(1)內部稽核是ESG策略的關鍵部分
這篇"Internal Audit as a Critical Component of ESG Strategy"是由Isaac M. O'Bannon所寫、2024年8月12日在CPA Practive Advisor刊出的。
內部稽核是確保ESG成功的重要貢獻者。這些專家具備很多所需技能,協助相關流程及內控之建構。
像道德、社區關係、網路安全、治理、供應鏈、環境影響、安全及永續,都是ESG相關領域,其實也是傳統上內部稽核所重視的領域,因為這些都是組織的風險。ESG策略通常會以利害關係人利益的重要元素,把這些主題整合在同一個框架下。
內部稽核能夠評估流程以確保有效性,並包含適當的內部控制以減少重大風險,同時又確保監理遵循。內部稽核對於評估所蒐集資料之品質,也很重要,這可解決ESG策略與報告內的大痛點之一。最後,這些專家能夠獨立確認:ESG策略是否符合組織及利害關係人的策略目標。
以下是幾個特殊領域,或許可協助管理並增加價值。
風險與內控評估
風險辨識與評估是內部稽核的核心功能,儘管辨識ESG風險比傳統風險更有挑戰性,但是這應該被以其他實體風險一樣的方式處理。它應該包含的不僅是風險,還有機會--以創造、保留和實現組織真實價值。ESG風險之來源可透過現有工具加以辨識,比如先前的內外部查核、調查、媒體監控或現有風險盤點。如果組織還沒有做現有風險清單,那趕快制定一份。ESG風險很難預測,但是有可能造成重大衝擊,或這些衝擊會在很長一段時間後才會出現。
內控評估會協助辨識需要(或可能需要)對ESG做什麼控制,減少辨識出來的風險。以ESG為目的進行內控,可針對報導、資訊與資料蒐集、特殊ESG目標及承諾之達成等。ESG控制的內部控制評估,可包含在達成組織的目標與利害關係人利益之有效性與控制環境上的評估。
比較基準
依公認的成熟模型進行ESG計畫之基準比較,有助於定義組織當前的ESG目標和所欲的未來狀態。
監理評估
瞭解全球的現況,是負責ESG報導和遵循者的日常工作。一個合作性的內部稽核團隊,可以很快協助按全球及當地的ESG要求進行評估和報導。
資料品質之評估
典型上,組織能夠牢牢掌握財務資料,但是ESG報導與策略面對的是大量非財務(非量化)資料,或許難以取得、有可能沒有結構。雖然內部稽核在許多ESG指標上可能沒有自己的財務與非財務資料,但是一旦評估資料蒐集流程,內部稽核可確保資料是相關且可信的。正確性與完整性的概念,對財務、非財務指標都是相通的。還應該要額外關注:資料是否可用及時、一致的方式複製。資料品質應該以正面與負面指標加以評估。資料的可信程度如何?蒐集頻率如何?誰在蒐集的、用什麼流程蒐集資料?
建立對ESG之治理和監督
組織治理可提供所需的結構、監督及文化,以建立關於ESG的策略和目標。內部稽核可協助比對、定義強制性與自願性ESG要求,並增加所有ESG相關風險的廣泛意識。他們可向領導人提供建議,協助將ESG目標納入組織的文化和任務之內,並建議如何將這些優先事項落實到聘僱與人才取得上。
(2)全球法規浪潮中,內部稽核在加溫ESG上的角色
這篇是由Natalie Runyon所寫、2024年2月28日於Thomson Reuters刊出的"Role of internal audit in ESG heats up amid global wave of regulation"。永續事務至少在國內,從內部稽核角度談的不太常見,這一篇有其務實性,也是比較治理角度的。以下介紹一些要點。
歐盟的Corporate Sustainability Reporting Directive報導期限即將到來,而拉美、加州與亞洲的立法浪潮,也在帶動公司內稽部門重要性的提升,特別是關於ESG報導方面資料內控的驗證,以及因為許多國家都在要求要有第三方確信。
從公司治理角度看,內稽主管對董事會履行監督責任很重要,特別是在與審計委員會互動。的確,根據 International Sustainability Standards Board (ISSB),內稽主管的責任包括有風險管理、控制以及治理流程和政策,而且他們需要向董事會、審計委員會及重大利害關係人報告。
除此之外,內稽主管可對風險管理之資料控制及監督的必要性提供見解,就公司永續績效引導高階經理人,並協助處理永續資料控制的品質確認和審視。
內部稽核在ESG資料和報導上之角色,對於強化永續資訊之可用性非常重要,同時能改善永續資訊的價值、亦能進行驗證。可驗證的資料對投資人的意義是:資訊是可靠的,可被視為完整、中立且準確的。
此外根據ISSB,公司經常會仰賴適當的董事會監督、現有的內部控制,以及外部確信,作為資訊可信度的三個基本要素。
更特別的是,根據KPMG,內部稽核會提供兩種驗證ESG資訊的方法:確信和諮詢。在確信方面,內稽團隊會將ESG納入定期的稽核計畫,並協助確保資訊計算的方法(比如計算溫室氣體,以及報導指標之流程與程序)是準確、即時與一致的。這些團隊亦可檢視用以執行重大性或風險評估的機制,以確保這些評估會達成監理檔案審查之標準。而諮詢方面,稽核團隊可協助辨識出程序及內控中的落差—這些可能會模糊、並被視為揭露上的缺陷。
內稽部門也可代表公司長字輩主管、董事會,針對以下問題提出他們的看法:
*高階經理人對於所有ESG風險與機會所持之觀點,清晰度有多高?包括公司對現行、未來法規相關的遵循風險,以及多久檢視一次這些風險?
*公司對未來立法與監理期待之準備程度?
*ESG文化與風險管理,和公司ESG目標與策略之間的一致程度?
*當前對ESG的公眾評論為何?在支持這些外部目標上,公司關於資料的政策、程序以及控制之健全度如何?
對內稽團隊而言,協助組織的第一步是精通相關知識。內稽團隊應該積極進修、瞭解ESG報導標準的最新動態,以及與外部專家合作以便更能建立其專業、確保他們準備充分而能在公司ESG報導上扮演關鍵角色。取得認證(比如Institute of Internal Auditors所提供的Internal Auditing for Sustainable Organizations)是一個好的開始。
其此,整個稽核團隊(包括由公司法務、財務、遵循部門,以及負責企業風險管理計畫者提供意見)應該要跨部門地評估:採取哪些措施能最為有效。根據Deloitte,以下是內稽最需要審視的幾個領域:
進行同業基準比較—團隊應評估其公司的ESG策略成熟度,方法可透過與其他組織進行比較,並點出相關領域或需強化的機會。
審視治理角色—團隊可審視組織內的角色和責任分配,以利落實ESG策略及監督ESG問題。
確保ESG風險管理之品質—企業風險管理策略必須納入相關行動,以點出、評估關鍵ESG風險,並在整個組織內予以管理。內稽可支持管理階層辨識ESG風險,並將之整合到風險登記內。
評估管理ESG風險之架構—內稽團隊可審視公司當前的架構及標準,以驗證其是否充分、能適當落實,以及符合產業建議的架構和監理期待。
詳細審視政策與程序之文件—團隊亦可評估控制設計與運作之有效性、審視降低ESG風險之重要控制,以及發覺所有重大缺陷或落差。
資料來源:https://www.thomsonreuters.com/en-us/posts/esg/internal-audit-esg-regulation/
沒有留言:
張貼留言