[摘要]本文以美国证监会发布的气候相关披露新规为背景，结合国际可持续发展准则理事会发布的财务和气候相关披露准则，欧洲财务报告咨询组发布的可持续发展准则，以及中国三大交易所分别发布的《上市公司自律监管指引——可持续发展报告（试行）》，讨论了ESG（环境、社会、治理）报告的发展趋势以及内部审计的角色作用。提出内部审计应在认清现状的基础上，规划内部审计在ESG报告中的工作，选择恰当的实施和披露框架，并将三线模型结合到ESG的审计工作中来，以期为公司提供价值创造。

[关键词]ESG报告 可持续发展 内部审计

伴随着经济社会的发展以及利益相关方对公司信息披露要求的提高，公司提供除财务报告信息之外的可持续发展报告已成为一种共识。2024年3月6日，美国证券交易委员会（United States Securities and Exchange Commission， SEC，以下简称美国证监会或SEC）发布《面向投资者的气候相关信息披露的提升和标准化》最终规则，意味着与气候相关的风险披露迎来一个新的里程碑，由此带来的信息披露要求、公司应对该要求开展的治理和内控工作、内外部审计在此过程中应发挥的作用等问题，成为市场关注的焦点。如何理解气候相关风险的披露与可持续发展报告、ESG报告的关系，公司如何分阶段地开展合规工作，则成为治理层、管理层与内部审计等利益相关者面临的现实挑战。本文认为，可持续发展是目标，ESG报告是反映经济主体可持续发展商业信息的载体，尽管实务中有可持续发展报告与ESG报告混用的情形，但其本质是不同主体、在不同阶段及不同场景下对一个经济主体可持续发展商业信息的展示。单纯以报告的角度看，ESG报告的范围最广，可持续发展是ESG的核心内容，而气候相关风险的披露又是可持续发展及环境要素的重要议题。

KnKvx0+w897iXOOouffbW22dJPYCU5TVHE3JqE3s1b8=一、通过ESG报告揭示公司可持续发展能力成为一种趋势

（一）早期的ESG报告是一种满足利益相关者信息需求的自愿性披露

有学者认为，良好的会计基础是构建文明的基石（刘峰，2015）。然而，从资本市场的实践来看，很多公司出现账面价值与市场价值存在重大差异的现象，尤其是在美国资本市场，某些公司账面价值甚至已经资不抵债，但投资者仍然给出非常高的股价以示支持，这可能意味着传统的财务会计报告，并不能为资源提供者提供对决策有用的信息。与之相关的广泛利益相关者，从管理层到投资者，都关注到了这种市值和账面值之间的差异，随之意识到需要将造成这种价值差异的因素加以识别和管理，其意图不仅仅局限在避免资产减值上，而且也希望通过更好地挖掘这种价值，为公司长期健康成长提供额外的价值创造机会。而反映账面价值与市场价值之间差异信息的一个重要载体，就是向利益相关者提供额外的非财务信息披露，随即社会责任报告、可持续发展报告、ESG报告等应运而生，尽管名称不同，披露的方式和渠道各异，但目标都是为利益相关者进行高质量决策提供有用信息，在努力让公司成为一个具有可持续发展能力的组织的同时，为利益相关者创造价值。

20世纪90年代，被誉为现代可持续商业报告之父的约翰·埃尔金顿（John Elkington）提出所谓“三重底线”理论（Triple Bottom Line），也称为“3P”理论，即通过People（人）、Planet（星球）、Profit（利润）三个要素，将财务、环境和社会的关注点紧密联系起来，帮助公司更好地披露影响决策的非财务信息。现实生活中，不论公司采用哪个特定的框架，可持续发展相关的商业信息通常都会落在环境、社会（人力资源）和治理三类之中，即广为采纳的ESG报告。

根据美国反虚假财务报告委员会的发起人委员会（COSO， 2023）的研究，ESG报告与传统的财务报告存在着很多差异，典型的主要有以下三点。一是边界不同。财务报告的要求通常是严格统一的，有专门的监管机构和规范的会计准则体系；可持续发展报告的框架则往往是公司自主选择、自愿提供的。如果说财务报告是按照严格的控制或影响来定义“合并的经济主体”的，并列明了如何处理少数股东权益，那么可持续发展报告则是根据不同的“控制”或“影响”概念，在信息披露上采取了与“合并报表”不同的主体概念。二是涉及的职业判断不同，采用的信息披露方式在定量和定性方面也存在差异。传统财务报告更多采用的是货币计量，强调定量信息；可持续发展报告则强调一家公司能否持续获得资源，以及利益相关者是否有意愿向公司持续提供这些资源，其目标更多是一种估计和预期，因而在信息披露上更多是陈述性的、定性的信息，旨在让报告的阅读者能够评估公司短期、中期、长期的绩效，以及最终的预期价值（或持续经营价值）。三是信息所覆盖的时间界限不同。财务报告更多是对过去的经济交易事项进行反映，提供的往往是历史性的信息；可持续发展报告则更多关注前瞻性的、长期性的信息，并会随着时间和环境的变化，反映对未来的经济预期或估计，即报告所反映的可持续发展能力，是有关公司如何聪明地使用并长期地持有经济资源，让公司运营能够保持长期可持续发展，同时向利益相关者沟通公司在可持续发展方面的长期目标，以及为达成这些目标而设定的不同阶段的要求，因此可持续发展报告所覆盖的时间界限更长。

（二）近年来ESG报告逐步发展成为一种法定的披露要求

如果说早期的可持续发展报告，可由公司自主选择披露框架并通过不同渠道和方式自愿披露信息，那么近年来监管部门的推动则成为ESG报告发展一项重要的外部推动力。2021年11月举行的第26届联合国气候变化大会上，国际财务报告准则基金会（the International Financial Reporting Standards Foundation， IFRS）宣布成立新的国

际可持续发展准则理事会（the International Sustainability Standards Board， ISSB），旨在推动现有披露准则的趋同。2023年6月26日，ISSB发布了两个统一的全球性财务和气候相关披露准则：《国际财务报告可持续披露准则第1号（IFRS S1）——可持续性相关财务信息披露一般要求》及《国际财务报告可持续披露准则第2号（IFRS S2）——气候相关披露》，这被视为ESG领域和可持续发展报告方面的一个转折点。包括澳大利亚、加拿大、日本、新西兰、英国、新加坡、马来西亚、尼日利亚、中国香港在内的多个国家和地区有望采纳这一标准，这意味着采纳这些准则的公司，有望在将来可以按照统一可比的、可证实的方式来向利益相关者沟通其可持续发展方面的故事。

2021年3月4日，美国证监会在其执法部下成立了一个气候和ESG工作组，旨在推动识别和处理上市公司在ESG方面存在的不当行为，并在2021年9月22日向公众公告了一些案例，以期推动公司更好地进行有关气候变化信息的披露。2022年3月，SEC发布气候相关风险披露新规的征求意见稿。此后，经过两年的准备，在充分考虑超过24，000份反馈意见和4500份单独回函的基础上，SEC于2024年3月8日发布了最终规则，这被视为对上市公司进行气候相关重大风险的披露起到很好的规范和提升作用，也为公司通常且可比地披露重大风险以及如何管理这些风险提供了基础。新规则的内容非常丰富，要求在SEC注册的公司披露对其战略、经营成果、财务状况等方面产生重大影响的气候相关风险，以及这些风险对公司的战略、商业模式和未来展望产生的实际或潜在的重大影响；同时要求公司披露用以减轻或适应重大气候风险所采取的措施或过渡计划、情景分析、内部碳价等信息；董事会对气候相关风险的监控、管理层在评估和管理重大气候相关风险中的角色等治理方面的信息；公司所使用的、用以评估和管理气候相关风险的流程；对公司业务、经营成果或财务状况产生或可能产生重大影响的指标或目标；披露温室气体排放方面的信息，并要求公司披露分阶段的目标，如果排放的影响是重大的，公司需要在未来填报一份鉴证报告；披露严重天气事件及其他自然状况对公司产生的财务报表影响，包括成本和损失方面的信息，等等。

2014年，欧盟委员会采纳了《非财务报告指令》（Non-Financial Reporting Directive， NFRD），

指令要求成员国需要在2016年将ESG相关的披露要求纳入国家法律之中。2019年，欧盟委员会采取了进一步措施，导入了所谓的欧洲绿色协议（European Green Deal），提供气候、能源、运输、税收等政策方面的引导措施，试图来减少温室气体排放并提振欧洲经济。为了遵循这一动议，欧盟委员会对NFRD进行了更新，并希望以一个更为综合性的可持续发展报告指南来指导公司实践，同时指令欧洲财务报告咨询组（European Financial Reporting Advisory Group， EFRAG）制定并发布准则，将ESG动议付诸实施。2023年7月，欧盟委员会对EFRAG起草的欧洲可持续发展报告准则（ESRS）审查后予以发布，第一批12个准则涵盖了气候变化、污染、水和海洋资源、生物多样化和生态系统、资源利用与循环经济、自己的劳动力、价值链中的工人、受影响的社区、消费者和终端用户等多个议题。这事实上是将企业自身经营活动、其价值链上下游的活动及其对环境和社会的影响都涵盖在内，通过披露企业对环境、社会的当期和预期影响，以及环境和社会因素对企业的当期和预期财务影响，来实质性地推动ESG理念的落地。

2024年2月8日，在我国证监会的统一部署下，上海证券交易所、深圳证券交易所和北京证券交易所（以下简称三大交易所）分别发布《上市公司自律监管指引——可持续发展报告（试行）（征求意见稿）》，并于2024年4月12日发布了正式稿，被视为我国资本市场在上市公司可持续发展报告披露领域的一项里程碑式的事件，既体现了深入贯彻落实党的二十大关于“推动经济社会发展绿色化、低碳化”的要求，也表明了监管部门希望通过加强可持续发展信息披露推动上市公司高质量发展，促进“双碳”目标的实现，以及推动经济、社会、环境可持续发展的期待。以上海证券交易所发布的指引为例，披露主体有望在2026年4月30日之前与年度报告同时发布公司的可持续发展报告。在披露原则上，要求披露主体采用双重重要性原则，即财务重要性和影响重要性，对披露主体具有财务重要性的，则分别按照治理—战略—影响、风险机遇管理—指标与目标为核心要素加以披露；在披露内容上，则分别针对温室气体排放、重大环境事件等负面信息做出明确规定，同时鼓励有条件的公司聘请第三方机构对温室气体排放等数据进行核查或鉴证，或对可持续发展报告进行鉴证。这些要求意味着我国上市公司定期披露ESG报告已经成为一项迫在眉睫的工作，如何将可持续发展的相关工作纳入公司的战略、文化、运营、风控等工作中，并通过提供高质量的可持续发展报告帮助利益相关者作出理性决策，成为一项现实的挑战。

二、内部审计应该在公司可持续发展和ESG报告方面发挥积极作用

当前，无论是美国、欧盟还是中国，监管部门对可持续发展商业信息的关注都提高到了一个新的高度。以美国证监会发布的《面向投资者的气候相关信息披露的提升和标准化》最终规则为例，其要求公司在其注册表及年报中披露特定的气候相关风险信息，内容至少包括下述五方面内容：一是重大的气候相关风险，要求公司必须披露所识别的有关气候变化相关的风险，以及这些风险对公司的业务战略、经营成果或财务状况有显著影响或预期可能产生的影响；二是公司采取的减轻或适应措施，即针对所识别出的气候相关风险，公司应该采取积极的应对措施，来减轻或适应这些风险，并在年报中披露这些措施方面的信息，比如，对应对风险所发生的重大开支进行定性和定量描述，以及根据管理层的估计，此类减轻或适应活动对公司财务估计和假设的重大影响；三是董事会的监督，即要求披露公司董事会对气候相关风险进行的监督；四是管理层的角色，即公司应该提供管理层在管理重大气候相关风险方面所扮演的角色；五是气候相关的指标或目标，也即对任何会显著影响公司业务、经营成果或财务状况的指标或目标，应该予以披露。

最终规则的内容非常丰富，但其意图是非常明确的，即通过提升气候相关信息披露的透明度和标准化，来确保投资者具有相关、可靠的信息来作出理性决策。对内部审计而言，这一新规则自然提供了新的工作领域，尤其是对信息披露的复核和确认要求，为了提供这些信息公司所建立的内部控制和工作流程，信息披露的合规性和质量等，需要内部审计发挥作用，并向董事会报告有关新规则的遵循情况。

作为现代公司治理的重要支柱，内部审计需要在内部控制、风险管理等领域扮演重要角色，然而，公开上市的公司往往面临着独特、复杂的报告要求，这给内部审计工作带来了新的风险和挑战。在既定的信息披露框架下，内部审计人员需要接受更多的培训，有更加清晰的工作指南，来帮助其更好地履行受托责任。

2022年2月，国际内部审计基金会及其赞助机构——国际内部审计师协会，以及安永会计师事务所共同合作，发布了一份名为《ESG优先——探讨内部审计作为关键协作方的角色》的报告，旨在通过问卷调查的方式，来研究公司如何应对ESG报告的挑战，以及如何发挥内部审计职能来推动ESG披露方面的作用。该问卷发放的对象是来自北美的首席审计官（Chief Audit Executives， CAEs）以及负责内部审计工作的董事。此次问卷调查共收到102份回函，相关结论可以为内部审计了解ESG报告现状、问题提供很好的视角，也为内部审计工作人员如何更好地发挥自己在ESG报告中的作用提供了指南。

第一，内部审计是否应该将ESG报告及其审计作为优先考虑的工作重点。显然，这取决于公司的战略和风险，也取决于投资者、董事会、管理层等利益相关者的要求。如果说内部审计在进行风险评估的基础上，得出ESG报告及其相关事项是公司面临的重大风险，那么在审计计划中就理所应当地应将其作为优先考虑的工作重点。然而，从2022年的问卷结果看，仍然有24%的CAEs所在的公司没有ESG项目，即使已经开展相关项目的公司，在ESG所覆盖议题、ESG项目的进展方面也有很大差异。

第二，公司提供ESG报告的内容和框架并不明确。从现有的法定要求看，美国、欧盟和中国对ESG报告的内容和格式要求并不一致，从气候变化，到多样性、公平性和包容性，从ISSB发布的两个准则，到EFRAG起草的12个准则，涵盖的议题存在很大差异。以我国资本市场为例，根据万德数据统计，沪深两地上市公司发布2022年度的可持续发展报告、ESG报告或社会责任报告的比率超过90%，上证180指数公司、科创50指数公司、深圳100指数公司、创业板指数样本公司都有很高的披露率，然而在披露质量上却存在参差不齐的现象，在双重重要性原则的运用，以及“治理—战略—影响、风险和机遇管理—指标与目标”核心要素的披露要求等方面，均无法体现出统一、可比、规范、透明的特征。如果说公司的实际做法不一致，披露的报告格式和内容不统一，那么内部审计工作自然而然将面临很大的挑战。

第三，ESG报告中涉及的数据难以获取和验证。以国际国内ESG报告中都涉及的温室气体排放为例，要想提供一份高质量的报告，就需要收集、评估和报告不同排放源的数据。比如范围1的直接数据，是来自于公司工厂、车辆排放的数据，这相对容易采集，但范围2的数据就涉及了商业旅行、员工通勤等第三方提供的数据，收集起来难度就增加了一些，等到范围3的排放数据，则涉及价值链上下游的公司，如购买的商品和服务、原油及能源相关的业务活动、运输和配送、运营过程中产生的废弃物、销售商品的使用和回收等，取决于供应商和客户的管理能力和习惯，数据很难取得。除此之外，一些规模很大的跨国公司，本身经营业务就非常复杂，区域、子公司、合资公司、参股公司众多，要将这些公司全部都包含在报告中，对温室气体排放进行准确的收集和计量并不容易，这就需要内部审计对公司的运营、价值链、商业模式、战略等有深度的了解，也需要对法律法规和相关政策文件有很好的掌握，以更好地检查提供给利益相关者的报告的准确性。

当然，目前还有不少公司没有把ESG纳入战略事项中，即使一些公司有了推动ESG工作的意识，但在资源投入、披露质量、内外部鉴证、相关人员胜任能力等方面都面临着诸多挑战，但内部审计人员不能够坐等这些问题得到自然而然的解决之后再参与其中，而是应该以一种时不我待的精神积极推动ESG工作的有效落地，在ESG风险评估、可持续发展报告披露的准确性和完整性等方面发挥重要作用。

三、内部审计在可持续发展和ESG报告中的角色探究

在公司积极响应外部利益相关者的信息需求，以及监管部门的强力推动下，通过ESG报告来披露公司可持续发展能力的做法已经成为一种必然。作为公司治理和风险管理的重要组成部分，内部审计理应在此过程中发挥协作者、推动者甚至引领者的角色，至少应该在以下几个方面予以积极应对。

首先，认清现状。ESG报告不是一项可有可无的工作，无论是投资者、交易所、董事会、管理层，还是供应商、客户、员工，大量的利益相关者日益关注财务数据以外的环境、社会和治理方面的信息，如无法提供高质量的ESG报告，很可能对公司可持续发展有关的资源获取能力、资金成本、产品及服务的提供能力等产生严重的负面影响。无论是当前有没有ESG报告，或者说通过单独的可持续发展报告、内部报告、网站信息等不同渠道来披露ESG信息，内部审计都应该认识到ESG报告的未来法定披露趋势，进而结合所在公司的实际，推动公司的治理层、管理层重视这一工作，并通过具体的ESG项目和风险管控措施，将相关议题工作落到实处。

其次，规划内部审计工作更好地介入ESG工作中来。每家公司的运营区域、经营环境、监管要求、价值链等都可能存在很大差异，在ESG的基础工作和进展方面也处于不同的发展阶段，是否需要提供ESG报告、何时提供ESG报告、ESG报告的内容和格式要求也不尽相同，因此，内部审计需要结合公司的实际，来规划自身对ESG工作的介入方式。例如，对还没有开展ESG工作的公司，内部审计可以提供一些咨询服务，包括为管理层提供如何建立一个有效的ESG控制环境的洞察；对已经开展ESG项目的公司，内部审计则可以进行内部控制的检查，如合理保证控制环境是有效的，披露的报告是值得信赖的，甚至进行经营审计和绩效审计等工作，以更好地推动ESG报告的标准化和透明度，从而建立利益相关者的信任。

第三，选择恰当的实施和披露框架。美国SEC的气候相关风险披露也好，三大交易所的可持续发展报告也罢，都属于合规性的范畴，也可以视为ESG报告的最低要求。一家有着远大抱负和清晰战略的公司，理应意识到ESG报告不是一项简单的操作，需要在商业模式、企业文化、价值链管理、可持续发展等方面做出更多努力。事实上，现有公司采用的ESG报告框架并不相同，典型的如全球报告倡议组织（the Global Reporting Initiative， GRI）、国际整合财务报告理事会（International Integrated reporting Council， IIRC）、可持续会计准则理事会（Sustainability

Accounting Standards Board， SASB）、气候披露准则理事会（Climate Disclosure Standards Board， CDSB）、气候相关财务披露工作组（Task Force on Climate-related Financial Disclosures，TCFD）等的不同报告框架和准则，这也给实务界带来了操作上的困扰和疑惑，导致可持续报告的工作内容和披露主题并不一致。即使是在美国国内，微软公司、苹果公司所披露的ESG报告的内容也存在较大差异。因此，对我国公司来说，要开展ESG报告工作，首先应该选择恰当的实施和披露框架，并尽量保持报告的包容性和可拓展性，在满足监管要求的基础上，明确ESG报告涵盖的具体议题，以符合成本效益的原则来提供高质量的可持续发展报告。对于内部审计而言，应在学习掌握已有披露要求、政策的前提下，根据自身的内外部环境选择恰当的实施和披露框架，并将可持续发展报告的具体要求与公司的日常运营、内部控制结合起来，依据清晰的框架来推动审计业务的高质量开展。

