The Responsible Business Initiative – FAQs on the outcome of the vote

There is a time window of 100 days for an optional referendum after the publication of the text of the counterproposal in the “Federal Gazette” (Bundesblatt). If no such appeal is made, it can be expected that the new reporting and due diligence obligations will enter into effect rather quickly. Even though no timeline has been officially communicated, we anticipate full or partial entry into force in 2022, especially given that the text of the counterproposal is final and the implementing ordinance will need to be completed for the due diligence requirements only.

The annual non-financial reporting obligation applies to Public Interest Entities (PIEs – listed and FINMA-regulated entities) if they, together with their controlled domestic or foreign companies, have at least 500 full-time employees as well as total assets of CHF 20 million and/or revenue of CHF 40 million on average over two consecutive financial years.

The non-financial reporting requirements largely reflect the European Union’s current Non-Financial Reporting Directive (NFRD), already in force since 2017. The companies in scope need to publish a report in which they provide the information that is necessary for a reader to get an understanding of the development and performance of the company’s business, its situation and the impact of its activities on five non-financial matters (environmental, social, employee, respect for human rights, as well as anti-corruption and bribery). Regarding each of these five matters, a description of the following is needed:

• Management approach, including due diligence
• Measures taken, as well as their outcomes
• Performance indicators that are material to the company’s business activities

If a company does not pursue a concept in any of the five areas, a clear explanation and reasoning has to be provided (“comply or explain” approach). The companies also need to describe any material risks in relation to the five matters, notably those that are a result of the company’s own activities, and how it addresses them.

The counterproposal does not prescribe the use of a reporting standard. Yet, if the report is based on a reporting standard or guideline, this is to be mentioned in the report. In order to increase comparability, we recommend using existing reporting standards. A combination of several standards, for instance the Integrated Reporting Framework, the Global Reporting Initiative Standards (GRI) or the UN Guiding Principles Reporting Framework may be well suited.

The disclosures need to be made by the companies with a registered office in Switzerland, falling into the scope of the regulation (see “Which entities are in scope of the new regulation?”). If these companies control further entities (together or jointly with others) in Switzerland or abroad, the disclosures need to cover these as well. Controlled companies are exempted from the reporting obligation if their controlling company itself falls in scope of the regulation or if it already publishes an equivalent report under foreign law. Reports of European companies fulfilling the EU NFRD are typically expected to be considered as equivalent.

The report must be approved and signed by the highest management or administrative body and approved by the body responsible for the annual accounts. The highest management or administrative body is responsible for ensuring that the report is published electronically promptly after approval and remains publicly available for a period of at least ten years.

An audit of the non-financial report is not formally required. Yet, the approval of reporting by the Board of Directors and the audit committee will likely raise expectations regarding the robustness of the disclosed information. Our experience in European countries has shown that the introduction of the EU NFRD, which is of very similar wording as the Swiss counterproposal, has raised the demand for assurance by an independent auditor, including in countries where the implementation of the directive did not come with a formal audit requirement. Hence, assurance seems to become the common best practice.

For the due diligence requirements, activities of the industry along the value chain are a key criterion to determine if a company will be affected. In scope are companies whose head office or principal place of business is located in Switzerland and who are importing or processing minerals and metals containing 3T&G (tin, tantalum, tungsten and gold) potentially originating from conflict and high-risk areas as well as those offering products or services for which there is a reasonable suspicion that they were manufactured or provided using child labor. An ordinance by the Federal Council will further define thresholds for exemption from due diligence obligations based on the annual import volumes of minerals and metals. It will further determine the conditions under which small and medium-sized companies with low child labor risks do not have to check whether there is a reasonable suspicion of child labor.

In addition to the non-financial reporting requirements, the counterproposal provides for due diligence obligations affecting companies (not necessarily limited to PIEs) that import or process certain minerals and metals from conflict and high-risk areas as well as those that offer products or services where there is reasonable cause for concern that child labor could be involved (see “Which companies are in scope of the new regulation?”). The entities in scope need to operate a management system in which they define supply chain policies for minerals or metals that potentially originate from high-risk areas and products and services where there is reasonable cause for concern that child labor could be involved. The system needs to allow for a backtracking along the supply chain. Furthermore, the companies need to identify and assess the risks of harmful effects in their supply chain in combination with the creation of a risk management plan and measures to minimize the identified risks. Finally, they need to report annually on the fulfillment of due diligence. The Federal Council will further define the due diligence requirements described here by means of an ordinance.

The degree to which companies are affected by the new due diligence obligations will depend heavily on the extent to which their value and supply chain encompasses subsidiaries and third parties, especially if these operate in high-risk business areas or countries.

According to the OECD Guidelines for Multinational Enterprises, due diligence is a process by which enterprises can identify, prevent, mitigate, and account for how they address their actual and potential adverse impact as an integral part of business decision-making and risk management systems.
Many organizations already consider specific due diligence aspects and procedures as part of their risk and compliance management systems. However, the new regulations might require enhancements of existing programs.

