企业风险管理框架用于解决环境、社会和治理（ESG）相关风险的指南（六）

曾繁荣编译

[摘要]2018年10月，国际内部审计师协会（IIA）发布了由美国反虚假财务报告委员会下属的发起人委员会（COSO）和世界可持续发展工商理事会（WBCSD）合作制定的一套指南，将企业风险管理（ERM）概念和流程运用于ESG相关领域，以帮助组织更好地了解风险所在，并有效地管理和披露风险。鉴于该指南内容翔实、指导性强，篇幅较长，故分篇刊载，本篇为第六篇。

[关键词]ESG    组织    风险管理    指南

（承上篇）

四、ESG相关风险的表现

2.应对方法的选择。

（1）考虑因素。根据ERM框架，恰当的风险应对方法通常考虑以下因素：一是业务背景。根据业务环境（如行业、地理覆盖范围、监管环境和运营结构）来选择或制定风险应对措施。对于ESG相关风险，应考虑的问题有：如何应对风险并将其损失最小化？采用哪些控制和业务流程来处理风险？风险应对将如何使实现实体目标变得更容易？二是成本和收益。获取实体的预期成本和收益对于ESG相关风险尤为重要。在评估潜在应对方案时，也应考虑社会成本和收益。三是义务和期望。应对措施应符合普遍接受的行业标准，涉众特别是非政府组织、客户、员工，对ESG相关问题和绩效的期望以及实体使命、愿景和核心价值观。四是风险优先级。使用风险的优先级来确定资源的分配。对于ESG相关风险，在确定适当应对措施时，始现速度和脆弱性是重要的考虑因素。对于灾难性和高风险，需制订行动计划，其中包括减少规避风险的新投资;对于中低风险，需关注实体可以接受的风险并监控其重大变化。五是风险偏好。应考虑组织的风险偏好，将剩余风险严重程度降低到管理层可以接受的风险偏好范围内。六是风险严重性。应对措施应反映风险的大小、范围、性质及其对实体的影响。

（2）应对方法。一方面，提升风险抵御能力。ESG相关风险的性质和复杂性意味着实体可能无法始终识别所有潜在风险，可能无法抵御风险的所有潜在影响，或者可能无法追求所有潜在机会。即使使用最好的评估工具，虽然可以预测发生恶劣天气事件，但可能难以预测发生的准确时间和位置。实体虽然可以制订一个完善的社会责任计划和利益相关者参与流程，但仍然可能由于错误的主张、错误的信息或不断变化的利益相关者期望而受到非政府组织或客户的强烈批评。此时，实体可使用一系列风险应对措施，以便在最终发生风险时增强抵御能力。即使不能减少社交媒体负面宣传的可能性，也可通过设计一个危机管理计划（包括建立流程、预先批准的应对措施和升级路径）做出准备。实体还可以使用业务连续性计划以应对来自意外风险的短期影响，并使用场景规划来应对来自长期趋势的相关风险。明确地向非政府组织、客户、投资者或其他利益相关者传达实体所选择的应对方法，即可从开始就减少负面影响的严重性或可能性。实体甚至可利用这些机制来规划一系列情景，以应对将来与ESG相关的挑战以及客户期望的变化，从而从新产品或服务中创造或实现价值。另一方面，开展跨职能协作。让适当的利益相关者参与风险应对方法的开发与执行是至关重要的。让主题专家参与也能带来创新和更多的战略解决方案，如考虑电话产品的安全性和环境对公司收入影响之类的风险。战术应对措施侧重于制造过程结束时的合规性测试，而战略方法可以使用跨职能协作来识别价值链上的机会，从而进行干预以化解风险。

3.开发业务案例并获得公众支持。公众通常对ESG相关风险与其他风险（如财务风险）之间的资源分配存在偏见，风险管理者可尝试通过开发业务案例来纠正公众偏见。业务案例应包括风险概述、根本原因、应对选项、成本效益分析、关键假设、角色和职责、变更管理和实施时间表等要素。其重要特征是对不同风险应对措施进行成本效益分析，不仅考虑实体成本和收益，也考虑社会成本和收益。这些成本和收益源于实体所依赖的自然或社会资本要素的获取或可用性变化以及由此产生的资本影响（见表1）。当实体采用ESG策略解决一些重大影响时，投资者应特别关注为何要在短期、中期和长期内分配资源来为实体创造价值。

