Wie wirken sich Ethik, Compliance und Diversität auf das Risiko für Dritte aus?

Amanda: Hallo zusammen. Ich gebe euch einen Moment Zeit, damit ihr alle hereinkommen könnt. Willkommen, willkommen, willkommen, willkommen zu unserem zweiten Webinar hier bei Prevalent of the Year. Wir haben heute ein wirklich spannendes Thema mit einer unglaublichen Diskussionsrunde und wir werden uns auf Ethik, Compliance und Vielfalt konzentrieren. Es wird keine Präsentation geben. Es wird nur eine Video-Diskussion mit den Diskussionsteilnehmern geben, und wir werden uns natürlich über Ethik, Compliance und Vielfalt unterhalten. Ich möchte nur noch ein paar organisatorische Dinge für alle durchgehen. Wir schalten alle stumm. Wir können euch auch nicht sehen, aber wir zeichnen die Sitzung auf. Ich möchte euch bitten, die Fragen und Antworten unten zu stellen. Wir möchten, dass dies interaktiv ist. Stellen Sie so viele Fragen wie möglich oder möchten Sie an die Podiumsdiskussion richten. Was die Aufzeichnung angeht, so erhalten Sie diese morgen in Ihrem Posteingang. Das wäre alles von meiner Seite. Ich werde nun die Liste der Podiumsteilnehmer durchgehen und Ihnen vorstellen, wer dabei sein wird. Oh, ich bin übrigens Amanda von Prevalent. Ich bin die Moderatorin. Das habe ich vergessen zu erwähnen. Wir haben also Alba Imodar. Sie ist Leiterin der Beratungsgruppe für Third-Party-Governance bei BNY Melon. Alba ist verantwortlich für strategische Planung, organisatorische Umstrukturierung, Kundenbeziehungsmanagement, Compliance und Risiko. Sie überwacht die Strategie und Umsetzung funktionsübergreifender Übergangspläne für neue Geschäftsmöglichkeiten und hochkarätige komplexe Initiativen für bestehende Kunden. Im Laufe ihrer Karriere hat sie sich als Führungskraft im Management komplexer Kundenbeziehungen, im Risikomanagement und in der Transformation einen Namen gemacht. Willkommen, Alpa. Vielen Dank, dass Sie bei uns sind.

Alba: So viel Amanda.

Amanda: Natürlich. Und wir haben auch Tracy Davis. Sie ist Partnerin in der New Yorker Niederlassung von Syarch in der Abteilung für Handelsstreitigkeiten und im globalen Datenschutz- und Cybersicherheitsteam der Kanzlei. Als sehr erfahrene Prozessanwältin vertritt sie Unternehmenskunden bei Verstößen gegen bürokratische Pflichten, irreführenden Geschäftspraktiken und komplexen Vertragsstreitigkeiten sowohl vor Gericht als auch außerhalb von Gerichten und in Schieds- und Mediationsverfahren. Das ist eine ganze Menge. Okay. Sie ist außerdem zertifizierte Datenschutzfachkraft und verfügt über Erfahrung in der Erstellung rechtlicher Rahmenbedingungen und der Beratung von Akteuren aus Schwellenländern, Vorstandsmitgliedern und Führungskräften in Bezug auf die Einhaltung von Vorschriften und die Minderung von Prozessrisiken sowie in der Navigation durch die sich ständig verändernde Landschaft von Fintech, KI und ESG. Willkommen, Tracy Davis. Vielen Dank, dass Sie bei uns sind.

Tracy: Danke für die Einladung.

Amanda: Natürlich. Tut mir leid, wenn ich ein paar dieser Wörter verhunzt habe, aber wir wissen schon, was gemeint ist.

Tracy: Keine Sorge.

Amanda: Und zu guter Letzt natürlich die einzigartige Brenda Ferraro, unsere Vizepräsidentin für Risiken durch Dritte bei Prevalent. Sie wird unsere Moderatorin sein und diesen starken Frauen wichtige Fragen stellen, die ihr euch anhören und aufmerksam verfolgen solltet. Damit, Brenda, übergebe ich das Wort an dich.

Brenda: Vielen Dank, Amanda. Das war großartig. Das hast du gut gemacht.

Amanda: Danke.

Brenda: Tracy und Ala, ich freue mich sehr, dass ihr heute hier seid. Wir werden über ein sehr aktuelles und wichtiges Thema sprechen, das derzeit in den E-Mail-Postfächern aller zu finden ist und auch in Zukunft weiterhin präsent sein wird: ESG für Umwelt, Soziales und Unternehmensführung sowie Ethik, Vielfalt und Compliance. Und inwiefern betrifft das eigentlich Dritte? Wisst ihr, wir haben sehr hart daran gearbeitet, sicherzustellen, dass wir Informationen über unsere Drittanbieter sammeln, vielleicht sogar bis zur n-ten Partei in Bezug auf Cybersicherheit, Geschäft oder Finanzen. Aber jetzt hat sich der Umfang völlig vergrößert. Wir betrachten jetzt so viel mehr. Ich habe also einige Fragen, die ich Ihnen beiden stellen werde, und wir werden über Strategien und alle Informationen sprechen. Aber bevor wir das tun, habe ich einen rechtlichen Haftungsausschluss, da wir einen Rechtsberater in der Leitung haben. Ich werde diesen also kurz vorlesen, bevor wir mit einem weiteren organisatorischen Punkt beginnen. Dann kommen wir auf die Fragen zurück. Was unsere heutige Diskussion angeht, so möchten wir darauf hinweisen, dass die Teilnehmer nur in ihrer persönlichen Eigenschaft sprechen und nicht im Namen ihres Arbeitgebers oder ihrer Kunden. Der Inhalt dieser Präsentation dient nur zu allgemeinen Informationszwecken und sollte nicht als Rechtsberatung oder Rechtsgutachten zu bestimmten Fakten oder Umständen ausgelegt werden . Nun zu unserem regulären Programm. Ich hätte das wohl schneller sagen sollen. Sie wissen ja, wie das bei Radiosendungen ist. Okay, die erste Frage, die ich habe, richte ich an Tracy: Angesichts der zunehmenden Bedeutung von Diversität und Inklusion, die durch die Aufmerksamkeit der Märkte für ESG-Faktoren vorangetrieben wird, wie sieht die aktuelle Rechtslage für öffentliche und private Unternehmen und ihre Vorstände in Bezug auf ESG im Allgemeinen und Diversität und Inklusion im Besonderen aus?

