風險處置 V.S. 韌性 — 優化永續報告系列 III

永續所談及的重大主題，往往是無法規避的風險，只能建立與它共存的韌性。

前言

無論是災害發生後的慘痛教訓，或是辨識風險後無作為的幸運，都偏離了風險管理的本意，前者為時已晚，後者更常落入錯失風險處置時機與杞人憂天的二難窘境，皆非正選。如果風險的後果獨自承受，外人確實也沒有太多置喙空間，但企業的風險卻是利害相關者共同承擔。

風險管理是非常講究實際行動的科學，無論是正面機會的爭取或是負面危害的扺禦，只有準備好的人或企業才有討論的底氣，這個底氣也是永續報告書最應該呈現的資訊。

系列文章

本文是系列文章中的第三篇，建議讀者優先依序閱讀以下文章，以利理解名詞定義與運作流程(詳下圖)。

• 永續報告深入風險管理的第一步
• 企業在永續議題下的核心課題 (序言)
• 範疇 V.S. 目標與指標 — 優化永續報告系列 I
• 危害 V.S. 監測 — 優化永續報告系列 II

風險管理的PDCA

辨識、評估與處置

風險管理始於【初步危害清單】(Preliminary Hazard List, PHL)或風險清單的【風險辨識】，隨後【風險評估】並依重要性排序危害或風險，基於此，永續報告書可透過機率(Likehood)、衝擊(Consequence)、雙重重大性原則等確立重大主題，針對重要的風險優先進行【風險處置】，透過反覆調整運作機制、消弭危害、確認風險可控等，最後，撰寫【紀錄&報告】(Recording and reporting)，直至下一個風險管理的循環啟動。

永續報告書本質上是風險管理中紀錄&報告的一種形式。企業的風險管理成果，即【管理層】範疇，以符合法規要求為基本目標，展現管理成果成為永續報告書的資訊。結合IFRS與SASB的居安思危概念，企業永遠存在風險和重大主題，因此表達資訊的重點在於重大主題是否可控，或是最糟糕情境下的損失是否可以被接受，由此完成紀錄&報告，且每一次循環都該紀錄PDCA過程中可追蹤的完整資訊，開始與結束的概念就會相對淡化，轉變為定期的檢視機制。

在【執行層】範疇內進行風險管理時，風險處置與紀錄&報告以消除【危害】為首要目標，實體對象則是【必要資產】與【關鍵資源】，一旦建立能完全杜絕危害的機制，使其發生機率理論上無限接近於0%，這個危害發生的情境就可以從重大風險中解除，危害也可以從PHL中移除；反之，若無法完全消弭危害而必須與其共存時，就必須強調面對危害的耐受程度；建立應變手段；保護【營運活動】不會因此中斷。

若影響層次擴大到【部門層】時，為了確保【核心功能業務】營運持續或不中斷，著重在建立衝擊評估機制與緩衝手段。相較於執行層，可以調動的資源與手段更多；相較於管理層，風險與危害的情境則更明確。

在WBS架構的層級關係下，風險與危害也是環環相扣的：

• Top-down：管理層的風險，在部門層完成衝擊評估，在執行層確定危害形成的機率。
• Bottum-up：在執行層無法杜絕的危害，傳遞到部門層造成衝擊，在管理層形成重要風險，成為在永續報告書中的重大主題。

層次之間基於管理權責皆應具備風險管理機制，也極可能存在因果關係，而一個好的風險管理機制恰恰是以斬斷這些因果之間傳遞風險的環節而得到彰顯。

脆弱度、韌性與弱環

基於層次之間環環相扣、形成影響的性質，企業在討論重大主題或主要風險時，只具備【脆弱度】的觀念是不夠的，必須進一步將不同範疇和影響關係釐清才有意義，從而連結【韌性】與【弱環】這二個概念

脆弱度是 ISO 14091 評估氣候風險的三個重要維度之一，用來形容在極端氣候情境下，優先受到影響或破壞的部份與程度，一般而言，受到氣候因素影響的對象為現實世界的實體。進一步結合本系列文章的脈絡時，實體屬於執行層的範疇，極端氣候形成的危害現象則作用於必要資產與關鍵資源。由此可以進一步釐清：脆弱度係指在特定危害現象下造成必要資產的功能缺失；關鍵資源數量不足的程度。可以用功能缺失或資源數量不足的程度達成量化描述脆弱度的目的。

