TCFD所指韌性的本質是企業維持營運不中斷的能力,雖然中斷與不中斷只是狀態之別,實務面則是針對所有實體面對危害來源及強度的情境下,在未知時間序列下有效應對與即時應變後的最終結果。
前言
企業撰寫TCFD報告或ESG永續報告書時,被迫揭露實體風險的負面資訊,根據TCFD與SASB政策方向,未來需要揭露更多細節並與會計資訊結合,除此之外,也應該要有理有據地強調的正面資訊:【韌性】,證明企業有能力應對風險。
在正式介紹TCFD實體風險的韌性量化指標之前,須聲明相關理論、名詞定義、基本假設、分析流程、分析方法等均有明確的定義,經由分析流程(如下圖所示)逐一確認,結合以【年】為單位循環變化的氣候現象與風險管理品質改善PDCA,最終以滿足TCFD量化情境分析結果可第三方驗證、揭露於企業每一年度ESG永續報告書中,若非此一用途建議避免引用,以免理解錯誤與資訊使用不當。
韌性 / 安全 / 營運不中斷
【韌性】是TCFD強調的五個機會之一,卻是傳統風險管理的國際標準與理論中經常缺席的觀念,若將風險管理與韌性的觀念連結,最接近的應是風險處置四大策略(迴避、減輕、轉嫁、承受)中的【承受】,主要在風險發生時討論,更是上述風險處置措施中的下下策,不受重視並不讓人覺得意外。然而如今世界各國都承認一件事:【地球暖化與極端氣候從風險管理角度已經到了不可避免的程度】,實體風險是企業討論永續必須揭露的資訊,既然所有企業都要面對極端氣候,誰在更惡劣的條件下仍然能持續營運將是贏家。此時再以傳統風險管理的角度看待這種避無可避的風險時,只討論危害、曝露、脆弱度並無助於解釋何謂韌性,遑論評估韌性。
TCFD強調韌性是希望企業透過表達【災害即將發生或已經發生時,企業維持營運不中斷的能力】以獲得更多企業利害相關者的信任,由此可知,韌性是一種有效處置風險的能力,最終決定營運是否中斷的結果,前者過於抽象而後者過於武斷,筆者團隊則採用【安全】的角度切入。
安全
依據ISO/IEC Guide 51:2014對安全的定義:安全是一個在所有危害下受到保護的狀態,為了進一步區分建構安全狀態的源頭,在此區分成二種安全狀態:(可參考安全程度 V.S. TCFD實體風險與設施安全防護一文或其他安全程度相關文章)
- 被動安全狀態:客觀條件下,無須個體採取任何措施便已處在所有危害下都受到保護的狀態。
- 主動安全狀態:由個體(企業、設施)主動針對危害建立或執行安全防護措施所建構的安全狀態。
不安全
安全與否更多時候是由群體或個體對於所處環境變化形成的主、客觀感受,不那麼容易釐清,相對之下,不安全則在職業安全衛生領域已有許多成熟的理論與法規。如Heinrich骨牌理論中為了避免發生職業災害,可藉由不安全要素(社會因素、人的缺陷、不安全行為、不安全條件/環境、事故等)的排除,最終避免傷害或災害的發生。
- 不安全狀態:基於對未知事物無法掌控,超出已知安全狀態範疇之外的未知狀態均可納入不安全狀態。
為了具體評估韌性,必須把上述無法具現化的能力與狀態轉化為可以外顯、量度統一、可客觀討論的指標。綜和上述定義,【安全】如果要再加上一個量度,筆者團隊定義為【安全程度】,可以用【維持被動安全狀態與主動安全狀態,其能量或力度的總和】表達,亦即安全可以透過各種客觀條件如所處環境、國家法規等獲得,也可以經由自身對於韌性的付出而獲得,經由二種面向多重來源的能量或力度確保達到安全的目的,同時在【營運不中斷】這個確定的目標下,各方對於【安全程度】的貢獻也必須可以量度與加總,由此得到相較明確的評估方式。
TCFD實體韌性量化實務
筆者團隊長年投入國家關鍵基礎設施安全防護的議題,TCFD實體風險則是3年前有所接觸,隨後將不同領域的許多理論與方法轉化成為企業適用的工具,累積一些成果並申請專利以建立更完整的服務體系,由此分享與說明企業有關實體韌性如何量化的課題。
