企业风险管理框架用于解决环境、社会和治理（ESG）相关风险的指南（五）

曾繁荣

[摘要]2018年10月，国际内部审计师协会（IIA）发布了由美国反虚假财务报告委员会下属的发起人委员会（COSO）和世界可持续发展工商理事会（WBCSD）合作制定的一套指南，将企业风险管理（ERM）概念和流程运用于ESG相关领域，以帮助组织更好地了解风险所在，并有效地管理和披露风险。鉴于该指南内容翔实、指导性强，篇幅较长，故分篇刊载，本篇为第五篇。

[关键词]ESG    组织    风险管理    指南

（承上篇）

四、ESG相关风险的表现

（3）数据、参数和假设。风险严重程度的计算，要求从业者对数据、参数和假设做出选择，实体可就表1中的因素进行考虑。

一是数据集。风险严重程度评估依赖于数据的可用性和质量。为ESG相关评估寻找高质量的数据集，特别是对首次量化ESG相关风险的实体来说，可能存在挑战。发布财务信息往往有严格的内部审查程序，但发布ESG相关信息并不需要受到此类严格的审查。表2为管理层确定可用于风险评估的原始和二手数据提供了一个起点。每个数据源或选择都有潜在假设。在进行预测或估值时，从业人员需理解嵌入到所选数据中的潜在假设以及所有限制。比如，排放系数（Emissions Factors）可能是基于能源来源和国家来选择的，这对于计算特定城市内运营的温室气体排放可能不那么准确;水资源短缺风险可能不是基于当前的降雨量和流域测量数据;欧洲的人口增长是基于当前的出生率，但可能未考虑移民;用于计算福祉的代理数据可能基于特定地区、人口群体或社会经济阶层。了解数据中嵌入的假设也有助于在需要更新风险评估时提供信息。比如，每年需要更新许多温室气体排放系数，而这又需要重新计算风险的严重程度。在确定使用哪种ESG数据时，需要重点考虑数据的质量和可靠性（特别是新出现的问题或风险数据）。要谨慎使用“现成”数据或模型。在评估数据质量时，管理层应提出以下问题来选择高质量的数据源：数据质量是否足以产生可靠的结果？内部收集的数据是否有适当的控制措施？收集的数据是否经过时间或行业标准的检验？二手数据是开源的或能否经受住考验？元数据是否可用于在使用数据之前执行分析？模型或数据中的关键假设是什么？模型或方法中是否使用了专家判断？当管理层关注数据质量时，验证数据就是必要的。为评估其合理性，验证方法包括基于元数据的测试数据（如汇总统计）、执行内部控制、验证数据子集或执行分析。

二是时机。ERM框架建议用于评估风险的时间跨度应与用于战略和业务目标的时间跨度相同。但环境和社会风险的时间跨度往往长于其他战略所需的1年、3年或5年，因而为管理这些风险，当下就需要为长期能力建设作出投资决策或制定适应性战略，而这可能与公司的短期业绩目标不一致。此外，由于实体更多地考虑最紧迫的短期风险，而可能忽视能够给它们带来长期价值的风险以及在风险完全出现之前应对风险可能带来的好处。比如，气候变化的影响可能在未来50年的任何时候出现。现在通过评估过渡时期或物理风险的影响，便于实体有计划地逐步应对风险，用以寻求低碳产品或服务的机会，或者培育在其运营中建立抵御恶劣天气影响的能力。

三是范围。它明确了为每种风险度量的实体边界（如部门、职能、运营单位）和价值链边界（如输入、运营、市场）。这些边界影响着每种风险的相对重要性。比如，在运营单位层面评估重要的风险，在部门或实体层面可能并不那么重要，但在实体的较高层面，风险可能会对声誉、品牌和可信度产生更大影响。

四是贴现率。在评估金融风险时，从业人员通常采用基于加权平均资本成本的贴现率来计算潜在风险影响的现值。贴现率意味着基于预测现金流的时间准确度，因此需要用足够的专业知识或历史数据来准确测算与应用贴现率。由于ESG相关风险的不确定性，在预测现金流缺乏精确性的情况下，采用贴现率可能并不合适。

2.优先考虑的风险。实体优先考虑的风险，决定了管理层为应对风险而采取必要的行动类型以及投资。基于优先级的风险严重程度度量通常使用风险的影响和可能性来分类，通常财务指标是首选，但也可能考虑其他因素，如脆弱性、速度或弹性。可以召集高管对风险进行辩论、比较和投票，同时讨论额外的风险评估标准（如恢复、速度和适应性）。但由于高管通常来自不同领域，这意味着在许多情况下，参与讨论的部分高管不太熟悉ESG相关风险，因此对其重要性的认识可能会在投票过程中打折扣。

