企業風險管理框架用于解決環境、社會和治理（ESG）相關風險的指南（一）

曾繁榮

[摘要]2018年10月，國際內部審計師協會（IIA）發布了由美國反虛假財務報告委員會下屬的發起人委員會（COSO）和世界可持續發展工商理事會（WBCSD）合作制定的一套指南，將企業風險管理（ERM）概念和流程運用于ESG相關領域，以幫助組織更好地了解風險所在，并有效地管理和披露風險。該指南內容翔實、指導性強，鑒于篇幅較長，將分篇刊載。

[關鍵詞] ESG? ? 組織? ? 風險管理? ? 指南

一、ESG相關風險的概念及其重要性

（一）什么是ESG相關風險

ESG相關風險是指可能影響環境、社會和治理的相關風險或機會，也可稱為可持續性、非財務或非金融風險。它沒有統一的定義，每個組織都可基于獨特的業務模式、內外環境、產品或服務組合、使命、愿景和核心價值觀等給出不同定義，如MSCI和Robeco給出的ESG定義，見表1。

（二）為何ESG相關風險管理對組織很重要

過去幾十年，特別是過去十年，與ESG相關風險的擴散速度迅速加快。除了組織需要考慮環境和社會問題的數量明顯增加之外，還需要更多關注與管理這些風險的內部監督、治理和文化。

1.全球風險格局不斷變化。世界經濟論壇每年發布的《全球風險報告》都會公布對企業、政府、民間社會和思想領袖的調查結果。報告顯示，過去10年，風險發生了重大變化。2008年，前五大風險中僅報告了一項社會風險。2018年，前五大風險中有四項是環境或社會風險，即極端天氣事件、水危機、自然災害以及氣候變化減緩和適應的失敗。同時，還強調ESG風險與其他風險間日益增長的關聯性，尤其是環境風險或水危機與非自愿移民等社會問題間的復雜關系。在商業世界中，這種不斷演變的風險格局意味著曾被視為“黑天鵝”的ESG相關風險，如今已變得更為普遍，并將以更快的速度顯現。美國公司治理協會的一份報告顯示，以下問題經常發生：一是源自核心業務或產品固有的風險或影響;二是可能嚴重損害公司無形價值、聲譽或經營能力的風險;三是伴隨著持續的媒體興趣、有組織的利益相關者和相關公共政策辯論，可能放大公司現有立場或做法的影響并增加公司政策或做法改變帶來的聲譽風險或機會。JBS在2015-2017年間的經歷就是一個很好的例子。按家禽、羊肉和豬肉的收入、產能和產量計算，它是全球最大的肉類公司，曾面臨一系列指控，包括肉類污染、腐敗、砍伐森林、奴役勞工和欺詐，最終導致重大財務影響，包括31%的股權價值損失。盡管最直接的影響來自治理脆弱，但與ESG相關的一系列復雜事項加劇了這些挑戰，使優先考慮ESG問題的投資者和消費者對國際市場的興趣大幅下降。JBS的經歷并非特例，其他組織也存在ESG問題增長勢頭，有可能對組織聲譽、客戶忠誠度和財務績效產生影響。

2.投資者日益關注ESG相關風險的識別和應對。近年來，美國在環境和社會方面的議題約占所有股東提案的一半，是占比最大的提案類型。2018年，股東提出環境和社會議題的多數提案獲表決通過，越來越多投資者支持環境問題的解決。ESG投資一度僅限于小眾投資者，如今已擴展到共同基金、ETF（交易型開放式指數證券投資基金）和私募股權。全球最大的投資者都在投資、參與風險管理和營銷實踐中充分考慮ESG相關風險。

3.披露和監管ESG信息的做法日益普及。多數組織都面臨投資者、客戶或供應商對提高ESG問題透明度的不同要求，尤其是供應鏈完整性、董事會多樣性或氣候變化適應性等相關問題。公共和私營部門披露可持續發展報告已成為一種常態，非營利組織和公共實體也開始向其利益相關者披露ESG信息。2018年，85%的標準普爾500指數成份股公司披露了ESG信息。ESG相關法規和披露要求也有所增長，63個國家共1052項披露要求，其中80%是強制性披露。2017年起，歐盟非財務報告指令要求在歐盟成員國運營并符合某些標準的公司準備一份聲明，包含環境保護、社會責任與員工待遇、尊重人權、反腐敗和賄賂以及董事會多元化相關信息。監管機構和證交所也在響應投資者對與財務業績相關的ESG信息需求。2017年，新加坡出臺了一項上市規則，要求上市公司編制年度可持續發展報告，確定重要的ESG因素、政策、做法、業績、目標和董事會聲明。