情境量化分析的報告書中包含不安全狀態、防護決策、風險發生機率的高低、應變時間的長短及對應的機率、防護時間的長短及對應的機率、外部支援抵達時間的長短及對應的機率或人員疏散時間的長短及對應的機率。
節錄自中華民國專利M659422號
從一個TCFD實體風險的量化情境分析結果可以達到第三方驗證的要求角度,在這個專利文件中已經把所涉及的基本評估要素納入,當然這一切的前提都是在明確的分析流程取得上述內容必要的參變數之後,才能具體提出這樣的結論。
在這二年的企業實務工作中,與客戶之間的溝通自然無法用這麼文謅謅的方式進行,需要更簡單易懂、關鍵處能再補充的描述方式,因此將韌性表達應納入的要素設計成一個表格(如下圖),用於協助企業表達已經具備的韌性,以及未來預期透過改善可以強化的韌性。
通用韌性量化指標
如上表所示,通用的實體韌性量化分析指標分為5個主量度:風險值、中斷歷時、防護增時、外援需時、恢復需時,足以用於大部份設施層級面對TCFD實體風險的韌性表達。這5個量度之外,當然還有特定情況才需加入的韌性指標,例如開放空間營運的設施會涉及人員疏散、勞力密集度高的設施基於職業安全衛生法規、消防法規也必須確保人員安全,基於這些設施性質與量度並非一體適用,因此本文只以通用的韌性量化指標進行介紹。
正式介紹前再次強調:此處的韌性量化指標是用於表達有效風險處置能力的量度,因此討論韌性量化指標的前提是企業已經或將要採取的一項風險處置措施,且與當下情境已經確認的實體、危害因子等息息相關。
風險值
在風險管理課題中運用最廣的量度是【機率】與【衝擊】,也因為二者使用過於廣泛,所以必須進一步解釋以免讀者認知有誤,尤其是在進入不安全狀態的應變過程中。
風險還未發生、實體仍在正常運作、實體在進入不安全狀態之前,風險發生的機率是隨時間變化的,需要儘可能及時評估,若隨著事態發展至可以確認實體進入不安全狀態,企業必須採取風險處置作為和啟動持續營運計畫(Business Continuity Planning, BCP),任何一個變化都會決定實體最終是否可以維持正常運作,因此風險處置過程中對於風險最終發生機率的降低程度需要初步掌握,以確認所採取的處置作為是否有效。
風險管理中針對營運不中斷、設施安全防護等議題有一個極為常見的手段:備援,備援機制通常可以將風險值大幅降低,若用失誤樹的OR Gate形式表達,處於這種形式下的失效機率將是【原實體的失效機率x備援機制的失效機率】,尤其是異地備援可以避免所有實體在同一個環境下受到相同危害因子的影響,大幅降低同一氣候危害因子的威脅和風險發生的機率值。
面對長期性的風險危害,企業同樣可以透過資源重新配置的方式降低實體的重要性或可能帶來的衝擊,例如更換營運/作業場地、營業內容調整、損失轉嫁給保險公司等,透過公司治理策略加以調整。如果實體經過處置而降低其在企業營運中的重要性,將不再是TCFD實體風險的管理重點,它的韌性也不再重要,因為有比它更須要關注的風險。此種情形更多屬於企業在系統層級的決策,唯本文以設施層級為主,因此以衝擊降低或排除的風險處置手段必須視當下的企業實體存在情形與決策層級才能進一步釐清。
中斷歷時
中斷歷時表達【實體進入不安全狀態之後,企業或設施不採取任何作為,最終營運中斷發生之前 所經歷時間】,決定中斷歷時長短的要素包含【不安全狀態的判斷標準】和所有【被動安全狀態】的綜合能量或力度,結果反映在【中斷歷時】的時間幅度長短,以下列舉幾個範例解釋會相對容易明白:
- 颱風災害的不安全狀態始於中央氣象署發布警報(通常指陸上颱風警報),直到實體設施真的因為強風、豪雨、淹水而導致企業營運中斷,此類災害的中斷歷時通常以數小時至數天的形式呈現。
