什么是德国供应链尽职调查法?
《德国供应链尽职调查法》(德语:LkSG)规定,在德国运营且雇员人数达3000人以上的企业必须在其供应链中实施人权尽职调查。该法律要求企业采取一切必要措施预防人权风险,报告其相关举措,对风险进行补救,并保留相关文件七年。2024年起,该法律将扩大至雇员人数超过1000人的企业。
违规行为可能导致个人最高80万欧元、企业最高4亿欧元或年均营业额2%的罚款。卢森堡《劳动法》与全球ESG法规保持一致,致力于保障人权,并强调将相关要求纳入供应商风险管理策略的重要性。
本文探讨了《产品安全法》(LkSG)的要求——包括最适用于供应商风险管理的要求——并提出了应对这些要求的最佳实践建议。
德国供应链尽职调查法要求
该法案要求公司履行以下义务。本文仅对加粗部分的义务进行说明。
- 对供应链中的人权和环境尽职调查义务给予应有的重视(第 3 节)
- 建立风险管理系统(第 4 节第 1 段)
- 指定一名负责人(第4条第3款)
- 定期进行风险分析(第 5 节)
- 发布政策声明(第6节第2段)
- 在本企业范围内实施预防措施(第6节第1款和第3款),并与直接供应商共同实施(第6节第4款)。
- 在发生侵犯人权事件时采取补救措施(第 7 节第 1-3 段)
- 建立关于侵犯人权行为通知的投诉程序(第8条)
- 对间接供应商履行尽职调查义务(第 9 节)
- 文件和报告(第 10 节第 1-2 段)
满足德国供应链尽职调查法案要求的六项最佳实践
注:本节仅概述《法律合规性保障法》的关键条款。完整要求清单请参阅 完整法案。
建议实施以下最佳实践,以应对《供应链透明度法》中关于关键供应商风险管理的规定。
1. 建立风险管理体系
第4条第1款规定:“企业必须建立适当且有效的风险管理体系以履行尽职调查义务……风险管理必须通过适当措施融入所有相关业务流程。”
为满足此要求,首先需制定并完善供应商风险管理计划的关键组成部分,包括:
- 管理政策、标准、系统和流程
- 明确的角色和职责(如 RACI)
- 供应商分类和分类逻辑
- 根据贵组织的风险承受能力设定风险评分阈值
- 绘制间接供应商地图,了解贵组织的扩展生态系统
- 确定正确的评估范围和持续监测数据来源(如业务、声誉、财务数据等)
- 关键绩效指标(KPI)和关键风险指标(KRI)
- 针对服务水平的合规性和合同报告要求
- 风险和内部利益攸关方报告
- 风险缓解和补救战略
这些标准应构成最佳实践供应商风险管理计划的基础,该计划需包含满足《法律透明度法》要求的尽职调查,并可扩展至其他风险类别,例如网络安全。
2. 定期进行风险分析
第五条规定:“企业必须进行适当的风险分析……以识别其直接供应商……存在的人权和环境相关风险……风险必须进行适当权衡和优先排序……风险分析必须每年进行一次,并根据需要随时开展。”
为满足此要求,需通过集中化平台评估供应商实践:该平台能基于供应商反馈自动计算风险值(对照可接受风险阈值),支持上传佐证材料,并配备工作流管理及内置整改建议与报告功能——所有这些特性均有助于更轻松地满足报告要求与截止期限。
集中式风险管理平台的另一项优势在于,您能够针对多种风险类型评估供应商,并关联相关数据以全面掌握供应商风险状况(而非孤立视角)。
此外,虽然年度评估对于深入了解供应商的人权实践至关重要,但在年度报告提交期间可能发生诸多变动。因此,必须通过持续监测声誉信息、负面媒体报道、监管与法律行动、制裁措施等动态数据,对年度尽职调查评估结果进行验证。将持续监测情报与定期评估结果关联起来,可实现更统一的风险报告。 将所有情报整合至"单一视窗",将有效优化您的风险分析工作。
3. 实施预防措施
第6节第4款规定:“企业必须制定适当的预防措施……[包括]在选择直接供应商时考虑其预期表现……合同保证……以及合同控制措施。”
