王鹏程 杨昭铭：基于可持续信息披露的企业内部控制研究

2023年6月，国际可持续准则理事会（ISSB）正式发布首批两项国际财务报告可持续披露准则（以下简称ISSB准则），即《国际财务报告可持续披露准则第1号——可持续相关财务信息披露一般要求》（以下简称IFRS S1）和《国际财务报告可持续披露准则第2号——气候相关披露》（以下简称IFRS S2）。在ISSB准则出台次月，新加坡可持续发展报告咨询委员会（SRAC）发布了题为《将气候雄心化为行动》的咨询文件，就新加坡市场采纳IFRS S2准则公开征集意见，也有意与ISSB准则保持一致。此外，澳大利亚、加拿大、日本、马来西亚、新西兰、尼日利亚、英国等国家也曾明确表示将考虑以ISSB准则为基础制定可持续披露准则。同月欧盟委员会也审批通过了首批欧洲可持续发展报告准则（以下简称ESRS）。由于ISSB准则定位为“全球基线准则”，ESRS和ISSB准则之间具有高度互通性，这使得ISSB准则被全球采纳成为必然趋势。同时，国际证监会组织（IOSCO）也明确支持和呼吁各国采纳、应用ISSB准则。ISSB准则的采纳与实施，正在全球范围内如火如荼地推进。

面对这一发展趋势，如何保障可持续信息披露的质量成为诸多企业面临的重大挑战。本文基于当前可持续信息披露内部控制的现状，分析可持续信息披露内部控制的不足，在此基础上提出建立和完善可持续信息披露内部控制的相关建议。

内部控制可以帮助企业提高资产和运营效率，保护企业的资产安全并保证企业合法合规经营。在可持续信息披露的背景下，相关内部控制的建设旨在帮助企业更好地管理可持续发展相关的风险和机遇、抑制“漂绿”，并高质量地向各利益相关方披露可持续发展信息，完善的内部控制是高质量可持续信息披露的基石。

（一）实现可持续发展目标和战略需要完善的内部控制

2015年9月的联合国可持续发展峰会通过了2030年可持续发展议程，该议程提出了17项联合国可持续发展目标，并细化为169个细化目标。据联合国《2023年可持续发展报告》统计，可持续发展目标中期进展情况令人担忧：位于实现目标的轨道上的比例仅15%，48%的国家中度或严重偏离目标的轨道，甚至有37%的国家可持续发展目标处于停滞或倒退的趋势。由此可见，可持续发展目标的实现面临着严峻挑战。

作为国家重要的微观经济活动主体，企业制定可持续发展目标和战略需要完善的内部控制。以“气候行动”的可持续发展目标中“将气候变化措施纳入国家政策、战略和规划”的细化目标为例，联合国提出了两项指标用以衡量其实现，即“向《联合国气候变化框架公约》秘书处报告的有国家自主贡献、长期战略、国家适应计划和适应信息通报的国家数量”和“每年温室气体排放总量”。企业需要将每年温室气体排放总量和企业的经济活动相联系，并制定完善的内部控制保证企业经济活动始终符合可持续发展目标的要求。与温室气体排放量相关的企业可持续发展目标中，最典型的是科学基础减量目标倡议（SBTi）的科学碳目标。2023年4月SBTi发布了1.1版本的《SBTi CORPORATE NET-ZERO STANDARD》，为500人以上的公司提供指导、标准和建议，以支持企业设定待SBTi验证的净零目标，该标准的主要目标是为企业提供一种标准化和稳健的方法，以设定与气候科学相一致的净零目标。企业需要在完善的内部控制的帮助下制定SBTi净零目标的短期目标和长期目标。

