Die LkSG-Risikoanalyse

PrintMailRate-it

​​​​veröffentlicht am 28. November 2024


In den letzten beiden Beiträgen unserer Artikelreihe zum LkSG ging es um die Rolle des Menschenrechtsbeauftragten. Dieser Artikel beschäftigt sich mit der Vorgehensweise und den Herausforderungen bei der Durchführung der LkSG-Risikoanalyse.

Unternehmen, die in den Anwendungsbereich des LkSG fallen, müssen eine Risikoanalyse gemäß LkSG durchführen. Die Risikoanalyse ist die Grundlage für ein angemessenes und wirksames Risikomanagement und damit das Herzstück der Umsetzung der Rechtspflichten aus dem LkSG. Durch sie soll transparent gemacht werden, wo im eigenen Unternehmen bzw. in der Lieferkette des Unternehmens besonders hohe menschenrechtliche und umweltbezogene Risiken liegen und wo die Folgen für Betroffene schwerwiegend sein können.

Wie der letzte Satz zeigt, geht es hier – anders als im klassischen Risikomanagement – nicht darum, die Risiken für das Unternehmen in Form möglicher Schadensersatzforderungen oder eines Imageschadens zu bewerten, sondern um die Identifikation und Bewertung derjenigen Risiken, die sich aus dem Handeln des Unternehmens für Dritte, also für die eigenen Mitarbeitenden, die Mitarbeitenden bei mittelbaren und unmittelbaren Zulieferern sowie für die Umwelt ergeben.
 

Vorgehen bei der Risikoanalyse

Das LkSG überlässt es grundsätzlich dem einzelnen Unternehmen, wie es die Risikoanalyse durchführt. Nichtsdestotrotz gibt es Rahmenbedingungen, die eingehalten werden müssen. So fordert § 5 Abs. 2 und 3 LkSG, dass das Unternehmen die ermittelten menschenrechtlichen und umweltbezogenen Risiken angemessen gewichten und priorisieren sowie die Ergebnisse der durchgeführten Risikoanalyse an die maßgeblichen Entscheidungspersonen im Unternehmen kommunizieren soll.

In der Praxis hat es sich daher bewährt, sich an den Empfehlungen der BAFA1 zur Risikoanalyse  zu orientieren und die Risikoanalyse in drei aufeinander aufbauenden Schritten durchzuführen:

1. Vorbereitung der Risikoanalyse

2. Abstrakte Risikoanalyse

3. Konkrete Risikoanalyse


1. Vorbereitung der Risikoanalyse

Ziel dieses Schrittes ist es, sich einen strukturierten Überblick über das eigene Unternehmen und dessen Lieferkette mit Blick auf die Anforderungen des LkSG zu verschaffen. Es gilt also, die Basis für die anschließende Risikoanalyse zu legen.

Dazu ist für das eigene Unternehmen u.a. transparent zu machen, in welchen Ländern eigene Standorte existieren, wie viele Mitarbeitende an diesen Standorten arbeiten, welche Produkte dort hergestellt bzw. welche Dienstleistungen erbracht werden, aber auch welche Prozesse bedient werden oder welche Personengruppen von den eigenen Geschäftsaktivitäten betroffen sein könnten.

Daneben gilt es, die Beschaffungsstruktur des Unternehmens zu durchdringen. D.h. in welchen Ländern wird beschafft, welche Waren werden beschafft, von welchen Lieferanten werden diese Waren in welchem Umfang beschafft, um nur einige Datenpunkte zu nennen.

Anschließend daran sollten die IT-Systeme und Abteilungen identifiziert werden, in denen relevante Daten bzw. Informationen zu obigen Punkten vorliegen. Das führt dazu, dass für die Risikoanalyse nach dem LkSG Daten aus sehr unterschiedlichen Prozessen und damit sehr unterschiedlichen Organisationskontexten des Unternehmens benötigt werden. Die spontane Vermutung, dass alle erforderlichen Daten im Einkauf bekannt sind und bereits verwendet werden, erweist sich meist als Trugschluss. Es werden vielmehr Daten aus folgenden Kontexten benötigt:

  • Materialwirtschaft / Produktionsperspektive, Lagerwirtschaft (Produktkategorien, Warengruppen, Materialien und Materialstammdaten)
  • Beschaffung (Banf-Prozess und Ebene der Bestellungen; Lieferanten, deren Klassifizierung und deren Stammdaten)
  • Rechnungslegung / Kreditorenbuchhaltung (Zahlungsströme, Einkaufsvolumen je Lieferant)



Abb.: Die Bereitstellung der für die Risikoanalyse erforderlichen Daten erfordert oft auch die Nutzung interner Datenquellen, die nicht von der Einkaufsabteilung verwaltet werden.

