本章摘要
確信者走進企業時,看的不是報告有多漂亮,而是數據有多真實。 本章談的是根——看不見的部分。數據從哪裡來?誰碰過它? 改過什麼?為什麼改?每一筆數據都必須有一條可追溯的路徑。 這就是證據品質管理。
5.1 看不見的部分
一棵樹能站多穩,取決於它的根有多深。
但根是看不見的。
企業的永續報告就像一棵樹的樹冠——漂亮、展開、讓人看見。 但確信者不看樹冠。他們挖土。他們看根。
你說範疇一排放量是 12,345 噸。
這個數字從哪裡來?
誰蒐集的?什麼時候?
中間被誰修改過?為什麼改?
計算用了什麼排放係數?版本是哪一年的?
如果這些問題你答不上來—— 那你的數字就是一棵沒有根的樹。風一吹就倒。
5.2 數據留痕:每一步都留下腳印
想像森林裡的一條小徑。
每一個走過的人都會留下腳印。 誰走過、什麼時候走的、從哪裡來、往哪裡去——全部可追蹤。
數據留痕(Audit Trail)做的就是這件事。 它讓每一筆永續數據從「原始來源」到「最終報告」的每一步,都有記錄。
一筆數據的完整旅程
確信者要的不是最後那個數字。
他們要的是這整條路徑。每一步都有腳印的那條路徑。
5.3 防漂綠:不讓雜草冒充花
花園裡最危險的不是枯萎。是雜草偽裝成花。
漂綠就是數據世界裡的雜草。它長得像真的,但它不是。
防漂綠機制是一套系統化的防線,確保進入報告的每一筆數據都是「花」不是「草」。
第一道防線:數據來源驗證
每一筆數據都必須回溯到原始來源。 不接受「估計值」作為最終數據—— 如果必須估計,要標註估計方法、假設條件、不確定性範圍。
第二道防線:異常偵測
建立數據的合理範圍基線。 當某月用電量突然下降 40%,系統應自動標記—— 不是說一定有問題,但需要有人解釋為什麼。
第三道防線:獨立複核
數據的蒐集者和複核者不能是同一個人。 這是 COSO 內控框架的基本原則——職責分離。 就像一棵樹的成長需要陽光和雨水,不能只靠一種養分。
第四道防線:版本控制
報告的每一次修改都必須留存歷史版本。 誰改的、改了什麼、為什麼改——全部記錄。 確信者會比對版本差異。刪掉的東西,比留下的更值得關注。
最好的防漂綠,不是抓到問題之後的懲罰,而是讓問題從一開始就無處藏身。
5.4 模擬查核:在風暴來之前練習航行
水手不會等到暴風雨才學怎麼操船。
模擬查核就是企業的「航行演練」—— 在正式確信之前,用確信者的眼光審視自己。
| 演練項目 | 做什麼 | 為什麼重要 |
|---|---|---|
| Walkthrough 測試 | 挑一筆數據,從源頭走到報告 | 測試留痕是否完整、路徑是否可追溯 |
| 控制點測試 | 檢查每一個內控節點是否實際運作 | 制度寫在紙上 ≠ 制度在執行 |
| 差異分析 | 比較本期與前期、預算與實際 | 確信者必問——數字變化的原因是什麼? |
| 訪談演練 | 模擬確信者提問,測試回答品質 | 「不知道」是最昂貴的答案 |
模擬查核不是考試。是健康檢查。
它讓你在確信者來之前,先發現自己的弱點。 發現一個弱點,就是修補一個漏洞。 修補得越多,真正的確信就越從容。
5.5 讓根比樹冠更深
報告寫得再漂亮,數據留痕不完整,確信者一翻就碎。
內控制度寫得再完善,沒有人執行,就是空的殼。
證據品質管理做的事很簡單—— 讓每一個「看得見的承諾」,都有一條「看不見但可追溯的根」支撐著。
下一章,也是最後一章正文—— 我們回到人。從 Level 1 到 Level 4,怎麼培養出能守護這些根的人?
樹冠決定了別人怎麼看你。
根系決定了你能不能站住。
參考資料
- IAASB (2024). ISSA 5000 第 39-44 條:關於證據品質、充分性與適切性之要求。
- COSO (2013). Internal Control — Integrated Framework. 五大組成要素與 17 項原則。
- ISO 14064-1:2018. 組織層級溫室氣體排放與移除之量化與報告。
- PCAF (2022). The Global GHG Accounting and Reporting Standard, Part A (3rd ed.). 融資排放數據品質分級。