實體風險普遍存在,往往處於安全與風險可控的狀態,也會隨著客觀環境的變化而有所變動,因此承認風險會發生是第一步,持續評估與改善則是考量設施營運永續或不中斷必要的循環過程。
讀者來信詢問實體風險與安全防護之間的關係,筆者幾經思索,試著以下面的構圖表達並論述各個觀念。(如有錯漏也歡迎先進們不吝指教)
圖示以個別設施(通常也是企業或國家的關鍵基礎設施)進行實體風險評估與安全防護的角度繪製,當設施無法正常運作(請參考傳送門)時衝擊值I= 1以紅線/紅字表示;衝擊值大於1時表示有其他設施、人、社會、國家因為該設施無法正常運作的影響也受到衝擊;若設施只呈現部份失能(一部份核心功能業務無法正常運作)時則以衝擊值小於1表示。
真實風險存在是實體風險評估與安全防護的基本前提,實體風險的發生則肇因於外部因素(應該考慮哪些請參考傳送門),簡要列於圖示左側淺綠色箭頭內。基於設施存在實體並受到外部因素威脅,原則上實體風險的發生機率大於0,只是個別或多個外部因素造成設施發生對應風險的實際機率值(Pt)未知。實務上,只要企業或設施的風險管理與處置得宜,即使外部因素引發風險也不見得會對企業或設施造成衝擊或損失,設施正常運作就無妨。可以斷定每一個設施正常運作狀態下的實際風險值(P*I)必然在綠線(P = 0 )與紅線(I= 1 )之間,只是不進行實體風險評估就不會知道真實風險落於何處,包括不會知道風險值是否與如何逐漸逼近紅線。
安全防護計畫與其所包含的安全防護措施(藍色箭頭)則是抑制風險值逼近紅線的具體風險管理或處置手段(此處以單一設施角度,尤指關鍵基礎設施,故不考慮風險轉嫁),最終反應於設施是否可接受或承受風險並正常運作。以關鍵基礎設施安全防護的觀念為切入點,進一步說明如下:
- 實體風險並不是直接反應在設施整體,而是支持設施正常運作的重要元素:必要資產、關鍵資源、核心功能業務(若存在實體),這些元素則是實體風險評估過程與結果呈現的真正標的物,最終因其風險組成的結構層層影響反應於設施整體。
- 完整的安全防護計畫與風險改善過程是由想像情境(已知的不安全狀態或已有的設計基準威脅DBT)逐步透過Plan-Do-Check-Action的循環過程(藍色虛線箭頭)而逐步逼進真實風險,同時也基於風險管理的反覆評估、執行、確認與改善,試圖降低真實風險的發生機率(Pt)。
- 真實風險的位置並非固定不變,是否必須找出真實風險的發生機率(Pt)的確切數值則視企業或設施的性質而定,更高的精準度也必須投入更多人力與成本進行風險評估的數據分析與安全防護計畫的Plan-Do-Check-Action,一般來說,尚未瞭解企業或設施的需求前不會建議貿然進行。
- 掌握真實風險發生機率(Pt)的大略位置與變化趨勢非常重要,因為它是驅動修訂安全防護計畫與落實安全防護作為的依據,也是為了適當因應外部因素的變化以抑制或減輕風險。目前大部份企業和設施採用主觀定性的風險矩陣(請參考傳送門)進行評估,其可行的基礎是設施管理者根據經驗的認知,基本初步滿足TCFD的入門要求,但是如果不能進一步結合外部因素與量化分析,安全防護計畫無法進行績效評估,驅動不了Plan-Do-Check-Action,安全防護的預算就缺乏具體爭取的正當性。從企業執行TCFD的觀點,股東等利害相關者就既不清楚風險,也不能理解為何企業要投資在安全防護作為,或許直到下一次重大災害發生才能再激起討論。
風險處置在實務面有許多做法,以營運不中斷(BCM或BCP)、韌性、國家安全等角度,採取相對安全的風險處置措施是常見的,例如提前干預處置或設計上增加安全係數,因此在設施還未進入不安全狀態之前可以設定一個風險門檻(黃線),只要風險有發生跡象(Pt接近或越過風險門檻)就進行干預執行安全防護措施,或強化安全強度與韌性。風險門檻的設定與相應的安全防護措施(風險處置)在此也概分為三種層次:
- 保守措施:無論外部因素變化或真實風險移動情形為何,只要有任何蛛絲馬跡,一律全面採取絕對安全的強度設計與防護措施,具體呈現方式是設施整體風險發生機率的全面降低,圖示變動方式是紅線與黃線共同向右移動或真實風險發生機率(Pt)向左移動,風險可控的區間擴大,從而形成更為安全的形勢。相應地,企業或設施在規劃與建置時可能支出更多人力、金錢等,即使一定程度缺乏真實風險的掌控能力也能確保設施正常運作無虞,可能因此導致相對較少討論風險評估與處置。比較明顯的例子是銀行和國家關鍵基礎設施會花費大量預算配置保全或武裝警衛,既使在和平如台灣被入侵的風險發生機率非常低,銀行和國家也難以承受一旦發生事件的後果。