Sofern in unterschiedlichen Unternehmenseinheiten verschiedene ERP-Systeme mit jeweils eigenen Datenbeständen zum Einsatz kommen und nicht unternehmensweit ein integriertes ERP System eingerichtet ist, in dem diese Datenbreite konsolidiert verarbeitet wird, gestaltet sich die Generierung der erforderlichen Daten in der Praxis häufig sehr herausfordernd. Das Gleiche gilt, wenn die Datenquellen zwar an einem Ort zusammengeführt sind, jedoch die für eine Risikoeinstufung erforderlichen Merkmale in den Datensätzen nicht vorhanden oder weitgehend mit Fehlern behaftet sind. In diesen Situationen  muss also ein gewisser Aufwand für die Verbesserung der Datenqualität sowie das Zusammentragen, Konsolidieren und Harmonisieren der bereits im Unternehmen vorhandenen Daten eingeplant werden, aber auch für die systematische Erfassung zusätzlicher Daten, um Informationslücken zu schließen.

Das Ergebnis der Bestandsaufnahme ist schließlich der Überblick über den Status Quo bezüglich Aufbau, Tätigkeiten und Komplexität der Lieferbeziehungen im eigenen Geschäftsbereich, der Lieferanten, aber auch über die verfügbaren Daten und Informationen.

Auf dieser Basis erfolgt anschließend die abstrakte Risikoanalyse.

 

2. Abstrakte Risikoanalyse

Die Handreichung zur Angemessenheit stellt in diesem Zusammenhang klar, dass die Kriterien der Angemessenheit (§3 Abs. 2 LkSG) auch im Rahmen der Risikoanalyse zu berücksichtigen sind, um die unterschiedliche Intensität der Ermittlungsbemühungen in Bezug auf verschiedene Teile des eigenen Geschäftsbereichs und der unterschiedlichen Zulieferer zu steuern. Je höher die Risikoindikation, die sich aus der Anwendung der Angemessenheitskriterien ergibt, umso intensiver müssen die Ermittlungsbemühungen zur Risikoanalyse ausfallen2.

Hat man nun einen Überblick über die Daten hergestellt und eventuelle Informationslücken identifiziert, geht es darum, eine Analysestrategie auf Basis der verfügbaren Daten für die Analyse des eigenen Geschäftsbereichs als auch für die Risikoanalyse der Lieferanten zu überlegen und Priorisierungskriterien zu definieren.

Es ist zu empfehlen, mit einer Branchen- bzw. Länderanalyse im eigenen Geschäftsbereich zu starten. Hierfür kann auf vorhandene Indizes3 zurückgegriffen werden. D.h. man prüft für die Länder, in denen man eigene Geschäftsbereiche unterhält bzw. für die eigene Branche anhand von Indizes, ob für dieses Land bzw. diese Branche von den Stellen, die die verwendeten Indizes herausgeben ganz allgemein ein erhöhtes umweltbezogenes- bzw. menschenrechtliches Risiko gesehen wird und wie dieses Risiko dort klassifiziert wird.

In einem zweiten Schritt führt man diese länderbezogene Risikoanalyse auch für die direkten Lieferanten durch. D.h. man clustert die Lieferanten nach Herkunftsland und ermittelt wiederum auf Basis eines oder mehrerer Indizes, ob für das entsprechende Land grundsätzlich ein erhöhtes menschenrechtliches oder umweltbezogenes Risiko besteht. Diejenigen Länder und letztlich Lieferanten, die hieraus eine erhöhte Risikoexposition haben, werden entsprechend gekennzeichnet.

In einem weiteren Schritt empfiehlt es sich, die Risiken in Bezug auf die verwendeten Warengruppen genauer anzuschauen. Das Vorgehen ist identisch zu dem für die Länderrisikoanalyse. Auch hier hat das BAFA Indizes veröffentlicht, die zur Analyse herangezogen werden können.

Diejenigen Lieferanten, von denen Waren bezogen werden, deren Warengruppe ein erhöhtes menschenrechtliches oder umweltbezogenes Risiko aufweist, sollten ebenfalls entsprechend als risikoreich klassifiziert werden.

Abschließend sollten weitergehende Informationen, die bereits im Unternehmen vorliegen, systematisch ausgewertet werden z.B. Informationen aus dem bestehenden Beschwerdemanagement, aus Lieferanten-Audits, aus Auswertungen von Dialogen mit Lieferanten oder aus Brancheninformationen. Ergeben sich hieraus kritische Lieferanten, sollten auch diese als risikobehaftet gekennzeichnet werden.

Durch diese Vorgehensweise entsteht ein erstes grobes Risikobild gemäß LkSG, das dem Unternehmen aufzeigt, in welchen Ländern, in welchen Warengruppen sowie bei welchen Zulieferern abstrakte, also lediglich mit Hilfe von Indizes ermittelte menschenrechtliche und umweltbezogene Risiken vorliegen. Diese werden im nächsten Schritt (konkrete Risikoanalyse) einer weitergehenden, vertiefenden Analyse unterzogen.
 

