观点:基于风险的供应链尽职调查与可持续发展——简析德国和欧盟供应链法案
一
供应链法案背景及趋势
2011年,联合国人权理事会(United Nations Human Rights Council,简称:HRC)通过了《联合国工商企业与人权指导原则》(UN Guiding Principles on Business and Human Rights,简称:UNGP),强调对人权的尽职调查 (HRDD),其中包括三大支柱:
• 国家保护人权的义务:通过合适的政策、法律、条例 和裁定,保护人权免遭第三方侵犯;
• 企业尊重人权的责任:通过尽职调查以避免侵犯人权,并应尊重人权,消除负面人权影响;
• 纠正或者补救的措施:通过为企业相关人权侵害的受害人提供更广泛有效的(非)司法补救
同年 ,经合组织(OECD)在成立五十周年的部长级会议上通过了更新版《经合组织跨国企业准则》,增加新的人权内容以符合联合国“保护、尊重和补救”原则,鼓励企业为经济、环境与社会进步做出积极的贡献,并认为商业活动可能产生与劳工、人 权、环境、贿赂、消费者及公司治理相关的不利影响,因此准则建议加强尽职调查和负责任的供应链管理。2018年OECD发布《经合组织负责任商业行为尽责管理指南》建议企业开展基于风险的尽责管理,以避免并消除上述 与自身运营、供应链和其他业务关系相关的不利影响。
欧盟委员会在其 《2011-2014 年欧盟企业社会责任新战略 》的通告中,呼吁所有欧盟成员国制定各自的国家行动计划,以实施联合国指导原则,推动企业的可持续发展。
2015 年,德国担任七国集团 (G7) 轮值主席国期间,大力倡议负责任的供应链管理,积极推广可持续发展的标准,促进尽职调查和预防风险,提高供应链的透明度,并加强申诉和救济机制,以支持联合国人权指导原则和经合组织企业准则。2016 年 ,德国联邦内阁通过《2016-2020国家行动计划》(National Action Plan / Implementation of the UN Guiding Principles on Business and Human Rights)要求自 2018 年起,所有德国企业以与其规模、经营特点、及其在供应链和价值链中的地位相称的方式,每年主动开展人权尽职调查,并将其纳入企业合规流程。如果自愿合规情况不充分,德国政府将考虑采取立法措施并扩大受审查企业的范围。
2020年,德国对《国家行动计划》的实施情况发布调查报告,认为约80%的大中型企业没有对其供应链开展足够的尽职调查。随后,德国政府经过数月的激烈辩论于2021年6月11日通过了《企业供应链尽职调查法案》(LkSG),并在2023年1月1日起正式生效实施。
2022年2月23日,欧盟委员会(European Commission)发布《企业可持续发展尽职调查指令(草案)》(CSDDD)之后, 2022年12月1日欧盟理事会(Council of the European Union)确定了的谈判立场(Council's General Approach)。根据拟议的CSDDD,适用于满足特定条件的欧盟企业和非欧盟企业,需要履行强制的尽职调查责任,例如企业必须以适当的方式审视其上游供应链(如原材料开采)和下游供应链(使用、加工、处置),否则将受到惩罚,这标志着从自愿执行的“软法”向强制执行的“硬法”转变。
2023年,欧盟供应链法案料将会通过欧洲议会(European Parliament)和欧盟理事会(Council of the European Union)的批准,届时欧盟成员国需在两年内将该指令纳入其国内法律。因此,该指令条款最快将于2025年正式生效。这也预示着德国供应链法(LkSG)将会面临着重新调整的可能。虽然德国经济合作与发展部对欧盟提案表示赞扬。然而,德国司法部部长和各商业协会警告说“不要让公司负担过重。”
