發布永續報告書並確定重大主題之後,企業為了強化永續能力,應基於明確的範疇,訂定目標與績效指標,反映在重大主題並降低風險。
前言
永續相關報告書(包含但不限於永續報告書與TCFD報告書)或風險管理相關報告書(包含但不限於風險管理報告書、職業安全衛生計畫書、設施安全防護計畫書)都是一種風險管理績效對外的揭露資訊(以下仍統稱為永續報告書),或依法規與上級機關的要求公開揭露;或由利害相關人要求提供,以企業為權責單位發布,雖然針對企業內部的風險管理制度未必須完全說明,仍須符合法令或相關規範。
當必須揭露的資訊越來越多,若企業沒有明確的風險管理制度或具脈絡化的風險管理流程,資訊往往流於表面論述、缺乏佐證,尤其在風險未發生或不明顯的情況下,突顯不出企業的永續能力或是安全程度,缺乏正面論述與展現風險管理績效的機會。當投入永續議題或風險管理沒有績效可依,反映於財務面的沉沒成本也都極可能驅使企業不落實風險管理,進而導致惡性循環。
IFRS以結合永續資訊與三大財務報表為國際標準發展趨勢,SASB也會進一步訂定各產業應揭露的目標與指標,與其長期處於被動,企業逐步建立並落實自己的風險管理制度,不僅可以持續優化永續報告書(或上述其他報告書)的論述,也是為IFRS要求結合財務資訊揭露及早準備,其中,能夠說明對重大主題或主要風險進行管理的投入資源與績效評估之間的關聯性,不將投入永續的努力視作沉沒成本也是核心課題之一,這個核心課題反映在【目標與指標】的具體釐清。
在執行任何風險管理之前,均須先釐清:範疇(Scope)、背景(Context)、和標準(Criteria),在企業內形成制度,然而風險管理制度、重大主題、風險等均隨企業而異,筆者僅能透過理論、法規、國際標準加以整合,試圖梳理出通用的風險管理脈絡,釐清一些容易被忽略的重要環節。
【範疇】和【目標與指標】這二者之間的關係經常被忽略或簡化,企業之下不同範疇的單位,考慮的ESG目標不同,所產生的指標自然也不同,描述的方式也會需要調整。雖說永續報告書本就篇幅有限,必定有所簡化,但是與重大主題之間因範疇而存在關聯若過度簡化,就會失去目標與指標之間的邏輯關係,各自獨立表述,永續報告書前後章節的內容就會失去連貫性。
閱讀本文之前,筆者建議讀者先參考其他文章,以利銜接本文:
組織架構與風險管理範疇
企業在永續議題下的核心課題一文中,筆者初步梳理了企業組織層級與永續相關國際標準之間的關係,說明企業建立或強化風險管理制度的重要性,從而反映在永續報告書的各項合規議題中,將每年的永續報告書視為企業對外公開永續能力或風險管理的績效報告,由此確立優化的論述方向。
績效指標的重要性
永續報告書始於企業宣告永續態度與治理機制,而後完成風險評估決定前一年度的重大主題或主要風險,說明如何管理所鑑別之重大主題,揭露GRI、SASB必要資訊並公布。然而,現階段在績效指標這件事情上,除了少數法規明確定義的目標與指標,例如減碳以淨零為目標、工作場所以零職災為目標等、【上市公司編製與申報永續報告書作業辦法】以附表形式要求的指標,大部份ESG議題現階段討論有限或仍在發展,未必有明確的績效指標。
永續報告書內容應涵蓋相關環境、社會及公司治理之風險評估,並訂定相關績效指標以管理所鑑別之重大主題。
臺灣證券交易所「上市公司編製與申報永續報告書作業辦法」104.1.26,第三條第二項
無法訂定出績效指標就會曝露出尚未掌控重大主題的隱憂,以及缺乏永續或風險管理的能力或佐證的標準,加上永續報告書每一年都必須公布,由此衍生問題:每一年的重大主題或風險持續存在,或無法說明重大主題或風險變動的理由或正當性。這也是筆者強調即使IFRS與SASB未決定產業指標,也建議企業自行訂定的主要原因。
範疇與層次