监控可持续发展目标和战略的进展需要完善的可持续信息披露内部控制。IFRS S1提出：企业进行可持续信息披露时应当提供适当的方式帮助通用目的财务报表的使用者理解可持续性披露信息之间的关联性。换言之，企业需要披露其实现可持续发展战略目标、可持续相关风险管理和可持续发展公司治理的过程，并披露不同信息间的关联性。IFRS S1还对可持续信息披露的信息质量作出了要求。IFRS S1的以上两项规定表明：企业应当将其实现可持续发展战略的细节进行披露，以便通用目的财务报表的使用者清晰了解其可持续发展战略目标是如何实现的，并及时掌握可持续发展目标的进展情况；在此过程中，企业还应当保证该披露信息符合IFRS S1信息质量的要求。只有高效、完善的可持续信息披露内部控制才能帮助企业实现可持续风险管理、可持续发展公司治理，并最终实现可持续发展战略目标，同时还能保证可持续信息披露的质量符合IFRS S1的要求。

（二）高质量的可持续信息需要完善的内部控制

2021年，IOSCO下设的可持续金融工作组（STF）曾就可持续信息披露存在的问题开展了广泛调查。调查结果显示，企业在可持续信息披露方面存在以下问题：（1）信息披露不完整，缺乏可比性。同行业的公司披露的指标和目标缺乏可比性，同时定量指标披露较定性指标少，这一现象在能源行业尤为明显。（2）随意选择报告框架。各公司在报告框架的使用上存在巨大差异，部分公司甚至不采用任何准则和框架。（3）信息披露质量参差不齐，缺乏定量信息披露。（4）可持续发展对公司财务的影响缺乏充分披露。大多数公司没有披露可持续因素对其财务影响的定量信息；可持续信息披露的位置不一致，披露的时间和报告期与财务报告的披露时间和报告期不一致。上述问题从侧面反映了企业可持续信息披露内部控制存在重大缺陷，亟需建立完善的内部控制来进一步规范。

IFRS S1披露准则对可持续信息披露的质量也提出了明确要求：有用的可持续相关财务信息有基本质量特征和提升性质量特征。基本质量特征包括相关性（Relevance）和忠实反映（Faithful representation）；提升性质量特征包括可比性（Comparability）、可验证性（Verifiability）、及时性（Timeliness）、可理解性（Understandability）。

内部控制中可持续相关风险管理流程可以帮助企业合理应对可持续相关风险和机遇；可持续发展信息管理系统可以帮助企业管理、分析、披露可持续相关数据；可持续相关风险管理系统帮助企业快速捕捉、及时预警可持续性风险。在可持续信息披露内部控制的加持下，企业能够克服上述STF调查结果中呈现的种种信息披露低质量问题，也能够有效实现IFRS S1所提出的质量要求。

（三）抑制“漂绿”需要完善的内部控制

近年来，在可持续信息披露的浪潮下，市场对可持续性产品的需求和供应一直在增加，企业亟需绿色转型以适应市场大环境。这种变化的副作用之一是“漂绿”现象，它有可能通过降低可持续信息披露质量来降低投资者的信心和必要的投资，进而影响企业的绿色转型。

“漂绿”会给企业带来声誉风险、财务风险、诉讼风险，还会影响企业可持续发展报告的可信度，并对企业的市场形象产生负面影响。对碳排放相关数据和披露进行漂洗是企业“漂绿”的主要表现形式。企业的“漂绿”行为包括但不限于：虚构、伪造绿色项目的相关原始材料；夸大企业的绿色形象，以单项绿色项目将整个企业包装成绿色企业；以绿色环保项目的名义融资但将资金挪作他用等。“漂绿”行为形成虚假的碳数据，严重影响可持续信息披露的真实性和完整性，造成可持续发展报告的信任危机。

造成“漂绿”现象的原因有内部原因，也有外部原因。欧盟对此进行了总结和归纳，并给出了具体的驱动因素。2023年5月欧盟的欧洲银行管理局（EBA）发布了《EBA关于“漂绿”监测和监督的进展报告》，指出“漂绿”形成的驱动因素有竞争诱发因素、监管诱发因素、非政府组织和媒体审查诱发因素、不完全信息诱发因素、实体诱发因素。其中，实体诱发因素指公司内部结构、公司道德文化、公司治理可能成为“漂绿”的驱动因素。如果公司内部有职位或内部结构被冠以“ESG”或“可持续”，或者产品被贴上绿色或可持续的标签，但背后没有适当的可持续政策支撑、缺乏道德规范、没有明确职责分配和行为标准也可能导致“漂绿”。由此可见，企业缺乏完善的可持续信息披露内部控制，无法相互制衡、相互牵制，导致企业内部无法及时察觉“漂绿”的各种端倪，进而导致可持续信息披露的不规范。