Tracy: Das ist eine gute Frage, um dieses Gespräch zu beginnen, denn ESG steht für Umwelt, Soziales und Unternehmensführung und umfasst eine ganze Reihe verschiedener Faktoren, die sich sowohl an Stakeholder innerhalb eines Unternehmens als auch innerhalb des Marktes richten. Ähm, und warum es jetzt so wichtig ist, zu verstehen, wie die Landschaft aussieht, liegt daran, dass diese Landschaft noch sehr jung ist und es insbesondere hier in den USA noch nicht viele Vorschriften und Regeln gibt. Ähm, ähnlich wie in den frühen Phasen der Cybersicherheit, ähm, derzeit in den Phasen des Datenschutzes, ähm, ist es ein Ad-hoc-Ansatz, für den sich die USA entschieden haben, bei dem es sich um eine Zurückhaltung handelt, was spezifische Vorschriften betrifft, die ESNG regeln. Nun, was ES SN ESG antreibt, sind Daten. Was es antreibt, sind Kennzahlen. Was es antreibt, sind Ziele und Vorgaben. Und derzeit gibt es keine einheitlichen Ziele. Es gibt keine einheitlichen Vorgaben. Um, und so spielen wir gewissermaßen ein Aufholspiel, während um, gerade erst kürzlich, die EU, die historisch gesehen ein fundiertes um, uh, Rahmenwerk für die Messung um und Nutzung der Daten in Bezug auf Umweltfragen hatte, fast an der Spitze der Einführung der UN-Nachhaltigkeitsstandards stand, um, während die USA einen eher zurückhaltenden Ansatz gewählt haben, aber es kann kein zurückhaltender, und das sehen wir an Vorschriften wie denen der SEC, die kürzlich Vorschläge zum Humankapital und zu den Offenlegungspflichten börsennotierter Unternehmen im Bereich Humanressourcen gemacht hat. Das klingt zwar nicht nach viel, da es sich um einen weniger präskriptiven Ansatz handelt und lediglich festgelegt wurde, dass alles, was für die Funktionsweise eines Unternehmens von Bedeutung ist, als Maßstab gilt. Das ist ein großer Fortschritt gegenüber dem Stand, an dem wir einmal waren. Speziell in Bezug auf die Vielfalt in diesem Bereich hat die NASDAQ kürzlich eine Regel vorgeschlagen, die besagt, dass jedes an ihrer Börse notierte Unternehmen einen vielfältigen Vorstand haben muss. Sie wissen, dass diese Regel hoffentlich und wahrscheinlich umgesetzt wird, da verschiedene Bundesstaaten in den USA vergleichbare Maßstäbe eingeführt haben. Ähm, sie besagt, dass im ersten Jahr nach der Umsetzung mindestens eine Frau im Vorstand vertreten sein muss. Ähm, und im zweiten Jahr müssen mindestens zwei Personen aus unterschiedlichen Bevölkerungsgruppen vertreten sein, eine Frau und eine Person aus einer anderen Bevölkerungsgruppe. Je nach Größe des Unternehmens kann es ausreichend sein, wenn nur eine Frau vertreten ist, um diese Schwelle zu erreichen. Aber noch einmal: Mit solchen Standards wollen wir zumindest einige Ziele erreichen, die in diesem Bereich einheitlich festgelegt sind. Bevor wir weitermachen, haben wir darüber gesprochen, dass Black Rockck und Larry Frink kürzlich vorgeschrieben haben, dass alle Unternehmen, mit denen Black Rockck Geschäfte macht, die freiwillig verbreiteten Nachhaltigkeitskennzahlen erfüllen müssen. Wir werden später noch darüber sprechen, was diese Verbreitung eines freiwilligen Standards in einem rechtlichen Kontext bedeutet. Aber vorerst genügt es zu sagen, dass wir über ein Umfeld sprechen, das sich langsam weiterentwickelt. Ähm, und wir werden auch über die Risiken sprechen, denn wenn es nicht unbedingt bestimmte Vorschriften oder Gesetze gibt, erhöht sich die Wahrscheinlichkeit von Risiken und Gefahren. Ähm, wir im Bereich Compliance mögen feste Gesetze. Wir mögen Vorschriften. Als Prozessanwalt kann ich Ihnen sagen, dass das Gesetz durchaus weiß, wie es Bereiche ausgleichen kann, in denen es keine verbindlichen Standards gibt. Aber ich hoffe, das beantwortet Ihre Frage, Brenda.

Brenda: Das stimmt. Das stimmt. Vielen Dank. Sehr gut gesagt. Und mir gefällt, wie Sie es formuliert haben, dass es jung ist und dass es möglicherweise ein Ian-Ereignis sein wird. Was machen Sie bei BNY Melon, oder was sollte Ihrer Expertenmeinung nach untersucht werden, um das anzugehen, womit wir konfrontiert sind?

Alba: Ja. Also, ich stimme Tracy zu, wir haben keine spezifischen Vorschriften und Gesetze, wir befinden uns noch in einer Entwicklungsphase, manche Branchen mehr als andere, aber ich kann über die Finanzbranche sprechen. Ich denke, dass der Vorstand die Organisation jetzt aus strategischer Sicht zur Rechenschaft zieht, also schauen wir uns jetzt die Unternehmenskultur an und fragen uns, ob wir bei der Auswahl dieser Lieferanten oder Anbieter sicherstellen, dass die Anbieter und das Lieferkettenmanagement vielfältig sind, entwederzu 100 % in Frauenbesitz sind, ob es sich um kleine Unternehmen handelt, ob es sich um verschiedene Ethnien handelt, ob es sich um das Gesetz gegen moderne Sklaverei handelt. Ich denke, wir haben jetzt wieder spezifische Messgrößen für jede Branche. Wir haben noch keinen Standard, wie Tracy gesagt hat, aber in der Finanzbranche entwickeln wir uns meiner Meinung nach immer mehr in Richtung der Messung anhand einiger dieser Kriterien, sei es Umwelt, Klima CO2-Emissionen, all diese Kriterien entwickeln wir jetzt weiter und wir wollen auf der Grundlage dieser Datensätze Geschäfte machen, wobei wir sagen, dass wir nur operieren werden und dass wir unsere Lieferanten zu 360 % überprüfen müssen, richtig? Es kann nicht sein, dass ich seit 50 Jahren eine Beziehung zu Xender habe und nicht wirklich unsere Sorgfaltspflicht erfülle und sicherstelle, dass sie die ESG- und Ethik-Compliance- und Diversitätskriterien erfüllen. Sehr gut gesagt. Ich denke, ich werde jetzt einen Sprung machen. Es mag sich vielleicht ein wenig von dem unterscheiden, worüber wir gerade gesprochen haben, aber in meinem Kopf hängt es dennoch zusammen. Also, Ala, ich werde diese Frage zuerst an Sie richten. Wo passt die kontinuierliche Überwachung in die Ethik und Compliance und Diversität und ESG, also all das, worüber wir gerade gesprochen haben?

Alba: Sicher. Nun, ich werde zunächst kurz auf die kontinuierliche Überwachung eingehen, und dann können wir uns eingehender mit den Themen Ethik und Compliance-Vielfalt befassen. Ähm, precoid, wenn man bedenkt, wie die Governance durch Dritte gehandhabt wurde oder wie das Risiko war, wenn wir einen Kunden an Bord holten, führten wir unsere Due Diligence auf der Grundlage der Risikobewertungen durch, richtig? Wenn sie also hoch, moderat oder niedrig waren, je nach Kritikalität, führten wir eine EV durch, wissen Sie, wir führen eine Bewertung entweder jedes Jahr, alle zwei Jahre oder alle drei Jahre durch, und angesichts von Covid hat sich dieser Prozess irgendwie beschleunigt, sodass das, was Sie vor einem Jahr oder vor zwei Jahren wussten,nicht mehr gut genug, um das Geschäft zu machen, weil das Unternehmen entweder je nach Konzentration, Standort, finanzieller Lebensfähigkeit oder operativem Risiko. Die kontinuierliche Überwachung spielte also eine erstaunliche oder sehr wichtige Rolle beim Verständnis des Risikos, was bedeutet, dass wir Echtzeit-Warnmeldungen sehen wollten. Wir mussten diese Anbieter nicht nur periodisch überwachen, nicht nur bei der Aufnahme, sondern kontinuierlich. Jetzt nehmen wir die Teilmenge und die Frage, die Sie gestellt haben, Brenda, lautet: Wie führen wir eine kontinuierliche Überwachung mit Ethik-Compliance und Diversität durch? Nun, wir haben begonnen, wirklich zu prüfen und uns das gesamte Inventar unserer Anbieter anzusehen, haben uns wirklich mit kriminellem Verhalten befasst und angefangen, darüber nachzudenken, welche Transaktionen , und ob wir diese Transaktionen überprüfen und ob sie die Kriterien für die Einhaltung ethischer Grundsätze und Vielfalt erfüllen. Ich denke, dass wir jetzt damit beginnen, spezifische Kennzahlen zur Messung dieser Kennzahlen festzulegen und dann konsequent anzuwenden, denn ich glaube, dass dies eine der größten Herausforderungen ist, insbesondere in der Finanzbranche, und dort gibt es eine 233 Jahre alte Legacy-Systeminfrastruktur von New York Melon. Wie können wir sicherstellen, dass wir Konsistenz haben? Ich denke, das sind einige der Dinge, die wirwieder kontinuierlich beobachten. Wenn ich mir die Zukunft anschaue, würde ich mir wünschen, dass es angemessene Vorschriften, Gesetze und Messgrößen gibt, anhand derer wir gemessen werden. Aber im Moment denke ich, dass jedes Unternehmen versucht, sich weiterzuentwickeln und zu überlegen, wie hoch seine Risikobereitschaft tatsächlich ist, und dann Messgrößen zu entwickeln, die zu dieser Branche passen. Tracy, ich weiß nicht, stimmen Sie dem zu oder

Tracy: Ich stimme dir zu 100 % zu, Alpa. Ähm, die Überwachung hilft dabei, sich vor Haftungsrisiken zu schützen, wenn die Probleme viel später auftreten. Ähm, du wirst feststellen, dass derzeit mindestens acht Klagen gegen Unternehmen wegen ihrer Diversität und Inklusion anhängig sind. Ähm, Untätigkeit. Okay. Und obwohl sie Standards, Praktiken, Richtlinien und Programme haben, die von Lohngleichheit über Antidiskriminierung bis hin zur Überprüfung von Drittanbietern reichen, nützen diese Richtlinien nicht viel, wenn sie nicht tatsächlich umgesetzt und praktiziert werden. Und es ist die Überwachung und die Daten, die Ihnen zur Verfügung gestellt werden, die den Schutz vor Haftungsrisiken bieten, falls eine ähnliche Klage eingereicht wird und wirWir werden noch über die Haftungsstufen sprechen, die im Hintergrund bestehen, aber Sie haben völlig Recht, Alpa, es ist durch diese Überwachung und die Erwartungen des Marktes, dass der Markt jetzt in der Lage ist, Echtzeit-Datenanalysen durchzuführen, und das tut er durch die Rating- und Ranking-Agenturen. Es gibt Unternehmensprofile, die nicht nur zur Bewertung des Shareholder Value, sondern auch zur Risikobewertung herangezogen werden. Wenn Sie also überlegen, welche Drittanbieter Sie beauftragen möchten, lohnt es sich, eine Due Diligence durchzuführen, die auch Analysen umfasst.

