Die anlassbezogene Risikoanalyse unter dem Lieferkettensorgfaltspflichtengesetz

Foto von Mika Baumeister auf Unsplash, Download-Datum: 05.06.2023

 

Ausgangslage

Das Lieferkettensorgfaltspflichtengesetz (LkSG) verlangt von Unternehmen, dass sie eine regelmäßige, mindestens jährliche Risikoanalyse ihrer unmittelbaren Lieferanten durchführen. Dabei müssen die Risiken anhand angemessener Kriterien gewichtet und priorisiert werden.

Die Risikoanalyse kann hierbei zweistufig erfolgen: als abstrakte oder konkrete Risikoanalyse. In der abstrakten Risikoanalyse können die möglichen LkSG-Risiken bei Lieferanten beispielsweise anhand von Branchenindizes oder Daten eines Webcrawlings ausgewertet werden. Identifiziert man nun Lieferanten mit einem hohen Risikograd, müssen diese durch eine konkrete Risikoanalyse vertiefend bewertet werden. Viele Unternehmen nutzen dabei sowohl für die abstrakte als auch für die konkrete Risikoanalyse eine externe Software als Unterstützung, welche die Anforderungen des LkSGs berücksichtigt und einen direkten Austausch mit den Lieferanten ermöglicht.

Doch das LkSG fordert auch eine anlassbezogene Risikoanalyse, und zwar bei substantiierter Kenntnis eines LkSG-Verstoßes eines unmittelbaren, aber auch eines mittelbaren Lieferanten. Bei unmittelbaren Lieferanten muss diese Analyse, mit der bereits erfolgten, abstrakten bzw. konkreten Risikoanalyse abgeglichen werden. Bei mittelbaren Lieferanten muss eine erstmalige Analyse stattfinden. Unsere Recherchen haben gezeigt, dass kein Softwarehersteller eine umfassende Lösung für die anlassbezogene Risikoanalyse anbietet. Unternehmen stehen daher vor der Aufgabe, diese eigenständig zu konzipieren und auf die beiden regelmäßig durchzuführenden Risikoanalysen (abstrakt und konkret) abzustimmen.

Mit diesem Artikel veröffentlichen wir ein weiteres Insight zum Thema LkSG und beleuchten die Anforderungen und Herausforderungen an Unternehmen im Zuge der Umsetzung der anlassbezogenen Risikoanalyse. Wir knüpfen damit sowohl an unsere Finbridge Insights zu regulatorisch-strategischen Herausforderungen und IT- und datentechnischen Herausforderungen durch das LkSG an als auch an das Insight zu Hinweisgebersystemen, in welchem wir die Umsetzung eines integrativen und zukunftsorientierten Melde- und Beschwerdeverfahrens vorgestellt haben.

Was verlangt das LkSG in Bezug auf die anlassbezogene Risikoanalyse?

Geht eine Meldung oder ein Hinweis über einen Lieferanten bei einem Unternehmen ein, muss dieses zunächst prüfen, ob es sich bei dem beschriebenen Vorfall um eine Verletzung der Rechtsgrundlagen des LkSGs handelt. Wenn eine substantiierte Kenntnis eines LkSG-Verstoßes vorliegt, muss gemäß §5 Abs. 4 LkSG eine anlassbezogene Risikoanalyse durchgeführt werden. Dabei soll zuerst der Verstoß in Kombination mit dem Verursacher anhand angemessener Kriterien gewichtet und priorisiert werden, z.B. anhand des Einflussvermögens des Unternehmens auf den Verursacher, der Wichtigkeit des Verursachers für das Geschäftsmodell des Unternehmens oder der Art des Verursachungsbeitrags, usw. (siehe §3 Abs. 2 LkSG). Basierend auf dem Ergebnis sollen dann Risikominderungs-, Präventionsmaßnahmen und Kontrollmechanismen definiert und dokumentiert werden. Dabei kann das Ergebnis auch sein, dass keine Maßnahmen ergriffen werden oder werden können. Auch dies ist dann zu dokumentieren.

Wie bei den meisten regulatorischen Vorschriften sind auch im LkSG die Anforderungen recht abstrakt formuliert. Dies stellt Unternehmen vor die Frage, wie diese Anforderungen im Detail umzusetzen sind. Die rein fachliche Konzeption der anlassbezogenen Risikoanalyse stellte bei unseren LkSG-Umsetzungsprojekten jedoch keine große Herausforderung dar. Doch im Rahmen der Einbettung der Fachkonzeption in die bestehenden Unternehmensprozesse und Infrastrukturen sind wir auf vier Fragestellungen gestoßen, die in den Unternehmen doch zu erheblichen Diskussionen und Projektanstrengungen geführt haben. Wir raten daher, diese Fragestellungen schon frühzeitig in Ihre Konzeptionsüberlegungen mit aufzunehmen.