4.实施风险应对措施。一旦实体确定了应对方法，就会实施应对措施，其中包括为每个风险开发应对措施和执行行动计划。此时，ERM流程开始影响日常业务决策，为实体保留并创造价值（见表2）。

5.制定投资组合视图。风险应对措施通常是在单个风险级别上制定的（即针对特定的地理位置或业务单位），但管理层应考虑使针对单个风险的应对措施能够对实体的整体风险产生抵消影响。制定投资组合视图有助于管理层确定风险与应对措施的差距并及时进行调整。风险管理者应了解实体ESG相关风险的足迹，应考虑以下问题：ESG相关风险对实体整体风险的影响有多大？每个风险类别包含哪些ESG相关风险（如战略、运营、财务、合规）？影响了哪些方面（如业务或地理部门）？这些风险是系统性的还是运营领域特有的？如何才能更好地管理這些风险？增加或减少公司整体严重程度的风险之间存在哪些相互依存关系？以上问题有助于帮助风险管理者识别与区分重大以及影响整个实体的风险。

五、审查和修订ESG相关风险

ERM并不是一个“既成事实”、一劳永逸的活动，而是一个动态管理过程，需要对单个风险和ERM流程进行不断地审查和修订。在许多司法管辖区，监管机构要求监控实体内控和风险管理流程的有效性，如挪威的《金融部门风险管理条例》要求首席执行官“持续监测实体风险的变化，确保实体风险按董事会的指导方针得到妥善处理”。

（一）评估重大变化

与传统风险相比，ESG相关风险可能因人口统计、新兴科学数据、新技术和创新、利益相关者意识以及更多信息的获取而迅速变化或发展。此外，一些ESG相关风险的固有性质可能使其更难预测，尤其是气候相关风险的发生。由于这些动态因素，实体应持续监控内部或外部环境的重大变化，以确定这些变化是否引发实体风险状况的变化，并需要管理层作出应对决策。下表（见表3）列出了可能影响ESG相关风险的内外部变化示例。

（二）审核ERM活动以应对变化

若内外部环境发生重大变化，管理层可能需要审查或修订ERM流程，主要方面如下：

1.审查治理和文化。ESG相关风险将促使实体关注董事会或管理层对ESG的认识程度，并在适当时更改治理结构或流程。实体可考虑设立一个执行局或增加具有特定ESG知识的人员，以集中处理ESG有关风险和问题。若实体不采取必要行动来处理ESG相关风险，则可能需要审查其文化，如经历了许多安全事件或灾难性事件的实体可能决定实施“安全第一”的文化。

2.审查战略或业务目标。在极少情况下，若实体绩效与预期的风险状况出现较大偏差，那么实体可能选择修改策略或更改业务目标。如2011年亚洲制浆造纸（APP）的声誉在一场激进的绿色和平运动之后遭到严重破坏，从世界最大的纸浆和造纸公司转变为一个破坏原始雨林、将物种推向灭绝边缘的品牌，美泰、迪士尼和联合利华等130家公司都与其断绝了关系。为改变不利局面，APP在两年之后制定了一项新战略，致力于保护高碳热带雨林并提高信息透明度。

3.审查新的不断变化的风险。风险管理者应对业务环境中的内外部变化保持警惕，监控新的ESG相关风险是否已经出现或发生重大变化。当业务环境的变化引发新风险或加剧、减轻现有风险的潜在影响时，应考虑是否需要采取行动，如变更风险清单、评估新风险或投资风险应对措施。例如，近年来南非开普敦的水资源短缺问题快速显现，虽然许多制造企业已意识到他们对南非业务的依赖性，但并未将水资源短缺视为重大风险。未来随着水资源短缺的加剧，各实体应提升风险的优先级，制订减少用水量计划以保证业务的连续性，并注意监测用水量和水库水位指标。

