Commissaris moet schijnzekerheid company policies doorprikken
Bedrijfsbeleidsregelingen als gedragscode, klokkenluidersregeling, anti-corruptiebeleid of cybersecurity bieden een nuttig kader voor het houden van toezicht, maar kunnen ook leiden tot schijnzekerheid. Commissarissen moeten een verificatie doen van de toepassing, vragen stellen tijdens vergadering of bedrijfsbezoek en nagaan hoe intensief company policies worden ingevoerd, stelt Willem Friso, director en non-executive van Ahlström Capital.
Een commissaris krijgt veel informatie te verwerken. De toegestuurde informatie geeft een bepaald beeld, maar niet alles is wat het lijkt.
Stelt u zich voor dat u uw eerste commissariaat gaat bekleden bij een bedrijf in de maakindustrie. Het bedrijf valt niet onder het structuurregime: het aantal medewerkers is 200 en er is een ondernemingsraad aanwezig, maar het geplaatste kapitaal van 5 miljoen euro ligt onder het criterium van 16 miljoen euro voor een structuurvennootschap. Het bedrijf heeft in de statuten een raad van commissarissen opgenomen. Het bedrijf heeft geen eigen juridische dienst en koopt die ondersteuning in.
U wilt uw eerste commissarissenvergadering goed voorbereiden en bestudeert de toegestuurde informatie met bijlagen, waaronder een aantal bedrijfsbeleidsregelingen te weten: bedrijfsreglement, gedragscode, regeling vertrouwenspersoon en een reis- en verblijfsregeling. In uw voorbereiding stelt u zich de volgende vragen:
-
Zijn bedrijfsbeleidsregelingen (ofwel company policies) waardevol voor het uitoefenen van goed toezicht? Of bestaat de kans dat deze een vorm van schijnzekerheid bieden? En hoe daar dan mee om te gaan?
- Wat is eigenlijk een company policy en wat zijn de hot topics op dit gebied?
- Over welke hot topics (en waarom) zal ik vragen voorbereiden en welke vragen?
Do’s en don’ts
Een company policy is een set van richtlijnen die binnen een organisatie gevolgd moeten worden om een specifiek doel te bereiken. Deze richtlijnen bevatten doorgaans bindende afspraken, do’s en don’ts en limieten.
Voorbeelden van company policies:
- Bedrijfsreglement
- Arbeidsvoorwaardenreglement
- Gedragscode
- Insider-richtlijnen
- Richtlijnen gelijke behandeling
- Reis- en verblijfsregeling
- Bedrijfsautoregeling
- Regeling gebruik zakelijke telefoon
- Richtlijnen thuiswerk
- Richtlijnen gebruik internet en e-mail
- Richtlijnen gebruik social media
- Klokkenluidersregeling
- Regeling vertrouwenspersoon
- Regeling gebruik gezichtsmaskers gedurende COVID-19
- Klachtenregeling
- Anti-omkopingregeling en anti-corruptieregeling
- Compliance-regeling mededinging
Verder zijn er allerlei varianten denkbaar, waarbij company policies zijn opgenomen in een overkoepelend reglement, zoals in het bedrijfsreglement of in de gedragscode. Denk hierbij bijvoorbeeld aan richtlijnen voor de bescherming van persoonsgegevens, mensenrechten, mediacontacten, gezondheid en welzijn, die ondergebracht kunnen zijn in een gedragscode.
Rapportage en transparantie
Company policies kunnen fungeren als basis van het bedrijfsbeleid. Gedocumenteerde company policies maken het verifiëren makkelijker omdat de daarin opgestelde richtlijnen kunnen worden bevraagd of tijdens bedrijfsbezoeken kunnen worden waargenomen. Er is een kans op schijnzekerheid: naarmate er over het toepassen van company policies (of nog beter over afwijkingen daarvan) wordt gerapporteerd – periodiek of in het jaarverslag – wordt een beter beeld verkregen over de daadwerkelijke toepassing ervan. Ook de transparantie en het gemak waarmee de company policies van een bedrijf gevonden kunnen worden, zegt iets over het belang dat het bestuur eraan hecht.
Haalplicht van de commissaris
Het hebben of invoeren van company policies kan dus schijnzekerheid introduceren. Bij twijfel hierover dient de commissaris informatie in te winnen. In de Nederlandse Corporate Governance Code wordt dit als volgt verwoord:
2.4.8 Verantwoordelijkheid commissarissen voor inwinnen informatie
De raad van commissarissen en iedere commissaris afzonderlijk heeft een eigen verantwoordelijkheid om van het bestuur, de interne audit functie, de externe accountant en – indien aanwezig – het medezeggenschapsorgaan de informatie in te winnen die de raad van commissarissen nodig heeft om zijn taak als toezichthoudend orgaan goed te kunnen uitoefenen.
