企业风险管理框架用于解决环境、社会和治理（ESG）相关风险的指南（一）

曾繁荣

[摘要]2018年10月，国际内部审计师协会（IIA）发布了由美国反虚假财务报告委员会下属的发起人委员会（COSO）和世界可持续发展工商理事会（WBCSD）合作制定的一套指南，将企业风险管理（ERM）概念和流程运用于ESG相关领域，以帮助组织更好地了解风险所在，并有效地管理和披露风险。该指南内容翔实、指导性强，鉴于篇幅较长，将分篇刊载。

[关键词] ESG    组织    风险管理    指南

一、ESG相关风险的概念及其重要性

（一）什么是ESG相关风险

ESG相关风险是指可能影响环境、社会和治理的相关风险或机会，也可称为可持续性、非财务或非金融风险。它没有统一的定义，每个组织都可基于独特的业务模式、内外环境、产品或服务组合、使命、愿景和核心价值观等给出不同定义，如MSCI和Robeco给出的ESG定义，见表1。

（二）为何ESG相关风险管理对组织很重要

过去几十年，特别是过去十年，与ESG相关风险的扩散速度迅速加快。除了组织需要考虑环境和社会问题的数量明显增加之外，还需要更多关注与管理这些风险的内部监督、治理和文化。

1.全球风险格局不断变化。世界经济论坛每年发布的《全球风险报告》都会公布对企业、政府、民间社会和思想领袖的调查结果。报告显示，过去10年，风险发生了重大变化。2008年，前五大风险中仅报告了一项社会风险。2018年，前五大风险中有四项是环境或社会风险，即极端天气事件、水危机、自然灾害以及气候变化减缓和适应的失败。同时，还强调ESG风险与其他风险间日益增长的关联性，尤其是环境风险或水危机与非自愿移民等社会问题间的复杂关系。在商业世界中，这种不断演变的风险格局意味着曾被视为“黑天鹅”的ESG相关风险，如今已变得更为普遍，并将以更快的速度显现。美国公司治理协会的一份报告显示，以下问题经常发生：一是源自核心业务或产品固有的风险或影响;二是可能严重损害公司无形价值、声誉或经营能力的风险;三是伴随着持续的媒体兴趣、有组织的利益相关者和相关公共政策辩论，可能放大公司现有立场或做法的影响并增加公司政策或做法改变带来的声誉风险或机会。JBS在2015-2017年间的经历就是一个很好的例子。按家禽、羊肉和猪肉的收入、产能和产量计算，它是全球最大的肉类公司，曾面临一系列指控，包括肉类污染、腐败、砍伐森林、奴役劳工和欺诈，最终导致重大财务影响，包括31%的股权价值损失。尽管最直接的影响来自治理脆弱，但与ESG相关的一系列复杂事项加剧了这些挑战，使优先考虑ESG问题的投资者和消费者对国际市场的兴趣大幅下降。JBS的经历并非特例，其他组织也存在ESG问题增长势头，有可能对组织声誉、客户忠诚度和财务绩效产生影响。

2.投资者日益关注ESG相关风险的识别和应对。近年来，美国在环境和社会方面的议题约占所有股东提案的一半，是占比最大的提案类型。2018年，股东提出环境和社会议题的多数提案获表决通过，越来越多投资者支持环境问题的解决。ESG投资一度仅限于小众投资者，如今已扩展到共同基金、ETF（交易型开放式指数证券投资基金）和私募股权。全球最大的投资者都在投资、参与风险管理和营销实践中充分考虑ESG相关风险。

3.披露和监管ESG信息的做法日益普及。多数组织都面临投资者、客户或供应商对提高ESG问题透明度的不同要求，尤其是供应链完整性、董事会多样性或气候变化适应性等相关问题。公共和私营部门披露可持续发展报告已成为一种常态，非营利组织和公共实体也开始向其利益相关者披露ESG信息。2018年，85%的标准普尔500指数成份股公司披露了ESG信息。ESG相关法规和披露要求也有所增长，63个国家共1052项披露要求，其中80%是强制性披露。2017年起，欧盟非财务报告指令要求在欧盟成员国运营并符合某些标准的公司准备一份声明，包含环境保护、社会责任与员工待遇、尊重人权、反腐败和贿赂以及董事会多元化相关信息。监管机构和证交所也在响应投资者对与财务业绩相关的ESG信息需求。2017年，新加坡出台了一项上市规则，要求上市公司编制年度可持续发展报告，确定重要的ESG因素、政策、做法、业绩、目标和董事会声明。

（三）ERM如何帮助组织应对ESG相关风险

COSO的ERM框架将ERM定义为“组织在创建、保存和实现价值时依赖于管理风险的文化、能力和实践，并与战略制定和绩效相结合”。许多组织都采用ERM结构和流程来识别、评估、管理、监控和沟通风险。本指南旨在帮助组织将ERM原则和实践应用于ESG相关风险管理中，并努力实现以下六大目标：一是增强抗风险能力;二是建立一种表达ESG相关风险的通用语言，用这些术语将ESG问题纳入主流流程和评估中;三是改善资源配置;四是加强对ESG相关机会的追求;五是实现规模效益;六是改善披露状况。

二、ESG相关风险的治理和文化

治理是确保组织整体有效性的系统和过程。COSO的ERM框架强调治理（包括强有力的监督）是有效识别、评估和处理组织面临的各种风险的先决条件。将ESG相关风险纳入治理结构、系统和流程，对于应对组织在管理风险时所面临的挑战至关重要。

（一）对ESG的監督和治理

每个组织都有自己的监督和治理方式。2016年发表的《南非公司治理报告》，为如何在不平等、气候变化、彻底透明和快速科技进步等与ESG相关的商业和社会变革背景下定义“良好治理”提供了视角。该报告提供了一种以原则为基础的方法，让组织在追求预期成果时发挥伦理规范和有效领导的作用。这些成果包括伦理文化、良好绩效、有效的控制和合法性。该报告中的一些建议有助于ESG相关风险的治理：一是设立社会与道德委员会，作为董事会的指定委员会。二是强调利益相关者在治理过程中的关键作用。董事会应考虑利益相关者的合法和合理需要、利益和期望，同时认识到利益相关者对董事会和公司的行为和披露负有责任。三是高度关注机会管理和风险管理，让风险管理委员会识别与特定风险相关的机会。四是要求董事会特别关注战略规划过程中的机会。

（二）管理ESG相关风险的责任

ESG相关风险通常是不断演进、相互关联的，因此难以有效管理。但这些风险对组织绩效的潜在影响可能是显著的，因此组织管理这些风险的责任与管理任何其他业务风险的责任是一样的。即使ESG问题由一个独立的职能部门（如企业社会责任或可持续性部门）管理，将ESG相关风险融入组织的ERM結构和流程中，对于支持实体及其董事履职至关重要。

风险管理首先要考虑以下问题：一是过去是否曾因ESG相关事件而出现财务、运营或声誉问题;二是ESG相关的法规、要求或义务是什么;三是是否存在未遵守这些法规、要求或义务的风险;四是相关法规、要求或义务是如何传达给领导并融入运营的;五是对于使命、愿景、核心价值观或长期战略，组织是否明确考虑与ESG相关的风险;六是组织就ESG问题作出了哪些政策、声明或自愿承诺。

1.监管责任。在许多国家，金融、健康、安全和环境监管机构可能会对ESG风险管理不善的公司高管或员工处以民事或刑事处罚。即使个人未受到处罚，组织财务仍有可能受到影响。管理机构的任务是确保其管理组织的长期最佳利益，其中一部分是企业风险的日常管理。与任何潜在的重大风险一样，ESG事项应包含在企业风险评估和披露中。

2.自愿责任。除组织的规章要求外，管理当局和委员会应了解组织所承担或签署的任何自愿守则或义务，包括任何可持续性、人权、自然资源、供应链与商品、隐私、环境政策或公司批准的声明。其中一些承诺是首席执行官级别作出的，虽然是自愿的，但可能构成对其负责的承诺。不遵守这些原则或要求的组织声誉可能受到损害，并受到股东、客户、非政府组织或社区的审查。

（三）将ESG意识嵌入组织文化中

COSO的ERM框架将文化定义为“对风险的态度、行为和理解（无论是积极的还是消极的），影响管理层和人员的决策，反映组织的使命、愿景和核心价值观”。随着组织的成长和目标的实现，这些元素提供了洞察力、动机和前进的方向。因此，将ESG元素嵌入任务、愿景和核心价值观中，有助于培养一种展现“ESG意识”的行为和决策的文化。

具体来说，如领导层变动、兼并与收购、从不可预见的事件中吸取的教训、非政府组织活动的负面宣传、调查性新闻或消费者对ESG问题的压力，可能是文化变革的催化剂。这些事件可能挑战或威胁现有文化，并为组织提供修改或加强文化建设的机会。

