强化企业内控，提升ESG信息质量

近日，世界可持续发展工商理事会（World Business Council of Sustainable Development, WBCSD）联合FSR-Danish Auditors发布了《指南文件：提升ESG信息质量，助力智慧决策》（Guidance on improving the quality of ESG information for decisionmaking，简称《指南》），从企业内控的角度指导大型上市企业提升ESG信息的质量。本文将带您速览《指南》的要点，为企业ESG信息质量提升打好基础。

背景

有关ESG信息的披露和使用，已经从早期的必要性讨论转变为其可靠性的讨论。确实，与财务信息披露相比，ESG信息披露因为受到以自愿性政策要求为主、监管审查机制的缺失、信披标准的不统一、外部鉴证采用及确信水平参差不齐等等因素影响，信息质量和可信度一直广为利益相关方群体所诟病。ESG信息披露价值的最大化，很大程度上依赖于其品质的提升。如何使ESG信息披露的严谨程度与财务信息披露达到一致，是未来需要各方去共同解决的主要问题。

ESG信息披露的重要意义之一是帮助企业制定战略目标使企业更受投资人青睐。然而，碎片化的信息收集，以及低效片面的ESG内控体系不仅无法实现这一目的，还很有可能为企业的品牌和声誉带来负面影响。对于企业的高管或者董事会而言，ESG信息质量的考察和评价角度往往是：信息质量是否符合投资人对信息可信度的要求？伦敦证券交易所集团对满足投资人要求的ESG信息特征进行了归纳，其中包括：

• 准确性：严谨的数据收集系统
• 边界范围：与企业常规报告的财政年范围及企业的所有权模式一致
• 可比性和一致性：持续使用全球通用标准
• 数据格式：同时提供原始数据和比例数据
• 及时性：需要与企业定期报告周期一致
• 外部鉴证：通过使用独立第三方鉴证来增强报告信息的可信度
• 平衡性：负面与正面信息均有所体现

上述特征与主流的报告框架中对于报告原则基本一致，对于报告企业来说，这些内容也并不陌生，但是从实践的角度，要实现各项要求并没有什么捷径可走。WBCSD与FSR-Danish Auditors本次发布这份《指南》，也是希望企业可以从基础的内控做起，修炼“内功”，为ESG信息品质保障奠定基础。下面我们将详解《指南》中的说明和建议，为报告企业提供一些启发和帮助。

指南的主要内容

在开始介绍《指南》内容前，我们先了解一下内控（internal control）的概念和定义。根据COSO（Committee of Sponsoring Organizations of the Treadway Commission，美国反对虚假财务报告委员会所属的内部控制专门研究委员会——发起机构委员会，简称COSO）的定义：“内控是一个过程，受企业董事会、管理层和其他员工影响，旨在保证报告合理的可靠性、经营的效果和效率以及现行法规的遵循（Internal control is a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance）。”内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督检查五项要素构成。《指南》基于COSO Internal Control-Integrated Framework to Improve Confidence in Sustainability Performance Data (2017)的主要成果，从ESG数据质量提升的不同阶段（参见图一）分别展开说明，帮助报告企业了解其数据收集的成熟度，其控制环境和控制活动，最终认识到其管理流程中需要改进的地方。

图一：提升ESG数据质量的不同阶段

考虑到不同企业在ESG报告工作上的成熟度差异，针对起步阶段的企业，《指南》在开篇对于报告的意义和商业价值也进行了介绍，并进一步强调了目标和战略路线图设定的意义。本文将不对这部分内容展开论述，而是重点关注实操层面的指导。

了解企业需要进行改进的地方

ESG报告质量包含两个层面的挑战：数据的质量以及报告流程的品质。两者都是非常复杂和费时的题目。针对这两方面的改进需要，从内控层面，企业可以通过几个问题来检视其目前的实践。

责任和汇报结构：基于企业各部责任层级不尽相同，因此在企业内部如何定义责任归属和范围非常关键。就报告工作而言，可以反思：

• 是否确定谁负责指标?
• 是否确定谁负责集团层面报告?
• 是在业务单位层面还是国家区域层面进行的?
• 是否有要求负责数据收集的人员签署内部管理声明?

定义：刚才提到了指标和衡量标准，关于指标和衡量标准的定义则是另一个非常关键的问题。在这一点上，企业需要考虑：

• 是否定义了各个指标/衡量标准?
• 是否对假设和估算方法进行了描述?
• 是否定义了指标计算方法?

范围：在进行任何数据收集之前，收集的范围亦必须进行清晰的确认。企业需要弄清楚：

• 每个指标的范围包含哪些内容?
• 是否包含法律和财务权责范围以外的活动(如范围 3 温室气体排放)责任?
• 是否排除了任何国家地区或活动类型?如果是,为什么?
• 如果相关,是否将行政运营与生产设施作为并行考虑汇报对象?

商业模式的影响程度：通常我们认为数据的完整度越高越好，但是100%的完整度往往很难实现，那么企业需要评估其商业模式，并根据其商业活动的重要性去判断需要达到何种程度的数据完整度，确保资源的最合理配置。相应的，企业需要时时反思：

• 是否考虑过单个指标对您商业模式的重要性程度?
• 是否定义了每个数据点的完整度百分比范围，包括要估算内容的百分比?

报告的频率和形式：这两点也与报告面向的对象紧密相关，企业需要根据其战略目标和报告目标群体的特征来选择报告的频率和形式。

• 报告和监测数据的目的是什么?
• 是服务于管理决策还是外部报告要求?
• 应多久报告一次数据?每月、每年、每两年?
• 数据的格式应该是什么?
• 数据质量是否得到保证和整合?

