如何审计环境、社会及管治风险及报告

表的内容 介绍3 环境、社会和治理的概述景观4 环境、社会和治理综合风险和报告责任6 内部审计人员应考虑什么环境、社会和治理7 环境、社会和治理内部审计计划注意事项8 将ESG风险和报告整合到内部审计中的常见方法计划12 说明内部审计计划方法14 利用科技解决环境、社会和治理风险和机会16 开始:评估环境、社会和治理问题风险19 结论20 关于作者21 关于德勤22 关于AuditBoard22 auditboard.com2 “您的组织是否专注于将 ESG作为实现长期价值 创造的途径？” auditboard.com 介绍 自2020年以来，全球对环境，社会和治理（ESG）问题，合规性和报告的兴趣急剧增长。在气候变化影响的背景下，社会 变革运动，以及COVID-19大流行，消费者，员工，投资者 ，政府和其他利益相关者重新审视并重新校准了他们对企业如何对负责任的ESG绩效负责的期望。 内部审计在应对对更好的ESG透明度的需求激增方面可以发挥作用。美国注册专业会计师协会（AICPA），特许管理会计师协会（CIMA）和中心 审计质量（CAQ）在其最近的出版物“ESG报告和证明：审计从业人员的路线图”中定义了ESG的三个组成部分。 了解各个组件以及它们在何处发生或不存在相交对于开始了解检查ESG报告的真实性和完整性的独特要求至关重要。以下是这三个组定义每个组件的方式： “E或环境，ESG信息的组成部分包括公司如何接触和管理与气候，自然资源稀缺，污染，废物和其他环境因素相关的风险和机遇，以及公司对环境的影响。 的年代ESG的社交组成部分包括有关公司价值观和业务关系的信息。例如，社会主题包括劳动力和供应链信息、产品质量和安全、人力资本主题（如员工健康和安全）以及 多样性和包容性政策和努力。 的G，或治理，ESG的组成部分包括有关公司治理的信息。这可能包括有关董事会结构和多样性的信息;高管薪酬;关键事件响应能力;企业弹性;以及关于游说、政治捐款、贿赂和腐败的政策和做法。 3 虽然ESG的环境层面长期以来一直受到利益相关者的关注，但社会和治理问题也上升到最前沿。现在，即使是私营公司也被举到公共显微镜下。道德，多样性和包容性，人权，劳工实践，材料采购和供应链，访问，数据安全/隐私-这些都是公众监督的公平游戏。 不出所料，这些不断变化的利益相关者期望导致对ESG透明度，问责制和保证的需求不断增加。在美国和全球范围内，监管机构都开始起草和实施更正式的ESG绩效标准。但许多利益相关者正在更进一步，推动企业接受ESG以创造价值。 最重要的信息是，仅仅遵守是不够的。消费者、资本投资者、员工和其他利益相关者希望企业整合ESG考虑因素 进入他们如何开展业务的核心。他们想要强大的ESG价值主张和绩效，他们准备隐瞒他们的业务，资金和支持，以确保他们得到这些。 最终，监管机构的报告标准和框架将帮助您指导ESG审计，风险管理和报告活动。但是，您的组织需要付出利益相关者要求的额外努力。您的组织是否专注于将ESG作为创造长期价值的途径？我们制定ESG审计策略的指南可以帮助您走上正轨。 环境、社会和治理景观的概述 环境、社会和治理绩效是企业绩效 在我们深入研究如何推动ESG审计工作的具体细节之前，重要的是要关注长期价值创造的宏观ESG业务的必要性，以及推动其发展的利益相关者的期望。正如德勤在“构造转变：ESG如何改变业务，移动市场和推动监管”中概述的那样，消费者，资本投资者和员工都“正在寻找将目标置于其运营核心的组织，关心员工，社区， 工业，以及整个世界。在2013年一篇关于同一主题的前瞻性文章中，德勤写道：“商业价值是在基于公司两者的背景下创造的。 和股东价值。因此,追求利益相关者价值和健康的环境有助于企业实现财务价值的最大化。” 换句话说，ESG与业务绩效直接相关。