The Federal Council will include in its implementing ordinance minimum import volumes for mineral and metals, up to which a company is exempt from the due diligence and related reporting obligation. the ordinance will also specify the conditions under which small and medium-sized enterprises and enterprises with low child labor risks do not have to check whether there is a reasonable suspicion of child labor. Finally, it will lay out the conditions under which companies that adhere to an internationally recognized equivalent set of rules, including, for example, the OECD Guidelines, will be exempt from taking further action.

The highest management or administrative body must annually report on the fulfillment of the due diligence requirements, ensuring that the report is published electronically within six months after closing of the financial year and that it remains publicly available for a period of at least ten years.

Compliance with due diligence obligations on minerals and metals will be subject to review by an independent third party. The draft law does not provide for such a review regarding due diligence of child labor. However, the implementing ordinance might bring more clarity on whether in case of (sole) exposure to child labor risks, no such review is required.

The law remains unchanged regarding corporate liabilities. Yet, companies that intentionally make false statements or omit their reporting duties regarding non-financial matters and due diligence could face fines of up to CHF 100,000.

There is only a modest time frame to prepare for compliance, especially if an organization does not already have a mature non-financial reporting and risk management setup. Even though some open questions remain regarding the implementation of the law, we recommend addressing the following points early on:

Applicability

• Analysis: Is the company potentially affected?
• What are the key expectations of internal and external key stakeholders?

As-is analysis

• What is the current state of non-financial reporting and risk & compliance management at the company? 
• What is the decision by top management as to whether the requirements are potentially or effectively applicable to the company (risk appetite)?

Content and extent

• Which standard(s) should the company apply going forward?
• Where, in what format, and when will the company publish the required information?
• Should assurance regarding the disclosed information and/or the due diligence process be obtained?

Responsibilities and timing

• By what date does the company seek to get there?
• Who is responsible for the implementation of measures to be taken and at which points in the process should the Board of Directors be involved?
• Who is responsible for staying tuned to the regulatory developments and what developments should the Board of Directors be informed of?

Gap analysis

• What needs to be done to brace for the challenges that the future holds?

Regarding the non-financial reporting requirements, we have identified three focus elements to guide companies through the process:

• Analysis and assessment
  Companies should analyze whether they are affected by the reporting requirements. If they are, they should assess to what extent their preexisting sustainability reporting, if any, already fulfills the formal and content requirements of the new regulation. To avoid a pure compliance exercise and to meet the purpose of the regulation, content should be of relevance. That is, it should provide the reader an understanding of the course of business and the impact of its activities on the non-financial matters.
• Roles and responsibilities
  The approval of reporting by the board of directors and the audit committee will likely raise expectations regarding the robustness of the reporting content. Hence, a discussion with the board of directors and the audit committee should be sought to verify that they are aware of their new responsibilities and to inquire how they wish to take the matter further.
• Reporting format and standards
  In a next step, companies should explore potential reporting formats. They should make sure that the format thus far chosen continues to be suitable both to meet the new requirements and to present the information in a concise and potentially attractive way. They might also consider whether the introduction of a recognized reporting standard might help to structure and refine the newly required reporting content.

Regarding the due diligence requirements, we have identified three key focus elements to guide companies through the process:

• Analysis and assessment
  Regardless of industry and maturity of the current risk management system, companies should analyze whether they fall under the scope of the new regulations. They should also assess their exposure to risks, considering all components in their value and supply chains.
• Risk and compliance management
  In a next step, companies need to examine their risk and compliance management system. How are risks identified, mitigated and reported, and how does the organization ensure that appropriate measures are taken? The goal is to operate an effective enterprise risk management system (ERMS) across the entire supply chain.
• Third-party risks
  Third-party risk management is likely to become one of the key elements of due diligence procedures required by the law. In light of the new legislation, companies will need to comply with this requirement and should take early action to be prepared to address these risks across their value and supply chains. Governance and oversight are also increasingly important in a business environment of increasing regulation. Not only are they vital to meet the rising expectations and demands of various stakeholders, they are also a key factor in ensuring compliance.

Es gibt ein Zeitfenster von 100 Tagen nach Veröffentlichung des Gegenvorschlagtextes im Bundesblatt, in welchem ein fakultatives Referendum ergriffen werden kann. Wenn kein Referendum ergriffen wird, sollten die neuen Berichterstattungs- und Sorgfaltspflichten voraussichtlich recht bald in Kraft treten. Auch wenn noch kein Zeitplan offiziell bekanntgegeben wurde, erwarten wir ein volles oder teilweises Inkrafttreten im Jahr 2022, insbesondere angesichts der Tatsache, dass der Gegenvorschlagtext schon endgültig vorliegt und die Vollzugsverordnung nur für die Sorgfaltspflichten verfasst werden muss.

