德勤-如何审计环境、社会及管治风险及报告

审计计划方法 14 开始:评估环境、社会和治理问题风险 19 oard 2缺，污染，废物和其他环境因素相关的风。ESG业务关题包括劳动力和供应链信息、产品质量和安全、人力资本主题(如员工健康和安全)以及董事会结构和多样性的信息;高管薪酬;关键企业弹性;以及关于游说、政治捐款、贿赂和自2020年以来，全球对环境，社会和治理(ESG)问题，合急剧增长。在气候变化影响的背景下，社会COVID9大流行，消费者，员工，投资者准了他们对企业发挥作用。美国注册专业会计师协会(AICPA)，特许管理会计师协会(CIMA)和中心审计质量(CAQ)在其最近的出版物“ESG报告和证明：审计ESG者的关注，但社会和治理问题也上升到最前沿。现在，即使利益相关者期望导致对ESG透明度，问责制和保证的需求不断增加。在美国和全构都开始起草和实施更正式的ESG绩效标准。但许多利益相关者正在更进一步，推动企业守是不够的。消费者、资本投资者、员工和其他利益相关者希望企业整合ESG考虑展业务的核心。他们想要强大的ESG价值主张和绩效，他们准备隐瞒他们的业务，资金和准和框架将帮助您指导ESG审计，风险管理和报告活动。但是，您的组织需要付出SG何推动ESG审计工作的具体细节之前，重要的是要关注长期价值创造的宏观ESG业务那样，消费者，资本投资者和员工都“正在寻找将目标置于其运营核心的组织，关心和股东价值。因此,追求利益相关者价值和健康的环境有助于企业实现财务价值的最大化。”r将ESG数据纳入投资分析和决策。越来越多的债权人发放贷款，根据ESG调整利率4支持更好地报告财务和运营指标(如ESG)的需求。例如，2021年11月，国际财务报告准则基金会(IFRS)宣布成立国际可持续发展准则委员会(ISSB)补充国际会计准则理事会(IASB)发布关于更好公司披露的准则。此外，综合报告委员会(IIRC)和可持续发展会计准则委员会(SASB)于2021年6月并入价值报告基金会(VRF)，以“帮助企业沟通其长期驱动因素”露详细了解最新的SEC披露要求都很清楚他们将受到ESG的影响。根据2021年审计委员会对北美900多名风险和合规专过60%的受访者预计会产生重大或中等影响，不到四分之一的受访者预计影响会很低，只不确定。然而，在这种背景下，只有不到一半的受访者表示，他们目前在内部审计计划和范ESG5ESG性指标并将其整合到其企业报告中。他们必须准备披露相关、透明ESG由此产生的财务影响。为了实现这些披露，他们必须采用相同的财务报告纪律和重证。须以一种推动长期价值创造的方式整合ESG考虑因素。因此，让我们开始制定ESG，将风险转化为机遇？您如何创建报告，不仅要反映您的ESG？“了解哪些威胁，更重要的是，机遇了可持续发展的压力现在对未来的业务。”“考虑如何重新配置业务运营，以加速向更高可持续性的转型。“利用周边商业生态圈创造竞争优势。什么？也许是时候拓宽和扩展您的视野，从更大、更长远的角度思考ESG如何重塑您的行来。可能还是时候在组织内部进行长期研究，看看您今天可以做些什么来可持续地创新产品寻找机会，从战略上利用更广泛的商业生态系SG动合作伙伴或供应商的ESG能力，或者与其他行业领导者合作，就更可持续的业务实践达成负责推动组织协调，管理ESG风险，并实现ESG报告和价值创造目标。这不仅包括明显源、财务、战略、重要的是，各职能部门必须协同工作，以协调ESG工作，确保ESG6•董事会、首席执行官和管理层作为第一道防线，制定更广泛的ESG愿景/战略，建立“自上而下的基•职能部门通过管理、监控和降低ESG风险(拥有数据并保持对支持ESG风险管理和报告的有效流程、控制和策略的责任)成为第二道防线。•内部审计是最后一道防线，将ESG风险和合规性考虑因素整合到审计计划中，同时推动围绕重大ESG风部审计负责测试相关控制和风险，就ESG报告提供建议，并验证风险缓解活动。内泛的风险管理能力向组织提供建议，以及预测和调整工作与新兴的ESG风险、战略候相关风险考虑因素”的报告所指会(PCAOB)标准要求内部审计师进行风险评估，包括了解公司及其环境。