面對範疇三的因應之道
文/林呈欣
2025 年 1 月 22 日,證券交易所為協助上市櫃公司接軌 IFRS 永續揭露準則,正式發布「範疇三溫室氣體盤查作業參考指引及常見問答集」,以作為上市櫃公司執行溫室氣體盤查工作之參考。範疇三溫室氣體盤查,已經正式成為上市櫃公司的標準作業程序。設定範疇三溫室氣體的減量目標,並追蹤減碳績效,已逐漸成為所有企業必須的作為。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
面對氣候變遷的趨勢,天氣事件發生的頻率和嚴重程度日益增加,造成了重大的經濟和社會影響。在應對日益增多的法規和地緣政治差異的同時,企業缺乏獲取足夠的數據,像是氣候模型和產業協作取得更完善資料,以及企業不足的分析能力,將是長期的企業風險。
除此之外,企業還面臨下列企業風險:
- 貿易:地緣政治問題成為 2025 年企業關注的首要領域,特別是與跨國貿易等多個相互關聯的挑戰,在未來幾年將會是緊迫問題。
- 技術:技術變革的快速發展,企業新的資訊安全漏洞,擴大資訊安全被攻擊的可能性。在戰略技術失誤,包括遭受網路事件的風險,可能會嚴重損害競爭地位和成長機會。
- 勞動力:無法吸引和留住人才,勞動力上的挑戰是公司面臨的最直接和最有影響力的風險之一,除了取得勞動力管理成本降低、同時保持出色的員工體驗的平衡,也是企業長期成功至關重要的挑戰。
什麼是「企業風險管理」
根據 ISO 31000:2018 的定義,風險就是「對目標的不確定性造成的影響」。目標可以有不同的面向和類別,並可應用於不同的層面。風險通常表示為引發風險的風險源(Risk Sources)、潛在事件、影響到目標(Objectives)的後果(Consequences)及其可能性(likelihood)。
近年來,企業領導人面臨最大的風險,像是:經濟放緩/復甦緩慢、監管/立法變化、競爭日益激烈、業務中斷、未能吸引或留住頂尖人才、未能創新以滿足客戶需求、聲譽/品牌受損、網路攻擊資料外洩、供應鏈或配銷失敗、商品價格風險/材料稀缺性。而各部門也面臨各式各樣的風險。
「企業風險管理(ERM,Enterprise Risk Management)」就是指導和控制組織風險的協調活動。像是披露了與人工智慧等新興風險主題相關的資訊,並著手對公司採取多項行動,可立即避免網路攻擊資料外洩,而造成業務中斷與企業聲譽/品牌受損,可改善企業危機。
在此列舉九項企業風險管理的具體措施:
- 高層承諾:董事會了解並致力於風險管理。高層理解並同意此風險,並確立對董事會的報告風險的內容和頻率。董事會與高階管理階層持續協調。
- 高階管理層領導:高階管理層領導推動執行風險管理流程和發展風險管理,並參與策略決策,隨即基於風險,在各職能部門之間進行相關協作。
- 透明的風險溝通:整個組織都有一致且常規的風險報告,依照管理的性質,在風險管理上進行有效溝通。先建立風險術語(Risk Terminology),組織文化避免負面思考與連結到負面結果。
- 風險擁有者的文化:建立鼓勵各個層面參與和當責的風險文化,確立風險所有權(Risk Ownership)和責任。提升並賦能看到成果為導向的能力,並上對下進行必要授權。
- 數據與分析:該組織使用內部和外部數據和資訊,來識別現有和新出現的風險。數據和資訊來自戰略合作夥伴、內部主題專家,針對風險驅動因素的數據和資訊,建立風險衡量與關鍵風險指標(KRI,Key Risk Index)資訊。
- 利害關係人參與:邀請利害關係人,在風險管理、策略制定和政策制定方面進行合作。在跨職能部門之間,與關鍵的外部利害關係人之間,廣泛理解風險,並發展風險偏好。
- 基於風險的決策:除了獲利績效之外,將風險資訊,被納入決策和治理流程。像是在策略規劃中使用風險資訊,在專案/投資評估中使用風險資訊,並協調整合風險資訊到預算流程。並針對付出代價的經驗教訓進行回顧,與持續改善風險決策。
- 風險量化與建立數學模型:使用量化方法、風險評估標準、風險相關性來了解風險,並透過風險管理展示風險管理的附加價值,讓風險量化能更有效率/有效能進行風險管理活動。
- 最佳化風險組合:從注重規避和減輕風險,轉向利用風險和風險管理選項來獲取價值。在系統性風險趨勢當中,重新評估企業的風險偏好/承受能力。持續優化、最佳化風險組合情況。
實際建議做法