（三）ERM如何幫助組織應對ESG相關風險

COSO的ERM框架將ERM定義為“組織在創建、保存和實現價值時依賴于管理風險的文化、能力和實踐，并與戰略制定和績效相結合”。許多組織都采用ERM結構和流程來識別、評估、管理、監控和溝通風險。本指南旨在幫助組織將ERM原則和實踐應用于ESG相關風險管理中，并努力實現以下六大目標：一是增強抗風險能力;二是建立一種表達ESG相關風險的通用語言，用這些術語將ESG問題納入主流流程和評估中;三是改善資源配置;四是加強對ESG相關機會的追求;五是實現規模效益;六是改善披露狀況。

二、ESG相關風險的治理和文化

治理是確保組織整體有效性的系統和過程。COSO的ERM框架強調治理（包括強有力的監督）是有效識別、評估和處理組織面臨的各種風險的先決條件。將ESG相關風險納入治理結構、系統和流程，對于應對組織在管理風險時所面臨的挑戰至關重要。

（一）對ESG的監督和治理

每個組織都有自己的監督和治理方式。2016年發表的《南非公司治理報告》，為如何在不平等、氣候變化、徹底透明和快速科技進步等與ESG相關的商業和社會變革背景下定義“良好治理”提供了視角。該報告提供了一種以原則為基礎的方法，讓組織在追求預期成果時發揮倫理規范和有效領導的作用。這些成果包括倫理文化、良好績效、有效的控制和合法性。該報告中的一些建議有助于ESG相關風險的治理：一是設立社會與道德委員會，作為董事會的指定委員會。二是強調利益相關者在治理過程中的關鍵作用。董事會應考慮利益相關者的合法和合理需要、利益和期望，同時認識到利益相關者對董事會和公司的行為和披露負有責任。三是高度關注機會管理和風險管理，讓風險管理委員會識別與特定風險相關的機會。四是要求董事會特別關注戰略規劃過程中的機會。

（二）管理ESG相關風險的責任

ESG相關風險通常是不斷演進、相互關聯的，因此難以有效管理。但這些風險對組織績效的潛在影響可能是顯著的，因此組織管理這些風險的責任與管理任何其他業務風險的責任是一樣的。即使ESG問題由一個獨立的職能部門（如企業社會責任或可持續性部門）管理，將ESG相關風險融入組織的ERM結構和流程中，對于支持實體及其董事履職至關重要。

風險管理首先要考慮以下問題：一是過去是否曾因ESG相關事件而出現財務、運營或聲譽問題;二是ESG相關的法規、要求或義務是什么;三是是否存在未遵守這些法規、要求或義務的風險;四是相關法規、要求或義務是如何傳達給領導并融入運營的;五是對于使命、愿景、核心價值觀或長期戰略，組織是否明確考慮與ESG相關的風險;六是組織就ESG問題作出了哪些政策、聲明或自愿承諾。

1.監管責任。在許多國家，金融、健康、安全和環境監管機構可能會對ESG風險管理不善的公司高管或員工處以民事或刑事處罰。即使個人未受到處罰，組織財務仍有可能受到影響。管理機構的任務是確保其管理組織的長期最佳利益，其中一部分是企業風險的日常管理。與任何潛在的重大風險一樣，ESG事項應包含在企業風險評估和披露中。

2.自愿責任。除組織的規章要求外，管理當局和委員會應了解組織所承擔或簽署的任何自愿守則或義務，包括任何可持續性、人權、自然資源、供應鏈與商品、隱私、環境政策或公司批準的聲明。其中一些承諾是首席執行官級別作出的，雖然是自愿的，但可能構成對其負責的承諾。不遵守這些原則或要求的組織聲譽可能受到損害，并受到股東、客戶、非政府組織或社區的審查。

（三）將ESG意識嵌入組織文化中

COSO的ERM框架將文化定義為“對風險的態度、行為和理解（無論是積極的還是消極的），影響管理層和人員的決策，反映組織的使命、愿景和核心價值觀”。隨著組織的成長和目標的實現，這些元素提供了洞察力、動機和前進的方向。因此，將ESG元素嵌入任務、愿景和核心價值觀中，有助于培養一種展現“ESG意識”的行為和決策的文化。

具體來說，如領導層變動、兼并與收購、從不可預見的事件中吸取的教訓、非政府組織活動的負面宣傳、調查性新聞或消費者對ESG問題的壓力，可能是文化變革的催化劑。這些事件可能挑戰或威脅現有文化，并為組織提供修改或加強文化建設的機會。

