Når vi jobber med kunder for å støtte deres overholdelse av ny forsyningskjedelovgivning, blir vi ofte spurt om hvor langt de må gå for å tilfredsstille regulatorene. Dette blir stadig mer vanlig ettersom kravet til rapportering øker og bedrifter havner i et metaforisk regulatorisk nett.
Hva vil (og trenger) personene som er ansvarlige for leverandørkjeden due diligence-rapportering vite. Enkelt sagt, når er nok, nok?
Det ærlige svaret på dette spørsmålet, som kanskje ikke til å begynne med høres så nyttig ut, er at det ikke finnes noe riktig svar. Det avhenger virkelig av en lang rekke faktorer. For å forstå hva som er nok for din organisasjon, må vi se på selve lovverket.
Due diligence-lovgivning i forsyningskjeden, som EU CS DDD , Lieferkettengesetz , BRSR Core, Australias Modern Slavery Act og lignende lovgivning som dukker opp over hele verden, angir veldig tydelig forventningene til samsvar. For det første setter lovgivningen vanligvis krav til organisasjoner om å ta en risikobasert tilnærming til due diligence i forsyningskjeden. For det andre heter det at innsatsen som gjøres for å gjøre dette må stå i forhold til organisasjonens virksomhet og kompleksiteten i forsyningskjeden.
Spesielt refererer veiledningen vanligvis til » tilstrekkelig risikovurdering» og sier at risikovurdering ikke bør utgjøre en unødig byrde, men organisasjoner bør sikre at innsatsen som gjøres er passende for deres forretningsaktiviteter og risikoene forbundet med disse aktivitetene.
Selvfølgelig, når du tenker på det, gir dette fullstendig mening. Risikostyring i ESG-forsyningskjeden kan aldri gjøres på en måte som passer alle. En privateid kjede av smørbrødbutikker som sysselsetter 1000 personer vil ha svært forskjellige risikoer for en multinasjonal produksjonsorganisasjon som henter råvarer fra flere kontinenter, og lovgivningen, med rette, anerkjenner det. Det er ikke dermed sagt at smørbrødbutikkene ikke vil ha noen risiko, men den grunnleggende risikoprofilen vil være mye lavere relativt, og så, som du forventer, er forventningene som stilles til den, når det gjelder risikovurdering av forsyningskjeden, forholdsmessig lavere.
Så hvordan identifiserer du hva som er passende for din bedrift? For å gjøre dette anbefaler OECDs Due Diligence-veiledning for ansvarlig forretningsatferd at man gjennomfører en «bred scoping-øvelse» for å skape et overordnet bilde av ende-til-ende forsyningskjederisiko. Denne brede, multidisiplinerte tilnærmingen er integrert i vellykket leverandørkjededue diligence og nøkkelen for organisasjoner som trenger å kunne demonstrere for de relevante reguleringsmyndighetene at de forstår risikoene deres og at de har «gjort nok» for å redusere dem.
Men å gjøre nok blir stadig mer utfordrende. Strukturen og omfanget av dagens forsyningskjeder betyr at ESG-problemer og deres årsaker kan være ekstremt vanskelig å identifisere, forstå og utrydde. Det kreves intensiv og vedvarende innsats for å overvåke og rapportere med de nødvendige frekvensene. Dataene som trengs for å overholde, går utover vanlige operasjonelle grenser, og ofte, uten tilbørlig aktsomhet, kan datakilder med tvilsom opprinnelse, nøyaktighet eller tolkning ofte bli primære kilder til informasjon som undergraver grunnlaget for risikovurderingen, styringen og påfølgende avsløringer – presenterer en betydelig trussel mot en bedrifts omdømme og deres overholdelse av forskrifter.
Av denne grunn, hos Achilles, når vi jobber med organisasjoner for å støtte deres ESG og bredere reguleringsoverholdelse, stoler vi aldri på data fra bare én kilde, og vi stoler ikke på informasjon som utelukkende er samlet inn fra webcrawling. I stedet starter vi alltid med å samle inn og vurdere data fra et bredt spekter av kilder, inkludert (men ikke begrenset til) dokumentasjon fra organisasjoner i forsyningskjeden din, offentlig tilgjengelig og historisk informasjon fra internett og etterforskningsrapporter fra frivillige organisasjoner og veldedige organisasjoner. Unikt er det også at vi henter inn informasjon hentet fra vårt omfattende globale revisjonsprogram, og stemmene til arbeidere samlet over mange år med intervjuer i lignende bransjer og regioner for å tegne et fullstendig bilde av risikoen i forsyningskjeden din.
Det er det nivået av detaljert analyse og innsikt som muliggjør en omfattende avsløring og gir deg tilliten til at du har «gjort nok». Først når et nøyaktig bilde er skapt, er det virkelig mulig å gå videre til neste trinn i reisen din mot å «gjøre nok» – å innlemme kvalitetsstyringsprinsipper i en risikobasert tilnærming til menneskerettighetsdue diligence.
