iT邦幫忙

2023 iThome 鐵人賽

DAY 28
0
Security

從永續報告書看資安系列 第 28

28. Day28:如何編好一本永續報告書

  • 分享至 

  • xImage
  •  
  1. Day28:如何編好一本永續報告書
    清華大學的社會科學、哲學課程採用ChatGPT,讓學生可以個別適性化受到教導,不同的學生會隨著自己和ChatGPT的對話而得到不同的啟發。其中提得一提的是採用了「蘇格拉底式反問法」,以下我們來看看如何編好一本永續報告書。

我:請在此談話中用蘇格拉底式反問法 協助我了解永續報告書
ChatGPT
當然,我樂意使用蘇格拉底式反問法來幫助你更深入了解永續報告書。首先,讓我們一起思考一些問題:
你認為永續報告書的主要目的是什麼?
你知道永續報告書的讀者通常有誰,他們為什麼關心這些報告?
你能夠描述一下永續報告書的典型結構和內容是什麼嗎?
為什麼組織會選擇發布永續報告書?它們有什麼好處?
永續報告書中的資料和信息是如何收集和驗證的?
你知道有哪些國際標準或框架用於指導永續報告書的編寫嗎?
請隨時提供你的想法和回答,這將有助於我們更深入地探討永續報告書的主題。

筆者認為,永續報告書是一種財務報告以外,企業對於政府、環境、社會議題的努力所做的揭露。就像是禁止衝突地區礦產、禁用童工,這些議題在財務報表上通常不會揭露,所以需要有永續報告書。
永續報告書的讀者通常是利害關係人,像是客戶、供應商、員工、股東、政府及主管機關、投資人及投資專業機構、媒體、國內外信用評等機構、往來銀行等等。
永續報告書的典型結構,是高階主管的談話與宣示,接著從環境(E)、社會(S)、政府與治理(G)三方面,將前一年度的作為、得獎紀錄、短中長期目標,辨認重大風險和因應措施,彙編成永續報告書。
組織選擇發布永續報告書,因為藉由追求永續發展,銀行才肯借錢給企業,像是富邦逐年在減少對於化石燃料發電廠的貸款,NO ESG,NO Money。而且藉由永續報告書的編寫,企業可以掌握所面對風險的因應情形,各部門動起來,呼應企業的整體目標。
永續報告書的資料和信息,來自於企業各單位,首先會成立永續委員會,由相關部門主管組成,再委外或自行進行問卷訪談、實地勘查,逐漸組合成永續報告書的內容。驗證的方式,目前通常是委請會計師事務所進行有限確信查核。而因為大多數的企業都有導入ISO27001,所以會請BSI、VERITAS等認驗證機構,針對永續報告書是否依循編製的國際標準或框架來進行撰寫。
目前永續報告書的國際標準和框架大致有三個,SASB、GRI、RE100等三個。

我:回應如上
ChatGPT:
現在,讓我們透過蘇格拉底式反問法來更進一步思考:
對於企業來說,發布永續報告書是否僅僅是因為融資需求和風險管理?還有其他更高尚的動機或價值觀在其中嗎?
你提到了永續報告書的結構,包括環境、社會和政府與治理三個方面。這些方面在企業的永續發展中具體意味著什麼,以及它們如何相互關聯?
你提到永續報告書的信息來自不同的部門,但如何確保這些信息的真實性和可靠性,特別是在涉及風險評估時?
關於國際標準和框架,每個標準和框架之間有什麼主要區別,企業如何選擇適合他們的標準或框架?
通過進一步的反問,我們可以更深入地理解永續報告書的背後原則和實際運作方式。請繼續分享你的想法和見解。

台灣的企業型態,很多是家族企業,都是一代代傳承的,除了融資和風險管理以外,企業的擁有者,在企業成長到一定規模後,都希望企業可以永續、合規、對環境友善,以便能夠傳承給下一代。
環境、社會和政府治理,環境像是航運業為了不影響海水水質,嚴格管控壓艙水的排放。社會像是企業與企業成立的基金會或第三方基金會合作,對於偏鄉、原住民、弱勢族群的公益、伴讀、淨攤、種樹等活動。政府治理則以符合個人資料保護法、環境保護相關法規、董監事性別平權、優於勞基法的員工福利等等。ESG的相互關聯,首先企業的經營必須遵守政府法令,必須符合社會期待,也必須回應環境保護。例如淨零碳排目標,企業會訂定使用綠電、發行綠色公司債等短中長期目標,就可以合法、回應社會期待,並且達到保護環境。
來自不同部門的信息,其真實性和可靠性,有賴公正第三方,如顧問公司、會計師事務所、認驗證機構的核實。
GRI、SASB、RE100都有有系統編號的揭露項目,企業選擇其中一個框架後,就會編製一張對照表,列明每一個揭露項目對照永續報告書的那一個章節。企業選擇合適的框架是要考慮自己的行業別,以及利害關係人的要求與關注。
Tips
讀者可以以蘇格拉底式反問法繼續與ChatGPT做互動,就如同有一位好朋友在對談一樣。

請讀者注意

  1. 本系列中所提到的永續報告書均為公開資訊,本系列引用的目的僅為學術教育,讓更多的利害關係人能夠讀懂企業欲揭露的永續報告書。本系列不對於永續報告書內容做修飾,僅忠實的呈現。本系列僅為了介紹資安觀念而在引明出處的方式為讀者介紹這些框架,其最新版本的修正還是要以該組織發布為準。
  2. 本系列中提到的紅隊攻擊手法和「從新創看資安」,裡面所提到的攻擊,無論是POC(概念驗證)或是工具介紹,紅隊都是指有和企業簽約,在取得許可下協助做安全測試的資安成員,其不會造成企業實質損失,僅止於讓企業了解自身環境、設定、程式碼等環節的資安精進。

上一篇
27. Day27:如何利用AI成為熱門的提示工程師
下一篇
29. Day29:永續報告書資安成熟度第三方驗證
系列文
從永續報告書看資安30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言