實體風險是基於企業營運的實體設施存在現實生活中必然存在伴隨而來的風險,評估的目的是為了將風險量化轉化為投資人決策的資訊,終極目的則是企業永續經營。
揮別2022年,企業永續經營的話題持續延燒,2023年首當其衝的是上市櫃公司與金融業,金管會在⌈公司治理3.0-永續發展藍圖⌋架構下,要求企業年報與財報應強化的揭露資訊如下:
考量國際投資人及產業鏈日益重視環境、社會及治理(ESG)相關議題,為提醒企業重視ESG相關利害關係議題,並提供投資人決策有用之ESG資訊,將參考國際相關準則氣候相關財務揭露(TCFD)規範、美國永續會計準則委員會(SASB)發布之準則強化永續報告書揭露資訊;另將要求實收資本額達20億元之上市櫃公司自 112年起應編製並申報永續報告書,及擴大現行永續報告書應取得第三方驗證之範圍,另為進一步推動財務資訊揭露之及時性,將要求實收資本額達100億元之上市櫃公司分別自111年及112年於年度終了後75日內公告前一年度自結財務資訊及財務報告、實收資本額達20億元之上市櫃公司則自112年起於年度終了後75日內公告前一年度自結財務資訊,並自113年起全體上市櫃公司應於年度終了後75日內公告前一年度自結財務資訊,以進一步提升資訊揭露透明度。
簡言之,國際與我國金管會的規範趨勢是要求將氣候相關風險反應於財務資訊及財務報告,TCFD議題則圍繞著轉型風險(Transfer Risks)與實體風險(Physical Risks)為主的議題展開。其中,轉型風險是在減少全球溫室效應的大目標下進行,在2022年我國多數企業無論規模大小應該已經配合國家政策完成初步的碳排放評估,甚至配合各國際大廠的供應鏈體系要求完成減碳的目標。相較之下,實體風險(Physical Risks)是緊隨而來另一項課題。最終在TCFD與SASB二者的架構下,企業所要達成的是將氣候風險轉化為可以提供企業策略與投資人決策的數字。
上述的要求與目標並非一個全新的議題,事實上只要企業存在就必須承擔風險,風險管理的理論與架構多數人也已經了然於心,TCFD規範最大的區別在於要求用一個共同的語言將氣候風險轉化為會計師、金管會、股東、投資人都能理解的形式。毫無意外的,風險評估的表達方式包含⌈機率⌋與⌈衝擊⌋,其中,⌈衝擊⌋最直接的表達方式就是錢,無論是表達投資報酬或是風險造成損失的金額;最大的難處則是⌈機率⌋,是的,只是一個百分比數字,但是這個百分比代表的數字要讓前述所有人都能信服才是真正的挑戰。
現行已知一些關於實體風險評估的做法,例如以海平面上升對金融業造成衝擊程度的評估,這樣的評估方法自然是直觀可行且有助於國家或高階企業的風險控管,然而這種類型的評估是以國家或區域整體為架構進行的實體風險評估,或許在金融業可行,但是回歸到每一個企業在都必須將風險反應在財務資訊及財務報告的需求則仍有落差,畢竟不是所有企業都是以全國性服務或分布據點的形式運作。
筆者個人很喜歡舉的實體風險範例是台積電這座護國神山改善廠房地表震動的成果,相關歷程均可以由公開資訊取得與驗證。議題肇因於精密產業對於地表震動的環境現象非常敏感,即便鄰近地域存在鐵道交通運輸也可能影響產品生產過程是否正常運作和產品良率,為此,台積電花了數年時間針對廠房結構與生產設備進行防震、降震的改善措施,從廠房設計規範到設備採購均將此一實體風險納入考量,時至2022年再檢視台積電的年報可以發現地表震動的問題已不復重要。從這個範例就足以突顯幾項與實體風險有關的特性。
首先,輕微的地表震動並不是政府官方定義的地震災害,是企業基於產業特性不得不面對的不安全狀態,這個不安全狀態的形成門檻(風險門檻)相較於地震災害是非常高的標準,也必須是基於企業本身營運的Know-how才能界定清楚,所以企業必須理解的課題是:釐清實體風險是一個因人、事、時、地、物變化的客製化議題。
其次,TCFD建議的實體風險評估方法是建立在量化情境分析之上,也就是企業必須儘可能把設施情境的人、事、時、地、物說清楚的前提下計算出風險機率,才有可能得到相對明確的結果,可以真正引用到財務資訊及財務報告。為此,這個情境必須符合企業真實情境且能被企業的利害相關者所接受。同時,判斷風險這件事本身擺脫不了主觀認定,企業看待風險的標準本身就是個選擇題,偏向保守的人會將不安全狀態的情境標準設定得非常嚴格,就如台積電看待地表震動,反之也有輕忽風險的企業設定寛鬆的情境標準,因此這個客製化議題擺脫不了主觀認定造成的偏誤。同樣地,所謂量化也必須儘量客觀,過去常見的李克特量表所呈現的風險量度也許是一個方法,然而所謂甲之蜜糖乙之砒霜,投資人認為的高風險相對於企業決策群的角度可能不是風險,反之亦然,同時精度不足是一大問題,決定量度值的主觀認定也是一個問題。事實上,政府與許多先進也積極投入精進氣候相關風險評估的計畫與研究,最重要的成就與碁石自然是氣象資料的揭露與應用,至少包括TCCIP和民生公共物聯網,透過TCCIP,我國氣候變化值與趨勢分析等資料已經不難取得;民生公共物聯網則是進一步利用遍布全國的IOT提供即時氣候資訊。即使如此,資料的精細度仍存在技術瓶頸。由此可知想要真正決定一個可以具體表達實體風險的機率值並沒有想像中的容易。
最後,評估實體風險的目的是為了改善風險,國際組織標準與國家政策規範固然是強迫企業必須揭露風險,實際上是為了讓企業正視風險並確保企業永續經營和投資人的權益,過去也許會為了方便不揭露風險,或許也有人會說現在台積電的年報也不會再花去篇幅去討論地表震動的風險,然而不揭露和不討論實務上有天壤之別,不揭露表示有可能不知道風險,台積電的不討論卻是已經從過去的企業歷程證明不但知道風險存在而且已經克服了它,由此可知揭露改善風險的歷程也是一種潛在要求。
也許評估實體風險對大部份的企業而言都是一項新的挑戰,但是對從事關鍵基礎設施防護的筆者而言,企業的實體風險與關鍵基礎設施的安全防護其實是一體二面的課題,雖有差別但核心精神與概念相差不遠,更多歧異是在風險處置的議題上,不難理解:關鍵基礎設施的風險無法轉嫁,但企業可以!!
若有相關疑問或需求,可洽詢CIPService@nbhic.com。
文章內容歡迎轉載,請註明出處及作者,謝謝!!