这些评估现在必须考虑ESG风险AICPA提供“财务报表审计中ESG相关事项的考虑”的实践帮助。图4提供了内部审计员考虑因素的高级7理、监控和报告ESG风险和机遇需要在有效的治理结构中建立强大的控制环ESG计划，并进行审计，以确保控制环境是合理的。目标是扩展您已经在做的事情，以纳入ESG效审计需要更加关注数据质量，因为内部审计致力于验证和评估ESG风险和报告数8法的独特ESG主张来查看活动，开始确定内部审计计划的关键问题。这些断言要求您根、准确性、及时性、截止性和可理解性(清晰度)断言外，独特的ESG断言还包括：.平衡—您是否对ESG活动提供了全面、平衡的观点？您是否不仅确定了成就和进步，还确定了局先考虑的ESG利益相关者？您是否将他们纳入了您考虑ESG影响的方式？.优先级—您的组织最需要关注哪些ESG主题？您如何看待潜在的ESG风险影响？这种思维如何指导告时间表要求根据有意义的标准进行量身定制的风险评估。采用基于风险的方法有助ESG现，影响是最重要的。影响评估是最高的。者来说，什么最重要？这与您最重要的影响有何重叠？对于许多公司来说，这是一个称为“重要助确定ESG战略和披露的重点领域。图形910基于风险的ESG审计方法就需要考虑其他因素。下图提供了几个以ESG为中心。11中？答案取决于几个因素，包括度、您的位置、您运营所在的ESG好。下面介绍了最常ESG能已经足够成熟，可供内职责？是否提供了必要的资否到位完成的，并且具有适当的详细程度和特异性？源数据是否度关注或低风险偏好的ESG领域，组织可能希望进行更有针对性的审查。这些深入研究可ESG流程和其他单独的ESG计划元时间内更大的样本量。内部审计团队可能会定期检查点，例如六个月的签到或缓解计划，并有效修复问题。然而，在其他情况下，内部审计小组可以进行重点12方法ESG应考虑综合审计方法。这种方法可以用作任何审计务的脉搏检查，提供合理的保证，确保与ESG相关的活动得到适当的识别，考虑和记法可能非常简单，只需将以ESG为中心的问题添加到内部审计师使用的规划文档或清ESG低”，另有12%的受访者“不确定”。换句话说，不到三分之一团队拥有重要的ESG知识。超过56%的受访者表示，这种知识差距是他们将ESG纳入内部审G•通过有针对性的培训或通过全球报告倡议组织的专业认证计划或主管委员会的ESG证书计划等认证投资ESG能力时，首先要在您的组织内部寻找有动力提高该领域技能的专业人员。内部型变革计划的经验奠定了基础，为进入ESG的跳板奠定了坚实13的组件结合在一起，获得关于组织如何将内部审计的纪律，结构和严谨性ESG目前评估ESG主题涉及重要的解释，但内部审计可以开始通过以下方式简化判断：扩展到ESG，并直接将ESG报告与财务报告相结合。标准以及流程和控制的视角来看待ESG的努力。.了解ESG将在整个内部审计生命周期中实施，从年度和持续的风险评估，审计计划和审计执行到报告和14ESG力在很大程度上取决于内部控制的设计和有效性。如果没有有效的控制，就无法。可能是将ESG与风险管理和财务报告更好地集成。这在实践中会是什么样子？“利用COSO内部控制综合框架提高对可持续发展绩效数据的信心”，这是由SASB和管理会计师协会(IMA)的个人作者撰写的白皮书，提供了有关如何实现这一目标的观点和策略。基本思想是，赞助组织委员会(COSO)框架可以帮助组织将通常应用于财务报告的ESG(即如何衡量，管理和验证ESG信息)的严格性。作者的目标是帮助组织更好地使用、保证和传达ESG数据，同时强调专业•设定“控制”意识(通常来自管理层和董事会)，指导ESG报告目标，同时为管理控制所需的流程和纪律奠•建立组织对创建结构的承诺，这些结构对内部控制开发和绩效提供合乎道德，独立，可持续和负责任•以明确的目标为指导，支持识别和分析特定的ESG风险，以实现组织目标。•考虑内部和外部利益相关者的需求。•识别和评估影响内部控制的变化(例如，监管变化、并购、地理风险、技术部署)。