论文部分内容阅读
[摘要]2018年10月,国际内部审计师协会(IIA)发布了由美国反虚假财务报告委员会下属的发起人委员会(COSO)和世界可持续发展工商理事会(WBCSD)合作制定的一套指南,将企业风险管理(ERM)概念和流程运用于ESG相关领域,以帮助组织更好地了解风险所在,并有效地管理和披露风险。鉴于该指南内容翔实、指导性强,篇幅较长,故分篇刊载,本篇为第三篇。
[关键词]ESG 组织 风险管理 指南
(承上期)
四、ESG相关风险的表现
(一)识别风险
风险存在于所有商业活动中。由于商业战略、目标、环境或风险偏好的变化,风险往往成为关注的焦点。
1.使用风险清单。根据ERM框架,识别风险的目标是确定可能中断运营、影响实体实现战略和业务目标或对实体经营许可产生重大影响(包括声誉问题)的风险。许多实体存在风险清单或注册表,以列出实体所面临的风险。风险清单包括对每种风险的影响、应对措施和对风险的描述。当ESG相关风险符合实体的风险标准时,这些风险应包含在风险清单中,以便对其进行管理和监控。典型的风险类别包括战略风险、运营风险、财务风险和合规风险。一些组织可能将可持续性风险或声誉风险单独作为一个类别,也可归入其他风险类别。声誉风险往往受另一种风险的影响,而不是本身的风险(如环境事件或污染造成的声誉损害)。此外,许多ESG相关风险并不是全新的,而是对现有风险的补充,或使风险的影响或实现的可能性复杂化。比如,气候变化的影响往往会增加原材料成本波动的风险,这是许多实体存在的风险(见表1)。
2.掌握识别方法。许多实体都有ERM系统,用于识别影响业务策略的风险,并将其包含在风险清单中。此过程包括调查、与风险所有者及管理人员的访谈和研讨,以确认现有风险或了解新风险。对于具有强化ERM过程的实体,需要运用定量和更为深入的分析方法。此外,实体还拥有由可持续发展职能部门、企业战略职能部门或风险所有者执行的持续活动和流程,以识别ESG相关风险。这些示例包括:内外部审计的结果可能与ESG相关(如环境健康与安全、温室气体排放、第三方执行的认证审核);并购和资产剥离的尽职调查活动;新产品或新市场评估的尽职调查活动;为投资决策进行的ESG分析(特别是针对金融服务和制造业);项目管理活动(特别是施工、资讯、科技及通讯、专业服务);供应链尽职调查活动;媒体监控、网络抓取;对过去遇到的事件或问题进行数据跟踪和分析;监控监管政策的变化;大趋势分析;SWOT分析;影响和依赖关系映射;ESG重要性评估;利益相关方参与等。在风险识别阶段,关键是识别威胁或机会(见图1)。风险管理人员可以将这些活动或过程叠加到业务策略和目标中,以识别与ESG相关的风险或机会。
3.进行风险描述。在识别风险时,不能只是简单“列出”风险,而应将风险准确地描述出来。
(1)ESG对业务策略的影响。COSO将风险定义为可能影响策略和业务目标实现的事件。因此,任何已识别的风险都需要根据其对战略的影响加以考虑、描述。这些风险可能被转化为对实体所有层面(如实体、业务单元、部门)的影响。在识别与定义ESG相关风险时,需要考虑的问题有:风险的本质是什么?风险的来源有哪些?发生风险的根本原因是什么?为何ESG问题与业务相关?用于指导解决风险的商业案例有哪些?哪些业务决策可能受到风险的影响?哪些方面通过应对风险就能得到改善或增强?实践中,并非所有ESG重要性评估或大趋势分析所确定的ESG问题都纳入风险清单。对于某些问题,可持续性从业者可能需要进行持续监测和评估,以确定哪些风险应提升到实体层面并纳入未来的风险清单。不过,无论风险是否包含在企业風险清单中,一旦确定了风险,风险管理人员就应根据ERM流程来评估风险,确定优先级并对风险作出响应。
