Twitter 資安吹哨、俄烏戰爭，ESG 公司治理有對策嗎？

企業的 ESG 績效，已是全球資本市場的焦點。國際間不乏對「E」環境議題、「S」社會議題的具體評鑑框架與實踐做法，如節能減碳、企業社會責任等。但 ESG 方程式中的「G」公司治理為何？為何重要？

• Twitter 前資安主管 Peiter Zatko 在今年八月，指控 Twitter 高層對於財務的考量凌駕於資安，忽略用戶安全，幾乎所有員工都有系統權限接觸到個資，公司卻沒確實的管理與追蹤機制，甚至無法應付關鍵的國家安全風險。（The Washington Post）
  • Peiter Zatko 的指控，無疑是給了 Twitter 在 ESG 實踐的兩記重拳。在 S 社會責任上，Twitter 將利潤置於人之上；在 G 公司治理上，Twitter 董事會並不了解正在發生的事件，還有其他溝通失效的情況。（Axios）
• 地緣政治的風險，也突顯了公司治理的重要性。俄烏戰爭爆發後不久，烏克蘭前財政部長 Natalie Jaresko 即撰文指出，企業高調宣揚 ESG 的優點，但面對戰爭涉及一連串社會和治理的違規行為時，並非所有執行長都有勇氣採取符合其 ESG 政策的行動。選擇保持沉默的企業，只有在不損害獲利的情況下，才會制定大膽的 ESG 政策。
• 疫情帶來的全球供應鏈危機仍持續延燒，從貨運塞港、上海封城等事件，都在考驗著企業在供應鏈上的治理策略。
  • 過往企業為求運送與成本效率極大化，選擇 just-in-time（即時生產）模式，在疫情考驗下，暴露了此模式忽略政治、社會和環境風險的缺失。過去兩年，不僅促使企業擴展內部和外部供應鏈稽核的深度和廣度，供應鏈的可衡量性也顯著發展。（Financial Times）

上述的事件中，顯現 ESG 談論的公司治理範疇極廣，從公司內部的稽核管控，到保障利害關係人。

• 世界經濟論壇直指，G 公司治理是實現 E 和 S 的基礎。企業每一次違反環境或社會承諾的背後，代表的都是無效的公司治理。此外，公司治理會影響 ESG 揭露的完整性，從而決定 ESG 指標是否合乎永續價值創造。
• OECD 公司治理原則自 1999 年發布以來，已被各界公認為良好公司治理的國際基準。目前國際框架的揭露準則或指引，主要參考 OECD 原則。（詳見文末 致德國際策略暨商業發展總監陳建佑訪談）
  • GRI 全球報告倡議組織（Global Reporting Initiative）準則，為國際標準。看重的會是揭露是否回應多元利害關係人。
  • TCFD（Task Force on Climate-Related Financial Disclosures） 氣候相關財務揭露指引，提到許多氣候風險與財務的連結與績效評估。
  • SASB 永續會計準則委員會（Sustainability Accounting Standards Board），從財務、投資者角度的溝通來做永續揭露框架。
  • 台灣的「公司治理評鑑系統」也參考 OECD 所發布的公司治理原則，包括維護股東權益、平等對待股東、強化董事會結構與運作、提升資訊透明度、落實企業社會責任等。
• 公司治理好的企業，相對在環境（E）、與社會（S）面向的表現也會不錯。（詳見文末 臺北大學金融與合作經營系教授黃啟瑞訪談）
  • 在 2021 道瓊永續指數（DJSI）中，有 30 家台灣企業入選，在亞洲國家排名，僅次於日本。比對在台灣「公司治理評鑑」評比第一級的 46 家企業名單，其中就有 20 家台灣企業入選 DJSI，可見公司治理做得好，在 ESG 永續的績效也不錯。

• 黃啟瑞指出，回歸公司治理，經營權與所有權的代理問題是關鍵。
  • 公司創業初期，多半經營權和所有權合而為一，但隨著公司規模成長、走向資本市場，所有權從集中走到分散，而經營權改交由董事會選任經理人來管理。
    • 第一層代理問題：所有權委任的管理階層，以及董監事和執行長，是否能稱職代表股東的權益、經營公司？如果沒有，就會產生利益衝突。
    • 第二層代理問題：大股東是否會考量小股東權益？或大股東只注重自身權益，犧牲小股東？
• 在近幾年來，屢發生台灣企業違反法令遵循的事件，如廣明遭惠普（HP）控告違反托拉斯法、聯電被控涉嫌侵害美光營業秘密案、駭客入侵案（資通安全管理法） 、臉書個資外洩案（個人資料保護法）等，都在提醒各企業都應更重視風險管理及法令遵循制度。
  • 勤業眾信針對 ESG 潮流下公司治理的議題，在今年九月發布《國內企業合規調查報告》，分析台灣企業面臨的合規管理挑戰。
    • 複雜的跨國合規要求：跨國營運的企業需面對美國的反托拉斯法、歐盟的 GDPR（通用數據保護條例）等長臂管轄的法規，若疏忽或不了解，很可能受罰。
    • 繁重的法規變動追蹤與管理：依全國法規資料庫統計，近一年台灣法規（不包括函釋、公協會規範等）的異動訊息筆數，就超過 5,800 萬筆。企業要及時反應法規變動做出相對應內規異動、風險管理等，都是不小的負擔。
    • 控管來自第三方的合約風險：企業除了控管自身應遵循的法規風險外，還必須防控來自第三方合規風險，例如供應商管理、貿易制裁等。
    • 因應新興法令：隨著新興科技發展，企業也需要隨時關注新興法規對於企業經營的衝擊，例如歐盟的人工智慧規則草案，是全球第一個概括性、針對人工智慧的現象及風險所做的立法。

世界經濟論壇指出，企業治理的透明度、問責度和公司誠信原則，是實現 ESG 目標的先決條件。台灣企業可以怎麼做？

• 黃啟瑞建議，企業要做好公司治理，可遵循台灣「上市上櫃公司治理實務守則」的最佳實務（best practices）的五個面向：保護所有股東權益、強化董事會的職能、發揮監察人功能、尊重所有利害關係人的權利以及資訊透明度。
  • 其中，「尊重所有利害關係人」與 ESG 環環相扣，透過企業董事會，將 E、S 所關注的議題納入討論，成為公司治理的核心，符合 OECD 公司治理原則。
• 在實務上，陳建佑建議，就公司治理的三個面向：風險和績效提升、完善公司治理機制和管理、提升市場競爭力和吸引投資者，企業可以透過以下三步驟來著手。
  • 第一步：就公司現況導入 ESG 的管理架構，例如成立永續發展委員會。
  • 第二步：企業需要鑑別和評估全球趨勢、產業狀況與脈動、公司未來三到五年的發展等，針對影響公司的「重大性議題」做分析。
  • 第三步：相關標準作業流程和揭露，企業在揭露相關數據時，會提供內外部利害關係人了解公司到底做了什麼？相對應的數據是什麼？

公司治理做得好不好，攸關企業能否永續經營，即使面對政治、經濟、環境的風險遽增，仍能在市場中存續，保障利害關係人的權益。在資訊快速流通、透明的時代，企業如何在公司治理策略上堅守誠信原則？一同透過《旭時報》與學界、業界專家訪談來了解。