联合国系统所有行动的可持续运作有赖于安全保障工作的全方位推进。在2004年12月联大第59/276号决议后,系统全覆盖的联合国安全管理体系(UNSMS)逐步建立,2005年1月随着联合国安全和安保部(UNDSS)的成立,联合国系统安全保障的统一执行部门确立,对有效排除安全威胁和危险事件起到了积极作用。作为最大国际组织,联合国在世界各高危地区行动的安全保障实践为各组织机构安保能力建设提供了重要示范。随着一带一路走出去战略的实施,联合国安保经验为中国企业走出去过程中开展安保预防预警工作提供了对标,也为政府有关部门建构统一的海外安保标准体系提供了重要参考。
联合国安全管理决策的高效运作建基于三大支柱:政策框架协助决策、问责框架支持决策、安全指定官员做出决策,由此可以看出全面系统的安保体系中,规则详实、责任明确、授权到位缺一不可。而政策框架的五大原则(1.东道国首要责任;2.安全风险管理;3.全球经验支持的分权决策;4.风险和效益的平衡;5.风险管理的问责)中,安全风险管理具有重要地位。本文将详细分析联合国安全风险管理的主要措施、方法和经验。
一、定义安全风险管理关键术语
联合国安全管理体系应用安全风险管理模型对联合国系统人员、资产可能的安全威胁进行分析和评估。安全风险管理(Security Risk Management,简称SRM)和安全风险评估(Security Risk Assessment,简称SRA)紧密衔接。安全风险评估(SRA)是安全风险管理(SRM)不可或缺的一个组成部分。所有安全决策、安全规划和安全管理的实施必须建立在健全的安全风险评估基础上。故此,安全风险管理的相关术语必须明确,被清楚定义,易于理解避免产生歧义。联合国对安全风险管理、安全风险评估、威胁、风险等做了明确定义。
1.安全风险管理的定义
安全风险管理是一整套分析程序,用于评估影响联合国行动中人员、资产和业务的风险水平,提出基于成本收益分析的解决方案,实施具体的预防和缓解策略和措施,把安全风险水平降到最低影响。
2.安全风险评估的定义
安全风险评估是识别可能影响联合国人员、资产或行动的威胁和脆弱性,评估风险的的可能性和影响,提出风险优先排序、预防对策和缓解措施的过程。
3.威胁和风险的定义
威胁是有可能造成联合国系统,包括其人员、资产和行动损害、损失潜在危险的任何因素(行动、情况或事件)
风险是影响和可能性的组合,是联合国系统人员、资产和行动暴露于威胁而导致损失或损害的可能性和影响。风险水平按次序从“非常低”到“非常高”分5档。
二、建立安全风险管理模型
联合国安全风险管理模型分为两个不同的阶段:一是准备阶段;二是执行阶段。
1.安全风险准备阶段(安全风险评估)
准备阶段也称安全风险评估(SRA),包括:方案评估、威胁评估、脆弱性评估、风险分析、预防及应急措施五步。
步骤一:方案评估是对所在国联合国机构做出该计划、行动方案的目标和目的,方案的合理性(方案关键性),以及对需支持的安全保障因素的审查。
步骤二、三:威胁和脆弱性评估是采用相关信息的收集和处理,分析确定联合国系统暴露于威胁和因此产生风险的水平,在这个过程中需要充分咨询东道国政府。
上述三次评估的总和将为在该国/地区采取联合国行动提供一个清晰的“联合国安全形势”描述。
步骤四:风险分析是基于上述评价确定每一个具体的威胁目前的风险水平,由事件的影响和可能性确定。
步骤五:风险管理措施是在信息分析和处理基础上提供给决策者的预防和应急措施的备选方案。提出的所有措施必须符合逻辑性、可行性和相关性。应该跳出框框思考,发挥创造力、经验和判断力是这一步骤的关键。
2.安全风险执行阶段
执行阶段包括:决策、实施、审查与调整三步。
步骤一:决策是所在国联合国安全指定官员(DO)与安全管理小组(SMT)在备选预防与应急措施中选择和批准相应措施的过程,这一步骤包括制定和批准安全风险实施计划。
