Nya EU-krav
Enligt EU kommissionens direktiv om icke-finansiell rapportering (2014/95/EU) är räkenskapsåret 2017 för företag med mer än genomsnittligt 500 anställda det första året med skärpta krav på icke-finansiell information i årsredovisningen. Direktivet kräver att bolagen i sin förvaltningsberättelse för 2017 infogar en icke-finansiell rapport som bland annat ska innehålla upplysningar kring hur bolaget arbetar med "...frågor som rör miljö, sociala förhållanden och personal, respekt för mänskliga rättigheter, bekämpning av korruption och mutor..." och "de väsentliga risker som rör dessa frågor och som är kopplade till företagets verksamhet...".
Något nytt eller redan där?
Med andra ord handlar det alltså om inget annat än att beskriva företagets CSR arbete i sina mest relevanta delar vilket för många företag inte komma att vara något nytt när de redan på ett strukturerat sätt arbetar med hållbarhetsfrågor och rapporterar om det i sin hållbarhetsredovisning enligt GRI G3/G4 eller annan standard. Framför allt inom G4-standarden finns redan viss vägledning kring relevans och väsentlighet inom CSR-arbetet. I bästa fall behövs alltså inget nytt arbetssätt utan bara en modifierad användning av redan befintlig information. Däremot kan det för en del företag vara en ny utmaning att genomföra en omfattande och strukturerad riskanalys för CSR-området som rapporten om de väsentliga riskerna ska grunda sig på.
Ett möjligt angreppssätt
Ett bra och enkelt angreppssätt för en CSR-riskanalys har visat sig är att utgå ifrån länderna där företaget är verksamt i eller där det finns viktiga delar av leverantörskedjan. Då kan en första överblick över alla relevanta aspekter se ut så här.
I nästa steg formuleras precis som i vanliga riskanalyser konkreta risker inom dessa riskområden och man bedömer sannolikhet och effekt på företagets (hållbarhets-)mål, vilka åtgärder och kontroller som redan finns på plats (t ex policies (mångfalt, affärsetik), granskning av leverantörer), vilka som saknas för att minska risken, och vad som ska förbättras genom ytterligare riskminskande åtgärder. Riskmatriser och -register eller andra typer av dashboards används som vanligt även för den typen av riskanalysen.
Strategisk nytta oavsett EU-krav
Till skillnad från det specifika CSR-scopet enligt ovan finns alltså inga skillnader i riskanalysprocessen jämfört med den befintliga riskanalysprocessen. Med tanke på de specifika rapporteringskraven som ställs nu så är det dock säkert värt en särskilt genomgång av CSR-riskerna för att ha bra underlag för att få ihop en relevant skrivelse. Min erfarenhet säger dock att en sådan övning - ovasett nya EU-krav - är guld värd för att prioritera rätt i sitt hållbarhetsarbete. Därför kan det vara dags att börja med det som ett led i den strategiska planeringen som i många företag sätts igång under första kvartal.