是否落實風險管理的雲泥之別

被認為重要的風險，究竟該怎麼落實風險管理才合理？或是，等到災害發生再衡量錯誤決策帶來的損失？

前言

近期受到股民和產業矚目的重大事件，除了美國關稅議題，不外乎台積電的洩密案與台泥投資的三元能源科技高雄電池廠火災案，二個事件都相當程度涉及企業存續，藉此筆者從風險管理的角度提供一些解讀。

三元能源科技高雄電池廠大火

台積電2奈米洩密案

為何傳統風險管理工具效果有限

所謂傳統風險管理工具泛指風險矩陣分析(如下圖所示)或重大議題分析的二軸圖示，也許是衝擊程度結合機率，也許是重要/衝擊程度結合時間(短、中、長期)，都是永續報告書的常見且基本的風險管理呈現內容。

似乎只要揭露這樣的資訊，說明企業已經辨識出重大風險，風險已經獲得重視，再配合外顯資訊指標(例如職業災害事故數、火災事故數、員工教育訓練時數等)佐證，就足以說明企業已經掌控了風險。

是這樣嗎………？

上述二個新聞事件中，無論是火災或是營業秘密遭竊，如果企業將這些風險納入永續報告書中，評估結果大概只會是：發生機率【幾乎不可能發生】x 衝擊程度【大】或【嚴重】，再補充說明管控風險的行政組織、管理機制，結束。反正幾乎不可能發生…………

眼下，台泥損失了110億，主管層級帶頭減薪，有媒體人戲稱幾年的永續績效毁於一旦；另一方面，台積電發現並及時處置洩密案，確保了核心技術未外流，卻又和風險矩陣或永續報告書揭露的資訊有多少關係！？

風險辨識後產出的風險矩陣並非無用，但它只是踏進風險管理的敲門磚，知道某些風險很重要，問題在於：然後呢！？

• 每年永續報告書都只停在揭露風險矩陣就好了嗎！？
• 結果決定一切？ 所以台泥花了30億的消防系統只換來一個教訓！？
• 企業明明都或多或少投入風險管理，為什麼很多地方呈現不出成效？

現實是：如果沒有像台積電一樣的實力和事件經歷，不討論風險處置和應該達成的成效，無法形成合理的營運決策，對於風險管理的付出很容易變成被企業績效厭棄的沈沒成本。

虛假安全感的代價

在台泥的案例中(雖然主角是三元能源科技，母公司台泥反倒是新聞焦點，以下僅以台泥代稱)，最讓外界無法理解同時企業管理層無法解釋的部份是：向保險公司自行退保再另訂保險條件。雖然每年的保險費降低約5千萬，代價則是降低保險單次理賠的額度，導致此次火災實際理賠金額大幅降低，大部份損失由台泥自行吸收。

在【年繳保費減少將近5千萬】與【發生火災後必須自行負擔的82.59億損失】二者之間，無論是過度信任耗資30億的消防系統，或是為了節省每年的保費，顯然在認知到風險【幾乎不可能發生】的自信心驅使下決定賭上一把，這個決策的形成原因與過程才是最耐人尋味的部份，值得企業借鑑。

也許有一些人覺得：台泥只是運氣不好，相比於有些企業(屏東的明揚國際、桃園的敬鵬等)明顯違反消防法規，這個電池廠確實斥鉅資強化消防系統，也才剛維護不久，問題只是沒發揮作用。但是，結果恰恰說明了台泥自廢武功才讓損失如此巨大。

看似有理，實則無益的學術用語

如果用事後諸葛的角度簡單下結論，虛假安全感正是導致錯誤決策的致命因素。(虛假安全感一詞可以參考另一篇文章，簡單解釋：對自身安全程度的錯誤認知，最終誤判導致災害或悲劇。)

【既然災害最終發生了，事前必然在某些地方因為虛假安全感而形成漏洞導致火災】，因此台泥只能吞下災後的苦果，但筆者認為這純粹是沒有爭議卻毫無幫助的結論。想要解決問題，真正該問的是：【災害沒有發生，怎麼知道當前的安全感是否虛假？】 這個問題困擾著無數人，也是筆者致力於量化【風險】與【韌性】試圖解決的核心課題。