正如Gartner的“2022年审计计划热点”所引用的那样-该热点将ESG确定为2022年内部审计部门重点的十大风险领域-在过去两年中，承诺负责任投资的机构投资者增加了一倍。他们正在将ESG数据纳入投资分析和决策。越来越多的债权人发放贷款，根据ESG调整利率性能。员工和消费者发出信号，他们将结束与表现不佳的组织的关系。 为了应对ESG对公司日益增长的财务影响，财务报告和会计准则制定者对其组织进行了重大改革，支持更好地报告财务和运营指标（如ESG）的需求。例如，2021年11月，国际财务报告准则基金会（IFRS）宣布成立国际可持续发展准则委员会（ISSB） 补充国际会计准则理事会（IASB）发布关于更好公司披露的准则。此外，综合报告委员会（IIRC）和可持续发展会计准则委员会（SASB）于2021年6月并入价值报告基金会（VRF），以“帮助企业沟通其长期驱动因素” 对金融资本提供者的价值。然后，在2022年6月，IFRS基金会的受托人和VRF的董事会投票批准自2022年7月1日起将VRF并入IFRS基金会。 这些报告标准、企业趋势和研究的新来源是明确的。ESG是现在和未来业务绩效的重要驱动力。 美国证券交易委员会更新环境、社会和治理信息披露 详细了解最新的SEC披露要求。 许多组织仍处于ESG就绪的早期阶段 事实上，大多数组织都很清楚他们将受到ESG的影响。根据2021年审计委员会对北美900多名风险和合规专业人士的调查，超过60%的受访者预计会产生重大或中等影响，不到四分之一的受访者预计影响会很低，只有16%的受访者不确定。然而，在这种背景下，只有不到一半的受访者表示，他们目前在内部审计计划和范围界定中考虑了ESG。 提高性能和弹性所需的ESG集成 责任很明显：组织需要建立ESG绩效和弹性指标并将其整合到其企业报告中。他们必须准备披露相关、透明和高质量的ESG信息以及由此产生的财务影响。为了实现这些披露，他们必须采用相同的财务报告纪律和重点，用于设计和实施可靠的、基于风险的政策和流程，以支持有效的监督、内部控制和保证。 正如我们所讨论的，组织还必须以一种推动长期价值创造的方式整合ESG考虑因素。因此，让我们开始制定战术：您的组织如何接受ESG驱动的业务转型，将风险转化为机遇？您如何创建报告，不仅要反映您的ESG工作如何相互联系和财务，还要反映它们如何与价值创造联系起来？ 德勤的“可持续发展转型”指出了三个意义深远的战略，为以下方面提供法律意见： 展望未来。 看里面。 环顾四周。 “了解哪些威胁，更重要的是，机遇了可持续发展的压力现在对未来的业务。” “考虑如何重新配置业务运营，以加速向更高可持续性的转型。 “利用周边商业生态圈创造竞争优势。 这对您的业务意味着什么？也许是时候拓宽和扩展您的视野，从更大、更长远的角度思考ESG如何重塑您的行业、商业模式和未来。可能还是时候在组织内部进行长期研究，看看您今天可以做些什么来可持续地创新产品 ，服务和战略，以促进增长并开辟新的机会。最后，重要的是要寻找机会，从战略上利用更广泛的商业生态系统。您能否以加速组织ESG工作的方式利用外部ESG能力或影响力？虽然您的组织可能在这方面有工作要做 ，但您可以选择调动合作伙伴或供应商的ESG能力，或者与其他行业领导者合作，就更可持续的业务实践达成一致并推动这些实践。 ESG综合风险和报告责任 整个组织的角色共同负责推动组织协调，管理ESG风险，并实现ESG报告和价值创造目标。这不仅包括明显的目标，如内部审计、董事会和执行领导、风险、合规和可持续性，还包括法律、人力资源、财务、战略、运营、沟通等。至关重要的是，各职能部门必须协同工作，以协调ESG工作，确保 不同的角色不会在孤岛中运行。因此，ESG风险和报告计划不应孤立地实施，而应成为更大的综合风险管理方法的一部分。 下图显示了不同角色如何以综合方式协同工作，相当于三条不同的防线，支持ESG努力的价值创造。 图3。