（1）应对偏误。在确定、评估和优先考虑ESG相关风险时，识别与应对管理偏误很重要。在某些实体中，以下情形很常见：主導人物或核心岗位支配重大意见;决策过度依赖于数字指标、财务业绩或历史数据;锚定特定风险事件结果或响应;近期事件或短期金融风险的权重过大;要么规避风险，要么承担风险。识别和挑战管理偏误以支持更好的决策至关重要，表3为ESG相关偏误类型的示例。

（2）识别偏误。以下问题有助于识别ESG偏误：主导人物是否将注意力集中在特定风险上？是否忽视与ESG无关的风险？在确定风险优先级时，管理层是否过度依赖数字证据而忽视了不易量化的ESG相关影响和依赖关系？管理层是否忽视反面信息，包括与新兴或不熟悉的ESG相关问题的信息？管理层是否使用短期到中期的时间跨度（18—36个月），是否难以有效捕捉较漫长的ESG相关风险？管理层是否有规避风险或承担风险的倾向，从而影响ESG问题的处理？管理层是否对应对风险的控制措施过于自信，以致未考虑可能出现更严重的ESG问题？

（3）消除偏误。以下是一些短期策略来帮助克服偏误：敞开心胸，即通过消除刻板印象、特殊联想和无关因素的影响，提高判断力，挑战现状;建立跨职能团队并获取客观的信息，即寻求内部和外部专家建议，以获取对问题的不同观点;量化风险并使用通用语言，即确定使用通用语言与跨职能团队进行沟通的方法以及评估风险的一致指标;提供参考点，即使用易于被理解的参考框架来提问。比如，与其让同事们识别潜在的环境风险，不如让他们回答这样的问题：“我们的供应链将如何受到严重洪水或飓风的影响？”或者“如果不能再使用设施，我们的供应链将付出什么代价？”

（三）风险应对措施

管理层可选择并部署的风险应对措施包括接受、避免、追求、减少或分担风险。在考虑应对措施时，管理层应考虑风险的严重性、优先级以及业务环境和相关业务目标的属性等。

1.风险应对。对于已知风险，管理层会选择并实施风险应对措施。

（1）接受：不采取任何行动。当战略和业务目标所面临的风险处在风险偏好范围内且不太可能变得更严重时，那么选择接受风险也是恰当的。接受风险通常需要密切监控风险背后的假设，如果假设发生变化，实体可能需要作出不同的应对措施。

（2）避免：消除风险。实体可能对某些特定的ESG风险保持零容忍，从而要么完全避免这些风险，要么降低这些风险发生的可能性。比如，瑞士再保险公司2018年宣布，它不会为所有业务部门中动力煤敞口超过30%的企业提供再保险。同样，向政府提供服务的实体可能停止在风险最高的国家做生意，以避免与腐败的商业活动有任何联系。

（3）追求：将风险转化为机会。风险应对通常侧重于保留价值，但在许多情况下，应对ESG相关风险可以释放价值。商业和可持续发展委员会2017年报告称，到2030年，联合国可持续发展目标（SDGs）可释放超过12万亿美元的商业机会。表4列出了一些示例。

（4）减少：采取行动减少风险的严重性。当风险严重程度高于风险偏好时，实体通常会采取风险缓解活动，将剩余风险降低到风险偏好范围内。风险降低计划的一些共同要素包括：一是策略，即制定新的策略、目標或指标来降低风险;二是人员，即组建一个团队来领导一个新的项目，或提供培训支持以改进研究，发展有利于创新的环境;三是流程，即在实体内部或整个行业内建立行为准则以确定标准和期望，采用认证、监管链和审计程序来管理风险，提高利益相关者的透明度;四是系统，即实施管理系统，根据行为准则或其他适当标准对风险进行持续监控。实体可以探索减少风险发生影响或可能性的方案，表5为示例。

（5）分担：转移部分风险或与外部协作。ESG相关风险对单个实体来说可能太大或太复杂，而在众多实体中分担ESG相关风险有助于消除单个实体的部分风险。在应对某些ESG风险时，实体可以与其他企业、专业机构、政府、非政府组织、监管机构、供应商、客户、社区甚至竞争对手就特定的ESG问题进行合作，以达到分担风险的目的。一个突出的例子是2016年联合国气候变化框架公约（UNFCC）缔约方大会第21次会议（COP 21）达成的协议，其中174个国家和欧盟支持企业以及非政府组织致力于合作解决气候相关风险。精心管理的信息、专业知识和优先级共享可以产生协作和信任关系，从而为参与协作的实体和社会带来成果。跨部门、跨问题、跨地区共享信息、资源、活动和能力有助于实现规模化以实现持续的风险管理。世界经济论坛认为，实现联合国可持续发展目标需要这种跨部门联盟。实体已经认识到，应对复杂的供应链挑战需要与同行、学术界、标准制定者和非营利组织合作，多数行业都组建了团队、创建了标准，共享信息、共享审计流程，增加与供应商的合作并提供行业指导。

（编译者单位：中国人民银行赣州市中心支行，邮政编码：341000，电子邮箱：315421032@qq.com）