落實風險處置才能挑戰虛假

風險管理無處不在

人類社會之所以能發展到現在，本質上就是在一次次風險中存活下來，根據經驗形成道德規範和法令規章，背後的基礎都是無數的血與淚，如同台灣三個血淋淋的經驗：

• 921 大地震（1999）→ 《建築法》、《災害防救法》修正
  • 事件背景：1999年9月21日發生芮氏規模7.3的集集地震，造成逾2,400人死亡、房屋倒塌嚴重。
  • 修法重點：
    • 《建築法》強化耐震設計規範，要求新建建築物必須符合更嚴格的耐震標準。
    • 《災害防救法》在2000年修正，建立中央與地方的災害防救體系，明定災害應變中心的設置與運作方式。
• 八八風災（莫拉克颱風，2009）→ 《災害防救法》大幅修正
  • 事件背景：2009年莫拉克颱風帶來超過2,000毫米豪雨，造成小林村滅村與重大傷亡。
  • 修法重點：
    • 增訂「大規模土石流與山崩」的防災規範。
    • 強化中央政府對重大災害的指揮權限，並擴大撤離避難機制。
• 八仙塵爆事件（2015）→ 《公共危險物品及可燃性高壓氣體設置標準》、《集會遊行與公共安全管理規範》修正
  • 事件背景：2015年6月27日八仙樂園舉辦彩色派對，因彩粉燃燒引發大規模火災，造成15人死亡、逾400人重傷。
  • 修法重點：
    • 修正《公共危險物品管理規範》，要求活動主辦單位提出更完整的風險評估與安全計畫。
    • 強化企業舉辦群眾活動的安全責任，要求提出「風險評估」、「緊急應變計畫」與「保險規劃」。

企業永續與風險管理的能力

八仙塵爆事件殷鑑不遠，【八仙樂園育樂股份有限公司】在2015年粉塵爆炸事件中，因須負無過失賠償責任停業至今，沒有機會再談企業永續了，法規層面則換來地方政府和企業辦理群眾活動時更多的限制與責任，完成一個階段風險管理的閉環，意圖防止後續類似的風險發生。

企業必須撰寫永續報告書也是風險日漸嚴峻背景下的產物，無論是對內(產品、製程、員工等)或對外(環境、社會、地球暖化等)，基本原則是不能等到重大災害降臨或地球環境不適合人類生存時才搶救，為時已晚。除了聯合國與政府的努力，企業也必須透過永續報告書持續揭露達成永續應該具備的能力或作為，因此無論ESG或IFRS S2 / TCFD都圍繞著風險管理，永續報告書的終極目的也不是企業的年度作文比賽。

無論如何，大部份上市櫃公司應該已經完成2024年永續報告書的現在，內容與架構的合規程度應該已經具備，接下來企業之間能比較差異的除了營運績效就是風險管理的落實程度，台泥和台積電的新聞事件正好是擺在眼前二個結果截然不同的案例，更希望藉此釐清這些風險管理上的認知落差。

風險管理的務實課題

現實生活中的風險管理並不僅是辨識風險，而是理解風險如何發生、發生後事件的時序、如何應變、以及可能導致的損失，從企業治理或永續報告書現階段的要求與呈現方式而論，如果只進行了風險矩陣分析或重大議題分析，實際上只評估了【可能導致的損失】，機率或短中長期的時點如果沒有具體佐證，更多屬於一群企業管理層和利害相關者透過問卷的自由心證或是治理目標。

為了提供這二個案例的系統性比較，以下筆者透過保安系統設計理論的2D1R進行案例在風險管理層次上的比較和說明。

偵測(Detection)

偵測(Detection)的面向與方式非常多元，包含企業的專業判斷、個人的感知、影像的監控、IOT的偵測、透過AI的預測等等，例如火災偵測平均反應時間(秒)、機密資料異常存取偵測。在安全防護的核心概念中，偵測是基於任何已知的訊息判斷當下是否發生風險或危害，或企業已經進入不安全的狀態，時間點和判斷結果最為重要，如果缺失這個能力，就不會有風險管理的後續作為，極可能放任事故發生並導致損失。

• 台泥的案例裡偵測是失敗的，導致在火災當下五道關鍵防護程序無一啟動，因此消防系統形同虛設。雖然人員未依照SOP或自動化設備的發生異常是遠因，但企業本就難以完全排除此類風險發生才需要進行風險管理和設置消防系統。
• 台積電的案例裡偵測是成功的，雖然筆者無法確認多少企業會在內部的作業系統中建置監測系統，從而發現機密資料接觸異常，但台積電在這件事情上的投資具有效益已經透過結果證明，一方面因為2奈米技術或先進製程技術至關重要，技術外洩帶來的後果極為致命，另一方面則是突顯風險偵測絕不是發生機率低就可以忽略，須知台積電對人員控管之嚴格遠超大部份產業，仍然無法杜絕人員的惡意行為。

辨識風險(如同永續報告書的重大議題揭露)和理解風險如何發生從本質上是完全不同的二件事，筆者常用生死大事為例，【知道自己早晚會離開這個世界】 和 【積極健康管理、定期檢查找出致病或致死的因素】，絕對是二種截然不同的人生觀，同樣反映在企業永續的課題上，面對風險的偵測手段與作為正是這個環節裡不可或缺的要素。

延遲(Delay)

延遲(Delay)是實務或實體層次的風險管理中最容易被忽略的要素，因為任何現實環境中的風險都存在發生後事件的時序，同時大部份災害也不是一瞬間發生或結束，如果在過程中可以採取有效的機制延遲災害發生，直到危害因素消失或得到救援，因此延遲是實務風險處置的成效的一種具體呈現方式，例如區域阻燃/防爆時間(min)、資料外流阻擋能力。可惜的是，目前延遲這個關鍵要素目前只反應在一部份SASB建議的揭露指標裡，例如企業營運持續能力、氣候調適能力或韌性等隱晦指標中。

