Herausforderungen bei internationaler LkSG-Umsetzung: Risikoanalyse und Perspektivenwechsel

veröffentlicht am 25. Oktober 2023 | Lesedauer ca. 5 Minuten

Das Lieferkettensorgfaltspflichtengesetz (LkSG) verpflichtet Unternehmen, Menschen­­­rechte und Umweltstandards in ihren globalen Lieferketten einzuhalten. Die inter­nationale Implementierung eines entsprechenden Risikomanagementsystems (RMS) stellt deutsche Unternehmen vor große Herausforderungen. Das gilt insbesondere für die Durchführung von Risikoanalysen.

• Überblick über das Lieferkettensorgfaltspflichtengesetz »

• Das Risikomanagement als zentrales Steuerungselement »

• Essenziell für das Risikomanagement: Die Risikoanalyse »

• Herausforderungen im Hinblick auf internationale Risikoanalysen »

• Herausforderungen im internationalen Kontext interdisziplinär begegnen »

• Fazit »

• Ausblick »

Überblick über das Lieferkettensorgfaltspflichtengesetz

Mit dem am 1. Januar 2023 in Kraft getretenen Lieferkettensorgfaltspflichtengesetz (LkSG) werden Unter­neh­men zur Einhaltung von Menschenrechten und Umweltstandards in ihren globalen Lieferketten verpflichtet. Dazu sollen umfangreiche Handlungs-, Kontroll- und Berichtspflichten umgesetzt werden. Das LkSG findet zunächst Anwendung bei Unternehmen in Deutschland, die mindestens 3.000 Mitarbeiter beschäftigen. Ab dem 1. Januar 2024 erstreckt sich der erweiterte Geltungsbereich des LkSG auch auf Unternehmen mit 1.000 Mitarbeitern. Betroffene Unternehmen sind dazu verpflichtet, angemessene Schritte zu unternehmen, um Menschenrechtsverletzungen und Verstöße gegen Umweltauflagen zu verhindern. Dies schließt sowohl den eigenen Geschäftsbereich als auch unmittelbare Zulieferer ein. Mittelbare Lieferanten sind bislang nur dann von den Sorgfaltspflichten betroffen, wenn einem Unternehmen tatsächliche Anhaltspunkte über mögliche Menschenrechtsverletzungen oder Verstöße gegen umweltbezogene Vorschriften vorliegen. Die Risikoanalyse spielt im LkSG eine Schlüsselrolle bei der Umsetzung der Sorgfaltspflichten. Sie dient dazu, potenzielle Risiken zu identifizieren und angemessene risikomindernde Maßnahmen zu entwickeln, was zur Erfüllung der gesetz­lichen Anforderungen beiträgt.

Nicht zuletzt aufgrund einer zu erwartenden Ausweitung der Sorgfaltspflichten auf mittelbare Zulieferer, wie sie im Richtlinienentwurf ^[1] der EU vorgesehen ist, sollten die mittelbaren Zulieferer schon jetzt in der Risiko­ana­ly­se berücksichtigt werden.

Obwohl das Gesetz derzeit lediglich eine Verpflichtung zur Bemühung einführt und weder eine Verpflichtung zum Erfolg noch eine Haftungsgarantie für die Einhaltung von Menschenrechten in der Lieferkette vorsieht, stehen deutsche Unternehmen vor erheblichen Herausforderungen. Dies gilt insbesondere für den deutschen Mittelstand, der aufgrund seines hohen Anteils an Wertschöpfung in internationalen Lieferketten und seiner globalisierten Geschäftsmodelle zumindest mittelbar in großem Maße betroffen sein wird.

Das Risikomanagement als zentrales Steuerungselement

Das Risikomanagement hat die Aufgabe sicherzustellen, dass Unternehmen in ihren Lieferketten Risiken bezüglich potenzieller Verstöße gegen Menschenrechts- und Umweltstandards identifizieren, bewerten und angemessen steuern. Ein weiterer wesentlicher Schwerpunkt liegt darauf, die Einhaltung der Sorgfaltspflichten sicherzustellen, indem angemessene Maßnahmen in allen relevanten Geschäftsprozessen verankert werden.

Die Wirksamkeit eines Risikomanagementsystems (RMS) hängt von diesen verankerten Maßnahmen ab, wobei das LkSG zu der deren konkreter Ausgestaltung keine detaillierten Vorgaben macht. Gemäß § 4 Abs. 2 LkSG sind „solche Maßnahmen wirksam, die es ermöglichen, menschenrechtliche und umweltbezogene Risiken zu erkennen und zu minimieren sowie Verletzungen menschenrechtsbezogener oder umweltbezogener Pflichten zu verhindern, zu beenden oder deren Ausmaß zu minimieren, wenn das Unternehmen diese Risiken oder Verletz­ungen innerhalb der Lieferkette verursacht oder dazu beigetragen hat“.

