...

La Ley alemana sobre la diligencia debida en la cadena de suministro y la gestión de riesgos de los proveedores

Siga estas prácticas recomendadas para evaluar y remediar los riesgos medioambientales y de derechos humanos en su cadena de suministro.

Personal de Mitratech
Personal de Mitratech 23 de mayo de 2024 8 minutos de lectura
Decorative image

¿Qué es la Ley alemana de diligencia debida en la cadena de suministro?

La Ley alemana de diligencia debida en la cadena de suministro (en alemán: LkSG) obliga a las empresas que operan en Alemania con al menos 3000 empleados a aplicar la diligencia debida en materia de derechos humanos en sus cadenas de suministro. Esta ley exige a las empresas que adopten todas las medidas necesarias para prevenir los riesgos relacionados con los derechos humanos, informen sobre sus esfuerzos, remedien los riesgos y conserven la documentación durante siete años. En 2024, la ley se ampliará a las empresas con más de 1000 empleados.

El incumplimiento puede acarrear sanciones de hasta 800 000 euros para las personas físicas y de 400 millones de euros o el 2 % del volumen de negocios medio anual para las empresas. La LkSG se ajusta a las normativas ESG globales para salvaguardar los derechos humanos, haciendo hincapié en la importancia de integrar sus requisitos en las estrategias de gestión de riesgos de los proveedores.

Esta publicación examina los requisitos de la LkSG, incluidos los más aplicables a la gestión de riesgos de los proveedores, y recomienda las mejores prácticas para abordarlos.

Requisitos de la Ley alemana sobre la diligencia debida en la cadena de suministro

La ley exige a las empresas cumplir las siguientes obligaciones. En esta publicación, solo revisaremos las obligaciones que aparecen en negrita.

  • Respetar debidamente los derechos humanos y las obligaciones de diligencia debida en materia medioambiental en la cadena de suministro (sección 3).
  • Establecer un sistema de gestión de riesgos (sección 4, párrafo 1)
  • Designar a una persona responsable (sección 4, párrafo 3)
  • Realizar análisis de riesgos periódicos (sección 5).
  • Emitir declaraciones de política (sección 6, párrafo 2)
  • Implementar medidas preventivas en el propio ámbito empresarial (sección 6, párrafos 1 y 3) y con los proveedores directos (sección 6, párrafo 4).
  • Tomar medidas correctivas en caso de violación de los derechos humanos (artículo 7, párrafos 1 a 3).
  • Establecer un procedimiento de denuncia con respecto a la notificación de violaciones de los derechos humanos (sección 8).
  • Aplicar las obligaciones de diligencia debida a los proveedores indirectos (sección 9).
  • Documento e informe (sección 10, párrafos 1-2)

6 prácticas recomendadas para cumplir los requisitos de la Ley alemana de diligencia debida en la cadena de suministro

Nota: En esta sección solo se revisan los atributos clave de la LkSG. Para obtener una lista completa de los requisitos, consulte la ley completa.

Considere la posibilidad de aplicar las siguientes prácticas recomendadas para abordar las disposiciones clave de gestión de riesgos de proveedores de la LkSG.

1. Establecer un sistema de gestión de riesgos.

El párrafo 1 de la sección 4 establece que «las empresas deben establecer un sistema de gestión de riesgos adecuado y eficaz para cumplir con la obligación de diligencia debida... La gestión de riesgos debe estar consagrada en todos los procesos comerciales pertinentes mediante medidas adecuadas».

Para abordar este requisito, comience por desarrollar y perfeccionar los componentes clave de su programa de gestión de riesgos de proveedores, entre los que se incluyen:

  • Políticas, normas, sistemas y procesos de gobierno
  • Funciones y responsabilidades claras (por ejemplo, RACI)
  • Lógica de clasificación y categorización de proveedores
  • Umbrales de puntuación de riesgo basados en los niveles de tolerancia al riesgo de su organización.
  • Mapeo de proveedores indirectos para comprender el ecosistema ampliado de su organización.
  • Determinar las evaluaciones y fuentes adecuadas de datos de supervisión continua (por ejemplo, empresariales, reputacionales, financieros).
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI)
  • Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio.
  • Informes sobre riesgos y partes interesadas internas
  • Estrategias de mitigación y remediación de riesgos

Estos criterios deben constituir la base de un programa de gestión de riesgos de proveedores basado en las mejores prácticas, que incluya la diligencia debida para cumplir los requisitos de la LkSG y sea extensible a otras categorías de riesgo, como la ciberseguridad.