Brenda: Apropos Rechtsstreitigkeiten: Die nächste Frage bezieht sich genau darauf. Ich weiß nicht, wie Sie mich darauf vorbereitet haben, aber es war großartig. Angesichts der wenigen regulatorischen und rechtlichen Vorgaben, die speziell auf ESG-Offenlegungen zugeschnitten sind, welche Strategien zur Risikominderung und Taktiken zur Vermeidung von Rechtsstreitigkeiten können Unternehmen aus dem Publikum anwenden, die im ESG-Bereich wettbewerbsfähig bleiben wollen?

Tracy: Es beginnt also mit einer Gesamtbewertung. Man muss sich das Gesamtbild aus allen Blickwinkeln ansehen. Man muss sich die Gesamtstruktur des Unternehmens selbst ansehen, angefangen beim Vorstand über die Geschäftsleitung bis hin zu den Mitarbeitern und Drittanbietern, um genau zu sehen, wo man derzeit in Bezug auf Diversität steht. Welche Arten von vielfältigen Personen bekleiden derzeit diese Führungspositionen? Derzeit liegt der Fokus nur auf den Vorständen, aber ich kann Ihnen sagen, dass ich letztes Jahr am Weltwirtschaftsforum teilgenommen habe und Jamie Diamond, ich erwähne hier nur ungern einen Konkurrenten, aber er hat ausdrücklich gesagt, dass er nicht nur von oben nach unten, sondern auch vertikal schauen wolle, um zu sehen, wer in der Lieferkette die Standards und Verpflichtungen erfüllt, und das ist von entscheidender Bedeutung. Es ist wichtig, dass Sie das 360°-Prinzip anwenden , damit Sie Ihre Organisation kennen und wissen, wo sie nicht nur im Vergleich zu ihren Lieferanten, sondern auch im Vergleich zu Ihren Wettbewerbern steht. Es gibt keine Einheitslösung. Es bedarf also dieser umfassenden, tiefgreifenden Analyse, um zu sehen, wo Sie in Bezug auf Ihre Branche, Ihre Konkurrenz und Ihre Größe stehen. Das fließt natürlich in jede Analyse ein, wenn es darum geht, welche Anstrengungen in Bezug auf Vielfalt und Inklusion unternommen werden. Ihre Mitarbeiterpraktiken, wie Sie mit Diskriminierungsvorwürfen umgehen. Das ist der erste Schritt. Der zweite Schritt besteht darin, dass Sie sich Ihre Richtlinien und Praktiken ansehen. Müssen sie geändert werden? Wie werden sie umgesetzt? Wer ist für die Umsetzung verantwortlich? Sie werden feststellen, dass es immer mehr Chief Sustainability Officers gibt. Warum? Weil das bedeutet, dass die Verantwortung für die Rechenschaftspflicht bei einer Person liegt. Diese Faktoren sind entscheidend, wenn es darum geht, sicherzustellen, dass Sie die Institution vor solchen Vorwürfen schützen. Die Überwachung, über die wir bereits gesprochen haben, das Kennenlernen und Verstehen der Branchenstandards – wo es keine Gesetze gibt, werden diese Branchenstandards noch wichtiger. Das sind nur einige der Faktoren und Mechanismen, die zum Schutz von Dokumenten eingesetzt werden können . Dokumentieren Sie alles, denn Dokumentationsdaten sind Ihr Freund, solange Sie diese Daten im Auge behalten und keine Unstimmigkeiten zwischen dem, was Sie sagen, dass Sie tun, und dem, was die Zahlen belegen, dass Sie tatsächlich tun, bestehen. Das sind also nur einige Bereiche, aber es gibt eine ganze Reihe von Techniken, die eingesetzt werden können und müssen, denn ich glaube nicht, dass es derzeit ein Unternehmen oder eine Branche gibt, die nicht anfällig ist, um, angesichts der Verbreitung und Black Rock.

Brenda: Also, mir gefällt, wie du eins, zwei, drei zusammengebracht hast. Alpa, hast du noch etwas hinzuzufügen oder...

Alba: Ja, nein, ich meine nur eine, ich denke, schnell, ähm, Datensatz, richtig, ESG lag 2018 bei 30 Billionen, okay, und wir werden die Einnahmen erzielen, die wir daraus erzielen, und esin den nächsten 20 Jahren werden es 50 Billionen sein. Wie Tracy schon sagte, wird das für jede Branche entscheidend sein. Bei ESG geht es darum, wie wir überwachen, wie wir analysieren und wie wir uns beteiligen. Ähm, was mir noch aufgefallen ist, worüber Tracy gesprochen hat, ist, dass unsere Investoren, unsere Kunden und sogar meine Mitarbeiter fragen, wie unsere Organisation Teil von ESC ESG ist.Es reicht nicht aus, nur freiwillig zu handeln oder Rechte zu gewähren, es geht darum, richtig zu investieren. Investieren wir also in ETFs, die sich auf ESG konzentrieren?, und ich denke, dass sich die Denkweise in die richtige Richtung verändert, denn wenn Unternehmen Mitarbeiter einstellen, fragen sie, wie man etwas zurückgibt, was man im Bereich ESG tut, was vor 10 Jahren noch ganz anders war. Ich denke also, dass es nicht nur darum geht, es für die Mitarbeiter zu tun, sondern dass wir, um unsere Gesellschaft zu erhalten, anfangen müssen, uns auf ESG zu konzentrieren und darauf, wie wir diesen Prozess managen.

Brenda: großartig

Tracy: Ich möchte nur noch eine Sache hinzufügen, denn ich glaube, dass es einen mentalen Rahmen gibt, den man nutzen kann, um über dieses Thema nachzudenken, und es ist wichtig zu verstehen, dass Unternehmen nach dem Gesetz als Individuen betrachtet werden, sie werden als Personen betrachtet. Wissen Sie, was derzeit mit ESG geschieht? Sie werden lediglich zu verantwortungsbewussten Mitgliedern der Gesellschaft erhoben. Daher ist es wirklich wichtig, dies als Anker zu nutzen, wenn man sich einige dieser Faktoren ansieht.

Brenda: Guter Punkt, Tracy. Ich stimme dir voll und ganz zu. Das gefällt mir sehr gut, was du gerade gesagt hast. Das ist großartig.

Brenda: Das ist es. In Ordnung. Also, wir werden über den größeren Rahmen sprechen, Sie haben über den Einzelnen und die Verantwortung gesprochen. Nun, wir haben diese Lieferkette, die sich gerade erweitert. Früher mussten wir uns nur um Lieferanten kümmern, die Cybersicherheit und Hosting angeboten haben, aber jetzt expandieren wir in einigen unserer Organisationen und Branchen. Und mit dieser Erweiterung der Lieferkette über die Cybersicherheit hinaus hin zu Bewertungen durch n-te Parteien, bei denen ich mit einem Anbieter zusammenarbeite, der wiederum mit einem anderen Anbieter an demselben Projekt arbeitet, der nun wiederum mit einem weiteren Anbieter zusammenarbeitet. Das ist wie ein Dominoeffekt. Da dies zu einem heißen Thema geworden ist, beschäftigen wir uns intensiv mit Resilienz- und Stabilisierungsfaktoren und den Risikokomponenten, die uns einen klaren Einblick in diese Partnerschaften und diese lange Kette von Unterstützungsleistungen oder diese Landschaft verschaffen. Wie gehen Sie, Alba, mit der Zunahme oder dem vertraglichen Charakter beider Aspekte um, wenn es um etwas geht, das so streng bewertet wird, oder sogar darum, herauszufinden, was wir in der Vergangenheit getan haben und was wir jetzt tun müssen?