控制活动•制定政策和程序，以创建有效减轻或管理已识别的ESG风险的活动。•在可行的情况下适当地定制所有活动类型。信息和通讯•收集或生成及时、相关和可靠的ESG数据，以支持内部控制的有效运作。•验证适当的绩效衡量标准(例如，关键绩效指标或KPI)和沟通流程是否到位，以描述和共享内部和外部的•使用风险评估来指导选择要监控和披露的最重要ESG因素。监控•使用评审活动(与作为控制活动执行的评审分开)来支持组织评估所有COSO组件是否存在并正常运行。•采用业务流程中内置的持续评估，定期单独评估(例如，由内部审计进行)或独立的第三方审查。•及时将缺陷传达给负责纠正措施的人员。15就像2002年的《萨班斯-奥克斯利法案》(SOX)教会我们建立与财务报告相关的有效内部控制治理一样•使用演练叙述、流程图和风险/控制矩阵(RCM)记录流程和控制。•确定支持流程和控制的应用程序和IT常规控件(ITGC)。G个组织的文化思维方式。平台来促进更广泛的集成风险管理方法的好处已经得到了很好的记录。同样的基本面ESG计划，组织应考虑从包含所有ESG风险，目标，指标和披露的单一记录系益相关者都基于单一事实来源开展工作，组织就可以利用企业软件来解决运行ESG16•缺乏可见性对有效的优先级—有如此多的不同组件需要跟踪，并且有如此多的组织从头开始构建计从哪里开始。一次解决每个问题既不现实，也无效;相反，内部审计团队应考虑风先要解决哪些ESG计划的优先级。在手动环境中，您可能缺乏查明哪些风险最重技术可以提供识别和评估ESG风险所需的强大、灵活的风险评估功能，标准化您监控它们，并推动有关它们如何随时间演变的见解。此外，它还为团队提供他们ESG力跟踪ESG的技术可以支持您的组织快速调整和调整ESG工作的能力将每个要求映射到特定的计源系统的可审计证据来证明ESG散的所有者和系统收集证据的手动流程可能效率低下、工作量大，并且容易ESG被安置在一个单一的记录系统中，团队就可以利用工作流程来简化证据收集过程。所有者可以定期(例如，每月)收到上传数据的提醒，并且组织可以随时访问及时和可审您的公司的发展和新的ESG披露要求的编纂，实现及控、提升数据驱动的见解以及准备/部署行动或缓解计划所需的透明度可能具有挑帮助您避免在年终或其他报告截止日期出现意外情况(例如，数据过时、KPI未按预期达到、为时已晚而无法解决的合规性问题)。利用由单个记录系统支持的统一风险仪表板，团队可现“行动呼吁”，提高响应问•劳动密集型的报告—在准备最终报告时，手动报告过程可能涉及与一系列孤立的利益相关者和分类的有相关数据都存在时，报告得到简化。也就是说，报告与支持它们的流程一样好。技术可以通过强大的流程来支持17ESG举措不仅仅是为了降低风险。最终，有些战略目标必须通过绩效来衡量。通过互联风险平台应对ESG战略业务目标和机遇的影响成本，吸引投资者，留住员工，并增加公司对环境、社会和治理问题的影响。互联风险软件关者所需的价值创造见解，此外还可以提供有关如何部署资源、简化流程以及提高透。18险。如果您的组织与其他组织合作，您可能还希望使用这些问题来开始评估其ESG风险•组织是否创建了支持有效ESG风险管理的治理结构和文化？•组织是否制定了一项战略，以加强高层管理人员的内部意识和承诺(设定“高层基调”)？•有关ESG风险的信息是否向董事会报告？•ESG战略和风险偏好是否在整个组织中持续级联，包括限制和指标？•新产品和服务是否考虑了与ESG相关的风险？量和分析•组织是否定义了一致、全面的ESG量化方法？•压力测试是否经过调整以反映ESG风险的长期范围？监测和报告•如何将ESG风险监控和报告整合到现有风险实践中？组合和资本管理•是否有与将ESG风险整合到现有风险管理框架中相关的潜在资本附加组件？•是否有ESG风险相关产品和服务组合需要管理？统据？•组织及其供应商、借款人和其他第三方需要哪些“新”数据元素？操作风险模型,人,和文化•是否已确定ESG风险的所有权和责任，是否与其他风险类型相关联？•组织如何监控和理解复杂且不断变化的监管环境？•组织如何利用ESG技能来吸引和保留资源？