此外，欧洲证券市场管理局（ESMA）于2023年5月发布的《“漂绿”进展报告》提出，企业应当通过改进可持续发展公司治理、可持续风险管理流程，并采取相应的内部控制措施抑制“漂绿”。可持续信息披露内部控制是抑制“漂绿”的重要手段，有助于规范和避免整体市场的“泛绿化”现象，可有效帮助企业提高可持续信息披露的质量，净化市场的可持续信息披露环境。

（四）管理可持续风险和机遇需要完善的内部控制

可持续风险和机遇是企业可持续信息披露的核心所在。IFRS S1对此作出了相关规定：企业应当披露所有可合理预计会影响企业发展前景的可持续风险和机遇的重要信息。这些风险和机遇可合理预期将对企业短期、中期或长期的现金流量、融资渠道及资本成本产生影响。具体而言，企业应：（1）描述可持续风险和机遇，这些风险和机遇可合理预期会影响企业的发展前景；（2）针对企业识别的每项可持续风险和机遇，明确其合理预期会影响的时间范围；（3）解释企业有关“短期”“中期”和“长期”的定义，以及这些定义如何与企业战略决策的计划时间范围相关联。

根据以上IFRS S1对于可持续风险和机遇的披露要求，企业需要将可持续风险和机遇纳入整体风险管理流程，在可持续信息披露中对此进行详细准确的披露。传统的风险管理主要针对战略风险、财务风险、市场风险、法律风险、项目风险等内容，可持续风险则是一种新型的风险，具有范围广、影响力大、难以量化等特点。以气候风险为例，气候相关财务信息披露工作组（TCFD）在2017年的报告中将气候相关风险分为两大类：（1）与向低碳经济转型相关的风险，即转型风险（过渡风险）；（2）与气候变化造成的物理影响有关的风险。这两类风险由于其特殊性难以使用传统的风险管理流程和风险管理系统进行衡量，因此传统的风险管理难以准确评估可持续相关风险，难以把握与之相应的可持续相关机遇。将可持续风险和机遇融入整体风险管理流程是对内部控制的“丰盈”，有助于企业及时应对可持续相关风险、把握可持续相关机遇。

我国当前并未强制要求公司披露可持续发展报告，就目前的披露状况来看，披露可持续发展报告的企业逐年递增，但信息披露质量却不尽人意。

2022年11月德勤会计师事务所的ESG分析评价体系的结果显示，香港证券交易所上市公司和中国A股上市公司在可持续相关的战略融入、机制建设、议题管理、信息披露等方面存在诸多问题，比如披露关键指标的完整性不足、披露质量有待提升、对于制度建设的成效追踪和目标管理欠缺等。此外，还有学者研究发现当前可持续信息披露存在政策性数据居多，缺乏量化数据的问题（北京证监局课题组，2021）。

上述问题反映了企业可持续信息披露内部控制的薄弱。正是内部控制发展的滞后性，未将可持续发展相关议题纳入内部控制的范畴，导致企业难以提供高质量的可持续发展报告。笔者对于当前企业中常见的可持续信息披露内部控制问题进行了梳理。

（一）可持续信息披露意识薄弱

在我国可持续信息披露实践中，最主要的问题是企业缺乏披露动力。企业可持续信息披露动力不足且披露质量不高（沈洪涛，2016）。《2022年度中国上市公司ESG信息披露分析报告》显示，截至2023年上半年，A股上市公司披露ESG报告的比例仅为34.08%，这表明中国仍有大量企业未进行可持续信息披露，可持续发展意识薄弱。2023中国500强企业高峰论坛上也有学者指出，2023年中国企业可持续发展指数为64.5分，较上一年小幅下降0.4分。从得分区间分布看，“良好”企业占比15.1%，“合格”企业占比51.4%，“需要改进”企业占比为33.5%。近半数企业在可持续发展各方面表现为合格，提升空间较大。

