做好資訊風險管理，讓永續成為制度！

文／林呈欣

200-林呈欣 — ◤ 林呈欣為政大經營管理博士（DBA）候選人。現任政大企管系兼任講師、淡江大學商管學院兼任副教授、輔仁大學理工學院兼任副教授。並兼任數家企業數位長職務與董事會永續委員會之永續長職務。過去經歷於台灣微軟與微軟中國大中華區企業顧問服務總監。

在永續金融廣泛被討論後，資金規模、金融商品設計與各種金管會的政策方向，始終是最容易被看見的部分。這幾個部分的指標清楚、具體，也便於對外說明。但對企業而言，真正在永續金融之下，先被各個利害關係人檢驗的，往往不是策略是否宏大，而是內部是否具備足夠穩定、可被信任的資訊系統，以支撐這些策略能夠長期運作。

永續金融的核心，本質上是建立一套風險判斷與資源配置的機制，而風險判斷仰賴資料。當永續金融的議題在短期財務績效時，資料來源相對集中，時間軸也較為清楚；反倒是當討論議題延伸到氣候風險、轉型路徑與企業長期韌性時，資料的時間跨度被大幅拉長，而資料來源也變得更加分散而廣泛。

原本各部門各自為政的營運系統、能源系統、供應鏈資料、甚至企業對外部揭露資訊，開始被要求共同組合起來，並要能夠說得出一個前後一致、可被理解的大數據的版本。

當決策開始牽涉長期轉型風險時，我們手上的資訊，真的足以支撐這樣的檢視與決策判斷嗎？對資訊主管而言，這個問題並不是抽象的哲學提問，而是每天都可能遇到的實務挑戰。永續相關資料是否能被重複使用？是否能跨年度累積與比對？是否能在不同揭露場景下，所需的數據都維持著相同定義與計算邏輯？是否這都能在不同系統之間維持一致性，而不必每次重新整理？這些原本被歸類為「系統品質」或「資料管理」的問題，正在快速轉化為企業是否具備決策可信度的前提。

所謂可信資訊，究竟是格式正確，還是經得起反覆使用與交叉檢視？當永續資料只是一次性的彙整，問題或許還停留在效率與成本的層次；但當資料開始被反覆引用、被金融機構、投資人、主管機關以各自不同角度檢視，它是否還能夠一致、是否還能被回溯、是否還能被重建，這時就不再只是 IT 內部的技術問題，而是考量著企業是否能被納入可信決策範圍的關鍵條件。

[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn，與全球CIO同步獲取精華見解 ]

從這個角度來看，資訊系統不再只是配角角色，而成為企業之永續資訊揭露制度能否順利運作的基礎設施。對 CIO 來說，這意味著永續資訊揭露並不是一個額外的議題，而是企業對於既有資料架構與資訊系統治理能力的延伸考驗。

內容目錄 隱藏

揭露一旦制度化，壓力就會從 IT 一路往上走

轉型是否被相信，取決於系統能不能持續交代

揭露一旦制度化，壓力就會從 IT 一路往上走

當永續資訊被正式納入制度化持續揭露之後，最大的改變，其實不在於揭露項目變多，而在於責任結構開始重新排列。資訊不再只是企業選擇性溝通的內容，而是必須對外負責的資料，風險也因此開始自然地往上移動。

在這樣的情境下，真正被檢驗的，往往不是單一指標或者 KPI 的數字是否精準，而是整個資料產製流程是否站得住腳。資料從哪裡來？經過哪些系統？是否有人為調整？調整是否留下紀錄？是否能清楚說明不同版本之間的差異？這些細節在平時可能不會被仔細追問，一旦揭露成為制度後，就很難再被模糊帶過。

如果連資料是怎麼來的都說不清楚，董事會的監督究竟該站在什麼基礎上來看待永續資訊揭露的這件事呢？這正是許多企業在制度推進過程中，逐漸意識到的現實：資料治理不再只是 IT 的專業議題，特別是企業大量使用 AI 後，資料治理將是公司治理的一部分。當永續資訊被包含在正式對外揭露內容，董事會雖然未必需要理解每一個技術細節，但必須能對資訊的可信度負起最終治理責任。這時候，系統是否具備資料血緣追蹤、權限控管、變更紀錄與稽核軌跡，就不再只是內控要求，而是治理風險的重要的防線。

[推薦文章：負責任 AI 與可信任 AI 可成就企業永續 ]

資料治理出了問題，企業習慣先怪系統，還是先回頭看治理結構？對 CIO 這角色而言，這並不是職責擴張，而是熟悉的風險管理邏輯被正式搬進永續場景。當系統能夠清楚呈現永續資料的來處、流向與責任歸屬，壓力就能被留在系統與流程層次；反之，當資訊無法被回溯、無法被解釋，壓力就會一路往上，最終集中到治理層。

也正因如此，永續揭露常常成為企業第一次「全面檢視自身資料治理成熟度」的時刻，特別是2026年起更是這樣。不是因為金管會的制度本身特別嚴苛，而是因為制度開始要求企業用同一套標準，對待所有重要資訊治理。