Heutzutage stehen Unternehmen immer mehr vor der Herausforderung, sich mit Umwelt-, Sozial- und Governance-Praktiken (ESG) und der Berichterstattung darüber auseinanderzusetzen. Stakeholder, Kunden und Aufsichtsbehörden wollen sichergehen, dass die Unternehmen, mit denen sie zu tun haben und in die sie investieren, die gleichen Werte und Verpflichtungen haben wie sie. Im Mittelpunkt von ESG steht die Integrität des Unternehmens. Was das Unternehmen verspricht – also seine freiwilligen, gesetzlichen oder vertraglichen Verpflichtungen – muss im ganzen Unternehmen umgesetzt werden.
Was ist ESG?
ESG deckt ein breites Spektrum des Verhaltens eines Unternehmens ab:
- E = Umwelt: Maßnahmen und Berichte zu den Werten und Verpflichtungen der Organisation hinsichtlich des Umgangs mit der Natur und der Umwelt. Dazu gehören die Berichterstattung und Überwachung der Umweltinitiativen der Organisation in Bezug auf Klimawandel, Abfallwirtschaft, Umweltverschmutzung, Ressourcennutzung und -erschöpfung, Treibhausgase und Ähnliches.
- S = Soziales: Maßnahmen und Berichte zu den Werten und Verpflichtungen der Organisation hinsichtlich ihres Umgangs mit Menschen. Dazu gehören Mitarbeiter- und Kunden-/Partnerbeziehungen, Menschenrechte (z. B. Bekämpfung von Sklaverei), Vielfalt und Inklusion, Bekämpfung von Belästigung und Diskriminierung, Schutz der Privatsphäre von Personen (sowohl Mitarbeitern als auch anderen), Arbeitsbedingungen und Arbeitsnormen (z. B. Kinderarbeit, Zwangsarbeit, Gesundheit und Sicherheit) sowie die Art und Weise, wie sich das Unternehmen engagiert und der Gesellschaft und den Gemeinschaften, in denen es tätig ist, etwas zurückgibt.
- G = Governance: Maßnahmen und Berichte über die Kultur und das Verhalten der Organisation im Kontext und in Übereinstimmung mit ihren Werten und Verpflichtungen. Dazu gehören Finanz- und Steuerstrategien, Whistleblowing und Meldung von Problemen, Resilienz, Bekämpfung von Bestechung und Korruption, Sicherheit, Vielfalt und Struktur des Vorstands/der Geschäftsleitung sowie allgemeine Transparenz und Rechenschaftspflicht.
Die größte ESG-Herausforderung in Unternehmen ist das erweiterte Unternehmen. In modernen Unternehmen geht es heute nicht mehr um physische Mauern und traditionelle Mitarbeiter. Das moderne Unternehmen ist ein erweitertes Netzwerk von Beziehungen zu Dritten wie Lieferanten, Anbietern, Auftragnehmern, Outsourcern, Dienstleistern, Zeitarbeitern, Maklern, Vertretern, Händlern, Vermittlern und Partnern. Wenn Sie durch die Flure eines Unternehmens gehen und an Besprechungen teilnehmen, werden Sie vielleicht feststellen, dass die Hälfte der Menschen, mit denen Sie zu tun haben, keine Mitarbeiter, sondern Dritte sind. Dies wird noch komplizierter, wenn diese Beziehungen sich in Unterauftragsverhältnissen und verschachtelten Lieferketten verflechten.
ESG-Einhaltung
Die Aufsichtsbehörden legen besonderen Wert auf die Einhaltung von ESG-Vorschriften, und ESG-Aspekte sind schon seit geraumer Zeit in Vorschriften enthalten. Einige Beispiele für Gesetze zur Bekämpfung von Bestechung und Korruption (ABAC) sind der Foreign Corruption Practices Act (FCPA) der Vereinigten Staaten, der Bribery Act (UKBA) des Vereinigten Königreichs und Sapin II in Frankreich. Es gibt auch Gesetze und Vorschriften zum Schutz der Menschenrechte, darunter das US-amerikanische Gesetz zur Verhinderung von Zwangsarbeit der Uiguren (Uyghur Forced Labor Prevention Act), das britische Gesetz zur Bekämpfung der modernen Sklaverei (Modern Slavery Act), das US-amerikanische Gesetz zu Konfliktmineralien im Rahmen des Dodd-Frank-Gesetzes (Conflict Minerals Law under the Dodd Frank Act) und das kalifornische Gesetz zur Transparenz in Lieferketten (California Transparency in Supply Chains Act). Und natürlich umfasst ESG auch Datenschutzgesetze wie die General Data Protection Regulation (GDPR) der Europäischen Union, die Consumer Data Protection Regulation (CDPR) Kaliforniens und viele andere. Jede dieser Vorschriften berührt Aspekte von ESG und wirkt sich auf die erweiterten Unternehmensbeziehungen zu Dritten aus.
