黎萌 颜涵

[摘要]以对气候和环境更负责任的方式开展企业经营管理活动，已成为企业和社会的广泛共识。本文从企业的必尽、应尽和愿尽责任分析出发，结合2022年国际内部审计师协会IIA发布的ESG风险白皮书，探讨了内部审计职能在企业ESG活动中的角色定位，研究ESG审计的具体工作层次与内容，为内部审计推动企业履行ESG责任提供实践参考。

[关键词]“双碳”目标   ESG责任   内部审计

一、以负责任的方式开展生产经济活动是企业践行新发展理念的必然选择

2015年10月，党的十八届五中全会提出创新、协调、绿色、开放、共享的新发展理念，体现了党和国家对于经济社会发展规律的准确判断和把握，是适应和实现可持续发展的重大战略安排。新发展理念要求坚持创新发展，注重协调发展，强调开放发展、绿色发展、共享发展，践行以人民为中心的发展思想，走可持续发展之路，促进人与自然的和谐共生。2020年9月的联合国大会上，习近平总书记提出加快形成绿色发展方式和生活方式，建设生态文明和美丽地球，并承诺中国将提高国家自主贡献力度，采取更加有力的政策和措施，二氧化碳排放力争于2030年前达到峰值，努力争取2060年前实现碳中和的“双碳”目标。随后发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中明确提出，坚持新发展理念，构建新发展格局能力和水平。在微观层面，企业作为社会经济活动的基本构成单元和生产经营主体，必须切实履行社会责任，践行新发展理念，以对气候和环境更负责任的方式开展生产经济活动。

ESG（Environmental，Social and Governance）

涵盖的诸多关键指标与新发展理念是高度契合的。ESG是环境、社会与公司治理的英文缩写，是一种关注企业在环境、社会与公司治理而非仅是财务绩效方面单维表现的信息披露、投资理念和综合评价标准。履行ESG责任有助于企业发挥公司治理的功能，将履行社会责任与实现可持续发展和提升综合价值创造有机结合，构建长期竞争优势。但在履责过程中，企业也面临着各类风险挑战，对ESG活动开展尽职调查、督促企业注重ESG的风险防范及价值创造，由内部审计提供独立客观的鉴证和咨询工作，必然成为企业有效实施ESG活动的重要组成部分。

二、履行ESG责任是构建企业长期竞争优势的基石

经济社会中企业承担的责任有哪些？借助企业社会责任的框架体系，笔者认为根据企业的愿景、目标和发展阶段不同，可以通过三个层次（如表1所示）开展递进分析和评估。

随着公众对气候变化、社会治理现象及企业不当经营行为等问题关注度的不断提升，忽视履行经济社会责任很可能使企业面临较大的声誉风险、财务影响及潜在的法律诉讼风险，近年来投资者、金融机构及社会公众也希望企业在经营管理中更多地关注并披露ESG风险。根据迈克尔·波特的竞争优势理论，企业的经济效益与社会效益共存共生，只有利用企业技术资源优势，达到商业效益与社会效用间的良好平衡，同时解决社会问题，才能构成企业长久的竞争优势。通过对比MSCI（摩根士丹利资本国际指数，简称明晟指数）的新兴市场与ESG两组指数的近年趋势，我们发现企业履行ESG责任与企业价值间存在正向的关联作用，对ESG因素的考虑已成为资本配置过程中的核心原则，企业的ESG表现情况能够帮助其赢得更多投资者的青睐。由此可见，承担和履行ESG责任将成为企业日常经营管理过程中的重要议题。

三、内部审计是企业履行ESG责任的重要驱动者

内部审计以独立、客观的角色定位，在企业经营过程中通过履行鉴证、咨询职能，担当着ESG文化倡导者、各方利益平衡人、信息披露鉴证者及管理流程建设者等多重角色，驱动企业履行ESG责任。

（一）整体利益的平衡人

企业发展的最终目标是实现可持续发展，可持续发展要求企业在追求经济效率的同时，必须将自身利益、社会期望和环境利益统一起来，在环境、社会责任及公司治理之间实现动态平衡，创造共享价值。企业内部审计在这种动态平衡的取舍过程中起到利益均衡的关键作用，这种均衡角色来源于内部审计公正独立的定位以及拥有的“上帝视角”。正因为有着更客观的视角，在企业运营管理过程中，內部审计能够对企业商业活动进行深入细致的观察并提出客观建议，平衡企业创造价值和利润，防范风险，提升公司治理透明度。

