Um langfristig nachhaltig zu sein, muss ein Unternehmen das breitere Beziehungsgeflecht, in dem es tätig ist, mit einbeziehen. Dies schließt Lieferanten, Kunden und umliegende Gemeinden ein.
Stakeholder können einen positiven oder negativen Einfluss auf ein Unternehmen haben, je nachdem, wie effektiv sie gemanagt werden. Ihre Auswirkungen können akut und kurzfristig vernachlässigbar sein, aber auch langfristig und erheblich. Daher ist es für Unternehmen wichtig, über ein Rahmenwerk für das Risikomanagement zu verfügen, das ihnen dabei hilft, ihre wichtigsten Stakeholder zu identifizieren, die damit verbundenen Risiken und Chancen zu verstehen und diese für das Engagement und das Management zu priorisieren.
Fallstudien zum Engagement 2021
Cybersicherheitsrisiken sind allgegenwärtig und stellen ein Hauptrisiko für fast alle Unternehmen dar. Die Gewährleistung von Cybersicherheit und Datenschutz wird immer komplizierter und wichtiger für das Management von Geschäftsrisiken. Vor diesem Hintergrund und in Erwartung weiterer Vorschriften zu diesen Themen müssen Unternehmen ihre Cybersicherheit und ihren Datenschutz regelmäßig überprüfen und verbessern. Die Steuerung des Themas durch den Vorstand wird immer wichtiger.
Kroger, USA
Problem
Der amerikanische Lebensmitteleinzelhändler The Kroger Company hat in den letzten zwei Jahren zwei bedeutende Sicherheitsverletzungen erlitten. Die jüngste Sicherheitsverletzung fand Anfang 2021 statt und war das Ergebnis einer Verletzung bei einem der Drittanbieter des Unternehmens.
Maßnahme
Accellion, ein Drittanbieter für sichere Dateiübertragungen, meldete Kroger im Jahr 2021 einen unbefugten Zugriff auf seine Daten aufgrund einer Schwachstelle im Dateiübertragungsdienst von Accellion. Wir forderten von dem Unternehmen eine bessere Aufklärung über die Datenschutzverletzung, einschließlich der Wirksamkeit seines Lieferantenverwaltungsprogramms und der Schritte, die das Unternehmen zum Schutz vor ähnlichen Problemen unternommen hat.
Kroger informierte uns über einige der Schlüsselelemente seines Datenschutz- und Cybersicherheitsprogramms und seiner Governance. Kroger teilte mit, dass das Unternehmen derzeit einen Rechtsstreit mit Acellion führt und daher nur begrenzt Informationen über diesen Vorfall weitergeben kann. Das Unternehmen hat die Verwendung von Accellion-Produkten bereits eingestellt. Es führte eine forensische Untersuchung durch, um die vollen Auswirkungen der Sicherheitsverletzung zu ermitteln. Das Unternehmen hat außerdem damit begonnen, Personen zu benachrichtigen, deren Daten möglicherweise kompromittiert wurden, und hat ein Überwachungsprogramm für Personen eingerichtet, die von der Sicherheitsverletzung betroffen sind.
Wir haben unsere Besorgnis über ein erhöhtes Cybersicherheitsrisiko bei traditionellen Einzelhändlern zum Ausdruck gebracht, da diese Zugang zu großen Datenmengen haben. Zusätzlich zu der riesigen Menge an sensiblen Kundendaten, die sie zu einem Ziel für Cyberangriffe macht, hat sie ihr weiterer Einstieg in den Online-Verkauf und die Online-Lieferung neuen Quellen für Cybersicherheitsrisiken ausgesetzt, da sie zusammenarbeiten, um ihre Online-Präsenz zu erweitern.
Ergebnisse und nächste Schritte
Wir erwarten, dass Kroger in seinem nächsten ESG-Bericht die wichtigsten Lehren aus diesem Vorfall und die Schritte, die das Unternehmen zur Minderung dieses Risikos unternommen hat, offenlegt. Wir fordern auch eine stärkere Offenlegung zur Verantwortung für die Daten und zur Kontrolle über die Daten, wenn das Unternehmen eine Zusammenarbeit eingeht.
InterContinental Hotels Group (IHG), Großbritannien
Problem
Die InterContinental Hotels Group (IHG) war 2017 Ziel eines Cyberangriffs. Der Angriff erfolgte durch eine Schadsoftware, die Zahlungskarten von Kunden stahl. Wir haben das Unternehmen seit dem Vorfall weiter auf seine Cybersicherheitsverfahren hingewiesen.
