公司治理框架是公司监督运作的操作手册。它规定了谁拥有权力、如何做出决策、监控哪些内容以及如何追究责任。它通过清晰的规则、角色、流程和控制措施将董事会、管理层、所有者和其他利益相关者凝聚在一起,确保企业合法、合乎道德且高效地运作。简而言之:它是确保战略、风险、合规和文化协调一致的蓝图。
本指南将帮助您了解治理框架的重要性、其背后的原则和支柱,以及您所需的构建模块——从董事会结构(单层与双层)、决策权到风险与内部控制模型。我们将探讨道德与举报、利益相关者参与和报告义务;比较领先标准;并阐述荷兰/欧盟的具体规定(荷兰法典、第二卷BW、CSRD、GDPR、NIS2、欧盟人工智能法案)。指南将提供分步计划、必备文件、模板和清单、关键绩效指标 (KPI) 以及常见陷阱,以便您自信地设计或评估您的框架。
治理框架为何重要
当决策复杂且风险高昂时,公司治理框架可以避免歧义,保护价值,并赢得利益相关者的信任。它设定决策权和监督机制,使董事会能够及时做出基于证据的选择;嵌入风险管理和内部控制措施以避免危机;并推动报告的透明度和问责制——这对于投资者信心和估值至关重要。它还通过明确角色、道德规范和审计,降低监管和合规性,从而遏制不当行为。 诉讼风险然而,近一半的公司仍然缺乏正式的治理程序,在合规性、文化和控制方面存在差距。因此,建立正确的框架至关重要。
善治的核心原则和支柱
强有力的治理取决于一些不容置疑的原则。这些原则指导着公司治理框架如何平衡权力、管理风险,并向董事会、管理层和委员会全面履行职责。在起草政策、章程和控制措施时,务必将这些原则置于首位——它们不仅影响决策、报告和投资者信心,也影响着行为。
- 公平: 决策中公平对待利益相关者并保护利益冲突。
- 透明度: 及时、准确的披露和明确的决策理由。
- 责任: 董事会和管理层的行为符合道德规范, 遵守法律.
- 问责: 明确角色、独立监督和违规后果。
- 风险管理: 系统识别、缓解和控制保证。
这些支柱转化为具体的结构、流程和披露——我们接下来将介绍的组成部分。
公司治理框架的主要组成部分
您的公司治理框架是一个由多个部分组成的系统。它需要明确的权限、可预测的流程和独立的验证。以下组成部分构成了一个实用的基准,适用于从中小企业到上市集团的企业。
- 宗旨和指导原则: 锚定决策、道德和利益相关者的期望。
- 董事会结构和章程: 组成、独立性、职责、委员会职权范围。
- 角色、决策权和授权: 谁决定、谁执行、升级路径。
- 政策和行为准则: 冲突、反贿赂、隐私、网络安全、 采购.
- 风险管理和内部控制: 识别、评估、减轻和监控关键风险。
- 审计和鉴证: 内部审计、外部审计、控制测试和补救。
- 报告和披露: 及时提供财务、薪酬和可持续性信息。
- 利益相关者的参与和沟通: 年度股东大会、投资者、工会、监管机构、员工。
董事会结构和角色:单层与双层、委员会和职责
您的公司治理框架可以采用单层或双层结构。在单层董事会中,高管和独立非执行董事共同组成一个董事会。在双层模式中,管理委员会负责运营,而独立的 监督委员会 监管层——这在德国和一些欧洲国家很常见,而英美体系则倾向于单层监管。明确的独立性和职责至关重要。
- 审计委员会: 财务报告的完整性、内部控制和外部审计师监督。
- 风险委员会: 企业风险识别、缓解和监控。
- 薪酬委员会: 高管薪酬和激励与长期战略保持一致。
- 提名/治理委员会: 董事会的组成、独立性、继任和绩效评估。
- 可持续发展/ESG委员会: 监督 ESG 风险和披露,包括符合 CSRD 的报告。
决策权、授权和责任(RACI 和批准)
决策权明确了谁在何时决定什么,从而避免返工、影子权力和合规性偏差。务实的公司治理框架通过清晰的授权、RACI 角色和审批门槛,将权力从董事会映射到管理层。力求在控制的同时提高速度:减少例行通话,将战略性或高风险事项留给董事会处理,并记录升级情况。
- 关键流程的 RACI: 列出负责人、义务人、咨询人、知情人。
- 权力下放: 董事会、首席执行官和领导人的日程安排都带有财务和非财务限制。
- 批准矩阵: 一张包含门槛、共同签署规则和委员会/董事会签字的表格。
- 升级和记录保存: 决胜局、冲突回避、会议记录和决策备忘录以供审计。
风险管理和内部控制(COSO、ISO 31000 和三线模型)
风险管理和内部控制是公司治理框架的引擎。它们将原则转化为日常纪律,并为董事会的决策提供可靠的保障。以公认的方法(COSO、ISO 31000 和三线模型)为基础,确保整个组织的角色清晰、控制措施适度且报告保持一致。
