De rol van de raad van bestuur in de naleving van bedrijfsregels verandert snel

Als het gaat om het toezicht van een raad van bestuur op complianceprogramma's, is het niet langer business as usual.

In 2019 heeft een rechtbank in Delaware de norm voor toezicht door de raad van bestuur gewijzigd van "aanhoudend of systematisch falen van de raad van bestuur om toezicht uit te oefenen" naar een proactieve vereiste dat bestuurders "te goeder trouw moeten streven naar de implementatie van een toezichtsysteem en het monitoren daarvan" – een vereiste die aansluit bij de compliance-update van het Amerikaanse ministerie van Justitie (DOJ) van afgelopen juni, waarbij het toezicht van het management op compliance wordt beoordeeld op basis van onder andere hun vermogen om zich te concentreren op risico's die uniek zijn voor hun bedrijf, gegevens te gebruiken om programma's te testen en de effectiviteit ervan te volgen, en de ontwikkeling van genoemde programma's aan te tonen.

"In het verleden hanteerden rechtbanken een zeer strenge veronderstelling dat bestuursleden hun fiduciaire verplichtingen bij het uitoefenen van hun toezichthoudende functie niet hadden geschonden", aldus Beth I. Z. Boland, voorzitter van Foley's Securities Enforcement & Litigation-praktijk, tijdens een panel dat werd gehouden als onderdeel van de jaarlijkse New Directors Institute (NDI)-conferentie van het kantoor. Boland was medeorganisator van het panel, samen met haar collega bij Foley en voormalig federaal aanklager Rohan A. Virginkar. Mary Huser, vicepresident en adjunct-hoofd juridische zaken bij Airbnb, nam deel als speciale gast.

"Maar in het afgelopen jaar is dat veranderd", vervolgt Boland. "Besturen moeten proactief de juiste vragen stellen, anders lopen ze het risico op verscherpt toezicht door het Amerikaanse ministerie van Justitie, collectieve rechtszaken door aandeelhouders of afgeleide rechtszaken door aandeelhouders."

Een reeks flash polls die tijdens het panel werden gehouden, op basis van reacties van bijna 40 deelnemers – waaronder GC's, CEO's, senior executives en bestuursleden – suggereren dat sommige bedrijven op dit vlak nog werk aan de winkel hebben. Zo zei slechts 31% veel vertrouwen te hebben in de kracht van de bedrijfsrisicobeoordeling van hun organisatie, en minder dan de helft zei hetzelfde over de interne complianceprogramma's van hun bedrijf.

Gelukkig boden Boland, Virginkar en Huser nuttige richtlijnen voor bedrijfsleiders en raden van bestuur. Hier zijn vijf belangrijke punten om mee te nemen.

Evolutie, evolutie, evolutie

In het huidige landschap bestaat er geen 'eenmalige oplossing' als het gaat om complianceprogramma's. In plaats daarvan verwacht het Amerikaanse ministerie van Justitie steeds vaker dat het senior management aantoont (en documenteert) hoe een bepaald bedrijf zijn programma voortdurend herziet op basis van risicobeoordelingen, audits, interne beschuldigingen van wangedrag, externe factoren en/of branchegerelateerde kwesties.                        

Dit betekent dat gegevens worden gebruikt om de effectiviteit bij te houden, dat trainingen, beleid en risico-informatie indien nodig worden bijgewerkt, dat periodieke veranderingen in zowel binnenlandse als buitenlandse vereisten worden gemonitord en, cruciaal, dat de focus ligt op het 'waarom' achter alle wijzigingen die in complianceprogramma's worden aangebracht.

Bovendien moet deze evolutie van bovenaf worden aangestuurd, op basis van het belang van meetcriteria die specifiek verband houden met de rol van het management bij het verbeteren van interne nalevingsdoelstellingen. Naast audits/risicobeoordelingen/monitoringpraktijken (65%) werden door een meerderheid van de deelnemers ook andere meetcriteria geselecteerd, waaronder 'Reactie van het managementteam op klachten en onderzoeken' en 'Toon aan de top door het management', met respectievelijk 60% en 53%.

Andere belangrijke statistieken waren onder meer compliance-trainingen en voltooiingspercentages (38%) en updates/herzieningen van het compliancebeleid (23%).

Besturen moeten betrokken worden bij het definiëren en vaststellen van risicobeoordelingen.

Slechts 20% van de deelnemers gaf aan dat hun raad van bestuur "in grote mate" betrokken was bij het vaststellen van de risicobeoordelings- en monitoringprocessen van hun organisatie.

