2018年10月，COSO和WBCSD联合发布了关于《企业全面风险管理——应用于ESG相关风险》的指引，指引将企业环境、社会和管治方面的风险与机遇整合至COSO企业风险管理框架中，围绕治理与文化，战略与目标设定，绩效，评估与修正，信息收集、沟通和报告五大要素，就如何将COSO企业风险管理框架应用于ESG相关风险进行了详细说明。本文将以《指引》为参照，基于COSO企业风险管理框架的五大要素七个模块对可持续发展风险管理体系构建路径进行介绍。

企业不应仅将ESG作为合规流程或年度报告，ESG风险管理的目标是持续、迭代的，应将ESG相关风险纳入战略规划、业务决策和日常经营管理流程中，以及时识别ESG相关的威胁和机会。

良好治理，包括强有力的监督，是企业有效识别、评估和应对所面临各种风险的先决条件。将ESG相关风险纳入治理架构、体系和流程，对于应对企业在管理风险时所面临的挑战至关重要。企业董事会应具备充分的理解能力、适当的信息和经验/专业知识，以指导企业应对可能威胁业务战略或目标达成的ESG风险。在董事会或其专门委员会章程中增加ESG相关内容、建立专注于ESG相关风险和问题的专门委员会、选聘具有ESG知识和管理经验的董事等均有利于增强董事会层面的ESG风险理念。根据我们的观察，以中央企业上市公司为例，绝大部分的央企上市公司董事会成员已具备ESG相关的专业资质或从业经验，为建立良好的治理体系奠定了基础。

为恰当制定应对可持续发展风险的战略及目标，企业需正确理解自身的价值。妥善处理好与利益相关者之间的关系在企业的价值创造中至关重要，创造可持续发展的未来需要企业以更和谐的方式为所有的利益相关者服务，这驱动企业将价值创造的理念从单一向多元转变。

企业可参照权威评级机构的ESG评级体系，作为识别可持续发展相关风险的分析框架。明晟公司（即摩根士丹利国际资本公司，MSCI）的ESG评级模型ⁱⁱ 就是其中一个成熟的分析框架。根据该模型，企业可从以下3个层面、10项主题、35项关键议题/指标，分层分级对企业所涉及的可持续发展风险进行识别，建立可持续发展风险清单。

企业需建立可持续发展风险评分量化模型，按照风险发生可能性及影响程度两个维度，对可持续发展风险清单中的风险进行评估，分析各层级的风险和管理需求。除此之外，企业外部各类研究和分析报告所给出的风险评估结果，可为企业所借鉴，用以验证和更新风险评估结果。

以世界经济论坛的《全球风险报告》为例，最新一期的《全球风险报告》ⁱⁱⁱ 已于2022年1月发布。企业可关注报告指出的“未来10年内全球十大风险”，并对企业自身风险评估结果进行细化分类，聚焦定位重大风险。

尽管发生可能性和影响程度是风险评估的惯用标准。但相较于传统风险，可持续发展风险往往更宏观、涉及面更广、互相的关联性也更强，这些特点使得这类风险更难预测，风险评估工作也变得更加复杂。在这种情况下，仅仅依靠这两个衡量标准可能无法保证评估结果的合理性。因此，企业在对可持续发展风险进行评估排序时，还可以考虑以下额外的衡量标准：

除了选对衡量标准，企业在评价可持续发展风险时还可借助一些成熟的分析工具，例如：世界可持续发展商业理事会（WBCSD）提出的《自然资本协议工具包》（Natural Capital Protocol Toolkit）和《社会和人力资本协议工具包》（Social & Human Capital Protocol Toolkit）等。

企业应根据自身条件和外部环境，围绕可持续发展战略及目标，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承受、风险规避、风险追求、风险减轻、风险分担等恰当的风险应对措施，并确定相应的资源配置方法。

► 风险承受：不采取任何行动

当企业可持续发展目标所面临的风险处在风险偏好范围内且预期不会超出时，可以选择承受风险。但如果企业决定承受风险，还需密切监控该风险背后的假设。一旦这些假设发生变化，企业可能需要及时调整风险应对措施。

