世事多變,唯有掌握事物本質的基本單位,落實風險管理,才能以不變應萬變。
Table of Contents
TCFD實體風險 與 最小管理單位
隨著全球環境日益惡化,企業面臨的永續挑戰也越來越多。追根究底,是因為我們所處的世界風險日增,以往或許威脅尚小而被忽視,如今卻成了廣泛討論的議題。企業能做的,或許只是避免捨本逐末,在波濤洶湧的變局中穩健前行。
筆者近期的課程中,必然會花一點時間與學員互動的議題之一:【企業永續ESG中,究竟是E(環境)重要? S(社會)重要? 還是G(治理)重要?】這個問題沒有標準答案,因為每一個企業的體質與面臨的課題不同,但是如果沒有任何前提就要筆者必須從中選擇一個答案,它會是G,是治理,尤其在討論E和S之前,從企業的角度應該要先思考的是:【為什麼E和S裡的課題會成為企業必須面對的風險(涵蓋正面的機會與負面的威脅)】,而風險管理正是G的核心要素之一,如果一個企業本身沒有風險管理的紮實基礎,可能就只能被迫在高風險環境中,被永續課題牽著鼻子走而疲於奔命。
TCFD(Task Force on Climate-related Financial Disclosures)的實體風險(Physical Risks)又是所有風險管理議題中最為複雜且難評估的硬骨頭,因為氣候與實體之間的關係不僅存在所謂韌性這個模糊地帶,同時實體、設施、系統的層級關係與交互影響的衝擊也是很大的挑戰,而最小的管理單位:【設施】又是落實TCFD實體風險管理的核心,但只要把握原則,其實沒有想像中的困難。
風險管理 與 COSO ICIF
筆者主要基於過去的工作經驗與專業背景,分享風險與韌性的知識與實作,並協助相關部門或企業規劃與執行實體風險與設施安全演習/演練,尚不敢妄議其他專業領域的課題。但為了滿足課程學員的需求,仍要從實務解決問題的立場出發,檢視企業落實相關議題的必要工具,而COSO的內部控制整合架構(Internal Control – Integrated Framework, ICIF)正是其中之一。
自 2017 年以來,隨著永續發展報告和 ESG 報告成為首席執行長、高階管理層、董事會、投資者、監管機關、客戶及其他利益相關者關注的重點領域,我們發現越來越多的公司正針對永續發展資訊的收集、審查和報告,實施不同階段的報告控制和治理流程,包括建立跨職能團隊,由公司內部的永續發展、財務會計、風險管理、法律及內部稽核等部門的專業人士組成。因此,類似於財務報告內部控制(ICFR),我們現在看到了永續發展報告內部控制(ICSR)的出現。雖然各組織在這一過程中所處的階段不同,但我們認為,將具有永續經營管理相關經驗與專業知識的人才,與擁有 ICFR 經驗的專業人士結合起來,仍然是成功設計和實施 ICSR,以及管理永續議題的重要關鍵因素。
ACHIEVING EFFECTIVE INTERNAL CONTROL OVER SUSTAINABILITY REPORTING (ICSR): Building Trust and Confidence through the COSO Internal Control—Integrated Framework
與COSO ICIF資訊的接觸並非首次,只是滿足法規要求是大部份企業必須優先面對的外部課題,ICIF需要更深入企業內部才能釐清,但若重新以企業的治理與風險管理的核心向外討論企業可落實、執行的方法,或許,就藉著這篇文章引導讀者,從一個紮實的實體風險與韌性分析者的角度,試著說明如何看待ICIF與風險管理的關係、TCFD實體風險的管理,乃至於TCFD中所要求量化情境分析。
首先,必須先強調與釐清的一個觀念,不同角度與立場對同一議題的關注點不同,永續報告書側重於企業資訊揭露,ICIF則聚焦於內部控制目標,偏重行政、風險管理與業務執行部門的需求,因此在討論上,如果要與TCFD框架中的治理-策略-風險管理-指標與目標(詳下圖)相比對,ICIF已經深入到TCFD中的風險管理、指標與目標的層級,由此,應該要以ICIF用於落實TCFD風險管理的內部控制與稽核的立論點為基礎,藉此達成企業內部基於TCFD架構和企業基於管理需求所訂定的指標與目標,甚至是未來IFRS S2 / SASB (Sustainability Accounting Standards Board)將要求各產業必須揭露的指標,由此可知,這些國際標準或架構之間並不衝突。
在未討論個別企業自己的ICIF該如何執行之前,企業永續報告書揭露的目標與ICIF架構的最大範疇相對明確,就是SASB未來將要求而可能為金管會所採納的各項指標,其中SASB針對實體風險可能訂定的指標可參考本站另一篇文章【實體風險、TCFD和SASB】,而各項指標在永續報告書的呈現方式,自然要對企業本身越有利越好。
其次,對於Activity的定義也必須適度釐清:
- 從企業的角度,Activity可能是一個營業項目、功能業務、行政管理目標、生產內容,例如永續報告書。
- 從行政管理單位的角度,Activity可能是一個管理項目、組織活動,例如績效評估報告。
- 從執行單位的角度,Activity可能是一個工作項目、執行內容,例如生產、搬運、營運持續計畫(BCP)的工作流程、甚至是流程中的步驟。
基於前述對ICIF的認知,ICIF所稱的Activity更多屬於執行單位的角度,並非完全以企業整體的管理高度或永續報告書的要求為運作目標,同時,不同層級或角度的Activity之間並非毫無關聯,可以視做專案管理(Project Managemet)中的上下層Activity,若以上述的名詞為例,或許可以用【永續報告書/風險管理/氣候風險/實體風險/韌性強化績效】這樣的層級關係表達,上層的Activity屬於用來表示管理目標的虛作業(Dummy Activity),最下層的Activity則是需要時間和資源去執行的工作內容,上層的工作成效由其所涵蓋的最下層Activity的總體表現決定,只不過要如何進一步與企業的管理結構、權責關係、財務會計、風險管理成效等細部資訊結合在一起,必須視個案而定。