价值创造的环境、社会和治理工作 如图3所示，虽然ESG程序本身是起点： •董事会、首席执行官和管理层作为第一道防线，制定更广泛的ESG愿景/战略，建立“自上而下的基调”，并推动紧迫性和问责制。 •职能部门通过管理、监控和降低ESG风险（拥有数据并保持对支持ESG风险管理和报告的有效流程、控制和策略的责任）成为第二道防线。 •内部审计是最后一道防线，将ESG风险和合规性考虑因素整合到审计计划中，同时推动围绕重大ESG风险的纪律和控制。内部审计负责测试相关控制和风险，就ESG报告提供建议，并验证风险缓解活动。内部审计在就组织更广泛的风险管理能力向组织提供建议，以及预测和调整工作与新兴的ESG风险、战略和组织目标方面也起着至关重要的作用。 内部审计人员应考虑对环境、社会和治理 内部审计员也可以发挥作用。正如审计质量中心关于“经审计的财务报表和气候相关风险考虑因素”的报告所指出的，公司必须考虑与ESG相关的风险，“当其影响可能对财务报表具有重要意义时”。上市公司会计监督委员会（PCAOB）标准要求内部审计师进行风险评估，包括了解公司及其环境。这些评估现在必须考虑ESG风险对财务报表的潜在影响。 AICPA提供“财务报表审计中ESG相关事项的考虑”的实践帮助。图4提供了内部审计员考虑因素的高级说明。 图4。内部审计师的环境、社会和治理问题 环境、社会和治理内部审计计划的考虑 与任何其他组织风险一样，管理、监控和报告ESG风险和机遇需要在有效的治理结构中建立强大的控制环境。内部审计应确保ESG是风险对话的一部分， 将ESG纳入内部审计计划，并进行审计，以确保控制环境是合理的。目标是扩展您已经在做的事情，以纳入 ESG。 当您的组织专注于更有效的ESG审计计划时，最重要的策略是确保您提出所有适当的问题。 数据质量:过程控制和治理 特别是，规划对ESG的有效审计需要更加关注数据质量，因为内部审计致力于验证和评估ESG风险和报告数据的相关性，完整性和准确性。毕竟，报告的质量取决于数据的质量。 •组织当前报告哪些ESG数据，向谁报告？ •数据或指标有多复杂？它安置在哪里？ •哪些控制和流程支持所报告的数据？这如何适应内部审计计划？如果没有，它需要如何改变？ 影响传统内部审计方法的关键ESG力量 根据影响传统审计方法的独特ESG主张来查看活动，开始确定内部审计计划的关键问题。这些断言要求您根据执行审核计划的性质、范围和时间来定制您的方法。除了传统的适用财务报告完整性、准确性、及时性、截止性和可理解性（清晰度）断言外，独特的ESG断言还包括： •平衡—您是否对ESG活动提供了全面、平衡的观点？您是否不仅确定了成就和进步，还确定了局限性，弱点和需要改进的领域？ •涉众的包容性—谁是您优先考虑的ESG利益相关者？您是否将他们纳入了您考虑ESG影响的方式？ ESG利益相关者从资本市场投资者扩展到员工、客户、消费者和社区。 •可持续发展背景下—您是否在对您的业务、行业和相关ESG影响有意义的框架内提供报告信息？ •优先级—您的组织最需要关注哪些ESG主题？您如何看待潜在的ESG风险影响？这种思维如何指导您的ESG战略、治理和披露？ 基于风险的ESG风险和报告审计方法 有限的资源和加快的报告时间表要求根据有意义的标准进行量身定制的风险评估。采用基于风险的方法有助于推动ESG重点领域的选择和优先排序。首先，通过利益相关者参与、行业趋势和基准测试来过滤ESG主题会很有帮助。从那里开始，您的审计响应的高风险领域是以下领域： •如果ESG目标没有实现，影响是最重要的。 •对利益相关者的影响评估是最高的。 换句话说，对利益相关者来说，什么最重要？这与您最重要的影响有何重叠？对于许多公司来说，这是一个称为“重要性评估”的过程，旨在帮助确定ESG战略和披露的重点领域。图形 下面说明了高级重要性评估过程，该过程最终导致要考虑的ESG主题的相对优先级。 图5。环境、社会和治理风险评估过程 一旦确定了这些重要主题，基于风险的ESG审计方法就需要考虑其他因素。下图提