(2)准确描述风险。在识别风险时,风险管理人员应准确描述每种风险。风险描述应关注风险本身,而不是泛泛地谈ESG问题(如气候变化)、风险的根本原因、风险的潜在影响或风险应对不力的影响等。准确的风险识别使实体能够更有效地管理风险清单,并理解其与业务战略、目标和绩效的关系;根据业务目标更准确地评估风险的严重性;确定根本原因和影响,以选择最合适的风险应对措施;理解风险和业务目标之间的相互依赖关系;将风险汇总起来,以绘制投资组合视图。COSO建议使用以下句子结构来准确表达风险:“〔描述潜在事件或环境〕的可能性及其对〔描述实体设定的具体业务目标〕的影响”;或“〔描述实体设置〕与〔描述可能发生的事件或情况〕及其〔描述相关影响〕相关的〔类别描述〕风险”。
(3)根本原因分析。风险清单中的每种风险都由潜在原因驱动。根本原因分析是理解业务风险驱动因素的有效方法,有助于实体从根源上解决问题。可以通过协作的方法来确定根本原因,以拓展知识、理解和经验的广度,使原因分析更加全面。实体应让高管和业务经办人员参与这种分析,理解根本原因的工具包括“五个为什么”、因果图、假设检验和比较分析。“五个为什么”工具(见图2)示例说明了实体如何在实践中进行根本原因分析。
(二)评估风险
有效的风险管理需要不断地平衡风险暴露、收益和支出。因此,管理层通过评估风险的严重性来决定风险的优先顺序,并最大限度地提高实体的战略、财务和运营效益。但ESG相关风险通常难以评估和确定优先顺序。从本质上讲,ESG相关风险的财务或业务影响可能不会立即显现或被量化。这些挑战会加剧,原因在于实体对ESG相关风险的有限认识,或倾向于关注近期风险而未充分关注长期可能出现的风险,或难以量化。即使可以量化ESG相关风险的严重性,其结果也可能是不确定的。此外,由于对已知风险的偏差,风险可能不会被优先考虑。 1.评估风险。有效的风险评估有助于审视风险对实体战略和业务目标的影响程度。实体可通过以下方式实现:确定风险对实体产生的可能影响;选取最合适的评估方法、数据和假设(见表2)。
(1)风险的影响和作用。如果风险可能影响实体战略或业务目标的实现,那么該风险就是相关的。确定风险后,了解潜在的业务影响可以使管理层确定风险的优先级并分配资源,以随时监控应对风险。为此,应将风险转化为可捕捉风险严重程度的通用语言。在比较和确定风险的优先级时,可使用一系列定量和定性的方法来估计风险的严重性。风险严重程度通常用“影响”和“可能性”来表示。然而,一些实体正在扩展其风险严重程度标准(如使用速度和弹性),以改进ESG相关风险的管理。ERM框架将“影响”定义为“风险所产生的结果”,并解释了与风险相关的一系列可能影响。相对于战略或业务目标,这些影响可能是积极或消极的。ERM框架将“可能性”定义为“特定事件发生的概率”。在确定“可能性”时,管理层应考虑下列问题:风险发生的概率是多少,确定影响的风险进展有多快(如速度),评估风险发生可能性的标准示例,见表3。ERM框架指出,作为风险评估的一部分,管理层应考虑固有风险及剩余风险。这些考虑因素有助于管理层确定风险的优先等级以及理解风险应对措施的有效性。虽然“影响”和“可能性”是确定风险优先级的常见标准,但某些情况下,仅依靠这些属性可能产生不太准确的评估或优先级。普华永道概述了ESG相关风险的一些特征,这些特征使其有别于传统风险,并在评估中引发一些挑战:ESG相关风险可能更难以预测,而且在更长以及不确定的时间框架内更明显;风险评估通常基于历史数据,而ESG相关风险(特别是那些新出现的或正在出现的风险)很难找到评估风险影响的历史数据;ESG相关风险是宏观、多方面、相关联的,可以从多个方面影响业务,从而可能使评估ESG相关风险变得更为复杂;风险可能超出实体的控制,应对风险可能依赖于其他方面的行动,需要协调一致的努力。
(编译者单位:中国人民银行赣州市中心支行,邮政编码:341000,电子邮箱:315421032@qq.com)
“五个为什么”工具
问“为什么”是根本原因分析的关键。“五个为什么”工具从问题或观察开始,引导管理者继续问“为什么”,直到找到根本原因。
问题:某实体一种设施的安全性能明显低于该行业平均水平,从而增加了实体风险,并抑制了实现零事故目标的能力。
为什么?该设施违反职业安全与健康管理(OHSA)的情况高于其他设施;
为什么?工厂工人在任何时候都没有使用适当的个人防护设备(PPE);
为什么?该实体没有向设施内的工人提供适当的个人防护装备和培训;
