ESG浪潮下的國際標準發展趨勢初探

ESG 將成為各行業需要面臨的課題，國際標準將能讓發展有所依循，且更快上軌道。ESG 的主責單位可能不是 ICT 單位，但是 ICT 單位卻無法置身事外。

文／梁日誠

ESG（Environmental 環境；Social 社會；Governance 治理）為國際各界間朗朗上口的熱門用字，其中包含資本市場。以企業的角度來看社會責任（Social Responsibility），即一般所稱之 CSR 企業社會責任，使得企業得以追求永續發展（Sustainable Development），而 ESG 則提供一種框架與量測指標。聯合國於 2015 年通過了 2030 年永續發展議程（2030 Agenda for Sustainable Development）及對應的 17 個永續發展目標（SDGs）。世界各國積極的鼓勵與要求企業建立並報告其企業社會責任與永續發展，身為地球村一員的台灣，也針對企業的社會責任報告書與永續報告書制定相關配套法規。

ISO 組織在 2021 年 6 月採納了加拿大 Standards Council of Canada （SCC）提出的建議，成立 ESG 生態系策略諮詢組「Strategic Advisory Group（SAG）on Environmental，social，governance（ESG）ecosystem」，計畫於 2022 年 9 月產出「策略及期末報告供技術管理委員會（TMB）的審核」與「澄清並提列 ISO 於 ESG 生態系的價值定位和 ISO 接續步驟的建議」，陳述 SAG 與其他相關國際性組織（如：WEF、IFRS、SASB、GRI、Global Compact、UNCTAD ISAR、TCFD、ILO、EFRAG）討論的重要性。

[ 2022年度CIO大調查報告下載 ]

在 SCC 的建議書中例舉了目前 ESG 領域面臨的以下幾個挑戰，而 ISO 正可提供對應的方案。

• 在目前的 ESG 框架中，缺乏協調與合意的基礎
• 缺乏轉換現有流程與運作的最佳實作指引，以達到各 ESG 框架的指標
• 在各 ESG 框架與指標的評鑑排行結果中，缺乏信任與相關利害團體的信心

[ 加入 CIO Taiwan 官方 LINE 與 Facebook ，與全球CIO同步獲取精華見解 ]

國際性組織（如：Global Sustainable Investment Alliance，Government Accountability Institute）的 ESG 相關文獻顯示，企業使用標準與框架來展現其於 ESG 指標的合規性，有明顯的成長趨勢，可窺見國際間企業對於 ESG 國際標準的殷切需要。ISO/CASCO （Committee on Conformity Assessment）符合性評鑑委員會已開發許多工具來增加市場信任，並可以提供解決方案來滿足 ESG 市場用戶的需求。ISO/CASCO 工具箱可用於確信、展現和驗證結果，這將增加對報告和揭露的信任，並為ESG預期的持續改進營運的最佳實作與方法提供指引。

全球性永續發展與 ISO 國際標準

以全球的觀點而言，ISO 國際標準可被政府、工業與消費者採用，以經濟、社會、環境三大支柱來協助達到聯合國的 17 個 SDGs。於 ISO 文獻「Contributing to the UN Sustainable Development Goals with ISO standards」中，例舉與說明目前超過 22,000 個 ISO 國際標準中，與各 SDGs 較相關的標準（如[表一]），提供相關利害關係團體（如：政府主管機關、企業、投資人）參考。

ISO國際標準與組織永續發展

由組織的觀點而言，可宏觀的協助企業與組織致力於永續發展的 ISO 國際標準，以 ISO26000 社會責任指引為代表，ISO26000 國際標準可被各種不同類型的組織採用，而不限於企業，大家熟悉的 CSR 企業社會責任為著重於企業界的用語。於 ISO 文獻「ISO 26000and the SDGs」中，說明了 ISO26000 的七個核心主題（Core Subjects：Governance、Human rights、Labour practices、The environment、Fair operating practices、Consumer issues、Community involvementand development）對各 SDGs 提供參考的數量關係，其關係綜整於[表二]。