造成難以訂定績效指標的主要原因之一,在於ESG議題針對風險管理的範疇界定不清楚,延續企業在永續議題下的核心課題一文中,為了說明範疇的差異,筆者將企業的組織架構初步區分為【管理層】、【部門層】、【執行層】,層次由上而下:
- 【管理層】以企業整體為範疇,也是永續報告書對外揭露資訊的權責單位,負全面責任。
- 【部門層】由管理層向下拆分,以特定業務、功能、地理位置為範疇,負相關業務責任。
- 【執行層】由部門層向下拆分,以具體人員、機具、物料等透過營運活動結合為產品或服務的場域為範疇,負工作成果責任。
永續報告書如果缺乏範疇或層次的概念,加上議題龐大或不明確,例如氣候變遷、極端氣候災害、國際政治局勢變化、勞動條件惡化等,自然概念模糊、僅能採用文字簡單描述。然而為何企業針對碳排放量可以訂出淨零的減碳目標、職業安全衛生可以訂出零職災的目標?原因在於相關法規或國際標準在制定時就是以【執行層】為規範標的,建立評估或權責機制,情境與對象非常明確,相關資訊就能夠層層向上反映至【部門層】和【管理層】,乃至於明確揭露於永續報告書中,這也說明了由下向上建立績效指標的重要性。
組織架構與WBS
組織架構的層次劃分原則上必須符合分工結構(Work Breakdown Structure, WBS)的關係,亦即上層基於管理權限分割其營業活動【Activity】至下層,由此營業活動的執行將由下層取代,只保留管理功能;同時,下層必須提交工作成果對上層負責。每一個層次之間也可以分割多個下層單位,由此形成企業的組織架構。
企業的組織架構與權責關係雖然是永續報告書中必要的揭露資訊,然而大多僅基於治理的概念說明【管理層】與【部門層】二層,表達治理功能的權責劃分關係,雖然很多時候【部門層】可以說明業務之間的區隔與責任劃分,然而【部門層】與永續報告書中重大主題或重要風險之間的關係卻不見得明確,形成許多灰色地帶。以常見的資訊部門為例,其業務性質明確擔負資訊安全的權責,包含機房或資料中心的實體安全、系統功能開發與維持,但是也存在職業安全衛生、設備或軟體供應商關係、財務等風險,這些重大主題或風險管理的指標與目標與資訊部門的關連往往較少凸顯。
企業永續ESG的議題大多發生在現實世界中,如果想要徹底掌握風險和提高資訊的完整度,就必掌控企業與現實世界的交接層次,也就是【執行層】,具體的人、機、料等透過營運活動結合為產品或服務的場域情境,以此為基礎分析風險,再向上層層匯報、累積、組合至【部門層】與【管理層】,彙集成永續報告書的綜整資訊。
延續上面資訊部門的範例,資訊部門不會特別提及職業安全衛生、設備或軟體供應商關係、財務等風險,這可能的真正原因之一是:相較於其他執行層的情境,它發生的機率和衝擊不高,但這並不代表這些風險不會發生或無執行績效可言。
需要重申的是:【管理層】、【部門層】、【執行層】只用於突顯WBS的結構關係,不可過於拘泥與現實企業中的特定單位,董事會並非完全對應管理層,董事會下也可能包含某些具體執行的業務、人、設備,存在【執行層】;【執行層】也未必只能是人、機、料等實物,也可能是與上游供應商的分包管理關係,卻必然是企業範疇內風險發生的最小管理單位。
回歸WBS的理論核心,分工結構向下分解的對象是企業的營運活動【Activity】,當一個Activity被向下分解時,原層次的營運活動就會變成【虛作業】(Dummy Activity),分解出來的則是具體運作的【真實營運活動】,這二種作業的區別是:
- 【虛作業】只存在管理功能,或說明與其他營運活動、虛作業之間的關係。
- 【管理層】存在對永續報告書負責的管理功能。
- 【部門層】存在對於企業某個功能或業務的管理功能,或對應特定ESG議題的權責單位,無法對應前述意義或權責時可以忽略。
