風險管理的第一步並不是風險評量,而是【範疇、背景和標準】。
前言
本週一(6/2)下午的行程在桃園龜山的宣德科技上課,趁著地利之便,早上順道去久違的中央警察大學拜訪以前合作過的教授們,除了交換一些研究心得、專利布局、協助企業導入的狀況,最後的聊天聚焦在一件事情上:【究竟有多少單位落實了風險管理?】
這是個說著笑著眼角就會泛淚的話題,會如此的原因正是基於我們長期協助許多部門和單位進行風險管理和設施安全防護,深入許多實務的細節研究和討論,但是很多時候想要打破一些根深蒂固的謬誤確實非常困難,才有如此感慨,風險評量(Risk Assessment)完成與否正是一個典型的例子。
永續報告書的現在與未來挑戰
現階段永續報告書的風險評量
如果提出一個結論叫做:【現階段的永續報告書沒有完成風險評量】,幾乎是不會被接受的,因為每一份永續報告書都依據GRI的規定完成了:
- GRI 3【重大主題】和GRI 3-3【重大主題管理】;
- 鑑別了衝擊並評估顯著性
- 建立衝擊程度評估標準
- 建立發放調查問卷
- 繪製重大主題衝擊矩陣圖
- 排定衝擊優先順序
綜和上述必要資訊,每一份永續報告書不都已經完成風險評量的基本步驟了嗎? ……………真的嗎?
筆者必須說,這樣只是完成了所有利害關係人想像中的風險評量,它當然是企業治理的必要確認工作,而是不是空中樓閣卻需要風險管理的進一步確認。
【需要風險管理的進一步確認】!? 你確定知道自己在講什麼嗎!? (這應該是許多讀者看到這句話的OS)
只進行到TCFD策略階段的永續報告書
永續報告書既是一本公司治理的資訊公開文件,也是企業每年基於風險管理績效揭露的成績單,總體而言,確立企業未來幾十年營運的永續目標當然是必要的,而落實風險管理卻是另一件事。
若讀者已經撰寫過符合GRI要求的永續報告書,那麼根據TCFD(下圖)的建議揭露事項,可以試著回答一個基本的問題:【為什麼治理階段後,策略階段完成衝擊評估、確認重大主題了,還要進入風險管理階段?】
在這個上層問題之下,當然基於TCFD的建議還有更進一步的三個問題:
- 為何還有【描述組織在氣候相關風險的鑑別和評估流程】?
- 為何還要【描述組織在氣候相關風險的管理流程】?
- 為何必須【描述氣候氣候相關風險的鑑別和評估和管理流程如何整合在組織的整體風險管理制度】?
如果【滿足GRI的要求就代表已經完成風險管理】這件事情成立的話,TCFD顯然畫蛇添足、多此一舉。部份讀者可能認為:【這只是呈現方式和補充說明的問題】,並不代表當下的永續報告書沒有完成風險管理。
至此,前言想要表達的認知落差議題已然浮現:很多企業的認知是【永續報告書已經落實了TCFD】,實際上【才剛從起點出發進入風險管理】而已。能夠釐清這件事,才能理解為何TCFD在【治理】、【策略】階段完成衝擊評估之後,還要有【風險管理】,最終反應在【指標和目標】。
為何?就從ISO 31000的定義談起吧。
範疇/背景/標準
依據ISO 31000風險管理的架構,正式進入風險評量之前,自然也在風險辨識(Risk Identification)之前,有一個非常基礎的關鍵步驟:【Scope, Context, Criteria】,這個先行條件決定了整個風險管理的範疇和骨幹,也引導了風險管理的內涵,包含結果。
範疇 (Scope)
ISO 31000的全名是風險管理原理及指導綱要(Risk Management – Principles and Guidelines),它之所以泛用正是因為它適用在各種組織和專案,無論規模和大小,但是在使用它之前,未充份釐清範疇就會形成偏差。
ISO 31000 – Scope
The organization should define the scope of its risk management activities. As the risk management process may be applied at different levels (e.g. strategic, operational, programme, project, or other activities), it is important to be clear about the scope under consideration, the relevant objectives to be considered, and their alignment with organizational objectives. When planning the approach, considerations include:
— Objectives and decisions that need to be made;
— Outcomes expected from the steps to be taken in the process;
— Time, location, specific inclusions and exclusions;
— Appropriate risk assessment tools and techniques;
— Resources required, responsibilities, and records to be kept;
— Relationships with other projects, processes, and activities.
背景 (Context)
背景的部份包含內部和外部的環境,任何可能影響風險管理目標的因素都應該在背景部份說明。
ISO 31000 – External and Internal Context
The external and internal context is the environment in which the organization seeks to define and achieve its objectives. The context of the risk management process should be established from the understanding of the external and internal environment in which the organization operates and should reflect the specific environment of the activity to which the risk management process is to be applied.
Understanding the context is important because:
— Risk management takes place in the context of the objectives and activities of the organization;
— Organizational factors can be a source of risk;
— The purpose and scope of the risk management process may be interrelated with the objectives of the organization as a whole.