造成这一现象的原因是多方面的：（1）从企业内部看，基于成本效益原则，企业需将对内部控制投资的时间、成本需要与其获益量进行权衡。面对范围广、难以计量的可持续性信息的管理，企业需要大额的成本投入，且短期内很难见效。（2）从外部环境看，我国并未强制要求企业进行可持续信息披露，因此部分企业对可持续信息披露缺乏重视。（3）我国可持续信息管理尚缺少可供遵循的统一标准，虽然部分企业有可持续性信息披露的意愿，也进行了可持续信息披露的实践，但整体看来披露质量参差不齐、披露重点也不突出。（4）企业对于可持续相关风险的认识不够全面，对可持续相关风险抱有侥幸心理，对披露缺乏动力。

可持续信息披露意识薄弱、缺乏主观能动性是企业缺乏可持续信息披露活动的内部控制环境的表现。无论是企业内部的成本效益原则约束，还是外部环境的相关法律制度不健全的影响，都是由于内部控制所处的环境变化导致了企业内部控制在可持续信息披露的质量控制方面失去了其应有的监督、矫正的功能。缺乏可持续信息披露意识和主观能动性是企业建立可持续信息披露内部控制所面临的首要关卡。

（二）相关风险管理流程不健全

2022年的TCFD Statues report根据2019～2021年数百家上市公司的披露数据，发现企业风险管理流程的披露虽低于平均水平，但仍在稳步提升，与TCFD其他建议的披露相比显示出强劲的增长趋势。2021年的披露数据显示识别和评估气候相关风险的披露水平为33%；管理气候相关风险的流程为34%；风险管理流程是否融入整体风险管理为37%。数据表明，企业可持续相关风险管理流程的建设不足，仍有较大提升空间。

此外，2020年TCFD发布的《风险管理整合与披露指南》指出，自从TCFD于2017年6月发布最终的风险管理建议后，TCFD在后续追踪中有了新的发现。75%受TCFD调查的公司表示，风险管理建议在一定程度上非常难以实施，甚至一些公司表示它们没有识别、评估或管理气候相关风险的流程。TCFD的一系列调查结果表明，企业在实施可持续相关风险管理的过程中遇到巨大困难和障碍，使得企业可持续相关风险管理流程建设过程进展缓慢。

具体而言，在TCFD提供的可持续相关风险管理案例中，可持续相关风险管理流程建设面临着信息量化难、岗位配置复杂、专业人才紧缺、风险范围广泛、技术要求高等难题。以信息量化难为例，可持续相关风险的数据覆盖范围广，多以定性指标呈现，如何将其进行统一地量化是企业面临的巨大挑战。定性指标多为哑变量，这导致企业难以准确利用其建模进行压力测试和情景分析，也无法进一步开展可持续相关风险管理工作。

（三）相关基础设施不健全

可持续信息披露内部控制需要借助一定的数据系统和平台来进行可持续风险和机遇的管理、基础数据管理，此类数据系统和平台统称为可持续发展基础设施，根据提供方的不同可分为公共基础设施、企业自建基础设施、第三方提供的基础设施。公共基础设施包含碳排放因子库、核心产品碳排放数据库等需要国家和政府建设的公共资源库；企业自建基础设施包含可持续发展信息管理系统、可持续发展风险和机遇管理系统、可持续信息披露系统和共享平台等企业自建用于可持续信息收集、管理、分析的系统；第三方提供的基础设施与企业自建的基础设施部分重叠，包括但不限于企业自建的可持续发展基础设施，通常服务对象多元化，数据内容比企业更丰富。

从内部控制角度来看，企业需要自建的可持续发展基础设施主要有可持续发展信息管理系统、可持续发展风险和机遇管理系统。我国可持续信息披露起步相对较晚，国内大多数企业尚未建立可持续信息的收集、验证、分析和利用系统（王鹏程，2023）。目前市场上多为第三方提供的数据系统和服务平台（如商道融绿提供的PANDA碳中和数据平台、ESG风险雷达系统；妙盈科技推出的CarbonLens碳排放和能源管理系统、AMI系统、ESGhub系统；评安国蕴的PA2F中国ESG数据库），其服务对象通常包括金融企业、非金融企业、投资者。由于服务对象的多元化，其产品的服务内容繁杂、功能众多、数据源不尽相同，企业难以从中选出合适的、定制化的数据管理系统。大型企业还需建立自己的可持续发展信息管理系统、可持续发展风险和机遇管理系统，但中小企业仍可以借助第三方平台有效降低其数据管理成本。

