När vi arbetar med kunder för att stödja deras efterlevnad av ny lagstiftning om leverantörskedjan får vi ofta frågan hur långt de behöver gå för att tillfredsställa tillsynsmyndigheterna. Detta blir allt vanligare eftersom kraven på rapportering ökar och företagen hamnar i ett metaforiskt regulatoriskt nät.
Vad vill (och behöver) de personer som ansvarar för due diligence-rapporteringen om leveranskedjan veta? Enkelt uttryckt, när är tillräckligt, tillräckligt?
Det ärliga svaret på denna fråga, som kanske inte låter så hjälpsam till en början, är att det inte finns något rätt svar. Det beror verkligen på en mängd olika faktorer. För att förstå vad som är tillräckligt för din organisation måste vi titta på den faktiska lagstiftningen.
Lagstiftning om due diligence i leverantörskedjan, t.ex. EU:s CS DDD, Lieferkettengesetz, BRSR Core, Australiens Modern Slavery Act och liknande lagstiftning som växer fram över hela världen, anger mycket tydligt vilka förväntningar som finns på efterlevnad. För det första brukar lagstiftningen innehålla krav på att organisationer ska tillämpa en riskbaserad metod för tillbörlig aktsamhet i leverantörskedjan. För det andra anges att de ansträngningar som görs för att göra detta måste stå i proportion till organisationens verksamhet och försörjningskedjans komplexitet.
Riskbedömningen bör inte utgöra en orimlig börda, men organisationerna bör se till att den ansträngning som görs är lämplig för deras affärsverksamhet och de risker som är förknippade med denna verksamhet.
När man tänker efter är detta naturligtvis helt logiskt. ESG-riskhantering i leverantörskedjan kan aldrig göras på ett sätt som passar alla. En privatägd kedja av smörgåsbutiker med 1 000 anställda kommer att ha helt andra risker än en multinationell tillverkningsorganisation som köper in råvaror från flera kontinenter, och lagstiftningen tar med rätta hänsyn till detta. Det betyder inte att smörgåsbutikerna inte kommer att ha någon risk, men den grundläggande riskprofilen kommer att vara mycket lägre relativt sett och därför är förväntningarna på dem, när det gäller riskbedömning av försörjningskedjan, proportionellt sett lägre.
Så hur identifierar du vad som är lämpligt för ditt företag? För att göra detta rekommenderar OECD:s Due Diligence Guidance for Responsible Business Conduct att man genomför en ”bred kartläggning” för att skapa en bild på hög nivå av risken i hela leveranskedjan. Detta breda, tvärvetenskapliga tillvägagångssätt är en integrerad del av en framgångsrik due diligence av leverantörskedjan och avgörande för organisationer som måste kunna visa för de relevanta tillsynsmyndigheterna att de förstår sina risker och att de har ”gjort tillräckligt” för att minska dem.
Men att göra tillräckligt blir en allt större utmaning. Strukturen och omfattningen av dagens leverantörskedjor innebär att ESG-frågor och deras orsaker kan vara extremt svåra att identifiera, förstå och eliminera. Intensiva och ihållande ansträngningar krävs för att övervaka och rapportera med den frekvens som krävs. De uppgifter som behövs för att uppfylla kraven går utöver vanliga verksamhetsgränser, och ofta kan datakällor med tveksamt ursprung, noggrannhet eller tolkning bli primära informationskällor som undergräver grunden för riskbedömning, hantering och efterföljande offentliggörande – vilket utgör ett betydande hot mot ett företags rykte och dess efterlevnad av lagstiftningen.
När vi på Achilles arbetar med organisationer för att stödja deras efterlevnad av ESG- och andra regelverk förlitar vi oss därför aldrig på data från bara en källa, och vi förlitar oss inte på information som enbart samlas in genom webbgenomsökning. Istället börjar vi alltid med att samla in och bedöma data från ett brett spektrum av källor, inklusive (men inte begränsat till) dokumentation från organisationer i din leverantörskedja, offentligt tillgänglig och historisk information från internet och undersökningsrapporter från icke-statliga organisationer och välgörenhetsorganisationer. Det är unikt att vi också tar med information från vårt omfattande, globala program för personliga revisioner och röster från arbetstagare som samlats in under många års intervjuer i liknande branscher och regioner för att skapa en fullständig bild av risken i er leveranskedja.
Det är denna nivå av detaljerad analys och insikt som underlättar en heltäckande redovisning och ger dig självförtroendet att du har ”gjort tillräckligt”. Först när en korrekt bild har skapats är det verkligen möjligt att gå vidare till nästa steg på vägen mot att ”göra tillräckligt” – att införliva kvalitetsledningsprinciper i en riskbaserad due diligence-metod för mänskliga rättigheter.