步骤二:实施是执行已选择的风险管理措施。这一步是安全风险管理的关键,往往被忽视。安全指定官员DO和安全管理小组SMT成员必须确保风险管理的预算和措施按照计划实施。安全责任绝不是止于安全风险分析,而是止于安全管理措施的全面实施。
步骤三:评审和更新是对安全风险评估的回顾和更新。需要对安全风险的连续监测与更新,具有强制性。通过新的信息接收和分析,风险水平可能会不断改变(无论是高或低),对特定的威胁影响需要更新风险管理措施。
三、安全风险评估步骤与方法
1.方案评估
方案评估是安全风险评估(SRA)必不可少的组成部分,它具有独立性,是联合国在该国/地区业务规划过程的基本组成部分。方案评估必须在安全官员、安全顾问、项目执行者的通力协作下开展, 确保在该国家/地区项目规划的早期把安全因素作为“主流”纳入考虑。在所有方案计划中,能较早咨询安全人员至关重要,这样可确保方案的实施已考虑了安全因素和风险预防应急措施。
方案评估应识别具体哪些联合国各机构、基金、行动将可能受到威胁。明确为什么这些威胁会带来影响及如何影响,而为什么另外一些威胁不会带来影响,甚至可能与联合国的行动无关。应形成一个融合了安全信息的方案活动蓝图。
方案评估也应包含项目方案的“关键性”评估。“方案关键性”的定义包含以下三方面内容:1.实施方案的收益;2.未执行该方案或取消该方案会导致的后果(包括政治、人道、发展、安全等影响); 3.其他联合国活动/计划在多大程度上依赖该方案的实施。
2.安全风险评估
首先,一个可信度高的安全风险评估是对风险有效管理的前提,通过识别和评估,采取减轻措施有效管理联合国行动的风险。主要的风险管理措施是预防(降低可能性)和缓解(降低影响)。风险管理策略可以分为如下几类:
A.接受。直接接受风险,不需要采取进一步的减轻措施。
B.控制。实施预防和/或缓解措施,把风险降低到一个可接受的水平。
C.避免。暂时隔离潜在风险对象(如隔离联合国工作人员,车辆等)。
D.转移。保险,或通过分包合同把任务转移给可以安全实施任务的他方。
其次,更新安全风险评估的频率尤为重要,安全风险评估作为一种应用工具,其提供的文件并非一层不断,而是需要及时审查更新。每次安全管理小组会议都应根据现实变化因素更新“联合国安全形势”结论,这些因素包括:
政治形势变化或即将发生政治事件;可能影响联合国安全的活动或事件(例如选举);联合国在该国际或地区角色和功能的变化;联合国发挥新的功能和角色;或出现新的规划(如部署新任务、新设办公室或设施、任务扩展到新地区、任务在暂停、撤离后的重启和恢复;特别事件或会议)。
重审安全风险评估的时效性是安全管理小组技术会议议程的常设项目。根据新的信息报告应及时更改安全风险评估结论,在安全管理小组会议纪要中记录,并根据安全风险评估矩阵表进行重新调整评估结论、风险水平和相关建议。
3.安全风险矩阵分析
联合国安全管理体系的安全风险分析表如上。安全分析过程中识别各个威胁的风险水平需要对风险指标进行确定。对于中等,高等或非常高等风险水平的划分,“可接受的风险”是一个相对术语,需要经验判断,不仅仅是规则的应用。在联合国安全管理系统中,“可接受风险”的确定是高级管理人员的一项重要职责。必须考虑方案“关键性”与联合国人员安全风险之间的关系。管理者必须不断努力来平衡这两个关键要素,并在授权范围内作出负责任的决策。
首先,为了确定可接受的风险,可以在安全风险管理过程围绕以下问题开展讨论。
1)确定方案/项目目标。在更高风险的情况下,将有一个需要优先考虑的目标。更重要的目标可能会决定该组织接受一个更高的风险水平,以达到结果。
2)识别和评估所面临的威胁。这些威胁是实现方案目标的障碍。
3)通过寻找威胁对联合国人员和机构造成的可能性和影响来识别风险。影响评估是非常重要的。我们可以接受一个糟糕的结果对确定可接受风险很重要。换句话说,我们能接受的最坏情况是什么?