我国可持续发展基础设施存在公共基础设施不完善、第三方可持续发展基础设施建设不规范、企业可持续发展基础设施缺位的情况。企业需尽快开发自身的可持续发展信息管理系统、可持续发展风险和机遇管理系统，为可持续信息披露内部控制的开展提供数据和平台的支撑。

（四）相关内部审计缺位

随着可持续信息披露的发展，可持续发展报告的信息质量日益备受关注。在传统的财务系统中，内部审计负责监督财务工作，为财务报告的信息质量提供了一项有力的保证。在可持续信息披露的过程中，可持续发展报告信息质量的保证也离不开企业内部的审计职能部门。然而当前国内可持续发展相关的内部审计职能在企业中并没有统一的归属。目前国内企业形成了四种可持续发展相关的公司治理模式，即整体模式、分散模式、专设模式、授权模式（王鹏程，2022）。在多种治理模式下，企业的可持续信息披露质量仍然不尽人意，这与可持续信息披露的内部审计职能的履行不规范、归属不明确有密切关系。

内部审计职能部门在企业中理应处于独立地位，其职权行使具有独立性，不受管理层的干涉。当前，可持续发展相关的公司治理尚不成熟；可持续发展相关职能的归属也并不明朗。可持续信息披露内部审计职能的归属自然也不明确，这使得可持续信息披露内部审计的职能独立性没有得到企业的有效保证，从而造成内部审计职能的履行不规范、监督效果不显著、可持续信息披露低质量等问题。

此外，由于我国尚未出台相关法律、政策指引强制规定企业可持续发展相关的内部审计职能归属问题，企业在可持续发展公司治理中将可持续发展相关的内部审计职能赋予审计委员会缺乏依据，造成职能混乱、治理效率低下的局面。同时，部分企业对可持续发展相关内部审计职能的具体内容认识不够清晰，导致可持续发展相关的内部审计职能缺失、失能，不能有效发挥监督和服务作用、不能有效提高可持续信息披露质量。

1992年COSO发布《内部控制——整体框架》（ICIF）。随着企业ESG报告披露的增加，2023年COSO发布了对ICIF的最新解释，以说明如何将其灵活的结构用于ESG报告以及可持续发展报告，由此形成了适用于可持续发展报告的内部控制框架（ICSR），该框架提出了针对可持续发展报告的17项原则。结合ICSR的17项原则，针对上文企业可持续信息披露内部控制的现状，笔者提出以下5条建议。

（一）制定可持续发展战略，深化可持续发展观念

针对企业可持续信息披露意识薄弱的现状，有必要加强制定可持续发展战略、建设可持续发展的企业文化，为可持续信息披露内部控制建立良好的控制环境。ICSR第六项原则提出，企业应当制定合适的可持续发展战略目标。制定清晰的可持续发展目标不仅有助于识别、评估与目标相关的风险，还有助于将组织的目的或使命、价值观和企业社会责任目标与战略联系起来。

在制定可持续发展战略时，可以参考2016年全球报告倡议组织（GRI）与联合国全球契约（UN Global Compact）、世界可持续发展工商理事会（WBCSD）共同编制推出的《SDGs（联合国可持续发展目标）企业行动指南》（以下简称《SDGs行动指南》）。《SDGs行动指南》阐述了联合国可持续发展目标对企业的影响，并为企业围绕可持续发展制定战略提供了框架基础。企业可以根据此行动指南制定可持续发展战略，从而将SDGs融入企业可持续发展战略当中。