► 风险规避：消除风险

企业可能对某些可持续发展风险持零容忍的态度。在这种情况下，企业往往会停止某项业务，从而完全规避这些风险。

► 风险追求：将风险转化为机遇

风险应对通常侧重于企业价值保护，但对于可持续发展风险而言，有效的风险应对能够助力企业创造价值。例如商业和可持续发展委员会（Business & Sustainable Development Commission）2017年发布的研究报告称，至2030年，联合国可持续发展目标（United Nations Sustainable Development Goals，SDGs）可释放超过12万亿美元的商业机会，创造多达3.8亿个就业机会。

► 风险减轻：采取措施降低风险的严重性

当风险严重程度超出风险偏好时，企业一般会采取风险减轻的措施，将剩余风险降低至风险偏好范围内。典型的风险减轻措施通常包括如下要素：

• 策略，即制定新的策略、目标或指标来降低风险。

• 人员，即组建专门团队牵头实施新的风险应对方案，或提供培训和支持。

• 流程，即在企业内部或整个行业内建立行为标准和期望。

• 系统，即通过建立管理信息系统以对风险进行持续监控。

► 风险分担：转移或与其他单位分担部分风险

一些可持续发展风险对单个企业而言太大或太过复杂，独立应对难度很大。这种情况下，选择与其他组织共同分担风险往往有助于增强企业的风险应对能力。企业可以与专业机构、政府、监管机构、非政府组织、供应商、客户、社区，甚至竞争对手就特定的可持续发展问题进行合作，以达到分担风险的目的。

可持续发展风险通常较传统风险更为复杂，企业可能无法识别出所有潜在风险，或者对某些风险可能造成的影响提前做好充足准备。以气候变化风险为例，即使运用了最先进的评估工具甚至是最高精尖的仪器设备，企业可能依然很难提前预知某个极端气候事件到来的准确地点和时间。

为了提升在可持续发展风险发生时的恢复能力，企业应研究如何打出一套“组合拳”，例如，企业很难彻底杜绝极端气候事件发生，但可通过制定应急预案来明确响应流程、响应措施、上报路径等，为应对此类事件做好准备。同时，企业还可以利用业务连续性规划来准备应对风险带来的影响。

在选择和执行风险应对措施时，充分融入利益相关方的想法和意见至关重要。各利益相关方可为企业风险应对提供新思路，并共同打造战略性的解决方案。例如，对于一家制造行业企业而言，可能存在因产品安全性和绿色环保方面出现问题，从而影响企业收益的风险。在建立风险应对措施时，企业可以从战术和战略两个层面进行考虑，在战术层面加强生产环节的产品质量检测；在战略层面通过与价值链中各利益相关方的合作来进一步发掘解决风险的机遇，比如调研用户对于产品安全和性能的需求、加强与供应商的沟通以识别提升产品安全性和绿色环保的机会、与同行合作开发相关行业标准等。

此外，企业在开展ESG相关风险应对时，还可以利用各类数字化管理工具，以提升风险应对的效能。例如，安永自主开发的“企业碳管理套件”（EY Enterprise Carbon Management Suite），能够从信息共享、闭环管理、决策赋能等方面为企业应对碳排放风险提供数字化支持。

与传统风险相比，ESG相关风险因人口结构变化、新兴科学数据、技术创新、利益相关者意识的提高、信息透明度和对社交媒体访问机会的增加等因素而迅速发展变化。此外，一些ESG相关风险的固有性质可能使其难以被准确预测，尤其是气候相关的风险。受到这些动态因素的影响，企业应持续监控内部或外部环境的重大变化，以确定这些变化是否引发企业ESG相关风险状况的改变并需要管理层作出应对决策。内部环境的变化通常包括企业战略及经营目标变化、业务增长、改革、收并购、创新、风险偏好变化等，外部环境变化包括新监管要求、新兴技术、利益相关者期望的变化、更频繁或更极端的天气事件、行业发展趋势和竞争策略、全球大趋势的转变等。

内部沟通和报告的主要目的是为企业风险管理的方法和成效提供有效的决策信息。内部沟通和报告可以增强企业适当层级人员对ESG相关风险的认识，沟通这些风险的管理情况并提供信息以帮助企业做出更好的决策。

风险管理的外部沟通和报告以监管要求为主，企业需要报告风险管理过程并向特定的利益相关者披露关键风险。投资者对ESG相关信息的需求增加也促使越来越多的企业自愿公开披露ESG相关信息。