The organization should establish the external and internal context of the risk management process by considering the factors mentioned in 5.4.1.
標準 (Criteria)
標準是決定所有內外在因素是否成為影響組織或企業風險的重要參考標準,風險的形成與管理伴隨著它之所以必須納入風險管理的判斷方式。
ISO 31000 – Defining Risk Criteria
The organization should specify the amount and type of risk that it may or may not take, relative to objectives.
It should also define criteria to evaluate the significance of risk and to support decision-making processes.
Risk criteria should be aligned with the risk management framework and customized to the specific purpose and scope of the activity under consideration.
Risk criteria should reflect the organization’s values, objectives, and resources and be consistent with policies and statements about risk management.
The criteria should be defined taking into consideration the organization’s obligations and the views of stakeholders.
While risk criteria should be established at the beginning of the risk assessment process, they are dynamic and should be continually reviewed and amended, if necessary.
To set risk criteria, the following should be considered:
— The nature and type of uncertainties that can affect outcomes and objectives (both tangible and intangible);
— How consequences (both positive and negative) and likelihood will be defined and measured;
— Time-related factors;
— Consistency in the use of measurements;
— How the level of risk is to be determined;
— How combinations and sequences of multiple risks will be taken into account;
— The organization’s capacity.
現行永續報告書與風險管理的落差
如果讀者仔細閱讀ISO 31000的定義,就會相對容易明白為何筆者和教授們對於諸多單位沒有落實風險管理的感慨,簡單歸納以下幾點供讀者參考。
GRI重大主題與TCFD的治理與策略僅只是最上層的風險管理
參考範疇的定義:the risk management process may be applied at different levels (e.g. strategic, operational, programme, project, or other activities)
所謂【永續報告書就成了空中樓閣】一說並非筆者妄言,風險管理在應用上,針對範疇本就有層級(Levels)的劃分,由大到小、由上至下,符合GRI的永續報告書本質上屬於企業最高層級的策略(Strategic),同時TCFD的用詞也採用策略這一詞,這並不是巧合,更是國際標準之間的一致性,也符合初期撰寫永續報告書的定位,因為企業治理本就是由上級指揮下級,企業的大方向永遠優先於執行層級的枝微末節,但,不代表可以忽略執行層級。
現在的問題是:【永續報告書只有策略層級的風險評量,究竟算不算已經完成了風險管理?】,而這個問題的本質原原本本地反映在前言的討論裡。基於ISO 31000定義的精準描述方式應該是:【符合GRI的永續報告書完成了策略層級的風險評量】。若討論是否已經完成風險管理,結論更清楚:幾乎沒有,除非有與風險評量相呼應的風險處置(Risk Treatment)與結果與紀錄(Recording and Reporting)。
即使問題先限縮在風險評量,運作(Operational)、程序(Programme)、專案(Project)或作業(Activities)層級就不用處理了嗎?若企業的實情如此,說它是空中樓閣並不為過,只是一群利害關係人缺少證據支持的臆測罷了。但中肯地說,現在用空中樓閣這個詞還是不恰當,因為目前企業只是剛開始撰寫永續報告書,很多企業仍在摸索,未來還有幾十年的永續報告書要寫呢……。另一方面,並不是所有企業都將完整的風險管理資料寫在永續報告書裡,只是筆者接觸不到罷了。風險管理的範疇層級課題若反映在稽核議題上。可參考【淺談TCFD實體風險與COSO ICIF架構下的內稽內控】一文。
