美國公司最近對ESG的一些看法：(1)Deloitte的調查：高階經理人如何看SEC的揭露法規；(2)美國公司對ESG揭露仍有困惑-2023/12/18

(1)[美國]Deloitte:公開發行公司高階經理人如何看待SEC新的網路資訊揭露法規

SdxCentral在2023年 10月 3日刊載，美國證券交易委員會（Securities and Exchange Commission，SEC）即將實施網路資訊風險管理及事故報導的新法規：要公開發行公司，在四個工作天內揭露「重大」的網路資訊事故，並詳述他們評估、辨識，管理網路資訊安全重大威脅的流程，以及董事會在監督上的角色等等其他要求。

最近Deloitte有一份調查顯示，超過半數受訪的公開發行公司，已經加強了他們的網路資訊安全措施及計畫，以遵循相關要求，不過其中還是有不少公司對於該法規仍有擔憂及疑問。

Deloitte的網絡及策略風險服務諮詢負責人Naj Adib告訴SDxCentral說，最常被客戶諮詢的問題，是關於SEC新法規裡的：

1.重大性的定義：Deloitte客戶最常提問的問題是，如何釐清「重大性」定義，因為對其概念內容模糊，並想知道要如何判斷某起事故應被認為是具「重大性」。Adib指出，組織認為在事故及相關資訊，會隨著時間的推展而有所變化的情況下，要決定何時與如何揭露相關事故是有挑戰性的，這意味著需要資源及自動化來連結相關事故。

2.第三方管理：Deloitte的客戶也詢問關於第三方服務供應商的管理，特別是法規中提及，監督及辨識與第三方服務供應商有關的重大風險流程的概念。

3.資訊揭露程度：關於在8-K與10-K表格中揭露的資訊量方面也有許多問題，特別是關於與風險管理策略、治理與其他相關領域所需的揭露詳細度。

4.董事會的參與：Deloitte的客戶對董事會在監督和管理網路資訊風險上的參與表示擔憂，包含的問題比如，董事會應參與到什麼程度？我們如何讓他們參與？以及如何確定我們有足夠的數據、資源和支持，讓董事會進行正確的監督？

有鑑於這些擔憂與詢問，Deloitte辦理了一次在線研討會，提出了有關新法規的匯報，並同時針對與會的超過1,300位上市公司長字輩主管及其他經理人進行調查，以了解他們對此法規的看法。

Deloitte的調查顯示，有64.8％的受訪經理人表示，他們的組織將強化他們的網路資訊安全計畫，以回應新法規的要求，而有54.1％表示也會要求第三方服務供應商採取相同做法。

此外，雖然有53％的受訪者表示，他們的組織對新發布的SEC網路資訊法規一直在進行規劃，但26.1％尚未著手進行，但表示會在期限前遵循。

對尚未開始準備的公司，Adib建議：做一次SEC的準備狀態評估，以確定他們有基礎能力，並瞭解公司對應法令要求的現況為何、評估他們對事故的回應能力、協調並編製流程，以及結合法律指引和網路資訊安全專業，來確保及時且適當的揭露重大事故。

Deloitte的調查結果也顯示，僅33.9％經理人的組織有評估與第三方服務供應商的溝通。

Adib稱第三方服務供應商是「企業體的延伸」，其中的外包商、伙伴與客戶（或顧客）也是生態系統的一部分。

Adib也建議在合作簽約時就要加入條款與附加規定，要求第三方揭露他們是否有過網路資訊事故，並評估現有的第三方「是否遵守與您的組織合作所需要的安全控制。」

資料來源：https://www.sdxcentral.com/articles/analysis/deloitte-what-public-company-execs-think-of-new-sec-cyber-disclosure-rules/2023/10/

 

(2)[美國]更多公司正在揭露其ESG資料，惟要如何做仍然困惑

根據WSJ Pro在今年春季針對公司永續主管所做的年度調查，近三分之二回覆問卷者說，他們公司會揭露環境、社會與治理資訊，高於前一年的56％。

然而，對於要採用哪個架構幾乎沒有共識，回覆者強調三個基本型態的資訊為其前三大的環境報導挑戰：溫室氣體排放、氣候變遷風險以及能源管理。

公司揭露永續及ESG資訊的比例為63％，高於去年的56％。尚未報導該資料但計畫要做者為16％，低於去年25％。約五分之一的回覆者說，他們的組織沒有要報導進展的計畫，實際上與去年無異。深入來看，有四分之一的私有公司沒有計畫做ESG報導，然而僅7％的公開發行公司如此。

雖然多半是公開發行公司面對強制要求，不過連私有公司也面對更多來自於利害關係人(包括股東、具生態意識的消費者、供應商、保險公司與放款人)關於其永續和ESG政策越來越詳細的審查。

強制揭露要求將制定某些標準，但現在對於要採用哪套報導架構的共識仍偏低，近四分之一的回覆者說他們依賴超過一個架構。

在公開發行公司之間最常見的是五個主要的全球氣候報導架構：44％回覆者說，他們使用聯合國的永續發展目標(Sustainable Development Goals，SGDs)報導指引，其次有40％是全球報告倡議組織(Global Reporting Initiative)、40％是氣候相關財務揭露(Task Force on Climate-Related Financial Disclosures)、34％是碳揭露專案(CDP)系統，以及33％是新的ISSB規範。6％說他們尚未報導但計畫要做，另外還有7％是沒有計畫。

在私有公司方面卻是迥然不同的景象：45％沒有報導ESG資訊並且超過一半不打算做。兩個最普遍使用的標準是自己研發的架構(28%)與聯合國SGDs(22%)。

在被問到他們認為最難衡量與報導的永續領域為何時，近半回覆者說，溫室氣體排放是他們最大的環境報導挑戰，45％說是氣候風險報導，以及約三分之一說是能源管理的難題。

約有四分之一回覆者選擇前三大社會與人力資本問題為供應鏈管理；資料安全；以及員工議合、多元與共融。

法律與監理環境管理是首要的治理報導挑戰。小企業(33%)如此認為的比例高過大企業(28%)，或許是因為大公司內部有法務與法遵人力之支援。

回覆者最可能發佈的永續資訊是員工多元性、平等與共融，比例為47％。最不可能發佈的是生物多樣性(16%)以及來自於公司供應鏈及客戶的所謂範疇3排放(17%)。衡量生物多樣性與範疇3排放通常具有挑戰性，而工作場所多元性相對較易於追蹤。

商業圓桌會議(Business Roundtable)的公司治理資深副總裁Maria Ghazal說：「範疇3排放依定義是在公司直接控制之外的，使得它們幾乎不可能衡量且難以估計。」

比起範疇3排放，組織通常對自身營運所產生的排放(範疇1)以及從採購能源而來的間接排放(範疇2)有較多瞭解與控制。61％受訪的公開發行公司公布了範疇1與範疇2的排放，約四分之一說計畫要開始做，其餘的13％說他們無意揭露此資訊。私有公司公布較少的資訊：僅26％有做範疇1與範疇2的排放揭露，而30％說他們計畫會如此做。43％說他們不打算公布此數據。

資料來源：https://www.wsj.com/articles/more-companies-are-disclosing-their-esg-data-but-confusion-on-how-persists-e667698c