EY安永是指 Ernst & Young Global Limited 的全球組織,也可指其中一個或多個成員機構,各成員機構都是獨立的法人個體。Ernst & Young Global Limited 是英國一家擔保有限公司,並不向客戶提供服務。
每一次的危機都源始於風險。關鍵在於識別風險,並投資於準備健全有效的因應對策。
概要
- 危機在未知情況下發生,因為並非所有企業都會投入資源確保充分準備。
- 不僅藉由可能性及影響層面探究危機,企業更應識別所有風險,就投資金額及範圍做出明智抉擇。
- 以識別、準備就緒、因應與恢復等四項要素為基礎的健全危機管理計畫,讓領導者在因應危機時充滿信心。
新冠病毒疫情是一記警鐘,證實在全球經濟體未有任何準備就面對危機的情況下,將會導致大混亂。為何全球疫情,這個最鮮為人知的風險,會造成如此重大的集體「頓悟時刻」?本次危機為何使企業蒙受近代前所未有的損失?
這些問題的答案就在兩種矛盾的說法中。部分人士曾預測會有疫情。比爾‧蓋茲在知名的2015年TED演講中(EN) 1 曾說過:「未來幾十年裡,如果有任何東西能夠殺死上千萬人,很有可能是病毒,而不是戰爭。」大家不是沒有想過會有全球疫情,但只有極少數的人做好因應計畫。
第二個問題的答案則與目前企業的既有複雜性有關,更廣泛地說是透過貿易、金融、供應及資訊體系的現代世界相互聯繫性,這個相互聯繫性進而從混沌理論衍生出的蝴蝶效應(EN)。2 當複雜的動態系統發生無法預測的行為時,初始條件的任何細微變化都可能對最終結果造成強烈影響。
系統的敏感度,意味著結果不易預測。麻省理工學院(MIT)氣象學教授Edward Lorenz將其蝴蝶效應概念總結為一個問題:「一隻蝴蝶在巴西輕拍翅膀,是否會在德州造成龍捲風?」(EN)3 我們正在經歷蝴蝶效應,不光只是商業與金融市場,在地緣政治、全球社會契約的削弱上亦然,氣候變遷與全球疫情也肇因於自然環境的蝴蝶效應。這種蝴蝶效應代表企業目前面臨威脅及危機所帶來的更大風險,同時也具備更高的風險意識。
企業無法隨時預測危機何時到來,但可以事先做好準備。
企業提前因應下一次危機的關鍵,在於認知到極有可能發生的潛在威脅以及將以何種形式展開。接著必須做出明智的決定,在企業認為關聯性最高的風險上進行不同投資而加以緩減。
EY UK Cyber Resilience, Preparedness and Response Partner, Ernst & Young LLP, Paul Robertson博士表示:「說到危機,我們想到的是不可知因素,但現實世界中幾乎不存在不可知的風險或危機。幾乎企業所面對的各種危機(包括全球疫情)都曾引起某個人的注意,之所以讓我們覺得不可知,是因為企業所投入的資源不夠充分,不足以因應。」
最高管理層發現自己肩負因應危機的重要責任,瞭解必須提升自身企業的危機準備與因應措施。然而,儘管過去幾年危機的數量、速度與影響層面逐漸增加,許多高階主管仍不願面對及探究潛在威脅。風險以閃電般的速度發展成危機,不願為因應危機而充分投資的企業,會發現自己面臨生死存亡之戰。
1
第一章
四大危機類型
某些危機持續存在,其他則為短暫出現。
某些危機持續存在,其他則為短暫出現。
- 隱藏性:危機隱藏於組織中,但並未被發現,詐騙、財務操縱或不當個人行為(例如與同事有婚外情)等都屬於此類。最近的一個例子是美國一間大型軟體企業的資料外洩,持續了一年多都沒有被發現(EN)。除了對企業的影響,當企業在不知情的情況下推出含有惡意代碼的更新時,網路攻擊更會影響其成千上萬的客戶。