（二）信息披露的鉴证人

信息披露是企业ESG管理的基础，企业透过社会责任报告、企业年报、内部经营报表、财务报告、公司官网等载体向公众披露企业ESG相关信息。为降低披露信息质量风险，内部审计可对标监管机构对企业ESG信息披露要求，充分发挥职能，对企业披露的信息开展独立鉴证，评价和改进企业现行的ESG管理实践，保障ESG信息披露的合规性，满足强制披露要求及主动披露需要相结合，保障信息的及时、准确和完整。

（三）管理体系的建设者

企业在达到ESG风险管理目标的过程中，需设置一套完整的流程及控制系统。内部审计可以在该流程系统中监督ESG管理活动和管理过程，规范企业行为，确保所采取的管理手段及标准符合企业ESG目标与计划。同时，内部审计通过分析审计过程中识别出的问题，就企业ESG风险状况提供评估建议，帮助企业管理层了解ESG风险，关注计划与执行之间的差距，促进企业修正ESG目标、风险偏好及所需资源需求，评估企业ESG实践中的总体效益。

四、ESG内部审计的现状与实施层次

最近国际内部审计师协会发布了《内部审计在ESG报告中的作用》，通过问卷形式调研了内部审计在企业ESG活动中的参与情况（如图1所示）。报告指出仅三成左右的企业内部审计师参与了ESG管理活动，参与企业ESG管理活动的内部审计师主要审计工作是复核企业ESG报告的准确性、复核企业ESG管理目标达成情况及检查ESG管理措施的执行情况等方面内容。7FBFADCA-CA24-4C99-B2E6-1BDA86C0CFD6

根据国际内部审计师协会发布的《内部审计专业胜任能力框架》，结合企业自身所处的发展阶段、企业社会责任的层次，内部审计在企业ESG管理活动中的成熟度可分为：一是基础层次，内部审计可以正确理解，且能够描述ESG责任的具体内容和范围。二是应用层次，内部审计对企业ESG的实践方法及实践内容开展检查或建议。三是专家层次，即内部审计开展持续的改进企业ESG管理框架与实践方面的行动。

五、ESG审计的工作方法与内容

内部审计在企业履行ESG活动中应当开展哪些具体审计内容，目前尚没有明确的规范性指引或依据。笔者认为，应从内部审计鉴证和咨询的定位出发，依据内部审计发展的成熟度和能力，递进开展具体的审计工作（如表2所示）。

（一）企业ESG风险评估与治理框架审计

1.企业ESG风险及管理成熟度评估。

关于企业ESG管理范畴评估，一是内部审计应根据企业必尽责任模块的内容进行系统梳理，依据企业实际的管理状况开展剩余风险评估。二是根据企业应尽和愿尽责任覆盖的内容，评估企业ESG管理措施的覆盖程度及管理成熟度。三是基于风险结果及管理状况，开展差距分析。

2.企业ESG责任治理架构体系评估。

治理架构背后体现的是企业文化，它是企业使命、愿景、价值观、行为方式所构成的特有形象。评估企业ESG责任治理架构体系应将企业文化纳入其中，具体应当关注：一是公司高层关于企业社会责任的主动意识，对企业整体层面ESG的认知情况进行评判，包括企业战略、使命、愿景和价值观中对ESG的描述。二是企业如何制定ESG战略及可持续性发展的模式，企业内部是否建立了ESG管理机构、ESG治理委员会或相应的ESG协调机制，相关架构的角色和职责是否明确，是否建立对董事会的报告机制，应评估ESG协调管理机构的报告路线、主要职能以及相应的能力和权力，关注企业管理层对ESG相关议题的讨论与决策机制。三是ESG风险评估机制，内部审计应当了解企业正在开展的ESG工作的内容与范围，并理解企业ESG目标承诺，评估其失败对企业的影响。四是评估企业ESG考核和成效反馈机制，是否建立ESG工作计划以及企业内部各环节对ESG履职情况的回顾机制、责任追究机制等。五是ESG监督机制，通常企业具有信息安全、环境管理、生产质量等第二道防线的管理部门，然而第二道防线限于其设置的目的，只关注自身管控范围内的合规性，无法关心具体执行的质量及ESG等跨职能产生的风险，内部审计应主动改进和运用第二道防线的资源，站在公司层面评估风险，评价管理缺漏，提升两者间的责任分离与协同，促进ESG领域企业管理成熟度的提升。

