任何議題如果找不到核心課題,往往只能停留在表面,頭痛醫頭,腳痛醫腳。
前言
有別於企業的年報與財報,永續報告書是國際標準發展趨勢下,法規新增要求公開揭露的正式報告,帶有強制性及相應罰則,雖然仍然處於政策推廣的緩衝期,即將正式上路,相較於2024年約1,000家上市櫃企業公布永續報告書,2025年已增加至約1,800家自願上傳並公開永續報告書。
永續報告書在國際趨勢與政策推動下迅速進入軌道。對於投資人或外部單位而言,這是一份可以透過企業自主公開資訊進一步了解企業營運狀況的途徑,必須是一份慎之又慎的資訊揭露,理應有諸內而形於外,先有企業的內部成熟制度與實踐,再提供穩定的運作成果,以免匆促之下造成更多企業營運的風險。而今某種程度上反其道而行,企業必須先撰寫並揭露永續報告書,其後各項國際標準才逐步跟進,導致企業窮於追隨持續更動的國際標準或國家法規,雖然一定程度上突顯出拯救地球環境的刻不容緩,也將企業推入進退失據、顧此失彼的境地。
在【滿足法規要求】與【落實企業治理】之間,企業能否找出一條穩定的永續之路,正是當前必須解決的問題。
ESG浪潮
外部形成的政策
對企業而言,當前的永續課題由外而內的壓力所形成,亦即地球暖化、氣候變遷、國際情勢變動所造成,其中,企業的活動是產出溫室氣體的重要來源,也是影響社會運作的組成要素,由此成為各國政府下的規範對象,企業社會責任(Corporate Social Responsibility, CSR)成為討論核心,形成ESG三個面向的永續課題架構。有別於自願揭露的CSR報告書,永續報告書則是企業必須公開揭露的正式文件。
永續課題始於外部風險大幅增加,導致企業經營環境變化與風險增加,由此,永續報告書以【永續經營】與【重大主題】開啟篇章,亦即企業必須面對並承認風險存在,隨後,在符合GRI要求的前提下,逐一揭露E、S、G各面向中的企業資訊。讀者可參考接軌IFRS永續揭露準則專區相關文件。
綜上可知,永續資訊的揭露事事偏離企業營利的本質,卻又事事圍繞著企業提出規定與要求,如果企業不明所以,配合政策倉促揭露敏感資訊,可能禍福難料,現階段避免不必要的揭露反而可能是一種對策。
企業承擔責任
既然企業已經在永續報告書中主動揭露重要風險,也置入碳排放與氣候變遷等環境風險,配合GRI要求或沿續既有法規說明資訊安全、職業安全衛生、性別平等及有關內容。其中,很大一部份是過去散落於不同的法規對企業的要求,或鼓勵企業推動,如今均已成為企業責任。從企業的角度,如果僅只是一部份不合規而受罰,或是不因CSR相關議題而加分,或許還算不上是一件大事,然而,IFRS和金管會的陽謀是:串連企業治理與會計財務。
企業須知,任何資訊未來要與會計、財務報表整合,提高並比對真實性,不揭露的空間將大幅縮減。試問,企業究竟該怎麼做才足以在符合企業利益的前提下,應對未來永續報告書的強制揭露!?
