Ny indsigt i kravet om nødvendig omhu

af Carve Consulting,
Birgitte Kofod Olsen

Se virksomhedsprofil  

Carve Consulting: Planlægning af risikostyring og processer for nødvendig omhu

Kravet om nødvendig omhu foldet ud

Mæglings- og klageinstitutionen for ansvarlig virksomhedsadfærd foldede i sin udtalelse i PWT-sagen kravene til due diligence-processer og risikovurderinger ud og gav på den måde både stof til eftertanke og konkret input til tilrettelæggelsen af næste års CSR-indsats.

Sagen drejer sig om PWT Group A/S' brug af tekstilproducenten New Wave Style Ltd., som var beliggende i Rana Plaza-bygningen i Dhaka, Bangladesh, da bygningen styrtede sammen i april 2013. Ved ulykken mistede 1138 mennesker livet og endnu flere blev sårede. .

Udtalelsen har betydning for alle virksomheder, der benytter leverandører, især i udviklingslande, og er med til at understrege, at CSR ikke kun er gode historier, men i høj grad en disciplin, der lægger sig ind i virksomhedernes grundstruktur og fordrer kapacitet til compliance, evne til at styre risici og robuste kontrolmekanismer.

Den tilgang er fastslået med OECD’s retningslinjer for multinationale virksomheder og FN’s retningslinjer for menneskerettigheder og erhverv. Her stilles der krav om due diligence-processer – eller nødvendig omhu – både internt i virksomheden og i dens leverandørkæde. Et tilsvarende krav til due diligence er nu indskrevet i årsregnskabsloven § 99a sammen med et nyt krav om at oplyse om virksomhedens væsentligste risici i relation til forretningsaktiviteter og forretningsforbindelser. De første og største danske aktieselskaber skal derfor redegøre for både deres nødvendige omhu og risikostyring i deres årsrapporter for 2016, mens andre kan vente til 2018.   

Kun få anvender OECD’s retningslinjer

Carve Consulting udgav tidligere i år en rapport om danske virksomheders parathed til at rapportere på bl.a. disse krav. Vi undersøgte 279 virksomheder, der alle er medlemmer er Global Compact, og hvoraf 102 er rapporteringspligtige efter årsregnskabsloven. Due diligence-processerne var på plads hos trefjerdedele af virksomhederne samlet set, og hos 84% af virksomhederne med rapporteringspligt fra 2016. I forhold til at oplyse om risici var billedet et helt andet: kun 31% af virksomhederne i 2016-kategorien oplyste om deres identifikation og håndtering af risici, mens paratheden til at opfylde kravet samlet set kun var til stede i 22% af virksomhederne.

Vi undersøgte også, hvor mange virksomheder, der i deres årsrapporter henviser til OECD’s retningslinjer og FN’s retningslinjer. Kun 10 virksomheder havde i deres CSR-rapport eller årsrapport en eksplicit henvisning til OECD’s retningslinjer, mens 27 nævnte FN’s retningslinjer. Det er meget få, især i betragtning af, at Mæglings- og klageinstitutionen har eksisteret siden 2012, men måske endnu mere fordi begge sæt retningslinjer giver god indsigt i formålet med due diligence-processer og risikovurderinger, og bidrager til både indhold og tilrettelæggelse.

Den konkrete indsats

Med sin udtalelse har Mæglings- og Klageinstitutionen yderligere bidraget til fortolkningen af disse retningslinjer. Vi kan derfor tegne en proces og skitsere de komponenter, der kræves for at vise nødvendig omhu og risikostyring.   

Det systematiske arbejde med nødvendig omhu internt i virksomheden såvel som hos leverandører bør i dag omfatte følgende:

Risikostyring

Afdækning af områder, hvor virksomheden har risiko for at påvirke menneske- og arbejdstagerrettigheder, klima og miljø samt anti-korruption negativt.

Afdækning af behovet for at forebygge og afhjælpe negative virkninger, der er direkte forbundet med forretningsaktiviteter hos leverandører.

Det forudsætter:

• Ledelses- og risikovurderingssystemer
• Processer for risikoafdækning internt og hos leverandører
• Analyser af landespecifikke risici
• Analyser af branchespecifikke risici
• Analyser af virksomhedens aktuelle og potentielle risici

Forebyggelse

For at vise nødvendig omhu og omsætte forpligtelsen til praksis, skal virksomheder udarbejde:

• En CSR-politik, der beskriver indsatsen for ansvarlig leverandørstyring
• En code of conduct eller kontraktklausul, der pålægger leverandøren CSR-krav og krav om processer til forebyggelse og afhjælpning af negativ påvirkning
• Materiale til leverandørers selvevaluering af deres indsats for at forebygge og afhjælpe negativ påvirkning
• Tjeklister til brug ved egen besigtigelse og inspektioner hos leverandører
• Tilslutning til brancheinitiativer, der fremmer CSR-principperne og kontrollerer deres overholdelse

Kontrol og dokumentation

Virksomhedens løbende kontrol med leverandørers risikohåndtering kan udføres gennem:

• Kontrol med deres selvevaluering og sammenligning med foretagne lande- og brancheanalyser
• Egen inspektion på stedet  
• Brug af branchestandarder og -godkendelser (fx BSCI)
• Systematisk opfølgning – også på eksterne brancheinspektioner
• Redegørelse for, hvordan forpligtelsen til nødvendig omhu opfyldes
• Rapportering om resultater og opfølgning

Tilapsning

For at sikre at processer, tjeklister, inspektioner og konkrete indsatser identificerer og håndterer risici på en måde, der opfylder kravet til nødvendig omhu og har effekt, bør virksomheden etablere processer for:

• Opfølgning på inspektioner
• Gennemførelse af forbedringer
• Kommunikation om iværksatte tiltag

Behov for en helhedsvurdering

I figuren ovenfor er de fire komponenter sat ind i en proces, der kan bidrage til, at styring af CSR-risici bliver forankret i ledelsen og at aktuelle og potentielle risici løbende eller med et fast interval bliver identificeret, vurderet og håndteret. Processen sikrer derudover kontrol med forebyggende og afhjælpende tiltag samt evaluering af de aktiviteter, der konkret bliver iværksat. Som en integreret del af alle dele af processen indgår dokumentation og kommunikation af indsatsen.

En sådan helhedsvudering er en forudsætning for at virksomheder fremover kan lever op til de krav, der følger af OECD's retningslinjer og af de anbefalinger, som Mæglings- og klageinstitutionens har formuleret i sin seneste udtalelse.  

Hør mere om CSR risikostyring

Du er velkommen til at kontakte Birgitte Kofod Olsen på bko@carve.dk eller +45 25 26 09 03, hvis du ønsker at høre mere om tilrettelæggelse af processer til risikostyring og sikring af nødvendig omhu i CSR-indsatsen. 

Rapporten Er vi parate til de nye lovkrav? - Danske virksomheders CSR-rapportering  kan downloades her på siden eller på http://csrrapport.dk