1. Gerichtsverwertbare Dokumentation:      
Die Dokumentation ist eine zentrale Anforderung des LkSGs. Diese wird aber noch bedeutender vor dem Hintergrund, dass bei gravierenden Compliance-Verstößen die Geschäftsbeziehung unterbrochen oder aufgegeben werden muss. Solche massiven Eingriffe in die Geschäftsbeziehungen von Unternehmen ziehen in aller Regel Schadensersatzforderungen nach sich. In solchen Fällen ist es von fast existenzieller Bedeutung für ein Unternehmen, dass im Rahmen der anlassbezogenen Risikoanalyse alle relevanten Informationen beschafft und lückenlos und gerichtsverwertbar nachgehalten werden.

Diese Fragestellung war jedoch bei all unseren Umsetzungsprojekten eine Herausforderung. Den Unternehmen war nicht vollständig klar, wie die einzelnen Ergebnisse der anlassbezogenen Risikoanalyse gerichtsverwertbar zu dokumentieren sind. Eine solche Dokumentation muss nicht nur alle Zwischenstände der Analyse umfassen, sondern auch die gesamte Kommunikation mit dem betreffenden Lieferanten nachhalten, und zwar in einem System, welches dies auch revisionssicher ermöglicht.

Die meisten Hinweisgebersysteme auf dem Markt erfüllen die Anforderung einer revisionssicheren Dokumentationsmöglichkeit. Es ist jedoch zu beachten, dass aufgrund der Revisionssicherheit der Systeme zumeist die Upload-Möglichkeiten von Daten und Informationen in das System eingeschränkt sind. Es ist daher von Bedeutung, den Dokumentationsprozess frühzeitig in die Gesamtkonzeption von Risikoassessment, Daten- und Informationsbeschaffung, Kommunikation und Hinweisgebersystem einzubeziehen. Die Art der zu dokumentierenden Daten (strukturierte oder unstrukturierte) und Informationen sowie deren gewünschter Detailgrad sollten so offen wie möglich gehalten werden.

2. Effektive Koordination und Kommunikation mit Lieferanten:
Das LkSG fordert, dass Unternehmen in der Lage sind, Informationen über potenzielle Risiken zeitnah und effizient auszutauschen, Maßnahmen abzustimmen und Zwischenstände sowie Ergebnisse zu dokumentieren. Nur durch eine enge Zusammenarbeit und gezielte Nutzung von Kommunikations- und Managementsystemen können potenzielle Risiken proaktiv angegangen und angemessene Maßnahmen ergriffen werden. Eine systematische Herangehensweise, klare Kommunikationswege und idealerweise die Einbindung von Lieferantenmanagementsystemen oder anderen technischen Lösungen sind dabei von entscheidender Bedeutung.

In unseren Projekten zeigte sich aber, dass Unternehmen häufig kein klares Konzept haben, wie sie in solchen Fällen mit Lieferanten kommunizieren. Die existierenden Kommunikationskanäle und -inhalte beschränken sich zumeist auf monetäre (Einkaufs-) und Leistungsaspekte. Daher ist es von großer Bedeutung frühzeitig zu klären, wer für die Kommunikation und Koordination verantwortlich ist und wie diese geführt werden soll. Die festgelegte Herangehensweise zur Kommunikation und Koordination mit den Lieferanten muss zudem dokumentiert und in einem übergeordneten Nachhaltigkeitskonzept verankert werden. Hierbei muss ein Unternehmen verschiedene Kommunikationskonzepte entwerfen. Unterschiede in der sozialen Verantwortung gegenüber den Lieferanten sowie die Länge und Komplexität der Lieferkette der Lieferanten machen dies notwendig.

3. Effiziente Durchführung der anlassbezogenen Risikoanalyse durch tool-basierte Ansätze:  
Regulatorik im Allgemeinen und die anlassbezogene Risikoanalyse im Speziellen sind, nach Ansicht aller Unternehmen, primär nicht dazu da, um die Produktivität und Effizienz eines Unternehmens zu steigern. Daher ist es umso wichtiger, dass solch eine Risikoanalyse effektiv und effizient durchgeführt werden kann.

