做好資訊風險管理,讓永續成為制度!
2026-03-30
林呈欣
14
永續金融的核心在於以資料支撐風險判斷與決策,而企業真正被檢驗的是資訊系統與資料治理能力。隨揭露制度化,資料需具一致性、可追溯性與可解釋性,並成為公司治理一環。對 CIO 而言,永續並非新增任務,而是將既有資訊與風險管理能力延伸至永續場景,確保轉型可被持續驗證與信任。
在永續金融廣泛被討論後,資金規模、金融商品設計與各種金管會的政策方向,始終是最容易被看見的部分。這幾個部分的指標清楚、具體,也便於對外說明。但對企業而言,真正在永續金融之下,先被各個利害關係人檢驗的,往往不是策略是否宏大,而是內部是否具備足夠穩定、可被信任的資訊系統,以支撐這些策略能夠長期運作。
永續金融的核心,本質上是建立一套風險判斷與資源配置的機制,而風險判斷仰賴資料。當永續金融的議題在短期財務績效時,資料來源相對集中,時間軸也較為清楚;反倒是當討論議題延伸到氣候風險、轉型路徑與企業長期韌性時,資料的時間跨度被大幅拉長,而資料來源也變得更加分散而廣泛。
原本各部門各自為政的營運系統、能源系統、供應鏈資料、甚至企業對外部揭露資訊,開始被要求共同組合起來,並要能夠說得出一個前後一致、可被理解的大數據的版本。
當決策開始牽涉長期轉型風險時,我們手上的資訊,真的足以支撐這樣的檢視與決策判斷嗎?對資訊主管而言,這個問題並不是抽象的哲學提問,而是每天都可能遇到的實務挑戰。永續相關資料是否能被重複使用?是否能跨年度累積與比對?是否能在不同揭露場景下,所需的數據都維持著相同定義與計算邏輯?是否這都能在不同系統之間維持一致性,而不必每次重新整理?這些原本被歸類為「系統品質」或「資料管理」的問題,正在快速轉化為企業是否具備決策可信度的前提。
所謂可信資訊,究竟是格式正確,還是經得起反覆使用與交叉檢視?當永續資料只是一次性的彙整,問題或許還停留在效率與成本的層次;但當資料開始被反覆引用、被金融機構、投資人、主管機關以各自不同角度檢視,它是否還能夠一致、是否還能被回溯、是否還能被重建,這時就不再只是 IT 內部的技術問題,而是考量著企業是否能被納入可信決策範圍的關鍵條件。
從這個角度來看,資訊系統不再只是配角角色,而成為企業之永續資訊揭露制度能否順利運作的基礎設施。對 CIO 來說,這意味著永續資訊揭露並不是一個額外的議題,而是企業對於既有資料架構與資訊系統治理能力的延伸考驗。
揭露一旦制度化,壓力就會從 IT 一路往上走
當永續資訊被正式納入制度化持續揭露之後,最大的改變,其實不在於揭露項目變多,而在於責任結構開始重新排列。資訊不再只是企業選擇性溝通的內容,而是必須對外負責的資料,風險也因此開始自然地往上移動。
在這樣的情境下,真正被檢驗的,往往不是單一指標或者 KPI 的數字是否精準,而是整個資料產製流程是否站得住腳。資料從哪裡來?經過哪些系統?是否有人為調整?調整是否留下紀錄?是否能清楚說明不同版本之間的差異?這些細節在平時可能不會被仔細追問,一旦揭露成為制度後,就很難再被模糊帶過。
如果連資料是怎麼來的都說不清楚,董事會的監督究竟該站在什麼基礎上來看待永續資訊揭露的這件事呢?這正是許多企業在制度推進過程中,逐漸意識到的現實:資料治理不再只是 IT 的專業議題,特別是企業大量使用 AI 後,資料治理將是公司治理的一部分。當永續資訊被包含在正式對外揭露內容,董事會雖然未必需要理解每一個技術細節,但必須能對資訊的可信度負起最終治理責任。這時候,系統是否具備資料血緣追蹤、權限控管、變更紀錄與稽核軌跡,就不再只是內控要求,而是治理風險的重要的防線。
資料治理出了問題,企業習慣先怪系統,還是先回頭看治理結構?對 CIO 這角色而言,這並不是職責擴張,而是熟悉的風險管理邏輯被正式搬進永續場景。當系統能夠清楚呈現永續資料的來處、流向與責任歸屬,壓力就能被留在系統與流程層次;反之,當資訊無法被回溯、無法被解釋,壓力就會一路往上,最終集中到治理層。
也正因如此,永續揭露常常成為企業第一次「全面檢視自身資料治理成熟度」的時刻,特別是2026年起更是這樣。不是因為金管會的制度本身特別嚴苛,而是因為制度開始要求企業用同一套標準,對待所有重要資訊治理。
轉型是否被相信,取決於系統能不能持續交代
多數企業在談轉型時,第一個感受到的往往是壓力。目標訂得很清楚,時程也已經排定,但實際執行過程中,變數遠比原先預期來得多。永續資訊揭露的制度並不否認這種不確定性的存在,但制度真正關心的,是企業是否具備把不確定性轉化為可管理過程的能力。
轉型不是一次性的宣告,而是一段需要被持續追蹤、反覆調整的過程。企業現在在哪裡、為什麼這樣走、接下來可能遇到哪些風險,這些都必須反映在資料與系統中,而不是只存在於策略文件、高階管理層的簡報或年度報告。當轉型被視為動態過程,資訊就必須具備連續性,而不是每年重新計算一次。
如果每一次揭露都像重新說一個故事,外部要如何判斷轉型是否真的在發生?這也是為什麼,系統化的資料管理與風險監控能力,開始直接影響企業的可信度。
能夠持續產出一致、可解釋資訊的企業,比較不容易因短期波動被過度解讀;反之,當資訊前後斷裂、定義不一,市場承受的往往不是企業轉型風險,而是資訊揭露的風險。
當資訊治理納入既有的系統架構、治理流程與風險控管機制時,轉型就不再只是外部要求,而會逐漸成為企業內部可被管理的一部分。資料不再只是用來揭露,而是成為調整策略、修正路徑的重要依據。
對 CIO 而言,這場轉變並不是多做一件事,而是把原本熟悉的資料、資訊系統與風險管理能力,放進一個新的制度場景中。當永續走向制度,真正被檢驗的,終究還是企業是否具備把資訊當成風險來管理的能力。而這正是 CIO 最熟悉、也最無法迴避的專業領域。
原文出處:CIO Taiwan