「引言」
本篇为《为可持续(ESG)信息披露构建信任与透明度》系列第二篇。
随着企业ESG报告披露的增加,2023年COSO发布《实现对可持续发展报告的有效内部控制(ICSR):通过ICIF建立信任与信心》作为ICIF-13的补充指南,旨在说明如何将其灵活的结构用于ESG信息披露,由此形成了适用于可持续发展报告的内部控制框架(即:ICSR框架),该框架提出了针对可持续发展报告的五要素及其17项原则。这一关键举措回应了企业需要可靠和准确的可持续信息来辅助决策的内在需求,同时致力于应对来自广泛的利益相关方日益增长的信息需求。通过应用这些原则,企业可以提高其ESG信息披露和决策过程中的信任和信心。
「ICSR框架在ESG报告中的具体应用」
除中国财政部在《企业可持续披露准则——基本准则(征求意见稿)》中对建立与可持续信息披露相关的内部控制提出明确要求外,沪深北三大交易所2024年发布的《上市公司自律监管指引——可持续发展报告(试行)》亦要求企业“建立健全公司治理结构和内部制度,确保相关内部机构具备足够的专业能力并有效履行可持续发展相关影响、风险和机遇的识别、评估、管理、监督等职能”,并报告负责管理与监督可持续发展工作的人员构成和工作内容;专业技能和能力;信息报告机制及内部控制制度、监督程序、监督措施及考核情况等。可以看到,监管机构的期望与ICSR框架所包含的“五要素”内容不谋而合。
要素一:控制环境
展示致力于可持续经营的承诺:高层基调对于企业展现其致力于可持续经营的承诺至关重要。管理层可以将建立可持续业务置于优先位置,并以榜样的角色来影响他人行为。此外,企业应设立行为准则,明确其使命或宗旨。传统观念下,企业宗旨是为了股东利益的最大化,但对于致力于可持续经营的企业而言,企业宗旨可以被重新定义为维护和优化短期、中期和长期的价值,以满足广泛的利益相关者的诉求。
董事会履行监督的职责:董事会通过监督体系来履行其对可持续经营管理的责任,以促进企业遵守法规和满足预期。通常,董事会通过建立组织(如:授权、委派指定的委员会)来监督可持续经营活动和报告。董事会应确保负责监督可持续经营的董事会成员具备足够的知识和技能,以发挥有效作用。同时,董事会还对内部控制的建立和有效性负有监督职责,需要对企业在可持续经营活动和报告方面的控制、系统与流程的设计、实施和绩效进行监督。
明确权限和责任:在实现可持续经营目标的过程中,企业的管理层应在董事会监督下,确立可持续业务活动和信息系统的组织结构,建立报告条线,委派相关职责。
吸引、培养及留住可持续经营人才:可持续经营活动和报告通常需要跨部门合作,这要求企业吸引、培养及留住具备特定技能且符合公司可持续经营目标的专业人才。同时,应评估内部员工与外部供应商在可持续经营管理和信息披露方面的能力,建立适当的人才政策,招聘或培养具有相关业务能力的人才,以弥补团队在可持续发展方面的知识欠缺或能力不足。
要素二:风险评估
制定清晰的可持续经营目标:
作为风险评估的起点,企业制定的目标既要符合其愿景、使命、价值观和长远战略,还要回应利益相关方的期望和市场趋势。例如,减少碳排放、提高循环利用率或平等对待员工均可以成为重要的目标。值得企业考虑的目标可以包括:营运目标、外部财务/非财务报告目标、内部报告目标或合规目标等。企业应确保目标无论类别均具备一致性,当目标间缺乏一致性,设定孤立的目标会增加风险,导致资源浪费。
识别分析实现可持续经营目标的风险:使用关键假设(如:披露气候变化相关实体/转型风险时,需要对现有设施的使用寿命进行估计)、对第三方信息的依赖(如:核算范围3碳排放时,需要来自供应链上下游准确的排放数据),都可能对企业完成目标造成影响,因此在设定可持续经营目标后,企业需要识别各种可能发生的、会部分或完全影响其达成目标的情况。与此同时,考虑风险发生的可能性,定性/定量地评估其影响,以制定和实施应对措施。
评估与可持续经营相关的舞弊风险:为达成企业目标或满足外部期望,内外部相关方可能虚构或者篡改相关数据。例如:为了达到金融机构推出的绿色信贷产品所指定的减排目标或资金用途,可能存在误导性披露的风险。因此,在识别和评估实现可持续经营目标的风险并制定有效应对措施时,考虑相关方可能从事舞弊活动的风险便显得十分必要。传统的舞弊“三要素”分析在可持续经营的舞弊风险评估中也同样适用。
识别重大变化:外部环境、业务模式和领导团队的变化,可能会带来风险或机遇。例如,新的环保法规可能要求更严格的排放标准,或消费者对低碳产品的需求增加可能带来新的市场机会。
