其背景因素包括歐盟施行《一般資料保護規範》(General Data Protection Regulation, GDPR) ,2020年美國全國企業董監事協會(National Association of Corporate Directors, NACD)針對資安治理提出了五大原則、分別如下:
一、 應將網路安全定位為戰略性企業風險,而不僅僅是IT風險。
二、 應了解與公司特定情況相關的網路風險之法令規定與含義。
三、 擁有足夠的網絡安全專業知識,並在董事會議程中,定期且充分的討論風險管理。
四、 董事應期望管理階層應建立網路風險管理框架具有足夠之人員配置和預算。
五、 管理層對網路風險的討論應包括對網路風險的「識別和量化」(Identification and Quantification),以及接受、減輕或轉移哪些風險?(例如藉由特定級別的保險安排)
此外,美國國家技術與標準局(National Institute of Standards and Technology, NIST)及美國聯邦金融機構審議委員會(Federal Financial Institute of Exam Counsel, FFIEC)一致認為應透過由上而下,且持續回饋資安治理架構以降低資安風險。
當政策與法律的變遷、修改增訂,於是「治理」的面向逐漸形成。同樣的道理,此刻我們必須認知「氣候治理(Climate Governance)」的時代已然來臨!
2020年11月歐洲央行(European Central Bank, ECB)出版《氣候相關與環境風險之指導》,2021年11月又出版《銀行部門的氣候和環境風險管理現況—銀行業管理氣候和環境風險方法的監督審查報告》,提出四個面向、共計十三項具體監管期望;四個面向分別是「商業模式與策略(Business models and Strategy)」、「治理與風險偏好(Governance and risk appetite)」、「風險管理(Risk management)」及「資訊揭露(Disclosures)」,歐洲央行將對這些做法進行評估與檢測其進展並找出各機構不足之處。
在十三項具體指導準則中「風險管理」就佔了六項;分別是「風險管理架構」、「信用風險管理」、「作業風險管理」、「市場風險管理」、「情境分析與壓力測試」、「流動性風險管理」,最近的西方銀行頻傳倒閉事件,起因正是流動性風險管理不佳與信用風險管理失靈。這些政策與規範無疑宣告氣候變遷將不僅限於ESG的“Environment”議題,而是橫跨“E”與“G”。
一項重要議題要提升到治理層級,其中一個必要條件就是具備一定的政策與法令環境,因此,首先檢視相關氣候政策與法令的演進及修訂,目前全世界將「2050淨零排放目標」列為法令規範的國家,包括日本、英國、加拿大、紐西蘭、法國、西班牙、丹麥、匈牙利、盧森堡;另外,德國與瑞典淨零目標是2045年、挪威則是2030年;立法中的國家包括南韓、愛爾蘭、智利與斐濟。
此外,歐盟執委會制定《淨零工業法》、《關鍵原物料法》,目的不僅在減碳方面取得領先,同時也在減碳技術上取得領先地位,成為未來綠色產業的領導者。
回到台灣本身,近期氣候相關政策與法令如下;
2021年4月22日「世界地球日」蔡英文總統於「永續。地球解方-2021設計行動高峰會」開幕典禮上宣示:2050淨零轉型是全世界的目標,也是台灣的目標。
2021年8月30日行政院蘇院長指示《溫管法》修法,納入2050淨零排放轉型目標。
2022年3月3日金管會發布「上市櫃公司永續發展路徑圖」,分階段推動全體上市櫃公司於2027年完成溫室氣體盤查,2029年完成溫室氣體盤查之確信(Assurance),營造健全永續發展(ESG)生態體系。
2022年3月30日國發會發布「台灣2050淨零排放路徑及策略總說明」,提出四大轉型策略:能源轉型、產業轉型、生活轉型、社會轉型,及二大治理基礎:科技研發、氣候法制;其中氣候法制涵蓋法規制度、政策基礎、碳定價與綠色金融。
2022年12月28日國發會發佈「12項關鍵戰略行動計劃」,全面推動淨零轉型目標(如附圖一),除了減少7,200~7,600萬噸的碳排量以外,更可創造5.9兆的產值及55萬個相關就業機會。
圖一、國發會「12項關鍵戰略行動計劃」
2023年1月10日立法院三讀通過修改《溫管法》為《氣候變遷因應法》,2月15日總統公布實施,此次修法有五大重點:
一、將國家長期減量目標修改為2050淨零排放;
二、強化氣候治理,由行政院國家永續發展委員會協調整合相關業務;
三、加速減碳進程,提升產業競爭力;
四、強化氣候變遷調適,透過科學分析與風險評估協助企業調適衝擊;
五、鼓勵全民參與,建構氣候行動力。
2022年3月28日、金管會公布「上市櫃公司永續發展行動方案(2023)」依據「上市櫃公司永續發展路徑圖」以治理、透明、數位、創新四大主軸,推動企業永續發展之行動方案,重點包括引領企業淨零、深化企業永續治理文化、精進永續資訊揭露、強化利害關係人溝通,以及推動ESG評鑑及數位化。
較引起市場矚目的二大重點為:2024年起申請掛牌上市櫃的企業,必須至少有一席女性董事,以及2025年起資本額20億以下的企業必須編製永續報告書,並且擴大參考SASB(Sustainability Accounting Standards Board)準則揭露之上市櫃公司範圍,這意謂SASB成為金管會優先認可的揭露原則,然而更長遠而言、隨著國際永續委員會(International Sustainability Standards Board, ISSB)的成立,未來ESG資訊揭露朝全球統一準則邁進!
