Bestuurders dienen de capaciteiten te hebben die nodig zijn voor het vervullen van de bestuurstaak. Steeds luider klinkt het geluid dat ‘digitaal onderlegd zijn’ een cruciale capaciteit is, of zou moeten zijn, om de taak van bestuurder (goed) te kunnen vervullen.
Meer en meer digitale kennis is van belang voor basiswerkzaamheden. Bedrijven stappen over naar een volledig digitale werkomgeving, vergaderingen vinden steeds vaker ‘online’ plaats en bestanden worden versleuteld verstuurd. Het houdt echter niet op bij deze basiskennis. Meer specifieke digitale kennis lijkt een standaardvereiste te zijn geworden voor behoud en groei van ondernemingen. MIT school of Management’s Center for Information Systems Research (CISR) stelt dat digitaal kundige ondernemingen efficiënter werken, meer waard zijn op de beurs en dat hun omzet bijna 50 procent harder groeit dan die van bedrijven die niet digitaal slim zijn. Het is de vraag of bestuurders en commissarissen van beursgenoteerde vennootschappen voldoende digitaal onderlegd zijn.
Verantwoordelijkheid bestuurder en commissaris
De bestuurders spelen een belangrijke rol bij de beoordeling van de kansen en risico’s die technologische ontwikkelingen met zich meebrengen. Al eerder is dit geconstateerd en vastgelegd bij de herziening van de Nederlandse Corporate Governance Code van 2016 (NCGC). Hierin is opgenomen dat zowel de raad van bestuur (RvB) als raad van commissarissen (RvC) snel moeten kunnen inspelen op de kansen en risico’s die technologische innovaties bieden.
De impact van technologische ontwikkelingen moet worden meegenomen in het zogenoemde interne risicobeheersings- en controlesystemen. Deze verantwoordelijkheid ligt hoofdzakelijk bij de RvB. Daarbij dient de RvC ook een belangrijk aandeel te hebben in het bepalen van de digitale strategie. In de NCGC is dan ook neergelegd dat ‘in ieder geval de nodige affiniteit en expertise aanwezig is ten aanzien van kennis over technologische innovatie’. Tot slot is er een aanbeveling gedaan dat minstens één commissaris moet beschikken over specifieke technologische deskundigheid.
Een gebrek aan datageletterdheid wreekt zich in de meeste organisaties: Kpi’s die een doel op zich zijn, slaan de plank mis
Risicobeheersing
In Nederland kan het risicobeheersings- en controlesysteem worden ingedeeld aan de hand van verschillende stappen:
- het bestuur moet een risicobeleid vastleggen in lijn met de operationele en strategische doelstellingen van de vennootschap (met hierin verwerkt de risicobereidheid, reikwijdte van het beleid, operationele processen en bijbehorende taken en verantwoordelijkheden binnen alle niveaus);
- de mogelijke risico’s moeten geïdentificeerd, geanalyseerd en geprioriteerd worden; en
- het bestuur moet een besluit nemen over de gewenste risicoreactie en beheersmaatregelen.
Het is duidelijk dat een zekere mate van digitale kennis helpt bij het doorlopen van deze stappen.
Cybersecurity
Cybersecurity is een steeds belangrijker onderwerp. Logisch, want de groei van cybercriminaliteit is explosief (bijna 45 procent het afgelopen jaar). Bij het bepalen van het risicobeheersings- en controlesysteem is de implementatie van cybersecurity van groot belang. Bij de implementatie van een cybersecurity-strategie moet het bestuur bepalen wat de ‘digitale kroonjuwelen’ van de vennootschap zijn. Deze ‘vertegenwoordigen de hoogste waarde voor een organisatie vanuit strategisch, operationeel, financieel, juridisch en reputatie perspectief’, ook wel de ‘meest vitale informatiebronnen, technologieën en processen van een organisatie’. Kroonjuwelen kunnen van alles zijn. Voor het ene bedrijf is het een recept, en voor een ander bedrijf het klantenbestand of een bepaalde digitale functie. Daarnaast is het raadzaam om een draaiboek op te stellen voor het geval van een cyberaanval.
Communicatie met en informatie aan bestuurders en commissarissen
Essentieel is dat een steeds grotere groep meent dat niet één bestuurder maar juist de gehele top van de vennootschap doordrongen dient te zijn van de gedachte dat een digitale strategie onontbeerlijk is. Vaak zien we dit niet in de praktijk. Bedrijven doen er bijvoorbeeld goed aan om een chief information officer (cio) aan te stellen. De portefeuille van de cio gaat niet over het omgaan met de basisfuncties uit de inleidng: iedereen, zo ook bestuurders en commissarissen, moet zich dit eigen maken. Ook een focus op de technische aspecten en het beschermen van bestaande IT-systemen lijkt onvoldoende. Steeds belangrijker wordt het strategisch digitaal beleid.
Ondanks dat de verantwoordelijkheid voor een behoorlijke taakvervulling bij de RvB ligt en het toezicht hierop bij de RvC, is volledige controle van alle werkzaamheden door deze organen onmogelijk. Beide organen zullen grotendeels moeten vertrouwen op commissies, werkgroepen en/of adviseurs die aan hen zullen rapporteren en zijn hiervan afhankelijk. Een efficiënte communicatie- en informatiestructuur met een adequate probleemsignalering is daarom essentieel.
Het vertrouwen op werknemers en/of adviseurs is niet zonder risico: wanneer een bestuurder een besluit neemt op grond van een onvolledig of verkeerd advies, blijft de bestuurder hiervoor verantwoordelijk. Mogelijk zou een bestuurder aansprakelijk kunnen worden gesteld. Alhoewel de lat voor bestuurdersaansprakelijkheid hoog ligt, helpt het niet als het bestuur geen aandacht heeft gegeven aan digitalisering en zichzelf niet heeft laten scholen, en zo op geen enkele wijze kritisch heeft kunnen kijken naar de adviezen en niet in staat was deze adviezen te bediscussiëren.
Aan de slag
Idealiter bestaan de RvB’s en RvC’s uit meerdere bestuurders en/of commissarissen met adequate digitale kennis. Vennootschappen kunnen de digitalisering en technologische innovatie niet negeren en moeten dit integreren in het bestaande interne beheersings- en controlesysteem van de vennootschap en een goede informatiestructuur opzetten. Diverse onderzoekscommissies erkennen in meerdere studies dat enige affiniteit met en kennis van digitalisering zou moeten behoren tot de basisvereisten voor bestuurders. Schiet het bestuur ernstig tekort in het vaststellen en volgen van zijn digitale strategie, zoals onder andere de bescherming van de kroonjuwelen door cybersecuritybeleid, dan kan dit onder omstandigheden leiden tot aansprakelijkheid van bestuurders. Wij volgen deze ontwikkelingen op de voet, en zijn benieuwd hoe dit de komende jaren de digitale ontwikkeling de taakvervulling van de bestuurders zal inkleuren.
Auteurs: Arnout Rodewijk en Daniëlle Kronenburg zijn advocaat bij HVG Law LLP (arnout.rodewijk@hvglaw.nl en danielle.kronenburg@hvglaw.nl)
Dit artikel is verschenen in cm: 2022, afl. 9.
Lees hier meer artikelen uit de rubriek Ondernemingsrecht