Die jährliche nichtfinanzielle Berichterstattungspflicht gilt für Publikumsgesellschaften (PIEs – börsenkotierte und von der FINMA regulierte Unternehmen), wenn sie zusammen mit ihren kontrollierten in- oder ausländischen Unternehmen über mindestens 500 Vollzeitbeschäftigte sowie über eine Bilanzsumme von CHF 20 Millionen und/oder Einnahmen von durchschnittlich CHF 40 Millionen in zwei aufeinander folgenden Geschäftsjahren verfügen.

Die Anforderungen an die nichtfinanzielle Berichterstattung widerspiegeln weitgehend die geltende Richtlinie über die Angabe nichtfinanzieller Informationen der Europäischen Union (NFRD), die bereits seit 2017 in Kraft ist. Die betroffenen Unternehmen müssen einen Bericht mit Informationen vorlegen, die ein Leser benötigt, um die Geschäftsentwicklung und die Performance des Unternehmens, seine Situation und die Auswirkungen seiner Aktivitäten auf fünf nichtfinanzielle Belange (Umwelt, Soziales, Arbeitnehmer, Menschenrechte sowie Antikorruption und Bestechung) zu verstehen. Bezüglich eines jeden dieser fünf Belange ist eine Beschreibung folgender Aspekte erforderlich:

• Managementansatz einschliesslich Due Diligence
• Ergriffene Massnahmen sowie ihre Wirksamkeit
• Für die Geschäftstätigkeit des Unternehmens relevante Leistungsindikatoren

Wenn ein Unternehmen in einem der fünf Bereiche kein Konzept verfolgt, muss dies klar erklärt und begründet werden («comply-or-explain»-Ansatz). Die Unternehmen müssen auch die wesentlichen Risiken in Bezug auf diese fünf Belange beschreiben, insbesondere solche, die sich aus der Geschäftstätigkeit des Unternehmens ergeben, und wie sie angegangen werden.

Der Gegenvorschlag schreibt keinen Berichtsstandard vor. Wenn ein Bericht jedoch auf einem Berichtsstandard oder einer Richtlinie basiert, muss dies im Bericht erwähnt werden. Für eine erhöhte Vergleichbarkeit empfehlen wir, bestehende Berichtsstandards zu verwenden. Eine Kombination verschiedener Standards, z. B. das International Integrated Reporting Framework, die Global Reporting Initiative Standards (GRI-Standards) oder der Berichtsrahmen für die UN-Leitprinzipien für Wirtschaft und Menschenrechte, kann sehr geeignet sein.

Die Offenlegungen müssen durch die Unternehmen mit Sitz in der Schweiz erfolgen, die vom Umfang der Regelung betroffen sind (siehe «Welche Unternehmen sind von der neuen Regelung betroffen?»). Wenn diese Unternehmen weitere Einheiten in der Schweiz oder im Ausland kontrollieren (alleine oder gemeinschaftlich mit anderen Unternehmen), müssen die Offenlegungen auch diese umfassen. Kontrollierte Unternehmen sind von der Berichterstattungspflicht befreit, wenn ihr kontrollierendes Unternehmen selbst unter die Regelung fällt oder wenn es bereits einen äquivalenten Bericht unter ausländischer Gesetzgebung veröffentlicht. Es wird erwartet, dass Berichte von europäischen Unternehmen, die die Anforderungen der EU NFRD erfüllen, als äquivalent angesehen werden.

Der Bericht muss vom obersten Leitungs- oder Verwaltungsorgan genehmigt und unterzeichnet und vom für die Jahresberichterstattung zuständigen Organ genehmigt sein. Das oberste Leitungs- oder Verwaltungsorgan muss sicherstellen, dass der Bericht unmittelbar nach der Genehmigung elektronisch veröffentlicht wird und während mindestens zehn Jahren öffentlich zugänglich ist.

Eine Revision des nichtfinanziellen Berichts ist formell nicht erforderlich. Jedoch wird die Genehmigung durch den Verwaltungsrat und durch die Revisionsstelle sehr wahrscheinlich Erwartungen bezüglich der Stichhaltigkeit der offengelegten Informationen wecken. Unsere Erfahrung in europäischen Ländern hat gezeigt, dass die Einführung der EU NFRD, die sehr ähnlich wie der schweizerische Gegenvorschlag abgefasst ist, die Forderung nach Bestätigung durch einen unabhängigen Revisor erhöht hat und dies auch in Ländern, in denen die Umsetzung der Richtlinie nicht von einer formellen Revisionspflicht begleitet war. Somit scheint die Bestätigung durch eine Revisionsstelle zur üblichen Best Practice zu werden.

