【永續長看門道系列】淺談永續資訊揭露內部控制制度:COSO ICSR 五大組成要素
【文章摘要】永續報告是企業與內外各利害關係人溝通的重要工具與管道,其資訊的可信度甚為重要。近期政府機關開始要求上市櫃企業須於 2024 年年底前提供永續資訊的內部控制制度,不少企業除面臨準備第一次出版永續報告書的壓力,還有內控、內稽制度建置緊跟在後。此文根據作者永續報告書顧問輔導經驗,以及 COSO ICSR 五大組成要素,提供給正要草擬永續資訊內控制度的企業初步建議。
(COSO 於 2023 年出版的「實現對永續報導之有效內部控制(Achieving Effective Internal Control Over Sustainability Reporting , ICSR)」。圖片來源:COSO)
臺灣金管會於今(2024)年4月修訂「公開發行公司建立內部控制制度處理準則」,要求企業永續資訊揭露必須於 2024 年年底前,納入企業內部控制與內部稽核制度,增加永續資訊可信度與報告品質。
為協助企業建置永續資訊內控機制,證交所與櫃買中心也參考美國「反虛假財務報告委員會下屬發起人委員會」(Committee of Sponsoring Organizations of the Treadway Commission,簡稱COSO委員會)2023 年出版的「實現對永續報導之有效內部控制(Achieving Effective Internal Control Over Sustainability Reporting , ICSR)」,提供企業「內部控制制度有效性判斷項目」供企業於判斷內控有效性參考的細部指引。
.png)
(企業永續資訊揭露必須於 2024 年年底前,納入企業內部控制與內部稽核制度/圖片來源:金管會)
上市櫃企業迎接雙重永續挑戰:強制永續資訊揭露與建置有效內控制度
CSRone 永續智庫 2024 年最新調查顯示,目前已出版永續報告的企業約 1,000 家,而在明(2025)年上市櫃企業都要出版永續報告書的要求下,這兩年將會有超過 700 家企業(上市櫃企業約1,700家)第一次出版永續報告,在這些企業對報告編撰流程仍尚未熟悉的情況下,就要馬上制訂永續資訊內部控制制度,實為一大挑戰。
本文依據永續顧問輔導永續報告之經驗,以及 COSO ICSR 提及內部控制五要素:控制環境、風險評估、控制作業、資訊與溝通以及監督作業,分別提出內部控制制度建議推動辦法,提供企業擬定內控制度之方向。
.png)
(COSO ICSR 永續資訊五大內部控制構面。圖片來源:作者自行製圖)
一、控制環境(Control Environment)
控制環境重點是確保永續發展納入企業文化與治理架構中,為內部控制奠定基礎。
|
作為與執行建議 |
|
|
高層支持與承諾 |
在專案啟始會議時,應由高層(建議為董事長或總經理)說明永續發展對企業的重要性,表達對永續報告的支持,凝聚內部共識。 |
|
制定永續發展的政策,將其納入公司治理結構,並明確企業在環境、社會及治理(ESG)方面的長期目標。 |
|
|
組織建構和責任分派 |
明確專案執行人員或ESG資訊蒐集人員等角色的職責,確保各部門能夠有條不紊地推動永續資訊揭露作業。 |
|
每個部門應指定專責人員負責數據收集和報告撰寫,永續報告專案管理人員負責整體專案進度和資源分配,並定期與永續組織最高權責主管報告。 |
|
|
備註:為協助企業建立永續治理文化,證交所已訂定「OO股份有限公司永續發展委員會組織規程參考範例」,引導企業設置永續發展委員會(永續長),並透過公司治理評鑑鼓勵企業強化董事會對於永續治理之監督功能,由上而下引領企業推進永續治理。 |
|
|
內部培訓與意識提升 |
透過專案啟始會議和教育訓練,確保所有相關人員充分理解企業的永續發展目標和報告的流程。 |
|
持續推動員工培訓,提升他們對永續發展和內部控制的認識,確保全員能遵循內部控制要求。 |
|
二、風險評估(Risk Assessment)
風險評估是識別並評估永續報告編撰過程中的潛在風險,確保風險可控。
|
作為與執行建議 |
|
|
風險識別 |
在高層或部門訪談階段,通過深入了解各部門的業務運作,識別與環境、社會、治理相關的潛在風險,例如數據不完整、錯誤報告、法規不合規等。 |
|
依據 AA1000 SES 利害關係人標準,識別對企業運營有重大影響的利害關係人。 |
|
|
識別報告編撰過程中可能造成違反 GRI 八大原則之風險情事:準確性、平衡性、清晰性、可比較性、完整性、永續性脈絡、時效性、可驗證性。 |
|
|
風險分析與優先排序 |
使用重大主題分析工具,將風險根據其發生後的影響程度和發生的可能性排序,確保重要的永續風險得以優先處理。 |
|
評估每個風險對企業永續發展的正面、負面、實際與潛在影響,並確定高風險領域(如氣候變遷、產品責任、勞工與人權等),從而制定針對性的控制措施。 |