由此可见,德国和欧盟的这些法案还存在着如何平衡经济发展和供应链安全的矛盾,但是如果企业没有及早做好“打铁还需自身硬”的准备,可能会面临企业声誉、合作信誉、客户美誉等方面的损失。
二
供应链法案框架及实施方法
虽然美欧等国都在积极的推动供应链尽职调查的立法,但从其法案内容、关注重点及实施指南等方面来看,除了美国对供应链的强势立法和霸权执法之外,德国和欧盟的法律框架其实更具有代表性,因为更符合他们既要控制供应链,又要可持续发展的思路。
所以我们有必要对德国和欧盟的供应链情况进行详细研究并探寻合规之道。
(一)德国LkSG法案与欧盟CSDDD的框架对比
如前所述,德国的《企业供应链尽职调查法案》(LkSG)虽然在2023年1月1日已正式生效。但是,欧盟的《企业可持续发展尽职调查指令》(CSDDD)如果在2023年获得立法批准,那么德国LkSG将会进行修订,所以大家都在关注着其中的法案差异,并且关注德国LkSG的实施经验将在多大程度上影响欧盟立法层面的谈判,以及是否被纳入CSDDD的最终版本。
因此,本文为了让大家能够更清晰的比较分析,将LkSG(2023年1月1日生效版本)和CSDDD(2022年12月1日修订版)进行了简要对比:
注意:
1.德国LkSG法案的适用范围主要通过雇员的数量来判断,因此企业需要首先了解是否达到了该法案的员工门槛。根据德国民法典(Bürgerliches Gesetzbuch – BGB)第 611a 条雇员一词的定义,雇员不区分兼职员工和全职员工,LkSG建议在计算雇员的数量时必须通过回顾性考虑和对未来员工发展的预测来计算,遵循“自下而上”和“有限适用原则”,比如:所有子公司的员工都算作母公司雇员,但母公司员工及母公司其他子公司员工均不计入下属子公司人数。
例外情况是,母公司对其他子企业具有决定性影响。判断决定性影响的依据,需要综合考虑子公司与母公司之间的业务、人员、组织和法律关系。比如母公司持有子公司的大部分股份、拥有集团范围内的合规系统、负责指导子公司的关键流程、具有相似的业务领域、管理层人员重叠等情况。
德国LkSG法案要求对集团内的每个企业都必须履行合规义务,因此义务不能简单地转嫁给供应商,受该法约束的企业需要履行风险分析和采取预防补救措施的义务。
2.欧盟的CSDDD草案的适用范围中提到“特定的高风险行业”,主要是指以下一个或多个行业:
· 纺织品、皮革及相关产品(包括鞋类)的制造,以及纺织品、服装和鞋类的批发贸易;
· 农业、林业、渔业(包括水产养殖)、食品制造以及农业原材料、动物、木材、食品和饮料的批发贸易;
· 无论从何处进行的矿产资源的开采(包括原油、天然气、煤、褐煤、金属和金属矿石,以及所有其他非金属矿产和采石场产品),基础金属制品的制造、其他非金属矿产品和预制金属制品(机械设备除外)、矿产资源、基础和中间矿产品(包括金属和金属矿石、建筑材料、燃料、化学品和其他中间产品)的批发贸易。
3.欧盟所定义的“商业关系”(business relationship)最初定义为:承包商、分包商或任何其他法律实体的合作伙伴关系,包括与公司生产商品或提供服务有关的商业活动,以及为这些商业活动提供服务的“价值链”(value chain)(比如贷款、信贷和其他金融服务)。
但是,2022年12月1日的欧盟修订草案中将“价值链”替换为“活动链”,并将使用公司产品或提供服务的阶段排除在与可持续发展战略有关的活动链之外。
Source:BAFA
(二)基于风险的尽职调查措施方法
我们研究德国LkSG和欧盟的CSDDD的法案内容时,发现都提到一个关键词“适当措施”(appropriate measure),即尽职调查的措施要与可能造成不利影响的风险等级相称,并合理考虑具体的经营情况,包括经济部门的特征、特定商业关系以及公司对其的影响力。
