Zarządzanie wymaganiami regulacyjnymi

Organizacje działające w ramach extended enterprise (przedsiębiorstwo rozszerzone) stoją obecnie przed wieloma wyzwaniami w zakresie zapewnienia zgodności z obowiązującymi regulacjami - muszą zrozumieć m.in. jaki wpływ same wywierają na zrównoważony rozwój, zarówno w obszarze środowiskowym, jak i społecznym, a także jaki wpływ wywiera cały ich łańcuch wartości, także poprzez działalność poszczególnych dostawców. Kluczowe znaczenie w tym procesie ma zrozumienie ryzyka, jakie może wystąpić w takiej relacji biznesowej, a także głębsza analiza nad następującymi zagadnieniami:

• jak te ryzyka poznać,
• jak nimi zarządzać,
• jak współpracować z kontrahentami, żeby je minimalizować?

 
Organizacje, które będą w stanie odpowiednio szybko zaadresować te pytania, będą przygotowane na problemy mogące się pojawić w łańcuchu dostaw, na nadchodzące wyzwania regulacyjne oraz zapewnią sobie przewagę konkurencyjną.

Na rynku europejskim będą pojawiać się kolejne regulacje wpływające na zarządzanie ryzykiem stron trzecich, które nałożą na przedsiębiorców nowe obowiązki dotyczące nie tylko samej organizacji, ale całego łańcucha dostaw. Aby wyjść naprzeciw tym wyzwaniom Deloitte pomaga swoim klientom:

• zachować zgodność z przepisami i wymogami regulacyjnymi (np. dotyczących ochrony środowiska lub redukcji emisji CO2),
• opracować i wdrożyć odpowiednie środki zapobiegawcze oraz działania naprawcze,
• wdrożyć narzędzia umożliwiające identyfikację i ciągłe monitorowanie wszystkich podmiotów w łańcuchu dostaw,
• opracować i wprowadzić odpowiednie i skuteczne systemy zarządzania ryzykiem,
• przygotować odpowiednią dokumentację i metody raportowania,
• dostosować procesy organizacyjne w celu zapewnienia zgodności z nowymi regulacjami.

Ze względu na zakres wprowadzanego ustawodawstwa oraz szeroki katalog wymagań, przedsiębiorstwa powinny dostosować swoje procesy oraz upewnić się, że są w stanie zapewnić pełną zgodność z nowymi regulacjami. Wśród kwestii, na które należy zwrócić szczególną uwagę, z pewnością wymienić należy:

Pomimo rosnącego zaangażowania organizacji w analizę tematyki ESG oraz mierzenie się z wymaganiami oraz problemami z tego obszaru, w dalszym ciągu zauważalne są braki w zakresie oceny i priorytetyzacji wymiarów ryzyka związanego z ochroną środowiska, kwestiami społecznymi i ładem korporacyjnym w organizacyjnych ekosystemach stron trzecich. Wiele podmiotów nie posiada mechanizmów oceny lub szacowania ryzyka dotyczącego wspomnianego obszaru, oraz nie ma wystarczającego zaufania do dostępnych danych, niezależnie od źródła ich pochodzenia.

Deloitte pomaga swoim klientom w budowaniu dojrzałych procesów zdolnych do priorytetyzacji wymiarów ryzyka ESG w oparciu o skalę ich oddziaływania, znaczenie odpowiedniego celu biznesowego oraz podejście organizacji do ryzyka. Zbierane dane są kluczowym elementem tego procesu, dlatego też punktem wyjścia powinno być pełne zrozumienie dotyczących ich wymagań oraz sposobu ich pozyskiwania.

23 lutego 2022 r. Komisja Europejska ogłosiła długo oczekiwaną propozycję Dyrektywy Corporate Sustainability Due Diligence, o należytej staranności w obszarze zrównoważonego rozwoju przedsiębiorstw, podkreślającą i regulującą odpowiedzialność organizacji za zapewnienie respektowania praw człowieka i norm środowiskowych w całym łańcuchu wartości.