|
|
每年依據永續資訊內部稽核與外部稽核(如有)之結果,參考缺失與異常事項發生的頻率與嚴重性,做永續資訊揭露風險列表與排序。 |
|
|
風險應對措施 |
根據風險評估結果,制定相應的應對策略,確保在發生風險時有完善的處理流程。例如對高風險的資料蒐集過程加強監控和核查。 |
三、控制作業(Control Activities)
控制作業是通過制定政策、程序和系統,來確保在每個控制點,永續報告數據的準確性、完整性和一致性都能獲得保證。
(在永續報告資訊蒐集流程可參考設計內控制度的控制點。圖片來源:作者自行製圖)
|
作為與執行建議 |
|
|
政策與程序制定 |
根據公司需求和法規要求,制定具體的內部控制政策,涵蓋數據蒐集、核實、保存、報告等方面。 |
|
為每個部門制定資料蒐集的標準作業程序(SOP),並要求部門提供精確的數據,後續用以初步驗證並匯總成永續報告。 |
|
|
數據蒐集與審核 |
在專案資料蒐集階段,由各部門負責收集與永續議題相關的數據,這些數據應包括環境、社會和治理方面的數據,並根據 GRI 準則及「上市公司編製與申報永續報告書作業辦法」附表一之四至附表一之十四的產業指標進行報告。 |
|
將收集到的數據進行初步審核,確保數據的準確性,並對有問題的數據進行重新核實,避免誤報和漏報。 |
|
|
稽核與改進 |
內部審查團隊應對報告進行持續監控,定期審查控制作業是否有效,並及時進行調整。 |
|
在第三方查證階段,外部稽核機構會對企業的永續報告依據 AA 1000 或確信準則公報第一號「非屬歷史性財務資訊查核或核閱之確信案件」(ISAE 3000)等永續資訊保證/確信標準進行審查,提出修改建議。企業應根據稽核意見進行改進,以確保報告符合法規和標準。 |
|
四、資訊與溝通(Information and Communication)
此環節為確保永續報告相關資訊在企業內部與外部利害關係人之間得到有效溝通和反饋。
|
作為與執行建議 |
|
|
內部溝通 |
永續資訊揭露專案啟始會議後,各部門應保持緊密地溝通,以確保數據收集過程順利進行,並及時反饋各種問題。 |
|
建立定期內部會議,確保專案管理人員、執行人員和其他利害關係人能夠定期更新專案進展和關鍵問題。 |
|
|
外部溝通 |
在重大永續主題分析過程中,應通過問卷調查收集鑑別出的企業外部利害關係人的意見,確保他們的需求被充分考慮。 |
|
將永續報告公開於企業網站,並舉辦說明會,與投資者、客戶、員工等利害關係人進行雙向溝通。 |
|
|
資訊透明度 |
對外發布的永續報告應透明且完整,符合GRI 2021版本及IFRS S1 & S2永續揭露準則。確保在報告中清晰揭露環境、社會和治理績效,並具體說明企業如何解決相關問題。 |
五、監督作業(Monitoring Activities)
透過定期進行評估,確保內控制度能持續改進,確保永續報告的有效性。
|
作為與執行建議 |
|
|
內部監督與評估 |
在專案執行過程中,專案管理人員應定期審查內控執行情況,確保各部門按時提交數據並完成報告撰寫。 |
|
持續監控內控措施,特別是在數據蒐集與核實環節,必要時進行即時調整。 |
|
|
外部監督與審查 |
提交完成的永續報告需接受第三方稽核單位的審查,包括書面審查與實地查證,並針對稽核意見跟進和改進。 |
|
與稽核單位保持緊密溝通,確保所有建議均得到落實。 |
|
|
改進機制 |
在專案結束後,召開結案會議,回顧與總結整個永續報告流程,評估哪些控制措施有效、哪些環節需要改進。 |
|
將過程中的經驗記錄下來,持續優化內部控制流程。 |
|
面對永續資訊內控內稽制度,「提早開始」仍為最佳因應
內部控制制度與內稽制度共同為企業營運提供了穩定性與永續性,然而永續資訊內控內稽制度的挑戰,除了大部分企業尚未完全熟悉與了解永續報告或資訊的揭露,更重要的是企業過往稽核項目多為成熟且針對已完成的業務內容(多為歷史性、量化的資訊),但永續發展資訊有部分是放眼未來的承諾與目標(未來的、質化的資訊)。
如何在對未來性的內容作內部控制,仍是多方討論的關鍵議題之一。以下也列出ICSR中提出的建議與要點,供企業高層與內控內稽人員參考:
- 建議:建立對永續發展資訊的信任與信心,並評估內部效益與外部利益。
- 要點:
- 確認利害關係人在永續方面的目標
- 培養負責(當責)任文化
- 重新審視目標間的關聯性
- 建立跨職能團隊
- 充分利用現有專業知識
- 善用現有控制措施
- 善用科技平台
- 注重決策有用性
- 提早開始
核稿:李宜蓁
註冊會員並免費訂閱《CSRone電子報》,建立個人永續書單、獲取更多永續新知!
延伸閱讀:
【第八屆發表會系列報導一】治理階層的永續之責:從資訊揭露到價值創造
一個老項目「利害關係人議合」,為何此刻變得如此重要?
