企業風險管理框架用于解決環境、社會和治理（ESG）相關風險的指南（三）

曾繁榮

[關鍵詞]ESG ? ?組織 ? ?風險管理 ? ?指南

（承上期）

四、ESG相關風險的表現

（一）識別風險

風險存在于所有商業活動中。由于商業戰略、目標、環境或風險偏好的變化，風險往往成為關注的焦點。

1.使用風險清單。根據ERM框架，識別風險的目標是確定可能中斷運營、影響實體實現戰略和業務目標或對實體經營許可產生重大影響（包括聲譽問題）的風險。許多實體存在風險清單或注冊表，以列出實體所面臨的風險。風險清單包括對每種風險的影響、應對措施和對風險的描述。當ESG相關風險符合實體的風險標準時，這些風險應包含在風險清單中，以便對其進行管理和監控。典型的風險類別包括戰略風險、運營風險、財務風險和合規風險。一些組織可能將可持續性風險或聲譽風險單獨作為一個類別，也可歸入其他風險類別。聲譽風險往往受另一種風險的影響，而不是本身的風險（如環境事件或污染造成的聲譽損害）。此外，許多ESG相關風險并不是全新的，而是對現有風險的補充，或使風險的影響或實現的可能性復雜化。比如，氣候變化的影響往往會增加原材料成本波動的風險，這是許多實體存在的風險（見表1）。

2.掌握識別方法。許多實體都有ERM系統，用于識別影響業務策略的風險，并將其包含在風險清單中。此過程包括調查、與風險所有者及管理人員的訪談和研討，以確認現有風險或了解新風險。對于具有強化ERM過程的實體，需要運用定量和更為深入的分析方法。此外，實體還擁有由可持續發展職能部門、企業戰略職能部門或風險所有者執行的持續活動和流程，以識別ESG相關風險。這些示例包括：內外部審計的結果可能與ESG相關（如環境健康與安全、溫室氣體排放、第三方執行的認證審核）;并購和資產剝離的盡職調查活動;新產品或新市場評估的盡職調查活動;為投資決策進行的ESG分析（特別是針對金融服務和制造業）;項目管理活動（特別是施工、資訊、科技及通訊、專業服務）;供應鏈盡職調查活動;媒體監控、網絡抓取;對過去遇到的事件或問題進行數據跟蹤和分析;監控監管政策的變化;大趨勢分析;SWOT分析;影響和依賴關系映射;ESG重要性評估;利益相關方參與等。在風險識別階段，關鍵是識別威脅或機會（見圖1）。風險管理人員可以將這些活動或過程疊加到業務策略和目標中，以識別與ESG相關的風險或機會。

3.進行風險描述。在識別風險時，不能只是簡單“列出”風險，而應將風險準確地描述出來。

（1）ESG對業務策略的影響。COSO將風險定義為可能影響策略和業務目標實現的事件。因此，任何已識別的風險都需要根據其對戰略的影響加以考慮、描述。這些風險可能被轉化為對實體所有層面（如實體、業務單元、部門）的影響。在識別與定義ESG相關風險時，需要考慮的問題有：風險的本質是什么？風險的來源有哪些？發生風險的根本原因是什么？為何ESG問題與業務相關？用于指導解決風險的商業案例有哪些？哪些業務決策可能受到風險的影響？哪些方面通過應對風險就能得到改善或增強？實踐中，并非所有ESG重要性評估或大趨勢分析所確定的ESG問題都納入風險清單。對于某些問題，可持續性從業者可能需要進行持續監測和評估，以確定哪些風險應提升到實體層面并納入未來的風險清單。不過，無論風險是否包含在企業風險清單中，一旦確定了風險，風險管理人員就應根據ERM流程來評估風險，確定優先級并對風險作出響應。

（2）準確描述風險。在識別風險時，風險管理人員應準確描述每種風險。風險描述應關注風險本身，而不是泛泛地談ESG問題（如氣候變化）、風險的根本原因、風險的潛在影響或風險應對不力的影響等。準確的風險識別使實體能夠更有效地管理風險清單，并理解其與業務戰略、目標和績效的關系;根據業務目標更準確地評估風險的嚴重性;確定根本原因和影響，以選擇最合適的風險應對措施;理解風險和業務目標之間的相互依賴關系;將風險匯總起來，以繪制投資組合視圖。COSO建議使用以下句子結構來準確表達風險：“〔描述潛在事件或環境〕的可能性及其對〔描述實體設定的具體業務目標〕的影響”;或“〔描述實體設置〕與〔描述可能發生的事件或情況〕及其〔描述相關影響〕相關的〔類別描述〕風險”。