Maßnahme
Im Jahr 2017 installierten Angreifer Schadsoftware auf den Servern des Unternehmens und kompromittierten so die Zahlungskartenverarbeitungssysteme der Hotels, die wiederum Informationen aus den Kreditkartenspuren wie Namen der Karteninhaber, Kartennummern und interne Prüfcodes abfingen. Die durchgesickerten Informationen ermöglichten das Klonen von Karten und betrügerische Zahlungen.
Im Jahr 2021 baten wir das Unternehmen um eine Aktualisierung seines Cybersicherheitsprogramms, einschließlich der neuen Maßnahmen, die zur Verringerung des Cybersicherheitsrisikos ergriffen wurden, und zum Umgang des Vorstands mit diesem Thema. Das Unternehmen berichtet, dass jeder Mitarbeiter im Durchschnitt zwei Stunden pro Jahr für Schulungen zum Thema Cybersicherheit aufwendet. IHG berichtet außerdem, dass es die neuesten Best Practices für das Management von Cybersecurity-Talenten übernommen hat, einschließlich regelmäßiger Leistungsprüfungen, Bindungsprogramme und persönlicher Entwicklungspläne. Der Chief Information Security Officer ist für die Umsetzung der Cybersicherheitsstrategie des Unternehmens verantwortlich, und der Vorstand erhält vierteljährlich Metriken zum Cybersicherheitsrisiko. IHG meldete, dass das Budget für Cybersicherheit im Jahr 2021 mehr als 30 Mio. USD beträgt und damit weitgehend dem Budget von 2020 entspricht.
IHG gab an, dass sein globales Datenschutzprogramm ein breites Spektrum an Verantwortlichkeiten abdeckt, einschließlich der laufenden Überwachung neuer Entwicklungen im Bereich des Datenschutzes, der regelmäßigen Berichterstattung zum Datenschutz an den Prüfungsausschuss des Vorstands und der Aktualisierung von Datenschutzhinweisen. Im Jahr 2021 konzentrierte sich IHG unter anderem auf die Minimierung und Entfernung von Daten und die Einhaltung der neuen Datenschutzbestimmungen in verschiedenen Ländern. Das Unternehmen hat KPIs zur Messung der Cyber-Reife, risikoreicher Anlagen, Ressourcen und Budgetausgaben, externer Bedrohungen und anderer Bereiche eingeführt.
IHG hat angegeben, dass die Praktiken intern und extern geprüft und Begutachtungen durchgeführt werden, um sicherzustellen, dass die Gültigkeit und Stringenz seines Cybersecurity-Risikoprogramms auf dem neuesten Stand ist.
Ergebnisse und nächste Schritte
Wir nehmen zur Kenntnis, dass IHG eine verbesserte Plattform für Cybersecurity-Risiken und Praktiken zum Management von Cybersecurity und Datenschutz eingeführt hat.
Alle Unternehmen, die nachhaltiges Wachstum anstreben, müssen die Nachhaltigkeit ihrer Lieferkette berücksichtigen. In der Lieferkette gibt es viele Probleme, und Unternehmen sollten Maßnahmen ergreifen, um ihre direkten Lieferanten zu kontrollieren. Unter allen Einstellungen betrachten wir Ethik und Compliance als die wichtigsten Eigenschaften von Lieferanten, die Unternehmen überwachen müssen.
Hitachi, Japan
Problem
Technologieunternehmen sind besonders anfällig für Zwangsarbeit in ihren Lieferketten, da bei der Herstellung von Technologie- und Elektronikprodukten in Schwellenländern in großem Umfang Arbeitsmigranten eingesetzt werden und die Lieferketten vieler IKT-Produkte langwierig sind. Die Branche wird zunehmend kritisch beäugt, weil sie es versäumt hat, angemessen gegen missbräuchliche Arbeitsbedingungen in Verbindung mit Produkten vorzugehen, die an Millionen von Kunden in aller Welt verkauft werden.