- 地震災害的不安全狀態始於國家發布的地震速報,直到震波到達實體所在地造成企業營運中斷,此類災情的中斷歷時通常以數秒的形式呈現。
- 因為氣候災害導致台電營運中斷無法供電,實體設施因此停電導致企業營運中斷,此類災情的中斷歷時會以數秒至數分鐘的形式呈現。
一般來說,中斷歷時與環境、災害形成的危害因子類型、國家法規標準等外部因素關聯性較大,較少屬於設施實體可以掌控與影響的部份,因此中斷歷時這類【安全程度】的構成大多屬於【被動安全狀態】,在決定設施或實體所在位置與功能時就已經不容易變更。
對於面對風險相對謹慎的情形下,可以將【不安全狀態的判斷標準】調整至更為敏感的標準,就有可能進一步增加【中斷歷時】的時間幅度。以颱風為例,除了陸上颱風警報,中央氣象署也會發布颱風生成與海上颱風警報,若以此二者為【不安全狀態的判斷標準】,必然會有更充裕的防颱準備時間,但是,也會出現更多最終颱風沒有登陸而白忙一場的情形,二相權衡之間往往需要更多資訊與經驗才能更好地決定【不安全狀態的判斷標準】,這也是必須採取PDCA循環持續改善風險分析與處置的原因之一。
防護增時
防護增時表達【實體進入不安全狀態之後,企業或設施主動採取應變處置作為,從而延緩甚至阻止企業營運中斷所增加的時間】,所採取的處置作為將決定防護增時的增加幅度,只要所有處置作為所增加的幅度足以維持到不安全狀態解除,就可以確認企業營運不會中斷。常見的例子有:
- 為了應因停電造成營運中斷風購置不斷電系統與柴油發電機,外部停電後一段時間仍可營運、採取其他應變措施、降低停電第一時間的營運損失衝擊。停水造成營運中斷也有類似的因應機制,乾旱、缺水的不安全狀態時間幅度通常比停電長,也有更多手段獲得水源。
- 因應颱風或淹水等災害建置防水匣門或堆置沙包,直到不安全狀態解決或水患完全退去。
- 因應地震災害,實體設施的建築主體採用制震、耐震設計、以及更多安全、避難設計。
- 因應火災,實體設施設置的減火器、防火管理人及編組、自衛消防隊等。
總體而言,防護增時是透過企業主動針對危害因子預先或即時採取的應變措施所達成,延長的一段時間內仍可確保營運不中斷,因此這種安全狀態歸納為【主動安全狀態】,採取的風險處置措施也不限於一種,可以依據不安全狀態持續擴大到營運中斷之間的嚴重程度進行一系列處置。防護增時最重要的參考依據是企業的持續營運計畫(Business Continuity Planning, BCP),透過事先確立的SOP更有可能確保不安全狀態下仍能有效應因風險。
外援需時
外援需時表達【實體進入不安全狀態之後,透過企業統籌指揮、與外部的支援協定、災情通報等管道獲得的外部應變能量,其到達受災實體所在地所需的時間】,是否有外援往往與實體的所在位置和鄰近環境有關。依據不同的危害因子,常見的外援包含鄰近的警察局、消防隊、醫院、診所等單位。若是企業有超過2個以上的實體設施,任一實體設施進入不安全狀態時,實體設施之間也可以透過企業統籌指揮、互相支援,從而維持營運不中斷。
若沒有額外說明,對於外援可以提供的韌性能量與力度會定義為:【有能力消減危害因子、逆轉不安全狀態並回歸至安全狀態】,因此外援只要在營運中斷發生之前到達,就可以視為企業當下的風險解除,反之,未達此一標準的外援不應納入,而有可能納入下一個介紹的指標:【恢復需時】。
恢復需時
恢復需時表達的是【實體進入營運中斷之後,再次回復至正常營運所需要的時間】,因為營運中斷已經發生,此時企業需要以最有效的善後處置與資源調配在最短的時間之內恢復實體的正常運作,降低後續可能擴大的損失。
恢復需時涉及到的人力、物力、金錢、時間等必須視企業狀況而定,但是對此狀況有所準備往往比毫無準備的情況能在更短時間內恢復。
指標衡量原則
將上述5個韌性量化評估指標整合一個簡要示意如下圖,內容表達以各指標在狀態之間變化與彼此之間關係為主要描述方向,希望讓讀者更容易理解各項指標在評估實體韌性上的意義。