COSO和世界可持续发展工商理事会(WBCSD)联合发布的《企业全面风险管理——应用于ESG相关风险》,就围绕如何构建ESG风险管理体系提供了全面指引:
要素三:控制活动
选择并建立控制活动:企业一旦确定并评估了达成其可持续经营目标的风险,就应设计、制定和实施应对措施,以将风险降至可接受水平。我国财政部2008年印发的《企业内部控制基本规范》将控制活动或控制措施概括为7个方面,即:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。很多成熟的企业已将这些控制措施应用于日常生产经营及财务报告流程中。未来,企业需要将这些控制措施延伸至可持续经营领域,以保障可持续经营目标的实现。
要素四:信息与沟通
使用高质量的信息:内部控制系统的一个重要目的是提供可靠、辅助决策的可持续经营信息。企业应通过有效的控制和监督系统从内外部收集可持续经营信息,并运用工具将数据进行汇总和分析,转化为有助于决策的信息。需要注意的是,成本与效益原则是企业获取信息的过程中需要考虑的重要因素,企业应当考虑基于不完善/不可靠信息做出决策的风险,以及降低风险至可接受水平所要付出的成本。
内部沟通:一旦企业建立了监督架构,并提出了相关政策和程序,就可以将架构和政策在整个企业中进行贯宣与沟通,让所有相关人员了解其在实现企业可持续经营目标方面的责任。不同领域或部门的人员可能对与企业可持续经营目标相关的驱动因素、方向和变革速度具有独特且重要的理解,顺畅的内部沟通管道为企业提供了了解内外部环境和可能出现变化的一种机制。
外部沟通:外部监管机构、投资者及其他利益相关方都有可能是企业对外沟通的对象。ESG报告及内部控制有效性报告是企业向外部传达具有可信度的可持续经营信息及能够反映信息可信度的内部控制监督系统的主要方式。除此之外,企业自发性的公告及与外部利益相关方之间的互动也能起到外部沟通的作用。总而言之,董事会、高级管理层以及特定职能部门(如:投资者关系、公共关系等)在向外部传递信息方面均具有特定的角色和责任。
要素五:监督活动
持续的自我评价及独立评估:企业应当对其可持续经营活动的控制系统进行评估,以评估其运作情况。这些评估可以定期并持续进行,或者在情况发生变化时进行。在实施评估以后,企业将重新审视其监督结构与流程,以确保其在促进可持续经营目标方面的有效性。
IIA三道防线模型:国际内部审计师协会(“IIA”)于2013年提出的“三线模型”是企业实施监督活动的一种方式。
在“三线模型”概念下,第一线负责领导和指挥各项可持续经营业务,搭建适当的风险管理及内部控制结构和流程,并运用各种资源完成企业可持续经营目标;第二线提供补充性的专业知识,发挥支持或监督作用,对风险管理(含内部控制)的准确性和有效性进行分析和报告;内部审计作为第三线,负责为管理层和治理层就公司治理和可持续经营相关风险管理工作(含内部控制)的准确性和有效性提供独立客观的确认和咨询,支持企业实现可持续经营目标。
「本篇小结」
ESG理念强调企业的长期良性发展能力,与我国《企业内部控制基本规范》提出的内部控制"保证企业经营管理合法合规、资产安全、信息真实完整,提高经营效益和效果,促进企业实现发展战略“的目标相一致。同时,ESG行动举措是企业响应外部环境变化、内部发展需求及利益相关者期望等多种因素的结果,而内部控制需要随着内外部环境变化而进行优化调整,是一个不断改进完善的动态过程,二者均强调积极应对变化,持之以恒的改进完善。
企业应当立即行动起来,董事和高级管理层则应确保企业全员参与ESG实践和及时沟通汇报,并在相关内部控制措施的重要性方面营造自上而下的氛围与基调;对内加强从决策层到执行层各级之间的沟通,沟通和评价ICSR控制活动的运行状况,评估并应对相关风险;确保各职能部门通力合作就建立有效的内部控制,保障可持续经营目标的实现;依托数字化手段,构建ESG管理与监测平台,实现高质量的对外信息披露;借鉴“三线模型”,实现对可持续经营风险的长效管理与持续监督。
基于ESG理念开展企业内部控制规范体系建设,企业可以更有效地降低经营风险,促进内部管理和信息质量的提升。
「中汇可持续发展服务」
中汇在可持续发展服务方面积累了丰富的经验,通过向企业提供可持续发展战略规划、可持续信息披露、碳中和与气候变化等咨询服务,助力企业向可持续发展深度转型,为更广泛利益相关者持续创造价值。
作者:中汇会计师事务所合伙人 施伟岑 / 高级经理 武之远 / 高级经理 吴岍
本文版权属于作者所有,更多与本文有关的信息,请联系我们:
电话:0571-88879193