Nun sehen wir noch umfassendere ESG-Vorschriften. Die Europäische Union treibt die Richtlinie über die Sorgfaltspflicht und Rechenschaftspflicht von Unternehmen voran, die höchstwahrscheinlich noch in diesem Sommer endgültig verabschiedet wird. Diese verlangt eine kontinuierliche Sorgfaltspflicht innerhalb des Unternehmens und in allen Beziehungen zu Dritten hinsichtlich Umwelt- und Menschenrechtsinitiativen und der Berichterstattung darüber. Deutschland hat bereits ein Gesetz zur Unterstützung dieser Richtlinie verabschiedet, das deutsche Sorgfaltspflichtgesetz, das ebenfalls noch in diesem Sommer endgültig verabschiedet werden soll. Das deutsche Gesetz wird oft als Lieferkettengesetz bezeichnet, da der Schwerpunkt auf ESG-Praktiken in den Beziehungen eines Unternehmens zu Dritten liegt.
Wie ESG sich auf Beziehungen zu Dritten auswirkt
Die Zeichen stehen auf Veränderung: Unternehmen müssen damit beginnen, ihre ESG-Strategien, -Prozesse und -Berichterstattung zu strukturieren. Dies ist insbesondere im Kontext der Komplexität des erweiterten Unternehmens von entscheidender Bedeutung. Einige wichtige Komponenten, die im Rahmen der Governance und des Risikomanagements von Drittanbietern berücksichtigt werden müssen, sind:
- Umfang von ESG. Es gibt kein einheitliches ESG-Programm, das für Unternehmen aller Branchen und Größenordnungen gleichermaßen geeignet ist. Zwar gibt es gemeinsame Elemente, doch unterscheiden sich die ESG-Risiken im Finanzdienstleistungssektor von denen eines Erdölunternehmens. Jedes Unternehmen muss die Besonderheiten seiner Organisation berücksichtigen und den Umfang und das Programm seiner ESG-Maßnahmen auf der Grundlage seines Risiko- und Regulierungsprofils festlegen.
- Kategorisierung von Dritten nach ESG-Risiko. Um ESG im erweiterten Unternehmen anzugehen, muss man genau wissen, welche Arten von Beziehungen die Organisation hat, wo auf der Welt diese Beziehungen bestehen und welche Risiken jede Beziehung im Zusammenhang mit ESG für die Organisation mit sich bringt.
- Anfängliche Sorgfaltspflicht. Unternehmen benötigen einen dokumentierten und festgelegten Prozess für die Aufnahme neuer Beziehungen. Dazu muss die Beziehung anhand externer ESG-Datenbankprüfungen wie Beobachtungs-/Sanktionslisten, Listen politisch exponierter Personen, Sicherheitsbewertungen, Finanzratings und Reputations-/Markenlisten überprüft werden. Außerdem ist eine gründliche Bewertung von Dritten anhand eines Fragebogens zur Aufnahmeprüfung erforderlich, und in einigen Bereichen können Vor-Ort-Inspektionen/Audits erforderlich sein. Im Rahmen dieses Prozesses ist es erforderlich, dass der Dritte die entsprechenden Richtlinien, wie z. B. einen Verhaltenskodex für Lieferanten/Zulieferer, anerkennt und bestätigt/zustimmt.
- Laufende Sorgfaltspflicht. Die Herausforderung besteht darin, dass die Sorgfaltspflicht/Bewertung keine einmalige Aktivität ist, sondern ein kontinuierlicher, fortlaufender Prozess. Dazu gehören regelmäßige, konsistente Überprüfungen von Datenbanken Dritter sowie periodische Bewertungen anhand von Fragebögen und Inspektionen. Datenbankprüfungen von Dritten anhand von Listen können täglich durchgeführt werden, während regelmäßige Bewertungen in der Regel einmal jährlich stattfinden. Wenn jedoch wichtige Risikoindikatoren ausgelöst werden, z. B. wenn bei einem Lieferanten ein Problem festgestellt wird, kann dies eine Bewertung außerhalb der regelmäßigen Bewertungen auslösen.
- ESG-Berichterstattung. Dieser gesamte Prozess läuft darauf hinaus, über eine vertretbare ESG-Berichterstattungsfähigkeit zu verfügen. Das Unternehmen muss in der Lage sein, ein klares Bild der ESG-Aspekte in seinen erweiterten Beziehungen zu Dritten zu vermitteln und diese Rolle in die umfassenderen ESG-Berichterstattungs- und Offenlegungsprozesse des Unternehmens zu integrieren.
Die Realität sieht so aus, dass moderne Unternehmen mit ihrem Netz aus Beziehungen zu Drittanbietern ESG-Prozesse nicht realistisch verwalten und zeitnahe Einblicke liefern können, wenn sie dafür manuelle Prozesse nutzen, die in Dokumenten, Tabellen und E-Mails verwaltet werden. Wenn man sich auf manuelle Prozesse verlässt, wird das Unternehmen durch Ineffizienz, mangelnde Einblicke in Risiken und übersehene oder verpasste Dinge ausgebremst. Unternehmen benötigen eine robuste Informations- und Technologiearchitektur für die Governance, das Risikomanagement und die Compliance von Drittanbietern, um ESG-Due-Diligence-Prüfungen und Berichterstattungen im gesamten Unternehmen durchführen zu können.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