建立韌性量化指標之後,可以進一步根據每一個韌性指標的定義與特性,初步區分韌性優劣的表達方式,簡要說明如下:
- 無論是機率或衝擊,企業管理層或設施管理層若具備直接迴避風險、回歸安全狀態的風險處置措施,從風險管理角度必然是更好的決策方向,只是如果沒有經過長期規劃可能會付出更高的代價。任何風險處置措施或多或少都有降低風險發生機率的效果,在不安全狀態下能區別該風險處置措施的有效性與是否應該被執行,然而只要無法確定可以重新回到安全狀態,就必須伴隨其他4個韌性指標共同表達才算完整。
- 將 【中斷歷時+防護增時】最大化直到無法避免營運中斷的一系列風險處置措施,即【中斷歷時+防護增時】越長越好。
- 危害可以透過外部單位消除時,外援越快扺達越好。(需同時考慮觸發外援的標準、程序、需要的時間、與是否足以消弭危害因子)
- 營運中斷已不可避免地發生時,回復安全狀態並重新營運的時間越短越好。
投資韌性
韌性或【安全程度】的組成在此分成【被動安全狀態】與【主動安全狀態】,一般而言【被動安全狀態】是一種所有民眾及企業共享的資源,也就是【被動安全狀態】提供的安全程度足夠時大部份人都安全,安全程度不足時所有人都落入高風險和低韌性,【被動安全狀態】也不是一家企業可以獨力改變,企業唯一可以決定的是實體所在的位置不要選擇【被動安全狀態】無法維持高水準的【安全程度】的環境。
企業如果想要短時間內強化韌性,【主動安全狀態】是可以積極爭取的,付出適當資源在風險敏感的實體上並採取有效的風險處置措施才是一種積極掌控風險的正向心態,所有人能夠量化評估並客觀討論風險與韌性正是筆者團隊提出韌性量化指標的核心理念。
由於韌性是透過風險處置作為所產生,實務上也分為針對個別實體進行風險處置,或是針對危害來源進行風險處置,同一個風險處置作為也可能在前述5個韌性量度都發揮作用,因為實務面企業可以採取的風險處置措施非常具有彈性,只要符合現實,選擇適合的風險處置措施正是風險管理或韌性評估的核心課題。
實務狀況在決策時將涉及更多必須考量的資訊,包含所須花費的成本、時間、人力。TCFD轉型風險就是典型針對危害來源(地球暖化/碳排放)要求世界各國政府、企業減碳甚至碳淨零的一個風險處置措施,同時這個風險處置措施的代價非常高昂,全球企業也被迫參與。
風險管理的成本與投資報酬率必然是企業基於金管會結合TCFD與SASB的要求下不得不精算也不得不揭露的一項資訊,回到本文一開始的PDCA流程圖,韌性也是企業在風險管理投資的一部份,最終會形成一個完整的閉環,只要企業永續的課題存在,企業就必須針對氣候變遷落實風險管理。提出韌性量化指標更重要的核心概念是希望以更客觀、明確的資訊協助企業評估投入風險處置或是韌性的投資報酬率,而不是一個風險矩陣、二個維度定性評估、幾個形容詞就告訴自己和所有人企業很安全。
結語
這篇文章非常難寫,讀者目前看到的是第三版,因為韌性這件事情不僅是在一系列風險分析之後才討論的議題,也有更多實務層面必須考量,如何取其精華也讓讀者簡單易懂是最大的挑戰。
其實還有更多的問題需要討論與釐清,現階段的成果只是筆者基於過去在風險管理、職業安全衛生、災害治理、關鍵基礎設施安全防護等跨領域工作經驗、對於TCFD與SASB的政策動向與理解所提出的脈絡疏理與方法建議,同時協助企業分析與揭露TCFD實體風險。這個議題本質上就是複雜的,至少,在SASB的架構下也是以產業別區分必須揭露的項目,只要產業背景明確、企業環境條件都明朗的情況下,必然可以提出更符合企業實際需求的實體風險管理方法與韌性量化指標。
先跨出能夠溝通的第一步吧!!
若有疑問或需求可洽詢CIPService@nbhic.com。
文章內容歡迎轉載,請註明出處及作者,謝謝!!