4)确定如何管理识别的风险。换言之,这是到位措施,通过预防和应急措施降低风险。
其次,有必要回答一些方案“关键性”的问题,是对本行动的必要性和重要性的测量。
1)“活动有多重要?”
2)“预期收益将证明高于可接受的风险损失吗?”
3)是否已经做了足够的工作降低风险水平,可以接受人员可能面临的风险?”
4)是否确定“识别的风险是可管理的?”
如果上面的答案都是“是”,那么应该考虑实施方案。如果答案是“不”,则应考虑替代选项来实现方案目标。
再次,安全风险评估的批准与定型(包括纠纷解决程序)是必要的。安全风险评估的批准和定型的具体流程可查阅安全操作手册(SOM),主要关键步骤包括:
安全顾问(CSA / SA)提交安全风险评估草案给安全指定官员和安全管理小组,安全指定官员/安全管理小组批准安全风险评估报告。在遇到争议不决的情况下,安全与安保部将咨询联合国相关机构、基金、组织的意见。
最后,培训和宣贯是落实分析成果的重要路径。
经联合国秘书长、联合国系统行政首长协调理事会(CEB)、机构间安全管理网同意,安全风险管理方法学培训对于安全指定官员、安全管理小组成员、安全专家都是强制性的。所有赋予特定安全责任的联合国官员应根据问责制要求清楚掌握安全风险管理模型和SRA过程。
四、可接受性风险的确定与决策
1.从零风险到可接受性风险
安全风险管理是所有联合国活动不可或缺的组成部分。所有联合国机构、基金和组织需根据其组织机构的任务、纲领和职责来决定哪些活动是必须的,哪些活动具有优先性。国家级代表通过出席安全管理小组会议反映各自组织优先事项和利益。安全风险管理框架到位情况下应识别和管理的必要活动可能的风险。在大多数环境中,通过可能的有效风险管理以促成活动实施。单在紧急情况下,也必须采取果断行动以挽救生命。作为国家层级安全决策的责任人,安全指定官员有责任声明识别的风险不可控,并中止所有联合国行动人员出现在危险区域。
2009年1月联合国机构间安全管理网会议提出了修订后的安全风险管理模型,作为分析风险水平、采取降低和减缓风险的重要工具。其关键程序是确定可接受的风险,主要考量4方面内容,围绕关键问题分析。
具体包括:1)识别方案目标;2)识别评估威胁;3)识别风险;4)确定如何管理已识别的风险。关键问题包括:1)活动有多重要?2)预期收益将证明高于风险损失吗? 3)是否已经做了足够的工作降低风险水平,可以接受人员可能面临的风险?4)是否已确定“识别的风险是可管理的?
2.可接受风险决策:方案优先性、确定风险水平和决策人
方案优先性、确定风险水平和决策人是可接受风险决策的重要内容,根据联合国新修订后的安全风险分析矩阵表,最右上角已调整为“不可接受”。
首先,在黑色格子里面的任何残余风险被确定为不可接受的风险,在这种情况下,安全风险管理的唯一措施就是回避(撤离),或将执行的任务转移给可安全完成任务的其他机构。联合国机构应做好风险管理促使风险水平降低到“严重”以下。
其次,要确定风险的等级水平,在风险水平没有到达“不可接受”程度时,风险的可接受性取决于项目的“关键性”。即有优先性方案目标的活动可以承受较高的风险,风险的可接受性与项目活动的“关键性/重要性”相关。
最后,结合风险矩阵表(见对应的风险色块),方案的重要性、风险高低对应相应的决策者,可清楚了解由谁作出“可接受风险”的决策。
作者简介:
周章贵博士 OSS国际协作中心主任,浙江大学非传统安全研究中心海外安全与安保研究所所长,塔里木大学非传统安全与边疆民族发展研究院特聘教授,持有联合国安全与安保部(UNDSS)签发的外勤安全高级证书。zhouzhanggui@sina.com
周冉博士 浙江财经大学中国政府管制研究院助理研究员。purplejulian@outlook.com