更早之前,2020年8月26日金管會規定自2023年起,資本額達20億元以上上市櫃公司,需撰寫永續報告書。今年正是2023年,將近400家上市公司必須申報永續報告書。
除了政策與法令環境之外,另一個推升氣候治理的關鍵因素是機構投資人的態度,依據《Morrow Sodali 2021機構投資者調查》指出,在行使投票權時,比之前更在意「ESG整體表現」,高達98%,至於「機構投資人與董事會的議合(engagement)」,最優先的議題就是「氣候變遷」,高達85%,其次是「董事會組成與效益」、「人力資本管理」、皆為64%。
(如附圖二)
圖二、機構投資人與董事會議合優先的議題
當董事會面對機構投資人時,對氣候風險的關注程度與具體的因應對策,必然是治理層級的議題,因此「氣候治理」成為董事會不可迴避的選項。
在過去ESG三者有較清晰的界定時,「風險管理」被歸類於“Governance”之面向,然而當「氣候治理」興起之後,對風險管理又產生什麼樣的影響?
由於氣候相關風險日益升高,因此所謂「氣候風險管理(Climate Risk Management, CRM)」理論與架構也應運而生,另一方面所謂「永續性風險管理(Sustainability Risk Management, SRM)」似乎也有凌駕傳統「企業風險管理(Enterprise Risk Management, ERM)」之勢。
筆者分析歸納認為「永續性風險」可分為四大層面,彼此相關既無法單獨存在也無法個別解決,包括「氣候相關與環境風險(Climate-Related and Environmental ,CRE risks )」、「資源短缺與供應鏈中斷風險」、「資安事件引發之風險」(特別是關鍵基礎設施遭受網路攻擊)、「社會不穩定風險」。 而「氣候相關風險」只是整體「環境風險(Environmental risks)」的一部分
不論哪一種風險管理架構,皆不能脫離「風險辨識(Identification)」與「風險評估(Assessment)」,然而風險辨識的成功與否又取決於「風險意識(Awareness)」的高低,風險意識不足是董事會與管理高層普遍的現象,例如最近震驚世界的銀行破產事件:美國歷史上第二大的銀行破產案—矽谷銀行(silicon valley bank ,SVB)破產倒閉與瑞士排名第二的瑞士信貸(Credit Suisse)驚傳倒閉都是風險意識不足最明顯的案例;SVB沒有辨識出聯準會暴力升息所產生的流動性風險, 瑞士信貸為了追求超額利潤、低估信用風險,表面上是內控失靈, 根本原因仍是風險意識不足,解決之道應是聘請專業的風險諮詢顧問,藉由外部獨立顧問強化風險意識。
企業必須面對的「氣候與環境相關風險(CRE risk)」有三項:首先是「實體風險(Physical risk)」,包括直接來自氣候事件造成的資產減損以及間接因全球供應鏈中斷造成的損失。
「氣候風險」帶來「實體風險」損失,例如極端氣候下颶風、暴風雨、龍捲風及破紀錄的洪水帶給企業極大的財務損失,依據歐洲央行研究指出, 2018 年氣候相關的財產損失占整體保險損失90%,僅2021年,全球保險業因天災造成的損失理賠超過1,000億美元,一旦輕忽「實體風險」,除了造成企業巨大財務損失之外,由於未能妥善轉嫁風險,投資人將以「違反義務(Breach of duty)」或「應作為而不作為(Omission)」,追究董事會成員之個人法律責任。
除了迫在眉睫的「實體風險」之外,另一項風險是所謂的「轉型風險(Transition risk)」,也就是企業在追求淨零排放的經濟轉型過程中,面對廣泛的政策、法律、技術與市場變化,必須做出種種的改變與調適,例如製造業的綠色製造、金融業的綠色金融。
「轉型風險」可能造成組織不同程度的財務和「聲譽風險(Reputational risk)」,雖然說風險總是伴隨著機會,但是如何面對不斷追求營收與獲利提升卻又必須穩定逐年的降低碳排放,將是所有上市櫃公司前所未有的挑戰。