Diese Maßnahmen gilt es in allen maßgeblichen Geschäftsabläufen zu internalisieren und Zuständigkeiten festzulegen.

Zur Orientierung bei der Implementierung eines RMS werden von Unternehmen einschlägige Standards wie die ISO 31000 und IDW PS 981 herangezogen. Letztere beschreibt den Aufbau eines RMS anhand von acht grund­legenden Komponenten:


Abbildung 1 - Risiko Management System nach IDW PS 981

Es ist allerdings von entscheidender Bedeutung die Definition von dem, was unter diesen acht Elementen im Kontext des RMS nach dem LkSG zu verstehen ist, einer Neubetrachtung zu unterziehen, denn an dieser Stelle findet ein Perspektivenwechsel statt. Während das Risikomanagement gemäß IDW PS 981 darauf ausgerichtet ist Risiken zu erkennen, zu bewerten und zu steuern, die das Unternehmen selbst betrifft – sei es finanziell, operativ oder in anderen Bereichen – fordert das LkSG Unternehmen dazu auf, ihren Blick von der Betrachtung der Risiken für den Geschäftserfolg des Unternehmens abzuwenden. Stattdessen sollen sie eine menschen- und umweltrechtliche Perspektive einnehmen, die den Fokus auf die Auswirkungen der Unternehmens­ak­ti­vi­tä­ten, die Umwelt und die betroffenen Stakeholder, wie beispielsweise die Beschäftigten entlang der Lieferkette, richtet.

Essenziell für das Risikomanagement: Die Risikoanalyse

Die Risikoanalyse dient zur präzisen Identifikation von Risiken innerhalb des eigenen Geschäftsbereichs des Unternehmens und der unmittelbaren Zulieferer.

Die Analyseergebnisse liefern Unternehmen Informationen in welchem Maße Menschenrechts- und Umwelt­ri­si­ken in ihrem eigenen Geschäftsbereich und in der Lieferkette auftreten. Dies bildet die Grundlage für Entschei­dungen bezüglich erforderlicher Ressourcen, Fachkenntnisse, Zuweisung von Verantwortlichkeiten und die Integration in wesentliche Geschäftsprozesse im Rahmen des Risikomanagements. Die Risikoanalyse ist mindestens einmal jährlich durchzuführen sowie anlassbezogen, wenn das Unternehmen mit einer wesentlich veränderten oder wesentlich erweiterten Risikolage in der Lieferkette rechnen muss und zusätzlich auch dann, wenn das Unternehmen konkrete Informationen hat, die darauf hinweisen, dass bei einem mittelbaren Zulie­ferer Menschenrechtsverletzungen oder Verstöße gegen Umweltauflagen wahrscheinlich sind.

Generell empfiehlt es sich, bei der Risikoanalyse die folgenden Schritte zu beachten:

• Abstrakte Risikoanalyse: Allgemeine Risikoeinordnung anhand von z.B. Stammdaten, Indizes zu Länder- und Branchenrisiken
• Konkrete Risikoanalyse: Eine detaillierte Risikoanalyse der zuvor abstrakt identifizierten Risiken. Dazu kann bereits auf intern vorhandenes Wissen, Recherche von weiteren Daten, Fragebögen oder Zertifizierungen zurückgegriffen werden
• Gewichtung und Priorisierung der Risiken: Maßgeblich ist dabei Art und Umfang der Geschäftstätigkeit, das Einflussvermögen auf den unmittelbaren Verursacher, die zu erwartende Schwere, Umkehrbarkeit und Eintrittswahrscheinlichkeit eines Risikos sowie der eigene Verursachungsbeitrag (Vgl. § 3 Absatz 2 LkSG)

Zur Umsetzung der Risikoanalyse gemäß LkSG hat das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) eine Handreichung ^[2] veröffentlicht, in der die Anforderungen des LkSG erläutert und Hilfestellungen zur Umsetzung gegeben werden.

Herausforderungen im Hinblick auf internationale Risikoanalysen

Internationale Unternehmen stehen bei der Umsetzung internationaler Risikoanalysen vor einer Vielzahl von Herausforderungen, die bei der Identifikation und Bewertung von Risiken zu berücksichtigen sind. Das beginnt bei der Identifikation von Risiken in verschiedenen Abteilungen und Tochtergesellschaften. Ein in der Praxis häufig auftretendes Problem ist, dass die Risikoidentifikation nicht vollständig ist. Bemerkt wird das oft erst dann, wenn unterschiedliche Tochtergesellschaften bei gemeinsamer Betrachtung feststellen, dass Risiken, die von anderen Tochtergesellschaften gemeldet wurden, auch für die eigene Tochtergesellschaft relevant gewesen wären bzw. sind. Ein Beispiel hierfür ist, dass im Hinweisgebersystem eingegangene Hinweise mög­li­cher­weise nur von einer Tochtergesellschaft berücksichtigt wurden. Abhilfe kann geschaffen werden, indem sämtliche erfassten Risiken mit allen Tochtergesellschaften und Abteilungen geteilt werden.