- 【真實營運活動】則需要結合具體的人員、機具、材料、時間、空間等才能運作或完成。
- 對應本文的【執行層】,則是大部份風險發生的情境或範疇。
結合風險與WBS的觀念,現實世界中絶大部份風險的發生範疇在【執行層】,分析對象是【真實營運活動】(發生在執行層時仍以【營運活動】簡稱),再透過【部門層】向上傳遞並整合於【管理層】,形成企業永續ESG的績效,或應揭露於永續報告書中的資訊。
層級管理目標
WBS中各層級之間存在風險管理必須明確釐清的脈絡關係,也是落實風險管理必須關注卻容易忽略的環節。
管理層
【管理層】是永續報告書的權責單位,向下有管理【部門層】與【執行層】的權力,因此
- 對營運績效負責。
- 應訂定永續ESG各面向之目標。
- 負責統整【部門層】與【執行層】的資訊,確認營運績效與永續目標的達成情形,由此建立指標。
- 基於上述3項管理目標與指標,決定永續報告書的重大主題或風險。
部門層
【部門層】是【管理層】向下分解所產出的功能或業務,也進一步向下分解出【執行層】而成為虛作業,僅保留管理功能,因此:
- 【部門層】對【管理層】提出的營運績效與永續目標負責,向下要求【執行層】落實。
- 當其負責的功能或業務與永續報告書的重大主題或重要風險有關時,可定義為【核心功能業務】(Core Function),反之若無關,該【部門層】的功能或業務不是重點管理目標。
- 承上,【核心功能業務】的執行績效影響重大主題的管理績效,可以據此建立【部門層】的管理目標與指標。
- 即使【部門層】未訂定明確的目標與指標,根據企業永續的潛在要求,仍然存在營運持續(Business Continuity)或營運不中斷的基本目標及其相關的指標。
- IFRS研議中的各類產業/行業的指標,如系統服務品質、供應鏈管理等,主要由【核心功能業務】相關指標組成。
執行層
【執行層】範疇的營運活動往往是風險產生的真實情境,也是最小的風險分析單位,因此:
- 可明確描述具體的營運活動與風險發生過程,包含人、事、時、地、物等。
- 延續【管理層】與【部門層】所定義的重大主題或重要風險,可以據此建立【執行層】的管理目標與指標。
- 同【部門層】,至少存在營運持續或營運不中斷的基本目標或相關指標。
- 最低限度,維持與重大主題或重要風險有關的核心功能業務營運持續或營運不中斷所涉及的人、事、時、地、物存在不可或缺的性質,依據實體存在的性質可以分為:
- 營運活動過程中不會耗損並提供功能的【必要資產】(Nessary Asset),但可能因損毁或功能減損而影響核心功能業務,例如生產設備、軟體功能、產權取得。
- 具體目標為:功能持續或不中斷。
- 具體指標為:中斷次數與中斷時幅 (參考SASB針對服務品質與中斷的指標)。
- 涉及數量且在營運活動過程中耗損的【關鍵資源】(Key Resource),例如水、電、原物料、財務預算。
- 具體目標為:及時供應資源數量高於營運活動所需。
- 具體指標為:安全庫存量,或供給的數量與時間。
- 與重大主題、重要風險或核心功能業務無關的資產和資源,在當下的風險管理或績效管理中可暫時忽略。
- 營運活動過程中不會耗損並提供功能的【必要資產】(Nessary Asset),但可能因損毁或功能減損而影響核心功能業務,例如生產設備、軟體功能、產權取得。
- IFRS研議中的各類產業/行業的指標,主要由【必要資產】與【關鍵資源】相關指標組成。
至此,透過WBS的脈絡完成風險管理各層級的範疇定義。然而,由下而上的資訊傳遞才是各種風險影響企業永續的關鍵,因為實際完成績效指標的營運活動在【執行層】,也是風險發生時,對企業造成影響的起始點。
風險處置與績效指標
