¿El RGPD de ESG?

Alemania vincula el cumplimiento de ESG con las cadenas de suministro.

La nueva regulación en Alemania tiene como objetivo responsabilizar a las empresas por las violaciones de
los derechos humanos y ambientales en sus cadenas de suministro. La Ley de Diligencia Debida de la Cadena
de Suministro puede convertirse en un prototipo para futuras regulaciones de la Unión Europea que podrían
tener el mismo impacto ambiental, social y de gobernanza que el Reglamento General de Protección de
Datos ha tenido para la privacidad. También es una nueva área de cumplimiento para los planes de auditoría
interna.

Cuando uno piensa en las iniciales en inglés ESG (environmet-social-governace), que significan ambiental,
social y de gobernanza, la sabiduría convencional dice que los temas que caen bajo la "E" son los que primero
vienen a la mente. Esto incluye el uso de los recursos naturales, las emisiones, los problemas relacionados
con el cambio climático y los impactos, todo lo relacionado con el desempeño de las organizaciones como
guardianes del entorno físico y natural. Sin embargo, las acciones recientes de organismos nacionales e
internacionales en Europa tienen como objetivo cambiar esta percepción y ampliar la conversación para
incorporar todos los aspectos de ESG.

Un ejemplo que los auditores internos deberían seguir es Alemania, que en junio adoptó la Ley de Diligencia
Debida de la Cadena de Suministro . Programada para entrar en vigor el 1 de enero de 2023, esta ley
requerirá que las empresas cumplan con los requisitos de diligencia debida en su cadena de suministro para
proteger el medio ambiente y los derechos humanos. Se aplicará a todas las empresas con al menos 3.000
empleados y se extenderá a las empresas con al menos 1.000 empleados en enero de 2024.

De acuerdo con la legislación, dicha diligencia debida debe incluir todas las etapas de la cadena de suministro
dentro de las unidades de negocio de una empresa, así como sus proveedores directos e indirectos (consulte
"Definición de la diligencia debida" a continuación). La Oficina Federal de Economía y Control de
Exportaciones de Alemania examinará los informes anuales de las empresas y podría multar a las empresas
con hasta el 2% de sus ingresos globales por infracciones. Las empresas también podrían quedar excluidas
de recibir contratos gubernamentales durante tres años.

La ley ya se está comparando con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea
(UE), que se centró en la protección de la privacidad. "La Ley de la cadena de suministro de Alemania es
esencialmente el RGPD de ESG", dijo Jim Bureau, director ejecutivo del proveedor de tecnología de
adquisición y cadena de suministro Jaggaer en Morrisville, NC, en un artículo reciente de Environment +
Energy Leader . "Establece un nuevo estándar global para las obligaciones de diligencia debida y allana el
camino para una futura legislación más estricta".

El impacto

Alemania no está sola en este enfoque. Noruega adoptó recientemente la Ley de Transparencia, que exige
que las empresas actúen con la debida diligencia con respecto a los derechos humanos, pero no aborda el
medio ambiente. En 2019, los Países Bajos adoptaron la Ley de debida diligencia en el trabajo infantil de los
Países Bajos, que contiene una palabrería similar a la Ley de debida diligencia en la cadena de suministro,
pero tiene un alcance más limitado. Suiza intentó en 2020 enmendar su constitución para exigir la diligencia
debida en materia de derechos humanos a las empresas, pero no fue aprobado por los 26 cantones o estados
miembros del país.

La ley alemana es el intento más audaz de un cuerpo legislativo para brindar claridad en un entorno
regulatorio que se ha basado principalmente en la participación voluntaria para el cumplimiento de las
normas. Hasta ahora, el impulso por informes ESG más estrictos y detallados ha sido impulsado por
inversores que buscan administrar los riesgos de inversión y evaluar cómo las empresas están trabajando
para generar rendimientos financieros sostenibles a largo plazo.