Bezüglich der Due-Diligence-Anforderungen stellen die Tätigkeiten der Branche entlang der Wertschöpfungskette ein Schlüsselkriterium für die Festlegung dar, ob ein Unternehmen betroffen ist. Von der Sorgfaltspflicht betroffen sind Unternehmen, deren Hauptsitz oder Hauptgeschäftsgebiet in der Schweiz liegt und die Mineralien und 3T&G-Metalle (Zinnerz, Tantalerz, Wolframerz und Gold) aus potenziellen Konflikt- oder Hochrisikogebieten importieren oder verarbeiten, sowie Unternehmen, die Produkte und Dienstleistungen anbieten, bei denen ein begründeter Verdacht darauf besteht, dass sie mit Kinderarbeit hergestellt oder bereitgestellt wurden. Eine Verordnung des Bundesrates wird die Schwellenwerte für eine Befreiung von den Due-Diligence-Anforderungen auf der Basis des jährlichen Importvolumens von Mineralien und Metallen genau definieren. Darüber hinaus wird der Bundesrat die Bedingungen festlegen, unter welchen kleine und mittlere Unternehmen mit geringem Kinderarbeitsrisiko keine Prüfung, ob ein begründeter Verdacht auf Kinderarbeit vorliegt, durchführen müssen.

Zusätzlich zu den nichtfinanziellen Berichterstattungspflichten sieht der Gegenvorschlag Sorgfaltspflichten vor, die Unternehmen (nicht unbedingt beschränkt auf PIEs), die gewisse Mineralien und Metalle aus Konflikt- und Hochrisikogebieten importieren oder verarbeiten, sowie Unternehmen betreffen, die Produkte und Dienstleistungen anbieten, bei denen die begründete Sorge besteht, dass Kinderarbeit involviert sein könnte (siehe «Welche Unternehmen sind von der neuen Regelung betroffen?»). Die betroffenen Unternehmen müssen Managementsysteme betreiben, mit welchen sie Konzepte für die Lieferketten von potenziell aus Hochrisikogebieten stammenden Mineralien und Metallen sowie von Produkten und Dienstleistungen definieren, bei denen eine begründete Sorge besteht, dass Kinderarbeit involviert sein könnte. Solche Managementsysteme müssen die Rückverfolgbarkeit entlang der Lieferkette ermöglichen. Ausserdem müssen die Unternehmen die Risiken schädlicher Auswirkungen in ihrer Lieferkette identifizieren und bewerten, in Kombination mit einem Risikomanagementplan und Massnahmen zur Minderung der identifizierten Risiken. Und schliesslich müssen sie jährlich über die Erfüllung ihrer Sorgfaltspflichten Rechenschaft ablegen. Der Bundesrat wird die hier beschriebenen Due-Diligence-Anforderungen in einer Verordnung genauer definieren.

Das Ausmass, in welchem Unternehmen von den neuen Sorgfaltspflichten betroffen sind, wird stark davon abhängen, inwieweit ihre Wertschöpfungs- und Lieferkette Tochtergesellschaften und Dritte umfasst, insbesondere wenn diese in risikoreichen Geschäftsbereichen oder Ländern tätig sind.

Nach den OECD-Richtlinien für multinationale Unternehmen ist die Due Diligence ein Prozess, mit dem die Unternehmen als integraler Bestandteil der unternehmerischen Entscheidungsfindung und der Risikomanagementsysteme erkennen, verhindern, abschwächen und Rechenschaft darüber ablegen können, wie sie mit ihren tatsächlichen und potenziellen negativen Auswirkungen umgehen.
Viele Unternehmen berücksichtigen im Rahmen ihrer Risiko- und Compliance-Managementsysteme bereits spezifische Due-Diligence-Aspekte und -Verfahren. Allerdings könnten die neuen Bestimmungen Erweiterungen bestehender Programme notwendig machen.

Der Bundesrat wird in seiner Vollzugsverordnung Mindestimportvolumina für Mineralien und Metalle festlegen, bis zu deren Erreichen ein Unternehmen von der Sorgfaltspflicht und der damit verbundenen Berichterstattungspflicht befreit wird. Die Verordnung wird auch die Bedingungen spezifizieren, unter welchen kleine und mittlere Unternehmen und Unternehmen mit geringem Kinderarbeitsrisiko nicht überprüfen müssen, ob ein begründeter Verdacht auf Kinderarbeit besteht. Schliesslich wird die Verordnung die Bedingungen darlegen, unter welchen Unternehmen, die schon international anerkannte, äquivalente Regelwerke, wie beispielsweise die OECD-Richtlinien, erfüllen, vom Ergreifen weiterer Massnahmen befreit sein werden.

Das oberste Leitungs- oder Verwaltungsorgan muss jährlich über die Einhaltung der Due-Diligence-Anforderungen Rechenschaft ablegen und sicherstellen, dass der Bericht innerhalb von sechs Monaten nach Abschluss des Geschäftsjahres elektronisch veröffentlicht wird und während mindestens zehn Jahren öffentlich zugänglich ist.

Die Erfüllung der Due-Diligence-Anforderungen über Mineralien und Metalle unterliegen einer Revision durch eine unabhängige Drittpartei. Der Gesetzesentwurf sieht keine solche Revision bezüglich Sorgfaltspflicht im Zusammenhang mit Kinderarbeit vor. Jedoch könnte die Vollzugsverordnung eine grössere Klarheit darüber bringen, ob in Fällen von (alleiniger) Exponierung gegenüber dem Kinderarbeitsrisiko keine derartige Revision erforderlich sein wird.