Eine weitere Herausforderung ist die einheitliche Bewertung gleichlautender Risiken. Diese ist Voraussetzung für Unternehmen, um diese Risiken aggregieren zu können, wie es auch vom IDW PS 981 gefordert wird.

Die Risikoaggregation soll dabei helfen, die Gesamtrisikosituation eines Unternehmens darzustellen, dennoch oder genau deswegen dürfen die Einzelrisiken nicht einfach addiert werden – denn es könnten Risikointer­de­pen­den­zen bestehen. Dabei handelt es sich um Risiken, die in einer Abhängigkeit zueinanderstehen. So können sich Risiken gegenseitig verstärken und somit positiv korrelieren oder sie können sich gegenseitig abschwächen bzw. gegenseitig ausschließen und somit negativ korrelieren. Die Risikoaggregation kann somit einen komplexen Sachverhalt darstellen, was durch die Internationalität von Konzernen noch weiter verstärkt wird.

Um zu gewährleisten, dass die Ergebnisse der Risikoanalyse im Risikomanagementsystem ausreichend berück­sich­tigt werden, ist die Kommunikation der Ergebnisse an die Entscheidungsträger unerlässlich. Internationale Konzerne stehen hierbei vor der Herausforderung zu selektieren, welche Informationen von rein lokaler Bedeu­tung sind und welche einen Einfluss auf globale Entscheidungen haben.

Herausforderungen im internationalen Kontext interdisziplinär begegnen

Um ein umfassendes Verständnis der Risiken in der Lieferkette zu gewährleisten, müssen verschiedene Fach­be­rei­che im Risikomanagement verknüpft werden.

An erster Stelle stehen dabei die gesetzlichen Anforderungen des LkSG, derer gerecht zu werden ein um­fassen­des Verständnis der einschlägigen Regelungen und Compliance-Anforderungen erfordert. Neben dem LkSG selbst gilt es hierbei mit den Handreichungen des BAFA, sowie den Standards ISO 31000 und IDW PS 981 vertraut zu sein.

Es braucht ein interdisziplinäres Team, um die entsprechenden Richtlinien und Prozesse zu entwickeln, die es ermöglichen, Risiken in der Lieferkette auf umfassende und fundierte Weise zu analysieren. Indem Experten aus diesen unterschiedlichen Disziplinen ihr Wissen und ihre Perspektiven einbringen, können sie Synergie­effekte nutzen und die Vielschichtigkeit der Risiken besser verstehen.

Zusätzlich dazu spielt die Nutzung bewährter Verfahren eine entscheidende Rolle, ebenso wie die kontinu­ier­li­che Entwicklung von Best Practices im operativen Alltag, um diese auf unternehmensweiter Ebene zu ver­brei­ten. Denn wertvolles Know-how ist in vielen Bereichen des Unternehmens bereits vorhanden und sollte gezielt erfasst und gefördert werden.

Fazit

Der deutsche Mittelstand, der aufgrund seines hohen Anteils an Wertschöpfung in internationalen Lieferketten und seiner globalisierten Geschäftsmodelle besonders vom LkSG betroffen ist, steht bei der Einführung inter­na­tio­nal wirksamer Risikomanagementsysteme und Risikoanalysen vor großen Herausforderungen. Die Umsetzung des LkSG erfordert ein breites Verständnis der gesetzlichen Anforderungen, die Implementierung wirksamer Risikomanagementsysteme und die Zusammenarbeit zwischen verschiedenen Disziplinen und Fachbereichen, um die Einhaltung von Menschenrechten und Umweltstandards in der Lieferkette sicher­zu­stellen.

Ausblick

Gleichzeitig mit der Einführung des deutschen Lieferkettengesetzes haben viele andere Länder in und außer­halb der EU bereits ähnliche Vorschriften erlassen. Auch die EU arbeitet an einem Rahmenwerk zur Regu­lie­rung globaler Lieferketten. Dieser Gesetzesvorschlag deutet bereits heute darauf hin, dass die rechtlichen Anforderungen in Deutschland in Zukunft verschärft werden könnten. Um auch weiterhin sicher innerhalb ihrer Lieferketten zu agieren, müssen deutsche Unternehmen daher verstärktes Augenmerk auf effektives Risiko­ma­na­ge­ment in ihren internationalen Geschäftsbeziehungen legen.