Alba: Ja. Ich denke, dass sich die gesamte Landschaft, wie Sie gesagt haben, verändert hat, und ich würde sagen, dass sich vieles davon aufgrund von Co-Rechten beschleunigt hat, und wir sind tatsächlich davon betroffen, sei es etwas Grundlegendes wie Toilettenpapier, wie Sie wissen, was die Lieferkette und die Auswirkungen auf alle waren. Ich denke also, dass es als Organisation jetzt nicht mehr ausreicht, nur Ihren Drittanbieter zu kennen, sondern, wie Sie gesagt haben, auch den Endanbieter, dennes erhebliche Auswirkungen gibt, denn wie Sie gesagt haben, ist es ein Dominoeffekt, eine Kettenreaktion. Eine der Maßnahmen, die wir nun in Betracht ziehen, ist, unsere Richtlinien und Verträge zu ändern, verstehen Sie? Während wir in der Vergangenheit nie gefragt haben, wer Ihre vierte oder fünfte Partei ist, gehen wir jetzt einen Schritt weiter und fragen, wo diese vierten und fünften Parteien ihren Sitz haben, denn der Standort spielt eine Rolle. Dann gehen wir innerhalb dieser Parteien noch einen Schritt weiter und fragen, wie die Diversität aussieht, denn jetzt sind wir rechenschaftspflichtig. Ich würde sagen, AMIA hat, wie Sie wissen, aufgrund der Vorschriften, dieuns jetzt auffordern, ihnen mitzuteilen, wer Ihre Endpartei ist, und anzugeben, wie viele davon in der Cloud ansässig sind. Ich denke also, ich würde sagen, dass AMIA im Vergleich zu uns etwas weiter fortgeschritten ist, aber als globales Unternehmen tun wir meiner Meinung nach Folgendes: Anstatt auf die Regulierungsbehörden zu warten, ändern wir diesen Prozess weltweit. Ich denke also, wir führen zusätzliche Sorgfaltsprüfungen durch, ähm, wirändern unseren Vertragsprozess und auch die Art und Weise, wie wir generell unsere Sorgfaltspflicht erfüllen. Es reicht also nicht aus, zu sagen: „Hey, ich kenne meinen Lieferanten, und solange er einen ex-Service anbieten kann, ist das gut genug.“ Es geht darum, ob die Lieferanten den Verhaltenskodex befolgen, dem Sie zugestimmt haben, richtig? Und geben sie diesen dann an ihre vierten, fünften und sechsten Parteien weiter und führen sie dort die gleiche Sorgfaltsprüfung durch? Denn in der Vergangenheit konnte man ehrlich sagen: „Hören Sie, ich kenne nur meine dritten Parteien. Ich weiß nicht, was sie mit den vierten machen, also bin ich aus dieser Mischung raus und nicht verantwortlich.“ Jetzt liegt die Verantwortung bei diesen n-ten Parteien. Also, ich denke, wir sind sehr streng. Wir führen jetzt wieder zusätzliche Sorgfaltsprüfungen durch. Wir verstehen das Risiko, das sich daraus ergeben kann, basierend darauf, wo wir diese Dienstleistung erbringen, und dann verstehen wir es, denn ich sage Ihnen, als Covid ausbrach und wir Umfragen verschicken mussten, hatten wir keine Ahnung, wo das Konzentrationsrisiko lag, denn dies war das erste Mal, dass alle Länder und Regionen betroffen waren, es warnicht wie 9/11 auf New York konzentriert, es war auch nicht auf einen Hurrikan konzentriert, der entweder auf den Philippinen oder in den USA oder anderswo stattfand, es hat uns alle betroffen, daher denke ich, dass dies den Weg beschleunigt hat und wir nun immer mehr Verantwortung für die Parteien übernehmen, die uns tatsächlich Dienstleistungen erbringen.

Brenda: Das ist wirklich gut gesagt, und Tracy, das Einzige, was mir dazu einfällt, was du aus rechtlicher Sicht vielleicht ein wenig anwenden könntest, ist etwas, das ich früher gehört habe, als ich Bewertungen durchgeführt habe. Damals sagten sie: „Wir sind nicht haftbar für diese Anbieter, die ihre eigenen Bewertungen durchführen. Wie sollen wir also damit umgehen?“

Tracy: Das ist eine wirklich gute Frage, Brenda, denn Alpa konzentriert sich auf Verträge, denn genau darin liegt der Schutz. Wenn Sie kein wirklich starkes Vertragsmanagement haben und sich diese Standardbestimmungen ansehen, die Sie normalerweise oft nur überfliegen. Da findet man entweder Schutz oder Haftungsrisiken. Was macht man also? Man schaut sich nicht nur die Entschädigungsklauseln an, sondern auch die Stärke der Drittanbieter, der INT-Anbieter, denn wenn es zu einem Rechtsstreit kommt, suchen sie einfach nach demjenigen, der die tiefsten Taschen hat. Dann wird man mitgerissen. Entschädigungsklauseln, äh, Sie wissen, dass Sie diese Sorgfaltspflicht erfüllen. Ähm, ich weiß, dass ESG derzeit noch nicht in den Vordergrund gerückt ist, aber ich kann Ihnen sagen, dass die FTC versucht hat, einen Käufer eines Drittanbieters für die Nichteinhaltung der Datenschutzbestimmungen, die dieser Käufer übernommen hatte, haftbar zu machen. Und ähm, Sie wissen, wo diese Drittanbieter auf künstliche Intelligenz setzen, die eine ganze Reihe weiterer Risiken mit sich bringt. Sie werden nicht versuchen, den Käufer zu beliefern, um festzustellen, ob dieser Käufer die erforderliche Sorgfaltspflicht erfüllt hat, indem er dieses Tool ständig überwacht und bewertet hat, um festzustellen, ob es die Rechte und Ansprüche der Endnutzer verletzt. Das bedeutet also, wie Alpa gesagt hat, dass die Sorgfaltspflicht von entscheidender Bedeutung ist, um zu wissen, wer sie sind und was sie tun und ob sie Ihren eigenen Ethikkodex einhalten. All das ist in dieser Art von Umgebung von entscheidender Bedeutung. Es werden noch mehr Gesetze kommen, glauben Sie mir. Bis dahin besteht jedoch weiterhin ein Risiko. Es besteht weiterhin ein Haftungsrisiko. Und was passieren muss, ist, dass man zu den Grundlagen zurückkehrt.

Brenda: Das ist einer unserer Marketing-Slogans, den sie lieben: „Zurück zu den Grundlagen“.

Tracy: Ja. Das ist die Wahrheit.

Brenda: Also, wenn wir schon über die Zunahme der Anbieterpopulation in der n-ten Ebene sprechen. Ähm, und mit dieser Zunahme geht auch eine Zunahme der KI im Personalbereich einher. Wie sieht also neben einer Vielzahl anderer Bereiche, über die Sie gesprochen haben, die aktuelle Rechtslage in den USA aus, und welche rechtlichen Risiken und Strategien zur Risikominderung könnten die betroffenen Unternehmen auferlegen oder anwenden?

Tracy: Also, das war's auch schon. Lassen Sie mich mit dem Umfeld beginnen. Im Gegensatz zu ESG in den USA gibt es hier wirklich keine Leitplanken. Ich meine, man schaut sich die Datenschutzrichtlinien und -bestimmungen an, egal ob auf staatlicher oder branchenspezifischer Ebene. Man schaut sich die Cyber-Vorschriften an, die viele Bundesstaaten inzwischen eingeführt haben, sowie die Vorschriften der Bundes- und Landesaufsichtsbehörden. Man schaut, ob diese Vorschriften eingehalten werden. Wie werden die Daten gespeichert? Wie werden die Daten verwendet? Aber selbst wenn man weiß, wie diese Daten verwendet werden, besteht ein großes Risiko, dass die Wirksamkeit der verwendeten KI-Software offengelegt wird. So ist beispielsweise aus zahlreichen Studien bekannt, dass ein hohes Risiko für voreingenommene Ergebnisse besteht, insbesondere wenn man Risikobewertungen durchführt oder prädiktive Analysen durchführt und automatisierte Entscheidungen in diesem Bereich trifft. Es ist fast wie eine Dreifachkombination für eine gute Sammelklage, denn wenn nachgewiesen werden kann, dass die Software tatsächlich voreingenommen ist und voreingenommene Ergebnisse liefert und dass sie wichtige Entscheidungen über die Kreditvergabe an den Endverbraucher, einen Verbraucher, trifft, dann liegt dort das Risiko, und diesem Verbraucher wird ein wirtschaftlicher Vorteil oder eine Chance verwehrt oder vorenthalten. Das ist die klassische Sammelklage wegen irreführender Praktiken. Und es spielt keine Rolle, dass der Käufer dieser Software, der Nutzer der KI, mit der Anwendung oder ihrer Funktionsweise oder damit, wie die Daten eingegeben wurden, nicht vertraut ist. Sie werden für die Nutzung dieses Dienstes zur Verantwortung gezogen. Was kann man also tun? Es gibt mittlerweile alle möglichen Technologien, mit denen man diesen Algorithmus testen kann. Es gibt eine ganze Reihe von Standards, die Transparenz hinsichtlich der Funktionsweise dieses Systems verlangen. Tests sind in diesem Bereich von entscheidender Bedeutung. Wird es routinemäßig auf unterschiedliche Ergebnisse getestet? Wird überwacht, welche Arten von Daten eingegeben werden? Sie wissen schon, nach dem Prinzip „Garbage in, garbage out“. Und wenn Sie keine Vorsichtsmaßnahmen treffen, um zu sehen, wie diese Daten eingegeben werden? Wer gibt sie ein? Wie werden sie getestet? All das führt zurück zur Sorgfaltspflicht. Wenn Sie also diese proaktiven Maßnahmen nicht ergreifen und KI einfach blindlings einsetzen, sind Sie in der Klemme. Sie sind gefährdet.