Wspomniana regulacja zobowiązuje podmioty spełniające określone kryteria do zapewnienia zgodności z wymogami należytej staranności w każdym aspekcie ich działalności. Dotyczy ona zatem nie tylko samego przedsiębiorstwa, ale również wszystkich jego partnerów biznesowych oraz dostawców (bezpośrednich i pośrednich), począwszy od producenta surowca podstawowego, aż po dostawcę końcowego produktu lub usługi do konsumenta, niezależnie czy ma ona miejsce w kraju, czy za granicą.

Przedsiębiorstwa będą zobowiązane do identyfikowania, zapobiegania, eliminowania oraz łagodzenia niekorzystnych skutków swojej działalności, oraz działalności swoich dostawców poprzez zapobieganie przypadkom łamania praw człowieka, takim jak wykorzystywanie do pracy dzieci czy wyzysk pracowniczy, negatywny wpływ na środowisko i bioróżnorodność.

W 2021 roku weszła w życie niemiecka Ustawa Dotycząca Należytej Staranności w Łańcuchu Dostaw (niem. Lieferkettensorgfaltspflichtengesetz, w skrócie często określana jako LkSG). Ustawa ma zastosowanie do wybranych spółek niemieckich i zagranicznych z siedzibą lub oddziałem w Niemczech. Ma także wpływ na dostawców tych przedsiębiorstw, w tym na podmioty zarejestrowane w Polsce, które blisko współpracują z podmiotami działającymi na rynku niemieckim. Prawo zobowiązuje te przedsiębiorstwa do zapewnienia należytej staranności w swoich łańcuchach wartości; dotyczy to więc wszystkich partnerów biznesowych oraz dostawców (bezpośrednich i pośrednich) w kraju i za granicą. Przedsiębiorstwa będą zobowiązane do identyfikowania i - w razie potrzeby - zapobiegania, eliminowania lub łagodzenia niekorzystnych skutków ich działalności, oraz działalności ich dostawców na prawa człowieka oraz na środowisko. Oznacza to konieczność wprowadzenia w tych obszarach odpowiednich polityk, procedur oraz mechanizmów zarządzania ryzykiem, ich monitorowanie oraz raportowanie. W efekcie wprowadzonej Ustawy, od 1 stycznia 2023 przedsiębiorstwa podlegające ustawie będą zobowiązane do publikacji raportu, w którym wykażą wykonanie określonych w ustawie obowiązków. Wypełnienie tych obowiązków będzie podlegało kontroli, a brak lub niewłaściwa ich realizacja pociągnie za sobą znaczne kary finansowe.

W odpowiedzi na unijną cyfrową strategię finansową przygotowaną przez Komisię Europejską, został stworzony projekt regulacji Digital Operational Resilience Act (w skrócie nazywany DORA), którego celem jest ujednolicenie zasad zarządzania ryzykiem wynikającym ze współpracy z zewnętrznymi dostawcami technologii informacyjnych i telekomunikacyjnych (information and communication technologies, w skrócie ICT). Aktem tym objęte są wszystkie przedmioty z sektora finansowego m.in. banki, dostawcy usług płatniczych, firmy inwestycyjne i ubezpieczyciele, ale również platformy crowdfundingowe czy dostawcy w obszarze kryptoaktywów. Wprowadzone zasady wymagają zaangażowania ze strony sektora finansowego, ale również podmiotów ICT, które będą musiały sprostać większym wymaganiom. Ma to na celu podniesienie bezpieczeństwa świadczonych usług oraz wzmocnienie odporności na wyzwania cyfrowego sektora finansowego w Unii Europejskiej. Będzie to wymagało doprecyzowania, którzy z dostawców są kluczowi dla danej organizacji. Bowiem te podmioty będą podlegać organom nadzoru finansowego UE i tym samym będą musiały sprostać wymogom dotyczącym sposobu dostarczania usług przez CTPP dla sektora finansowego. 27 grudnia 2022 roku w Dzienniku Urzędowym UE opublikowane zostało rozporządzenie DORA, a aspekty wymagające transpozycji na szczeblu krajowym zostaną uchwalone przez każde państwo członkowskie UE.

Więcej informacji na temat DORA tutaj.

Zapraszamy do bezpłatnej konsultacji

Umów się na spotkanie z ekspertem Deloitte