以量化評估氣候風險為目標,分析結果不外乎是機率與衝擊,超出單一事件範疇或相對安全環境下的連續運作,機率也可能改以事故發生頻率或週期來表示,但是不釐清標的物和情境之前,所有的評估結果都失去意義。
怎麼描述或說明企業或設施的實體風險是最常被問到但又難短時間解釋清楚的問題。國內已經有多家公司主動揭露氣候相關財務揭露(TCFD)報告,幾乎都是首次揭露所以至少值得鼓勵與參考,只是對於實體風險在TCFD報告中應該要如何呈現尚無定論,目前在金管會的層面也還沒有明確規範,因此以符合TCFD的要求為原則,基於此,筆者結合前面幾篇文章與目前已揭露的報告內容,試著提供想要產出完整的實體風險評估報告的一些建議和想法供讀者參考。
首先,本篇內容仍舊以維持企業與設施的正常運作為前提(請參考傳送門),因此只考慮企業未能正常營運(或營運中斷)對自身的影響和原因為主,聚焦在可能造成企業營運中斷的實體風險情境和機率。(暫不討論企業營運中斷對其所屬的下游供應鏈或社會、國家的影響,雖然從ESG的角度而言也應該納入,但此處先避免議題過於複雜而失焦或難以理解,未來有機會有需要再進一步論述。企業內部想要進一步結合衝擊評估也可以此為基礎進一步分析。)
首先是實體關係結構表達的建議,簡單說就是實體風險的失誤樹,這部份又分為二個層次:
- 總體風險與系統性風險結構:企業的總體實體風險是透過所屬的設施(廠房、辦公室、倉庫、營業處所)和關鍵資源的供應鏈所形成的,以一個具有相當規模的上市櫃公司而言,有可能是藉由多個甚至大量設施達成營運目的,原則上這些設施因為地理環境不同、業務性質不同都可能涉及完全迥異的實體風險,設施與設施之間也可能存在不同相依性(Interdependency),因此至少建議列出設施清單(說明業務性質)及地點(說明地理特性),尤其必須包含企業內部的關鍵基礎設施。當企業內部有2個以上的設施形成系統時(請參考傳送門),則應該進一步說明關聯,例如有2個設施:(1)生產相同的產品或半成品,功能相近可能具有分擔實體風險的功能;(2)其一生產供應鏈上的半成品再給另一方進行後續加工,可能存在供應斷鏈的風險; (3)各自承擔企業營運需要的核心功能業務,彼此獨立;或是其他具有相依關係的形式。基於此,企業總體可以基於多個設施組成的系統繪製風險結構圖,一般來說可以用失誤樹或魚骨圖表達,釐清哪些設施真正具有較高的實體風險且可能如何影響企業運作。
- 個別設施風險與內部風險結構:每一個設施基於地理環境與業務性質不同,尤其是從第1層的實體關係結構中已經可以進一步確認的企業內部關鍵基礎設施,至少定義出核心功能業務、必要資產、關鍵資源(請參考傳送門)的清單,並分別針對前述清單中的每一個元件說明實體風險可能發生的危害因素、發生機率與風險處置方式。例如一個在南部的廠房,應考慮南部電網電力供應中斷時對廠房內的哪些機器造成影響? 歷史事件發生機率/頻率為何? 是否購置UPS或柴油發電機? 由此評估個別設施面臨的主要實體風險,據以提出具體的安全防護與應變策略,釐清因應風險的必要支出。已經進行必要的風險處置後,設施仍必須承受實體風險的元件(核心功能業務、必要資產、關鍵資源)、風險形式(地震、豪雨、淹水、高低溫、缺水、斷電等)和衝擊(多長時間可以恢復運作)是何種情況。一般而言,個別設施的內部風險結構也可以用失誤樹或魚骨圖表達。