Brenda: Ja, da stimme ich zu. Was denkst du, Alpa?

Alba: Nein, ich meine, schau mal, ich stimme Tracy zu. Äh, sehen Sie, KI macht bedeutende Fortschritte, nicht wahr? Und zwar insbesondere in vielen verschiedenen Bereichen, sei es im Personalwesen oder im Lieferkettenmanagement. Ähm, aber wie Sie schon sagten, ist es entscheidend, die Daten und Algorithmen wirklich zu verstehen, nicht wahr? Denn wenn man das nicht genau macht, hat das erhebliche Auswirkungen aus rechtlicher Sicht, aus Sicht der Reputation und dann auch auf den Betrieb. Ähm, eines der Dinge, für die wir KI einsetzen, und die meisten Unternehmen tun das auch, ist die Verarbeitung großer Datenmengen, aber wir lassen immer noch Menschen daran arbeiten, die Daten zu überprüfen und richtig zu analysieren, damit wir ein zweites Paar Augen haben, das wirklich versteht, was wir programmiert haben, und sicherstellt, dass die Algorithmen und Regeln, die wir eingerichtet haben, effizient funktionieren. Ähm, ich denke auch, dass wir sie häufig im Personalbereich einsetzen, wo wir in der Vergangenheit vergessen haben, den Bewerber über ein aus rechtlicher Sicht wichtiges Problem zu informieren, Tracy, dass all diese Leute kommen und sagen würden, ichnicht darüber informiert worden sei, dass ein KI-Ansatz verwendet wurde, und ich ausgewählt wurde, sobald die KI aus der Perspektive des Videos im Vorstellungsgespräch verwendet wurde. Haben Sie die richtige Einwilligung vom Bewerber erhalten, und was noch wichtiger ist, haben Sie diese nach Abschluss des Prozesses vernichtet, selbst nachdem der Bewerber ausgewählt wurde? Oftmals ist es in der Branche so, dass wir die Daten haben, wir haben sie nicht vernichtet oder wir konnten, den Aspekt der Vernichtung zu beweisen, und wie viele Tage sind das, 30 Tage, 60 Tage? Ich denke, Sie wissen, dass dies ein großartiger Bereich ist, ähm, ich denke, wie ich schon sagte,wird die Technologie verändern, aber wir müssen äußerst vorsichtig sein, wie Tracy sagt, denn wenn wir diese Informationen nicht korrekt verwenden, könnte dies erhebliche Auswirkungen auf das Unternehmen und die Branche haben. So großartig diese Technologien auch sind, lassen Sie uns sehr achtsam damit umgehen, wie wir sie einsetzen, und sicherstellen, dass Sie die Daten, die Algorithmen und den Prozess verstehen. Ähm, und es kann nicht vollständig automatisiert werden, oder? Man braucht immer noch Menschen, die diese Informationen analysieren und den Menschen genügend, wie ich es nenne, Informationen und Benachrichtigungen geben, damit sie wissen, welche Art von Daten sie verwenden.

Brenda: Ja. Wenn man sich auf die Grundlagen des Risikos durch Dritte zurückbesinnt, gibt es manchmal Plattformen, die Konfigurationen vornehmen, Tags setzen, Anpassungen vornehmen und Bewertungen zur Relevanz versenden können, aber man braucht immer noch den menschlichen Faktor, um sicherzustellen, dass man die richtigen ethischen Grundsätze anwendet und Entscheidungen nicht nur auf der Grundlage von Rückmeldungen oder einer kontinuierlichen Überwachung der Bedrohungsanalyse trifft, die besagt: „Oh, dieser bestimmte Anbieter ist riskant, weil bei ihm all diese Dinge passieren.“ Aus ethischer Sicht muss man eigentlich sagen: Wir sind hier, um Ihnen zu helfen, Ihren Sicherheitsbereich zu schützen. Wir wissen, dass es dieses Problem gibt. Wie können wir es gemeinsam mit Ihnen beheben?

Alba: Du sagst, es geht auch darum, die Punkte zu verbinden, richtig? Denn isoliert betrachtet könnte dieses Ereignis etwas auslösen, aber wenn man die Beziehung des Unternehmens zu diesem Renderer ganzheitlich betrachtet, ist das vielleicht nicht richtig. Ich denke also,ist es auch so, wie Sie gesagt haben: Wie analysiert man diese Informationen? Man macht eine Momentaufnahme und denkt, es sei ein großes Problem, oder es könnte umgekehrt sein, dass es vielleicht gar kein Problem ist, und man muss es mit menschlichem Blick betrachten und sagen: Das ist unser Brotverdienst, unser Kerngeschäft, und das könnte uns erheblich gefährden. Ich denke also, es geht darum, das zu erkennen, und deshalb stimme ich Ihnen zu, Brenda.

Tracy: Ich möchte noch eine weitere Sache hinzufügen, die von entscheidender Bedeutung ist. Und das knüpft an Alpas Erkenntnis an, dass die Bereitstellung von Benachrichtigungen von entscheidender Bedeutung ist. Diese Benachrichtigungen müssen in leicht verständlichem Englisch verfasst sein. Okay? Wenn sie unverständlich sind, bieten sie Ihnen nicht den Schutz, den Sie sich wünschen. Wir haben das bereits bei der Verbraucherfinanzierung und den dort geltenden Offenlegungspflichten durchgespielt. Wir haben bereits Gesetze durchlaufen, die schon seit geraumer Zeit in Kraft sind und die besagen, dass diese Benachrichtigungen an Verbraucher im Allgemeinen in leicht verständlichem Englisch verfasst sein müssen.

Brenda: Einverstanden. Und damit gesagt, gibt es einige Situationen, mit denen wir uns auseinandersetzen mussten, darunter auch die Zusammenarbeit von zu Hause aus. Wie sehen es Ethik, Diversität und Compliance oder ESG aus, oder auf welche Techniken mussten wir aufgrund dieser Verschiebung des Risikovektors achten? Ähm, was würden Sie Alba in Bezug auf die Arbeit von zu Hause aus sagen, was wir ein wenig besser machen könnten oder sogar zum ersten Mal tun könnten?