Igualmente, importante es el impacto que la Ley de Diligencia Debida de la Cadena de Suministro puede
tener en la elevación de los derechos humanos a un lugar junto con la sostenibilidad ambiental, la eficiencia
energética, el cambio climático, la biodiversidad y otros temas ESG. En otras palabras, enfatiza tanto la "S"
como la "E". El trabajo infantil o forzado, el incumplimiento de las normas locales de protección laboral o la
libertad de asociación, la discriminación y la retención de una remuneración adecuada son todos temas
asociados con los derechos humanos. Cada uno, en su caso, se enmarca en lo que debe abordar la diligencia
debida de la empresa.

"Por primera vez, esta ley obliga a las empresas con sede en la República Federal de Alemania por encima
de un cierto tamaño a cumplir mejor con su responsabilidad en la cadena de suministro con respecto al
respeto de los derechos humanos y las preocupaciones medioambientales internacionalmente
reconocidas", dice Daniel Dülm, auditor sénior. gerente de la empresa multinacional de viajes y turismo TUI
AG, con sede en Hannover, Alemania. “El objetivo es fortalecer los derechos de las personas afectadas por
las actividades corporativas en las cadenas de suministro”.

Definición de diligencia debida

Según varios legisladores alemanes, la Ley de Diligencia Debida de la Cadena de Suministro estaba muy
atrasada. En 2011, Alemania adoptó el Plan de Acción Nacional sobre Empresas y Derechos Humanos, que
instaba a las empresas a respetar los derechos humanos en sus operaciones. Sin normas legales ni mandatos
de cumplimiento, se consideró que solo entre el 13 % y el 17 % de las empresas alemanas cumplían con sus
obligaciones de diligencia debida, según un estudio reciente (PDF) encargado por el gobierno alemán.

La legislación alemana cita varios requisitos para definir lo que significa la diligencia debida . Por ejemplo,
las empresas están obligadas a establecer sistemas de gestión de riesgos efectivos para identificar, prevenir
y mitigar los posibles impactos negativos en el medio ambiente y los derechos humanos de las actividades
comerciales.

Además, las empresas deben incluir un análisis de riesgos como base para medidas preventivas y correctivas
eficaces. Si el análisis identifica riesgos, la gerencia debe emitir una declaración de política sobre la estrategia
de derechos humanos de la empresa para sus empleados, proveedores y el público. Otros requisitos incluyen
tener un código de conducta, brindar capacitación adecuada a los proveedores sobre la mitigación de los
riesgos relacionados con el medio ambiente y los derechos humanos, desarrollar un cronograma concreto
para eliminar o minimizar las violaciones y establecer un procedimiento para investigar quejas y relacionarse
con los denunciantes.

Un prototipo regulatorio

Con su amplio alcance y sus implicaciones de largo alcance para las empresas alemanas y sus proveedores,
la Ley de Diligencia Debida de la Cadena de Suministro ofrece una idea de cómo podría ser la futura
legislación relacionada con ESG para la comunidad empresarial internacional. Aunque Dülm no espera que
la ley afecte directamente la regulación en la UE, dice que el objetivo es una regulación europea
uniforme. "Esta ley nacional pretende servir como modelo, aunque para adaptarse a los puntos de vista de
la UE, y para influir en la legislación de la UE", dice.

De hecho, los analistas esperan que la UE promulgue legislación sobre la diligencia debida de la cadena de
suministro para 2024. Aunque los detalles siguen siendo vagos, las propuestas recientes a la Comisión
Europea ampliarían aún más el alcance. Según la publicación alemana S ü ddeutsche Zeitung , algunos
miembros del Parlamento Europeo sugieren que se incluyan pequeñas y medianas empresas, así como
empresas que cotizan en bolsa o activas en áreas de alto riesgo como las materias primas y el textil. industrias
en las que se han denunciado abusos contra los derechos humanos.

Una nueva área de aseguramiento para auditores

A medida que aumentan los rumores sobre la posible legislación internacional basada en ESG, los inversores
y los miembros de la junta dependerán cada vez más de la auditoría interna para obtener respuestas. Los
auditores que trabajan para empresas que operan en Alemania o tienen proveedores alemanes deben
prepararse para brindar garantías sobre el cumplimiento de su regulación y cualquier ley que pueda deparar
el futuro.