重大主題或重要風險由【管理層】決定,多半是基於過去經歷、專業判斷、利害相關者的意見調查,決策背景仍然一定程度涉及過去發生的歷史紀錄與管理經驗,包含風險如何發生、如何處置等。
一般而言,風險處置的方式包含:迴避、減輕、轉嫁、接受等4種方向,優劣順序亦為從左至右。面對任何風險,如果企業有能力將風險處置到可以接受的程度,這樣的風險也就不需要再列為重大主題或重要風險。更甚者,也可能進一步將危機轉化為正面的機會。
簡言之,風險處置的過程和結果就是績效指標達成與否的重要參考依據。
執行層
【執行層】以必要資產與關鍵資源為管理標的,必須確保上一層級的管理目標可被達成,至少包含【部門層】的核心功能業務營運持續或營運不中斷,因此:
- 必要資產與關鍵資源是優先保護對象,與重大主題或重要風險攸切相關,影響績效的潛在程度高,以法規要求【執行層】存在的評估指標為主,如排碳量、職災傷亡人數。
- 必要資產與關鍵資源分析的管理重點是風險或危害發生的機率,並透過管理或風險處置手段將其降至最低,以達到迴避的目的,例如
- 工作現場的職災發生率,透過人員訓練、防護裝備、一線救護等機制,抑制人員傷亡的發生機率。
- 資訊系統的安全程度,透過資料讀取限制、加密、防火牆等機制,抑制資料外洩或駭客攻擊的發生機率。
- 前述抑制發生機率的風險處置手段,簡稱為戰技,即一線人員透過教育訓練、演練熟悉相應的標準作業程序(SOP),風險發生時予以落實以消除或減輕。
- 風險透過第一個媒介物(應屬於必要資產與關鍵資源)發生,而尚未向上波及【部門層】,或未橫向波及其他必要資產與關鍵資源時,該風險在此稱之為【初始危害】
- 初始危害未獲得妥善抑制時,將造成後續企業風險的發生機率上升、影響範圍擴大、衝擊程度提高
部門層
【部門層】以核心功能業務為管理標的,核心功能業務是否可以維持營運持續或不中斷,除了由【執行層】決定初始危害的發生機率,也與本身如何的風險處置與資源調度方式有關,因此:
- 核心功能業務承上啟下,與重大主題的管理績效直接相關。
- 核心功能業務的管理重點是:執行層的初始危害發生後,仍然能維持營運持續或不中斷。
- 如果初始危害發生於必要資產或關鍵資源將立即影響核心功能業務並造成營運中斷,此時核心功能業務中斷的發生機率等同於初始危害。
- 承上,如果營運中斷仍有處置空間及手段,必須將後續對企業風險的發生機率、影響範圍、衝擊程度降至最低,以達到減輕的目的。
- 【部門層】可以透過調度一個或多個執行層的資源,協助在執行層中建立機制,抑制初始危害造成的衝擊。
- 必要資產可以透過備用的人員、機具快速取代。
- 關鍵資源可以透過冗餘(Redundancy)機制,如安全庫存、備用資源、多供應源的方式避免。
- 【部門層】可以透過風險轉嫁的機制,以保險或其他外部協定的形式控制損失程度。
- 前述降低發生衝擊程度的風險處置手段,簡稱為戰術,即初始危害的發生不可完全避免,透過資源調度、權衡利弊以付出不同代價的方式維持重大主題或重要風險的管理績效,可能包含:
- 【執行層】向上傳遞的指標執行績效,例如碳排放量。
- 營運持續或不中斷的次數與時間長短 (參考SASB針對服務品質與中斷的指標)。
- 財務支出或損失程度。
- 包含前述和其他各種指標的綜和呈現方式。
管理層
【管理層】以企業永續ESG的各項目標或合規程度為管理標的,檢視重大主題透過【部門層】與【執行層】所彙集的績效達成程度,因此:
- 確認重大主題與績效評估方式,重新調整【部門層】與【執行層】的營運活動與範疇,簡稱為戰略。
- 首次永續目標及指標可能以法規要求或主、客觀認知而訂定,如SASB與金管會要求揭露的產業指標。
- 整合【部門層】及【執行層】資訊後,可重新評估並建立績效評估制度。
- 結合永續報告書的重大主題,設定各層級的永續目標及指標。