此外，企业需要建设可持续发展的企业文化。深化可持续发展观念需要从可持续发展报告的治理和文化入手，即通过企业的文化内涵、价值观、愿景进行实现（曾繁荣，2019）。ICSR第一项原则规定，企业营造可持续发展的内部环境可从以下几个方面入手：（1）自上而下奠定基调。高层领导需注意其行为、言语、行动以及指导他人的行动。通过高层领导的行为促进建立可持续发展的业务，进一步影响企业员工的行为和业绩。（2）制定行为标准。企业制定员工行为准则，在高层次上声明其价值使命和目的。该价值观在可持续发展业务计划和政策中具化，进而贯穿企业上下。（3）评估行为标准的遵守。企业需制定监督程序评估企业成员遵守价值观和政策的情况，该监督程序包括适当的内部审计审查。

但需要注意的是，可持续信息披露不足并非仅仅企业自身的原因，需要多方共同努力才能从根本上改变现状。

（二）将可持续风险嵌入风险管理流程

风险管理是企业内部控制的重要组成部分。随着可持续信息披露的发展，可持续风险亟需纳入企业现有的风险管理流程，从而帮助企业在新形势下灵活应对风险、及时抓住机遇。

2018年COSO和WBCSD合作制定的COSO-WBCSD指南提出了ESG风险管理的流程，为企业将可持续风险和机遇纳入风险管理流程提供了思路。此外，2023年ICSR第六、七、八、九项原则同样规定了可持续风险管理流程的重要内容。综合以上国际规范，笔者认为可持续风险融入风险管理流程需要从以下几个方面入手：（1）制定清晰的可持续发展业务目标。清晰的业务目标是衡量是否存在风险的标准，也是将企业的目的或使命、价值观和企业社会责任目标与可持续发展战略联系起来的一种方式。（2）识别和分析可持续风险。为了实现可持续发展业务目标，企业应识别并分析其实现整体目标的风险，作为确定管理风险的基础。（3）评估可持续风险。基于可持续信息核算方式的特殊性，在评估影响目标实现的风险时，企业应考虑舞弊的可能性，并对舞弊或欺诈的动机和方式进行审视。（4）应对可持续风险。需要根据企业的风险偏好、风险承受能力、风险蕴含的机遇、与外部的协作能力选择不同的风险应对战略。（5）识别和分析重大风险变化和新的趋势，识别并评估内部控制的重大变化。作为识别和评估可持续风险的一部分，企业需要考虑新兴趋势，以持续或定期的方式评估可持续风险，以响应监管趋势和经济驱动因素。

（三）开发或完善可持续发展信息管理系统

可持续发展信息管理系统是企业建立可持续信息披露内部控制的必要工具，开发和完善可持续发展信息管理系统需要数据和技术作为支撑。ICSR第十一项原则提出选择并发展对技术的一般控制，体现了技术支持对于可持续发展信息管理的重要性。以碳排放为例，通过数据分析、实时监测和先进的技术解决方案，企业能够深入了解自身碳排放数据，及时发现问题并实施有针对性的策略，在完善碳排放管理的同时减少对环境的负面影响。当前市场环境下，第三方ESG服务机构发展迅速，其相对于企业的可持续发展信息管理系统来说有更好的技术基础，企业建立可持续发展信息管理系统可依托第三方ESG专业机构的服务，在其协助下搭建企业的可持续发展信息管理系统。

此外，企业应明确所需建立的可持续发展信息管理系统。根据当前市场上现有的主要几家第三方ESG服务机构所提供的服务，可持续信息管理系统并不是特定的某个系统，而是所有收集、管理、分析可持续信息和数据系统的统称。进一步可将其按功能、可持续信息类别等细分为碳排放信息管理系统、供应链信息管理系统、可持续信息披露平台等不同系统。企业应当合理划分数据管理的需求，明确所需建立的可持续信息管理系统。

