全球視角和觀點：可持續發展

第二部分 對可持續發展的關注如何推動數據治理

一、概述

對評估的需求

越來越多的組織開始擁抱與可持續發展有關的概念，至少是在一定程度上回應了對可能影響利益相關方、員工、社區和整體環境的行為透明度和問責的要求。可持續發展方面的活動長期以來一直是自愿開展的，組織可以根據自身的需求選擇適用的指引，但是新的強制性要求（如歐盟和美國證券交易委員會頒布的法案和政策）正在陸續出臺，意味著對可持續發展報告的控制和合規要求已經成為組織不得不認真對待的問題。

因此，不論組織提供可持續發展報告是為了遵循新的和即將出臺的規則、滿足利益相關方的期望，還是為了了解和確定可持續發展方面工作的價值，組織都需要評估其可持續發展報告和數據治理的方法。

二、新類型的數據 透明的可持續發展工作

網絡安全風險要求采取全組織范圍的行動

盡管組織在從傳統數據來源（如財務記錄或運營指標）收集信息方面已經很有經驗，但對于類型眾多的可持續發展數據來說，這些來源并不能夠滿足新的報告要求。為了使可持續發展更加透明，組織需要收集和報告包括非財務數據在內的信息，而這些信息在過去可能并沒有被監測和收集。非財務數據分布在影響組織可持續發展的一系列領域中，同時組織所屬行業和其他因素也可能會影響相關數據的來源。常見的示例包括：

1.排放溫室氣體（GHG）。監管機構和其他利益相關方要求組織量化報告其能源消費、運輸和其他使用方式帶來的直接排放，還可能會要求報告與供應鏈和供應商有關的間接排放。例如，歐盟（EU）和美國證券交易委員會（SEC）的規則和其他指引都提出了相關要求。位于阿布扎比的穆罕默德·本·扎耶德人工智能大學的高級內部審計專家哈桑·克雅爾指出，理解和降低GHG排放對于應對氣候變化和實現通過《巴黎協定》確定的全球排放目標來說至關重要。對組織報告的要求也不再局限于組織自身的可持續發展工作，而是包含了組織在選擇供應商時的決策和供應商的排放情況。顯然這是一項巨大的挑戰，因為組織并不一定能夠控制產品和服務的整個上下游鏈條。同時，組織在選擇客戶的時候也要三思而行，因為沒有人愿意自己的產品和服務被與某個大肆破壞環境的客戶聯系在一起。

2.負責任地使用水、土地和原材料。這類報告可以在合規的基礎上使組織獲得更大的收益。克雅爾表示：“通過跟蹤和報告資源消費情況，組織可以發現提升效率的機會，也可以盡可能降低對環境造成的負面影響。”

3.評估組織活動對社會的影響。這包括了在多樣性、平等性和包容性，社區服務和慈善事業等方面提供額外的報告。

內部審計人員應該意識到，對于非財務信息來說，“數據整理是一項巨大的挑戰。”Workiva行業主管格蘭特·奧斯勒指出。相對而言，財務數據更容易從傳統的企業資源計劃（ERP）系統中獲取，而且往往是以表格的形式呈現的結構化數據；而可持續發展數據一般來自組織中多個相互獨立的來源，常常是非結構化的，而且可能分屬不同的類型。

舉例來說，在與《薩班斯一奧克斯利法案》相關的工作中，內部審計人員一般不會抽取人力資源或者費用報告系統的數據。“盡管已經建立了相關系統，但是因為其中的信息對財務報告來說并不重要，有關薩班斯法案的工作就不會考慮這些信息。”奧斯勒說，“但在綜合報告的要求下，如果組織使用費用報告系統來確定員工差旅的里程數，從而了解對溫室氣體排放的影響，那么這些數據就很重要了。”他還表示，很有可能內部審計過去從未關注過這些系統。“我們在《薩班斯一奧克斯利法案》方面的工作已經很成熟了，如果以此為基準進行對比，很可能會發現有些系統的一般IT控制在某些方面相當有限，需要進一步完善才能經得起確認項目的檢查。”如果數據儲存在電子表格或者其他非傳統的系統中，有時也很難確認數據的完整性和準確性。

盡管有很多困難，但是整合可持續發展信息仍然是必然的，因為組織通過持續有效的管理和準確報告非財務、可持續發展信息，能夠在利益相關方和組織內部建立起信任，同時為整體社會福祉作出貢獻。收集和報告非財務數據可以幫助組織完整地展示在可持續發展方面所作的努力，通過報告資源使用和排放等非財務數據，利益相關方和組織本身也能從中獲得對其各項活動真實、深入的理解。