ISO 國際標準中有為數不少的管理系統標準（MSS），也因此 ISO 組織制訂了 IWA26 Using ISO 26000:2010 in management systems 標準，提供各管理系統標準（如：ISO 9001、ISO 14001、ISO 20000-1、ISO 22301、ISO 27001、ISO 27701、ISO 45001）含整合式管理系統與 ISO26000 間的交互關係。也使現存的或將建置的管理系統可與社會責任充分整合，且有助於永續發展。

在 SustainoMetric 研究機構的文獻中闡述了 17 個 SDGs 與 ESG 考量的廣泛對應關係，顯示社會責任、永續發展與 ESG 三者息息相關，而 ISO26000 國際標準可於現階段提供充分的指引，提供尋求社會責任、永續發展與 ESG 展現的組織用於實作與建置時參考。ISO26000 標準與國際間常見的永續發展或ESG揭露框架的參考文獻關係如[圖三]。

ESG 與資通訊國際標準

國際間常見以 ESG 評量的機制，如：MSCI、FTSE Russell、Sustainalytics、DJSI 等，提供社會大眾對於企業投資決策的參考，組織愈來愈依賴資通訊技術所支撐的作業來提供產品（含服務），因此穩定的資通訊環境是 ESG 績效展現的重要關鍵。穩定的資通訊環境建立於良善的資通訊環境因子，如：風險管理、資通安全、隱私保護、業務持續、服務管理、管理系統、治理機制等之上，例舉對應的國際標準（如[表四]），提供以上各資通訊環境因子的對應指引（Guidelines）與要求（Requirements），也可做為合規展現的有效工具。

案例探討

以一個智慧城市（Smart City）的永續發展為例，國際標準可於各個層面協助永續發展，例舉如下：

Smart City 的權責機構本身為一組織，可參考[表二]選用 ISO 26000 標準。Smart City 可視為一 community，並由多個組織所組成，可參考[表一]選用 SDG 11 相關的國際標準，如下：

• ISO 37101 Sustainable development of communities。
• ISO 37120 Indicators for city services and quality of life。
• ISO 37122 Indicators for smart cities。
• ISO 37123 Indicators for resilient cities。

Smart City中的各組織包含政府或非政府組織均可參考[表二]選用 ISO 26000 並參考 IWA26 Using ISO 26000:2010 in management systems 標準以整合各管理系統與永續發展。[表二] SDG 16 中的 ISO 37000 Governance of organizations – Guidance 與[表四]中的 ISO 38500 Governance of IT for the organization，均可參考作為 ESG 中 G 的展現。

Smart City的權責機構宜參考[表四]選用 ISO 27570 Privacy guidelines for smart cities，建立治理機制，並要求各組織滿足治理、風險管理與工程各領域的資通安全與隱私保護的流程要求，相關國際標準例舉如[圖五]。在Smart City中的關鍵基礎設施提供者亦須參考[表四]選用 IEC 62443-3-2 與 IEC 62443-2-1 進行 OT 安全的風險評鑑與管理系統相關作業。

Smart City 的權責機構與 Smart City中的各組織包含政府或非政府組織，均可參考 ISO/CASCO 的符合性評鑑機制，經由公正第三方驗證展現合規，如：ISMS/ISO 27001、PIMS/ISO 27701、CSMS/IEC 62443-2-1 等管理系統。

Smart City的權責機構可選擇 ISO 37120 對 Smart City 進行獨立第三方評鑑，如：位於加拿大的 The World Council on City Data （WCCD）所提供的 ISO 37120 驗證體制，除展現合規外也可建立民眾的信心。

ESG、永續發展與社會責任的範圍廣泛，資通訊領域的作業也對前述三者有相當的貢獻度，觀察到的現象是資通訊領域的人員與業務單位人員的溝通一直存在改善空間，現在不論是業務單位人員或資通訊領域的人員，均須與永續發展人員充分溝通，才能一舉而竟全功。鑒於永續發展議題的重要性，已有單位設立 CSO（Chief Sustainability Officer）永續長的角色，如同 CISO資安長、CIO 資訊長、DPO 資料保護長、CRO 風險長、COO 營運長、CEO 執行長，於管理階層分工合作來帶領組織有效地完成目標。對於資通訊領域與永續發展之後續，或於其他議題的國際標準應用，如：供應鏈、專案管理等，將再續與讀者們交流。

(本文授權非營利轉載，請註明出處：CIO Taiwan)