第四，将ESG相关的内部审计工作做到实处。内部审计应该在公司所采取的具体披露框架的基础上，明确需要监督和评价的有关可持续发展的数据点及相关的定性、定量指标，同时通过检查ESG报告、可持续发展的风险管理和内部控制有效性等，为董事会和管理层提供基本的独立确认服务。2020年，国际内部审计师协会更新了三线模型，来指导公司开展有效的治理、风险管理和内部控制，内部审计可以根据修订的三线模型，将ESG和可持续发展嵌入其中。比如，董事会等治理主体应建立监控和治理机制，整合战略目标和ESG、可持续发展方面的目标，清醒意识并积极参与到公司的ESG报告工作中来，其角色表现为诚信、领导力和透明；管理层则需要有效使用财务和非财务资本，在商业模式、经营活动等方面确保有效性，并有效评估ESG风险，建立起公司运营、ESG影响、与利益相关者的关系，尤其要在风险管理方面采取有效措施以达成公司的目标。落实到内部组织架构上，具体体现为一线业务部门提供产品或服务给客户并有效发挥管理风险的角色；二线辅助部门如法务、合规、财务等部门协同提供内部的专家，扮演支持、监控和挑战风险相关事项的角色；三线为独立于治理层和管理层的内部审计部门，通过对ESG相关数据披露及报告的内部控制流程提供合理保证，为利益相关者提供独立、客观的确认和咨询服务。除此之外，内部审计人员应加强与监管部门的沟通，努力将ESG工作与现有的风险管理、内部控制工作结合起来，通过建立有效的ESG或可持续发展报告的内部控制流程、发挥公司已有的ESG治理结构作用、识别并收集管理可持续发展相关的数据、持续监控并改善可持续发展报告的质量，来推动公司更好地达成可持续发展目标，为公司及其利益相关者创造价值。

四、结语

综上所述，可持续发展是目标，ESG报告是反映可持续发展商业信息的一个载体，气候相关的重大风险信息披露是ESG报告涵盖的一个议题。在没有统一格式规范和共识的前提下，提供高质量的可持续发展或ESG报告不是一项简单的工作，更不是一项可有可无的工作，它是对传统财务报告的一项有益补充，更是借此挖掘公司价值的驱动因素，能够为公司可持续高质量发展指明方向。在ESG报告成为一项法定披露要求的背景下，内部审计理应发挥更加积极的作用，通过提供扎实的确认和咨询活动，来帮助公司将可持续发展工作落到实处。在此过程中，内部审计应意识到这项工作的长期性和复杂性，努力提升自身的胜任能力，将ESG报告和可持续发展与现有的治理、风险管理和内部控制工作整合起来，在内部控制环境、风险评估、关键数据点的信息收集和处理、ESG报告的披露和质量等方面发挥协作和第三线作用，从而为公司及其利益相关者创造更多价值。

（作者单位：上海国家会计学院教研部，邮政编码：201702，电子邮箱：forym@snai.edu）

主要参考文献

[1]刘峰.会计·信任·文明[J].会计研究， 2015（11）：3-10+96

[2]袁敏.对内部审计职能拓展的思考[J].中国内部审计， 2021（1）：17-20

[3]COSO.Achieving Effective Internal Control Over Sustainability Reporting： Building Trust and Confidence Through the COSO Internal Control—Integrated Framework[R].June， 2023

[4]Elkington J.Enter the Triple Bottom Line[R/OL].http：//www.johnel Kington.com/archive/TBL-elkington-chapter.pdf， 2004-08-17

[5]IIA.Prioritizing Environmental，Social，and Governance：Exploring Internal Audit’s Role as a Critical Collaborator[R].Feb， 2022

[6]SEC.The Enhancement and Standardization of Climate-related Disclosures for Investors.Final Rules[R]，Mar， 2024