Volgens de huidige normen moet dat wellicht veranderen. Daartoe stellen panelleden voor om te kijken naar de ongeveer 100 belangrijkste risicogebieden op ondernemingsniveau en vervolgens te beslissen welke prioriteit krijgen op bestuursniveau en welke gebieden kunnen worden toegewezen aan andere leidinggevenden in het bedrijf (voor elk gebied moet er zowel een leidinggevende als een operationele risicomanager zijn). Deze risicomanagers zijn verantwoordelijk voor het verstrekken van meetgegevens en het rapporteren aan het bestuur en de door het bestuur aangestelde risicocommissie op een regelmatige driemaandelijkse basis om continu toezicht op de voortgang te waarborgen.

Een dergelijk proces zorgt niet alleen voor een solide 'toon aan de top', maar verdeelt ook de risicodeling over het hele bedrijf, zodat tal van personen belang hebben bij het succes van het programma.

Geen enkel nalevingsprogramma is perfect – concentreer u dus op effectieve reacties

Door het snelle tempo en de onvoorspelbaarheid van de huidige zakenwereld is het onmogelijk om alle compliancekwesties te voorkomen. Dit geldt met name gezien de wijdverbreide #MeToo-beschuldigingen en hernieuwde oproepen tot raciale rechtvaardigheid. Er is een reden waarom uit het CEO Success-onderzoek van PwC bleek dat ethische misstappen voor het eerst in de bijna twintigjarige geschiedenis van het onderzoek verantwoordelijk waren voor meer gedwongen vertrekken van CEO's (38%) dan financiële of bestuursgerelateerde reorganisaties.

Met deze kennis in het achterhoofd is het van cruciaal belang dat een bedrijf snel en effectief kan reageren wanneer er iets misgaat – en dat betekent dat het bestuur hierbij betrokken moet zijn. Het management zou bijvoorbeeld vragen moeten stellen als: Wanneer en hoe wordt het bestuur op de hoogte gebracht van klachten over seksuele intimidatie of discriminatie op grond van ras? Heeft het bestuur toegang tot informatie over eerdere klachten en de uitkomst daarvan? Wordt het bestuur onmiddellijk op de hoogte gebracht als er een beschuldiging wordt geuit tegen de CEO of een lid van het senior managementteam?

En op het bredere vlak van de bedrijfscultuur: is er een hotline die mensen daadwerkelijk weten te vinden en te gebruiken? Is deze effectief (d.w.z. worden klachten snel en redelijk beoordeeld)? Zouden mensen er daadwerkelijk naar bellen?

Gelukkig antwoordde meer dan twee derde (76%) bevestigend op de vraag of hun raad van bestuur snel en daadkrachtig zou optreden als onze CEO zou worden beschuldigd van ethisch wangedrag; slechts 5% zei dat dit niet het geval zou zijn.

Zorg ervoor dat besturen divers zijn en goed geïnformeerd over belangrijke risicogebieden.

In het huidige handhavingsklimaat is het niet voldoende dat raden van bestuur actief betrokken zijn bij compliance – ze moeten ook
over de nodige kennis en ervaring beschikken om de juiste vragen te stellen aan het management en de antwoorden effectief te evalueren. Regelmatig contact met de algemeen juridisch adviseur, compliance officer, interne auditors en anderen van het bedrijf is in dit opzicht van cruciaal belang.

Om zowel voldoende onafhankelijkheid als de nodige institutionele kennis te garanderen, is het ook belangrijk om op elk moment een mix van nieuwere en langere tijd zittende bestuursleden te hebben.

Schakel de hulp in van betrouwbare, onafhankelijke derde partijen

Het kan menselijk zijn om de rijen te sluiten wanneer er een fout wordt gemaakt, of het nu gaat om een CEO of een andere senior executive. Maar besturen moeten een stap terug kunnen doen – en eerlijk en legitiem kunnen zeggen: "We gaan een onafhankelijk onderzoek instellen naar
deze situatie."

In dit verband zijn de kwaliteit en onafhankelijkheid van deze derde partijen – of het nu gaat om externe adviseurs, accountants of anderen – van cruciaal belang om de overheid de evaluatie als geloofwaardig te laten beschouwen. 

Dit zijn slechts enkele van de vele inzichten die Foley tijdens zijn recente paneldiscussie naar voren bracht. Andere praktische overwegingen met betrekking tot compliance zijn bijvoorbeeld:

• Het beoordelen van arbeidscontracten en aansprakelijkheidsverzekeringen voor werkgevers,
• Implicaties van fusies en overnames voor het due diligence-onderzoek van een potentiële koper, en
• de noodzaak om meer aandacht te besteden aan opvolgingsplanning.

Ondanks het steeds veranderende terrein en de talloze complexiteiten die een rol spelen, waren de panelleden het eens over twee leidende principes: houd het simpel, zodat je het programma daadwerkelijk in je hele organisatie kunt uitvoeren; en doe bovenal het juiste.