WSRS R3S 專案與 COSO ICSR 整合框架 - 實體風險量化技術

如何對接 COSO 永續內控 — WSRS 啟動 R³S 標準專案,補足 IFRS S1/S2 實體風險量化缺口

2023 年 COSO ICSR 雖然要求對永續報導進行內控,然而如果缺乏「可量化、可驗證」的技術工具,審計人員始終難以對永續報告書中的重大主題或風險給予確信。

內容摘要
  1. WSRS R³S 標準開發專案:從風險評估邁向財務可靠度
  2. 對接國際標準:COSO ICSR 框架與 WSRS R³S 專案的整合
  3. 內部控制 5 大要素於永續風險量化的應用實務
    1. 核心邏輯:以 Activity 與 WBS 建構可驗證的風險範圍
    2. 量化財務價值:利用管理會計計算風險管理的 ROI
  4. R³S 實作路徑:將專利技術轉化為企業韌性指標
  5. 合作邀請:徵求 WSRS R³S 專案之韌性標竿企業
  6. 專業賦能:韌性管理師培訓與企業評估實作方案
  7. 總結:建構符合 IFRS S1/S2 的量化韌性防護體系

WSRS R³S 標準開發專案:從風險評估邁向財務可靠度

筆者所屬的世界永續韌性學會(World Sustainability Resilience Society, WSRS) 甫於今年的 1 月 10 日召開成立大會,各項行政工作、回流訓、課程等如火如荼地展開,都在為規劃能在今年度發表的【企業韌性年鑑】準備,其中,為何 WSRS 有能力將企業的永續報告書透過 IFRS S1/S2 或 TCFD 的架構與韌性/調整能力 (Adjustment Capacity)等定義,進一步形成對企業所展現韌性的評估機制,必須有一個脈絡加以說明。

組織永續之風險、韌性與可靠度標準規範2026 (Risk, Resilience, and Reliability Standard Specification 2026)就是一個必要的說明文件,簡稱為R³S,目前已有草案,刻正邀請相關機構(包含 IFRS、金管會/證交所、四大會計師事務所、會計師公會等)指導與斧正。產出這份文件的主要目的,在於協助企業或涉及永續議題的組織能夠理解:永續相關報告中的描述如何與風險管理的績效(韌性)連動,從而突顯可靠度轉化為企業的競爭力

對接國際標準:COSO ICSR 框架與 WSRS R³S 專案的整合

隨著 2023 年 COSO ICSR (實現對永續報導的有效內部控制) 加入永續議題的戰局,要求對永續相關報告進行內控,去年筆者也應企業要求在內部進行教育訓練時分享自己的淺見,因此在【如何整合 ISO 31000 與 COSO ICIF?實體風險量化與內部控制的實務指南—淺談TCFD實體風險與COSO ICIF架構下的內稽內控】一文中提出說明。

由於筆者的主要背景是風險管理與關鍵基礎設施安全防護,對財務、會計的知識涉獵有限,後續仍要仰賴專家們的指正,包含政大 吳安妮教授、會計師公會ESG永續發展委員會主任委員 成昀達會計師等更多專家,過去不敢多做發言,隨著時間的沉澱和 R³S 工作的進行,而今試著跟大家說明 COSO ICSR 與 R³S 的概念,試著探索風險、韌性如何透過稽核手段講述企業的可靠度,從而呼應前一篇文章【IFRS S1/S2 實務指南:如何透過 WBS 與量化指標,將永續報告升級為企業韌性白皮書?】。

現階段,R³S 更像是一個永續績效評估解決方案的孵化器,因為它仍在徵求國際組織和上位機關的指導,但是許多問題或觀念已經或多或少在筆者的其他文章中闡述,就不再贅述,不如談談 R³S 會怎麼結合 COSO ICIF (內部控制整合框架)。

內部控制 5 大要素於永續風險量化的應用實務

由於COSO ICSR版本僅是在永續議題上的延伸,下圖我們仍引用 2013 的 COSO Cube為例,圖中正面即 ICIF 的 5 大要素。

COSO Cube

總體而言,R³S 比較像是 COSO ICIF 在風險管理另一面相呼應的議題,後者偏重財務會計層面的稽核,前著則是實務面的管理績效(即韌性)的確信,因此 R³S 可以完全對應 COSO ICIF 的主題。