Das Gesetz bleibt in Bezug auf die Unternehmensverantwortung unverändert. Wenn jedoch Unternehmen vorsätzlich falsche Angaben machen oder ihren Berichterstattungspflichten bezüglich nichtfinanzieller Angelegenheiten und Due Diligence nicht nachkommen, können sie mit Bussen bis zu CHF 100’000 belegt werden.

Für die Vorbereitung auf die Einhaltung der Vorschriften bleibt nur ein bescheidener Zeitrahmen, insbesondere wenn ein Unternehmen nicht bereits über eine ausgereifte Berichterstattung zu nichtfinanziellen Aspekten und ein ausgereiftes Risikomanagement verfügt. Auch wenn noch einige Fragen bezüglich der Anwendung des Gesetzes offen bleiben, empfehlen wir, die folgenden Punkte möglichst frühzeitig anzugehen:

Anwendbarkeit

• Analyse: Ist das Unternehmen potenziell betroffen?
• Welches sind die grundlegenden Erwartungen der wichtigsten internen und externen Interessengruppen?

Analyse des Ist-Zustandes

• Wie ist der aktuelle Stand der Berichterstattung über nichtfinanzielle Angelegenheiten und des Risiko- und Compliance-Managements im Unternehmen? 
• Wie entscheidet das oberste Leitungsorgan über die potenziell oder tatsächlich auf das Unternehmen anwendbaren Anforderungen (Risikobereitschaft)?

Inhalt und Umfang

• Welche(n) Standard(s) sollte das Unternehmen in Zukunft anwenden?
• Wo, in welchem Format und wann wird das Unternehmen die erforderlichen Informationen veröffentlichen?
• Sollten Gewährleistungen bezüglich der offengelegten Informationen und/oder des Due-Diligence-Prozesses eingeholt werden?

Verantwortlichkeiten und Zeitplan

• Bis zu welchem Datum versucht das Unternehmen, dies zu erreichen?
• Wer ist für die Umsetzung der zu ergreifenden Massnahmen verantwortlich und an welchen Punkten des Prozesses sollte der Verwaltungsrat beteiligt werden?
• Wer ist dafür verantwortlich, sich über die regulatorischen Entwicklungen auf dem Laufenden zu halten, und über welche Entwicklungen sollte der Verwaltungsrat informiert werden?

Gap-Analyse

• Was ist nötig, um sich auf die Herausforderungen der Zukunft auszurichten?

In Bezug auf die Anforderungen an die nichtfinanzielle Berichterstattung haben wir drei zentrale Fokuselemente identifiziert, die Unternehmen durch den Prozess führen sollen:

• Analyse und Bewertung
  Unternehmen sollten analysieren, ob sie von den Berichterstattungspflichten betroffen sind. Falls dies der Fall ist, sollten sie ermitteln, in welchem Ausmass ihre allfällig bereits bestehende Nachhaltigkeitsberichterstattung die formalen und inhaltlichen Anforderungen der neuen Regelung bereits erfüllt. Der Inhalt ist von Bedeutung, damit eine reine Compliance-Übung vermieden und der Zweck der Regelung erfüllt werden kann. Anders gesagt: Der Bericht sollte dem Leser ein Verständnis der Geschäftstätigkeit und deren Auswirkung auf nichtfinanzielle Angelegenheiten ermöglichen.
• Rollen und Verantwortlichkeiten
  Die Genehmigung durch den Verwaltungsrat und durch die Revisionsstelle wird sehr wahrscheinlich Erwartungen bezüglich der Stichhaltigkeit der offengelegten Informationen wecken. Somit sollte das Gespräch mit dem Verwaltungsrat und der Revisionsstelle gesucht werden, um zu prüfen, ob sich diese Organe ihrer neuen Verantwortlichkeiten bewusst sind, und um in Erfahrung zu bringen, wie sie in der Angelegenheit weiter verfahren wollen.
• Berichterstattungsformat und -standards
  In einem nächsten Schritt sollten Unternehmen potenzielle Berichterstattungsformate prüfen. Sie sollten sicherstellen, dass das bisher gewählte Format weiterhin für die Erfüllung der neuen Anforderungen und für eine präzise und potenziell ansprechende Präsentation der Informationen geeignet ist. Sie könnten sich auch überlegen, ob die Einführung eines anerkannten Berichterstattungsstandards für die Strukturierung und Verfeinerung des neu erforderlichen Berichtsinhalts hilfreich sein könnte.