三、內部控制的考慮因素 一高質量數據的重要性

評估控制的有效性

在針對所有控制要求和控制環境提出建議方面，內部審計已經扮演了重要角色。隨著組織越來越認識到非財務信息披露對價值創造的關鍵意義，內部審計人員在確保披露信息的可靠性和準確性方面可以發揮戰略性合作伙伴作用。內部審計可以對數據準確性、真實性和完整性等方面控制的有效性進行評價，從而降低與非財務報告有關的風險。內部審計人員還可以評估用于確保數據得到準確收集、核實和傳遞給利益相關方的程序是否可靠。

此外，“內部審計人員具有獨特地位，可以幫助管理層理解，對他們來說，什么才是高質量的數據。”奧斯勒指出。特別是在新的ESG報告法規已經或即將出臺的背景下，這一點尤為重要。他解釋道：“你不會希望你的問題在第三方檢視你的數據時才暴露出來。”

在一些組織中，可持續發展工作已經比較成熟了。在這種情況下，內部審計人員初期在審計這些工作時，主要還是扮演更加傳統的角色，可能會將絕大部分時間投入確保對新法規的遵循上。但對于可持續發展工作和報告剛剛起步的組織來說，內部審計可能會扮演更具咨詢性和協作性的角色，在審計計劃中包含為可持續發展工作如何與組織的目標保持一致提供建議。“內部審計可以作為橋梁，將關注自身目標的可持續發展部門和關注利潤的財務部門聯系起來。”克雅爾表示，“我們可以全面審視整個組織的情況，因此有能力推動原本孤立的部門之間的對話。”

內部審計的一項關鍵職責在于從可持續發展報告的角度出發，評估現有控制框架的適當性。這包括了確定為達到遵循有關非財務數據新要求的目標，是否需要增加新的控制措施，等等。克雅爾認為，這項工作的開展要求我們必須與組織內的利益相關方保持密切合作，包括可持續發展團隊、合規部門、高級管理層等，以便我們能夠理解各方在可持續發展和社會責任方面的報告需求和風險目標。“有效的可持續發展報告要求組織采取具有全局性的工作方法，”克雅爾指出，“我們的目標是收集正確的數據和指標，并以有意義的方式使用它們。如果你能從5個或者6個不同的角度審視數據背后的故事，就能夠發現改善和提升的機會。”

四、綜合報告 提升一致性和完整性

內部審計作為催化劑

在嘗試出具可持續發展報告之初，組織可能會將財務和非財務報告分開處理。隨著這項工作的不斷成熟，內部審計可以推動將有關可持續發展報告的流程整合到財務流程中，從而提升一致性和完整性。這意味著兩方面的數據核實和收集、報告的時效性應當采用相同的標準，使兩個領域的報告和信息披露工作充分協調推進。

克雅爾提出：“內部審計在這個過程中可以扮演催化劑的角色。”他指出了內部審計可以發揮作用的幾個方面。

1.監管規定。組織需要面對一系列復雜的規則，來規范非財務數據的收集和使用。許多規則來源于當地的規定，但范圍更廣、更全面的強制性要求正在不斷出臺，意味著組織需要考慮國家、省（州）、地方等各級監管要求，還需要關注與行業相關的特定要求。

2.法律。內部審計可以針對以下方面提供確認和建議：

對已頒布法律的遵循情況。

確認數據的真實性和準確性。這還包括了可能的獨立性確認。

隱私和保密。非財務信息中可能包括了敏感的個人和公司信息。組織必須遵循適用的數據保護法，例如EU的《通用數據保護條例》和美國加利福尼亞州的《消費者隱私法案》等。

風險管理。需要考慮可持續發展信息面對的威脅，如安全漏洞、相關的聲譽風險、不合規的情況等。

與利益相關方的溝通。內部審計需要在確保組織的溝通準確、透明、遵循監管要求方面發揮作用。

3.職業道德。有關可持續發展數據的工作必須堅持公平、透明、尊重利益相關方的原則。這就包括在數據收集過程中必須征得同意，數據必須準確且不會流向外部被不當使用等。

4.實踐。內部審計可以提出建議，強化組織針對數據收集、存儲、評估和分享建立的明確政策、程序和控制。內部審計還可以對數據所有者在保護數據安全、防止泄露和未授權訪問方面應當承擔什么責任提出建議。

克雅爾強調：“通過應對這些必須考慮的事項，積極主動地管理與合規有關的問題，組織可以為可持續發展信息建立起強健的數據治理框架，從而推動實現可問責的、透明的、負責任的數據管理實踐。”

五、運用先進技術 應對報告需求

針對數據和數據收集的新方法

內部審計人員可以鼓勵組織擁抱技術的力量，以應對可持續發展報告的需求。克雅爾認為對可持續發展報告具有重要意義的技術主要包括：

1.數據分析和可視化。可以幫助組織實現來自不同渠道的大量可持續發展數據的分析和可視化，提升報告的全面性。數據分析工具可以發現趨勢、模式和異常，為決策和風險管理提供有價值的意見。數據可視化的價值同樣非常明顯，克雅爾要求自己團隊在所有的演示報告中都使用這一技術。

