每次我帶學員寫永續報告書,走到 GRI 3-3 這一條,氣氛都會突然變得安靜。
「老師…所以這段到底要寫什麼?」
「它不是要我們寫管理方針嗎?但我連我們公司到底有沒有在管都不太確定…」
「我只知道我們有一些政策、一些行動,但寫出來都很像口號。」
我太懂這種卡關感了。
因為 GRI 3-3 難的不是格式,不是資料找不到,而是你心裡根本沒有一段能寫出來的話。
你不是不會寫,是你不知道「要交代什麼」
GRI 3-3 說是「管理方針」,但它其實不是要你寫得像公文,也不是寫理想狀態。
它要的是一段真實發生過的「管理歷程」:
你們發生過什麼事?有什麼風險?
你們有什麼制度?誰在負責?
這些做法,有沒有效?怎麼知道有效?
有沒有外部人給過你們回饋?你們有沒有改變?
但如果你從來沒有問過自己這些問題,當然會只寫得出:「我們重視資訊安全並持續推動保護制度」。
問題不是條文難,是組織從來沒有整理過這段管理邏輯。
所以這段,其實該這樣開始:
「我們曾在2022年發生過一件資安異常事件,雖未造成資料外洩,但內部流程混亂、風險暴露。後來我們開始討論:到底是誰負責這件事?流程在哪裡中斷?我們該做哪些補救?又該如何預防?」
你開始寫得出來的那一刻,通常不是你查好條文的那一刻,而是你終於願意把事情講清楚。
寫GRI 3-3,不是回答條文,而是釐清你們到底是怎麼面對這件事的。
如果你也卡在 GRI 3-3,歡迎你進來跟我一起寫
我把完整的撰寫架構、範例與引導,全部放在 Skool 群組「永續未來所」裡。
我會陪你寫出那一段,你以為你寫不出來,但其實你早就有話要說。
毓策永續顧問 
發表留言