IFRS S1 S2 教練陪跑日誌Week 8：氣候風險管理的流程與整合

這週教練陪跑計畫正式走進 IFRS S2 裡最容易「高估自己其實有做到」的區域：風險管理。

多數企業都會說：「我們內部已經有風險管理流程。」
但在我實際顧問輔導的過程，最常看到的狀況，就是企業只是照著 TCFD 的欄位，把每個風險項目填上「衝擊程度」與「發生可能性」，甚至搭配一個矩陣圖，就宣稱已完成評估。

流程看起來存在，但這個流程根本沒有在企業內部真正運作。
氣候風險與機會的管理流程，全憑永續專責人員一己之力完成，
這甚至可以說是一種作文比賽也不為過。

一、IFRS S1 S2 風險管理：揭露與實務的巨大鴻溝

在談到IFRS S1 S2 的風險管理，我帶學員拆解的第一件事是：
風險管理其實是可以分成兩個層次：

第一個層次是「揭露面」，也就是依照 IFRS S1 S2 條文要求揭露管理流程、有沒有整合納入企業既有風險管理機制。

風險管理的揭露面，某種程度上是比起像是前幾週談到的「策略」部分來來得容易揭露，因為風險管理流程基本上大同小異，不外乎都是鑑別、評估、排序、監控，這四大流程。揭露方式，就是按著這個架構，填入相關資訊，幾乎可以合乎 IFRS S1 S2 的條文要求。

而另一層次則是「實務面」，強調真正有執行氣候風險管理相關作為，也就是：是否真的做了鑑別、是否真的做了評估、過程是否有人負責、實際如何整合。

風險管理的實務面對許多企業來說，才是真正頭痛的地方。每家企業都可以說自己「有做氣候風險管理」，但進一步去問就會發現公司什麼都沒做：管理過程有無留下紀錄？風險項目評估的分數？公司的風控機制有做了什麼改變？

這就也會是，我跟學員們特別講的，風險管理的揭露不是問題，實務導入才是大問題所在！

我這邊也簡單舉了一個例子，是關於風險管理評估的部分。一般企業都會透過發放問卷的方式，去搜集各項風險的分數，再來加以排序，最終選出所謂較重大的風險項目。

我問所有學員們：「你們的氣候風險問卷是發給誰？」
底下答案幾乎一致：「利害關係人都有發。」

這是一個非常普遍的誤會，因為氣候風險不是意見調查。氣候議題的不確定性更高，像是高層或許不會知道公司遭遇到颱風洪水的機率有多高。

問卷發給錯的人，等於決策還沒開始就失真。

我會建議大家，應該先由永續專責單位根據外部研究與情境分析，針對特定氣候風險，預先定義風險的「發生可能性」，再由董事會層級與一級主管，評估「衝擊程度」。這麼做，也才能夠讓問卷的效度發揮到最高。

除了風險管理的流程，另外一塊就會是如何將氣候風險「整合」到公司本來就有的風控制度中了。

「你們的風險管理流程，有真的納入企業原始的風管系統嗎？」
這問題一問下去，基本上很多企業回答不出來，因為這通常就是永續部門與風管部門之間那道，誰都不願先開口的牆。

儘管風險管理的整合，我們可以簡單用文字描述，就可以合乎 IFRS S1 S2 條文要求。但我們要學得反而是，實際能夠如何真正整合？

雖然主管機關發布的「IFRS S2 實務指引」有介紹企業如何整合的方法及步驟，但真正要實務落地這些步驟，成本還是太高，甚至有些過於理論。

我因此整理了三種最常見、也最具實務可行性的整合策略分享給學員們，可從制度、組織、執行這三個層次出發：

制度面整合：企業可直接在內部規章裡新增條文，讓氣候風險正式成為經營流程的一部分。像台新新光金控就在他們的風險管理政策及管理準則中，修正加入永續及氣候風險的相關敘述，連帶影響了後續實際在各項業務（投資、授信、保險等等）的行為。

組織面整合：也有企業是調整組織結構與責任分配，重新定義主管、委員會的職掌，並將重新定義過的職責，清楚寫在前述第一項的內部規章中。通常會是，「氣候風險」由風險管理委員會負責監督、「氣候機會」則由永續委員會負責監督。
執行面整合：企業風控單位也可透過更新企業風險清單，讓氣候項目出現在清單當中裡，成為風控單位平常分析的項目之一；或是也可從既有的風險項目當中（策略、財務、市場），加入氣候元素，強化既有風險項目的氣候評估力度。

風險管理不只是寫寫字，而是在驗證企業是否真的有能力面對風險。

在揭露面，企業可以寫流程、寫框架、寫整合說明，這不難。
但在實務面，重點永遠在「誰參與評估」、「資訊是否進入決策」、「這套流程有沒有被納入真實運作的系統」。

很多企業卡住的，不是方法，而是它一直停留在揭露層次。
只有當風險流程真的嵌入制度與權責劃分清楚，風險管理才算真正存在。