企业风险管理框架用于解决环境、 社会和治理（ESG）相关风险的指南（七）

曾繁荣

[摘要]2018年10月，国际内部审计师协会（IIA）发布了由美国反虚假财务报告委员会下属的发起人委员会（COSO）和世界可持续发展工商理事会（WBCSD）合作制定的一套指南，将企业风险管理（ERM）概念和流程运用于ESG相关领域，以帮助组织更好地了解风险所在，并有效地管理和披露风险。鉴于该指南内容翔实、指导性强，篇幅较长，故分篇刊载，本篇为第七篇，也是最后一篇。

[关键词]ESG    组织    风险管理    指南

（承上篇）

六、ESG相关风险的信息、沟通和报告

本篇列出以下做法，旨在帮助风险管理和可持续发展从业者更好地进行ESG相关风险的内外部沟通。

（一）确定沟通和报告信息的渠道

已经识别并优先考虑的ESG相关风险，不仅与外部利益相关者（如股东、监管机构、客户、民间社会和非政府组织）相关，也可能与一系列内部利益相关方（包括董事会、运营管理层和员工）相關。对于每个利益相关方实体，应考虑：哪些与ESG相关的风险信息可以用于决策？哪些与ESG相关的指标和维度可提供有用决策？所需信息的频率如何？应利用哪种渠道和媒介来传播信息？对于特定风险，适当的升级路径是什么？有哪些控制或流程以确保数据质量？最有效的沟通方法是什么？

风险所有者是风险信息和沟通的核心所有者。风险所有者可以与可持续发展从业者或其他利益相关者合作，以了解与ESG相关的信息和沟通渠道;可持续发展从业者可以参与ESG相关风险的外部沟通，如可持续发展报告或与气候相关的信息披露。

（二）与内部利益相关者的沟通和报告

风险信息的沟通对于改进与战略制定和日常运营相关的决策至关重要。与ESG相关风险的内部沟通能够发挥以下作用：通过告知董事会和管理层与ESG相关的风险将如何影响企业战略和目标，可以帮助董事会和管理层做出明智的决策并抓住机遇;通过提高实体对关键ESG相关风险的认识，可以支持更好地进行日常决策，并分配足够的资源来应对风险;有效沟通可以在整个实体中增强风险意识和员工参与文化。例如，航空公司可向员工传达汇总后的安全数据，让他们了解自己如何为航空公司或机场的安全绩效做出贡献。

关于风险的沟通取决于受众（如董事会与运营管理层）和每个利益相关者的信息需求。风险管理和可持续从业者根据组织定义的升级路径为特定受众编写沟通策略时应考虑的事项示例见表1。

（三）与外部利益相关者的沟通和报告

外部利益相关者感兴趣的是了解实体如何管理ESG相关风险，以创造和维护股东价值，或解决可能影响社会或环境的ESG问题。由于许多司法管辖区都要求报告与风险相关的信息，实体也认识到外部沟通和报告ESG相关风险的益处，因此，关于ESG相关风险的外部沟通和披露应符合实体强制性和自愿性报告的义务。

1.强制性报告义务。在编写ESG相关风险的外部沟通指南时，实体应首先了解其管辖范围内的风险和ESG报告要求，包括重大或实质风险;符合实体在法律文件中重要性和披露标准的个别ESG相关风险;导致其他重大风险的ESG问题;需要在单独要求下披露的与ESG相关的风险或问题。

2.自愿性沟通及报告。除了强制披露要求，大多数实体都需要与其活动有利害关系的外部利益相关者有更广泛的沟通和披露。利益相关者可能包括投资者、供应商、客户或社区团体。许多考虑因素影响实体对ESG信息的外部报告所作的决策。公司在考虑应该报告哪些ESG信息、如何报告、在哪报告以及报告对象时，有各种各样的可能性。在安永的一项研究中，81%的机构投资者表示，企业没有充分披露那些可能影响其当前业务模式的ESG相关风险，60%的机构投资者呼吁企业要更全面地披露风险。实体应确定其利益相关者，了解其与ESG相关的优先级和信息需求，并确定沟通的方法。外部利益相关者的信息需求及沟通方式示例见表2。当前已经制定了许多自愿性框架，并被广泛用于满足外部利益相关方与专家组有关报告的需要，支持披露ESG相关风险的管理指南见表3。以Solvay与ESG相关风险的披露为例，Solvay的披露说明了企业如何向投资者披露与ESG相关的风险，Solvay将气候变化风险作为一种新兴风险与安全、网络等其他主要风险一起披露。对于这些风险，Solvay提供了描述、预防缓解及主要行动，见表4。

（四）持续提升沟通和报告质量

随着强制性和自愿性ESG报告的不断增加，越来越多的实体认识到，使用ESG信息的决策者必须对其相关性和可靠性充满信心。事实上，69%的投资组合经理和研究分析师认为，ESG披露必须经过独立核实，无论实体是否获得对其ESG信息的保证，提高数据质量都是至关重要的。

2017年，85%的标准普尔500指数成分股公司发布的“可持续发展报告”比以往任何时候都多。然而，与历史财务信息相比，内部利益相关者和外部利益相关者往往对可持续性信息的可靠性和质量仍然缺乏信心。内部和外部报告的ESG信息需要适当的内部控制级别，以确保信息和数据准确、可靠、及时、完整并有用。COSO的内部控制集成框架可以支持风险管理和可持续性从业者确保信息得到控制。持续提升沟通和报告质量应考虑的事项示例见表5。

越来越多的实体根据AICPA（美国注册会计师协会）认证标准或国际保险业务标准（ISAE）获取其ESG信息的独立第三方担保声明。在全球前250家实体中，67%的实体对ESG信息有保证。获得ESG信息担保的实体可以选择两种级别的担保：一是合理保证，包括严格的审查，表明信息没有重大错报;二是有限保证，是由更多有限程序组成的保证。虽然大多数实体寻求保证是自愿的，但核查或保证的要求正在逐步扩大。

（编译者单位：中国人民银行赣州市中心支行，

邮政编码：341000，电子邮箱：315421032@qq.com）