- 消極措施:經過實體風險評估後,面對相對可以承受或從根本上無法減輕的風險採取消極的風險處置或安全防護措施,例如接受失去一部份核心功能業務、所有核心功能業務的短時間中斷與修復、必要資產的修復、關鍵資源適量儲備等,呈現方式是設施整體的衝擊可接受度。圖示變動方式是紅線與黃線之間的區間縮小或是二線交疊的形式。風險處置的方式以風險發生後的應變機制為主。
- 積極措施:方法不只一種,主要從源頭評估並消除風險,例如TCFD的轉型風險,藉由減少碳排放與碳足跡等作為改善全球暖化所造成的極端氣候與海平面上升等風險。然而大部份的外部因素不是人力或設施自身能控制,設施本身又過於籠統,評估並消除風險的標的就落在具有實體的必要資產、關鍵資源、核心功能業務(若存在實體)等重要元素,積極地進一步針對個別元素採取預防性的安全防護措施以確保不中斷或缺乏,因此必須針對每一個元素建立風險門檻、元素之間的風險組成樣態、最終反應在設施層面可列出詳盡的量化情境(所有元素的風險門檻清單與外部因素的數據現況),以具體從源頭實體評估設施內部的風險。圖示變動方式是改以針對每一個元素及其相關的重要外部因素(必要時每一種外部因素都應分析與表示)繪製關係圖示並確定其風險門檻,因此圖的數量將大幅增加以表達各元素的細節,這些細節將反映在資料分析與風險推估運算,落實完整的風險估算將能形成詳盡的實體風險評估報告,因此可能在風險評估階段就會涉及投入人力與大量運算、機率評估與真實風險的反覆驗證。風險改善的執行面則逐一控管元素風險的細節與強化安全防護的弱環。風險處置的方式則是以元素為基礎的風險預防、預警、及早干預等預防性做法為主。(這部份要濃縮成一小段文字不容易,能表達核心概念為主)
綜上可知,實體風險與安全防護二者在本質上是決定設施是否正常運作的正負能量,風險管理與改善過程的Plan-Do-Check-Action循環則是反映在設施中每一個重要元素(必要資產、關鍵資源、核心功能業務)的真實風險,最後彙聚成設施是否正常運作的判斷基礎或風險發生後的結果。
實務上,設施的安全防護計畫大多採取保守和消極二種措施,企業或設施盤點實體風險也會優先選擇相對顯著且重要的風險弱環進行分析,當出現新的風險或既有風險呈現上升趨勢且不得不正視時才會更願意採取積極措施。然而個別企業與設施的性質不同,是否需要全面盤點實體風險至更高的精細度並採取積極措施,端視企業與設施的需求而定。
筆者如此陳述也只是希望有助於讀者理解這個議題的全貌,從而可以討論與選擇適合的方式完成實體風險評估與安全防護的工作。
讀者也詢問的災害防救與安全防護(請參考傳送門)二者的差異,以下也基於此圖示進一步補充說明:
- 災害防救相對不重視個別設施的風險機率與日常防護,以圖示的表達方式為例,將不存在綠線(P = 0 )與紅線(I= 1 )之間的空間,真實機率的探究也相對不重要,理由逐一陳述如後。
- 災害防救中所討論的減災是將更多心力投入外部因素(淺綠色箭頭內所列)相關議題,與TCFD中的轉型風險有異曲同工之妙,目的是從天候或環境變化的源頭解決問題,在前述3種安全防護措施中屬於積極措施,只是這部份必須傾國家甚或是全球各國之力投入,並非基於個別企業或設施的權責可以輕易介入的事務,因此企業和設施配合政策為主,例如協助完成企業碳排放的調查、落實減碳的作為等。
- 災害防救中所討論的整備與應變則是將心力投入紅線(I= 1 )之後的議題,在前述3種安全防護措施中屬於消極措施,為何? 因為法規面(災害防救法)只要還未達到成災要件,國家各級機關並沒有介入的必要與責任(請參考傳送門)。一旦風險發生卻未達法定災害標準時,企業和設施無法正常運作只能自救或從其他管道尋得幫助,例如與鄰近的警察、消防機關簽訂防護協議,或自行組建防護組織,例如新竹科學園區曾經組建的自衛消防隊(現已移交至地方政府)。
其實災害防救與安全防護是相輔相成的議題,就好像總體經濟學與個體經濟學二個學門之間的關係,基於政策趨勢是未來必須落實實體風險評估和關鍵基礎設施安全防護,其實是落於個體的企業和設施的觀點與作為,希望在與企業或設施管理單位討論ESG、TCFD實體風險、BCP/BCM、關鍵基礎設施安全防護等議題時,不要輕易被災害防救一筆帶過而失焦,那會非常可惜。
篇幅已經太長,實體風險評估部份讀者希望針對必要資產、關鍵資源、核心功能業務等呈現方式以實例說明,請期待下一篇新文章吧!
文章內容歡迎轉載,請註明出處及作者,謝謝!!