  • 控制環境(Control Environment)落實當責與專業能力:
    • 績效與當責: COSO 要求落實內部控制的責任機制。R³S 則將在【治理監督】中明確規定,管理層必須監控韌性指標的達成情況,且這些指標必須納入高階主管的績效考核中,確保當責。
    • 人員專業勝任: COSO 強調對合格人力資源的承諾。R³S 則將在【人員能力】章節中要求,負責該標準的管理人員必須在授權的品質管理系統內接受培訓,並取得最新的專業認證,以確保所使用數據的準確性與及時性。
  • 風險評估(Risk Assessment)量化與財務關聯:
    • COSO 要求企業識別並分析無法達成目標的風險,亦即必須控管永續報告書中的重大主題。R³S 則將提出「風險識別、優先排序與財務關聯」,要求實體必須基於發生機率(Probability)與衝擊影響(Impact)來評估包含實體與轉型等各種與重大主題相關的風險,並使用風險矩陣或更進一步量化評估。
    • 更重要的是,R³S 將嚴格要求將這些風險直接量化為財務報表上的影響,對接永續風險的衝擊評估,例如:損益表上的營收中斷與修復支出、資產負債表上的資產減損與保費增加,以及現金流量表上的緊急資金提取與融資成本波動。
  • 控制活動(Control Activities)的具體實踐:
    • R³S 框架中直接設立了【控制與能力】章節。為了確保防護措施與應變計畫能發揮作用,R³S 將建議企業必須定期進行演練和緊急演習,以此做為控制活動,來測試並持續優化各種韌性評估指標的有效性。
  • 資訊與溝通(Information and Communication)確保可靠揭露:
    • COSO 要求運用高品質的資訊來進行內外部溝通,R³S 則透過工作分解結構(Work Breakdown Structure)與專利的量化機制,建構韌性指標。
    • R³S 提出價值漏斗,運用【管理會計】來計算風險管理投資回報率(ROI of RM),確保資訊能準確反映韌性的價值與投入的成本比例。最終,透過【外部揭露與認證】,將情境、參數、假設及財務影響交由獨立第三方審計,保障外部溝通的可靠性。
  • 監督活動(Monitoring Activities)持續性評估:
    • COSO 強調對控制系統的持續監督。R³S 則採用【韌性量化指標(Quantitative Metrics)】取代靜態的風險描述。企業必須持續衡量現有防護投資(Innate Resistance)與內部應變能力(Response)所爭取到的緩衝時間,是否足以保護不安全情境下的營運持續狀態。

核心邏輯:以 Activity 與 WBS 建構可驗證的風險範圍

R³S 的組成雖然是風險、韌性、可靠度,但管理總要有對象,大部份風險管理或 COSO ICIF 難落地之處就在於標的物的落差,一會兒是企業,一下子是外部環境與危脅,能指向問題核心的實在有限,然而真正的主角其實是 Activity ,稱呼為作業也好,活動也罷,它可是諸多標準和法規不可或缺的一環:

  • COSO 的控管對象
  • 永續報告應該進行情境分析的發生場景
  • 營運持續管理或營運是否中斷的判斷基礎
  • 國家關鍵基礎設施必須維持的核心功能業務
  • 供應鏈中層層傳遞或交付的任務
  • 管理會計(AVM)中的細胞

遺憾的是,因為 Activity 在表現上的彈性,說明清楚並不容易,故而極少有報告(或筆者過去常接觸的安全防護計畫)對它進一步解析並說明,而不對它做說明的後果,就是議題不清、對象不明、管理無從下手。因此,在 R³S 中必須釐清或足以判斷組織的 WBS 落實至執行層,以及它所對應的情境、參數、假設、分析因子、財務衝擊。其中,與 Activity 有關的核心功能業務、必要資產、關鍵資源、危害來源等也都是重點評估對象。

量化財務價值:利用管理會計計算風險管理的 ROI

在過去,風險管理極少談論價值,即使 ISO 31000 闡明風險也包含正面機會的概念,然而過去幾乎沒有人把風險管理的績效(即包含韌性)視做必須討論的議題。如今,在倡議並實踐永續的時代裡,韌性恰恰成為了企業的一種競爭力。

在 R³S 草案中,將風險管理的 ROI 分為三大類:

  • 處於不安全狀態時,基於事前防護與災前應變所爭取之時間效益與投入成本的關聯。
  • 縮短營運回復需時所減少的財務損失相對其投入的經濟價值。
  • 預期損失與防護成本之比例。

R³S 在概念上,鼓勵企業必須在力所能及或是具備回報率的前提下投資風險管理,反映在不同層面的韌性上,最終揭露在永續相關的報告書中。

R³S 實作路徑:將專利技術轉化為企業韌性指標

R³S 可供企業實作是無庸置疑的,只不過在大部份企業未公開永續報告書之前,沒有太多分析素材,亦或是一部分企業首年度撰寫因此內容參次不齊,這些問題在2024年都已經大幅改善,加之官方也提供樣板給企業【參考】,評估企業韌性的門檻也隨之降低。

決定由哪些專家來為企業的韌性評分也不容易,由於ESG 議題極為廣泛,不同企業產業背景和面臨的風險又存在差異,這些問題在 AI 世代則相對容易處理,因此結合專利機制、R³S、和 NotebookLM,技術層面也一定程度得到克服,與真人相比,AI 存在一定程度的中立、客觀特質。將之做為真人專家群的輔助工具,或將 AI 產出之評估結果用做參考用途,倒也恰如其分。也因為這一切已經進入實證階段,WSRS 更希望結合企業案例並訓練更多專家進行驗證與合作。

合作邀請:徵求 WSRS R³S 專案之韌性標竿企業

在實作部份,WSRS 已經建立了具體評估韌性和 ROI 的判斷要件、公式和表單,實作 AI 評估機制,正處於技術驗證階段,同時,國內已經上傳公布2024年永續報告書的 1,800 家 上市櫃公司 都可以是研析素材,也公開徵求企業合作,只要企業在韌性的議題上表現亮眼並願意透過 WSRS 的【企業韌性年鑑】進行年度的標竿企業表彰,都歡迎與 WSRS 聯繫。

專業賦能:韌性管理師培訓與企業評估實作方案

相對於企業案例,專業人才的培養無論對 WSRS 或必須揭露永續資訊的企業都非常重要,為此,WSRS 在民邦資訊過去已經培育二十多位實體風險管理師的基礎上,於本月(2026年3月)也啟動了第一波回流訓,課程核心便是如何運用 R³S 相關的架構、表單利用 AI 評估企業基於永續報告書揭露資訊所展現出來的韌性。

同樣地,WSRS 也將在 4月份啟動系列課程的常態化,參與這些課程的學員都將成為首批的技術實踐者,在實作中培養穿透風險數據量化韌性驗證可靠度的核心能力。

總結:建構符合 IFRS S1/S2 的量化韌性防護體系

目前的 ESG 報告在揭露重大主題或風險時,常面臨缺乏量化數據的【定性確信缺口】(Qualitative Assurance Gap)的問題,導致審計人員難以提供確信,或有限確信。R³S 透過引用並落實 COSO ICIF 的精神,提供了一套可重現、可驗證的量化治理模型,完美契合了 COSO 強調內部控制必須帶來【可靠決策資訊】的核心目標建議。

以 R³S 為架構的實作方法將大幅度克服資訊瓶頸的模糊地帶,透過量化情境分析評估韌性/風險管理績效,企業才有科學根據建構防護體系,歡迎親自體驗看看!!

💡 領先掌握標準動向

R³S 標準專案正由 WSRS 研發中。想第一手了解專案核心技術——WBS 分解模型與專利量化指標4月【韌性管理師認證班】 將以此課程架構為基礎進行教學,助您在標準正式發布前,先具備引領企業內控轉型的實戰能力。

[ 查看課程大綱與WSRS會員半價優惠 ]

如果您希望成為首批 R³S 標竿企業,或參加韌性管理師認證班,請點此查看詳情。

Share
Share

國立雲林科技大學工學博士 / 民邦資訊執行長 / 世界永續韌性學會常務理事,專長:風險管理、營建管理、設施安全防護、TCFD實體風險、人工智慧。更多專業資歷請見:專家詳細介紹

文章類別
前一篇文章

IFRS S1/S2 實務指南:如何透過 WBS 與量化指標,將永續報告升級為企業韌性白皮書?

閱讀文章