In Bezug auf die Due-Diligence-Anforderungen haben wir drei zentrale Fokuselemente identifiziert, die Unternehmen durch den Prozess führen sollen:

• Analyse und Bewertung
  Unabhängig von der Branche und der Ausgereiftheit des aktuellen Risikomanagementsystems sollten Unternehmen analysieren, ob sie in den Geltungsbereich der neuen Vorschriften fallen. Auch sollten sie ihre Gefährdung durch Risiken bewerten und dabei sämtliche Komponenten ihrer Wertschöpfungs- und Lieferketten berücksichtigen.
• Risiko- und Compliance-Management
  In einem weiteren Schritt müssen Unternehmen ihr Risiko- und Compliance-Managementsystem überprüfen. Wie werden Risiken identifiziert, gemindert und gemeldet und wie stellt das Unternehmen sicher, dass geeignete Massnahmen ergriffen werden? Ziel ist es, über die gesamte Lieferkette hinweg ein effektives Enterprise Risk Management System (ERMS) zu betreiben.
• Risiko von Dritten
  Das Management von Risiken durch Dritte wird wahrscheinlich zu einem der Schlüsselelemente der gesetzlich verordneten Sorgfaltspflichten werden. Im Hinblick auf die neue Gesetzgebung müssen Unternehmen diese Anforderung erfüllen können und sollten frühzeitig Massnahmen ergreifen, um darauf vorbereitet zu sein, diesen Risiken in ihrer gesamten Wertschöpfungs- und Lieferkette zu begegnen. Governance und Aufsicht werden in einem von zunehmender Regulierung geprägten Geschäftsfeld immer wichtiger. Sie sind nicht nur unerlässlich, damit das Unternehmen den steigenden Erwartungen und Ansprüchen der verschiedenen Interessengruppen gerecht werden kann, sondern auch ein Schlüsselfaktor bei der Gewährleistung der Einhaltung der Vorschriften.

La publication du texte du contre-projet dans la «Feuille fédérale» (Bundesblatt) est suivie d’une période de 100 jours laissant la possibilité d’un éventuel référendum. En l’absence d’un tel appel, les nouvelles obligations de reporting et de diligence raisonnable devraient entrer en vigueur assez rapidement. Même si aucun calendrier n’a été officiellement communiqué, nous tablons sur une introduction totale ou partielle en 2022, notamment parce que le texte du contre-projet est dans sa version finale et que l’ordonnance d’exécution ne devra être complétée que pour les exigences de diligence raisonnable.

L’obligation de rendre compte des questions non financières s’applique aux entités d’intérêt public (EIP – entités listées et règlementées par la FINMA) qui emploient à temps plein, en comptant les entreprises contrôlées dans le pays ou à l’étranger, au moins 500 collaborateurs et enregistrent 20 MCHF d’actifs totaux et/ou 40 MCHF de revenus en moyenne sur deux exercices comptables consécutifs.

Les exigences de divulgation non financière font largement écho à la directive de l’Union européenne sur la publication d’informations extra financières (NFRD) déjà en vigueur depuis 2017. Les entreprises concernées devront publier un rapport fournissant les informations nécessaires à tout lecteur pour comprendre le développement et la performance des activités d’une entreprise, sa situation et l’impact de ses activités sur cinq problématiques non financières (environnementale, sociale, RH, respect des droits de l’Homme, ainsi que lutte anti-corruption). Concernant chacune de ces cinq thématiques, une description des éléments suivants sera requise :

• Approche managériale, avec notamment devoir de diligence
• Mesures prises ainsi que leurs résultats
• Indicateurs de performance significatifs pour les activités commerciales de l’entreprise

Si une entreprise n’applique pas un concept dans l’un des cinq domaines, elle devra fournir une explication et une démonstration claires (approche «appliquer ou expliquer»). Les entreprises devront également décrire tout risque significatif en lien avec ces cinq thématiques, qui résulterait notamment des activités-mêmes de l’entreprise et préciser l’approche adoptée pour les maîtriser.

Le contre-projet n’impose pas de norme de reporting. Toutefois, si le rapport est fait en s’appuyant sur une norme ou des principes directeurs de reporting, il conviendra de le préciser dans le rapport. De façon à faciliter les comparaisons, nous recommandons d’utiliser les normes de reporting existantes. Une combinaison de plusieurs normes telles que le Integrated Reporting Framework, les normes GRI (Global Reporting Initiative) ou le UN Guiding Principles Reporting Framework (cadre de reporting conforme aux principes directeurs des Nations Unies) est tout à fait possible.

Les divulgations doivent être faites par les sociétés dont le siège social est en Suisse et tombant dans le champ d’application de la règlementation (cf. «Quelles sont les entités concernées par la nouvelle règlementation ?»). Si ces sociétés contrôlent d’autres entités (seules ou conjointement) en Suisse ou à l’étranger, ces divulgations devront également couvrir ces dernières. Les sociétés contrôlées sont exemptes de l’obligation de reporting si la société qui les contrôle tombe elle-même dans le champ d’application de la règlementation ou si elle publie déjà un rapport équivalent en vertu du droit étranger. Les rapports des sociétés européennes conformes à la NFRD de l’UE doivent typiquement être considérés comme équivalents.

Le rapport doit être approuvé et signé par l’instance de direction ou d’administration la plus élevée et approuvé par l’instance responsable des comptes annuels. L’instance de direction ou d’administration la plus élevée doit veiller à ce que le rapport soit publié par voie électronique dans les plus brefs délais après son approbation et qu’il reste à la disposition du public pendant dix ans au minimum.

