從容面對黑天鵝

疫後重塑金融韌性與營運管理

疫情衝擊下，主管機關對於金融業要求提升，韌性與營運持續管理的議題興起，了解營運持續未來趨勢、法令法規要求與主管機關期望更顯重要。

疫情、天災或駭客攻擊等不確定性，考驗著金融業的營運韌性，而金融業運作不僅攸關個人資產保護與供應產業資金需求，更被視為國家重要經濟命脈之一，金管會要求金融業必須「維持營運不中斷」，因此金融業如何強化韌性；保持營運持續功能就顯得格外重要。

為探討金融業的經營韌性與強化之道，台灣金融研訓院特別開設「後疫情時代下的金融韌性與營運持續管理」，邀請勤業眾信風險管理諮詢公司副總經理田嘉雯，分享如何強化營運韌性、訂定營運持續計畫同時兼顧危機管理，從容面對市場黑天鵝突襲。

天災人禍、第三方單位異常 都可能影響金融業營運

田嘉雯表示，企業營運最怕碰到黑天鵝來攪局，而所謂營運系統的黑天鵝變數常見的有：氣候變遷、資訊系統設備、國際政經因素或是疫情等事件，舉例來說，香港反送中事件抗議群眾對於營業據點設施的破壞，或是這幾年防疫措施對金融業實體據點的影響。

除了天災人禍，金融業也可能因為「第三方單位」的異常而導致營運中斷，例如有些金融機構會將部分的業務委外辦理，像是帳單、保單列印或是向客戶發送簡訊等，而當這些委外機構出現異常時，也可能會影響金融業的營運，因此當外部因素影響金融機構營運時，如何應對也是一個重要課題。

至於在「營運韌性」的部分，田嘉雯說明，目前各國主管機關或法規對於韌性定義雖不盡相同，但整體而言，韌性可以指金融機構在遭遇突發事件，例如遭遇黑天鵝不確定事件時，還能保有彈性繼續運作。

而比起韌性，「營運持續管理」（Business Continuity Management, BCM）的定義範圍則相對較小，營運持續管理通常著重在「會讓業務中斷的事件」的天災人禍所採取的因應措施；換言之，一個有營運持續能力的企業出現業務中斷時，則企業必須具備「緊急應變能力」、「業務持續」，以及「復原並恢復正常運作」等相關能力。田嘉雯以金融業為例，當發生中斷事件時，第一時間就是緊急應變，包括確保人的安全，並控制災害損失將其降至最低，只要損失能被控制，後面可彌補挽救的機率也會提高。

但如果碰上巨型災害時，例如大地震或是火災，此時可能會降低服務水準，這時就會進入第二階段，也就是組織是否具備恢復業務的能力，此時營運持續能力就會基於成本效益考量，用比較符合實際狀況的方式設法復原。

田嘉雯進一步指出，這個階段的復原可分成兩階段，首先是恢復公司最核心業務，之後再隨著時間拉長，慢慢讓業務達成完全恢復並正常運作。此外，危機管理也是營運持續管理中重要一環，包括客戶、媒體與主管機關對於事情發展的關注，這些都是企業在營運持續管理必須面臨的課題。

建立營運持續管理辦法 計畫擬定與實際操作並行

企業在規劃營運持續管理會面臨兩個方向，包括主管機關對於法規的要求以及建立營運管理辦法，其中在監理機關要求這部分，通常涵蓋明確的法規，或是透過金檢發現事項並給予口頭提醒，而不同業別的法規要求也不盡相同。以金控來說，主要分為兩大層次，第一個層次是金控本身，第二層次則是金控公司轄下的子公司。以香港市場為例，過去幾年因政經因素使得金融市場接連面臨香港市場動盪、疫情爆發等，這也讓營運持續管理成為主管機關監理的重點。

在建立營運持續管理辦法中，實務面除了參考國際通用的ISO 22301以外，也會參考當地政府制定的法規，以ISO 22301來說，其管理制度屬無限循環類型，通常以一年為排程，從年度目標的更新，結合外在環境議題或法規對營運的影響。

田嘉雯指出，營運持續管理辦法的核心在於實際操作，當實作到一定階段或程度之後，企業會針對實作部分檢討或調整，但要注意的是，要進入實作階段之前，企業必須先評估、衡量並產生設計方案後，才會真正進入實作階段，其中評估階段包含：營運衝擊分析與風險評鑑，完成分析後再進入策略面、營運持續計畫與測試演練等階段。

其中在營運衝擊分析部分，其目的是針對服務或產品做取捨，分析當發生巨災導致業務中斷時對公司造成的衝擊，但企業基於成本考量、資源排擠與時間等因素，也會針對業務輕重緩急做排序。當發生作業中斷時，衝擊程度越大就要在最短時間內優先恢復，至於影響不大的，則可在特殊危急情況下先放棄。