Alba: Was das betrifft, mussten wir uns alle sehr schnell anpassen, weil wegen Corona alle von zu Hause aus arbeiten mussten, egal ob man Trader oder Analyst war. Ich denke, das Wichtigste ist, dass man sich schnell anpasst und die richtige Infrastruktur hat, um das zu schaffen. Der zweite Punkt war einfach reine Angebot und Nachfrage. Ich werde Ihnen einige unserer Standorte nennen, an denen wir zu Beginn einfach nicht genug Laptops hatten, und wir haben buchstäblich Desktops an verschiedene Orte verschickt, nur damit die Leute von zu Hause aus arbeiten konnten. Aber sobald wir die Hardware hatten, ging es meiner Meinung nach darum, die Software und die Menschen dahinter zu überwachen, und Sie wissen ja, dasssehr, sehr herausfordernd, und eine der Dinge, die ich festgestellt habe, ist, dass wir jetzt viel mehr in einige dieser Anbieter investiert haben, die unsere IP-Adresse überprüfen, weil sie tatsächlich Ihren täglichen Zugriff überprüfen. Um, haben Sie Zugriff auf sensible Daten und verfügen wir über die richtigen Protokolle oder zusätzliche Sicherheitsmaßnahmen, nicht nur das RCSA-Token, sondern sollte APA wirklich die Daten aller heute stattfindenden Handelsabrechnungen einsehen, da sie tatsächlich in der Governance durch Dritte tätig ist, richtig? Nun, weil Ala früher in diesem Geschäft tätig war, hatte sie diesen Zugriff, aber jetzt ist sie in der Governance durch Dritte tätig. Ich denke also, dass es wirklich darum geht, von Grund auf neu zu bewerten und jeden einzelnen Mitarbeiter zu betrachten. Zu schauen, welchen Zugriff sie haben und was sie tatsächlich nutzen. Ich denke, das ist eine Rückkehr zu den Grundlagen, wie wir sie besprochen haben. Das zweite, was wir meiner Meinung nach gelernt haben, ist, dass viele Menschen ihre privaten Laptops verwenden. Haben sie diese Virenschutz-Software-Updates auf dem neuesten Stand gehalten? Denn Unternehmen setzen sich jetzt einem größeren Risiko aus, wenn Mitarbeiter ihre privaten Laptops verwenden und beispielsweise keine Antiviren- oder Anti-Malware-Software gekauft haben. Ich denke also, wir müssen bei der Handhabung besonders vorsichtig sein. Ich denke, eine der Maßnahmen, die wir ergreifen, ist, dass wir sagen, dass man seine privaten Laptops nicht verwenden darf. Jeder muss ein Unternehmensgerät verwenden. Ich denke, jetzt hat die zusätzliche Überwachung begonnen, oder? Wir überwachen jetzt nicht nur Ihren VPN-Zugang, sondern alle Softwareprogramme. Früher, als Sie noch im Büro waren, war es sehr schwierig für die Mitarbeiter, Daten zu entwenden und weiterzugeben. Jetzt, da Sie zu Hause sind, sind die Leute etwas zurückhaltender. Es ist sehr einfach für jemanden, diese Informationen über das Telefon zu entwenden und weiterzugeben. Sie können ein Foto mit ihrem iPhone machen und es weitergeben. Wie können wir also sicherstellen, dass die Daten, die wir präsentieren, zusätzliche Bildschirmfilter haben, sodass Sie diese Informationen nicht aufnehmen können, wenn Sie versuchen, Fotos zu machen? Als Organisation mussten wir uns also sehr schnell anpassen, um sicherzustellen, dass wir die Daten, über die wir verfügen, und die damit verbundenen Risiken schützen. Sind wir zu 100 % dabei? Nein, das sind wir nicht. Aber Tatsache ist, dass wir alle sehr schnell lernen. Ich nenne das „aus dem Feuerwehrschlauch trinken”. Aber wir versuchen, so viel wie möglich zu nutzen. Welche Technologien können wir einsetzen, um Risiken zu vermeiden, die sich möglicherweise auf uns als Organisation auswirken könnten?

Brenda: Wie sieht es bei dir aus, Tracy, aus rechtlicher Sicht?

Tracy: Also, ich werde zu den Grundlagen zurückkehren.

Brenda: Ja,

Tracy: Zurück zu den Grundlagen. Ähm, wissen Sie, versenden Sie Erinnerungen daran, was gute Protokolle, gute Governance- und Informationsmanagementpraktiken sind. Ähm, führen Sie auch Schulungen durch, und zwar von oben nach unten. Ich weiß, dass wir in meiner Organisation alle obligatorische Schulungen haben, die bis zu einem bestimmten Datum absolviert werden müssen, da es einige Dritte gibt, die Protokolle für den Austausch von Informationen über persönliche Geräte haben. Wenn man weiß, wie diese Protokolle lauten, weiß man auch, dass Finanzinstitute nicht einmal wollen, dass wir Daten über unsere persönlichen Geräte versenden. Als Anwälte müssen wir natürlich darauf achten, dass wir vertrauliche Informationen behandeln. Man muss darauf achten, wer anwesend ist, wenn man diese Informationen nutzt und darauf zugreift. Man muss sicherstellen, dass die Daten, die ausgedruckt werden, sicher aufbewahrt werden und vernichtet werden, wenn sie nicht mehr benötigt werden. Wir empfehlen also, sich einfach wieder auf die Grundlagen zu besinnen, aber es ist ermutigend zu hören, dass Bewertungen durchgeführt werden. Wir befinden uns in einem anderen Umfeld. Das erfordert also einen weiteren 360-Grad-Blick, um genau zu sehen, wo wir organisatorisch stehen.

Alba: Und wie Sie gesagt haben, ist die Schulung so wichtig, nicht wahr? Denn jetzt gibt es mehr Möglichkeiten für Hacker, oder? Selbst einfache Phishing-E-Mails, nicht wahr? Sie haben eine Paketbestellung, öffnen die E-Mail und schon haben sie Ihre IP-Adresse. Es ist also wichtig, die Mitarbeiter entsprechend der aktuellen Situation anders zu schulen, da alle von zu Hause aus arbeiten. Wie können wir sicherstellen, dass Sie sicher sind, und wie schulen wir sie? Ich denke, wie Sie gesagt haben, Tracy, dass Schulungen entscheidend sind und dass man diese Schulungen ändern muss, oder? Man kann nicht einfach das wieder einführen, was man vor ein paar Jahren hatte. Man muss diese Prozesse ändern und sagen: „Wissen Sie, auf welche verschiedenen Arten können Leute Ihre Mainframe-Systeme angreifen oder sogar, wie Sie gesagt haben, die Software?“

Tracy: Und lassen Sie mich nur sagen, dass wir uns derzeit in einer außergewöhnlichen Situation befinden, und das wird berücksichtigt werden, aber wenn beispielsweise ein Problem einer Organisation zur Kenntnis gebracht wird und über einen längeren Zeitraum hinweg ungelöst bleibt, dann entsteht dadurch Haftung und Risiko, denn oft werden Schuld und Haftung anhand des Wissens und der Handlungen beurteilt.

Brenda: Wir haben wahrscheinlich noch Zeit für eine weitere Frage, und ich habe zwei. Ich werde sie also zusammenfassen, da ich den Podiumsteilnehmern die Möglichkeit geben möchte, Fragen aus dem Publikum zu beantworten. Ich werde mich also zunächst an Tracy wenden. Welche konkrete Rolle spielen die Vorstände bei den Strategien zur Risikominderung, und welche Ansprüche können gegen diese Unternehmensvorstände geltend gemacht werden?

