Per essere sostenibile e produttiva nel lungo termine, una società deve tenere conto della più ampia rete di relazioni in cui opera, che comprende fornitori, clienti e comunità circostanti.
Gli stakeholder possono esercitare un’influenza positiva o negativa su un’azienda, in base all’efficacia con cui vengono gestiti. Il loro impatto potrebbe essere acuto e trascurabile nel breve termine, ma potrebbe essere anche a lungo termine e sostanziale. È quindi importante che le aziende dispongano di un quadro di gestione del rischio aziendale che le aiuti a individuare i principali stakeholder, comprendere i rischi e le opportunità associati e dare loro priorità per l’engagement e il management.
Casi di studio sull’engagement - 2021
I rischi di sicurezza informatica sono sempre presenti e rappresentano uno dei principali rischi per quasi tutte le aziende. La sicurezza informatica e la protezione dei dati sono destinati a diventare aspetti sempre più complicati e importante per la gestione dei rischi aziendali. Alla luce di questo e del probabile arrivo di ulteriori normative per disciplinare questi aspetti, le aziende devono rivedere e migliorare regolarmente le azioni intraprese sul fronte della sicurezza informatica e della protezione dei dati. La governance della questione da parte del consiglio di amministrazione sta diventando cruciale.
Kroger, Stati Uniti
Problema
La catena di generi alimentari statunitense The Kroger Company ha subito due significative violazioni della sicurezza negli ultimi due anni. La violazione più recente si è verificata all’inizio del 2021 ed è nata da una violazione presso un fornitore terzo della società.
Azione
Accellion, un fornitore terzo che offre il servizio di trasferimento protetto dei file, ha notificato a Kroger un accesso non autorizzato ai suoi dati nel 2021, dovuto a una vulnerabilità del servizio. Abbiamo avviato un’azione di engagement con la società richiedendo maggiori informazioni sulla violazione dei dati, inclusa l’efficacia del programma aziendale di gestione dei fornitori e le misure adottate per salvaguardarsi in futuro da problemi simili.
Kroger ci ha comunicato alcuni elementi chiave del programma e della governance aziendali sulla privacy dei dati e la sicurezza informatica. Kroger ha fatto sapere di essere attualmente in causa con Accellion e di non poter quindi condividere tutte le informazioni relative a questo incidente. La società ha già cessato di utilizzare il prodotto Accellion e ha condotto un’indagine forense per individuare l’impatto completo della violazione. Ha inoltre iniziato a informare i soggetti i cui dati potrebbero essere stati compromessi e istituito un programma di monitoraggio per le persone interessate dalla violazione.
Abbiamo espresso le nostre preoccupazioni per i maggiori rischi di sicurezza informatica cui sono esposti i rivenditori tradizionali in virtù del loro accesso a notevoli volumi di dati. Oltre a possedere una gran quantità di dati sensibili dei clienti, diventando così un bersaglio di attacchi informatici, il fatto che siano anche sbarcati nel ramo delle vendite e consegne online li espone a nuove fonti di rischi di sicurezza informatica nell’ambito delle collaborazioni avviate per espandere la presenza online.
Risultati e fasi successive
Ci aspettiamo che nella prossima relazione ESG Kroger renda note le lezioni ricavate da questo incidente e le misure adottate per mitigare questo rischio. Incoraggiamo inoltre un miglioramento delle informative sulla proprietà e sul controllo dei dati quando la società avvia un rapporto di collaborazione.
InterContinental Hotels Group (IHG), Regno Unito
Problema
Nel 2017 la società InterContinental Hotels Group (IHG) è stata al centro di un attacco informatico che prevedeva l'uso di malware per rubare i dati delle carte di pagamento dei clienti. Dopo l’incidente, abbiamo avviato e proseguito un’attività di engagement con la società focalizzandoci sulle procedure di sicurezza informatica.
Azione
Nel 2017, gli autori dell'attacco avevano installato malware sui server aziendali, compromettendo i sistemi di elaborazione delle carte di pagamento degli hotel, che avevano acquisito informazioni contenute nelle carte di credito dei clienti, come il nome dei titolari, il numero e i codici di verifica interni. Le informazioni trapelate hanno consentito la clonazione delle carte e pagamenti fraudolenti.
Nel 2021, durante l’engagement con la società, abbiamo chiesto un aggiornamento sul suo programma di sicurezza informatica, ivi comprese le nuove misure adottate per ridurre il rischio di sicurezza informatica e la governance del consiglio di amministrazione in materia. La società ha riferito che, in media, ogni dipendente dedica due ore all’anno alla formazione sui rischi di sicurezza informatica. IHG ha inoltre riferito di aver adottato le migliori prassi più recenti in materia di gestione dei talenti specializzati in sicurezza informatica, tra cui controlli regolari delle prestazioni, programmi di fidelizzazione e piani di sviluppo personale. Il Chief Information Security Officer è responsabile di implementare la strategia di sicurezza informatica dell’azienda e il Consiglio di Amministrazione riceve i parametri di misurazione del rischio in tale ambito su base trimestrale. IHG ha riferito che nel 2021 il budget per la sicurezza informatica era di oltre USD 30 milioni, ampiamente in linea con il budget per il 2020.
IHG ha indicato anche che il programma aziendale globale sulla privacy interessa un ampio ventaglio di responsabilità, tra cui il monitoraggio continuo dei nuovi sviluppi sulla privacy, la regolare rendicontazione sulla privacy al comitato di audit del consiglio di amministrazione e l’aggiornamento delle informative sulla privacy. Nel 2021, le iniziative su cui IHG si è concentrata includevano la riduzione al minimo e la rimozione dei dati e il rispetto dei nuovi requisiti di privacy in diversi paesi. L’azienda ha adottato indicatori KPI per misurare la maturità informatica, le risorse ad alto rischio, le risorse e la spesa di budget, le minacce esterne e altri aspetti.
