专家传真－永续资讯管理谈ESG与内部稽核

健全的治理是ESG的核心，永续治理和永续报导若缺乏强有力的内部控制，会增加永续资讯不准确、不完整或不可靠的风险，从而影响内部与外部使用者的决策。图／摘自Pixabay

内部稽核在执行职务时，往往被期望担任不同角色，并涵盖多元议题与面向。近年来社会对永续的重要性已达成共识，企业也面临必须对永续发展采取积极回应的压力，并致力于实现永续目标。除了发掘新的永续商机外，ESG浪潮也为企业带来了新的风险，投资人希望借由更透明的资讯揭露以了解企业所面临的永续风险与机会，并要求企业做好相关的风险管理。

此外，随着永续揭露与报导架构、法令的推出与整合，永续报导格局正在加速发展与复杂化。永续治理和永续资讯报导若缺乏强有力的内部控制，会增加永续资讯不准确、不完整或不可靠的风险，从而影响使用者决策，除将永续报告交由独立外部第三方确信以增加公信力外，金管会证期局亦于2024年1月16日预告修正「公开发行公司建立内部控制制度处理准则」部分条文，强化上市上柜公司对永续资讯之管理，并预计自2025年1月1日起纳为上市柜公司年度必要稽核项目，进一步将内部稽核职责扩充到于上市柜公司永续资讯管理作业的查核。

■透过内部稽核，逐步落实ESG与永续目标

内部稽核可就ESG各个面向提供独立观点与评估，包括治理、系统、营运作业流程、资料处理与永续报导等。考量永续议题多样性与牵涉的企业组织单位，内部稽核可采多种方式将ESG纳入其内部稽核计划，举例而言，内部稽核可规划每年聚焦在不同永续的议题或运作机制，执行评估与稽核。国外的内部稽核参与ESG的方式，会视企业永续议题与治理的成熟度而定，如初期内部稽核可聚焦在企业整体永续策略与治理架构评估，随着企业ESG成熟度演进，可规划特定ESG议题与永续目标的重点稽核。

内部稽核可以提供ESG评估的范例包括以下几个面向：

一、监督与评估永续目标达成状况：监督和评估企业的ESG目标和指标的达成情况，并提供改进建议。透过向董事会报告，确保管理阶层对ESG议题的重视和承诺。

二、整合风险管理：了解企业如何将ESG风险识别和评估纳入其整体风险管理作业及相应内部控制，据以规划年度稽核重点。

三、永续报导政策和程序：监督并评估永续指标是否符合适用的报导架构、编制作业流程和程序指引。根据ESG内部政策评估第三方是否遵循合约义务。

四、资料管理：评估资料收集、资料品质、存取权限、工具与管理作业的控管，是否保存相关的稽核轨迹，并聚焦在数据完整性和正确性的稽核。

五、计算与估计：评估永续指标编制与计算的流程、输入和假设，包括估计方法的正确性与合理性。

六、合并和揭露：评估于筹备永续资讯时，各项永续指标之合并工具和作业流程。

■健全的治理是ESG的核心

健全的治理是ESG的核心，永续治理和永续报导若缺乏强有力的内部控制，会增加永续资讯不准确、不完整或不可靠的风险，从而影响内部与外部使用者的决策；「漂绿」风险或误导性的永续目标与声明将损害利害关系人对企业的信任，并违反永续资讯揭露法令规定。对此，内部稽核可扮演关键角色，透过稽核计划，确保营运活动符合永续经营的政策目标，并提供高品质的永续资讯，打造内部和外部利害关系人对企业永续承诺与永续资讯信赖的基础。