2.自動化報告平臺。可以提升收集、匯總、報告可持續發展數據的效率，從而減少人工作業，提升準確性和時效性。奧斯勒強調：“自動化技術可以幫助內部審計人員將時間投入電腦不能完成的、更具戰略性的任務中去。”

3.區塊鏈和分布式賬簿技術。可以提升透明度。區塊鏈可以作為審計日志或審計跟蹤更高級的形式，用于支持數據溯源，幫助內部審計確保數據沒有被篡改。克雅爾說：“通過提供無法篡改的交易和數據交換記錄，區塊鏈技術能夠強化可持續報告過程中的問責。”內部審計還可以為區塊鏈的落地提出建議。

4.環境監測技術。可以被整合到可持續發展報告流程中，形成審計跟蹤。例如，遙感技術可以幫助組織監測和收集有關環境因素的數據，進而反映到報告中。克雅爾所在的組織擁有大約8000輛汽車，通過遠程技術可以抽取其中50輛，跟蹤它們的油耗、排放和在途時間。這些數據可以用于報告，也可以用來確定如何優化車輛的使用效率。

5.人工智能（AI）和機器學習。這些技術可以對大型數據集進行分析，發現趨勢、關聯、機會和風險，快速識別數據之間存在的聯系，而用傳統技術是很難做到這一點的。內部審計可以利用AI驅動的分析技術，評估風險管理戰略的有效性，發現新興的可持續發展風險，并為降低風險提出具有前瞻性的建議。奧斯勒的團隊使用生成式AI來識別風險和可用于應對風險的控制。“這可以幫助我們從更廣的視角出發理解問題，支持我們利用專業判斷來評估風險。”他解釋道。

6.數字協作平臺與持續監控和確認。數字協作可以促進不同利益相關方之間的溝通，使應對可持續發展報告問題、數據隱私和安全要求變得更加容易。持續監控和確認幫助組織實時跟蹤可持續發展工作的績效，并評估風險控制和緩解措施的有效性。

組織收集和處理數據的方式正在發生劇烈的變化。隨著自動化、數據分析和AI等技術投入運用，數據量正在急劇膨脹，因此確定哪些是有用的信息，正確對其進行分析，進而實現有效管理和使用，正在變得越來越有挑戰性。有效運用技術的組織可以強化自身能力，更好地評估和滿足新的可持續發展報告要求。克雅爾還指出，技術解決方案應當服務于組織的目標，目的在于強化其有效性，同時更好地展示其價值。

此外，有必要把對技術的考慮作為最初的步驟，奧斯勒補充道：“如果你最后一分鐘才開始考慮技術，那么就很難發揮其作用。”要是組織等到流程設計完畢，才開始設計控制措施和考慮嵌入技術，就可能遇到這樣的窘境，畢竟最后才引入的控制措施大概率只能是人工操作，在效率和可操作性方面遠遠不如在早期引入的控制。此外，盡管內部審計不應當承擔第一或者第二線職責，但是可以提前介入，在收集、處理和報告非財務信息流程設計的早期，就可以與其他專業人員開展合作，識別風險和適當的控制。參與流程設計和實施的整個過程可以降低后期被迫返工的可能性，并且能夠最終獲得更好的結果。

六、結論

通過確保數據的可靠性、準確性、完整性和真實性，以及對適用法律和規定的遵循，內部審計在可持續數據治理方面能夠發揮關鍵作用。內部審計職能可以發現在數據管理方面存在哪些不足，并提出有價值的戰略性意見，確保數據收集和治理符合組織的目標、風險管理優先事項、風險偏好和合規要求。內部審計對非財務數據的獨立評估和審計能夠發現風險、機會、需要改進的領域，最終增強組織復原力和可持續發展能力。

“我們是放眼未來5—10年的理想主義者。”克雅爾說，“但是如果現在不能提出前瞻性的意見，那么對未來的暢想就不可能在5—10年后成為現實。”越來越多人意識到，能否實現組織的目標，取決于我們能否滿足利益相關者和組織所屬環境的需求，克雅爾補充道：“為了實現目標，我們必須滿足他們的要求，而有關道德和可持續發展的考慮因素在其中所占的比重正在逐步提高。”組織必須認識到滿足新的報告要求的價值。這樣的價值不僅包括了由于保持合規而避免受到處罰或聲譽受損，也包括了免稅、更好的聲譽、新的商業機會等一系列可持續發展工作和報告可能帶來的機遇。

（翻譯：肖競，單位：中國內部審計協會）