为满足这些要求,必须将近期商业动态、声誉分析、法律文件、ESG评分、制裁信息及其他相关情报纳入新供应商评估流程。无需分散处理多源信息,应将所有洞察整合至统一的供应商档案中,供组织内所有团队调用。同时,情报收集应与更广泛的RFx管理流程协同,以实现更全面的供应商审查。
进入签约阶段后,应在供应商合同中纳入相关条款,并持续追踪供应商的报告进展。不要将签约流程单独处理,而应将其整合到供应商风险评估流程中。具体做法是集中管理所有合同的分发、讨论、存档和审查流程,并在供应商合同全生命周期中运用工作流管理。这将使关键绩效指标(KPI)和关键风险指标(KRI)等合同管控措施的报告工作变得更为简明。
4. 采取补救措施
第七条规定:“若企业发现已发生或即将发生违反人权相关或环境相关义务的行为……必须在不延误的情况下采取适当补救措施。”该法案所列补救措施之一即为终止供应商关系。
根据第5节所述的供应商评估结果,向供应商提出改进建议,要求其澄清政策条款,并准备向监管机构报告任何违规行为。供应商风险管理方案将包含针对供应商的内置整改建议。落实此步骤至关重要,因其是强制性报告的关键环节。
若需终止供应商合作关系,请自动化执行最终合同评估与离职流程,以降低贵机构在合同终止后面临的风险。此处需处理的关键任务包括:
- 报告系统访问、数据销毁、访问管理、最终付款等情况
- 集中存储和管理文件及认证文件,例如保密协议、服务水平协议、工作说明书和合同。
- 将评估结果映射到监管框架,以简化最终报告
5. 对间接供应商实施尽职调查
第9条第3款规定:“如果企业有实际迹象表明间接供应商可能存在违反人权相关或环境相关义务的情况……应进行风险分析……制定适当的预防措施……实施预防方案。”
为履行此项义务,必须识别供应商生态系统中的第四方及第N方分包关系。启动该流程的有效方法是:通过问卷调查评估供应商,或被动扫描供应商面向公众的基础设施。关系图谱将揭示可能使组织面临风险的延伸依赖关系。通过此流程发现的供应商应持续接受监控,以识别其ESG风险、商业风险及制裁风险。
6. 记录与报告
第十条第一款和第二款规定:“尽职调查义务……必须持续记录……保存至少七年。”此外,“企业必须就履行尽职调查义务的情况编制年度报告。”
为满足这些要求,需集中存储并分发供应商政策文件、评估结果、监控发现及整改措施,以便在报告期间进行对话与认证。供应商风险管理解决方案提供基于角色的访问权限,使您能够将可见性扩展至外部审计师——他们可能正在审查您的尽职调查流程,并就年度报告要求提供咨询。
建立并维护集中化的供应商主数据数据库,对于确保供应商风险管理(SRM)计划的有效实施以及满足法案的报告要求至关重要。该数据库应包含全面的供应商档案,并提供基于角色的访问权限,涵盖公司联系人、文件资料、人口统计信息、第四方及第N方关联关系以及风险情报等内容。
实施供应链尽职调查的后续步骤
Prevalent第三方风险管理平台通过自动化供应商人权政策问卷评估,并结合持续外部实践监测验证结果,助您有效管控供应链中的人权与环境风险。借助Prevalent平台,您可实现:
- 将RFx、合同签订和尽职调查流程整合为单一解决方案,以应对供应商生命周期中的各类风险。
- 建立中央供应商库存,并计算供应商为您的环境带来的固有风险。
- 通过单一解决方案评估并持续监控供应商在人权、环境及供应链方面的风险。
- 向供应商提供自动化的补救建议,以降低残余风险敞口。
- 根据合同中的关键绩效指标(KPI)和关键风险指标(KRI)对供应商进行评估
- 利用模板简化面向多个内部和外部利益相关方的监管审计报告工作
若需了解Prevalent德国供应链尽职调查合规解决方案如何帮助您降低供应链中的人权与环境风险,请立即预约个性化演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