Maßnahme
Wir haben Hitachi dazu befragt, wie es mit dem Risiko von Zwangsarbeit in seinen globalen Lieferketten umgeht, und haben das Unternehmen aufgefordert, sein Management in diesem Bereich zu verbessern. Hitachi hat 2013 eine Menschenrechtspolitik eingeführt, in der die Achtung der Menschenrechte in den Leitlinien für nachhaltige Beschaffung klar zum Ausdruck kommt. Das Unternehmen erklärte, dass es seine Lieferanten informiert hat, um sicherzustellen, dass sie sich der Politik und der Richtlinien bewusst sind. Das Unternehmen bemüht sich um die Umsetzung der Richtlinien durch seine Hauptlieferanten, fordert Selbstinspektionen mit Hilfe eines Kontrollbogens und gibt der internen Beschaffungsabteilung Feedback zu den Ergebnissen. Wir forderten das Unternehmen auf, den Status und die Ergebnisse der Lieferantenaudits offenzulegen, insbesondere in Bezug auf die Audits vor Ort, sowie offenzulegen, wie die Ergebnisse das Risiko von Zwangsarbeit mindern würden. Wir glauben, dass die Anzahl der durchgeführten Überprüfungen gering war und dass der Umfang der Überprüfungen begrenzt war, sodass das Risiko in der Lieferkette fortbestehen könnte.
Ergebnisse und nächste Schritte
Wir haben dem Unternehmen vorgeschlagen, die Häufigkeit und den Umfang seines Programms zur Überwachung der Zulieferer im Hinblick auf die Menschenrechte zu erhöhen, und werden im Jahr 2022 prüfen, ob es Verbesserungen gibt.
Abstimmung über Stakeholder-Engagement
Abstimmungen über Fragen des Stakeholder-Engagements sind weniger verbreitet als andere ESG-Faktoren. In bestimmten Fällen, in denen wir der Meinung sind, dass die Führung eines Unternehmens die Bedürfnisse seines breiteren Netzwerks von Stakeholdern nicht ausreichend berücksichtigt hat, werden wir gegen Vorstandsmitglieder stimmen.
Fallstudien 2021
Abstimmungsproblem: Gemeinschaftsrechte
Rio Tinto, Australien/Großbritannien
Das Bergbauunternehmen Rio Tinto Plc steht seit den Ereignissen in der Juukan-Schlucht unter Beobachtung, um seine Governance-Praktiken im Vorstand zu stärken und ein solides Programm für das kulturelle Erbe zu haben. Im Jahr 2020 führte die Erweiterung der Eisenerzmine von Rio Tinto in der Juukan-Schlucht zur Zerstörung einer 46.000 Jahre alten heiligen Stätte der traditionellen Besitzer. Auf der diesjährigen Jahreshauptversammlung stand die Wiederwahl des Vorsitzenden des Nachhaltigkeitsausschusses zur Abstimmung.
Maßnahme
Seit den Ereignissen in der Juukan-Schlucht haben wir intensiv mit Rio Tinto zusammengearbeitet. Das Unternehmen hat seine internen Prozesse überprüft und sich mit den traditionellen Besitzern und den Stakeholdern beraten, was zu verbesserten internen Praktiken, Richtlinien und Governance-Praktiken mit zusätzlicher Offenlegung geführt hat. Das Unternehmen wird eine indigene Beratergruppe (Indigenous Advisory Group, IAG) einrichten, um sicherzustellen, dass Rio Tinto ein besseres Verständnis für die indigene Kultur und die Probleme in Australien hat, auch auf Vorstandsebene.
Ergebnisse und nächste Schritte
Nach reiflicher Überlegung haben wir uns entschieden, gegen die Wiederwahl des Vorsitzenden des Nachhaltigkeitsausschusses des Vorstands zu stimmen, da er für die Ereignisse in der Juukan-Schlucht zur Rechenschaft gezogen werden muss.
Mehr entdecken
Stewardship-Prioritäten
Zusammenfassung der Risiken
Bestimmte Kundenstrategien investieren auf der Grundlage von Umwelt-, Sozial- und Governance-Kriterien (ESG) und beinhalten eine qualitative und subjektive Analyse. Es gibt keine Garantie dafür, dass die vom Berater getroffenen Entscheidungen erfolgreich sein werden und/oder mit den Überzeugungen oder Werten eines bestimmten Investors übereinstimmen. Sofern dies nicht in der Kundenvereinbarung oder den Angebotsunterlagen festgelegt ist, werden bestimmte Vermögenswerte/Unternehmen nicht explizit auf der Grundlage von ESG-Kriterien aus den Portfolios ausgeschlossen, und es besteht auch keine Verpflichtung, Wertpapiere auf der Grundlage dieser Faktoren zu kaufen oder zu verkaufen.