- 蔓延性:蔓延性危機已經存在或被懷疑存在,但並未受到管理階層認真對待或處理。此類危機可能包括法規變更或網路攻擊。環境、社會與公司治理(ESG)問題可能造成一連串蔓延性危機,從有害環境事件(如漏油事件)及全球健康大事,到現代奴役、#MeToo運動、資料隱私、檢舉行為與網路相關危機。風險看似沒有盡頭,但當危機來自利害關係人團體的「看法」,而非根據事實時,風險會變得更棘手。不管是哪種方式,對企業都會帶來同樣的傷害。
- 突發性:突發危機發生時毫無前兆,通常非企業所能掌控。包括(但不限於)疾病、恐怖攻擊、環境災害(如颶風、地震、洪水、火山爆發或颱風)或產品竄改。
- 不尋常性:此類危機因可能性極低,通常最不易被辨識。包括從飛機衝撞大樓,到高階領導階層靜修會食物中毒,都算是不尋常危機。這些危機有時被稱為「黑天鵝」事件(EN)(Nassim Nicholas Taleb所創造的詞彙)。Nassim Nicholas Taleb認為可能性極低,但重要性極高的離群事件往往都無法預知。
此類威脅部分為持續性威脅(如網路、氣候變遷、地緣政治與智慧財產權竊取),其餘則為暫時性威脅(如供應鏈問題、迅速通膨及大離職潮),這些都有可能從威脅演變成全面危機。比起試圖藉由可能性與影響程度探索危機風險,企業更應該識別完整的「風險光譜(範圍)」,對投資金額與範圍做出明確決定,以防止或減緩危機發生。
2
第二章
正確的團隊在危機發生時可改變一切
危機管理專家可協助內部團隊因應極為複雜的危機。
當危機發生時,危機長應啟動企業危機處理並領導事先建立由熟稔危機專家所組成的多元團隊。團隊成員應包括安全與保全、企業健康與安全、人資、法務、資訊、財務、隱私、道德規範、行銷、企業溝通,以及其他被視為危機因應相關的關鍵領域或功能部門代表。
由誰擔任危機長一職取決於企業與人才庫。危機長可以是最高管理層的任何一位,最理想的情況下,應該由具備溝通技巧以及抗壓性夠的人員擔任。此角色通常由另一職位兼任,如營運長(COO)、總法律顧問或風險長(CRO),而非專任董事會職位。危機長應接受培訓,在發生危機時擔負重任,讓CEO與其他人延續策略及關鍵關係。
為了盡可能有效地動員及因應危機,危機長需要及時和準確的資訊 – 在事件發生前就建立的回饋。危機發生時所面臨的營運、資源與能力窘境,代表企業的資源不足以迅速存取及分析資料。在這些情況下,部分企業可能會選擇引進第三方鑑識或迅速應變團隊,這樣的團隊可協助企業從各種網路、系統與多語言的不同來源存取資訊,協助企業以果斷的行動整合。理想情況下,此能力應在派上用場前數月或數年便已就緒。企業需要投入時間與努力培養能力,方能在必要時派上用場。
掌握正確資訊後,危機長方能提供給外部法務顧問及危機溝通團隊等決策者與推動者條理清晰的策略,使其瞭解自身責任並討論出合理訊息,與利害關係人及更廣範圍的社群分享。
危機出現時,各部門必須清楚瞭解自身職責與因應之道。當工廠發生大規模爆炸時,人資、營運、物流、不動產、稅務及安全部門該如何因應?幾乎企業中的每個部門都必須肩負因應危機的責任,並且在不同的時間點協助恢復,度過回復到常態的這段時期。因此,危機長與由企業內部指定危機管理者所組成的團隊需負起危機規劃、培訓及模擬之責,方能從容因應出現的威脅。
3
第三章
危機管理4R
首先,在做出深思熟慮的投資決策前,先確認主要危機範圍。
準備就緒方能有效因應危機。但許多企業仍事到臨頭才開始投入因應對策,忙著滅火。領頭羊組織專注於事前準備,並視其為預防、因應與減緩風險的能力,然後才認可具備最佳風險應對能力,是從同儕脫穎而出的競爭優勢。組織必須瞭解何謂全方位準備就緒。哪些徵兆是顯示情況正在惡化,或是哪些臨界點代表需要全面回應?