2.4.9 Inwinnen informatie bij functionarissen en externen
Indien de raad van commissarissen dit geboden acht, kan hij informatie inwinnen van functionarissen en externe adviseurs van de vennootschap. De vennootschap stelt hiertoe de benodigde middelen ter beschikking. De raad van commissarissen kan verlangen dat bepaalde functionarissen en externe adviseurs bij zijn vergaderingen aanwezig zijn.
Risico schijnzekerheid mitigeren
Hieronder enkele alternatieven van mitigerende maatregelen met betrekking tot het risico van schijnzekerheid van company policies:
- Laat het bestuur per company policy de risico’s van het niet-naleven ervan inventariseren. Laat het bestuur vervolgens de risicobereidheid bepalen en afhankelijk daarvan aangeven welke controlepunten moeten worden ingebouwd om vast te kunnen stellen of de company policy wordt nageleefd.
- Laat het bestuur een overkoepelend beleid formuleren waarin wordt afgesproken hoe company policies worden geïmplementeerd en hoe deze worden geaudit op naleving.
- Neem het naleven van company policies op in een periodieke audit.
Ontwikkelingen in company policies
Maatschappelijk verantwoord ondernemen (ESG beleid) en de 10 principes (gerelateerd aan mensenrechten, arbeid, milieu en corruptiebestrijding) van het UN Global Compact zijn vandaag de dag belangrijke onderwerpen in de boardroom. Maar ook IT (cyberveiligheid!) en de daarmee samenhangende company policies vormen een steeds belangrijker wordend punt van aandacht. Drie hot topics:
- diversiteit en inclusie
- duurzaamheid, met name de opwarming van de aarde
- cyberveiligheid
Is er een company policy voor IT?
Een goed onderwerp om aan te snijden in een overleg van de rvc met het bestuur is het al dan niet hebben van company policies, gerelateerd aan IT. Dit onderwerp verdient voldoende aandacht van commissarissen. Zo wordt volgens het Digital Trust Center (onderdeel van het ministerie van EZ & Klimaat) een op de vijf bedrijven in Nederland slachtoffer van een cyberaanval. Een recent voorbeeld hiervan is het platleggen van alle productiefaciliteiten van industrieel concern VDL.
Het stellen van vragen over IT-risico’s kan een discussie op gang brengen, die hopelijk leidt tot meer inzicht en tot nieuwe vragen. Daarbij kan gedacht worden aan vragen als:
- Hoe volwassen is onze IT afdeling?
- Hoe goed is de informatiebeveiliging ingericht?
- Kunnen (nog nader te bepalen) company policies bijdragen aan informatiebeveiliging?
Effectief instrument, maar…
Concluderend kan gesteld worden dat company policies zonder enige twijfel nuttig en behulpzaam zijn bij het houden van goed toezicht. Ze bieden richtlijnen en kaders en kunnen iets zeggen over de volwassenheid van de organisatie. Omdat company policies onderdeel zijn van het bedrijfsbeleid, vormen ze een effectief instrument voor commissarissen. De company policies moeten dan ook bij de commissarissen bekend zijn én ze moeten aansluiten op de hogere doelen van de organisatie. Als het laatste niet het geval lijkt te zijn, dan zou dat met het bestuur besproken moeten worden.
…verifieer de toepassing
Om te voorkomen dat de door de organisatie ingevoerde company policies schijnzekerheid introduceren, is het aan te bevelen om een verificatie uit te voeren van de daadwerkelijk praktische invulling en toepassing van ervan. Daarnaast kunnen commissarissen er relevante vragen over stellen tijdens rvc-vergaderingen of tijdens bedrijfsbezoeken. Ook kan bijvoorbeeld worden nagegaan hoe company policies worden ingevoerd. Gebeurt dit bijvoorbeeld door middel van workshops, waarbij alle werknemers worden betrokken en waar aan de hand van cases uit de praktijk over dilemma’s kan worden gediscussieerd? Of wordt het een directiemededeling met verwijzing naar een document op het prikbord? De ervaring leert dat het introduceren van regelingen door middel van workshops beter beklijft.
Vertrouwen én controle
‘Vertrouwen is goed, maar controle is beter’: met die gedachte in het achterhoofd, moet de commissaris achterhalen of company policies daadwerkelijk worden toegepast en in de organisatie leven. Vertrouw niet blindelings op het bestaan van bedrijfsbeleidsregelingen of de informatie van het bestuur daarover: niet alles hoeft te zijn wat het lijkt. Die richtlijn geldt zowel voor toezichthouders die hun eerste commissariaat gaan bekleden, als voor ervaren toezichthouders.
Willem Friso schreef dit artikel als eindopdracht voor de Leergang Board Potentials van NR - de governance expert.
Klik hier voor contact met Willem Friso.
Download hieronder de bronnenlijst.