涉及第一線客戶、實際與即時交易 列為優先排序業務

田嘉雯說，只要是涉及第一線客戶、實際與即時交易的業務，通常會被列為優先排序業務；至於公司的內部管理性質，像是員工教育訓練、行銷活動等，通常就會被歸納為影響不大的事項。

以金融業為例，根據田嘉雯的觀察，多數金融業通常會把法規視為優先事項，例如作業中斷是否違法，其次則是客戶，當客戶中斷時對業務的衝擊，如以ISO 22301來說，對於優先順序就有制式化要求，而且恢復優先順序也會有時間點排序，包括最大可容忍中斷時間點、復原時間目標、營運持續目標、相依性，以及營運持續策略。

風險評鑑三階段 識別威脅事件、確認衝擊、發展因應策略

在風險評鑑部分，田嘉雯表示，企業必須先找出會讓業務營運中斷的情境與因應對策，而風險評鑑可分為三大階段，包括識別威脅事件、確認衝擊、發展因應策略。

在識別威脅事件中，第一步要先廣泛蒐集事件，包括過去公司曾經碰上虛驚，或是曾經中斷事件，或是外部周遭有哪些事件營運造成中斷，包括天災人禍、資訊系統以及同業曾經歷過的事件等，都是資料蒐集範圍。

完成識別威脅後，接下來則是進入「確認衝擊」，也就是針對事件進行評分，區別災害情境嚴重性進行排序，衝擊大者就列為優先處理事項，並採取事先預防性措施或者事後因應對策等。

田嘉雯表示，不論事先預防或事後因應，都屬於第三階段的「發展因應策略」，當一個公司可以落實發展因應策略，企業也相對較為安心。舉例來說，企業為預防火災，會選擇有防火建材的大樓或是加裝偵煙、偵火設施，至於事後應變措施則是警鈴、警報等，疏散程序確保人身安全。

整體而言，擬定因應方案可從四大面向著手，包括：降低發生機率、減低影響、全部或部分轉嫁、規避等，例如企業因應停電，可以事前加裝不斷電設備系統，而有些業者則是委外執行，再由企業以稽核方式監控，又或是透過投保轉嫁風險並弭平損失。

訂定BCP 縮短業務中斷時程 降低營運風險

在營運持續程序部分，也就是營運持續計畫（BCP），則包含事件發生後的應變計畫，例如資訊系統遭駭客攻擊的緊急應變計畫，內容大致涵蓋與緊急應變、復原以及危機溝通等層面；如果企業要自行撰寫BCP，可參考國際IS0 22301針對計畫撰寫的相關要求，包括：目的與範圍、目標、計畫啟動條件與啟動程序、角色與職責、操作程序、考量相依性與所需資源等7大方向。

另一個可參考範本則是英國持續營運協會（BCI），田嘉雯說，BCI建議的營運持續計畫撰寫可分為兩大方向，第一，以行動為導向且功能近似手冊，並迅速上手。第二，盡可能包含可能面臨的中斷事件。

在測試與演練部分，田嘉雯說，演練是根據緊急應變、業務復原、危機管理等計畫，透過各種方式驗證擬定的營運持續管理計畫的可行性，同時也能找出不足之處，以此提升員工的應變能力，且在事件發生時也可迅速採取應變措施，建議企業在演練後可從以下方向進行思考，包括：流程中人員權責有無可改善之處，應變與復原步驟是否與現況符合，是否有其他可強化改善之處等。

田嘉雯建議，企業可透過風險管理與危機、風險共存，而在各式各樣風險事件中，企業也要針對相關事件進行取捨，而取捨方式可透過「營運衝擊分析」與「風險評鑑」掌握組織的營運策略。

田嘉雯進一步指出，營運衝擊分析主要可區分成關鍵與非關鍵流程業務，而風險評鑑則是找出對公司有重大威脅的事件，進一步判斷哪些業務對公司有影響，哪些業務對公司的影響極為輕微，以此作為擬定營運持續策略強化韌性。但要注意的是，因應經營環境持續變動，因此企業的分析活動也要定期的執行調整，以確保訂定的策略可符合公司當下面臨的情境。

至於營運持續管理計畫該由誰負責，田嘉雯認為，這部分涉及層面廣泛，負責單位可能涵蓋高階主管、作業、業務、資訊等部門單位，光是內部執行就會橫跨各單位；而為維持營運持續管理的有效性，建議包含推動業務的重要步驟以及如何計畫、演練，這些執行面需要每年定期執行、檢討與調整。