这其实就是我们合规管理中“基于风险”(或称:风险为本)(Risk-Based)的策略,既要避免“过度合规”给企业供应链和社会经济带来冲击,又能够防范重要而紧急的风险情形。并且,尽职调查是 一项持续开展的工作,随着时间的推移,企业的运营环境也在不断发生变化,风险也可能随之改变。
因此,企业应以风险为导向,在识别、衡量和分析风险状况,适当开展尽职调查措施 ,有效履行其供应链中有关人权和环境相关的合规义务。
1.建立有效的风险管理系统
企业的供应链和价值链越复杂,就越有必要进行系统化管理,合理整合内外部资源,定性和定量评估风险,以有效开展尽职调查措施。
在产业数字化转型的新阶段,企业供应链也应尽快实现数字化、网络化、智能化的发展,在这个过程中将风险、合规、内控等功能进行有效协同,既能避免风险的传染,又能对内外部的风险快速应对。
因此,为实现德国、欧盟等供应链法案的尽调要求,建议企业供应链的风险管理系统至少要具备以下功能:
· 风险识别:通过对供应商进行风险筛查,识别并预警潜在风险,比如:上下游合作伙伴的制裁风险、洗钱风险、失信风险、破产风险、技术风险等外部风险,以及项目风险、市场风险、资金风险、运营风险等内部风险;还有国别风险、贸易壁垒风险、地缘安全风险、极端天气风险、恐怖主义风险等宏观风险。等等。
· 风险评估:通过对各类风险因素的模型评估,进行风险等级判断,分析风险敞口和风险损失价值,根据风险偏好和风险容忍度,给出适当的风险应对策略,并协同各种资源构建供应链的生态网络,防范出现新风险的可能性。
· 风险治理:通过以上风险识别和评估之后,基于重要而紧急的优先级别,选择合适的风险管理工具,对关键风险进行缓释、转移或控制等措施,实现“去风险化”(De-Risk)和供应链韧性(Resilience)的目标,并能够持续的执行有效风险应对策略,动态优化和提升供应链驾驭风险的能力。
鉴于近期各国的供应链立法层出不穷,德国、日本、加拿大、欧盟等相继出台法案/草案,建议企业可以“分步走”逐步完善全面的风险管理系统,前提是先满足重要而紧急的合规任务。
2.正确的风险分析是有效合规的基础
根据德国LkSG和欧盟CSDDD的立法内容,风险分析的目标是了解公司自身业务领域及其供应链中的人权和环境风险,并将这些风险确定优先次序,以进一步处理。因此公司必须以“适当的”方式进行风险分析。一方面,这意味着企业必须建立系统和透明的合规程序来识别、衡量和优先处理风险;另一方面,企业对于风险的分析要正确,且要以合理性、有效性为条件。
因此,企业首先需要正确地开展风险分析(做正确的事),其次才是把风险分析正确(正确的做事),那么企业就需要至少做好以下两件正确的事儿:
· 基于企业尽职调查、权威媒体的负面报道、投诉渠道或非政府组织的报告,对供应商可能存在的与人权或环境有关的违规行为进行风险分析;
· 在业务活动进行之中或发生变化时,企业应根据供应链的风险等级情况,按照不同的频率开展持续的尽职调查,并对那些即将发生重大风险的情况进行预警。
很多企业在分析风险的时候是通过外部事件触发的被动应对,但是当各种风险事件叠加发生的时候,就会难以快速有效的风险分析和防范。因此,建议企业可以转换思路,从事件驱动型的风险分析,向以风险驱动型的事件分析来转变,即首先要有全球供应链的风险图谱(Risk map),然后对供应商进行风险分析,再对其中的关键风险进行补救措施,最后反馈到风险图谱之中,从而形成动态优化的循环管理生态,实现供应链的“反脆弱”能力和强劲的“韧性”。
关于其他尽职调查的方法,比如:预防措施、补救措施、投诉程序、报告等内容,限于篇幅,企业可以根据根据方法论予以研究并实施,也可以通过外部咨询顾问、律师、行业协会等第三方的帮助来尽快开展。