Tracy: Also, ähm, der Unternehmensvorstand und seine Struktur sind für unsere gesamte Diskussion von entscheidender Bedeutung, denn dort liegt die Verantwortung. Ähm, sie sind das höchste Gremium, das für die Handlungen eines Unternehmens verantwortlich ist. Ich habe gesagt, dass ein Unternehmen eigentlich eine fiktive Person ist. Wer ist also für diese Fiktion verantwortlich? Es ist der Vorstand. Die gesamte Verantwortung liegt bei ihnen. Sie sind dafür verantwortlich, über das Wissen, die Fachkenntnisse und die ungeteilte Loyalität zu verfügen, die in ihren treuhänderischen Pflichten gegenüber dem Unternehmen selbst sowie gegenüber den Aktionären verankert sind. Die Ausübung dieser Pflichten wird genau bestimmen, welchen Ansatz und welche Mission das Unternehmen verfolgen wird. Ich meine,Bei ESG und diesen sogenannten nicht-wirtschaftlichen Faktoren gibt es eine ganze Debatte darüber, ob es mit der Unternehmensmission vereinbar ist, gewinnorientiert zu sein und sogar einige dieser Faktoren zu übernehmen. Nun, wissen Sie, bei einem börsennotierten Unternehmen ist man fast gezwungen, eine Analyse durchzuführen, um genau zu sehen, wie beispielsweise Diversität und Inklusion das Geschäftsergebnis beeinflussen. Also, warum ist das so wichtig? Weil es der Vorstand ist, der sicherstellen muss, dass die Geschäftsführung eine übergreifende Strategie entwickelt hat und dass es, wenn diese Strategie angenommen wurde, Richtlinien und Verfahren gibt, um die Strategie umzusetzen und dafür zu sorgen, dass die Verantwortlichen, also die Leute in der Geschäftsführung, zur Rechenschaft gezogen werden. Was ist also der Anreiz, denn wenn die Vorstandsmitglieder einzeln diesen Pflichten, diesen treuhänderischen Verpflichtungen, nicht nachkommen, nämlich sachkundig zu sein, loyal zu sein und die Handlungen des Managements zu überwachen, können sie bei jedem Versagen wegen Verletzung ihrer treuhänderischen Pflichten verklagt werden. Das klingt beängstigend, weil es beängstigend ist. Wenn ich sage, dass sie verklagt werden können, meine ich persönlich haftbar, wobei ihr eigenes persönliches Vermögen auf dem Spiel steht. Nun gibt es mildernde Umstände. Sie wissen, man spricht von der „Business Judgment Rule”, einer Regel, die besagt, dass man, wenn man sich in angemessener Weise um die Erfüllung dieser treuhänderischen Pflichten bemüht, selbst wenn man einen Fehler macht und die Entscheidung sich als falsch herausstellt, vom Gericht nicht haftbar gemacht wird, weil man im besten Interesse des Unternehmens gehandelt hat. Allerdings ist das immer eine Grauzone: Haben Sie mit ungeteilter Loyalität gegenüber dem Unternehmen gehandelt? Haben Sie die richtigen Fragen gestellt? Haben Sie Ihre Sorgfaltspflicht ausreichend erfüllt? Haben Sie sichergestellt, dass Sie den richtigen Manager eingestellt und behalten haben? Verfügt der Vorstand über ausreichend Fachwissen, um fundierte Entscheidungen zu treffen? Es ist also von entscheidender Bedeutung, dass der Vorstand nicht nur die Organisation bewertet, sondern auch sich selbst, um sicherzustellen, dass er über die notwendigen Mittel verfügt, um diesen treuhänderischen Verpflichtungen nachzukommen. Die DNO-Deckung ist natürlich vorhanden und bietet einen gewissen Schutz, aber es gibt auch Ausschlüsse. Warum halte ich die Rolle des Vorstands für so wichtig? Weil er letztendlich zur Verantwortung gezogen wird. Es gibt einige alltägliche Entscheidungen, in die der Vorstand gar nicht involviert sein muss, weil er nicht für das Tagesgeschäft verantwortlich ist. Aber ich kann Ihnen sagen, dass ESG, Cybersicherheit und Datenschutz so wichtig sind, dass man jetzt darüber nachdenkt, Chief Sustainability Officers einzusetzen und sicherzustellen, dass sie regelmäßig Berichte über diese Faktoren und darüber erhalten, wo das Unternehmen bei der Erfüllung dieser Benchmarks steht.

Brenda: Ich helfe dir auch.

Alba: Ja. Nein, sehen Sie, ich stimme Tracy voll und ganz zu, okay? Ich denke, eine der Dinge, die ich derzeit beobachte, ist, dass es viel mehr Positionen im Vorstand für Ethikkommissionen gibt, richtig? Ähm, das war schon immer so. Ich denke, es kommen mehr CISOs hinzu, weil, wie Sie gesagt haben, der Vorstand nun diese Verantwortung trägt und über die richtigen Talente oder Personen verfügt, die einige der Cybersicherheitsrisiken oder Betriebs- oder Compliance-Risiken bewerten können. Ich denke also, dass sich die Zusammensetzung des Vorstands verändert, weil sie, wie Sie gesagt haben, verantwortlich sind und sagen: Moment mal, ich brauche jemanden, der wirklich versteht, ähm, Sie wissen schon, die Ethik, die Cyber-Komponente davon, das Umweltrisiko, und der uns anleiten kann, um sicherzustellen, dass das Unternehmen diese Prozesse befolgt. Ich denke also, wie Sie gesagt haben, dass es immer mehr Vorstandsmöglichkeiten für alle Risiken und Dritte geben wird, insbesondere in Bezug auf Ethik und Vielfalt, weil sie dafür verantwortlich sein werden.

Brenda: Großartig. Ich sehe, dass Amanda zugeschaltet ist, weil es Zeit für die Fragerunde ist, aber bevor sie beginnt, möchte ich euch beiden für euer umfangreiches Wissen danken, denn manchmal habe ich nicht die Gelegenheit dazu. Es war mir eine Freude und Ehre, und ich bin gespannt auf die Fragen, die wir bekommen werden. Also, übergebe ich das Wort an dich, Amanda.

Amanda: Vielen Dank. Vielen Dank euch beiden. Das war unglaublich. Ähm, wir haben vor der Fragerunde noch eine Umfragefrage. Ich werde sie einfach für alle einstellen, damit ihr, wenn möglich, daran teilnehmen könnt. Die Frage lautet: Möchtet ihr 2021 ein Programm zur Risikominimierung durch Dritte einführen oder ausbauen? Ähm, ihr habt hier zum ersten Mal gehört, wie wichtig es ist, eure Lieferanten kontinuierlich zu überwachen. Das berücksichtigen wir auch, wenn wir solche Fragen stellen. Ich werde die Umfrage also noch eine Weile offen lassen. Die erste Frage, die ich hatte, stammt aus dem Anfang der Sitzung. Es mag vielleicht so klingen, als würde sie sich von Anfang an an Sie wenden, aber diese Frage stammt von Dorothy Rodriguez. Dorothy, wenn Sie zuhören und möchten, dass ich die Frage anders formuliere, melden Sie sich bitte. Ähm, aber sie sagte: „Vor 10 Jahren arbeitete ich im Risikomanagement für Drittanbieter bei einem Produktionsunternehmen, wo dies unsere Hauptanliegen waren. Die gesamte Produktion erfolgte jedoch im Ausland. Geht es hier um die Anforderungen an Lieferanten in den USA oder auch um neue Dienstleistungsbranchen? Ich weiß nicht, ob jemand eine Vorstellung davon hat, was sie fragt, dass die Fertigungsindustrie vielleicht ein bisschen weiter ist, aber ich nehme an, dass das, worauf sie hinauswill, richtig sein könnte, denn wenn man sich die einzelnen Branchen ansieht, ähm, wenn man die Gesundheitsbranche mit der Finanzbranche und der Automobilbranche vergleicht, haben wir alle sehr unterschiedliche Entwicklungen und Auswirkungen, also könnte die Fertigungsindustrie, ich meine, noch einmal, ich habe keine Klarheit über die Frage, worauf sie, aber sehen Sie, es verändert den Weg, und das sehen wir jetzt mehr denn je. Also, ich denke, es hängt von der Branche ab, aber letztendlich sind wir alle verantwortlich, da es keine Rolle spielt, um welche Branche es sich handelt. Sie müssen verstehen, welches Geschäft Sie betreiben, an welchem Standort, und ob Sie sich mit der Einhaltung ethischer Grundsätze und der Vielfalt, wie dieses Geschäft geführt wird, wohlfühlen. So würde ich die Frage beantworten, basierend auf der Frage, die gestellt wurde.

Amanda: Hoffentlich hat das geholfen, Dorothy.

Tracy: Fahren Sie fort. Ich möchte Alpas Bemerkungen nur ergänzen, dass Sie sich an Ihrer Branche orientieren sollten. Ich meine, das ist der Leitfaden. Ich habe das vielleicht während unseres Gesprächs nicht erwähnt, aber diese Branchenstandards werden in den Rechtsstreit einfließen. Denken Sie also nicht, dass es nur freiwillig ist. Es ist eine Nebenbemerkung. Ich kann es tun, wenn ich will. Wenn es kein Gesetz gibt und das Gericht prüft, ob Sie in irgendeiner Weise eine riskante Situation für den Beklagten geschaffen haben, die ihm Schaden zugefügt hat, wird es sich die Branchenstandards ansehen. Auch wenn wir hier und jetzt nicht mit Sicherheit sagen können, ob Hersteller von ESG und Diversität betroffen sind, sollten Sie sich Ihre Konkurrenten ansehen, die Branchenstandards betrachten und sich an Ihre Branchenverbände wenden, die alle in irgendeiner Form eine Position dazu haben. Und wenn es nicht unter ESG fällt, suchen Sie nach Diskriminierung, suchen Sie nach Diversität. Diese Schlüsselwörter sind unter dem Dach von ESG entscheidend, wenn wir über dieses Thema sprechen.

Alba: Wie Tracy schon sagte, sogar die Regulierungsbehörden, oder? Denn wie Sie gesagt haben, werden die Regulierungsbehörden auch innerhalb Ihrer Branche sagen: „Die anderen machen X, sind Sie auf einer Linie oder halten Sie sich an etwas Ähnliches? “ Es ist also nicht so, dass...

