Risikobewertungen durch Dritte in den Bereichen Umwelt, Soziales und Unternehmensführung (ESG) sind ein wichtiges Mittel, um sicherzustellen, dass Ihr Unternehmen mit Partnern zusammenarbeitet, die seine Werte teilen. Gleichzeitig können sie dazu beitragen, Reputationsschäden, Betriebsstörungen und behördliche Sanktionen aufgrund von ESG-Problemen in Ihrer Lieferkette zu vermeiden.
Die Studie „The Prevalent 2021 Third-Party Risk Management” hat jedoch ergeben, dass nur 45 % der Unternehmen ESG-Risiken in ihren erweiterten Ökosystemen aktiv verfolgen. Was hält Unternehmen davon ab, ESG-Risiken von Drittanbietern zu bewerten?
In diesem Artikel beschreiben wir das regulatorische Umfeld für ESG-Kriterien bei Drittanbietern, zeigen häufige Hindernisse bei der ESG-Risikobewertung auf und stellen einige Best Practices für den Umgang mit ESG-Kriterien in Ihrem Risikomanagementprogramm für Drittanbieter vor.
Die ESG-Aufsicht durch Dritte wird ausgeweitet
Obwohl ESG-Risiken nichts Neues sind, gehen die Gesetzgeber immer aggressiver vor, um Gesetze zu erlassen, die sich mit Umweltbedrohungen, Ungleichheiten bei der Einstellung und Arbeit sowie Fragen der Unternehmensführung (z. B. Bestechung und Korruption) befassen. Beispiele hierfür sind:
- Das kalifornische Gesetz zur Transparenz in Lieferketten verpflichtet Unternehmen dazu, ihre Bemühungen offenzulegen, um sicherzustellen, dass die von ihnen verkauften Waren nicht von Arbeitnehmern hergestellt werden, die zu Zwangsarbeit gezwungen werden.
- Das Europäische Gesetz zur Sorgfaltspflicht von Unternehmen zielt darauf ab, die Ansätze der Mitgliedstaaten der Europäischen Union (EU) zur Durchsetzung von Menschenrechts- und Umweltgesetzen an den schwächsten Stellen in den Wertschöpfungsketten von Organisationen zu vereinheitlichen: ihren Beziehungen zu Dritten.
- Der britische Bribery Act
ermutigt Unternehmen, die Anti-Korruptionsmaßnahmen ihrer Lieferanten durch externe Überprüfungen und Kontrollen zu validieren. - Das britische Gesetz gegen moderne Sklaverei (Modern Slavery Act) verpflichtet Unternehmen dazu, jährlich eine Erklärung zu veröffentlichen, in der sie detailliert darlegen, welche Maßnahmen sie ergriffen haben, um sicherzustellen, dass in ihrem Unternehmen oder ihrer Lieferkette keine moderne Sklaverei stattfindet.
- Der US-amerikanische Foreign Corrupt Practices Act verbessert die Corporate-Governance-Praktiken, indem er von in den USA börsennotierten Unternehmen verlangt, Aufzeichnungen zu führen und interne Rechnungslegungskontrollen einzurichten, um Transaktionen aufzudecken, die als Bestechung angesehen werden könnten.
Jedes dieser Gesetze sieht konkrete Strafen für zuwiderhandelnde Unternehmen vor, und einige sehen auch Haftungsansprüche für Organisationen vor, die die Dienste von Zuwiderhandelnden in Anspruch nehmen.
Manuelle Bewertungsprozesse erschweren ESG-Bewertungen und -Berichterstattung durch Dritte
Die Prevalent-Studie, aus der hervorgeht, dass weniger als die Hälfte der Unternehmen ESG-Risiken aktiv verfolgt, ergab auch, dass 42 % der Unternehmen nach wie vor Tabellenkalkulationen zur Bewertung ihrer Drittanbieter verwenden. Das Sammeln von Umweltverträglichkeitserklärungen, Einstellungsrichtlinien und Governance-Praktiken von großen Lieferantengemeinschaften kann ein mühsamer manueller Prozess sein, bei dem es keine Möglichkeit gibt, Risiken konsistent aufzudecken, zu bewerten oder zu gewichten. Der Rückgriff auf manuelle Prozesse belastet Risikomanagementteams mit Ineffizienzen, schränkt umsetzbare Erkenntnisse ein und kann dazu führen, dass wichtige Risiken übersehen werden.
Bewährte Verfahren für ESG-Risikobewertungen durch Dritte
Die öffentliche Kontrolle von ESG-Praktiken nimmt zu, und die Strafen für ESG-Verstöße werden immer strenger. Diese verstärkte Aufmerksamkeit hat die Schwächen manueller Ansätze zur Bewertung von ESG-Risiken bei Anbietern und Lieferanten offenbart. Wie können Sie also sicherstellen, dass Ihr Unternehmen vor diesen Risiken geschützt ist?
GRC 20/20 hat einen neuen Bericht mit dem Titel „Managing ESG Risks Across the Extended Enterprise”(Management von ESG-Risiken im gesamten Unternehmen) veröffentlicht, in dem die wichtigsten Best Practices vorgestellt werden, die bei der Entscheidung über die Ausweitung des Risikomanagements für Dritte auf ESG-Risiken zu berücksichtigen sind. Hier finden Sie eine Vorschau auf einige der Best Practices, die Sie in dem Bericht finden.
- Profilieren Sie Anbieter, um Bewertungen zu erfassen: Die Kategorisierung von Dritten anhand von Branche, Standort, erbrachten Dienstleistungen und regulatorischem Profil kann Ihnen dabei helfen, Ihre ESG-Risikobewertungen zu priorisieren und zu planen.
- Führen Sie eine erste Sorgfaltsprüfung durch: Überprüfen Sie während der Onboarding-
phase den neuen Lieferanten anhand von ESG-Datenbanken wie Beobachtungs-/Sanktionslisten, Listen politisch exponierter Personen, Sicherheitsbewertungen, Finanzratings und Reputations-/Markenlisten. - Führen Sie fortlaufende Sorgfaltsprüfungen durch: Gehen Sie über die anfänglichen Datenbankprüfungen hinaus, indem Sie automatisierte Bewertungen durch Dritte durchführen, die sich auf regulatorische Fragebögen stützen und Nachweise zur Validierung erfordern.
- Bericht über wichtige ESG-Anforderungen: Führen Sie eine regulatorische Berichterstattung durch und gleichen Sie ESG-Risiken in Bezug auf Cybersicherheit, Datenschutz und finanzielle Risiken ab, um einen ganzheitlicheren Überblick über jeden Dritten zu erhalten.
Der Bericht identifiziert anschließend die wichtigsten Funktionen der Prevalent Third-Party Risk Management Platform, die diese Best Practices umsetzen.
Nächste Schritte für das ESG-Risikomanagement durch Dritte
Für eine vollständige Analyse der ESG-Risiken von Drittanbietern und Informationen darüber, wie Prevalent Ihnen helfen kann, laden Sie „Managing ESG Risks Across the Extended Enterprise” herunter, erfahren Sie mehr über unsere ESG-Lösungen oder fordern Sie noch heute eine Demo an unter
.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