（二）ESG报告及内部控制评价

1.企业ESG报告鉴证审计。

随着机构监管力度加大及社会公众监督的日益严格，企业公布的ESG报告事关企业声誉，对报告披露信息的准确、及时和完整性提出了要求，保障企业ESG披露信息的准确完整是ESG报告鉴证审计的主要工作目标。不同于企业财务报告，ESG报告的披露事项没有严格统一的标准，内部审计应重点针对企业披露的ESG事项对照可参考的信息披露标准（如各交易所信息披露标准、TCFD标准等）开展审计检查，出具检查结论。

具体的审计工作包括：一是复核企业ESG报告披露数据的完整性及计量指标的准确性，对信息披露的合规性、及时性及准确性展开审计检查。二是复核ESG报告内容与其它披露信息（如财务报告）信息的一致性，虽然ESG报告提供的是非财务信息，但ESG报告中任何与财务报告不一致的信息都需引起关注，特别是勾稽关系的不合理或信息不一致情况。

2.企业ESG管理内部控制评价。

通过指标化手段，将ESG管理评价内容融入企业内部控制框架，执行常态化的ESG履职内控评价监测和报告，评估ESG管理活动设计和执行的有效性，关注管理过程，确保公司ESG目标能够通过公司控制系统得以实现。评价的内容应从利益相关者角度出发，评价指标的设计可结合企业选定的重要议题，按照企业必尽责任、应尽责任、愿尽责任的区分，逐步分类并完善。ESG内控评价内容如表3所示。

3.ESG重大事项专项审计。

对企业ESG重大决策部署或常态内控监控的风险事项开展专项监督检查，确保管理决策和风险处置得到有效落实。针对具体的ESG议题，如生产过程環境保护、环境安全与用工合规性、数据安全与客户隐私保护、供应链安全与稳定、商业合作与协议等，审阅具体ESG管理活动的执行情况，查阅相关文档，监督问题事项的整改情况，确保具体事项已设置适当角色职责，管理流程得到执行和落实。

（三）商业生态的ESG价值延伸审计

内部审计应充当咨询顾问，根据企业应尽和愿尽责任的发展与迭代更新，定期提议召集企业管理层关于ESG风险的议题讨论，定期组织开展ESG风险评估，并向企业管理层提供ESG管理目标及内容的行动咨询建议，推动形成企业构建新管理行动的正向循环。

基于企业ESG价值倡导，对价值链中的合作机构开展延伸审计，从负责任的商业合作愿景出发，结合企业类型和所在行业的特点，倡导企业所处的商业生态达到良治同行的状态，推动企业商业生态层面的可持续发展。审计关注包括：一是推动商业透明度提升，站在商业合作利益均衡角色和位置开展审计工作。二是结合企业设定的应尽和愿尽责任，对合作机构的准入要求标准、流程管理的执行情况开展审计检查，如在合作准入过程中关注环境管理体系认证、节能认证，对合作过程中开展定期的评估及评价合作淘汰机制等。三是基于明确采购及合作协议要求，开展ESG履约延伸审计。

六、结束语

为得到企业自身ESG管理活动执行有效性的信息，内部审计是开展此类“尽职调查”的不二人选。通过对上述ESG审计工作方法与内容的探讨研究，内部审计应从ESG基础框架概念到管理实施应用、从审计鉴证到规划咨询、从企业内部拓展到合作生态，依据内部审计发展的成熟度和能力演变路径开展ESG审计工作，帮助企业识别和控制ESG风险，有效履行ESG责任。7FBFADCA-CA24-4C99-B2E6-1BDA86C0CFD6