2. Realizar análisis de riesgos periódicos.

La sección 5 establece que «la empresa debe realizar un análisis de riesgos adecuado [...] para identificar los riesgos relacionados con los derechos humanos y el medio ambiente [...] en sus proveedores directos [...] Los riesgos deben ponderarse y priorizarse adecuadamente [...] El análisis de riesgos debe realizarse una vez al año y de forma ad hoc».

Para cumplir con este requisito, evalúe las prácticas de los proveedores utilizando una plataforma centralizada que permita el cálculo automático de los riesgos basándose en las respuestas de los proveedores frente a los umbrales de riesgo aceptables, la carga de pruebas justificativas y el respaldo de un flujo de trabajo y recomendaciones de corrección e informes integrados, todo lo cual facilita el cumplimiento de los requisitos y plazos de presentación de informes.

Una ventaja adicional de una plataforma centralizada de gestión de riesgos es que permite evaluar a los proveedores en función de múltiples tipos de riesgos y correlacionar los datos para obtener una visión completa del riesgo de los proveedores (en lugar de una visión aislada).

Además, aunque las evaluaciones anuales son fundamentales para obtener una visión privilegiada de las prácticas de derechos humanos de un proveedor, pueden ocurrir muchas cosas entre la presentación de los informes anuales. Por eso es esencial validar los resultados de las evaluaciones anuales de diligencia debida con información continua sobre la reputación, las noticias adversas y negativas, las medidas reglamentarias y legales, las sanciones y mucho más. A continuación, puede correlacionar la información obtenida del seguimiento continuo con los resultados de las evaluaciones periódicas para obtener informes de riesgos más unificados. La consolidación de toda la información en un «único panel» optimizará sus esfuerzos de análisis de riesgos.

3. Implementar medidas preventivas.

El párrafo 4 de la sección 6 establece que «la empresa debe establecer medidas preventivas adecuadas [...] [incluidas] la consideración de las expectativas al seleccionar un proveedor directo [...] garantías contractuales [...] y medidas de control contractuales».

Para abordar estos requisitos, es necesario revisar la información reciente sobre el negocio y la reputación, los documentos legales, las puntuaciones ESG, las sanciones y otros datos relacionados como parte de las evaluaciones de los nuevos proveedores. En lugar de manejar múltiples fuentes de información diferentes, consolide toda la información en un único perfil de proveedor al que puedan acceder todos los equipos de la organización. Además, la recopilación de información debe alinearse con los procesos más amplios de gestión de RFx para obtener revisiones más holísticas de los proveedores.

Una vez que pase a la fase de contratación, incluya disposiciones en los contratos con los proveedores y realice un seguimiento del progreso de los informes de los proveedores a lo largo del tiempo. En lugar de tratar el proceso de contratación por separado, intégrelo en su proceso de evaluación de riesgos de los proveedores. Para ello, centralice todos los procesos de distribución, discusión, retención y revisión de contratos y aproveche el flujo de trabajo a lo largo del ciclo de vida del contrato con el proveedor. Esto hará que la presentación de informes sobre medidas de control contractual, como los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI), sea mucho más sencilla.

4. Tomar medidas correctivas.

La sección 7 establece que «si la empresa descubre que se ha producido o es inminente una violación de una obligación relacionada con los derechos humanos o el medio ambiente, deberá, sin demora injustificada, adoptar las medidas correctivas adecuadas». Una de las medidas correctivas incluidas en la ley es la rescisión de la relación con el proveedor.

Utilizando los resultados de las evaluaciones de proveedores explicadas en la sección 5, haga recomendaciones al proveedor, solicite aclaraciones sobre las políticas y esté preparado para informar de cualquier infracción a las autoridades. Las soluciones de gestión de riesgos de proveedores incluirán sugerencias de corrección integradas para los proveedores. Es fundamental seguir este paso, ya que es esencial para la presentación de informes obligatorios.

