DE NYE CORPORATE GOVERNANCE ANBEFALINGER: FOKUS PÅ RISIKOSTYRING OG WHISTLEBLOWER-ORDNINGER
NASDAQ OMX Copenhagen har den 31. maj 2010 godkendt Komitéen for god Selskabsledelses nye anbefalinger for god selskabsledelse. Anbefalingerne er derfor nu en del af regelsættet for børsnoterede selskaber. Anbefalingerne blev omtalt i Kromann Reumerts nyhedsbrev i april 2010. Kromann Reumert sætter fokus på de nye anbefalinger i en serie nyhedsbreve, og tidligere nyhedsbreve har omhandlet ledelsens vederlag (d. 1. juni 2010) og ledelsens sammensætning og organisering (d. 2. juli 2010). I dette nyhedsbrev har vi fokus på anbefalingerne vedrørende risikostyring og whistleblower-ordninger.
NASDAQ OMX Copenhagen har den 31. maj 2010 besluttet, at Komitéen for god Selskabsledelses nye Anbefalinger for god selskabsledelse skal indgå som en del af regelsættet for børsnoterede selskaber. De nye anbefalinger skal anvendes for regnskabsår, der starter den 1. januar 2010 eller senere. Det betyder, at børsnoterede selskaber, der har kalenderåret som regnskabsår, første gang vil skulle oplyse, om de følger anbefalingerne i forbindelse med aflæggelse af årsrapporten for 2010. Anbefalingerne retter sig først og fremmest mod danske selskaber, som har aktier optaget til handel på et reguleret marked i Danmark, dvs. NASDAQ OMX Copenhagen A/S og Dansk AMP.
Anbefalingerne for god selskabsledelse er, som navnet indikerer, alene anbefalinger og er som sådan ikke bindende. Børsnoterede selskaber skal dog oplyse, om de følger anbefalingerne eller forklare, hvorfor de ikke gør det (det såkaldte ”følg eller forklar”- princip).
HVAD ER DET NYE OM RISIKOSTYRING OG WHISTLEBLOWER-ORDNINGER?
Identifikation af risici
Effektiv risikostyring og intern kontrol er en forudsætning for, at bestyrelsen og direktionen hensigtsmæssigt kan udføre de opgaver, der påhviler dem. Det anbefales derfor, at bestyrelsen (eller hvor selskabet i stedet har et tilsynsråd, direktionen) mindst én gang årligt identificerer de væsentligste forretningsmæssige risici, der er forbundet med realiseringen af selskabets strategi og overordnede mål, samt risici i forbindelse med regnskabsaflæggelsen.
Anbefalingen er opstrammet, idet det tidligere alene var anbefalet, at de væsentligste forretningsmæssige risici blev identificeret i forbindelse med udarbejdelse af selskabets strategi og overordnede mål. Der er nu øget fokus på identifikation af risici, herunder at dette sker mindst en gang årligt.
Anbefalingen går videre, end det der kræves efter årsregnskabsloven, som alene angår risikostyring og intern kontrol i relation til regnskabsaflæggelsen, og anbefaler, at bestyrelsen påser, at der er en effektiv risikostyring og effektiv intern kontrol for hele virksomheden.
Det anbefales endvidere, at direktionen løbende rapporterer til bestyrelsen om udviklingen inden for de væsentlige risikoområder og overholdelsen af eventuelle vedtagne politikker med henblik på, at bestyrelsen kan følge udviklingen og træffe de nødvendige beslutninger. Det er i kommentaren til anbefalingen anført, at rapporteringen fra direktionen bl.a. kan omfatte tiltag og handlingsplaner, som kan acceptere, eliminere, øge, reducere eller dele disse risici. Kommunikationen herom mellem direktionen og bestyrelsen er helt afgørende for bestyrelsens arbejde med risikostyring.
Børsnoterede selskaber bør tilpasse forretningsordenen, således at de væsentligste forretningsmæssige risici identificeres mindst en gang årligt, og rapporteringen fra direktionen til bestyrelsen herom behandles.
Åbenhed om risikostyring
Udover identifikation af risici påpeger anbefalingerne også, at det er væsentligt, at disse kommunikeres. Det anbefales derfor, at selskabet i ledelsesberetningen redegør for selskabets risikostyring vedrørende forretningsmæssige risici.
Denne oplysning supplerer den lovpligtige redegørelse i ledelsesberetningen om virksomhedens interne kontrol- og risikostyringssystemer i forbindelse med regnskabsaflæggelsesprocessen (den finansielle rapportering).
Tidligere gik anbefalingen på, at selskabet i sin årsrapport oplyste om selskabets risikostyringsaktiviteter. Den skærpede anbefaling bør give bestyrelsen og direktionen anledning til at vurdere, om beskrivelsen af selskabets risikostyring er tilstrækkeligt fyldestgørende.