Mit einer 100%igen manuellen Durchführung einer anlassbezogenen Risikoanalyse ist dies nicht möglich. Ressourcen wären bei einer solchen Vorgehensweise viel zu lange gebunden. Zudem existiert keine Planbarkeit. Die effiziente Durchführung einer anlassbezogene Risikoanalyse erfordert daher eine system- oder toolbasierte Herangehensweise. So können alle Hinweise, Aussagen und sonstigen Informationen und Daten systematisch gesammelt und gründlich analysiert und dokumentiert werden. Entscheidend ist dabei, dass Schnittstellen zu anderen Systemen angestrebt und umgesetzt werden, beispielsweise zum Hinweisgebersystem oder zum Lieferantenrisiko-Managementsystem. So wird Zeit gespart, Fehler durch manuelles Abtippen werden vermieden und es entsteht eine systemübergreifende Informationsbasis.

4. Risikoanalyse für mittelbare Lieferanten: 
Eine anlassbezogene Risikoanalyse ist auch für mittelbare Lieferanten (Tier 2 bis n) durchzuführen, sobald auch hier substantiierte Kenntnisse von LkSG-Verletzungen vorliegen. Allerdings gestaltet sich diese Aufgabe zumeist erheblich schwieriger als für unmittelbare Lieferanten. Unternehmen verfügen in aller Regel nur über sehr wenig Informationen über ihre tatsächlichen mittelbaren Lieferanten und wenn, dann liegen keinerlei Risikoinformationen vor, da nur sehr selten eine Risikoanalyse über die gesamte Lieferkette durchgeführt wurde. Hinzu kommt, dass die Angemessenheitskriterien, wie beispielsweise das Einflussvermögen des Unternehmens auf den Lieferanten, deutlich schwieriger zu bewerten sind. Trotzdem fordert das LkSG, dass angemessene Kriterien für die Risikoeinwertung beschafft und ausgewertet werden.

Das Unterfangen ist umso schwieriger, da keine direkten vertraglichen Beziehungen zwischen dem Unternehmen und den mittelbaren Lieferanten bestehen. Es muss daher proaktiv analysiert werden, wie eine Zusammenarbeit ermöglicht oder Maßnahmen zur Verbesserung der Einhaltung von Standards umgesetzt werden können. Eine Möglichkeit ist, unmittelbare Lieferanten noch enger an die Unternehmen zu binden und mit Ihnen zusammen zu analysieren, wie ein solcher Informationsfluss bzw. Kommunikationskanal zu den mittelbaren Lieferanten aufgebaut werden kann. Doch es müssen auch Alternativpläne ausgearbeitet werden, die greifen, falls der unmittelbare Lieferant gar nicht eindeutig identifiziert werden kann oder sich als nicht kooperationsbereit erweist.

Einbettung der anlassbezogenen Risikoanalyse in ein effektives Lieferantenrisikomanagement

Die vier vorgestellten Fragestellungen können sinnvoll und zielgerichtet umgesetzt werden, wenn die anlassbezogene Risikoanalyse analog zur regelmäßigen Risikoanalyse (abstrakt und konkret) in ein zentrales Lieferantenrisiko-Managementsystem eingebunden ist. Wie dargestellt raten wir jedem Unternehmen, die anlassbezogene Risikoanalyse ebenfalls tool-basiert durchzuführen. Ein entsprechendes Tool sollte dann entweder über eine Schnittstelle an das Lieferantenrisiko-Managementsystem angebunden werden oder beispielsweise über ein Erweiterungsmodul direkt in dieses integriert werden. Dies ermöglicht eine nahtlose Koordination und Kommunikation mit den betroffenen Lieferanten, sodass Maßnahmen und Eskalationsstufen angestoßen werden können.

Zudem sollte eine (ggf. aus Sicherheitsgründen teil-)automatisierte bidirektionale Schnittstelle zum Hinweisgebersystem existieren. Dies ermöglicht eine automatische Übertragung von LkSG-relevanten Hinweisen in das Tool. Viel wichtiger ist aber, dass nach Abschluss der anlassbezogenen Risikoanalyse, alle Ergebnisse in das Hinweisgebersystem zurückgespielt werden können, um eine einheitliche und gerichtsverwertbare Dokumentation aller durchgeführten Maßnahmen, Zwischenstände und Ergebnisse zu gewährleisten.