企業在管理範疇三碳排放時面臨多重挑戰與企業風險,其中包括品牌商的減碳成本轉移、法規遵循要求,以及缺乏範疇三的真實數據等問題。企業在沒有取得範疇三的真實且更細部的碳排放數據情況下,難以針對價值鏈活動進行有效的碳管理工作,這是企業在管理範疇三碳排放時的企業風險。
品牌商客戶企業與供應商開始合作以進行減量,並確保供應商能提供更真實、更細部的碳排放量數據,以滿足範疇三的真實數據,並為提高範疇三碳排放量的管理,將碳中和/淨零管理融入各部門的日常決策中,這是企業風險管理的日常。
將「企業風險管理」在董事會成立專責風險委員會(或者風險管控小組),其中成員包括所有事業群(BU)業務決策者與支援單位。委員會負責組織全景(Context)的外部議題與內部議題。高層管理層針對此,來訂定適合組織目的(Purpose)、風險管理的目標(Objectives)與管理政策(Policy),並且訂定持續改善風險管理的承諾。
高層管理層在風險管理流程中,進行策略擬定,以及協作各職能部門之間協作進行風險鑑別、評估,擬定短/中/長期的三大最重要風險管理計畫。
[ 延伸閱讀:範疇三的起手式-綠色設計~面對範疇三的因應之道 ]
高層管理層每季/每年開會,制定風險組合(Risk Profile)呈報給董事會。擬定策略進行風險處理,將風險依照「影響大小」、「可能性」區分為四大區域。
風險處理的控制措施,就是(1)避免:將衝擊降低並降低發生機率;(2)降低:降低發生機率;(3)轉移:將衝擊降低。如圖一。若依據 ISO 31000:2018 的風險管理決策的四大項做法,如下列作法:
- 保留接受維持風險:針對風險事項,選擇追求機會來接受以承擔或增加風險。
- 避免:為了避免接受風險,以分攤風險、分散風險像是外包或者財務融資與保險來改善。
- 降低:改變可能性,來降低可能性。決定停止實施有風險之活動來避免風險。
- 轉移:改變常見的作法,就是將風險組合中的風險議題,依照重要性與緊急性,加以排序列出前三大項,或者前十大項,以及將這些風險議題由上而下展開,對於鑑別風險/機會,依照情境分析來動態評估風險/機會,對風險進行衡量,收集數據與資料來分析出關鍵風險指標(KRI,Key Risk Index)。透過溝通以持續回應以便超前佈署,來針對每個情境下的情況進行行動。
以範疇三溫室氣體盤查為例,在價值鏈整體思維上,列出各種情境下的企業風險,在上位的企業風險,像是地緣政治與跨國貿易、技術與資安,以及勞動力在自身與供應鏈留才上;以及組織內各部門(採購、業務、廠務、人資、財務等)所面臨的風險管理議題上,收集數據與資料來進行分析,並且運用 AI 等數位工具來進行模擬與預測,以取得智慧化報告。
全球幾個主要經濟體的 AI 發展與法規遵循正在同時進行,AI 風險管理在其中扮演基礎的支持角色。AI 系統具備生命週期的迭代特性,具備資料生命週期(Data Lifecycle)與資料品質管理生命週期(Data Quality Management Lifecycle),透過 AI 控制措施來選擇合適企業的控制措施來處理風險,更是企業風險處理的重要選項之一,並須衡量風險與機會間的得失。進行 AI 風險管理時,經常會同時考量如 AI 系統衝擊評鑑、人權衝擊評鑑、道德衝擊評鑑、演算衝擊評鑑等對 AI 治理的合規要求,確保 AI 系統的安全、可靠與合乎倫理。
[ 延伸閱讀:要做好 ESG 工作 碳管理系統不可或缺 ]
最後,企業風險管理透過內部稽核(Internal Audit)的稽核計畫,組織進行規劃、建立、實作及維持(PDCA),包括稽核頻率、稽核方法、責任、規劃等作法。高階管理層應於規劃期間,審查風險管理流程,以確保風險管理計畫都持續合宜適切,以及被有效執行。
以範疇三溫室氣體盤查為例,依照重要性與緊急性,發現供應商在低碳產品的開發進度上落後、缺乏資源(人/機/料/法/環)與能力來推進此專案上的風險議題。在評估確立此風險議題後,就開始行動來執行規劃的行動方案。並搭配內部稽核來找出不符合事項(Nonconformity),進行根因分析找出原因,以及找出是否有存在著類似的不符合事項事後也可能發生,列出矯正措施(Corrective Action),並確定這些措施是能有效解決上述問題。內部稽核要找出這些證據,加以文件化或者系統化紀錄後,追蹤矯正措施的成果。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