- 透過PDCA循環逐年檢討與修正,調整出符合企業的戰略。
- 結合財務與績效評估制度。
- 檢視重大主題精進或風險管理的投資報酬。
- 指導調整或優化【部門層】的戰術與【執行層】的戰技。
透過WBS由上而下的管理分工機制和風險由下而上的傳遞擴大過程這二個方向的脈絡分析,針對風險管理的層次、範疇、目標、指標等逐一釐清與說明,至此已經提供了企業風險管理的必要邏輯關係,也是風險管理制度的雛型架構。
小結
關於永續報告書如何基於企業的立場優化內容或描述,基本原則仍是要蒐集【部門層】與【執行層】的資訊,反映在【管理層】形成績效,包含與重大主題有關的:
- 目標:ESG目標(如地球暖化、環境保護等)、核心功能業務營運持續、必要資產正常運作、關鍵資源充份且及時提供。(戰略)
- 風險處置的戰術,參考各部門的營運持續計畫、風險管理計畫、安全防護計畫等
- 風險處置的戰技,參考人員、任務編組的標準作業程序。
- 指標:ESG指標(如碳排放、職災人數、廢水回收比率等)、機率、衝擊、財務影響、面對風險的韌性。
- 管理績效所需的綜和評估標準(Criteria),決定重大主題或重要風險是否仍在下一次永續報告書中保留並持續控管。
如果企業面對重大主題或重要風險時,其組織型態較簡化或扁平式管理,或法規要求集中在某一層級,也可能導制風險管理架構的簡化,在這種情形下,同一單位可能涵蓋【管理層】、【部門層】、【執行層】的角色與任務,常見如董事會內部的經營權之爭,在一些時候是影響企業的重大主題;反之,也有特別針對工作場所、建築物、環境的法規要求、勞工權益等,發生重大災害時,直接由政府機關主動介入,這些差異最終會在永續報告書的資訊揭露程度上體現出來。無論如何,本文主要用意在於釐清風險管理制度應該具備的基本要素,關於如何應用、精簡、或延伸以符合企業實際情形,仍須企業自行判斷。
關於【管理層】、【部門層】、【執行層】分析架構的組成,核心概念很大一部份源自於國家關鍵基礎設施的組成:國家、關鍵基礎設施、設施安全防護計畫,部份名詞引用為主,也儘可能契合企業較熟悉的用語,或許未必適當,能清楚表達文意和讀者容易理解優先。
當前的趨勢下,國家和企業都要討論永續,無論SDGs或ESG等議題皆大同小異,差別在於立場、角度、範疇、績效目標不同,相形之下,企業更為精簡、明確,只不過企業普遍不熟悉國家安全或風險管理的方法與架構,筆者藉此儘可能整合這些概念並適度說明。
優化永續報告系列文章概述
對於1,800家已經公開2024年度永續報告書的企業而言,格式與合規問題大致已經克服,接下來應優先考量的是:基於企業角度思考與優化揭露資訊的內涵與深度,凸顯企業永續優勢及正面資訊,對利害相關者證明企業積極落實永續課題。
為了促使企業的永續報告書相關人員理解潛在的課題與挑戰,系列文章規劃中,筆者將綜整理論、法規、國際標準的建議或要求,梳理脈絡以協助相關人員具備永續議題的大局觀,從而更有效主導或推動永續相關業務。這並不代表企業的永續報告書內容、組織架構、風險管理制度因此必須調整,在應用時,往往只要思考脈絡正確就足以建立有效且正面的永續績效論述,達到優化永續報告書的目的。
系列文章將以【風險管理制度】的觀念與架構展開,基於企業組織結構與風險管理範疇(Scope)的關係加以說明。其後,也將結合ISO 31000的其他觀念,包含標準(Criteria)、時間(Time)和空間範圍(Scope)、風險處置(Risk Treatment)、監測與檢視(Monitoring and Review)等議題逐步展開,說明企業永續績效與【韌性】的量化評估基礎,整體架構及流程如下圖所示。
若有疑問或需求可洽詢CIPService@nbhic.com。
文章內容歡迎轉載,請註明出處及作者,謝謝!!