加強ESG文化建設需考慮六個方面：一是組織的使命、愿景和核心價值觀是否解決了ESG相關風險;二是組織領導人的語氣是否傳達了對ESG的期望，管理層是否執行了公司的使命、愿景、核心價值觀和戰略;三是企業是否聘用了合適的人才，遴選過程是否與構建反映其業務需求的包容性和有才能的員工隊伍相匹配;四是組織是否將薪酬和晉升決策與提高關鍵ESG問題績效的指標掛鉤;五是組織是否授權員工及團隊通過考慮反映當地知識的ESG信息進行決策;六是組織文化是否促進了與優先事項一致的員工行為。

（四）董事會層面的ESG

根據COSO的ERM框架，董事會對公司的戰略提供監督，并執行治理職責以支持管理層實現其戰略和業務目標。這些責任適用于任何提供組織監督的管理機構。

在董事會層面需要考慮的問題主要包括：一是董事會是否意識到可能影響組織戰略和目標實現的ESG相關風險;二是組織內部是否有一條報告路徑，確保將與ESG相關的重大風險提請董事會注意;三是董事會是否能夠獲得評估ESG趨勢風險所需的信息;四是董事會是否具備理解ESG問題影響的相關能力;五是是否有專門針對ESG相關風險的小組委員會;六是董事會是否定期確認與ESG相關的重大風險和用于實體控制和管理的資源;七是董事會章程是否包含ESG相關風險的治理;八是董事會是否定期收到關于ESG相關風險的報告;九是了解董事會成員對ERM和ESG的期望。

監督所有風險要求董事會具備充分的理解能力、適當的信息和經驗/專業知識，指導組織應對可能威脅業務戰略或目標的ESG相關風險。為實現該目標，董事會可能需要定期介紹相關ESG事宜及管理方法。擁有更成熟ESG計劃的組織可能已在董事會或委員會層面確定了具體職責，以監控和報告重大ESG問題或風險。提高董事會層面與ESG相關風險意識的方法見表2。

（五）管理層面的ESG

風險管理和可持續發展需要考慮的問題包括：一是是否明確界定并實施對ERM流程的監督;二是風險和可持續性是否具有操作和戰略集成流程;三是是否共同開發和監控持續的過程改進;四是ERM流程是否將ESG與風險管理聯系起來;五是是否就利益相關者的利益在企業保持長期發展的至關重要性方面達成一致;六是是否將ERM嵌入關鍵業務流程、報告和度量中;七是競爭對手和同行如何識別、管理和披露與ESG相關的風險;八是管理者是否接受過ESG方面的培訓。

組織不應僅將ERM作為遵從性流程、每年一次的活動或按年度循環執行的活動清單來處理。ERM的目標是持續、迭代的，應嵌入日常業務流程中，便于實體保持警覺，并領先于新出現的威脅和機會。

盡管如此，組織通常為ERM活動制定結構化的時間表，在一定程度上取決于報告義務和其他戰略，如預算編制周期、戰略規劃過程和年度大會。管理者應了解風險管理流程和戰略規劃周期，以便將相關ESG主題納入年度調查或研討會，將ESG相關風險納入戰略規劃和業務討論。

應繪制組織的操作結構、報告線和流程，以確定可以加強ESG-ERM監督和協作的領域。在某些情況下，與ESG相關的風險可能會意外出現，從而需要快速找到風險，制定適當的應對策略。ESG相關風險的負責人示例見表3。

（六）走向協作與整合

新興趨勢帶來的復雜性不斷增加，要求組織對風險具有更強的適應能力和彈性。一些大公司中出現一種新趨勢，即將風險和合規部門與管理ESG問題（特別是人權問題）的部門整合起來。人們逐漸認識到，保護組織聲譽和降低其風險需要更加協調和綜合的應對措施。

運用技能、能力和知識進行整合。將ERM應用于ESG，需要來自整個組織的專家和從業者的多學科方法。在某些情況下，還可能需要外部專業知識。

風險管理、可持續性和其他旨在識別和管理風險的部門，應建立一個共同目標，并具備實現這一目標的綜合技能和知識。組織可以開發教育項目，在整個組織范圍內共享風險或與ESG相關的最佳實踐，如識別跨業務單元的風險與響應、有效的緩解策略、經驗教訓、ERM認證或培訓、用于評估風險的工具和資源等。

（編譯者單位：中國人民銀行贛州市中心支行，郵政編碼：341000，電子郵箱：315421032@qq.com）