當資安威脅提升到「資安治理」、氣候變遷提升到「氣候治理」,代表法律環境的演變,也意謂著董事會必須承擔更大的責任,具體而言正是承擔「法令遵循相關責任」[4], 一旦沒有善盡法令遵循責任,也就造成董監事的「賠償責任風險(Liability risk)」不斷增加,因此「賠償責任風險」是「實體風險」、「轉型風險」之後的第三項風險。
董事會成員被指控的可能原因如下:
一、 未考慮與氣候變遷有關的財務風險,違反了受託人責任
二、 未能遵守法令規定對報告書之要求
三、 未能揭露與氣候有關的賠償責任
四、 散布與氣候風險相關之虛偽、誤導性或不完整的訊息
五、 對氣候相關的風險管理不善
六、 允許公司排放溫室氣體的過失行為
七、 未能妥善保護公司的資產
上述這七項皆能啟動「董監事暨重要幹部責任保險(D&O liability insurance)」,進行理賠轉嫁「法律賠償責任風險」。
面對「氣候治理」,企業必須落實永續性風險管理,可以藉由2018年世界永續發展委員會(World Business Council For Sustainable Development, WBCSD)及COSO名義共同發布的《企業風險管理-將企業風險管理應用於環境、社會、治理相關風險》,該指引提供具體的量化指標以及明確步驟與真實案例。因此企業只要將氣候風險與既有的風險管理架構整合即可, 然而問題就在於企業現有的風險管理架構是否完整或正確並且徹底執行。
「氣候治理」的另一個重點的就是如何做好資訊揭露(Disclosure),過去有GRI(Global Reporting Initiative)、SASB(Sustainability Accounting Standard Board)及直接著重於氣候相關財務資訊的TCFD(Recommendations of the Task Force on Climate-related Financial Disclosures),隨著COP26於2021年11月在英國格拉斯哥召開,宣布正式成立ISSB,目的為整合現行ESG揭露架構與組織,研擬氣候相關永續揭露標準框架,進一步提高資訊揭露品質、可信度及可比性,這將促進全球資本市場的加速發展。。
另一個必要的改變是摒棄同業競爭的心態,共同學習、彼此借鏡,做好「氣候治理」,畢竟「CRE風險」是不分產業也不分國家與地區的,相同產業面臨的問題與挑戰極為相似,因此透過同業之間交流與學習能更有效的推動「氣候治理」。
以銀行業為例,盧森堡是歐盟執委會所在,盧森堡銀行與銀行家協會(Association des Banques et Banquiers , Luxembourg ,ABBL)與德勤集團(Deloitte)2022年合作發表研究報告《整合CRE風險至風險管理架構—盧森堡銀行業的落實與挑戰(Integrating climate-related and environmental risks into risk management frameworks ---practices and challenges for the Luxembourg banking industry)》認為同行之間必須更進一步合作、共同參與才能促進ESG相關風險管理的落實,為董事會提供具體的範例(如表一)[6],非常適合提供台灣上市公司推行「氣候治理」作為參考。
表一、董事會各委員會「氣候治理」的具體作為之範例
部分公司於風險委員會與審計委員會之外,另外成立單獨的委員會,例如,專門的永續委員會由跨職能代表(cross- functional representatives)來識別、監測、審查氣候變遷相關風險。然而最適合擔任永續委員會的跨職能代表應該是外部獨立的風險諮詢顧問。
企業面對「氣候治理」 雖然急迫,但究竟應該怎麼做呢?總結為以下三個建議:
一、董事會扮演設定目標、制定策略、監督與指導的角色,其實只要參考WBCSD發布《企業風險管理─將企業風險管理應用於環境、社會、治理相關風險》落實風險管理;
二、依照TCFD的架構做好資訊揭露;
三、尋求長期合作之外部風險諮詢顧問,並且盡可能聯合同業,共同研議制定所處產業具體可行的相關作為。