相對於 ISO 14091 ，TCFD(Task Force on Climate-Related Financial Disclosures，目前已併入 IFRS S2 )也是氣候相關的國際標準，TCFD並不討論脆弱度，而將【韌性】列入企業五種機會之中，但韌性一詞並非 TCFD 所創，其本意源自於材料受到外力影響仍不被破壞的扺禦能力，例如抗壓、抗拉、抗剪等物理強度，如今擴大為形容國家或企業在戰爭、氣候變遷、國際情勢變化下維持既有境況的能力。韌性將於本文後半段深入闡述，然而既然永續報告書係為彰顯企業在諸多風險下的永續能力，韌性一詞顯然更貼近使用需求。

ISO 14091 討論脆弱度時的先決要件是特定極端氣候情境；TCFD與【上市/上櫃公司編製與申報永續報告書作業辦法】也提及：【若使用情境分析評估面對氣候變遷風險之韌性，應說明所使用之情境、參數、假設、分析因子及主要財務影響】。這些先決條件都引導出一件明確的事實：風險必須基於執行層明確的危害條件才有分析的意義，同時考慮反映在部門層與管理層的衝擊。如此一來，又存在資訊隱晦不清的部份：什麼樣的情境或危害條件才具備分析的意義？

筆者所採用的名詞【弱環】，用於反映出【企業在特定情境下，危害形成風險值(即 機率 X 衝擊)無法被接受的情形】，既應涵蓋 Top-down 和 Bottum-up 的 WBS 關係以充分說明衝擊影響程度高，亦須追溯至執行層的危害現象或物質的發生機率高，因此弱環的組成必須反映於核心功能業務、必要資產、關鍵資源 相關的危害資訊。

弱環因其無法被接受的性質，在永續報告書中應與所列出的重大主題有關，但同一個重大主題可能存在跨越層次、實體、危害的多個弱環，例如颱風或地震的危害現象可能反映在多個廠房、設備和人員的不安全；反之一個重要的生產設備也可能同時受到溫度、溼度、震動等多重危害而功能喪失。因此弱環的呈現形態是一系列以不安全狀態為情境標準而篩選出實體、危害的風險組成清單。

一般而言，只要特定危害或是風險容易影響重大主題且發生機率不能被接受時，就可以定義為弱環，納入管制清單。風險管理的實務上，判斷哪一些弱環足以成為代表重大主題的情境才是真正的挑戰，因為機率隱含的不確定性無法引導出絕對的標準答案。不過，弱環間的橫向比較或資訊整合，很多時候也能提供重要的管理線索。

弱環的交集

當企業進入風險管理的實踐階段，逐步累積【風險評估】與【風險處置】的成果，代表弱環的風險組成清單將會越來越明確。在這個過程中，如果某一個弱環組成元素反覆地出現時，它所代表的是不得不面對的情境、不得不管理的實體，必須要避免的危害。

行文至此，筆者已經結合國際標準、法規、管理理論等，具體闡述了：

• 風險管理的範疇與層次，藉由 WBS 闡明管理結構、管理的目標與指標
• 透過危害與監測，說明機率與衝擊、初始風險發生的順序與時間關係

唯有最後一個關鍵要素：【空間】遲遲未提。

在關鍵基礎設施的應用方法中，拓樸學(Topology)是研究【空間內在連續變化下維持不變性質】的學門，同樣的問題也反映在執行層與部門層的範疇背後所代表的空間關係，然而這件事情不容易在沒有具體空間概念的前提下討論，因此鮮少在風險管理架構內強調，但是若想要描述現實世界中的風險如何傳遞與交互影響時，空間的概念非常重要，必須適當連結。

除了空間之外，【相依性】則是另一個常用名詞用於表達事物之間關聯性的用詞，但要明確表達其意涵也未必容易，基於此，觀察弱環呈現在層次、實體、危害等資訊的交集則是實務分析上的重要方向。

考量企業透過永續報告書的重大主題或管理制度由上而下(Top-down)逐步落實風險管理的過程中，未必具備完整的時間、空間的具體概念，然而只要持續進行分析，當弱環組成元素頻繁出現交集時，相關的情境、實體、危害也就極有可能在時間、空間、相依性等面向出現因果關係，足以形成企業必須優先管理的初步判斷，再結合進一步的因子分析或由執行層向上(Bottom-up)的歸納分析，就有機會快速聚焦出企業整體風險管理的核心環節。依據產業特性，既有可能反映在部門層，如金融保險業；也有可能反映在執行層，如製造業。