結合上述的二層實體關係結構可以知道:企業的實體風險評估的資料結構本身就是一個龐大且複雜的失誤樹,即使這個失誤樹的內容可以相當程度地簡化,例如省略不必要(不會造成企業營運中斷)的設施、業務、資產、資源等資訊,或基於企業管理分層負責的機制切割成如1及2或更多層級的失誤樹,不同層級之間傳遞必要的機率與關聯性資訊即可。以這個想法為基礎,TCFD報告中自然也可以摘要到只揭露上述1項的實體關係結構內容,或是更為精簡地呈現。因為,這個失誤樹中最重要的仍然是突顯企業風險的弱環,這些弱環既是管理和精進的重點,也是企業想要改善風險應該要投資的重要項目。
在企業永續經營的實務面,仍然強烈建議掌握完整的實體風險的實體關係結構,因為這個企業實體風險現況是經由已經執行的安全防護或是風險處置措施所得到的成果,並不意味著支持成果的既有措施不存在,甚至必須支付既有風險管理措施的維持成本,若想要減少這些措施時也應該要檢討對實體風險可能造成的衝擊。舉一個容易理解的例子,實體防護系統(Physcial Protection System, PPS)和保全人員是許多重要設施必備的安全防護措施,通常也是經營成本的負擔,相信在營運狀況相對拮据時也會想要縮減PPS相關支出或保全組織規模,畢竟安全如台灣確實鮮少發生被入侵或偷盜的風險,但是PPS的存在並不只是消極地巡邏和安檢,同時也帶有嚇阻和管理的功能,為此,企業若有重要的廠房或場地不會輕易撤除PPS。同理,對於氣候相關可能造成實體風險的重要因子,諸如地震、豪雨、淹水、高低溫、缺水、斷電等,也都可能存在相應的PPS設備,例如防震裝置、排水裝置、除溼、無塵室、UPS等等,它們既有可能是必要資產,也可能是風險處置的一環,當它們變成弱環甚至是風險的破口時,帶來的將是企業內部失誤樹中的連鎖效應。參考國家關鍵基礎設施安全防護的近期案例,111年3月4日興達電廠停機數小時就造成全臺灣大範圍停電2天的窘境,企業如果沒有足夠全面性的資訊為基礎,任誰也難保證類似的情境不會發生在企業內部。
其次是風險情境的表達,情境在TCFD標準的建議中列為描述實體風險的先決條件,在一些已經揭露的企業TCFD報告中,普遍現象是過早進入不精確的情境描述而造成資訊描述極為侷限(請參考傳送門),根本原因在於企業本身是不具備實體的法人或營業組織,省略或過於精簡的實體關係結構容易欠缺描述情境的實體,就淪為表面論述,對於企業的一般風險管理議題或許不成問題,但是用於實體風險評估就會變得不切實際。例如台灣海平面上升多少公尺後將會對企業造成多大的影響,這就是一個不精確的描述,這樣的描述國家機關就可以完成,不必特別要求企業個別在年報和財報中揭露;相對精確的描述是海平面上升多少公尺哪些設施會受到影響進而何種程度影響企業營運,由此可知涉及至少第1層的實體關係結構;真正精確的描述是針對每一個設施的元件(核心功能業務、必要資產、關鍵資源)進行將導致其進入不安全狀態的情境描述(資訊相對複雜),或反之特定的情境反應在每一個設施元件進入不安全狀態(相對簡單)的情境條件變化,涉及第2層的實體關係結構。一般來說,跨設施或地域進行單一的氣候風險情境描述是相對不合適的,因為容易基於氣候變化評估的不正確而造成誤差,因此即使企業是以大範疇氣候變遷的風險情境當做評估基礎,仍然建議補充或區分對每一個設施的風險情境,才能從實體關係結構上逐層逐步推估企業的整體風險。
最後是機率的確認,這一部份涉及真實風險的掌握度(請參考傳送門),也是風險量化分析的工作中最基礎也最困難的部份。所謂最基礎是因為許多手法都能提出評估結果,所謂最困難是具有客觀上足以信任的評估結果極具挑戰性,讀者可以參考另一篇文章(傳送門)。