確認(Recognize)潛在危機的主要範圍
因應危機的最佳方式,首先就是避免其擴大成危機,而這需要企業徹底改變對危機的觀念。EY ESG Leader, Forensic & Integrity Services, Katharina Weghmann提到:「有鑒於現今的危機速度與嚴重性,問說如何早一步做好準備以面對接連不斷的危機,似乎毫無意義。反之,領導者應該問的是:我們如何在充滿危機的世界中展現適應力與自信?」
企業應從預期會導致危機的價值鏈領域開始評估。如同風險評估,危機評估可確認價值鏈中的最大風險。對某些企業來說,危機也許在供應鏈,對其他企業來說,可能是資料隱私或網路安全。
主動式24小時威脅監控也有助於偵測、避免及阻止持續性和暫時性的隱藏和蔓延性危機威脅。有了健全的威脅監控計畫,企業便能持續評估威脅態勢,決定應將資源優先應用在何處,以及當潛在威脅可能性或影響層面擴大時如何變更優先順序。利用實際或擬真威脅通常是測試現有計畫及組織能力的最佳方式。
讓企業準備就緒(Ready)
當企業對潛在危機威脅有概念時,便可開始擬定因應策略。策略應包括建構,或檢視及更新危機治理政策、架構與危機戰術手冊,以作為領導力及運作指引,賦予隨危機進化提升敏捷性以及視需要調整的能力,以處理特定危機與對營運單位的衝擊。可行的情況下,在爭辯與釐清還不會拖慢因應速度時,可先就教戰手冊中的大部分重大決策達成共識。
為達此目的,企業需要執行包括針對主要範圍潛在危機事件模擬演練計畫,協助企業各營運功能單位瞭解威脅並改善因應能力,同時更新戰術手冊,以反應所學到的關鍵知識。這些都有助於隨著時間的整合並建構端對端能力,強化成功因應必備的整體連結與關係。
企業也必須根據充分的前瞻掃描,針對優先將資源投入何處做出有原則的明智決定。某些投資可提供相對成本較低的解決方案,讓企業有更多機會在危機發生時進行調整。這些解決方案可以是現成的,在規劃時加以妥善考量及評估,以便企業需要時隨時派上用場。
完整因應(Respond)
危機可能混沌不明,為人們帶來挑戰。由於危機具備不確定的本質,使得人們難以預先計畫與因應。由於危機事件既是全球性,也是區域性的、跨越多個時區、受不同的法規監管,以及衍生的客戶與供應鏈問題,都使得危機變得更為棘手。當事件需要對特定受眾及利害關係人需求做出重點回應時,會更加複雜。
有了戰術手冊並指派危機領導者,組織已坐擁應變的利器。不過企業可能仍仰賴由可靠顧問所組成的團隊,協助其檢視法律、法規、公共關係、溝通、環境、供應鏈、人資、資料與資訊科技、稅務及其他危機層面。因應所有這些挑戰的規模通常遠超過組織內部資源,熟練的危機管理便成為一項寶貴資產,可借助外部顧問之力規劃及整合。
在這個階段,組織必須持續堅守企業價值及其主張。組織在受到威脅時,可能會偏離自身價值。
同樣的,組織也必須體認到危機造成的情感與實質上的影響。組織不光只是因應危機之後就回到業務常軌,危機對組織與個人來說都令其身心俱疲。組織並非為了在危機中營運而設計。
安永Forensic & Integrity Services Lead partner Brenton Steenkamp提到:「我曾經目睹已擬定好因應危機計畫的客戶,在身處風暴中心時,卻缺乏實際應變協調能力。因應措施執行成效不佳所造成的情感代價,可能會導致管理不善、對成本產生嚴重影響並損失優秀人才。」
復原及反思所學到的教訓(Recover & Reflect)
度過眼前危機後,企業必須進入復原模式,其中可能包括善用危機經驗,以強化因應計畫與提升敏捷性。復原也許是變得比先前更強韌與調整優先順序的機會。
