※本記事は「4 Best Practices to Comply with Germany's ESG Mandate」の翻訳記事です。
現在、各国政府は持続可能なビジネス活動の実現を目指し、企業やサプライヤーが世界に与える影響について説明責任を果たすよう表明しています。その中でも最先端を進むドイツでは、国内で事業を行うすべての企業に適用される新しい法律に、この焦点を組み込んでいます。
この新しい法律は単なる1国で発せられた法律というだけでなく、全世界に対して大きな影響力を持っています。この法律に直接影響を受ける企業は、ベンダーの所在地に関係なく、サプライチェーン全体で十分な注意を払う必要があります。さらに、他の欧州諸国も同様の国内規制の制定に関心を示しており、弱者や環境を保護する取り組みへの機運が世界で高まるにつれて、より多くの国がドイツに追随する可能性があります。
ドイツのデューデリジェンス法(Supply Chain Due Diligence Act)とは何か?
ドイツの新しいデューデリジェンス法('Lieferkettensorgfaltspflichtengesetz'、または'Lieferkettengesetz') は、人権侵害と特定の環境基準への準拠についてサプライ チェーンを監視することにより、デューディリジェンスの義務を果たすことを企業に義務付けています。この法律は2023年1月1日より施行され、最初は「ドイツに登録事務所または支店があり、従業員が3,000人以上の企業」に適用されます。この法律の適用範囲は2024年までに「1,000人以上の従業員を抱える企業」にまで拡大されます。該当する企業がデューデリジェンスと報告義務に違反した場合、違反の性質と重大性に応じて最大800万ユーロの罰金が科せられます。
平均年間売上高が4億ユーロを超える企業は、法律違反によって平均売上高の最大2%の罰金を科される可能性があります。厳しい罰金とネガティブな報道が行われるのに加えて、この法律に違反した企業はドイツの公的機関との契約締結ができなくなります。
遵守するために企業に求められること
企業はコンプライアンスを検証するために、適切に関連文書の監視、集約、および報告を行い、直接やり取りしているサプライヤーに加え、3次請け先/4次請け先/5次請け先企業など自社のサプライチェーンを担うあらゆる企業と連携する必要があります。さらに、企業はデューデリジェンスの実践を詳述した内部ポリシーを公開し、取り組んだ措置と違反をドイツの連邦経済・輸出管理庁に毎年報告する必要があります。以下のチャートは、直接サプライヤーと間接サプライヤーの要件の違いを示しています。
要件を満たす上で直面する課題
この法律の施行が2023年に迫るなか、これらのコンプライアンス対策に対応する準備をどこから始めればよいか分からない企業も多いのが現状かと思います。1つ確かなことは、サプライ チェーン全体で協力し合うためには、時間、労力、およびコミットメントが必要になるということです。
ビジネスリーダーは、効果的な報告システムの確立から人材の適切なトレーニングと開発に至るまで、さまざまな課題に直面する可能性があります。また、グローバル化するサプライチェーンとバリューチェーン全体に適用できる方法で、適切な予防措置を講じ、それに基づいて行動する必要もあります。この実現のためには、企業はサードパーティーのリスク管理を改善し、複数階層化され把握しづらい状態になったサプライヤーの透明性を確保する必要があります。またドイツのデューデリジェンス法では、サプライチェーンのリスクとコンプライアンス違反の特定、報告を容易にするために、企業は必要な苦情処理手続を構築する必要もあります。
一部のサプライヤーはこのデューデリジェンス法への対応が間に合わない可能性があり、それに伴って複数のサプライチェーンから排除される可能性があります。このような混乱を回避するために、サプライチェーン計画担当者は、リスクとコンプライアンスデータの可視性を改善し、何らかのアクションが必要な場所を迅速に評価、対処できるようにしなくてはなりません。企業はその実現のために、短期的および長期的なコンプライアンスの取り組みを支援する包括的なツールを探す必要があります。
ドイツのデューデリジェンス法準拠のために取り組むべき4つのベストプラクティス
- 経営層、リーダー層からサポートを得て、リスクの一元管理を推進する
リスク管理の重要性を経営層やリーダー層が十分に理解しているかどうか確認しましょう。リスクを一元管理することで、コストの節約やベンダーの評価、承認などのプロセスが重複してしまうことを防ぐことができます。
- パフォーマンス評価をリスク基準に追加し、調達プロセスの早い段階でサプライヤーを精査する
新しい取引を始める際には、サードパーティーのリスク管理を審査および調達基準に組み込む必要があります。ベンダーはセキュリティ、コンプライアンス、および倫理上の懸念について、自社のサプライヤーとサードパーティーを精査する必要があります。選定が下されたら、契約にはリスクに対処するための適切な条項を含める必要があります。従業員から収集した定性的情報(できればサービス提供後すぐに)は、パートナーのパフォーマンスに関する定量的データに追加されます。
- 購買担当者やサプライチェーン計画担当者に増幅されたリスクを可視化し、定期的に監査を実施する
サードパーティーのリスクを適切に評価しても、従業員が未審査のサプライヤーやリスクの高いサプライヤーから購入するのであれば、その価値は限定的になってしまいます。4次請けが何度も登場したり、製品が多層のサプライチェーンにまたがって流れたりすると、リスクが増幅される可能性があるため、可視性は重要です。綿密な監査により、自動化されたプロセスだけでは見落とされる問題や、プロセスの変更を必要とする外部環境の変化を特定することができます。
- 行動を継続的に監視するために、サードパーティーのリスク管理プロセスをデジタル化する
企業がリスクを検出するには、年次または定期的な評価が役立ちますが、継続的に監視することで素早い問題の検出、技術や人員の変化に適応することができます。スプレッドシートやレガシーシステムによる管理から、サードパーティーリスクとサプライチェーンプランニングのための最新プラットフォームに移行することで、リアルタイムでのデータ収集と脅威の検知が可能になり、リスクマネジメントの成果を高め、コストを削減することにも繋がります。
成功する企業は、サードパーティーリスク管理をビジネス支出管理(BSM)ソリューションと統合して行っています。サードーパーティーリスク管理は、企業の考え方や業務プロセス、システムの一部であるべきで、問題が起こる直前になってから取り組むべきものではありません。
ビジネス・プロセスの改善に時間をかけると同時に、共に地球の資源とコミュニティを守りましょう。