（3）根本原因分析。風險清單中的每種風險都由潛在原因驅動。根本原因分析是理解業務風險驅動因素的有效方法，有助于實體從根源上解決問題?？梢酝ㄟ^協作的方法來確定根本原因，以拓展知識、理解和經驗的廣度，使原因分析更加全面。實體應讓高管和業務經辦人員參與這種分析，理解根本原因的工具包括“五個為什么”、因果圖、假設檢驗和比較分析?！拔鍌€為什么”工具（見圖2）示例說明了實體如何在實踐中進行根本原因分析。

（二）評估風險

有效的風險管理需要不斷地平衡風險暴露、收益和支出。因此，管理層通過評估風險的嚴重性來決定風險的優先順序，并最大限度地提高實體的戰略、財務和運營效益。但ESG相關風險通常難以評估和確定優先順序。從本質上講，ESG相關風險的財務或業務影響可能不會立即顯現或被量化。這些挑戰會加劇，原因在于實體對ESG相關風險的有限認識，或傾向于關注近期風險而未充分關注長期可能出現的風險，或難以量化。即使可以量化ESG相關風險的嚴重性，其結果也可能是不確定的。此外，由于對已知風險的偏差，風險可能不會被優先考慮。

1.評估風險。有效的風險評估有助于審視風險對實體戰略和業務目標的影響程度。實體可通過以下方式實現：確定風險對實體產生的可能影響;選取最合適的評估方法、數據和假設（見表2）。

（1）風險的影響和作用。如果風險可能影響實體戰略或業務目標的實現，那么該風險就是相關的。確定風險后，了解潛在的業務影響可以使管理層確定風險的優先級并分配資源，以隨時監控應對風險。為此，應將風險轉化為可捕捉風險嚴重程度的通用語言。在比較和確定風險的優先級時，可使用一系列定量和定性的方法來估計風險的嚴重性。風險嚴重程度通常用“影響”和“可能性”來表示。然而，一些實體正在擴展其風險嚴重程度標準（如使用速度和彈性），以改進ESG相關風險的管理。ERM框架將“影響”定義為“風險所產生的結果”，并解釋了與風險相關的一系列可能影響。相對于戰略或業務目標，這些影響可能是積極或消極的。ERM框架將“可能性”定義為“特定事件發生的概率”。在確定“可能性”時，管理層應考慮下列問題：風險發生的概率是多少，確定影響的風險進展有多快（如速度），評估風險發生可能性的標準示例，見表3。ERM框架指出，作為風險評估的一部分，管理層應考慮固有風險及剩余風險。這些考慮因素有助于管理層確定風險的優先等級以及理解風險應對措施的有效性。雖然“影響”和“可能性”是確定風險優先級的常見標準，但某些情況下，僅依靠這些屬性可能產生不太準確的評估或優先級。普華永道概述了ESG相關風險的一些特征，這些特征使其有別于傳統風險，并在評估中引發一些挑戰：ESG相關風險可能更難以預測，而且在更長以及不確定的時間框架內更明顯;風險評估通?；跉v史數據，而ESG相關風險（特別是那些新出現的或正在出現的風險）很難找到評估風險影響的歷史數據;ESG相關風險是宏觀、多方面、相關聯的，可以從多個方面影響業務，從而可能使評估ESG相關風險變得更為復雜;風險可能超出實體的控制，應對風險可能依賴于其他方面的行動，需要協調一致的努力。

（編譯者單位：中國人民銀行贛州市中心支行，郵政編碼：341000，電子郵箱：315421032@qq.com）

“五個為什么”工具

問“為什么”是根本原因分析的關鍵?！拔鍌€為什么”工具從問題或觀察開始，引導管理者繼續問“為什么”，直到找到根本原因。

問題：某實體一種設施的安全性能明顯低于該行業平均水平，從而增加了實體風險，并抑制了實現零事故目標的能力。

為什么？該設施違反職業安全與健康管理（OHSA）的情況高于其他設施;

為什么？工廠工人在任何時候都沒有使用適當的個人防護設備（PPE）;

為什么？該實體沒有向設施內的工人提供適當的個人防護裝備和培訓;

為什么？該設施并無針對性的環境健康與安全（EH&S）改善行動計劃;

為什么？該設施最近被另一個實體收購，其盡職調查程序沒有充分評估該實體存在的衛生和安全差距。