Alba: Ich denke, es geht noch einen Schritt weiter als das, was Tracy gesagt hat. Man muss sich die anderen Unternehmen der Branche ansehen, sich einige der Konsortien ansehen, aber auch die Regulierungsbehörden werden auf Sie zukommen, indem sie sich die Best Practices innerhalb dieser Branche ansehen und dann sicherstellen, dass Sie eine Art Partnerschaft eingehen oder sich an diese allgemeinen Best Practices anpassen.

Tracy: Ich möchte nur noch eine Sache hinzufügen, und ich möchte nicht die Zeit für andere Fragen in Anspruch nehmen, aber...

Tracy: Wenn Sie der FTC unterliegen. Wenn Sie einer lokalen staatlichen Behörde unterliegen, tragen Sie sich in deren Mailingliste ein. Diese Behörden veröffentlichen täglich Informationen, okay? Über Richtlinien, ihre Überlegungen, Anmerkungen aus verschiedenen Präsentationen. Tragen Sie sich in die Mailingliste ein.

Amanda: Das ist ein kluger Schachzug. Da stimme ich zu. Die nächste Frage lautet: Wie lassen sich Umweltveränderungen bei Drittanbietern erkennen oder melden, um eine kontinuierliche Überwachung zu gewährleisten?

Alba: Also, es gibt eine Menge Dienste da draußen. Ähm, es gibt Security Scorecard, es gibt Supply Wisdom, es gibt, ich meine, eine ganze Reihe davon, und ich denke, es hängt von Ihrem Risiko und Ihren Kriterien ab. Es kommt auch darauf an, wie Sie als Organisation diese Informationen überwachen. Viele dieser Informationen sind über soziale Medien und Google verfügbar, aber Sie müssen sehr vorsichtig sein, denn einige dieser Informationen sind möglicherweise nicht korrekt, es kann Ausreißer oder gefälschte Informationen geben, und Sie sollten keine Entscheidung treffen, ohne zuvor eine sorgfältige Prüfung und Analyse durchgeführt zu haben. Ich empfehle daher dringend, insbesondere wenn es sich um wichtige Lieferanten handelt, regelmäßig mit ihnen in Kontakt zu bleiben, sei es monatlich, alle zwei Wochen oder in einem anderen von Ihnen festgelegten Rhythmus, denn die Menschen, die ihr Geschäft kennen, sind diejenigen, die es Tag für Tag ausüben. Wenn Sie also einen proaktiven Ansatz verfolgen, bei dem Sie ständig mit diesen Lieferanten in Kontakt stehen und ihr Portfolio, ihre Risikobereitschaft und ihre Aktivitäten in diesem Bereich verstehen, ist das meiner Meinung nach eine Möglichkeit der kontinuierlichen Überwachung, da Sie sich mit diesen Lieferanten und ihrer Arbeitsweise ziemlich wohlfühlen. Ich denke, das ist eine Möglichkeit der kontinuierlichen Überwachung, weil Sie sich mit diesen Anbietern und ihrer Arbeitsweise ziemlich wohl fühlen. Das ist also ein Beispiel, das ich nennen würde, und wie ich bereits sagte, gibt es eine Reihe von Anbietern, die Sie nutzen können und die Ihnen kontinuierliche Überwachungsdienste in Rechnung stellen.

Amanda: Prävalenz ist eine davon.

Alba: Ja.

Amanda: Prävalenz ist eine davon. Da haben Sie es.

Brenda: Schamlose Werbung. Schamlos.

Alba: Pluginial Creditwise, schau es dir an.

Brenda: Gut verdient, gut

Tracy: verdient. Tracy, möchtest du zu dieser Frage noch etwas hinzufügen? Äh, nein. Ich schließe mich dem an, was Alpa dazu gesagt hat. Ähm, es geht wirklich darum, vertrauensvolle Beziehungen aufzubauen. Ich meine, dieses Wort hört man heute viel häufiger als früher. Und das liegt zum Teil daran, dass wir alle versuchen, die Vorteile zu nutzen und die Ressourcen zu nutzen, die die Technologie zu bieten hat. Und um die Fülle der verfügbaren Daten zu monetarisieren, muss man einfach eine vertrauensvolle Beziehung zu den Parteien haben, mit denen man Geschäfte macht.

Brenda: Ja, ich stimme zu.

Amanda: Ähm, ich habe noch eine weitere Frage, die meiner Meinung nach so umfassend ist, dass sie wahrscheinlich den Rest unserer Zeit hier ausfüllen wird, aber ähm, ich möchte Sie beide bitten, für einen Moment in Ihre Kristallkugel zu schauen und mir zu sagen, wie sich Ihrer Meinung nach die Rolle von Ethik, Compliance und Diversität im Zusammenhang mit Risiken durch Dritte im Laufe dieses Jahres oder darüber hinaus verändern wird.

Alba: Ich sagte Tracy, möchtest du zuerst gehen oder

Tracy: Ja, ich fange mal an. Ich denke, wir werden eine Annäherung bei Standards, Zielen und Messgrößen erleben. Ich glaube nicht, dass das eine komplizierte Analyse ist. Ich denke, es ist einfach etwas Neues. Und es ist eine andere Sichtweise, durch die wir alle unsere Geschäfte führen sollen, und der Markt macht gerade eine Phase der Wachstumsschmerzen durch. Ich glaube also, dass wir eine Annäherung bei den Standards erleben werden. Ich glaube, dass wir eine verstärkte Regulierung erleben werden, insbesondere im Bereich Klima. Ich bin zuversichtlich, dass wir mehr Vielfalt sehen werden. Ich denke, dass dies aufgrund der mittlerweile weithin akzeptierten Geschäftsargumente, dass mehr Vielfalt zu einer höheren Rentabilität führt, unvermeidlich ist. Ich denke also, dass wir in diesem Bereich einen stärker standardisierten Ansatz sehen werden.

Alba: Und ich denke, Sie werden sehen, dass die Vorschriften, wie Sie gesagt haben, strenger werden, ähm, die Gesetze, aber ich denke, die Organisationen werden sehr selektiv sein, mit wem sie Geschäfte machen, und wenn Sie diese Kriterien nicht erfüllen, ähm, in Bezug auf Ethik, Vielfalt und Compliance, dann wissen Sie, dass Sie nicht mehr lange im Spiel sein werden, richtig? Sie wissen, dass Sieveraltet sein oder zu einem Dinosaurier werden, das ist eine Tatsache. Ich denke also , dass die meisten Organisationen dies verinnerlichen müssen . Es ist das Richtige für unsere Gesellschaft, und insbesondere, wie Sie gesagt haben, wird es viel um Klima und Umwelt gehen, aber ich denke, dass der Fokus noch mehr auf Armut und Menschenrechten liegen wird, aufgrund der Arbeitsgesetze und der Auswirkungen des Menschenhandels. Sie werden eine Menge dieser Auswirkungen sehen, und wie Sie gesagt haben, Erdbeben, Hitzewellen, Wasser, von dem wir wissen, dass es ein kostbares Gut sein wird. Es wird also noch viel mehr kommen, und ich denke, die Menschen werden viel mehr Verantwortung übernehmen müssen, aber sie können nicht mehr die Unternehmen beschuldigen oder sich hinter ihrem Lieferkettenmanagement oder anderen Prozessen verstecken, oder? Es geht nicht mehr nur um den Gewinn, sondern um den Gewinn und darum, wie man der Gesellschaft insgesamt hilft.

Tracy: Und ich möchte noch hinzufügen, dass mit den verfügbaren Daten die Rechenschaftspflicht so leicht zu erreichen ist, dass es einfach keinen Ausweg gibt. Man kann eine Situation nicht einfach schönreden oder beschönigen. Man muss seinen Worten Taten folgen lassen.

Amanda: Ja. Die Zeiten ändern sich definitiv, und das muss man auch tun. Da stimme ich zu. Vielen Dank euch allen. Das war's für heute. Die Stunde ist um. Ich mache das jedes Mal falsch. Ähm, aber Tracy,

Brenda: Danke, Brenda. Danke, dass ihr mir die Gelegenheit gegeben habt, Teil dieser großartigen Diskussionsrunde zu sein. Tracy, es war fantastisch. Vielen Dank und ich wünsche euch allen, dass ihr gesund bleibt.

Amanda: Ja, wir haben bereits Feedback erhalten, wie toll das war, und die Leute fragen nach der Aufzeichnung. Zur Erinnerung: Es wurde aufgezeichnet. Sie erhalten es morgen in Ihrem Posteingang. Nochmals vielen Dank an alle für Ihre Teilnahme und bis zum nächsten Mal.

Brenda: Tschüss.

Tracy: Tschüss.

Amanda: Tschüss.