信息流及风险识别：信息从源头获取到最终呈现的每一步处理都必须有清楚的路径，信息流的清晰呈现是后续进行风险和问题识别的前提。因为在原始数据的获取加工和处理中可能存在大量的出错风险，因此在流程上，企业需要了解：

信息如何取得? 是通过计算机系统、票据、单个读数或外部数据提供方?

• 是否记录了从原始数据到集团层面汇总数据的数据链，以及链条中对决策有用的关键点?
• 是否为每个 ESG 指标定义了容错范围?
• 是否识别了数据收集过程中可能对数据质量造成风险的步骤?
• 是否认为当前的信息流和风险识别方法在实践中运行良好，足以支持总体目标的实现?

管控措施：一旦在数据链条中识别了可能存在风险的地方，那就需要相应的管控措施来降低和减少风险以保证数据质量。这些管控措施可以是人工或者自动化措施，可以是预防或者检测方法，无论何种形式，它们都必须覆盖链条的始末端。

• 是否定义并描述了对已识别风险的控制措施?
• 对于每个控制措施，是否确定了实施的责任、频率、内容和文件保存的位置?
• 这些措施适用于本地还是集团层面?

做出改进以提高数据质量

通过上一步了解问题所在之后，接下来就是做出改进。在如何改进上，尽管没有放之四海而皆准的方法，但一些科学的流程方法以及领先的实践可以给企业提供一些启发。《指南》则从数据（data）、人(people)、流程(process)、系统(system)这四个方面详细论述了企业可以审视和进行变革的点（参见图二）。

图二：提升ESG信息质量所需要的投入

就流程而言，企业可以考虑建立一个内控环境（内部环境是影响、制约企业内部控制制度建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等内容），例如设置科目表（the chart of accounts），集团ESG数据手册（the group ESG data manual），如图三所示，企业可以通过手册对数据的统计进行充分的说明，提供计算公式、单位、解释和参考来源等等。

图三：集团ESG数据手册中说明FTE的示例

当然，ESG手册中可以包含的远不止在数据收集和汇报层面的说明，手册中还可以报告一些涉及ESG议题的管理要求，例如办公室运营的环境标准等（参见图四）。

图四：集团ESG数据手册中说明办公室环境标准的示例

集团的ESG手册同样也可以应用于分子企业，因为一旦一个项目在科目表中得到了清晰的定义，那么其分子企业则可以根据这些规则来收集和整理其管辖范围内的相应项目（如图五所示）。

图五：集团ESG数据手册应用于分子企业的示例

手册在确定了管控环境及行为准则后，就需要相应的管控措施来确保实施和目的的达成。根据COSO的框架，管控措施主要包括流程(process）、整合(consolidation)以及风险评估(risk assessment)。控制措施是根据风险评估结果，结合风险应对策略，企业所采取的确保内控目标得以实现的方法和手段，是实施内控的具体方式和载体。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、绩效考评控制、信息技术控制等。其中，风险评估尤为关键，它是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程。风险评估主要包括目标设定、风险识别、风险分析和风险应对。风险评估将帮助企业将有限的资源集中在重要影响和重大风险点上。如下图所示，企业可以根据某指标影响的程度，以及其出错可能性这两个维度去判断风险的大小。

图六：风险评估示范

内控的沟通与报告

信息与沟通，是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。针对内控的报告与沟通同样重要，对内它们是内部审计和审计委员会开展工作和进行决策的基础，对外，这方面的报告也会给利益相关方更充分的信息，加强对报告内容的信心。图七展示了企业在提供给审计委员会的报告中，可以如何展示某个商业主体的内控环境。

图七：某商业主体提供给审计委员会的内控报告

监督和持续改进

监督检查，是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制制度的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。COSO的框架中特别强调了在监测内控环境和活动有效性上，需要持续展开培训、互动参与以保证不断改进相关措施。企业可以考虑建立内控分类名目表，便于对不同性质的内控方法进行追踪和评估。如下图所示，企业可以利用下面的模板，从目标、风险、相关度、活动证明、责任人等多项内容综合评估其内控系统。

图八：内控分类名目表模板

总结

《指南》最后特别指出了，企业进行ESG信息披露的压力未来会逐渐提升，过去单纯的是否需要进行披露的讨论已经过时，未来利益相关方会对披露内容和质量提出更高的要求。内控作为企业生产经营活动的自我调节和自我制约的内在机制，处于企业中枢神经系统的重要位置，因此企业ESG信息质量的提升必须依赖于内控环境、内控措施等关键点上ESG议题的高度融合。

中国节能皓信为企业提供丰富的可持续发展专业咨询服务，根据企业的可持续发展需求将ESG融入管治架构及管理体系中，助力企业制定可持续发展策略及目标。面对大多数上市公司分子机构众多数据管理难度大的现状，在企业内控与ESG的深度融合上，中国节能皓信十分了解大型上市公司所面临的众多挑战，凭借深厚的专业背景，于2018年发布了自主研发的行业内首个全面满足企业管理需要的ESG信息智能化管理平台——EnvAI，全面包含数据准确收集、安全管理、多维度数据分析，报告在线编辑及定制化生成等功能，满足不同行业的分析和管理需求，为企业提供一个全新的、定制化、一体化ESG 管理平台，帮助企业强化内控，保证ESG信息品质。