風險管理在執行面的目的是改善弱環,無論是實體或虛擬、國家或企業、系統或設施,但是並不代表必須要向所有人完全曝露引起不必要的覬覦,只要在涉及股東權益和更嚴重的國家安全時要合理說明處置措施和支出。
2月6日土耳其發生大規模的地震災害並持續餘震,祝願早日渡過,傷亡可以降至最低.
可以藉此說明的一件事是:重大災害來臨時,程度差異不大的安全防護措施是相對可以忽略的。 同樣地,風險揭露亦然,只是從實體風險和安全防護的角度上,如何在相同的情境下將損失降到最低才是討論重點,為此企業或設施必須投入處置措施和合理支出,也因此TCFD要求揭露的是情境和財務,用以說服企業或設施的利害相關者。
不必要的資訊揭露可以避免,筆者為企業執行實體風險評估或為關鍵基礎設施檢視安全防護時,除非業主特別要求或合約明確規範,筆者實際上很少深入檢視作業程序與規範等細節,尤其是關乎商業機密或國家安全的資料,都沒必要揭露或可以一定程度去識別化。這個概念就像是許多企業會要求員工在入職前後完成健康檢查,企業的人資部門必然會保留每一位員工的檢查報告,但鮮少基於檢查報告干涉入職與否或日常職務的履行,因為大部份情況下企業只是要確認員工是健康的,除了少數高危職業和職業安全衛生的因素有必要提早介入或頻繁確認,否則企業並不會特別積極關心員工的潛在健康因素例如家族遺傳史、高血壓、脂肪肝等。個人不想揭露身體健康狀態和企業不想揭露營運風險是一樣的道理,這樣的資訊往往不加分反而很容易扣分,尤其在重要的對象面前,但是如果基於某些因素非得揭露不可,資訊揭露的必要程度與可信度就變得重要。
專業第三方只能協助客觀地評估設施安全程度,很多時候只要執行單位能明確說得出一個具體情境(通常和執行面的弱環有關)和程度,描述內容合理且可信度高就已經足夠,隨後是風險處置的策略與原則,必要時進行演練,這也是國家或企業辦理演習的主要依據和目的。反之,很多時候也或多或少去思考形式上的演習或演練是否真的有所幫助,坦白說只有企業和設施本身才知道,如果企業或設施有心掩飾,演習或演練的內容也流於形式時,自欺欺人也許就真的沒有意義,這個時候專業協助和公正的第三方也許重要,但真正重要的是:評估結果是否足以說服企業的利害相關者或設施的上級機關,合理爭取或投入預算。
必須公開揭露資訊應該訂定一個標準形式,就像身體健康檢查報告的格式大同小異,只要是一個經過認證的醫院就可以執行這樣的業務並開立健康檢查報告,而制式健康檢查報告則以重要的體徵數據為主。實體風險評估的揭露也是相同概念,因為造成實體風險的來源不外乎環境現象或事故,基於預防或防止風險去傳播和取得資料在各行各業是再普遍不過的事情,並不限於企業或設施的實體風險與安全防護,只是取得資料後每個人或單位的因應措施可能因人、事、時、地、物的差異而全然不同,因此TCFD建議的量化情境分析必然包含具體的環境現象描述,輔以一定程度的時間和地點資訊以進一步描述與環境現象連動的情境,例如當氣象局發布陸上颱風警報時,基於設施的位置判斷多長時間會對設施造成影響;相對應的風險處置措施有哪些;需要的人、設備、物資等等,有所規劃後就可以依據前述人、設備、物資的數量評估需要投入的成本,用以滿足TCFD與SASB的標準。(此例中,颱風發生的機率則是另一個實體風險評估的重點,但不會牽涉企業和設施的機密)
被視為隱私或機密的資料可以不揭露,通常表現在風險處置過程中的細節,例如負責應變過程中某個職務的具體是哪一個人、電話號碼等 ;風險透過哪種機制影響企業或設施;保安人員的應變細節;用何種方式轉嫁風險;上游關鍵資源如何影響等等。但是,企業或設施本身必須清楚掌握,以此為根據反應在相對具體的支用預算和安全防護作為上。
這也是筆者想說明實體風險評估與設施安全防護在議題上的另一項主要差異:資訊揭露程度。初步滿足TCFD與SASB的標準的實體風險評估與資訊揭露,所涉及的機敏性資料相對較少,主要必須(1)蒐集環境數據;(2)基於實體評估不安全狀態如何發生;(3)釐清設施內部的風險處置機制;(4)評估支出成本。為何只能說相對較少? 因為確認不安全狀態如何發生難免涉及企業或設施內部的風險組成結構(核心功能業務、關鍵資源、必要資產等),必須從結構上著手才能具體評估風險機率,這部份原則上視企業或設施的需要決定是否揭露,例如所有人都知道水與電是關鍵資源非常重要,它的發生機率此類資訊相對而言機敏性也較低,卻也不是所有企業或設施願意揭露。
當涉及風險處置層面如設施安全防護時,則進入較多風險處置過程中的細節,雖然短時間內TCFD、SASB等標準的執行上乃至於金管會的要求上應該不至於立即要求揭露這些資訊在企業的財報或年報中,但是只要將終極目標放在企業永續經營ESG(TCFD也以此為目標)和國家安全,就必然以風險管理品質改善的Plan-Do-Check-Action為架構追求持續降低企業或設施的實體風險,如何執行與揭露將是重要課題。在機敏性高的國家關鍵基礎設施的議題上,原則上也只能建議將設施整體的風險分散進行演習或演練,由可信賴或不同的第三方在有限資料取得的情況下協助企業或設施改善。但是不意外的,仍將視企業或設施內部的執行力而定,外力始終不方便也不可能全面介入風險處置層面。
有鑑於此,筆者所屬的團隊也將服務的內容區分為三個部份:
- 實體風險教育訓練課程:以種子講師引導課程,協助企業建立自身的風險管理能量,課程內容包含國際標準與國家規範要求;TCFD與實體風險;實務困境與克服思路;實體風險分析標的;不安全與風險門檻(量化情境);資料來源與分析方法;實體風險呈現與報告撰寫建議;其他實體風險(保安、資安、關鍵資源供應等)與安全防護原則;案例桌上演練;風險處置方法與經驗分享;實務專家綜和討論等等。
- 實體風險評估服務:協助企業釐清實體風險分析標的;蒐集環境大數據;風險分析與預警。此一部份較不涉及隱私及機密,由雲端平台以系統化服務。另外,平台提供基於大數據分析的風險即時預警與通報服務,唯涉及聯絡對象與通報內容,企業或設施可以基於相較可行的方式決定是否及如何使用服務。
- 風險處置與改善服務:結合實體風險與安全防護的領域專家提供現場輔導。所有過程及資料以紙本與現場人員交流的方式進行,參與的領域專家簽寫保密切結。
基於服務的通用性,也提供標準服務簡要涵蓋上述三個部份的服務內容,適合較不具特殊性的中小企業/設施或初次導入實體風險評估及安全防護服務者(先選擇重要性較高的核心功能業務進行評估),讀者亦可參考服務介紹。若有疑問或需求可洽詢CIPService@nbhic.com。
文章內容歡迎轉載,請註明出處及作者,謝謝!!