3. Konkrete Risikoanalyse

Der Fokus der konkreten Risikoanalyse liegt darauf herauszufiltern, welche Risiken in welchem Geschäftsbereich bzw. bei welchen spezifischen Hochrisiko-Lieferanten tatsächlich relevant sind sowie festzulegen, welche dieser Risiken vom Unternehmen prioritär angegangen werden sollen.

Dazu sollte auf den Kriterien aus § 3 Abs. 2 LkSG aufgesetzt werden. Für die identifizierten kritischen Geschäftsbereiche bzw. Lieferanten aus der abstrakten Risikoanalyse wird die jeweilige konkrete Schwere des Risikos sowie die Wahrscheinlichkeit des Eintretens des Risikos bewertet.

Die Schwere des Risikos kann dabei anhand der Kriterien „Grad der Beeinträchtigung”, der „Anzahl der Betroffenen” sowie der „Umkehrbarkeit“ bewertet werden5. Hierzu kann das Unternehmen beispielsweise je Kriterium eine 5-stufige Bewertungsskala entwickeln. Wichtig in diesem Zusammenhang ist, dass die Bedeutung der einzelnen Stufen klar definiert ist, d.h. dass festgelegt wird, was genau unter der jeweiligen Bewertungsstufe zu verstehen ist, so dass die Einstufung des bewerteten Lieferanten bzw. Geschäftsbereiche trotz aller Subjektivität im Kontext der Gesamtheit der Lieferanten plausibilisiert und so gut wie möglich vergleichbar gemacht wird. So könnten für das Kriterium „Anzahl der Betroffenen“ für die einzelnen Stufen die Beschreibungen wie folgt aussehen: Stufe 1 = weniger als 5 Betroffene, Stufe 2= weniger als 25 Betroffene, Stufe 3 = weniger als 100 Betroffene, etc. Für das Kriterium „Umkehrbarkeit“ könnte man beispielsweise in Betracht ziehen, ob ein eingetretener Schaden durch die Zahlung eines Geldbetrags kompensiert werden könnte.

Letztlich sollte für die Priorisierung auch das Einflussvermögen des eigenen Unternehmens auf den Lieferanten sowie der Verursachungsbeitrag bewertet werden. Je höher dieser jeweils ist, desto höher sollte die Bewertungsstufe und damit letztlich die Bedeutung im Rahmen der Priorisierung sein.

Durch Addition, gewichtete Addition oder auch Multiplikation der ermittelten Punktwerte je Kriterium je Lieferant bzw. Geschäftsbereich lässt sich schließlich eine Priorisierung aller in der konkreten Risikoanalyse berücksichtigten Lieferanten vornehmen.

Die weiteren detaillierten Analysen sollten sich auf diese priorisierten, kritischsten Lieferanten bzw. Geschäftsbereiche fokussieren. Das können beispielsweise die Top 50 kritischsten Lieferanten sein. Diese werden einer weiteren detaillierten Analyse unterzogen, um zu verifizieren, ob tatsächlich menschenrechtliche oder umweltbezogene Verletzungen im Sinne des LkSG vorliegen. Hierzu kann das Unternehmen z.B. Fragebögen versenden, Medienrecherchen vornehmen oder auch Vor-Ort-Besuche beim Lieferanten durchführen. Ziel ist es, die vermuteten menschenrechtlichen Risiken zu bestätigen oder zu widerlegen.

Je nach Ergebnis der Analyse sollten dann Abhilfe- oder Präventionsmaßnahmen definiert und umgesetzt werden.

Wichtig in diesem Zusammenhang ist die systematische Dokumentation der angewendeten Kriterien und Maßstäbe sowie der auf dieser Grundlage identifizierten konkreten Risiken, beispielsweise in einem Risikoinventar. Diese enthält üblicherweise eine Risikobeschreibung, den Risikoverantwortlichen, die Risikogewichtung sowie Präventions- und Abhilfemaßnahmen als Mindestangaben.
Die Risikoanalyse nach LkSG ist jährlich bzw. anlassbezogen zu aktualisieren.
 


Quelle:

1 BAFA Handreichung „Risiken ermitteln, gewichten und priorisieren” sowie BAFA Handreichung „Angemessenheit”
2 Siehe hierzu BAFA Handreichung „Angemessenheit” Punkt 3.2.
3 Mögliche Indizes siehe BAFA Risikodatenbank
4 Siehe BAFA Risikodatenbank
5 Siehe BAFA Handreichung „Risiken ermitteln, gewichten und priorisieren” Anhang I​​


AUTOR

Katja Pfannenmüller

FOLGEN SIE UNS!

Linkedin Banner

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu