控制环境是一个相互关联的内部控制系统、内部审计职能、风险治理、合规职能、环境与安全风险管理、子公司治理以及涉及公司董事会、管理层和其他人员的外部审计控制的相关要素。它为实现与运营、报告和合规相关的目标提供合理保证,并涵盖公司及其子公司。
报告应遵循全球公认的披露标准(如国际可持续发展标准委员会即将发布的《国际财务报告准则》[IFRS] 可持续发展披露标准、《欧洲可持续发展报告标准》以及《全球报告倡议组织》),并展示公司在内部控制、风险治理和管理、内部审计以及合规性方面与可持续发展相关的披露力度。国际金融公司公司治理矩阵还包含与控制环境报告相关的要素。
内部控制系统
特雷德韦委员会赞助组织委员会(COSO)将内部控制定义为一个由实体的董事会、管理层和其他人员实施的过程,旨在合理保证以下各类目标的实现:
- 运营的有效性和效率
- 财务报告的可靠性
- 遵守适用的法律法规
内部控制系统是以下手段
- 按照规定的政策和程序开展业务。
- 企业遵守适用的法律法规。
- 保护企业资产和信息不被不当使用。
内部审计职能
内部审计职能的设立是为了向董事会和管理层提供独立、客观的合理保证,确保建立了充分的内部控制。最佳做法是,内部审计职能部门有自己的章程,并直接向董事会审计委员会报告。外部审计可合理保证财务报表是根据公认的会计原则编制的,财务报表真实、公平地反映了公司的财务状况和经营成果。此外,外部审计应包括一封管理信函,重点说明审计过程中发现的内部控制系统缺陷。
风险治理
风险治理是全公司范围内识别和管理当前风险和新出现风险的系统和结构,包括董事会在监督公司风险偏好的建立以及监督风险管理框架和职能方面的作用。最近,风险治理已扩展到监督和监测与可持续发展相关的风险。
合规
合规是一项建立合规框架的职能,在此框架内,公司可证明其符合法律、法规、合同、战略以及内部政策和程序中的具体要求。
子公司治理
子公司治理至关重要,因为子公司可能会给母公司和集团内其他公司带来财务、运营和声誉风险。几起备受瞩目的公司丑闻都源于子公司。当一些集团子公司拥有少数投资者时,良好的子公司治理就变得尤为重要。
充分披露子公司治理情况可解决以下问题:
- 母公司识别和监控其所有子公司的能力
- 控制子公司设立和解散的既定政策和程序
- 集中的子公司治理职能,根据复杂程度对子公司进行分类,并对每个类别适用适当的治理框架
- 母公司董事会对子公司的组织结构和活动进行监督,同时实现平衡并尊重子公司及其董事的作用
-
国际良好做法
2013年特雷德韦委员会赞助组织委员会(COSO)的《内部控制综合框架》帮助企业设计和实施内部控制,以适应不断变化的业务和运营环境,将风险降低到可接受的水平,并支持合理的决策和治理。
Source: Internal Control-Integrated Framework:医疗保健提供商行业实施指南》,第 5 页 五个组成部分中的每个组成部分都包含三到五项原则,共计 17 项原则。这些原则构成了框架的核心,描述了如何实施有效的内部控制。当所有原则都存在并发挥作用时,公司就实现了有效的内部控制系统。如下图所示,每项原则又细分为若干重点,解释了该原则如何在实践中发挥作用。
Source: Protiviti Global Business Consulting. -
可持续发展报告的内部控制
2023 年 3 月,COSO 发布了一项开创性的研究报告,为企业利用全球公认的 COSO 内部控制综合框架实现对可持续发展报告的有效内部控制提供了补充指导。COSO 相信,使用该框架将在环境与社会治理 (ESG) 和可持续发展报告、公开披露和企业决策方面建立信任和信心。
实现可持续发展报告的有效内部控制 (ICSR):通过COSO 内部控制综合框架建立信任和信心》利用过去二十年来在将COSO 内部控制综合框架应用于财务报告方面所获得的重要知识,将 "可持续发展报告的内部控制 "这一术语引入了内部控制词典。
了解更多信息:实现可持续发展报告的有效内部控制 (ICSR):通过 COSO 内部控制综合框架建立信任和信心
顾问 Douglas Hileman总结了 ESG 报告不同于财务报告的三个属性:控制与影响、定量与定性、历史性与前瞻性。点击此处阅读全文
内部控制系统
说明董事会、审计委员会和高级管理层在公司内部控制系统中的作用,包括以下方面:
- 财务会计和报告控制;
- 非财务会计和报告控制,包括对可持续发展活动相关数据的控制;
- 运营控制,包括可持续发展和利益相关者风险;
- 合规控制,包括道德与合规:道德准则、举报人制度、反腐败措施。
内部审计职能
说明董事会如何履行职责,确保公司财务诚信和运营诚信,包括
- 内部审计员向审计委员会报告的情况以及与管理层的关系;
- 内部审计的主要活动、挑战和结论;
- 如何履行内部审计职能,包括是否由第三方提供相关服务;
- 对可持续性政策和做法以及信息技术和安全系统的评估。
- 董事会如何确保对控制缺陷采取纠正措施,包括外部审计员信函中强调的缺陷。
国际良好做法
内部审计职能应
- 独立、客观、基于风险,并拥有无限的活动范围和胜任的人员;
- 由第三方定期进行质量评估;
- 直接向审计委员会报告,并在行政上向管理层报告。
审计委员会应批准年度内部审计计划。
