企業風險管理框架用于解決環境、 社會和治理（ESG）相關風險的指南（七）

曾繁榮

[摘要]2018年10月，國際內部審計師協會（IIA）發布了由美國反虛假財務報告委員會下屬的發起人委員會（COSO）和世界可持續發展工商理事會（WBCSD）合作制定的一套指南，將企業風險管理（ERM）概念和流程運用于ESG相關領域，以幫助組織更好地了解風險所在，并有效地管理和披露風險。鑒于該指南內容翔實、指導性強，篇幅較長，故分篇刊載，本篇為第七篇，也是最后一篇。

[關鍵詞]ESG? ? 組織? ? 風險管理? ? 指南

（承上篇）

六、ESG相關風險的信息、溝通和報告

本篇列出以下做法，旨在幫助風險管理和可持續發展從業者更好地進行ESG相關風險的內外部溝通。

（一）確定溝通和報告信息的渠道

已經識別并優先考慮的ESG相關風險，不僅與外部利益相關者（如股東、監管機構、客戶、民間社會和非政府組織）相關，也可能與一系列內部利益相關方（包括董事會、運營管理層和員工）相關。對于每個利益相關方實體，應考慮：哪些與ESG相關的風險信息可以用于決策？哪些與ESG相關的指標和維度可提供有用決策？所需信息的頻率如何？應利用哪種渠道和媒介來傳播信息？對于特定風險，適當的升級路徑是什么？有哪些控制或流程以確保數據質量？最有效的溝通方法是什么？

風險所有者是風險信息和溝通的核心所有者。風險所有者可以與可持續發展從業者或其他利益相關者合作，以了解與ESG相關的信息和溝通渠道;可持續發展從業者可以參與ESG相關風險的外部溝通，如可持續發展報告或與氣候相關的信息披露。

（二）與內部利益相關者的溝通和報告

風險信息的溝通對于改進與戰略制定和日常運營相關的決策至關重要。與ESG相關風險的內部溝通能夠發揮以下作用：通過告知董事會和管理層與ESG相關的風險將如何影響企業戰略和目標，可以幫助董事會和管理層做出明智的決策并抓住機遇;通過提高實體對關鍵ESG相關風險的認識，可以支持更好地進行日常決策，并分配足夠的資源來應對風險;有效溝通可以在整個實體中增強風險意識和員工參與文化。例如，航空公司可向員工傳達匯總后的安全數據，讓他們了解自己如何為航空公司或機場的安全績效做出貢獻。

關于風險的溝通取決于受眾（如董事會與運營管理層）和每個利益相關者的信息需求。風險管理和可持續從業者根據組織定義的升級路徑為特定受眾編寫溝通策略時應考慮的事項示例見表1。

（三）與外部利益相關者的溝通和報告

外部利益相關者感興趣的是了解實體如何管理ESG相關風險，以創造和維護股東價值，或解決可能影響社會或環境的ESG問題。由于許多司法管轄區都要求報告與風險相關的信息，實體也認識到外部溝通和報告ESG相關風險的益處，因此，關于ESG相關風險的外部溝通和披露應符合實體強制性和自愿性報告的義務。

1.強制性報告義務。在編寫ESG相關風險的外部溝通指南時，實體應首先了解其管轄范圍內的風險和ESG報告要求，包括重大或實質風險;符合實體在法律文件中重要性和披露標準的個別ESG相關風險;導致其他重大風險的ESG問題;需要在單獨要求下披露的與ESG相關的風險或問題。

2.自愿性溝通及報告。除了強制披露要求，大多數實體都需要與其活動有利害關系的外部利益相關者有更廣泛的溝通和披露。利益相關者可能包括投資者、供應商、客戶或社區團體。許多考慮因素影響實體對ESG信息的外部報告所作的決策。公司在考慮應該報告哪些ESG信息、如何報告、在哪報告以及報告對象時，有各種各樣的可能性。在安永的一項研究中，81%的機構投資者表示，企業沒有充分披露那些可能影響其當前業務模式的ESG相關風險，60%的機構投資者呼吁企業要更全面地披露風險。實體應確定其利益相關者，了解其與ESG相關的優先級和信息需求，并確定溝通的方法。外部利益相關者的信息需求及溝通方式示例見表2。當前已經制定了許多自愿性框架，并被廣泛用于滿足外部利益相關方與專家組有關報告的需要，支持披露ESG相關風險的管理指南見表3。以Solvay與ESG相關風險的披露為例，Solvay的披露說明了企業如何向投資者披露與ESG相關的風險，Solvay將氣候變化風險作為一種新興風險與安全、網絡等其他主要風險一起披露。對于這些風險，Solvay提供了描述、預防緩解及主要行動，見表4。

（四）持續提升溝通和報告質量

隨著強制性和自愿性ESG報告的不斷增加，越來越多的實體認識到，使用ESG信息的決策者必須對其相關性和可靠性充滿信心。事實上，69%的投資組合經理和研究分析師認為，ESG披露必須經過獨立核實，無論實體是否獲得對其ESG信息的保證，提高數據質量都是至關重要的。

2017年，85%的標準普爾500指數成分股公司發布的“可持續發展報告”比以往任何時候都多。然而，與歷史財務信息相比，內部利益相關者和外部利益相關者往往對可持續性信息的可靠性和質量仍然缺乏信心。內部和外部報告的ESG信息需要適當的內部控制級別，以確保信息和數據準確、可靠、及時、完整并有用。COSO的內部控制集成框架可以支持風險管理和可持續性從業者確保信息得到控制。持續提升溝通和報告質量應考慮的事項示例見表5。

越來越多的實體根據AICPA（美國注冊會計師協會）認證標準或國際保險業務標準（ISAE）獲取其ESG信息的獨立第三方擔保聲明。在全球前250家實體中，67%的實體對ESG信息有保證。獲得ESG信息擔保的實體可以選擇兩種級別的擔保：一是合理保證，包括嚴格的審查，表明信息沒有重大錯報;二是有限保證，是由更多有限程序組成的保證。雖然大多數實體尋求保證是自愿的，但核查或保證的要求正在逐步擴大。

（編譯者單位：中國人民銀行贛州市中心支行，

郵政編碼：341000，電子郵箱：315421032@qq.com）