"Lo que realmente ha cambiado con esta legislación es cómo estos temas ESG ahora están en la cima de las
discusiones", dice Larry Herzog Butler, jefe de auditoría interna de Delivery Hero, un servicio de entrega de
alimentos en línea con sede en Berlín. Los inversionistas y las juntas ahora entienden que son responsables
de hacer las preguntas correctas sobre ESG, explica. “Quieren saber qué está haciendo la auditoría interna
en términos de aseguramiento, qué está haciendo la segunda línea y qué están haciendo los ejecutivos”,
dice. "Este siempre ha sido el papel de la auditoría interna, pero a medida que los derechos humanos y el
enfoque ambiental se vuelvan más prominentes y las multas comiencen a llegar con los reguladores muy
cerca, ese papel recibirá mucha más atención".

Más atención no garantiza necesariamente un cambio radical. En cambio, mayor responsabilidad recaerá en
la auditoría interna para hacer su trabajo correctamente. "Para la auditoría interna, los desarrollos significan
que se están invirtiendo más recursos en los temas ESG más nuevos", dice Dülm. "Sin embargo, esto no
cambia el procedimiento básico. Para toda esta discusión, esto también es, en última instancia, una auditoría
de sistemas y proyectos orientada al riesgo".

En TUI, auditoría interna apoya el proyecto multidisciplinario de la empresa para implementar la legislación
alemana, participando en el comité de dirección y en las reuniones esenciales del grupo de trabajo. En el
período previo a la entrada en vigor de la ley, el trabajo de la auditoría interna "consiste esencialmente en
una auditoría del proyecto, a la que seguirá una auditoría del diseño", dice Dülm. "Tan pronto como la ley se
aplique por un cierto período de tiempo, nuestras actividades se complementarán con una auditoría
funcional".

Un artículo reciente que Dülm coescribió para Zeitschrift Interne Revision , una revista bimensual del IIA-
Alemania, ofrece varios puntos de partida para las funciones de auditoría interna que reaccionan a este
panorama en evolución, que incluyen:

• Agregar la legislación al mapa de auditoría. Dado que estos son requisitos en gran medida bien
definidos y el riesgo de incumplimiento puede evaluarse en principio mediante las sanciones y multas
obligatorias definidas, tiene sentido incluir ya la [Ley de diligencia debida de la cadena de suministro]
como un objeto en el mapa de auditoría. ."
• Pruebas durante la fase de implementación. "Si se identifican riesgos con respecto a la puntualidad
de las medidas de implementación durante el período de implementación, o si las partes interesadas
así lo desean, una auditoría del proyecto de implementación puede garantizar si las medidas
necesarias de la ley se completarán dentro de la implementación legal. fase."
• Realización de una auditoría del sistema de gestión. " Como parte de la auditoría del sistema de
gestión, el auditor debe evaluar si la empresa ha establecido y anclado en la empresa un sistema de
gestión de riesgos adecuado y eficaz para cumplir con las obligaciones de diligencia debida en virtud
de la [Ley de Diligencia Debida de la Cadena de Suministro]".
• Asegurar las medidas de prevención tanto en el área de negocio de la organización como en las
áreas relacionadas con los proveedores directos. “Las medidas preventivas tienen por objeto
prevenir o evitar violaciones de los derechos humanos o ambientales. En relación con estas medidas,
se debe verificar si existen y se tomaron sin demora si la empresa tuvo conocimiento de un riesgo
relevante a partir del análisis de riesgos”.

Un campo de pruebas

En muchos sentidos, la auditoría interna puede ver la Ley de diligencia debida de la cadena de suministro
como un campo de pruebas para preparar y refinar sus procesos. Al trabajar ahora, la auditoría interna
tendrá menos preocupaciones acerca de cómo una regulación amplia, integral y centrada en ESG puede
afectar a la organización.

Logan Wamsley, Gerente Asociado, Desarrollo de Contenido, THEIIA