Un audit du rapport non financier n’est pas formellement requis. Toutefois, l’approbation du rapport par le conseil d’administration et le comité d’audit est susceptible de renforcer les attentes quant à la solidité des informations divulguées. Notre expérience dans certains pays européens a montré que l’introduction de la NFRD de l’UE, dont les termes sont similaires au contre-projet suisse, a renforcé la demande de vérification par un auditeur indépendant, y compris dans les pays où la mise en œuvre de la directive n’était pas assortie d’une exigence formelle d’audit. La vérification semble donc devenir la norme en matière de bonnes pratiques.

Concernant les exigences de diligence raisonnable, les activités de l’industrie tout au long de la chaîne de valeur constituent un critère décisif pour déterminer si une société sera affectée. Sont concernées les sociétés dont le siège ou le principal site d’activité est situé en Suisse et qui importent ou transforment des minerais et métaux contenant de l’étain, du tantale, du tungstène ou de l’or (appelés 3TG) provenant potentiellement de zones de conflit ou à haut risque. Sont également visées les entreprises qui offrent des produits ou services pour lesquels il existe un soupçon fondé d’un potentiel recours au travail des enfants. Une ordonnance du Conseil fédéral définira en outre des seuils d’exemption aux obligations de diligence raisonnable sur la base des volumes annuels de minerais et métaux importés. Elle déterminera également les conditions auxquelles les petites et moyennes entreprises présentant un risque faible de recours au travail infantile n’auront pas à vérifier s’il existe un soupçon fondé d’un potentiel recours au travail des enfants.

Outre les exigences de divulgation non financière, le contre-projet impose des obligations de diligence raisonnable aux entreprises (non limitées aux EIP) qui importent ou traitent certains minerais ou métaux en provenance de régions en conflit ou à haut risque ainsi qu’à celles qui offrent des produits ou services où il existe un soupçon fondé d’un potentiel recours au travail des enfants (cf. «Quelles sont les sociétés concernées par la nouvelle règlementation ?»). Les entités concernées devront mettre en place un système de gestion comportant des règles régissant la chaîne d’approvisionnement des minerais et métaux provenant potentiellement de zones de conflit ou à haut risque et des produits et services pour lesquels il existe un soupçon fondé d’un potentiel recours au travail des enfants. Ce système devra permettre également de remonter dans la chaîne d’approvisionnement. Les sociétés devront par ailleurs identifier et évaluer les risques d’effets dommageables dans leur chaîne d’approvisionnement et mettre en place un plan de gestion des risques ainsi que des mesures visant à limiter ces derniers. Enfin, elles devront rédiger un rapport annuel attestant le respect des exigences de diligence raisonnable. Ces exigences de diligence raisonnable seront précisées par le Conseil fédéral par la voie d’une ordonnance.

Le degré auquel les entreprises sont affectées par les nouvelles obligations de diligence dépendra largement de la mesure dans laquelle leur chaine de valeur et leur chaîne d’approvisionnement englobent les filiales et des tiers, et particulièrement si ceux-ci opèrent dans des domaines d’activités ou pays à haut risque.

Selon les lignes directrices de l’OCDE pour les multinationales, la diligence raisonnable est un procédé par lequel les entreprises peuvent identifier, empêcher, atténuer et justifier leur manière de considérer leurs impacts négatifs actuels et potentiels comme partie intégrante du processus de décision commerciale et de gestion des risques.
Beaucoup d’organisations prennent déjà en considération des aspects et des procédures spécifiques de diligence raisonnable dans leurs systèmes de gestion des risques et de la conformité. Cependant, les nouvelles règlementations pourraient nécessiter des améliorations des programmes existants.

Le Conseil fédéral précisera dans son ordonnance d’exécution les volumes seuil d’importation de minerais et métaux, en-deçà desquels les sociétés seront exemptées des obligations de diligence raisonnable et du reporting y afférant. L’ordonnance déterminera également les conditions auxquelles les petites et moyennes entreprises présentant un risque faible de recours au travail infantile n’auront pas à vérifier s’il existe un soupçon fondé d’un potentiel recours au travail des enfants. Pour finir, elle déterminera à quelles conditions les sociétés adhérant à un ensemble de règles équivalent et reconnu au niveau international – telles que les lignes directrices de l’OCDE par exemple – pourront être exemptées de toute action supplémentaire.

L’instance de direction ou d’administration la plus élevée doit rédiger chaque année un rapport attestant le respect des exigences de diligence raisonnable et veiller à ce qu’il soit publié par voie électronique dans les six mois suivant la clôture de l’exercice comptable et qu’il reste à la disposition du public pendant dix ans au minimum.

Le respect des obligations de diligence raisonnable sur les minerais et les métaux fera l’objet d’une révision par un tiers indépendant. Le projet de loi ne prévoit pas de révision équivalente concernant le devoir de diligence lié au travail des enfants. L’ordonnance d’exécution devrait toutefois préciser si, dans le cas d’une (simple) exposition à des risques de travail infantile, une telle révision ne sera pas requise.