回到二個真實案例的比較：

• 台泥的案例裡，延遲包含五道關鍵防護程序，相信在這五道程序既有規劃中必然能夠一定程度揭制火災發生後的程度擴大與災害損失，如果在這個過程中正常觸發、現場人員反應及時、或是消防單位及時抵達，這個事件的結果就有機會改寫，可惜偵測失敗導致防護程序未啟動，沒有達到延遲的效果。

• 台積電在成功偵測後進行的延遲作為至少包含人員的察查與報警，最終在相關人員離開國境前予以逮捕，過程中必然是爭分奪秒的一系列事件，包含人員、物品和資訊的攔截，最終在2奈米技術洩露到日本公司之前阻止事態擴大。

很多時候企業對風險管理的投資很難具體展現，尤其在風險發生後，再多解釋也淪為無用功，就像是台泥案例中消防系統的5道防護，其價值或說服力顯然微乎其微。但如果回到事前，在風險一直未曾真正發生的狀態下，台泥能夠下定決心花費30億投資必然也是看中這套消防系統應有的防護能力，包括延緩火災擴大的過程，才會形成企業高層的決策，這部份也不能倒果為因，否則抽換保險的底氣從何而來？

無論如何，將災害發生當下的一系列作為轉化成延遲能力的強弱，正是表達韌性的必要資訊之一。

應變(Response)

應變很多時候與延遲混為一談，主要差別體現在過程與結果，最容易的判斷方式：【延遲反映在時序與過程；應變強調結果】，無論是災害發生前或過程中讓災害危害因子消失從而避免造成損失，或是災害發生後能恢復正常運作的效果，都會用應變這個詞，例如消防人員抵達時間(min)、災後復原的速度。

• 應變是台泥的案例中唯一看得到的部份，但為時已晚，過程中因為電池產品的特性難以撲滅，只能控制火勢直到燃燒完畢，火災至今廠房無法恢復，改由南科廠接手高階訂單。典型的應變未及時，只能災後收拾殘局的境遇，幸運的是尚不影響台泥的存續，但短期內股價必然受到影響。
• 以結果論，台積電的應變屬於過程中杜絕危害因子的最佳範例，可惜筆者未能窺得全貌，無法區分哪些部份應該以延遲或是應變的部份呈現。相信許多技術創新領先同業的企業應該會好奇台積電的標準作業程序如何運作，若是台積電適度揭露在永續報告書中，筆者就有機會進一步解析，也有助於透過永續報告書進一步強化利害相關者的信心。

應變的成效始於面對風險、制訂標準作業程序、適度教育訓練與演練、事發當下反應及時，各個環節缺一不可，也只能用實際結果驗證，不是一朝一夕可以達成，需要主事者重視且執行人員積極配合才能形成，小則火災警報的疏散演練，大至國家每年的漢光演習，都是為了培養風險發生當下的應變能力。

小結

如果讀者關注過金管會在114年4月發布的企業永續發展「參考資料」，其中包含了【永續報告書模板及參考範例手冊】，亦或是【接軌IFRS永續揭露準則專區】的【IFRS S2氣候相關揭露實務指引】等最新指引資料，主管機關都已經詳盡地展示必要的揭露架構和方式，提供產業範本，因此任何企業都足以透過指引和範例完成一份永續報告書。剩下的問題在於通篇都是風險管理和風險辨識，沒講清楚的剩下企業如何說明風險管理的落實程度，包含：

• 全面掌握風險範疇並採取適當的應對措施，確保相關風險得到有效管理
• 嚴謹的內控制度，如COSO ICIF(可參考本站另一篇文章)
• 關於風險胃納、風險指標與資料、風險回應等，與風險處置原則有關的資訊呈現

這些部份金管會無法為企業示範，根本原因在於企業背景和風險管理制度不同，呈現出來的結果天差地別。如同本文台泥和台積電案例的比較，上述這些重要資訊恰恰反應出二個案例的不同，但是，只要回歸風險管理的本質，透過2D1R的架構還是能更完整解析與說明現實生活中的風險管理如何運行。

這也是為何筆者透過民邦資訊為企業提供【贏在永續：報告書制勝指南】這門課程，目的正是為了補強企業在理解風險如何發生、發生後事件的時序、如何應變等層次上的不足，從而在永續報告書中呈現出讓利害相關者對企業更有信心的論述，有別與其他企業而贏在永續報告書的紮實基礎，執行上，企業不須額外付出高成本或揭露營業秘密，結合企業已有的資訊並突顯出來即能達到成效。

另一方面，風險雖然處處存在，企業也非如此脆弱，如何客觀地評量企業的韌性才是真正要努力的方向，因此也提供了韌性指標的建議方案，可以參考本站文章【TCFD實體風險韌性量化指標—設施層級】和【氣候風險韌性量化標準暨企業韌性年鑑籌備說明會】相關資料。

無論是TCFD實體風險韌性或企業永續的韌性，回歸風險管理的基礎上都是一致的，應用面向不同罷了。

若有疑問或需求可洽詢CIPService@nbhic.com。

文章內容歡迎轉載，請註明出處及作者，謝謝！！