审计委员会
说明审计委员会的作用和审议情况,包括对以下方面的监督:
- 准确的财务报表;
- 内部和外部审计职能;
- 关联方交易
- 可持续发展信息的质量;
- 风险监督和管理(如果没有风险委员会)。
出版物
欧盟委员会《企业可持续发展报告指令》为审计委员会分配了一系列有关公司可持续发展报告和保证的任务。
欧洲会计师协会的《ESG 治理》:针对审计委员会的建议》概述了审计委员会的预期作用和责任,并考虑了相关欧盟立法和利益相关者的要求。其中包括针对审计委员会在环境、社会和公司治理方面责任的建议,重点关注审计委员会在环境、社会和公司治理报告和保证方面的能力、组成和责任。
了解更多信息: 欧洲会计师协会的ESG 治理:对审计委员会的建议,2022 年;国际会计师联合会 (IFAC):审计委员会监督可持续发展相关信息披露的关键问题》,2023 年。
外聘审计员
说明外聘审计员的下列情况:
- 任期、资格和独立性,以及长期合作对独立性的影响;
- 外聘审计师的非审计工作及其对审计独立性的影响(如有),以及审计和非审计费用的细目;
- 外部审计质量的定期评估;
- 对外聘审计师致管理层函中提出的问题采取的纠正措施;
- 用于监督外聘审计师有效性的任何审计质量指标;
- 审计委员会在监督外聘审计师和审查外聘审计师独立性方面的作用。
风险偏好
风险偏好是公司为实现其战略而准备接受的风险的总体水平和类型。您的报告应涉及以下内容:
- 总体风险偏好、风险能力和公司的风险状况;
- 如何确定风险偏好;
- 使用的定量和定性措施;
- 每项重大风险的最大风险容忍度;
- 组织的董事会是否批准了公司的风险偏好。
国际良好做法
包括定性和定量信息。风险偏好应向下延伸至业务运营。
将可持续发展风险(包括与气候相关的风险)纳入风险管理和风险报告。
即将发布的《国际财务报告准则》(IFRS)可持续发展披露准则有一个单独的风险管理支柱。"与可持续性相关的风险管理财务披露的目的是让通用财务报告的用户了解与可持续性相关的风险和机遇的识别、评估和管理过程。这些披露应使用户能够评估这些过程是否被纳入实体的整体风险管理程序,并评估实体的整体风险状况和风险管理程序"([草案]《国际财务报告准则》S1 披露可持续发展相关财务信息的一般要求,第 28 页,第 25 段)。
欧洲可持续发展报告准则草案ESRS 2:2022 年 11 月起的一般披露》将这一支柱命名为 "影响、风险和机会管理",因为欧洲披露准则注重双重实质性,包括财务和影响的实质性。该支柱涵盖重要性评估过程的披露、机会报告,以及管理可持续发展重大事项的政策和行动的披露内容。
风险评估和风险管理
说明识别、监控和控制风险的方法,包括确定风险事件的应对措施。说明公司如何评估其风险控制的有效性,以确定风险水平是否在公司的风险承受范围之内。
整合可持续发展
说明如何将可持续发展风险纳入风险管理框架,包括如何将气候相关风险纳入公司各个层面。
风险监督
说明董事会通过正式的风险管理委员会或审计委员会对风险管理进行监督和控制的责任。
内部审计师协会的 "三条线模式"是风险治理的国际标准,强调参与风险管理的人员之间的关系,以确保风险管理和控制系统的有效性,并对其监督负责。
通过以下方式说明合规在管理可持续性和气候相关风险与机遇方面的作用:
- 说明必须遵守的环境和社会法律、法规、行业或公司政策和承诺;
- 报告如何确保遵守这些法律、法规、政策和承诺;
- 遵守内部行为准则或道德规范,包括供应链中的行为准则或道德规范;
- 遵守与环境和社会问题相关的规章制度,包括污染、腐败和贿赂以及工人待遇;
- 供应链合规计划,该计划能够更好地控制供应链并提高其可见性,对于披露范围 3 排放的气候至关重要。
提供公司的组织结构图,包括子公司和控制程度,以及子公司的管辖范围、业务范围、资产和收入等信息。
说明作为控制环境一部分的子公司治理框架,包括以下内容:
- 法律实体的创建和解散;
- 子公司董事会的结构和组成;
- 根据战略重要性和复杂性对子公司进行分类;
- 子公司在董事会层面的监督;
- 将母公司的审计和内部控制流程应用于子公司;
- 需要母公司批准的交易的升级程序。
国际良好做法
母公司应利用其内部审计职能来评估子公司治理措施的健全性和合规性。
董事会应确保公司的财务和非财务信息披露能够相关、忠实、及时地向股东和其他利益相关者反映重大事件。包括环境、社会和公司治理信息在内的综合披露和透明度对公司的内部管理和治理至关重要。利益相关者、投资者和监管机构对这种披露和透明度的要求越来越高。
股息披露
领导实践建议公司在年度报告中披露股利政策。股利政策通常规定了按股东持股比例分配给股东的收益百分比。处于成长期的公司通常选择不分红,而较为稳定和成熟的公司则将分红作为吸引注重收入的投资者的一个特点。
税务披露
领导层的做法建议公司披露税务透明度报表,其中通常包含公司在企业税务方面的战略和政策说明,以及公司在不同辖区和业务分部的实际纳税额。
公司游说活动与其公开声明的宗旨和战略之间的一致性,是长期目标一致性的核心组成部分,对长期价值创造至关重要。监督这种一致性对于公司的整体透明度和目标追求至关重要。
全球报告倡议组织》和《欧洲可持续发展报告标准》都有游说以及财务和实物政治献金的衡量标准。