Concernant les responsabilités des entreprises, la loi reste inchangée. Toutefois, les entreprises qui feraient de fausses déclarations ou omettraient de publier un rapport sur les aspects non financiers et leur devoir de diligence seraient passibles d’une amende pouvant aller jusqu’à 100’000 CHF.

Le laps de temps pour se mettre en conformité est relativement court, en particulier pour les organisations ne disposant pas déjà d’un dispositif mature de reporting non financier et de gestion des risques. Même si certaines questions concernant la mise en œuvre de la règlementation restent en suspens, nous recommandons de ne pas attendre pour se pencher sur les points suivants :

Applicabilité

• Analyse : l’entreprise est-elle potentiellement affectée ?
• Quelles sont les attentes clés des principales parties prenantes internes et externes ?

Analyse de l’état actuel

• Quel est l’état actuel du rapport non financier et de la gestion des risques et de la conformité dans l’entreprise ? 
• Quelle est la décision des hauts responsables concernant les exigences potentiellement ou effectivement applicables à l’entreprise (propension au risque) ?

Contenu et étendue

• Quelle(s) norme(s) l’entreprise devrait-elle appliquer à l’avenir ?
• Où, sous quelle forme et à quel moment l’entreprise devrait-elle publier les informations requises ?
• Est-il conseillé de faire vérifier les informations divulguées et/ou le respect du devoir de diligence raisonnable ?

Responsabilités et timing

• À quelle date l’entreprise compte-t-elle y parvenir ?
• Qui est responsable de la mise en place des mesures à prendre et à quels moments du processus le conseil d’administration doit-il s’impliquer ?
• Qui est responsable de se tenir informé des évolutions règlementaires et de quelles évolutions le conseil d’administration doit-il être informé ?

Analyse des lacunes

• Que faut-il faire pour relever les défis de demain ?

Concernant les exigences de publication d’un rapport non financier, nous avons identifié trois éléments clés sur lesquels les entreprises devraient se concentrer tout au long du processus :

• Analyse et évaluation
  Les entreprises devraient analyser si elles sont concernées par les exigences de reporting. Si tel est le cas, elles devraient vérifier si elles disposent déjà de rapports de durabilité et évaluer dans quelle mesure ces derniers répondent, par la forme et le contenu, aux exigences de la nouvelle règlementation. De façon à éviter de ne se prêter qu’à un pur exercice de mise en conformité et de réellement répondre aux intentions de la règlementation, le contenu devrait être pertinent. En d’autres termes, il devrait permettre aux lecteurs de comprendre le déroulement des activités commerciales et leur impact sur les aspects non financiers.
• Rôles et responsabilités
  L’approbation du rapport par le conseil d’administration et le comité d’audit est susceptible de renforcer les attentes quant à la solidité du contenu du rapport. Par conséquent, il est recommandé d’avoir une discussion avec le conseil d’administration et le comité d’audit pour vérifier qu’ils sont bien au courant de leurs nouvelles responsabilités et leur demander quelles mesures ils souhaitent prendre ensuite.
• Format du rapport et normes
  Dans une étape suivante, nous encourageons les entreprises à réfléchir aux formats possibles pour présenter leur rapport. Elles devraient se demander si le format choisi jusqu’à présent est toujours adapté, tant pour répondre aux nouvelles exigences que pour veiller à ce que les informations soient présentées de manière concise et conviviale. Elles devraient également se demander si le recours à une norme de reporting reconnue pourrait les aider à structurer et affiner le contenu du rapport tel que désormais requis.

Concernant les exigences de diligence raisonnable, nous avons identifié trois éléments clés sur lesquels les entreprises devraient se concentrer tout au long du processus :

• Analyse et évaluation
  Quels que soient leur secteur d’activité et la maturité de leur système de gestion des risques en place, les entreprises devraient analyser si elles sont visées par les nouvelles règlementations. Elles devraient aussi évaluer leur exposition aux risques, en tenant compte de tous les composants dans leurs chaînes de valeur et d’approvisionnement.
• Gestion des risques et de la conformité
  Dans une deuxième étape, les entreprises devraient examiner leurs systèmes de gestion des risques et de la conformité. Comment les risques sont-ils identifiés, atténués et signalés et comment l’organisation s’assure-t-elle que des mesures appropriées sont prises ? L’objectif est d’opérer un Système de Gestion des Risques en Entreprise (SGRE) effectif dans l’intégralité de la chaîne d’approvisionnement.
• Risques liés aux tiers
  La gestion des risques liés aux tiers est susceptible de devenir l’un des éléments clés du devoir de diligence stipulé par la loi. Au vu de la nouvelle législation, les entreprises devraient agir rapidement pour être prêtes à faire face à ces risques dans leurs chaînes de valeur et d’approvisionnement. La gouvernance et la supervision gagnent également en importance dans un environnement d’affaires de plus en plus règlementé. Elles sont essentielles pour répondre aux attentes et aux demandes croissantes des diverses parties prenantes et constituent également un facteur clé de conformité.