理解COSO的ICIF-2013架構時若能結合風險管理與專案管理,就能夠有相對清楚的認知,由此基於本文的主題摘要如下:
- 控制環境(Control Environment)、風險評估(Risk Assessment)、控制作業(Control Activities)、資訊與溝通(Information & Communication)、監督作業(Monitoring Activities)等5個要素(Components)均涵蓋從管理到執行的原則(Principles)和關注點(Points of Focus)。
- 從ISO 31000 風險管理的角度,5個要素原則上均能在風險管理中找到對應元素,其中,ICIF-2013的控制作業應與ISO 31000的風險處置(Risk Treatment)相呼應。
- ICIF-2013架構若與ISO 31000相較,更加強化用於控管的原則與關注點。
- 從專案管理的角度,上述5個要素中越接近下層,同時由管理層級由前(Entity level、Division)向後越接近執行面(Operation unit、Fuction),需要更明確的資訊與執行方法,也就是最下層Activity是需要時間和資源執行的工作項目。
- 對於最下層Activity的管控,ICIF預期目標是高品質的評估與量化,尤其是目標明確的績效評估指標,例如TCFD轉型風險中的碳排放量、或是SASB未來將要求各產業的永續指標。
風險評估方法 與 量化情境分析
COSO並沒有明確提出關於風險評估方法的具體要求,但是在概念與架構均有彈性的情況下,【風險矩陣】仍是許多企業慣用的風險評估表達方式。原則上只要在【Risk Assessment】滿足:明確目標 (Specify Objectives)、識別風險 (Identify Risks)、評估風險 (Assess Risks)、回應風險 (Respond to Risks)、識別與評估變化 (Identify and Assess Changes)這5個原則的情況下,能達成企業風險管理的目的就不成問題。
關於風險矩陣的應用,筆者在【系統與設施 Versus 衝擊與機率】一文中略有描述,其應用的優點在於方便、容易理解、快速聚焦,缺點則是在執行階段顯得空泛、難以管控,例如一線執行單位的工作成效無法確實地反映在企業高層的風險管理目標,尤其是分析過程中只依賴一個人或一群人主觀臆測建立出來的評估結果,若要用來落實ICIF顯然也必須克服非常多的挑戰。
【No measurement, No management】,面對氣候變遷,在大數據時代,氣候資料原則上不缺,然而想要量化風險卻又是另一項課題,討論風險的前提是危害情境,評估韌性又是分析實體風險的先決課題,做到這些才能達成TCFD要求的量化情境分析,以此為基礎,才有管理或風險管理的空間。
由於筆者一直以來致力於量化分析,尤其是具體的氣候與實體情境下結合真實氣象數據完成風險評估,這部份在本網站已有多篇文章定義與論述,包含系統與設施、設施層級的風險管理架構與流程、實體的不安全狀態、實體的韌性評估指標,其目的就是為了補足TCFD期待、企業能做到的量化情境分析、連結SASB可能要求的揭露指標,若要再進一步結合COSO的ICIF,自然也能做到以績效評估為基礎的風險管理要求,前提是依循必要的脈絡逐步釐清與分析。
以目前筆者主講的4天課程(ESG-TCFD實體風險及企業韌性實務 / ESG-TCFD實體風險數據分析及管理師認證班)而言,只是初步為企業和有興趣的學員們引導入門與簡要實作,卻也因為課程內容以最複雜的實體風險為風險管理的載體,並做到將實體韌性以量化指標呈現的程度,才有把握在指標與目標明確的前提下落實ICIF的基礎工作,因為風險管理的績效得以具體呈現與管理。
實務操作上,則要針對具體的企業個案資料,才能結合COSO的ICIF更進一步討論。
小結
日前到政治大學與陳樹衡老師討論研究課題的規劃,討論到人類社會解決不同領域課題的理論與方法。過去,因為沒有足夠資訊和資源的問題,前人用數學、方程式的方式闡釋並提出解答,形成主流EBM(Equation-Based Model)的研究方法與工具;而現在,大數據、物聯網、人工智慧等技術日趨成熟,何時會改以自主代理人(Autonomous Agents)為基礎而發展的ABM(Agent-Based Model)來分析與解決問題?仍是值得觀察與持續努力的目標。
筆者是工程背景的學者,看待問題相對聚焦且循序漸進,只要採用越接近真實的情境和數據所分析出的風險,必然是更能掌控和管理的境況,以此為基礎討論受到氣候影響的實體及其韌性,再向上層層反映到管理層級或永續報告書中,也就能更接近企業受到極端氣候威脅的程度與實際具備韌性的程度,而現實中要讓企業做到這種程度的氣候風險管理與永續報告書(或TCFD報告書)的資訊揭露,重要環節之一,正是落實COSO所提出的ICIF,因為企業的每一個最小管理單位:設施,也應該是為了以符合企業管理目標而努力的自主代理人。
每個管理實體的設施,自然是在企業之下有一定程度自主能力的管理單位,但就像看待AI是否存在智慧一樣,確認每一個支持企業營運的設施是否在符合營運目標的前提下做出正確的決策、落實風險管理,正是執行COSO ICIF的主要目的。