嚴格來說,範疇的定義還包括目標(Objective)、結果(Outcome)、資源(Resource)等說明,一份永續報告書在策略層級的風險管理是否完整,也可以從這些資訊是否明確說明當做判斷標準,牽涉的資源和帶來的結果都會反映在風險處置(Risk Treatment)是否有成效,也和其他層級(專案、流程或作業)之間的關係息息相關。直白的說:若沒有打算進行風險處置和後續層級的風險管理,只符合GRI的永續報告書就真的會是空中樓閣。
定性與定量之爭
標準(Criteria)是判斷有無風險或風險值高低的依據,也就從本質上決定風險管理的方向和績效評估方式。
GRI的重大主題管理毫無疑問是一種風險評量結果的管理,但只要重大主題的評量標準是透過個人主觀意見或一群利害相關者的問卷調查所決定,它就會缺失非常多風險管理在標準上的必要特質,包含反映不出不確定性的本質與種類、缺少時間相關的因子、量測時無法維持一致性、無法衡量多個風險同時發生的情形等,這些在標準制定時就必須考量的因素。
實務上的問題往往在於如何量測(Measurement),因為【No Measurement, No Management】,如果這件事情無法釐清,也將會缺失風險管理中監控與檢視(Monitoring and Review)的能力與過程。但若糾結在量測的問題上,隨之而來便是質化分析與量化分析的論戰,因為許多永續報告書的重大主題管理只在策略層級,能將問題質化與定性已然不容易,遑論量化!? 但是質化分析顯然又會發生在後續層級(運作、程序、專案或作業等層級)產生量測一致性(Consistency in the use of measurements)的問題。最理想的量測方式當然是層級由下而上反饋後確定才能從根本上解決這個問題,這又牽涉企業是否已經落實風險管理或建立風險管理制度。
只要主題明確,建立量化標準並不困難
有沒有一種解決方式可以讓量測這件事情在定性與定量的問題上取得平衡,或提前從執行面找出量測單位,從而維持量測的一致性? 當然有!! 只要把 【Defining Risk Criteria】 應該考量的其他因素最大程度納入就可以迎刃而解。筆者試著以人一生的壽命和健康議題套入風險管理的概念為例,解釋企業如何量測和建立風險標準的方向。
每個人都有離開這個世界的一天,也是一生中最重大的風險。若以此做為風險管理的【範疇】和【背景】,延伸訂定【標準】如何訂定或風險如何【量測】,應該相對容易理解。以下筆者試著用漸進式的七個層次,讓讀者感受一下是否落實風險管理差別。
- 人總有一天會死,已經做好心理準備。
- 人總有一天會死,現代人的平均壽命大約77歲,活到77歲應該沒有問題。
- 人總有一天會死,現代人的平均壽命大約77歲,預計65歲退休,在此之前保持運動和身體健康。
- 人總有一天會死,現代人的平均壽命大約77歲,預計65歲退休,退休前每2年/退休後每1年進行一次全身健康健查。
- 人總有一天會死,現代人的平均壽命大約77歲,預計65歲退休,退休前每2年/退休後每1年進行一次全身健康健查,但是心肺功能較差,每年都再追蹤檢查和覆診。
- 人總有一天會死,現代人的平均壽命大約77歲,預計65歲退休,退休前每2年/退休後每1年進行一次全身健康健查,但是心肺功能較差,每年都再進行FEV1/FVC比值檢查,只要小於70%會配合醫囑、追蹤檢查和覆診。
- 人總有一天會死,現代人的平均壽命大約77歲,預計65歲退休,退休前每2年/退休後每1年進行一次全身健康健查,但是心肺功能較差,每年都再進行FEV1/FVC比值檢查,只要小於70%會配合醫囑、追蹤檢查和覆診,目標是70歲之前都能維持在80%以上。
相信讀者在這個例子裡可以明顯感受到不同程度的落差,越後面的描述應該都能突顯出不同程度的風險管理落實狀態,包含不確定性的本質與種類、時間相關的因子、量測的一致性。試問,如果從利害關係者的角度,例如終生伴侶,這樣的風險管理您會希望做到哪一種程度?
同樣類似的描述方式,如果將永續報告書的揭露程度用上面的七個層次進行比擬:
- 還未寫永續報告書的企業大概落在1和2的階段
- 已經開始寫永續報告書並符合GRI,大概是3-5的階段
- 有目標和時間(2050年淨零)的概念 –> 3
- 永續報告書會每年撰寫與揭露 –> 4
- 落實重大主題管理 –> 5
- 後續改善空間
- 明確的量測標準與時間因子 –> 6
- 明確的管理目標 –> 7
在這個例子裡,仍然避免涉及太複雜的描述以免讀者混亂,包含執行層級(運作、程序、專案、作業等)、風險機率高低、風險處置的實際手段、外部的影響等,先單純針對一個重大主題強化時間、目標、量測、標準進行不同程度的描述就已經產生相當大的區別,同樣的事情也反映在任意第三方閱讀一份永續報告書可能產生的觀感。
有風險不代表風險一直存在
企業具備量測風險的能力就代表對風險有更高的理解程度,包含清楚風險在什麼條件下會發生、發生後與時間有關的因子有哪些、可以進一步確立的管理目標和風險處置手段等等,而不僅只是在企業永續與否的框架下寫文章。
筆者所謂的【才剛從起點出發進入風險管理】,這個起點正是【Scope, Context, Criteria】,若能在永續報告書的論述中有更深入的說明,方能突顯企業落實風險管理的程度,或是企業面對風險的競爭力。
對企業而言,建立量測風險的能力不僅在於釐清風險何時存在,最大優點是在長期存在風險的情境下辨識機會。地球暖化和極端氣候並不因此代表企業一定會失去競爭力,過度杞人憂天並無意義,更何況以永續報告書公開揭露且留下永久的紀錄,及早確定風險的真實量測標準是所有企業未來幾十年撰寫永續報告書或落實風險管理的關鍵一步,至少有判斷風險是否真正發生的基本能力,而非後知後覺,甚至不知不覺。
小結
一件會長期、持續做的事情(如同永續報告書),站上起點、確定方向固然可喜,然而一切挑戰卻是在起跑之後能不能依據自身的狀況有所規劃、調整狀態、時時保持競爭力,直到抵達目的地或是最遠的地方,正是企業追求永續的真正意涵。
更多細節歡迎參考【贏在永續:報告書制勝指南 說明會 影片紀錄:https://youtu.be/PpYRyHJ0ObY】,或報名【贏在永續:報告書制勝指南】課程。
文章內容歡迎轉載,請註明出處及作者,謝謝!!
若有疑問或需求可洽詢CIPService@nbhic.com,或加入我們的Line客服小幫手。