儘管組織大多仰賴營運持續或韌性計畫從中斷中復原,真正的危機所帶來的挑戰規模或範圍通常都超出這些計畫所預期。透過事先規劃階段驗證復原能力的基本假設,以確保確實符合組織需要。
EY Asean and Singapore Forensic & Integrity Services Leader Ramesh Moosa說道:「危機的衝擊必定會對帶來長遠影響。在東南亞國家,連鎖性影響使得依賴全球市場的供應商對危機特別敏感。實施制裁、進口限制或主要客戶因負面媒體宣傳而終止合約,都可能造成企業在其他市場或與重要客戶的業務迅速瓦解。這些例子的恢復之路相當漫長,而最重要的是根據所學到的寶貴教訓採取行動。」
4
第四章
提高警覺、做好準備
健全的危機管理計畫有助於企業更快恢復、變得更強大。
絕大多數企業都尚未準備好面對危機,Sallet提到:「過時的危機管理計畫、欠缺最新情報或團隊缺乏因應危機的充分培訓,都會使應變速度變慢,可能造成當下與長期影響。」
遵循4R的健全危機管理和事件因應計畫可以幫助組織了解及做好準備,並能夠快速存取資訊,從而提供正確的見解,快速、有效和誠信地做出回應。通常,這使得公司能夠比以前更快地恢復並變得更強大,從而獲得競爭優勢。
在地觀點
危機的突發性與不確定性,增加了組織在應變與處理危機的困難度
過往組織對於「已知的已知(known-known)」風險,已有相對應因應計畫及處理程序,甚至已可有效地解決這些「已知-已知」風險。
然而從911事件、311大地震到近期的Covid-19等實際案例,組織對於因應「已知的未知(known-unknow)」及「未知的未知(unknown-unknown)」風險的能力其實相當有限。
如同美式橄欖球教練手上的戰術手冊(Playbook),組織領導者也要有一份屬於組織因應危機的戰術手冊。手冊中除了包含組織需要優先關注的風險與危機、危機處理小組成員、角色與職責外,更要納入各危機或風險事件可能的發展情境(Scenario)及應變方案。
這些預擬的情境及應變方案,有助於組織監測風險及其逐步發展過程。一旦危機爆發時,也能由團隊視實際事件內容及影響,選用及調整預擬方案進行因應,縮短危機持續時間及影響範圍,幫助組織渡過危機、回復到常態。
曾韵 Christina Tseng
安永諮詢服務股份有限公司 執行副總經理
參考文獻
1. “Bill Gates: The next outbreak? We’re not ready,” Ted Talk, TED2015.
2. Vernon, Jamie L., “Understanding the Butterfly Effect,” American Scientist, Issue May-June 2017, Volume 105, Number 3, Page 130, accessed 10 November 2022.
3. Ibid.
結語
所有危機都是從風險開始萌芽,但大多數企業尚未準備好面對危機。關鍵在於識別風險,並規劃健全有效的因應對策。當危機發生時,很重要的是從企業內各處及外部存取情報,有了這些情報,危機團隊便能有效執行其計畫。健全的危機管理與事件因應計畫讓企業提高警覺、做好準備,更有能力快速存取資訊,提供深入洞察,讓企業能完整迅速、有效的應變,最終幫助企業恢復且變得更強韌。
相關內容
在經濟衰退與後疫情的時代裡,舞弊風險不降反升,現在正是公司提升整體舞弊防範意識與防弊機制效能的緊要關頭,善用更積極與有效的防範機制,方能讓企業安然度過。