Whistleblower-ordninger
Whistleblower-ordninger bliver mere og mere udbredte blandt danske virksomheder, og anbefalingerne indeholder nu en anbefaling om, at bestyrelsen tager stilling til, om virksomheden skal etablere en whistleblower-ordning. Anbefalingen går alene på, at bestyrelsen skal beslutte, om ordningen skal etableres, men trenden er, at flere og flere virksomheder får en ordning.
FAKTA
Whistleblower-ordninger giver ansatte, bestyrelsesmedlemmer og andre med direkte tilknytning til virksomheden mulighed for at indberette mistanke om uregelmæssigheder og ulovligheder til ledelsen. Whistleblower-ordninger indebærer typisk behandling af følsomme personoplysninger, herunder oplysninger om mulige strafbare forhold mv., og ordningerne skal derfor som altovervejende hovedregel anmeldes til og godkendes af Datatilsynet forud for implementering.
Inden en whistleblower-ordning etableres, skal bestyrelsen især tage stilling til følgende:
- Hvilke selskaber skal være omfattet?
Hvis selskabet er en koncern, skal alle koncernens selskaber så være omfattet og hvilket selskab skal i givet fald være ansvarlig for behandlingen af de oplysninger, der kommer ind via ordningen?
- Hvilke forseelser skal kunne indberettes?
Virksomheder må efter Datatilsynets retningslinjer alene indsamle oplysninger om alvorlige forseelser – eller mistanke herom – der kan få betydning for koncernen/selskabet som helhed, eller som kan have afgørende betydning for enkeltpersoners liv eller helbred, eksempelvis mistanke om alvorlig økonomisk kriminalitet som bestikkelse, bedrageri, dokumentfalsk og lign. Miljøforurening, alvorlige brud på arbejdssikkerheden samt andre alvorlige forhold, der retter sig mod en ansat, f.eks. vold eller seksuelle overgreb, må dog også indsamles.
- Hvem skal kunne indberette til ordningen?
Udgangspunktet er, at medarbejdere og bestyrelsesmedlemmer kan foretage indberetning til whistleblower-ordninger, men Datatilsynet har for nylig udvidet kredsen til også at omfatte andre personer med tilknytning til virksomheden, eksempelvis samarbejdspartnere og formentlig også i et vist omfang tidligere ansatte.
- Hvem skal der kunne indberettes om?
Der kan efter Datatilsynets retningslinjer alene indberettes om personer med tilknytning til koncernen / selskabet, f.eks. ansatte, bestyrelsesmedlemmer, revisorer, advokater og leverandører.
- Hvordan skal indberetning ske?
Eksempelvis indberetning via mail, telefon eller intranet.
- Hvem skal modtage og vurdere indberetningerne?
Det anbefales, at rapporteringen fra en whistleblower-ordning forankres i revisionsudvalget.
- Skal ordningen være anonym?
Datatilsynet tillader anonyme anmeldelser og tendensen synes at være, at anmelderne tilbydes anonymitet.
På det mere praktiske plan skal bestyrelsen tage stilling til, om virksomheden selv vil administrere whistleblower-ordningen, eller der skal antages en service provider til at administrere ordningen, eller dele af den, på virksomhedens vegne.
Selve implementeringen af ordningen skal endelig tage højde for udførlig (og betryggende) information til virksomhedens medarbejdere, politikker og regler for håndtering og opfølgning af anmeldelser samt - på det HR-mæssige plan - evt. orientering af den anmeldte medarbejder og eventuelle ansættelses- og strafferetlige konsekvenser af anmeldelsen.
HVAD NU?
På grund af ”følg eller forklar”-princippet vil de børsnoterede selskaber i den kommende tid skulle forholde sig til, i hvilket omfang de vil følge de nye anbefalinger, og det må forventes, at hovedparten af selskaberne så vidt muligt tilpasser sig ændringerne.
Der vil være behov for, at selskaberne gennemgår deres eksisterende risk management politikker for at kortlægge eventuelle behov for ændringer, herunder tilpasning af bestyrelsens forretningsorden. Endvidere vil der være anledning til at overveje indførelse af en whistleblower-ordning.
FAKTA
De første anbefalinger for god selskabsledelse i Danmark kom i 2001. Der er sket opdateringer i 2005 og 2008. Komitéen for god Selskabsledelse har udarbejdet helt nye anbefalinger, der blev offentliggjort i april 2010, som NASDAQ OMX Copenhagen den 31. maj 2010 har besluttet skal indgå som en del af regelsættet for børsnoterede selskaber.