扩展企业中的环境、社会和公司治理与风险管理:快速指南

环境、社会和治理实践正面临日益严格的监管审查。贵公司的第三方风险管理计划在评估这些风险方面是否设计完善?

Mitratech 员工
Mitratech 员工 四月26,2021 6 分钟阅读

如今,企业面临着日益严峻的挑战,需要应对环境、社会和治理(ESG)实践及报告要求。利益相关方、客户和监管机构都希望确保与其互动及投资的企业秉持相同的价值观和承诺。ESG的核心在于组织的诚信度——无论自愿、法规还是合同约定的义务,企业所作出的承诺都应贯穿于整个组织的运营实践中。

什么是ESG?

ESG涵盖了企业行为的广泛领域:

  • E = 环境:衡量 并报告组织在自然世界与环境管理方面的价值观和承诺。包括对组织在气候变化、废物管理、污染、资源使用与枯竭、温室气体等环境举措的报告与监测。
  • S = 社会责任:衡量 并报告组织在对待人员方面的价值观与承诺。 涵盖员工与客户/合作伙伴关系、人权(如反奴役)、多元包容、反骚扰与歧视、个人隐私保护(含员工及其他群体)、工作条件与劳工标准(如童工、强迫劳动、健康安全),以及企业如何参与并回馈社会及运营所在社区。
  • G = 治理:衡量并报告组织在符合其价值观和承诺的背景下所展现的文化与行为。这包括财务与税务策略、举报机制与问题报告、韧性建设、反贿赂与反腐败、安全保障、董事会/高管层多元化与结构,以及整体透明度与问责制。

企业面临的最大ESG挑战在于其延伸企业体系。当今的现代组织已不再局限于实体建筑与传统雇员。 现代组织实为由供应商、经销商、承包商、外包商、服务提供商、临时工、经纪人、代理商、经销商、中介及合作伙伴构成的第三方关系网络。事实上,当你穿梭于企业走廊或参与会议时,会发现半数接触对象并非正式员工,而是第三方人员。当这些关系嵌套于分包关系和层级供应链中时,情况将更为复杂。

ESG 合规性

监管机构尤其关注ESG合规问题,相关法规中早已包含ESG要素。若干反贿赂与腐败(ABAC)法规的典型代表包括:美国的《反海外腐败法》(FCPA)、英国的《反贿赂法》(UKBA)以及法国的《萨潘二号法案》。人权相关法规同样重要,涵盖美国《维吾尔强迫劳动预防法》、英国《现代奴隶制法案》、美国《多德-弗兰克法案》下的《冲突矿产法》以及《加州供应链透明度法案》。 当然,ESG还涵盖隐私相关法规,例如欧盟《通用数据保护条例》(GDPR)、加州《消费者数据保护条例》(CDPR)等众多法规。这些法规均涉及ESG的不同维度,且每项法规都影响着企业与第三方关系的延伸领域。

如今我们正见证着更广泛的ESG法规出台。欧盟正推进《企业尽职调查与问责指令》,该法案极可能于今夏最终立法。该法案要求企业在组织内部及整个第三方关系网络中持续开展环境与人权倡议的尽职调查及报告工作。德国已通过《德国尽职调查法》予以支持,该法案同样将于今夏最终定稿。 德国该法案常被称为《供应链法》,因其核心关注点在于企业第三方关系中的ESG实践。

ESG如何影响第三方关系

大势已定:企业亟需构建其ESG战略、流程及报告体系。在企业体系日益复杂的背景下,这尤为关键。第三方治理与风险管理中需重点关注的要素包括:

  • ESG的适用范围。并不存在适用于所有行业和不同规模组织的通用ESG方案。尽管存在共同要素,但金融服务领域的ESG风险与石油公司截然不同。每个组织都需根据自身性质,结合风险特征与监管要求,界定其ESG的适用范围并制定相应方案。
  • 根据ESG风险对第三方进行分类。要在扩展企业中处理ESG问题,需要明确了解组织拥有何种类型的关系、这些关系在全球哪些地区运作,以及每种关系在ESG背景下给组织带来的风险。
  • 初步尽职调查。机构需建立并记录新合作关系的入职流程。这要求通过外部ESG数据库核查验证合作关系,包括监控/制裁名单、政治敏感人物名单、安全评级、财务评级及声誉/品牌名单。还需通过入职评估问卷对第三方进行全面评估,某些领域可能需要现场检查/审计。 在此流程中,第三方必须确认并承诺遵守相关政策,例如供应链/供应商行为准则。
  • 持续尽职调查。挑战在于尽职调查/评估并非一次性活动,而是持续进行的过程。这包括定期一致的第三方数据库核查,以及通过问卷调查和现场检查进行的周期性评估。 第三方数据库核查可每日持续进行,而周期性评估调查通常每年开展一次。但当关键风险指标触发时——例如某供应商出现问题——可能启动周期性评估之外的专项评估。
  • ESG报告。整个流程的核心在于建立可辩护的ESG报告能力。企业必须能够清晰呈现其延伸至第三方关系的ESG状况,并将该职能纳入更广泛的组织ESG报告与披露流程之中。

现实情况是,现代企业错综复杂的第三方关系网络,已无法通过文档、电子表格和邮件等人工流程来有效管理ESG流程并及时提供洞察。依赖人工流程将使企业陷入低效困境,既无法洞悉风险,又会导致疏漏和遗漏。 企业需要构建强大的信息技术架构,以实现第三方治理、风险管理和合规管理,从而在整个扩展企业范围内完成ESG尽职调查与报告工作。

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。