这里需要提醒两点:一是第三方服务机构也必须要符合供应链的尽职调查规则;二是合规工作可以适当外包,但是合规责任无法外包,所以企业应选择正确的合作方,避免为企业带来更多的问题。补充说明的是,尽量不要在预算上过于吝啬,否则不但合规工作会“缩水”,而且也体现不出合规的价值。
三
企业有效开展供应链合规的建议
在2023年的达沃斯论坛上,国际货币基金组织(IMF)警告称地缘经济分裂导致的“去全球化”可能拉低全球GDP至多7%,如果将技术脱钩考虑在内,一些国家遭受的损失将更大,幅度可能达到12%。欧盟委员会主席冯德莱恩(Ursula von der Leyen)在达沃斯峰会上发表演讲时抱怨称,欧盟是“受害者”,比如美国最近推出的气候、医疗健康和税收法案,即《通胀削减法案》(Inflation Reduction Act),让只有在北美组装的电动汽车才能获得补贴。这些严重影响着本已“脆弱”的供应链。
⽬前国际上还有很多不同级别讨论,大家对今年的供应链形势判断虽然各有千秋,但如何确保全球供应链韧性,很多国家给出的解决方案很多聚焦在可持续性的尽职调查。与此同时,尽职调查问题在政治议程上也不是新鲜事,但是各国政府已对企业主动⾃愿履⾏其尽职调查义务似乎失去了信心,企业将会在不确定的地缘政治影响之下还面临着“强监管”,因此企业如何有效开展供应链、产业链、价值链合规将是重要而紧急的事项。
1.遵循属地监管原则
为了履行尊重人权和环境的责任,建议企业最好遵循“属地监管原则”,不要“想当然”的开展供应链尽职调查,也不是拿出企业曾经的供应链合规措施,而是以经营所在国的最新法律法规来执行,比如以德国LkSG法案为例,企业最好既要参考欧盟的可持续发展尽职调查指令,按照德国国家行动计划(NAP)、德国经济与出口管制局(BAFA)等监管者和行业自律组织所提供的合规指南,否则企业可能会被认为“未按规定”开展尽职调查。
所以企业开展合规工作的首要前提是:遵循属地监管原则,合规的开展合规工作。
2.高管履行合规承诺
德国LkSG法案和欧盟CSDDD指令都要求管理层应履行合规义务,制定重视人权、环境的战略决策和合规执行措施,并且应在企业政策声明中公开发布合规承诺:
· 说明如何将人权、环境纳入集团政策和策略规划的流程
· 披露如何将人权考虑纳入策略、政策和程序;
· 陈述风险评估及采取适当的应对措施,如何就所采取的措施进行内部和外部沟通;
· 如何审查并加强申诉机制和上报政策;
· 如何确保企业具备充分应对“危机”的能力;
· 董事会应对供应链风险的能力
· 法律合规部门的职能、资源和专业知识,及其如何在应对这些新挑战中发挥关键作用。
这些意味着企业高管不但要履行合规承诺,而且该合规承诺和政策声明应该不断更新,并保证全员实现合规有效执行。因此,建议企业高管尽早确定员工和部门的具体职责,赋能所有相关领域的员工主动履行尽职调查义务。这个需要开展培训、辅导、实施、反馈、改进等过程,不可一蹴而就,企业要注意掌握这个时间节奏。
3.供应链合规共同体
企业高管承诺重视合规之后,还需要公司员工、供应商(特别是高风险供应商)、投资方、政府、媒体等利益相关者也需要做好合规承诺并执行。只有全链条、全网络、全流程都能够共同合规,企业才能够让供应链更稳定运行。
这意味着供应链合规要全面的贯彻执行,需要利益相关者的全面协同,共同塑造供应链合规共同体。比如:在业务决策端、产品开发端、市场营销端、项目施工端、物流运输端等等都要具备人权和环境的合规意识,增加风险的透明度,提高风险防范能力建设。
当识别出供应链风险后,必须采取适当的补救和预防措施,比如与直接供应商签订补充合同或协议,增加适当的人权和环境条款,以及合规培训措施。企业还可以制定新的采购政策和供应商标准,增加核实合作伙伴是否采取适当措施防范供应链风险。
当企业有实际迹象表明间接供应商可能违反人权义务或环境相关义务时,则须要针对责任方制定适当的补救措施,比如实施风险隔离、预防和避免风险,必要时可以取消合同协议。尤其当违规行为迫在眉睫或已经发生时,必须停止业务关系或采取风险最小化的应急措施。
但是需要提醒的是,德国LkSG的FAQ中有一个原则:“留下来帮忙,胜过偷偷跑路”(The principle here is: staying and helping is better than cutting and running)。也就是说,只有在满足以下情况时,才需要终止业务关系:
· 违反受保护环境及人权相关义务的风险极高,问题非常严重;
· 与供应商一起制定的合规措施,未得到实施也没有得到补救整改;
· 企业没有其他较轻的手段可以使用;
· 去风险化措施已无效或不起作用。
因此,建议企业要与供应商建立良好的沟通机制,大家既是利益共同体,也是风险共同体,唯有共商共议符合法案要求的合规策略,共建共享供应链尽职调查合规管理体系,才能共创共赢供应链合规带来的可持续发展红利,共同构建供应链安全、合规的共同体。
4.基于风险的尽职调查
如今很多国家和地区都在发布与供应链相关的法律法规,其中肯定会有相互冲突和矛盾的条款,甚至不排除个别国家以人权和环境等道德价值观议题,实施贸易保护主义和“长臂管辖”措施。
所以企业应对供应链合规风险要有大局观,保持战略定力和明确政治立场,既不要不管不顾,也不要盲目跟随,更不要过度合规。
因此建议要从企业经营场景出发,以风险为导向,而不是简单遵循规则,应先判断业务是否需要符合该国的法律要求,然后再根据风险敞口评估和风险偏好情况,衡量风险的优先级和重要性,横向和纵向了解风险防范能力,综合这些因素之后再决定是开展“反长臂管辖”还是“履行合规义务”,实现供应链风险的最小化以及“去风险化”。
5.可持续的供应链合规
供应链合规不是一次性的,而是持续的、动态的过程。供应链合规也不是事后的,而是事前、事中、事后全流程和全生命周期的过程。这需要企业与供应商建立业务关系之前,以及正在进行的业务活动之中,还有业务启动之后的持续合规。
因此有效的、可持续的供应链合规,应及早发现和预防企业商业行为中的潜在的人权和环境风险,通过“望闻问切”即可判断其中的病理而采取“治未病”的预防措施。
其实这个理念也并不新鲜,扁鹊时代即已出现,但关键不在于知道,而在于做到。所以企业在面对层出不穷的供应链法案时,建议在原有或新建的合规风险管理体系中加强对“风险源”的识别,优化风险评估和风险缓释工具,制定争端解决和预防机制,实现可持续的、有韧性的、有效的、能创造价值的供应链合规。
中国国家主席习近平指出,“维护全球产业链供应链韧性和稳定是推动世界经济发展的重要保障,符合世界各国人民共同利益。中国愿同各国一道,把握新一轮科技革命和产业变革新机遇,共同构筑安全稳定、畅通高效、开放包容、互利共赢的全球产业链供应链体系,为促进全球经济循环、助力世界经济增长、增进各国人民福祉作出贡献。”
总之,德国和欧洲的供应链法案是当今极具代表性的,虽然条款规则纷繁复杂,但总会找到解决复杂问题的方法。后疫情时代,全球化面临重构,经济形势存在不确定性,供应链产业链的价值愈发重要。这对国家和企业来说,既是风险挑战,也是战略机遇。
“道阻且长,行则将至,行而不辍,未来可期!”
作者:中国贸促会商法中心与道琼斯风险合规中国团队共同创作
(注:本文谨代表作者观点,不构成任何决策建议。)
更多阅读:
道琼斯公司(Dow Jones) 创建于1882年,旗下有道琼斯指数, Barron's《巴伦周刊》, WSJ《华尔街日报》, MarketWatch, Factiva, Risk & Compliance等品牌。“道琼斯风险合规”是风险管理和合规治理全球领先品牌,由道琼斯风险合规中国团队运营。欢迎您关注公众号或联系道琼斯风险合规中国负责人:Johnson.Ma@dowjones.com