企業風險管理框架用于解決環境、社會和治理（ESG）相關風險的指南（六）

曾繁榮編譯

[摘要]2018年10月，國際內部審計師協會（IIA）發布了由美國反虛假財務報告委員會下屬的發起人委員會（COSO）和世界可持續發展工商理事會（WBCSD）合作制定的一套指南，將企業風險管理（ERM）概念和流程運用于ESG相關領域，以幫助組織更好地了解風險所在，并有效地管理和披露風險。鑒于該指南內容翔實、指導性強，篇幅較長，故分篇刊載，本篇為第六篇。

[關鍵詞]ESG? ? 組織? ? 風險管理? ? 指南

（承上篇）

四、ESG相關風險的表現

2.應對方法的選擇。

（1）考慮因素。根據ERM框架，恰當的風險應對方法通常考慮以下因素：一是業務背景。根據業務環境（如行業、地理覆蓋范圍、監管環境和運營結構）來選擇或制定風險應對措施。對于ESG相關風險，應考慮的問題有：如何應對風險并將其損失最小化？采用哪些控制和業務流程來處理風險？風險應對將如何使實現實體目標變得更容易？二是成本和收益。獲取實體的預期成本和收益對于ESG相關風險尤為重要。在評估潛在應對方案時，也應考慮社會成本和收益。三是義務和期望。應對措施應符合普遍接受的行業標準，涉眾特別是非政府組織、客戶、員工，對ESG相關問題和績效的期望以及實體使命、愿景和核心價值觀。四是風險優先級。使用風險的優先級來確定資源的分配。對于ESG相關風險，在確定適當應對措施時，始現速度和脆弱性是重要的考慮因素。對于災難性和高風險，需制訂行動計劃，其中包括減少規避風險的新投資;對于中低風險，需關注實體可以接受的風險并監控其重大變化。五是風險偏好。應考慮組織的風險偏好，將剩余風險嚴重程度降低到管理層可以接受的風險偏好范圍內。六是風險嚴重性。應對措施應反映風險的大小、范圍、性質及其對實體的影響。

（2）應對方法。一方面，提升風險抵御能力。ESG相關風險的性質和復雜性意味著實體可能無法始終識別所有潛在風險，可能無法抵御風險的所有潛在影響，或者可能無法追求所有潛在機會。即使使用最好的評估工具，雖然可以預測發生惡劣天氣事件，但可能難以預測發生的準確時間和位置。實體雖然可以制訂一個完善的社會責任計劃和利益相關者參與流程，但仍然可能由于錯誤的主張、錯誤的信息或不斷變化的利益相關者期望而受到非政府組織或客戶的強烈批評。此時，實體可使用一系列風險應對措施，以便在最終發生風險時增強抵御能力。即使不能減少社交媒體負面宣傳的可能性，也可通過設計一個危機管理計劃（包括建立流程、預先批準的應對措施和升級路徑）做出準備。實體還可以使用業務連續性計劃以應對來自意外風險的短期影響，并使用場景規劃來應對來自長期趨勢的相關風險。明確地向非政府組織、客戶、投資者或其他利益相關者傳達實體所選擇的應對方法，即可從開始就減少負面影響的嚴重性或可能性。實體甚至可利用這些機制來規劃一系列情景，以應對將來與ESG相關的挑戰以及客戶期望的變化，從而從新產品或服務中創造或實現價值。另一方面，開展跨職能協作。讓適當的利益相關者參與風險應對方法的開發與執行是至關重要的。讓主題專家參與也能帶來創新和更多的戰略解決方案，如考慮電話產品的安全性和環境對公司收入影響之類的風險。戰術應對措施側重于制造過程結束時的合規性測試，而戰略方法可以使用跨職能協作來識別價值鏈上的機會，從而進行干預以化解風險。

3.開發業務案例并獲得公眾支持。公眾通常對ESG相關風險與其他風險（如財務風險）之間的資源分配存在偏見，風險管理者可嘗試通過開發業務案例來糾正公眾偏見。業務案例應包括風險概述、根本原因、應對選項、成本效益分析、關鍵假設、角色和職責、變更管理和實施時間表等要素。其重要特征是對不同風險應對措施進行成本效益分析，不僅考慮實體成本和收益，也考慮社會成本和收益。這些成本和收益源于實體所依賴的自然或社會資本要素的獲取或可用性變化以及由此產生的資本影響（見表1）。當實體采用ESG策略解決一些重大影響時，投資者應特別關注為何要在短期、中期和長期內分配資源來為實體創造價值。

4.實施風險應對措施。一旦實體確定了應對方法，就會實施應對措施，其中包括為每個風險開發應對措施和執行行動計劃。此時，ERM流程開始影響日常業務決策，為實體保留并創造價值（見表2）。

5.制定投資組合視圖。風險應對措施通常是在單個風險級別上制定的（即針對特定的地理位置或業務單位），但管理層應考慮使針對單個風險的應對措施能夠對實體的整體風險產生抵消影響。制定投資組合視圖有助于管理層確定風險與應對措施的差距并及時進行調整。風險管理者應了解實體ESG相關風險的足跡，應考慮以下問題：ESG相關風險對實體整體風險的影響有多大？每個風險類別包含哪些ESG相關風險（如戰略、運營、財務、合規）？影響了哪些方面（如業務或地理部門）？這些風險是系統性的還是運營領域特有的？如何才能更好地管理這些風險？增加或減少公司整體嚴重程度的風險之間存在哪些相互依存關系？以上問題有助于幫助風險管理者識別與區分重大以及影響整個實體的風險。

五、審查和修訂ESG相關風險

ERM并不是一個“既成事實”、一勞永逸的活動，而是一個動態管理過程，需要對單個風險和ERM流程進行不斷地審查和修訂。在許多司法管轄區，監管機構要求監控實體內控和風險管理流程的有效性，如挪威的《金融部門風險管理條例》要求首席執行官“持續監測實體風險的變化，確保實體風險按董事會的指導方針得到妥善處理”。

（一）評估重大變化

與傳統風險相比，ESG相關風險可能因人口統計、新興科學數據、新技術和創新、利益相關者意識以及更多信息的獲取而迅速變化或發展。此外，一些ESG相關風險的固有性質可能使其更難預測，尤其是氣候相關風險的發生。由于這些動態因素，實體應持續監控內部或外部環境的重大變化，以確定這些變化是否引發實體風險狀況的變化，并需要管理層作出應對決策。下表（見表3）列出了可能影響ESG相關風險的內外部變化示例。

（二）審核ERM活動以應對變化

若內外部環境發生重大變化，管理層可能需要審查或修訂ERM流程，主要方面如下：

1.審查治理和文化。ESG相關風險將促使實體關注董事會或管理層對ESG的認識程度，并在適當時更改治理結構或流程。實體可考慮設立一個執行局或增加具有特定ESG知識的人員，以集中處理ESG有關風險和問題。若實體不采取必要行動來處理ESG相關風險，則可能需要審查其文化，如經歷了許多安全事件或災難性事件的實體可能決定實施“安全第一”的文化。

2.審查戰略或業務目標。在極少情況下，若實體績效與預期的風險狀況出現較大偏差，那么實體可能選擇修改策略或更改業務目標。如2011年亞洲制漿造紙（APP）的聲譽在一場激進的綠色和平運動之后遭到嚴重破壞，從世界最大的紙漿和造紙公司轉變為一個破壞原始雨林、將物種推向滅絕邊緣的品牌，美泰、迪士尼和聯合利華等130家公司都與其斷絕了關系。為改變不利局面，APP在兩年之后制定了一項新戰略，致力于保護高碳熱帶雨林并提高信息透明度。

3.審查新的不斷變化的風險。風險管理者應對業務環境中的內外部變化保持警惕，監控新的ESG相關風險是否已經出現或發生重大變化。當業務環境的變化引發新風險或加劇、減輕現有風險的潛在影響時，應考慮是否需要采取行動，如變更風險清單、評估新風險或投資風險應對措施。例如，近年來南非開普敦的水資源短缺問題快速顯現，雖然許多制造企業已意識到他們對南非業務的依賴性，但并未將水資源短缺視為重大風險。未來隨著水資源短缺的加劇，各實體應提升風險的優先級，制訂減少用水量計劃以保證業務的連續性，并注意監測用水量和水庫水位指標。