韌性

情境的代表性

結合風險管理與永續報告書的要求，管理目標與制度落實必須一脈相承，管理層針對重大主題制定長期性的戰略；部門層基於範疇與上層的戰略，依其權責決定戰術，有效配置與調度資源以達成績效；執行層延續上層戰術，建立標準作業程度與危害發生當下的第一時間應變內容，第一時間應對不安全的情境。這些環節模糊不清，有時容易適得其反，或是重覆投入資源。

基於說明韌性的前提為情境，不少企業已經著手氣候風險的情境分析，自然也存在不同程度的呈現方式，而核心課題是情境是否具備代表性，可透過三個部份檢視：

• 是否存在與重大主題相關的指標？
• 是否反映在企業當前或將要投入的治理資源？
• 情境、實體、危害等是否明確？

綜合所有觀念與要求，與弱環有關的情境正是企業描述韌性必須要重點說明風險處置成效的要件，而多個弱環指向共同的情境、實體、危害時，則是企業優先落實風險處置或強化韌性的對象。

風險處置與韌性

執行層

消弭風險的源頭通常為優先考量，也就是避免初始風險發生從而擴大影響企業ESG績效，然而危害現象或物質不一定能完全杜絕，危害則轉為初始風險，必要資產或關鍵資源出現功能喪失或數量短缺，進而造成營運活動中斷或延後。

執行層通常必須在第一時間採取應變措施，並內化為標準作業程序。常見的風險處置手段包含：

• 杜絕所有可能影響必要資產或關鍵資源的危害現象或物質 –> 迴避
• 強化必要資產或關鍵資源的耐受程度或量 –> 承受
• 延後營運活動可能受到影響的時間 –> 迴避 / 減輕

執行層的風險處置在環境安全衛生的議題上得到最充分的展現，也是永續報告書中的必要章節之一，常以職災發生次數、傷亡人數與教育訓練時數為績效指標。企業為了保持合規的作業環境，必須依據相關法規、台灣職業安全衛生管理系統(TOSHMS)、產業特性設計等，規劃安全的作業場所；監控不安全狀態的發生情形；落實教育訓練。這些手段就已經涵蓋了大部份前面提及的風險處置手段，

問題在於執行層消弭危害的風險處置手段，往往耗費的人力、物力極高，多半需要經年累月才見成效，如果沒有好的績效表達方式，非常容易變成流水帳，因為教育訓練時數未必證明危害可以充分消弭，以傷亡為指標則已是事後檢討，不容易正面表達。

部門層

只要危害無法完全杜絕，無法在執行層減輕初始風險衍生的衝擊，勢必在部門層影響核心功能業務，造成營運無法持續或中斷的情形。另一方面，部門層擁有更多資源與彈性進行風險處置，通常採取的風險處置手段包含但不限於：

• 增加必要資產或關鍵資源的備用量，迅速取代已經受到影響的資產或資源 –> 迴避 / 減輕
• 區分多個執行層，避免相同的危害現象或物質發生隨即禍及全體 –> 減輕
• 透過分包與供應商管理，轉移危害現象或物質至企業範疇外 –> 轉嫁
• 透過保險降低核心功能業務營運中斷的損失 –> 轉嫁
• 建立系統性管理原則，在風險不可接受時停止投入資源 –> 承受

風險處置的手段無法逐一列舉，然而透過在執行層與部門層的風險處置手段，若能落實一項或多項的風險處置組合，就有機會消弭或抑制風險發生後的影響，反映在管理層的績效上，即企業不容易受到風險影響的韌性。

考量營運持續的韌性評估指標

ISO 22301 營運持續管理是關於企業穩健經營的國際標準，當一個企業具備風險發生情境下的營運持續能力，自然屬於一種具有韌性的表現形式。此外，以企業本身營運持續的能力進一步延伸至客戶端的服務品質，也是SASB(Sustainability Accounting Standards Board) 與一部份產業已經沿用或考慮的企業韌性評估方向。

