Wenn wir mit Kunden zusammenarbeiten, um sie bei der Einhaltung neuer Rechtsvorschriften für die Lieferkette zu unterstützen, werden wir häufig gefragt, wie weit sie gehen müssen, um die Aufsichtsbehörden zufrieden zu stellen. Dies wird immer häufiger der Fall sein, da die Anforderungen an die Berichterstattung zunehmen und die Unternehmen sich in einem metaphorischen Netz von Vorschriften wiederfinden.
Was wollen (und müssen) die für die Berichterstattung über die Sorgfaltspflicht in der Lieferkette zuständigen Personen wissen? Einfach ausgedrückt: Wann ist genug, genug?
Die ehrliche Antwort auf diese Frage, die auf den ersten Blick vielleicht nicht sehr hilfreich klingt, lautet, dass es keine richtige Antwort gibt. Das hängt wirklich von einer Vielzahl von Faktoren ab. Um zu verstehen, was für Ihre Organisation ausreichend ist, müssen wir uns die aktuellen Rechtsvorschriften ansehen.
Rechtsvorschriften zur Sorgfaltspflicht in der Lieferkette wie die EU CS DDD, das Lieferkettengesetz, der BRSR Core, der australische Modern Slavery Act und ähnliche Gesetze, die in der ganzen Welt entstehen, legen die Erwartungen an die Einhaltung der Vorschriften sehr klar dar. Erstens schreibt der Gesetzgeber den Unternehmen in der Regel vor, bei der Sorgfaltsprüfung innerhalb der Lieferkette einen risikobasierten Ansatz zu wählen. Zweitens heißt es, dass der Aufwand, der dafür betrieben wird, in einem angemessenen Verhältnis zur Geschäftstätigkeit des Unternehmens und zur Komplexität der Lieferkette stehen muss.
Insbesondere wird in den Leitlinien in der Regel auf die „Angemessenheit der Risikobewertung“ verwiesen, d. h. die Risikobewertung sollte keine unangemessene Belastung darstellen.
Wenn man darüber nachdenkt, ist das natürlich völlig logisch. Das ESG-Risikomanagement in der Lieferkette kann niemals auf eine einheitliche Art und Weise erfolgen. Eine in Privatbesitz befindliche Kette von Sandwich-Läden mit 1000 Beschäftigten hat ganz andere Risiken als ein multinationales Produktionsunternehmen, das Rohstoffe aus mehreren Kontinenten bezieht, und die Gesetzgebung erkennt dies zu Recht an. Das soll nicht heißen, dass die Sandwich-Läden kein Risiko haben, aber das grundlegende Risikoprofil ist relativ gesehen viel niedriger, und daher sind die Erwartungen an die Risikobewertung in der Lieferkette erwartungsgemäß entsprechend geringer.
Wie können Sie also herausfinden, was für Ihr Unternehmen geeignet ist? Zu diesem Zweck empfiehlt die OECD Due Diligence Guidance for Responsible Business Conduct die Durchführung eines „broad scoping exercise“, um ein umfassendes Bild der Risiken in der gesamten Lieferkette zu erhalten. Dieser breit angelegte, multidisziplinäre Ansatz ist ein wesentlicher Bestandteil einer erfolgreichen Due-Diligence-Prüfung in der Lieferkette und der Schlüssel für Unternehmen, die gegenüber den zuständigen Regulierungsbehörden nachweisen müssen, dass sie ihre Risiken verstehen und „genug“ getan haben, um sie zu mindern.
Aber es wird immer schwieriger, genug zu tun. Die Struktur und das schiere Ausmaß der heutigen Lieferketten bedeuten, dass ESG-Probleme und ihre Ursachen extrem schwer zu erkennen, zu verstehen und zu beseitigen sind. Es bedarf intensiver und nachhaltiger Bemühungen, um die geforderte Häufigkeit der Überwachung und Berichterstattung zu gewährleisten. Die für die Einhaltung der Vorschriften erforderlichen Daten gehen über die normalen betrieblichen Grenzen hinaus, und ohne die nötige Sorgfalt können Datenquellen mit fragwürdiger Herkunft, Genauigkeit oder Interpretation oft zu primären Informationsquellen werden, die die Grundlage für die Risikobewertung, das Management und die anschließende Offenlegung untergraben – was eine erhebliche Bedrohung für den Ruf eines Unternehmens und seine Einhaltung der Vorschriften darstellt.
Aus diesem Grund verlassen wir uns bei Achilles, wenn wir mit Unternehmen zusammenarbeiten, um sie bei der Einhaltung von ESG-Richtlinien und weiter gefassten Vorschriften zu unterstützen, nie auf Daten aus nur einer Quelle und auch nicht auf Informationen, die ausschließlich aus dem Web-Crawling stammen. Stattdessen beginnen wir immer mit der Sammlung und Bewertung von Daten aus einer Vielzahl von Quellen, einschließlich (aber nicht beschränkt auf) Unterlagen von Organisationen in Ihrer Lieferkette, öffentlich zugänglichen und historischen Informationen aus dem Internet und Untersuchungsberichten von Nichtregierungsorganisationen und Wohlfahrtsverbänden. Einzigartig ist, dass wir auch Informationen aus unserem umfassenden, weltweiten, persönlichen Auditprogramm und die Stimmen von Arbeitnehmern, die wir über viele Jahre hinweg in ähnlichen Branchen und Regionen befragt haben, einbeziehen, um ein vollständiges Bild der Risiken in Ihrer Lieferkette zu zeichnen.
Dieses Maß an detaillierter Analyse und Einsicht erleichtert eine umfassende Offenlegung und gibt Ihnen die Gewissheit, dass Sie „genug“ getan haben. Erst wenn man sich ein genaues Bild gemacht hat, kann man zum nächsten Schritt auf dem Weg zu „doing enough“ übergehen – der Einbeziehung von Qualitätsmanagement-Grundsätzen in einen risikobasierten Ansatz der menschenrechtlichen Sorgfaltsprüfung.