4.審查評估方法或假設。風險嚴重性評估包括所選擇的評估方法以及支持評估的數據、參數和假設。當使用新方法或數據時，風險管理者應考慮所選擇的評估方法是否仍然適合，如氣候相關風險的情景分析包含許多可能隨時間變化的假設。一些實體目前正根據氣候相關金融信息披露工作組（TCFD）的建議采用2C情景，因為它提供了一個與《巴黎協定》目標基本一致的共同參考點，并支持評估過渡期相關影響的潛在規模和時間進展。但是，實體需要監控趨勢，以評估是否需要隨著時間的推移而調整假設。TCFD建議實體監測國際能源署（IEA）、深度脫碳途徑項目（DDPP）、國際可再生能源署（IRENA）和綠色和平組織所提出的分析情景，以判斷不同場景的變化及其對實體的影響，實體可借此機會提高或降低已識別風險的優先級，以重新分配資源。

5.審查風險應對措施的有效性。管理層應審查風險應對措施，了解他們如何有效解決ESG相關風險以及風險是否在可接受范圍內。實體可選擇指標來監控ESG相關的風險，并在超出風險承受能力前進行預警。

選擇的風險應對措施也可能因未考慮新風險而導致意外后果。例如，飲料公司可通過將可重復使用的玻璃瓶轉換為一次性塑料瓶來降低水資源短缺風險，從而減少生產中的用水量，并減少對稀缺水資源的依賴。然而，這可能會給實體帶來意想不到的額外風險，因為消費者和非政府組織日益關注塑料垃圾。

6.審查溝通和報告的變更。越來越多的投資者關注ESG相關信息以及監管要求的不斷變化。實體可能希望利用以下方法監控其正在收集和報告的與ESG相關風險信息的充分性和相關性：在全球范圍內跟蹤與ESG相關報告;監控新的ESG相關報告標準;將實體的溝通和報告方法與同行或領先實體作比較;監督與ESG相關的股東決議或提案;讓內外部利益相關者參與信息互動。從這些活動中，實體可以確定是否需要更新其溝通或報告，以更好地滿足利益相關者的期望或遵守管轄要求。

7.審查活動的時間安排。審查活動的時間因實體而異。雖然管理層經常在年度基礎上評估每種風險，但重大變化可能需要采取臨時行動。雖然一些環境風險（如氣候變化）預計短期內不會對實體產生影響，但經常審查預期的物理和過渡性影響以及假設和情景是有必要的，因為這些并不一定可預測。例如，可以每三年進行一次大趨勢分析，每年更新供應商風險評估，每季度或每半年進行風險應對狀況評估，實時持續監測安全事件。

8.審查活動的角色和責任。通常由風險所有者負責評審風險應對狀況，開發評審指標來評審風險并實時跟蹤，如負責監測水資源短缺的風險所有者可以利用地理知識、特定水資源管理知識和適當的工具和資源，按區域跟蹤水資源風險。

（三）不斷改進

即使那些將ESG相關風險管理有效整合到ERM流程中的實體也可以繼續提高效率。ERM框架提供了重新審視和提高ERM效率的機會——從整體流程和結構開始，并與其他ERM活動相結合。一些為重新審視ESG相關風險管理效率提供機會的領域可能包括：

1.新技術。與ESG相關的軟件平臺提供了在集中式系統中編譯更高質量數據的機會，通過衛星或社交媒體平臺監測的數據可向實體提供關于風險狀況的實時信息。

2.組織變革。將業務擴展到新興市場的實體未來可能面臨更多與ESG相關的風險（如人權），因此可能需要由董事會、執行或管理團隊任命一名主題專家。此外，并購活動可能導致新設施不能立即達到實體標準或期望。

3.風險偏好。審查績效可以清楚地了解影響實體風險偏好的因素，這也給管理層提供了一個改善風險偏好的機會。一旦管理層確信實體遵守對一種商品的承諾，可能將政策擴展到更多商品。

4.同行比較。審查同行可以幫助實體改善自身運行策略，如一家全球食品和飲料公司在一次同行評審中發現，幾家競爭對手制定了一項戰略和目標（即在整個產品組合中減少糖的投入）以滿足快速增長的客戶群體，便審查修訂了其戰略，以提高其競爭力及在此客戶細分市場中的業績。

5.歷史缺陷。過去未能識別或管理ESG相關風險的實體可進行“經驗教訓”練習，以了解如何將ESG更好地集成到ERM流程中。