永續議題的組成
符合企業利益的前提下,筆者試著梳理並檢視企業在永續報告書制度下的議題與架構。
當前要求
不少企業認為永續報告書只是企業年報中的一部份另行編製,這個延續性想法在本質上沒有錯,只是企業年報中最重要的營運績效在永續報告書中並不重要,永續報告書重視的是企業治理能力與社會責任,因此GRI的要求與ESG各項指標才是必要資訊,但它仍然以企業治理的資訊揭露為主,適度基於年報延伸、補充說明,無論企業自行編撰或是參考【永續報告書模板及參考範例手冊】,完成確信,就足以符合金管會現階段的要求。
至此,企業正式參與永續議題並宣示承擔ESG的責任。
後續挑戰
為何金管會和證交所仍然不斷強調與IFRS、COSO等國際標準接軌? 自然是因為永續報告書只是一個開端,舞臺搭好了,演員上台了,劇本是永續,企業請自由發揮。
只要讀者進一步了解永續相關的國際標準,會發現大部份國際標準都會直接說明【風險管理】的位置或重要性;或是採用【安全】一詞,如資訊安全、職業安全衛生等,而安全相關的國際標準向上溯源也都會強調ISO 31000風險管理的沿用,至此,真正的主角浮現了:風險管理。
既然事事源於風險,處處強調企業責任,企業永續ESG或永續報告書的核心課題自然是圍繞著企業治理(G)下的【風險管理】,差別只在於這些風險是:
- 直接影響企業營運 → 企業治理能力
- 或是影響社會/國家 → 合規要求 / CSR形象
- 或是影響社會/國家後,間接影響企業 → 整體經營環境
企業永續ESG看似正面為企業加分的資訊揭露,也強調機會,本質上卻是要求企業具備風險管理的能力,所有問題貌似一體多面且環環相扣,但是對於一個風險管理落實程度高的企業,ESG只是風險議題面向不同,藉由永續報告書宣傳企業治理能力的正面資訊,反之,缺乏風險管理概念的企業就會左右支絀、疲於應付,落入每年儘量掩飾或自曝其短的負面循環。
風險管理的層級
為了讓讀者能直觀地理解永續報告書所涉及的國際標準與企業治理層級的區別,下圖上方橫軸以資訊揭露、風險管理、財務的方式表達永續議題下企業治理涉及的國際標準;下方水平軸則呈現由企業內部資訊延伸形成外部報告資訊(或擴及社會與環境外部課題)的程度;豎軸則以企業的管理層、部門層、執行層表達戰略、戰術、戰技的概念,說明企業運作永續議題的運作性質。
不同規範的範疇
- IFRS S1:永續相關財務資訊揭露之一般規定
- 結合財務與公司永續治理的資訊,跨越管理層、部門層、執行層這三個層級。
- IFRS S2:氣候相關揭露
- TCFD說明氣候風險的框架,涵蓋轉型風險與實體風險,要求從企業治理、策略、風險管理、指標與目標四個層級揭露資訊,11個建議揭露項目,並提供執行方法與建議。
- 以量化情境分析或較優的質化分析為目標。企業說明氣候相關風險管理的績效。
- 歸屬於企業的 管理層 與 部門層,重在說明戰略與戰術。
- SASB基於永續指標之必要性與財務的關聯性,建議11產業別77個產業應揭露的指標,包含指標項目、應說明的內容、數值與量度單位。
- 具體指定各產業別永續指標。
- 偏重於企業的 部門層 與 執行層,透過SASB的指標說明具體的執行成效。
- TCFD說明氣候風險的框架,涵蓋轉型風險與實體風險,要求從企業治理、策略、風險管理、指標與目標四個層級揭露資訊,11個建議揭露項目,並提供執行方法與建議。
- ISO 22301 業務持續管理系統(BCMS)
- 在面臨災害、事故或營運中斷時,仍能維持關鍵業務與服務運作。要求企業先了解內外部環境與利害關係人需求,進行業務衝擊分析(BIA)與風險評估,制定業務持續策略與計畫(BCP),透過演練、測試與改進來確保有效性。
- 僅採用管理概念時,以BCM指代,建立管理目標,涉及 管理層 與 部門層,決定戰略與戰術目標。
- 進入風險管理的執行與PDCA(Plan-Do-Check-Action)時,以BCP指代,涉及 部門層 與 執行層,建立標準作業程序(戰技)。
- 在面臨災害、事故或營運中斷時,仍能維持關鍵業務與服務運作。要求企業先了解內外部環境與利害關係人需求,進行業務衝擊分析(BIA)與風險評估,制定業務持續策略與計畫(BCP),透過演練、測試與改進來確保有效性。
- ISO 27001 資訊安全管理系統 (ISMS)
- 透過系統化的方法保護資訊的機密性、完整性與可用性。它要求組織建立資訊安全政策、風險評估與控制措施,涵蓋人員、流程與技術層面,並透過資源支援、培訓、文件化管理、監測稽核及持續改善來確保安全性。
- 尤針對資訊部門,偏重於 執行層 ,涉及資訊安全各種技術(戰技)。
- ISO 45001 職業安全衛生管理系統 (OHSMS)
- 建立安全健康的工作環境,降低職業災害、傷害與健康風險。強調高階管理層承諾及員工參與,透過危害辨識、風險評估與控制措施,並結合政策、目標、培訓、稽核與持續改善,形成 PDCA 循環,確保職安衛管理制度的有效性。