Je nach Systemlandschaft und Möglichkeit zur Einbindung bzw. Nutzung von Schnittstellen, raten wir auch das Beschaffungssystem anzubinden. So kann beispielsweise eine automatisierte Einbeziehung des jeweiligen Auftragsvolumens der betroffenen Lieferanten in das System für die anlassbezogene Risikoanalyse ermöglicht werden. Dies erhöht die Effizienz, verringert den manuellen Aufwand und ermöglicht eine detaillierte Analyse. Eine solche Integration einer anlassbezogenen Risiskoanalyse in die Risiko-, Beschaffungs- und Finanzprozesse eines Unternehmens haben wir in Abbildung 1 schematisch dargestellt.

Abbildung 1: Beispiel einer Integration eines Systems für die anlassbezogene Risikoanalyse in die Systemarchitektur eines Unternehmens. Es besteht eine direkte Schnittstelle zu dem Lieferantenrisiko-Management- und Hinweisgebersystem sowie eine indirekte Schnittstelle zu dem Beschaffungssystem, sodass ein automatisierter Datenaustausch ermöglicht wird.

Das Finbridge Tool für die anlassbezogene Risikoanalyse

Um die dargestellten Fragestellungen vollständig zu berücksichtigen, haben wir für unsere Kunden in den LkSG-Projekten ein entsprechendes Tool für die Durchführung der anlassbezogenen Risikoanalyse entwickelt. Abbildung 2 gibt einen Einblick in das Tool.

Abbildung 2: Einblick in das Risikoanalyse-Tool von Finbridge

Die Anwendung von Angemessenheitskriterien ist abgedeckt und individuelle Abhängigkeiten zu den Lieferanten werden berücksichtigt. Es werden Präventions- und Risikominderungsmaßnahmen in Form von Handlungsempfehlungen geliefert und eine einheitliche und gerichtsverwertbare Dokumentation der gemeldeten Vorfälle wird ermöglicht. Diese Dokumentation kann dann abschließend ebenfalls für die BAFA[1] LkSG-Berichterstattung verwendet werden.

Das Tool bietet die Flexibilität, entweder eigenständig genutzt zu werden oder die darin enthaltenen Fragen, Abhängigkeiten und Ergebnisse in ein bestehendes System zum Lieferantenrisikomanagement zu integrieren. Dadurch wird eine nahtlose Einbindung in die bereits vorhandene Infrastruktur ermöglicht und eine effiziente Durchführung der anlassbezogenen Risikoanalyse gewährleistet. Dies reduziert den manuellen Aufwand, sorgt für eine lückenlose Dokumentation und fördert eine effektive Zusammenarbeit mit den Lieferanten. Dadurch können Risiken frühzeitig erkannt, bewertet und angemessene Maßnahmen ergriffen werden, um die Compliance und Sicherheit im Unternehmen zu gewährleisten.

[1] Bundesamt für Wirtschaft und Ausfuhrkontrolle

Fazit

Unsere Projekterfahrungen zeigen – ohne IT-Unterstützung lässt sich die Menge an Anforderungen aus dem LkSG im Allgemeinen und bezüglich der anlassbezogenen Risikoanalyse im Besonderen, nicht bewältigen; schon gar nicht effektiv und effizient. Nur eine Integration in die Risiko-, Beschaffungs- und Finanzprozesse eines Unternehmens garantiert, im Fall der Fälle, eine lückenlose und gerichtverwertbare Dokumentation der durchgeführten anlassbezogenen Risikoanalyse. Regulatorische Anforderungen können auch effizient umgesetzt und reibungsfrei in bestehende Unternehmensprozesse eingebunden werden. Greifen Sie nicht mehr zu Stift und Papier. Digitalisieren und optimieren Sie Ihre Arbeitsabläufe!

Finbridge als Ihr Partner für Ihre Umsetzung der LkSG-Anforderungen

Finbridge unterstützt Sie bei der

  • fachlichen Konzeption und Harmonisierung der regelmäßigen (abstrakten und konkreten) und anlassbezogenen Risikoanalyse für unmittelbare und mittelbare Lieferanten,

  • system- oder toolbasierten technischen Konzeption und Implementierung der anlassbezogenen Risikoanalyse,

  • Dokumentation und Ablage der Ergebnisse in einem geeigneten Hinweisgebersystem (siehe auch Insight zu Hinweisgebersystemen) und

  • Auswertung und Allokation der Ergebnisse für den jährlichen BAFA-Risikobericht.

