資源的日漸枯竭等等,基於維持企業或設施的營運不中斷,也都有必要逐一納入考慮,至少必須列出可能危害被動安全狀態的破口,由此加以管制或採取防護措施。
主動安全狀態 >> 危害嚴重度的降低程度
我們人類向來不會坐以待斃,姑且不論不同危害源的影響不同,若僅以營運不中斷視做判斷是否安全為標準,實際上也有些過於理想化,因為現實中企業或設施就是可能會因為各種危害因素造成營運中斷,無論是天災、職災、恐怖攻擊等,如果只以營運是否中斷來判斷企業或設施是否安全顯然不切實際,因此主動安全狀態的維持需要結合實體防護系統的設計概念,核心觀念包含Detection, Delay, and Response三個要素。Detection相關的防護機制用意在即時測知並確認危害或風險,在這裡暫時歸納至第1點的風險發生機率(細節上當然有些不同,但避免深入說明而失焦)。結合主動安全狀態的概念,在這裡我們要關注的是Delay和Response這二個要素。
Delay與Response
Delay簡要來說就是危害或風險發生時可以拖延它危害到安全的程度,不至於讓企業或設施立即脫離安全的狀態,一般來說可以拖延的時間越長越好,理想的的安全防護是拖延到足以採取其他的應對措施消除掉當前的危害或風險,也可以定義為立即有效的Response,就此達成營運不中斷的目標,則危害嚴重度可以降低到0或可忽略的程度。廣義來說,企業採取TCFD轉型風險的作為也是在Delay全球海平面上升的危害程度,甚至是以消除這個危害為目標。
Response則是除了消除當前危害或風險之外,更包含了萬一企業或設施營運中斷後的快速恢復正常運作的應變作為,因此可以定義為營運中斷的時間越短越好,反應在危害嚴重度的最小化,為此,企業與設施也必須有所準備,在營運中斷的緊急時刻儘快針對缺失的必要資產和關鍵資源予以修復、替換、或補足。
Delay和Response的組成,從安全防護的角度可稱之為韌性,從風險的角度則是降低脆弱度,但是無論企業只是從脆弱度或韌性來闡述安全其實都不那麼到位和明確,如果讀者試著從Delay和Response的強度來理解維持主動安全狀態的能量或力度,就更能夠進一步往量化情境分析的目標邁進。
設施可取代性 >> 輕微危害的可接受度
請注意這個安全程度的評估並不是從設施的角度出發,而是以企業包含一個系統的高度討論設施的可取代性。這代表企業本身就已經將所營運的設施進行分散風險的處置(請參考實體風險評估與安全防護量化績效—系統層級—弱環與並行關係),由於系統中的一部份設施本來就是可以相互支援或是取代的,因此風險對一部份設施造成營運中斷的衝擊(Impact),從企業的觀點有些時候並非不能承受,這個宏觀的觀點在一定程度上已經不符合ISO/IEC Guide 51:2014對安全的定義,但在風險管理的觀念和架構下,應該不妨礙讀者的理解這也是一種安全。
討論如此多風險和安全防護的議題,最終要達成的目標就是安全,然而企業或設施仍然安全的當下,對於已經辨識出可能發生的風險必須加以防範與準備,安全程度的論證並與利害關係者達成共識是需要的。
小結
綜上所述,筆者所屬的團隊已經非常明確地定義出TCFD建議的量化情境分析與評估設施安全程度的必要資訊,而我們努力的目標是協助企業或關鍵基礎設施能夠進一步證明自己的安全程度,用數據證明自己有多安全,這篇文章提供對這些議題有興趣的讀者一個入門的說明。
若有疑問或需求可洽詢CIPService@nbhic.com。
文章內容歡迎轉載,請註明出處及作者,謝謝!!