Si resulta necesario rescindir la relación con un proveedor, automatice las evaluaciones finales del contrato y los procedimientos de baja para reducir el riesgo de exposición de su organización tras la finalización del contrato. Las tareas esenciales que deben abordarse en este caso son:

  • Informe sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, los pagos finales y mucho más.
  • Almacene y gestione de forma centralizada documentos y certificaciones, como acuerdos de confidencialidad, acuerdos de nivel de servicio, declaraciones de trabajo y contratos.
  • Asignar los resultados de la evaluación a un marco normativo para simplificar la presentación de informes finales.

5. Implementar la debida diligencia para los proveedores indirectos.

El párrafo 3 de la sección 9 establece lo siguiente: «Si una empresa tiene indicios reales de que puede producirse una violación de una obligación relacionada con los derechos humanos o el medio ambiente por parte de proveedores indirectos, [...] deberá llevar a cabo un análisis de riesgos, [...] establecer medidas preventivas adecuadas [...] e implementar un concepto de prevención».

Para cumplir con esta obligación, es fundamental identificar las relaciones de subcontratación de cuarta y enésima parte en su ecosistema de proveedores. Una excelente manera de iniciar ese proceso es realizar una evaluación basada en cuestionarios a sus proveedores o escanear de forma pasiva la infraestructura pública del proveedor. El mapa de relaciones muestra las dependencias ampliadas que podrían exponer a su organización a riesgos. Los proveedores descubiertos a través de este proceso deben ser monitoreados continuamente para identificar riesgos ESG, comerciales y de sanciones.

6. Documentar e informar.

Los párrafos 1 y 2 de la sección 10 establecen que «las obligaciones de diligencia debida [...] deben documentarse de forma continua [...] y conservarse durante al menos siete años». Además, «la empresa debe elaborar un informe anual sobre el cumplimiento de sus obligaciones de diligencia debida».

Para cumplir con estos requisitos, almacene y distribuya de forma centralizada los documentos sobre políticas de proveedores, los resultados de las evaluaciones, las conclusiones de los controles y las medidas correctivas para el diálogo y la certificación durante la presentación de informes. Las soluciones de gestión de riesgos de proveedores proporcionan acceso basado en roles, lo que le permite ampliar la visibilidad a los auditores externos que puedan estar examinando sus procesos de diligencia debida y asesorando sobre los requisitos de presentación de informes anuales.

Crear y mantener una base de datos centralizada de proveedores es esencial para garantizar un programa eficaz de gestión de riesgos de proveedores (SRM) y cumplir con los requisitos de información de la ley. La base de datos debe incluir perfiles completos de los proveedores y proporcionar acceso basado en funciones a los contactos de la empresa, la documentación, los datos demográficos, las conexiones con terceros y cuartos, y la información sobre riesgos.

Próximos pasos para llevar a cabo la diligencia debida en la cadena de suministro

La plataforma Prevalent Third-Party Risk Management le permite abordar los riesgos medioambientales y de derechos humanos en su cadena de suministro mediante la automatización de evaluaciones basadas en encuestas sobre las políticas de derechos humanos de los proveedores y la validación de los resultados con un seguimiento externo continuo de sus prácticas en el mundo real. Con Prevalent, usted puede:

  • Integre los procesos de RFx, contratación y diligencia debida en una única solución para abordar los riesgos a lo largo del ciclo de vida del proveedor.
  • Cree un inventario centralizado de proveedores y calcule los riesgos inherentes que estos introducen en su entorno.
  • Evalúa y supervisa continuamente a los proveedores en materia de derechos humanos, medio ambiente y riesgos de la cadena de suministro en una única solución.
  • Proporcione recomendaciones de corrección automatizadas a los proveedores para reducir la exposición al riesgo residual.
  • Evaluar a los proveedores en función de los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI) establecidos en el contrato.
  • Aproveche las plantillas para simplificar la presentación de informes de auditoría reglamentaria a múltiples partes interesadas internas y externas.

Para obtener más información sobre cómo la solución de cumplimiento normativo de Prevalent para la diligencia debida en la cadena de suministro alemana puede ayudar a mitigar los riesgos medioambientales y de derechos humanos en su cadena de suministro, solicite hoy mismo una demostración personalizada.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Seraphinite AcceleratorOptimized by Seraphinite Accelerator
Turns on site high speed to be attractive for people and search engines.