風險矩陣是最常使用的風險評估工具,最大的好處是簡單易用,最大的弊端是主觀、資訊不完整與不精準,如果填寫風險矩陣或提出評估結果的人本身具備企業營運與風險管理的專業與經驗,基於信任企業管理團隊的原則,風險矩陣應該會是TCFD報告呈現方式中最容易被接受的一種形式,也是目前已揭露企業的TCFD報告中主流呈現方式。回歸企業永續經營與實體風險評估的實務面,風險矩陣所能呈現者連第一層的實體關係結構都表達不出來,或者說只能表達第一層的實體關係結構中的一部份關鍵資訊,TCFD報告的讀者或許也基於信任原則願意相信未表達出來的部份不是企業實體風險的弱環,只要利益相關者都願意信服,問題就不大,但是,是的就是因為有但是,若是企業不願意揭露風險,風險矩陣也是最佳的敷衍方式,從根本上違反TCFD的核心原則也不容易被發現,只採用風險矩陣的實體風險評估結果就會形成信者恆信;不信者恆不信的窘境。另一個層面,只用風險矩陣也無法反應在執行層面實體標的物(尤其是多個標的物存在時)的風險處置策略或手段。基於此,讀者可知:只使用風險矩陣並非完全錯誤,但是揭露資訊不夠充份。
從量化分析評估實體風險的觀點而言,尤其針對氣候相關部份的機率分析,可以用的工具不勝枚舉,從天氣學(Meteorology)、統計學、蒙地卡羅模擬分析、系統模擬(系統動態學、離散事件模擬、代理人基模擬)等等都有用武之地,甚至是人工智慧技術也極有發揮空間,因為從問題的本質上,TCFD實體風險的機率分析就是從氣候變化推論特定實體是否進入不安全狀態的工作,只是在分析的過程中,基於實體涉及的主客觀條件,機率的評估內容不得不以各種形態呈現。舉一些簡單的例子,國家或城市考慮災害會發生,通常會制定都市規劃的基本條件諸如洪水期或地震週期,因為從歷史資料中分析可知巨災發生的機率非常低,但是只要一發生仍然會造成重大損失,所以機率必須結合特定條件的發生頻率才足以表達;從地理位置的氣候條件評估的議題上,氣候條件的評估也伴隨著地理條件和機率,例如某某特定地區的降雨機率和降雨量評估,若進一步推論,某某地區範圍內的特定一個地點也可以用機率分布和相應的降雨量表示;涉及單一事件發生與連續時間關係的實體風險,會以連續的時間值結合機率分布的形式呈現。相關事例不在此一一列舉,筆者想表達的是:針對實體的性質選擇妥適的工具和分析方法,輔以合適的情境與合理的風險門檻,才能從中選擇足以突顯實體標的物風險且具代表性的數值。其中的困難並不僅在於大量的數據分析、評估與推論,也包含對標的物與理解與企業對安全的認知態度。這個部份正是筆者所屬服務團隊的分析人員投入最多心力的工作項目。
無論如何,失誤樹中最終呈現機率數值的決定方式,原則上建議採取合理且保守的原則。何謂合理? 機率評估值所代表的相應情境和風險處置內容都必須是企業可具體面對和執行的;何謂保守? 針對同一個評估標的物若不同評估方式所產出的機率值有落差時,只要沒有合適的理由就應該採用發生機率值高者(表示容易發生風險)為評估值。合理與保守二者又以前者為重,畢竟TCFD所要求的並不是強迫所有企業都能承擔任何極端氣候條件的實體風險,只是希望利益相關者清楚且明白企業如何掌握並處置風險,從而達到企業永續經營的目的。
若有疑問或需求可洽詢CIPService@nbhic.com。
文章內容歡迎轉載,請註明出處及作者,謝謝!!