IHG ha reso noto che le prassi sono soggette a audit interni ed esterni e che vengono condotte analisi per garantire che la validità e il rigore del programma aziendale per la gestione del rischio di sicurezza informatica rimangano aggiornati.
Risultati e fasi successive
Prendiamo atto dell’implementazione da parte di IHG di una piattaforma migliorata per la gestione del rischio di sicurezza informatica e di prassi volte a gestire la sicurezza informatica e la protezione dei dati.
Tutte le aziende che perseguono una crescita sostenibile devono prendere in considerazione la sostenibilità della catena produttiva. Sono molti gli aspetti che riguardano quest'ultima e le società devono porre in atto misure per controllare i propri fornitori diretti. Tra tutti gli aspetti, riteniamo che l’etica e la conformità siano i più importanti attributi dei fornitori che le aziende devono monitorare.
Hitachi, Giappone
Problema
Le aziende tecnologiche sono particolarmente esposte al lavoro forzato nelle catene produttive a causa dell’ampio uso di manodopera migrante nella fabbricazione di prodotti tecnologici ed elettronici nei mercati emergenti e della lunghezza delle catene per molti prodotti del segmento ICT. Il settore ha dovuto affrontare critiche crescenti per l’incapacità di affrontare adeguatamente gli abusi sul lavoro inerenti a prodotti venduti a milioni di clienti in tutto il mondo.
Azione
Il nostro engagement con Hitachi ha riguardato l’approccio della società al rischio di lavoro forzato nelle sue catene globali e la richiesta di migliorare la gestione aziendale di tale problema. Nel 2013 Hitachi ha definito una politica sui diritti umani nella quale si affermava chiaramente il rispetto di tali diritti nelle linee guida aziendali per gli appalti sostenibili. La società ha spiegato di aver informato i propri fornitori per assicurarsi che fossero a conoscenza della politica e delle linee guida. L’azienda mira all’implementazione delle linee guida da parte dei principali fornitori, richiedendo autoispezioni tramite lista di verifica e fornendo un feedback sui risultati all’ufficio acquisti interno. Abbiamo chiesto alla società di rendere noti lo stato e gli esiti degli audit sui fornitori, in particolare per quanto riguarda gli audit in loco, e di rendere noto come tali esiti potrebbero ridurre il rischio di lavoro forzato. Riteniamo troppo basso il numero di ispezioni condotte e crediamo che l’ambito delle ispezioni sia stato limitato. Di conseguenza, il rischio potrebbe persistere nella catena produttiva.
Risultati e fasi successive
Abbiamo consigliato all’azienda di aumentare la frequenza e la portata del programma di monitoraggio dei fornitori in relazione ai diritti umani e verificheremo i miglioramenti nel 2022.
Voto sull’engagement degli stakeholder
Il voto sulle questioni di engagement degli stakeholder è meno comune rispetto ad altri fattori ESG. Nei casi in cui riteniamo che la leadership di un’azienda non abbia tenuto sufficientemente conto delle esigenze della più ampia rete di stakeholder, tuttavia, votiamo contro i membri del consiglio di amministrazione.
Caso di studio sui voti espressi nel 2021
Problema di voto: diritti della collettività
Rio Tinto, Australia/Regno Unito
Dopo i fatti di Juukan Gorge, la società mineraria Rio Tinto Plc è stata sottoposta a un esame approfondito volto a rafforzare le prassi di governance del consiglio di amministrazione e amministrare un valido programma per la tutela del patrimonio culturale. Nel 2020, l’espansione della sito di estrazione di minerale di ferro di Rio Tinto nel Juukan Gorge ha portato alla distruzione di un antico sito, sacro ai Proprietari Tradizionali e risalente a 46.000 anni fa. Durante l’assemblea generale annuale di quest’anno, è stata esaminata una delibera per rieleggere il presidente della commissione per la sostenibilità.
Azione
Dopo i fatti di Juukan Gorge, abbiamo avuto un lungo engagement con Rio Tinto. La società ha riesaminato i processi interni e si è consultata con i Proprietari Tradizionali e le parti interessate, portando al rafforzamento delle prassi interne, delle politiche e delle prassi di governance, con un miglioramento delle informative. Rio Tinto istituirà un Indigenous Advisory Group (IAG), o un gruppo di consulenza locale, per avere anche a livello di consiglio di amministrazione una migliore comprensione della cultura e delle questioni indigene in Australia.
Risultati e fasi successive
Previa consultazione, abbiamo deciso di votare contro la rielezione del presidente del comitato per la sostenibilità del consiglio di amministrazione, poiché doveva esserci un responsabile per gli eventi di Juukan Gorge.
Approfondimenti
Priorità di stewardship
Riepilogo dei rischi
Alcune strategie dei clienti investono sulla base di criteri della sostenibilità/I fattori ESG implicano analisi qualitative e soggettive. Non vi è alcuna garanzia che le decisioni prese dal consulente avranno successo e/o si allineeranno alle convinzioni o ai valori di un particolare investitore. Salvo se diversamente indicato nell’accordo con il cliente o nei documenti di offerta, attività/società specifiche non sono esplicitamente escluse dai portafogli sulla base di criteri ESG né esiste alcun obbligo di acquistare e vendere titoli sulla base di tali fattori.