加强ESG文化建设需考虑六个方面：一是组织的使命、愿景和核心价值观是否解决了ESG相关风险;二是组织领导人的语气是否传达了对ESG的期望，管理层是否执行了公司的使命、愿景、核心价值观和战略;三是企业是否聘用了合适的人才，遴选过程是否与构建反映其业务需求的包容性和有才能的员工队伍相匹配;四是组织是否将薪酬和晋升决策与提高关键ESG问题绩效的指标挂钩;五是组织是否授权员工及团队通过考虑反映当地知识的ESG信息进行决策;六是组织文化是否促进了与优先事项一致的员工行为。

（四）董事会层面的ESG

根据COSO的ERM框架，董事会对公司的战略提供监督，并执行治理职责以支持管理层实现其战略和业务目标。这些责任适用于任何提供组织监督的管理机构。

在董事会层面需要考虑的问题主要包括：一是董事会是否意识到可能影响组织战略和目标实现的ESG相关风险;二是组织内部是否有一条报告路径，确保将与ESG相关的重大风险提请董事会注意;三是董事会是否能够获得评估ESG趋势风险所需的信息;四是董事会是否具备理解ESG问题影响的相关能力;五是是否有专门针对ESG相关风险的小组委员会;六是董事会是否定期确认与ESG相关的重大风险和用于实体控制和管理的资源;七是董事会章程是否包含ESG相关风险的治理;八是董事会是否定期收到关于ESG相关风险的报告;九是了解董事会成员对ERM和ESG的期望。

监督所有风险要求董事会具备充分的理解能力、适当的信息和经验/专业知识，指导组织应对可能威胁业务战略或目标的ESG相关风险。为实现该目标，董事会可能需要定期介绍相关ESG事宜及管理方法。拥有更成熟ESG计划的组织可能已在董事会或委员会层面确定了具体职责，以监控和报告重大ESG问题或风险。提高董事会层面与ESG相关风险意识的方法见表2。

（五）管理层面的ESG

风险管理和可持续发展需要考虑的问题包括：一是是否明确界定并实施对ERM流程的监督;二是风险和可持续性是否具有操作和战略集成流程;三是是否共同开发和监控持续的过程改进;四是ERM流程是否将ESG与风险管理联系起来;五是是否就利益相关者的利益在企业保持长期发展的至关重要性方面达成一致;六是是否将ERM嵌入关键业务流程、报告和度量中;七是竞争对手和同行如何识别、管理和披露与ESG相关的风险;八是管理者是否接受过ESG方面的培训。

组织不应仅将ERM作为遵从性流程、每年一次的活动或按年度循环执行的活动清单来处理。ERM的目标是持续、迭代的，应嵌入日常业务流程中，便于实体保持警觉，并领先于新出现的威胁和机会。

尽管如此，组织通常为ERM活动制定结构化的时间表，在一定程度上取决于报告义务和其他战略，如预算编制周期、战略规划过程和年度大会。管理者应了解风险管理流程和战略规划周期，以便将相关ESG主题纳入年度调查或研讨会，将ESG相关风险纳入战略规划和业务讨论。

应绘制组织的操作结构、报告线和流程，以确定可以加强ESG-ERM监督和协作的领域。在某些情况下，与ESG相关的风险可能会意外出现，从而需要快速找到风险，制定适当的应对策略。ESG相关风险的负责人示例见表3。

（六）走向协作与整合

新兴趋势带来的复杂性不断增加，要求组织对风险具有更强的适应能力和弹性。一些大公司中出现一种新趋势，即将风险和合规部门与管理ESG问题（特别是人权问题）的部门整合起来。人们逐渐认识到，保护组织声誉和降低其风险需要更加协调和综合的应对措施。

运用技能、能力和知识进行整合。将ERM应用于ESG，需要来自整个组织的专家和从业者的多学科方法。在某些情况下，还可能需要外部专业知识。

风险管理、可持续性和其他旨在识别和管理风险的部门，应建立一个共同目标，并具备实现这一目标的综合技能和知识。组织可以开发教育项目，在整个组织范围内共享风险或与ESG相关的最佳实践，如识别跨业务单元的风险与响应、有效的缓解策略、经验教训、ERM认证或培训、用于评估风险的工具和资源等。

（编译者单位：中国人民银行赣州市中心支行，邮政编码：341000，电子邮箱：315421032@qq.com）