Aufgrund unseres umfassenden Know-hows zu LkSG-Themen wie der Risikoanalyse und dem Hinweisgebersystem, gekoppelt mit mehrjähriger Praxiserfahrung in entsprechenden Fach- und IT-Projekten, können wir flexibel auf Ihre Wünsche und Institutsspezifika eingehen. Sie haben Fragen zu den fachlichen und technischen Anforderungen im Detail? Unsere Finbridge-Experten stehen Ihnen mit ihrer fachlichen und technischen Expertise bei der Planung und Umsetzung gern zur Seite.

Quellen

[1] Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten – vom 16. Juli 2021 Bundesgesetzblatt Jahrgang 2021 Teil I Nr. 46, ausgegeben zu Bonn am 22. Juli 2021 http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl121s2959.pdf, zuletzt abgerufen am 14.06.2023

[2] Handreichung zur Umsetzung einer Risikoanalyse nach den Vorgaben des Lieferkettensorgfaltspflichtengesetzes
https://www.bafa.de/SharedDocs/Downloads/DE/Lieferketten/handreichung_risikoanalyse.pdf?__blob=publicationFile&v=2, zuletzt abgerufen am 14.06.2023

Mehr zu Regulatorik und Aufsichtsrecht

 

TEAM

 
 

Sarah Fatemi

Associate Manager

Business Consulting

sarah.fatemi at Finbridge.de

LinkedIn

Steffen Reisch-Meissner

Senior Manager

Business Consulting

steffen.reisch-meissner at finbridge.de

LinkedIn

Maria Reinberg

Consultant

Business Consulting

maria.reinberg at Fin ibridge.de

 LinkedIn

 

Mehr Insights

 
Insights
Abwicklung von Versicherungsunternehmen – Festlegung der Abwicklungsstrategie
Abwicklung von Versicherungsunternehmen – Festlegung der Abwicklungsstrategie
Die CS3D der EU – eine ganz neue informations- und datentechnische Dimension für Unternehmen
Die CS3D der EU – eine ganz neue informations- und datentechnische Dimension für Unternehmen
At the Speed of Light: Instant Payment als „New Normal“
At the Speed of Light: Instant Payment als „New Normal“
Master Playbooks im Rahmen der Abwicklungsplanung
Master Playbooks im Rahmen der Abwicklungsplanung
AIFMD II – Neue Regulierung für Alternative Investmentfonds
AIFMD II – Neue Regulierung für Alternative Investmentfonds
Neue Anforderungen an Versicherungen - Abwicklungsplanung für den Fall der Fälle
Neue Anforderungen an Versicherungen - Abwicklungsplanung für den Fall der Fälle
MiCAR: Neue EU-weite Regulierung für den Kryptomarkt
MiCAR: Neue EU-weite Regulierung für den Kryptomarkt
LkSG-Poster
LkSG-Poster
CRR III - Herausforderungen im Kreditrisikobereich
CRR III - Herausforderungen im Kreditrisikobereich
Die Finbridge CO₂-Bilanz 2022
Die Finbridge CO₂-Bilanz 2022
Mindestanforderungen an das Risikomanagement von ZAG-Instituten
Mindestanforderungen an das Risikomanagement von ZAG-Instituten
Einführung IFRS S1 und IFRS S2
Einführung IFRS S1 und IFRS S2
Benchmarking-Studie zur Abwicklungsplanung & Ausblick 2024
Benchmarking-Studie zur Abwicklungsplanung & Ausblick 2024
ESG-Poster
ESG-Poster
Krypto-Assets – Eine neue Herausforderung im Aufsichtsrecht
Krypto-Assets – Eine neue Herausforderung im Aufsichtsrecht
Das Finbridge-Tool für eine effiziente anlassbezogene Risikoanalyse
Das Finbridge-Tool für eine effiziente anlassbezogene Risikoanalyse
​​A.I. - Künstliche Intelligenz im IRB-Bereich​
​​A.I. - Künstliche Intelligenz im IRB-Bereich​
Nachhaltigkeit einer Wirtschaftstätigkeit nach EU-Definition am Beispiel des Immobiliensektors
Nachhaltigkeit einer Wirtschaftstätigkeit nach EU-Definition am Beispiel des Immobiliensektors
7. MaRisk Novelle fordert die grüne Revolution im Bankbereich
7. MaRisk Novelle fordert die grüne Revolution im Bankbereich
Wie wirken sich die CRR-III-Neuerungen auf das CVA-Risiko aus?
Wie wirken sich die CRR-III-Neuerungen auf das CVA-Risiko aus?
Houssem Ben RomdhaneRegulatorik, Compliance, LkSG, Risikoanalyse