4.审查评估方法或假设。风险严重性评估包括所选择的评估方法以及支持评估的数据、参数和假设。当使用新方法或数据时，风险管理者应考虑所选择的评估方法是否仍然适合，如气候相关风险的情景分析包含许多可能随时间变化的假设。一些实体目前正根据气候相关金融信息披露工作组（TCFD）的建议采用2C情景，因为它提供了一个与《巴黎协定》目标基本一致的共同参考点，并支持评估过渡期相关影响的潜在规模和时间进展。但是，实体需要监控趋势，以评估是否需要随着时间的推移而调整假设。TCFD建议实体监测国际能源署（IEA）、深度脱碳途径项目（DDPP）、国际可再生能源署（IRENA）和绿色和平组织所提出的分析情景，以判断不同场景的变化及其对实体的影响，实体可借此机会提高或降低已识别风险的优先级，以重新分配资源。

5.审查风险应对措施的有效性。管理层应审查风险应对措施，了解他们如何有效解决ESG相关风险以及风险是否在可接受范围内。实体可选择指标来监控ESG相关的风险，并在超出风险承受能力前进行预警。

选择的风险应对措施也可能因未考虑新风险而导致意外后果。例如，饮料公司可通过将可重复使用的玻璃瓶转换为一次性塑料瓶来降低水资源短缺风险，从而减少生产中的用水量，并减少对稀缺水资源的依赖。然而，这可能会给实体带来意想不到的额外风险，因为消费者和非政府组织日益关注塑料垃圾。

6.审查沟通和报告的变更。越来越多的投资者关注ESG相关信息以及监管要求的不断变化。实体可能希望利用以下方法监控其正在收集和报告的与ESG相关风险信息的充分性和相关性：在全球范围内跟踪与ESG相关报告;监控新的ESG相关报告标准;将实体的沟通和报告方法与同行或领先实体作比较;监督与ESG相关的股东决议或提案;让内外部利益相关者参与信息互动。从这些活动中，实体可以确定是否需要更新其沟通或报告，以更好地满足利益相关者的期望或遵守管辖要求。

7.审查活动的时间安排。审查活动的时间因实体而异。虽然管理层经常在年度基础上评估每种风险，但重大变化可能需要采取临时行动。虽然一些环境风险（如气候变化）预计短期内不会对实体产生影响，但经常审查预期的物理和过渡性影响以及假设和情景是有必要的，因为这些并不一定可预测。例如，可以每三年进行一次大趋势分析，每年更新供应商风险评估，每季度或每半年进行风险应对状况评估，实时持续监测安全事件。

8.审查活动的角色和责任。通常由风险所有者负责评审风险应对状况，开发评审指标来评审风险并实时跟踪，如负责监测水资源短缺的风险所有者可以利用地理知识、特定水资源管理知识和适当的工具和资源，按区域跟踪水资源风险。

（三）不断改进

即使那些将ESG相关风险管理有效整合到ERM流程中的实体也可以继续提高效率。ERM框架提供了重新审视和提高ERM效率的机会——从整体流程和结构开始，并与其他ERM活动相结合。一些为重新审视ESG相关风险管理效率提供机会的领域可能包括：

1.新技术。与ESG相關的软件平台提供了在集中式系统中编译更高质量数据的机会，通过卫星或社交媒体平台监测的数据可向实体提供关于风险状况的实时信息。

2.组织变革。将业务扩展到新兴市场的实体未来可能面临更多与ESG相关的风险（如人权），因此可能需要由董事会、执行或管理团队任命一名主题专家。此外，并购活动可能导致新设施不能立即达到实体标准或期望。

3.风险偏好。审查绩效可以清楚地了解影响实体风险偏好的因素，这也给管理层提供了一个改善风险偏好的机会。一旦管理层确信实体遵守对一种商品的承诺，可能将政策扩展到更多商品。

4.同行比较。审查同行可以帮助实体改善自身运行策略，如一家全球食品和饮料公司在一次同行评审中发现，几家竞争对手制定了一项战略和目标（即在整个产品组合中减少糖的投入）以满足快速增长的客户群体，便审查修订了其战略，以提高其竞争力及在此客户细分市场中的业绩。

5.历史缺陷。过去未能识别或管理ESG相关风险的实体可进行“经验教训”练习，以了解如何将ESG更好地集成到ERM流程中。