明确企业数据管理需求之后，企业需从以下几个方面着手为建立可持续信息管理系统做准备：（1）构建ESG指标，评估指标重要性。为满足各方对于本企业可持续信息的不同要求，企业可根据所处行业特征、地域特征构建ESG指标，并将其置于不同ESG标准下进行校准，确保构建的ESG相关指标符合ISSB的重要性原则。（2）划分部门职责，开展跨部门协作。可持续相关数据范围广泛，分布在多个部门当中，企业需要为此设置相应的岗位，配备专业人员，做好职责分工。（3）设置可持续相关数据的校验关系，确保系统中可持续信息的准确性。企业可为系统中数据的填写设置二次复核的机制，并可供追溯数据源，提高数据的质量。（4）重点提示异常数据，形成企业的可持续发展报告。以上建立企业可持续发展信息管理系统的举措是基于企业已有相应的数据收集能力并且相关技术人才也已到位，企业需要从数据收集、人才配备、技术开发、业务梳理等多方面发力开发可持续发展信息管理系统。

（四）开发或完善可持续发展风险管理系统

与可持续发展信息管理系统类似，企业在初期可借助第三方ESG服务机构搭建可持续发展风险管理系统。但不同的是：（1）企业的可持续发展风险管理系统需要确定企业的风险管理体系。根据TCFD提供的可持续风险管理的案例，借鉴其风险管理体系，结合企业自身的条件，选择合适的风险管理体系。（2）开发风险评估工具。依赖技术和可靠的数据集，气候与环境风险压力测试通过模拟各种可能的极端场景，提供具有前瞻性的情景分析和评估结果，分析风险敞口、预测潜在风险与可能损失，把对气候科学的认知转换为对潜在有形损失和金融损失的评估，既能为企业的绿色融资提供优势的数据支持，也能支持企业管理自身的风险敞口。企业需要借助此类数据模型判断企业的可持续风险和机遇。（3）设计可持续风险的评估指标。一般来说包括定性指标和定量指标。基于可持续风险的种类、表现形式、重要性等因素制定企业的可持续风险评估指标，设置不同等级反映可持续风险的严重程度。（4）设置必要的安全管理过程。ICSR第十一项原则规定，依赖技术实施可持续信息披露内部控制需要相关的安全管理过程。在使用技术进行可持续风险管理时，企业需要实施必要的控制，以确保从来源到终端处理的可持续发展数据的可靠性和完整性。

数据、技术是开发和完善可持续发展风险管理系统的基础和前提，企业在开发可持续发展风险管理系统之前需确保数据来源的准确性和完整性，并作好技术准备以支撑系统开发的顺利进行。

（五）将可持续发展商业活动纳入内部审计的工作范畴

目前可持续发展商业活动的内部审计工作并未被强制纳入企业内部审计的职能范围。对于企业而言，即便开发了可持续发展风险管理系统，其可持续风险管理的工作仍然存在漏洞，需要探索可持续信息披露内部审计的有效职能模式，降低可持续相关风险，完善可持续信息披露内部控制体系。国际内部审计师协会（IIA）开发了“三线模型”（见图1），为内部审计监督可持续发展商业活动提供了思路。

“三线模型”是企业实施责任隔离的一种手段，便于董事会或审计委员会进行监督，并发挥管理层（第一列）、风险管理团队（第二列）、内部审计（第三列）的制衡作用，指导企业实现其目标。按照这一模式，内部审计职能独立于管理层，承担着提供客观保证的关键作用，确保可持续风险管理、报告和相关法规的有效性。作为应对风险的一种手段，内部审计职能可以有效检验可持续发展商业活动对政策和程序的执行情况。

参照“三线模型”，企业的可持续信息披露内部审计需遵循独立性原则。企业可以通过设置专设机构或将可持续信息披露内部审计职能授权给审计委员会等方式，将可持续信息披露的内部审计职能与管理层、风险管理职能分离，避免相关职能履行不规范的问题。独立规范的可持续信息内部审计职能需符合以下两项原则：（1）不制定属于管理层职责的决策，不实施管理层的职能，不参与风险管理的决策和活动。（2）不对内部审计职责范围内的业务活动提供决策和意见。比如法律适用性、风险管理流程问题等，内部审计参与即违背了独立性原则。决策过程完成后，内部审计有权对此业务活动进行监督和审计。遵循可持续信息披露内部审计职能的独立性原则可以建立有效的可持续发展商业活动内部审计，进一步完善可持续信息披露内部控制，帮助企业提高可持续信息管理水平，提升企业可持续信息披露质量。