要素一:控制环境
展示致力于可持续经营的承诺:高层基调对于企业展现其致力于可持续经营的承诺至关重要。管理层可以将建立可持续业务置于优先位置,并以榜样的角色来影响他人行为。此外,企业应设立行为准则,明确其使命或宗旨。传统观念下,企业宗旨是为了股东利益的最大化,但对于致力于可持续经营的企业而言,企业宗旨可以被重新定义为维护和优化短期、中期和长期的价值,以满足广泛的利益相关者的诉求。
董事会履行监督的职责:董事会通过监督体系来履行其对可持续经营管理的责任,以促进企业遵守法规和满足预期。通常,董事会通过建立组织(如:授权、委派指定的委员会)来监督可持续经营活动和报告。董事会应确保负责监督可持续经营的董事会成员具备足够的知识和技能,以发挥有效作用。同时,董事会还对内部控制的建立和有效性负有监督职责,需要对企业在可持续经营活动和报告方面的控制、系统与流程的设计、实施和绩效进行监督。
明确权限和责任:在实现可持续经营目标的过程中,企业的管理层应在董事会监督下,确立可持续业务活动和信息系统的组织结构,建立报告条线,委派相关职责。
吸引、培养及留住可持续经营人才:可持续经营活动和报告通常需要跨部门合作,这要求企业吸引、培养及留住具备特定技能且符合公司可持续经营目标的专业人才。同时,应评估内部员工与外部供应商在可持续经营管理和信息披露方面的能力,建立适当的人才政策,招聘或培养具有相关业务能力的人才,以弥补团队在可持续发展方面的知识欠缺或能力不足。
要素二:风险评估
制定清晰的可持续经营目标:作为风险评估的起点,企业制定的目标既要符合其愿景、使命、价值观和长远战略,还要回应利益相关方的期望和市场趋势。例如,减少碳排放、提高循环利用率或平等对待员工均可以成为重要的目标。值得企业考虑的目标可以包括:营运目标、外部财务/非财务报告目标、内部报告目标或合规目标等。企业应确保目标无论类别均具备一致性,当目标间缺乏一致性,设定孤立的目标会增加风险,导致资源浪费。
识别分析实现可持续经营目标的风险:使用关键假设(如:披露气候变化相关实体/转型风险时,需要对现有设施的使用寿命进行估计)、对第三方信息的依赖(如:核算范围3碳排放时,需要来自供应链上下游准确的排放数据),都可能对企业完成目标造成影响,因此在设定可持续经营目标后,企业需要识别各种可能发生的、会部分或完全影响其达成目标的情况。与此同时,考虑风险发生的可能性,定性/定量地评估其影响,以制定和实施应对措施。
评估与可持续经营相关的舞弊风险:为达成企业目标或满足外部期望,内外部相关方可能虚构或者篡改相关数据。例如:为了达到金融机构推出的绿色信贷产品所指定的减排目标或资金用途,可能存在误导性披露的风险。因此,在识别和评估实现可持续经营目标的风险并制定有效应对措施时,考虑相关方可能从事舞弊活动的风险便显得十分必要。传统的舞弊“三要素”分析在可持续经营的舞弊风险评估中也同样适用。
识别重大变化:外部环境、业务模式和领导团队的变化,可能会带来风险或机遇。例如,新的环保法规可能要求更严格的排放标准,或消费者对低碳产品的需求增加可能带来新的市场机会。
要素三:控制活动
选择并建立控制活动:企业一旦确定并评估了达成其可持续经营目标的风险,就应设计、制定和实施应对措施,以将风险降至可接受水平。我国财政部2008年印发的《企业内部控制基本规范》将控制活动或控制措施概括为7个方面,即:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。很多成熟的企业已将这些控制措施应用于日常生产经营及财务报告流程中。未来,企业需要将这些控制措施延伸至可持续经营领域,以保障可持续经营目标的实现。
要素四:信息与沟通
使用高质量的信息:内部控制系统的一个重要目的是提供可靠、辅助决策的可持续经营信息。企业应通过有效的控制和监督系统从内外部收集可持续经营信息,并运用工具将数据进行汇总和分析,转化为有助于决策的信息。需要注意的是,成本与效益原则是企业获取信息的过程中需要考虑的重要因素,企业应当考虑基于不完善/不可靠信息做出决策的风险,以及降低风险至可接受水平所要付出的成本。
内部沟通:一旦企业建立了监督架构,并提出了相关政策和程序,就可以将架构和政策在整个企业中进行贯宣与沟通,让所有相关人员了解其在实现企业可持续经营目标方面的责任。不同领域或部门的人员可能对与企业可持续经营目标相关的驱动因素、方向和变革速度具有独特且重要的理解,顺畅的内部沟通管道为企业提供了了解内外部环境和可能出现变化的一种机制。
外部沟通:外部监管机构、投资者及其他利益相关方都有可能是企业对外沟通的对象。ESG报告及内部控制有效性报告是企业向外部传达具有可信度的可持续经营信息及能够反映信息可信度的内部控制监督系统的主要方式。除此之外,企业自发性的公告及与外部利益相关方之间的互动也能起到外部沟通的作用。总而言之,董事会、高级管理层以及特定职能部门(如:投资者关系、公共关系等)在向外部传递信息方面均具有特定的角色和责任。
要素五:监督活动
持续的自我评价及独立评估:企业应当对其可持续经营活动的控制系统进行评估,以评估其运作情况。这些评估可以定期并持续进行,或者在情况发生变化时进行。在实施评估以后,企业将重新审视其监督结构与流程,以确保其在促进可持续经营目标方面的有效性。
IIA三道防线模型:国际内部审计师协会(“IIA”)于2013年提出的“三线模型”是企业实施监督活动的一种方式。
在“三线模型”概念下,第一线负责领导和指挥各项可持续经营业务,搭建适当的风险管理及内部控制结构和流程,并运用各种资源完成企业可持续经营目标;第二线提供补充性的专业知识,发挥支持或监督作用,对风险管理(含内部控制)的准确性和有效性进行分析和报告;内部审计作为第三线,负责为管理层和治理层就公司治理和可持续经营相关风险管理工作(含内部控制)的准确性和有效性提供独立客观的确认和咨询,支持企业实现可持续经营目标。
企业应当立即行动起来,董事和高级管理层则应确保企业全员参与ESG实践和及时沟通汇报,并在相关内部控制措施的重要性方面营造自上而下的氛围与基调;对内加强从决策层到执行层各级之间的沟通,沟通和评价ICSR控制活动的运行状况,评估并应对相关风险;确保各职能部门通力合作就建立有效的内部控制,保障可持续经营目标的实现;依托数字化手段,构建ESG管理与监测平台,实现高质量的对外信息披露;借鉴“三线模型”,实现对可持续经营风险的长效管理与持续监督。
基于ESG理念开展企业内部控制规范体系建设,企业可以更有效地降低经营风险,促进内部管理和信息质量的提升。