• 技術崩潰的管理系統風險(Managing Systemic Risks from Technology Disruptions)(SASB)
  • 服務品質與中斷：Number, Days
  • 系統中斷：Disruptions per customer, Hours per customer
• 電力產業的電網韌性指標
  • SAIFI (System Average Interruption Frequency Index)： 系統平均停電次數，表示每個客戶平均遭遇停電的次數。 計算方式為：總停電次數除以總客戶數。
  • SAIDI (System Average Interruption Duration Index) ：系統平均停電時間，表示每個客戶平均停電的總時長。 計算方式為：總停電時間(分鐘或小時) 除以總客戶數。
  • CAIDI (Customer Average Interruption Duration Index) ：客戶平均停電時間，表示每次停電的平均持續時間。 計算方式為：總停電時間除以總停電次數。
  • MAIFI (Momentary Average Interruption Frequency Index)：系統平均瞬時停電次數，表示客戶平均遭遇的瞬時停電(通常是幾秒鐘的停電) 次數。 計算方式為：總瞬時停電次數除以總客戶數。

建議的韌性評估指標

【風險與韌性】是本網站的主題，關於韌性評估指標也已經有一篇文章具體說明與列舉案例(參考風險管理的績效：韌性)，不僅在概念上概括了上述的國際標準，也符合關鍵基礎設施安全防護的觀念。韌性評估指標條列並簡要說明如下：

設施層級

• 部門層與執行層存在於同一獨立行政單位，須同時考量核心功能業務、營運活動、必要資產、關鍵資源等要素。
• 韌性指標
  • 風險值：透過管理手段與標準作業程序降低營運中斷的機率。
    • 執行層 以機率為主。
    • 部門層 以衝擊為主。
    • 較複雜時可結合機率與衝擊一併考慮。
  • 中斷歷時：在不安全情境下，不採取任何作為仍能保持營運持續的時間。
  • 防護增時：在不安全情境下，採取風險處置手段而延長營運持續的時間。
  • 外援需時：若透過外援的協助可以重新回到安全情境，外援抵達需要的時間。
  • 回復需時：發生營運中斷後，重新回到正常運作所需的時間。

設施層級

• 部門層與管理層的虛作業任意排列組合形成的管理單位，基於其範疇擁有資源調度、財務等管理權限。
• 韌性指標
  • 衝擊降低：迴避、轉嫁、減輕對企業造成的衝擊。
  • 緩衝增加：在既有的資源供應機制下，提高供應空窗期的營運持續能力，如增加關鍵資源的庫存量。
  • 備援設施：針對可能營運中斷的設施，建立備援或設施之間的相互支援機制。
  • 分散風險：對所需的上游資源(人、機、料、水、電)、自身設施的依賴、下游客戶的市場等，妥善維持比例或多元化。

除了上述所列的通用韌性指標，企業基於不同產業性質與永續報告書的重大主題，自然也可以另行訂定自己的指標以衡量重大主題的績效，例如服務業的顧客滿意度、供應關係的穩健程度、合規程度等。

回到以優化永續報告書內容為目標，仍應儘可能考量情境的代表性，用風險處置的具體成效回應重大主題是否得到精進或改善，形成有說服力的資訊閉環。

小結

永續報告書依規定必須決定重大主題，曝露企業自身的重要風險，最好的資訊自洽說明方式就是提出具體的風險管理績效，說明：

• 穩定地朝向永續戰略目標精進
• 風險獲得有效地監控
• 風險不幸發生時，仍具備妥善處置的能力

若未考量上述項目，永續報告書中很容易出現失去資訊連貫性，或未針對情境分析、風險處置等沒有完整說明。

以 IFRS S2 的氣候風險分析為例，一方面以全球碳中和的目標建構極端氣候風險情境，處置上規劃了未來20-30年減碳的風險處置目標；另一方面又假設全球減碳失敗的海平面上升，以多重情境評估可能的衝擊，如果僅是管理層確立重大主題的的分析，問題不大，但是若進入部門層與執行層仍延用這樣的假設，缺乏【危害與監測】的機制，沒有具體且有意義的情境分析韌性，往往不了了之。

風險管理的最佳實踐方式是所謂最壞的打算、最好的準備，如果進一步考慮企業有限的資源，企業的永續能力則應該是【在能力所及的前提下，維持風險處置與韌性提升的投資績效】，因此，【建立與重大主題之間的量化評估指標】是不可迴避的課題。

若有疑問或需求可洽詢CIPService@nbhic.com。

文章內容歡迎轉載，請註明出處及作者，謝謝！！