为什么?该设施并无针对性的环境健康与安全(EH&S)改善行动计划;
为什么?该设施最近被另一个实体收购,其尽职调查程序没有充分评估该实体存在的卫生和安全差距。
[关键词]ESG 组织 风险管理 指南
(承上期)
四、ESG相关风险的表现
(一)识别风险
风险存在于所有商业活动中。由于商业战略、目标、环境或风险偏好的变化,风险往往成为关注的焦点。
1.使用风险清单。根据ERM框架,识别风险的目标是确定可能中断运营、影响实体实现战略和业务目标或对实体经营许可产生重大影响(包括声誉问题)的风险。许多实体存在风险清单或注册表,以列出实体所面临的风险。风险清单包括对每种风险的影响、应对措施和对风险的描述。当ESG相关风险符合实体的风险标准时,这些风险应包含在风险清单中,以便对其进行管理和监控。典型的风险类别包括战略风险、运营风险、财务风险和合规风险。一些组织可能将可持续性风险或声誉风险单独作为一个类别,也可归入其他风险类别。声誉风险往往受另一种风险的影响,而不是本身的风险(如环境事件或污染造成的声誉损害)。此外,许多ESG相关风险并不是全新的,而是对现有风险的补充,或使风险的影响或实现的可能性复杂化。比如,气候变化的影响往往会增加原材料成本波动的风险,这是许多实体存在的风险(见表1)。
2.掌握识别方法。许多实体都有ERM系统,用于识别影响业务策略的风险,并将其包含在风险清单中。此过程包括调查、与风险所有者及管理人员的访谈和研讨,以确认现有风险或了解新风险。对于具有强化ERM过程的实体,需要运用定量和更为深入的分析方法。此外,实体还拥有由可持续发展职能部门、企业战略职能部门或风险所有者执行的持续活动和流程,以识别ESG相关风险。这些示例包括:内外部审计的结果可能与ESG相关(如环境健康与安全、温室气体排放、第三方执行的认证审核);并购和资产剥离的尽职调查活动;新产品或新市场评估的尽职调查活动;为投资决策进行的ESG分析(特别是针对金融服务和制造业);项目管理活动(特别是施工、资讯、科技及通讯、专业服务);供应链尽职调查活动;媒体监控、网络抓取;对过去遇到的事件或问题进行数据跟踪和分析;监控监管政策的变化;大趋势分析;SWOT分析;影响和依赖关系映射;ESG重要性评估;利益相关方参与等。在风险识别阶段,关键是识别威胁或机会(见图1)。风险管理人员可以将这些活动或过程叠加到业务策略和目标中,以识别与ESG相关的风险或机会。
3.进行风险描述。在识别风险时,不能只是简单“列出”风险,而应将风险准确地描述出来。
(1)ESG对业务策略的影响。COSO将风险定义为可能影响策略和业务目标实现的事件。因此,任何已识别的风险都需要根据其对战略的影响加以考虑、描述。这些风险可能被转化为对实体所有层面(如实体、业务单元、部门)的影响。在识别与定义ESG相关风险时,需要考虑的问题有:风险的本质是什么?风险的来源有哪些?发生风险的根本原因是什么?为何ESG问题与业务相关?用于指导解决风险的商业案例有哪些?哪些业务决策可能受到风险的影响?哪些方面通过应对风险就能得到改善或增强?实践中,并非所有ESG重要性评估或大趋势分析所确定的ESG问题都纳入风险清单。对于某些问题,可持续性从业者可能需要进行持续监测和评估,以确定哪些风险应提升到实体层面并纳入未来的风险清单。不过,无论风险是否包含在企业風险清单中,一旦确定了风险,风险管理人员就应根据ERM流程来评估风险,确定优先级并对风险作出响应。
(2)准确描述风险。在识别风险时,风险管理人员应准确描述每种风险。风险描述应关注风险本身,而不是泛泛地谈ESG问题(如气候变化)、风险的根本原因、风险的潜在影响或风险应对不力的影响等。准确的风险识别使实体能够更有效地管理风险清单,并理解其与业务战略、目标和绩效的关系;根据业务目标更准确地评估风险的严重性;确定根本原因和影响,以选择最合适的风险应对措施;理解风险和业务目标之间的相互依赖关系;将风险汇总起来,以绘制投资组合视图。COSO建议使用以下句子结构来准确表达风险:“〔描述潜在事件或环境〕的可能性及其对〔描述实体设定的具体业务目标〕的影响”;或“〔描述实体设置〕与〔描述可能发生的事件或情况〕及其〔描述相关影响〕相关的〔类别描述〕风险”。
