自 2025 年起,金管會要求所有上市櫃公司建立「永續資訊管理」的內控制度,並納入稽核計畫。這意味著,永續數據不再只是報告書上的內容,而是正式進入法遵與查核的範圍。
若沒有一套可持續運作、可追溯、可驗證的資料流程,出錯的代價將遠不止是企業內部在永續專案推動上的窒礙難行,還可能引發法規風險。
企業在導入永續資訊管理時,COSO 架構是非常實用的骨架。它將內控分為五大構面,讓 ESG 資料管理不必重新發明流程,而是自然融入現有的制度中。
COSO 五大架構完整形塑永續資訊管理內控制度
COSO 全名為 Committee of Sponsoring Organizations of the Treadway Commission(美國財務舞弊委員會贊助組織委員會),成立於 1985 年,是全球最被廣泛採用的內部控制與風險管理框架之一。它將內控分為五大構面,從控制環境到監督活動,幫助企業建立內控系統。
一、「控制環境」是基礎。企業需要在《內部控制制度手冊》中明確寫入永續資訊管理政策,指派永續委員會或永續長負責,並劃清責任與簽核權限。
更重要的是,將數據正確性與否,納入每個部門的年度績效考核項目,讓這件事成為日常責任,而非臨時任務。
二、接著是「風險評估」。必須先盤點資料錯誤與遺漏的風險來源,例如碳排計算、用水統計、工安事故數據,並對照 GRI 與 IFRS S1 S2 條文做差距分析。
依影響程度與發生可能性分級,將高風險指標優先建立標準化流程與驗證規範。
三、「控制活動」則是制度的延伸實踐。企業可以建立統一的永續資料蒐集模板,確保格式、單位、計算方式一致,並要求部門主管簽核,附上計算依據與原始檔案。
關鍵數據應集中在永續資料庫中管理(所以很多企業會找系統商,於公司內部建置永續資訊平台,或是直接購買軟體商推出的產品),並對高風險指標採雙重驗證或第三方查證。
四、在「資訊與溝通」上,需要讓永續資訊在內外部都能正確、及時、透明地流通。
這意味著,跨部門要有固定的檢討會議,內部平台上要能找到最新的政策、指標定義與操作手冊。對外揭露時,不同平台上(年報、永續報告書…)的數據也必須保持一致。
五、最後是「監督活動」。永續資料應列入年度內部稽核計畫,並至少每年委託一次外部驗證。針對稽核與查證發現的問題,應制定改善計畫、追蹤進度,並透過數據正確率、延誤率等 KPI 持續檢視制度效能。
金管會在 《內部控制制度有效性判斷參考項目》 中,針對上市櫃公司列出多項永續資訊管理的「必要內控稽核項目」,涵蓋董事會監督、永續資訊編制、內稽內控等面向,細化到責任分工、資料蒐集與驗證、外部查證等細節。
這份指引,等於是內稽在檢查永續資料管理制度時的「必考題清單」,能幫助企業快速檢視制度是否符合金管會的最新要求,也方便在年度自評與查核時直接套用。
永續資訊內控制度如何真正落地?
永續資訊管理內控的落地策略可以分為三步走,從制度建立到全面監控,逐步讓永續資訊管理融入企業內控。
第一步:建置制度並啟動全員認知
先在《內部控制制度手冊》或相關政策文件中,新增「永續資訊管理」章節,明確規範永續數據的蒐集、審核與使用標準。
政策確立後,立即舉辦教育訓練,讓所有相關部門了解這件事的重要性與後續要求,並啟動跨部門溝通,說明未來的配合流程與內控要求。這一步的關鍵,是讓組織從文化和制度上先站到同一陣線。
第二步:建立指標對應表並嵌入內稽流程
將 GRI、IFRS S1 S2 條文逐條對照到公司現有的數據來源,並明確劃分責任、簽核、諮詢與知會對象,形成跨部門責任地圖。
同時,調整現有的內控測試與抽查流程,把永續指標檢核項目納入其中,與財務與營運資訊享有同等級的管理標準。可直接參考 《內部控制制度有效性判斷參考項目》 中的必要內控項目,作為檢核依據。
第三步:持續監控與優化
將永續資料的正確率、延誤率等 KPI 納入年度內控自評與稽核報告,針對異常數據制定改善計畫並追蹤落實。
定期檢討內控政策、指標對應表與稽核項目,確保制度隨著最新法規、準則與公司營運狀況而調整,維持長期有效性。
當這三步完成後,永續資訊管理就不再是單一專案,而是企業日常管理的核心流程,像財務報表一樣穩定且可驗證。
準備好將永續資訊管理納入公司內控制度了嗎?
COSO 架構的價值,在於它不是要求企業多做一套制度,而是讓永續的責任歸屬、風險辨識、流程控制、溝通協作與持續監督,融入本來的內控系統中。
這樣,永續報告書與 IFRS S1 S2 的揭露才能穩定、可驗證、可信任,也能避免每年截稿前陷入數據大亂鬥的惡夢。
你的公司,永續資訊管理已經納入內控制度了嗎?如果還沒有,現在就是開始的時候。
我已經整理好一份完整的稽核檢核表,包含每項必要項目的說明、對應 COSO 架構的落地做法,以及評分與追蹤欄位。
歡迎加入「永續未來所LINE群」免費取得,直接套用到你們的年度內控測試與抽查流程中。
毓策永續顧問 
發表留言