- 尤針對一線作業環境,結合勞動檢查制度,偏重於 執行層,強調安全環境的維持(戰技)。
- COSO (Committee of Sponsoring Organizations of the Treadway Commission)
- 國際公認的企業內部控制與風險管理架構,提升企業治理、風險控管與內部監督的有效性。包含五大構面:控制環境、風險評估、控制作業、資訊與溝通,以及監督活動。
- 強調 管理層 的風險控管, 部門層 與 執行層 可結合IFRS、ISO 27001、ISO 45001等標準。
- GHG / ISO 1406X (已公開宣布整合)
- 環境管理與溫室氣體相關的國際標準, GHG Protocol 規範範疇一(直接排放)、範疇二(能源間接排放)、範疇三(其他間接排放)的計算與揭露;而 ISO 14064/14065/14067 等標準則聚焦於溫室氣體量化、報告與查證,並延伸至碳足跡管理。
- 協助組織建立透明、一致且可驗證的碳排放資訊,偏重於 執行層。
- 涉及減碳策略與利害關係人溝通,於 管理層 及 部門層 廣泛討論,如漂綠等課題,可與 ISO 14001(環境管理)及 IFRS S2、TCFD 等架構整合。
- 其他涉及外部標準或規範
- 不會直接影響企業營運,如TNFD及其他ESG規範,以合規為主要考量,不另深入討論。
錯誤認知
企業若僅參考【永續報告書模板及參考範例手冊】撰寫永續報告書,不熟悉風險管理及相關國際標準,普遍存在幾個問題:
- 揭露【重大主題】或風險矩陣,未銜接完整的風險管理流程,未理解每年的永續報告書都是一次風險改善PDCA循環績效的對外發布。
- 以為風險管理只是永續報告書中的一個章節,如【永續報告書模板及參考範例手冊】的4.05節。
當企業陷入上述的錯誤認知時,永續報告書往往呈現不同章節各自獨立、只為了符合GRI而揭露資訊所撰寫的敘事段落。一本敘事無法連貫的報告書將會落入資訊雜亂、前後資訊無法自洽的境況。
正確認知
造成這種處處皆是風險管理,各議題卻又散落在不同的公司治理層級的主要原因在於:ISO 31000 的泛用性。參考ISO 31000風險管理對於範疇(Scope)的定義:
The organization should define the scope of its risk management activities. As the risk management process may be applied at different levels (e.g. strategic, operational, programme, project, or other activities)
ISO 31000 – Scope
- 定義風險管理活動的範疇
- 應用在不同層級(different levels)
- strategic, operational, programme, project, or other activities
至此,讀者應該能理解上面的圖為何要將企業分成治理層(戰略)、部門層(戰術)、執行層(戰技),再將各種國際標準加以區分,因為風險管理本身就是層層延伸的分工結構(Work Breakdown Structure, WBS),只是每個議題的定位與角度不同:
- 從企業治理層向下延伸,如企業永續ESG、永續報告書、COSO
- 由一線執行層向上延伸,如ISMS、OHSMS
- 更有基於議題不分層級要求企業的情形,如GHG、IFRS
前述層級分類也僅是筆者為了梳理概念而粗略劃分,實際上每一個企業都可能更為複雜,但是,如果企業缺乏全面、整體性的認知,只因為合規或是局部需求而導入部份國際標準,對於當前企業永續ESG的認知就很容易陷入瞎子摸象的窘境,或是出現與利害相關者溝通困難的問題。
實際上,大部份涉及企業永續ESG的國際標準都會提及:與企業的風險管理制度整合。但如果連上述的認知都缺乏,往往也無法理解這句話的用意。
那麼,永續議題下的企業治理核心課題來了:風險管理制度在哪裡!? 與企業是否導入ISO 31000無關,因為大部份上市櫃公司早已入局。
小結
撰寫這篇文章的動機起於近期的企業拜訪,需要花時間解釋法規要求與國際標準之間的關聯,不如在網站留下文章,同時說明為何企業真正的挑戰與經營長遠之道在於風險管理的能力。
關於風險管理層級的說明,也可以參考筆者另外二篇文章:
同樣是風險管理四個字,先釐清討論的範疇才可能進行有效率的溝通與說明,了解層級之間的關係才能串連永續報告書中各章節的內容,呼應【重大主題】並正面論述企業治理的能力。
若有疑問或需求可洽詢CIPService@nbhic.com。
文章內容歡迎轉載,請註明出處及作者,謝謝!!