(3)根本原因分析。风险清单中的每种风险都由潜在原因驱动。根本原因分析是理解业务风险驱动因素的有效方法,有助于实体从根源上解决问题。可以通过协作的方法来确定根本原因,以拓展知识、理解和经验的广度,使原因分析更加全面。实体应让高管和业务经办人员参与这种分析,理解根本原因的工具包括“五个为什么”、因果图、假设检验和比较分析。“五个为什么”工具(见图2)示例说明了实体如何在实践中进行根本原因分析。
(二)评估风险
有效的风险管理需要不断地平衡风险暴露、收益和支出。因此,管理层通过评估风险的严重性来决定风险的优先顺序,并最大限度地提高实体的战略、财务和运营效益。但ESG相关风险通常难以评估和确定优先顺序。从本质上讲,ESG相关风险的财务或业务影响可能不会立即显现或被量化。这些挑战会加剧,原因在于实体对ESG相关风险的有限认识,或倾向于关注近期风险而未充分关注长期可能出现的风险,或难以量化。即使可以量化ESG相关风险的严重性,其结果也可能是不确定的。此外,由于对已知风险的偏差,风险可能不会被优先考虑。 1.评估风险。有效的风险评估有助于审视风险对实体战略和业务目标的影响程度。实体可通过以下方式实现:确定风险对实体产生的可能影响;选取最合适的评估方法、数据和假设(见表2)。
(1)风险的影响和作用。如果风险可能影响实体战略或业务目标的实现,那么該风险就是相关的。确定风险后,了解潜在的业务影响可以使管理层确定风险的优先级并分配资源,以随时监控应对风险。为此,应将风险转化为可捕捉风险严重程度的通用语言。在比较和确定风险的优先级时,可使用一系列定量和定性的方法来估计风险的严重性。风险严重程度通常用“影响”和“可能性”来表示。然而,一些实体正在扩展其风险严重程度标准(如使用速度和弹性),以改进ESG相关风险的管理。ERM框架将“影响”定义为“风险所产生的结果”,并解释了与风险相关的一系列可能影响。相对于战略或业务目标,这些影响可能是积极或消极的。ERM框架将“可能性”定义为“特定事件发生的概率”。在确定“可能性”时,管理层应考虑下列问题:风险发生的概率是多少,确定影响的风险进展有多快(如速度),评估风险发生可能性的标准示例,见表3。ERM框架指出,作为风险评估的一部分,管理层应考虑固有风险及剩余风险。这些考虑因素有助于管理层确定风险的优先等级以及理解风险应对措施的有效性。虽然“影响”和“可能性”是确定风险优先级的常见标准,但某些情况下,仅依靠这些属性可能产生不太准确的评估或优先级。普华永道概述了ESG相关风险的一些特征,这些特征使其有别于传统风险,并在评估中引发一些挑战:ESG相关风险可能更难以预测,而且在更长以及不确定的时间框架内更明显;风险评估通常基于历史数据,而ESG相关风险(特别是那些新出现的或正在出现的风险)很难找到评估风险影响的历史数据;ESG相关风险是宏观、多方面、相关联的,可以从多个方面影响业务,从而可能使评估ESG相关风险变得更为复杂;风险可能超出实体的控制,应对风险可能依赖于其他方面的行动,需要协调一致的努力。
(编译者单位:中国人民银行赣州市中心支行,邮政编码:341000,电子邮箱:315421032@qq.com)
“五个为什么”工具
问“为什么”是根本原因分析的关键。“五个为什么”工具从问题或观察开始,引导管理者继续问“为什么”,直到找到根本原因。
问题:某实体一种设施的安全性能明显低于该行业平均水平,从而增加了实体风险,并抑制了实现零事故目标的能力。
为什么?该设施违反职业安全与健康管理(OHSA)的情况高于其他设施;
为什么?工厂工人在任何时候都没有使用适当的个人防护设备(PPE);
为什么?该实体没有向设施内的工人提供适当的个人防护装备和培训;
为什么?该设施并无针对性的环境健康与安全(EH&S)改善行动计划;
为什么?该设施最近被另一个实体收购,其尽职调查程序没有充分评估该实体存在的卫生和安全差距。