- COSO(内部控制): 设计控制环境,使风险评估与目标保持一致,将控制活动嵌入关键流程,并确保信息、沟通和监控形成闭环。
- ISO 31000(风险管理): 定义背景、评估和处理风险、设定风险偏好/容忍度,并保持循环迭代并与战略和运营相结合。
- 三线模型(保证): 第 1 线管理层拥有并管理风险;第 2 线风险/合规制定政策和挑战;第 3 线内部审计为董事会提供独立保证。
- 投入使用: 批准风险偏好,与所有者和 KRI 维护风险登记册,映射和测试关键控制,跟踪补救措施,并向审计/风险委员会报告简明的风险/控制仪表板。
道德、诚信和举报文化
道德是任何公司治理框架的核心。当领导者从上而下树立基调,员工懂得如何“畅所欲言”时,风险就能及早显现,不当行为就会得到遏制,信任也会随之建立。将诚信融入日常行为,而不仅仅是政策制定——明确期望,保护举报人,持续调查,并通过补救措施形成闭环。
- 行为准则和冲突: 反贿赂、礼品/招待、关联方披露。
- 举报渠道和非报复: 热线/网络选项;对报复零容忍。
- 独立监督: 审计/道德委员会审查趋势、制裁和修复。
- 调查剧本: 分类、证据处理、根本原因、纠正措施。
- 培训和认证: 董事会、领导和员工的年度进修。
利益相关者的权利和参与(年度股东大会、工会及其他)
利益相关者的权利和参与必须纳入公司治理框架,而不是临时处理。 股东 在年度股东大会上行使核心权利——投票、质询、批准关键事项——并辅以定期的投资者对话。在欧洲常见的利益相关者导向型体系中,员工的声音也很重要;工会以及一些国家的共同决策机制提供了结构化的意见。规划好与谁接触、原因、节奏以及如何将反馈传达给董事会。
- 年度股东大会和特别股东大会: 对账目、董事和薪酬进行投票;董事会问答记录。
- 投资者参与: 定期的业绩简报会、路演和信息披露政策。
- 员工及其他人员: 工会协商、调查、监管机构/社区会议;跟踪行动。
报告和披露义务(财务、薪酬和可持续性)
透明的报告将您的公司治理框架转化为证据。利益相关者会根据您发布的内容及其可靠性来评判绩效和行为。确保财务、薪酬和可持续发展方面的披露保持一致、可比且及时,并确保董事会(通过审计和薪酬委员会)对所有发布信息的质量负责。
- 财务报告: 及时、准确的审计账目;审计委员会监督;强有力的内部控制(例如 COSO)和协调的内部/外部审计。
- 报酬: 披露政策、绩效联系和结果;在薪酬委员会的监督下表明与长期战略保持一致。
- 可持续性/ESG: 披露重大风险、政策、目标和指标;确保数据完整性;在欧盟,CSRD 要求进行 ESG 报告。
- 披露控制: 命名所有者/批准者、设置日历、定义错误升级、集中记录并保持跨渠道消息的一致性。
全球标准和地区差异(OECD、英国法规、SOX、King IV)
全球治理标准有着共同的目标,但在执行和重点上有所不同。关键在于两个维度:基于规则还是基于原则,以股东为中心还是以利益相关者为导向。跨境集团应以基准公司治理框架为基准,然后根据当地法规和法律进行调整,而不是照搬照抄。
- 经合组织公司治理原则: 透明度、问责制、股东权利和董事会责任的全球基准;2023 年更新增加了可持续性和数字化。
- 英国公司治理准则: 遵守或解释准则,强调董事会领导力、独立性和对股东有意义的披露。
- 萨班斯-奥克斯利法案 (SOX): 美国基于规则的法律要求对财务报告、审计师独立性和严格的美国证券交易委员会 (SEC) 驱动的信息披露进行强有力的内部控制。
- 国王四世: 基于原则的南非准则提升了道德领导力、综合思维、可持续性和包容性利益相关者治理。
荷兰和欧盟视角(荷兰法典第 2 卷 BW、CSRD、GDPR、NIS2、欧盟人工智能法案)
在荷兰乃至整个欧盟,您的公司治理框架必须将基于原则的准则与硬性法律义务相融合。将这些来源与董事会角色、委员会、控制措施和披露机制进行映射,以确保“遵守或解释”的选择不会与可持续性、数据、网络安全和人工智能方面的约束性要求相冲突。如果做得好,董事会的决策权、风险监督和报告将与法律和投资者期望保持一致。
从国家锚开始。 荷兰公司治理准则 (遵守或解释)指导上市公司的董事会监督、风险和薪酬 公司. BW 第二册提供法律依据:表格、董事职责、冲突、会议、年度账目和 责任. 使用这些来定义章程、授权、控制标准和披露控制。
- 国土安全部: 强制性的欧盟 ESG 报告;董事会监督和保证数据。
- GDPR: 隐私设计、合法处理、必要时的 DPO;嵌入违规工作流程。
- NIS2: 加强网络风险管理和事件报告;指定董事会监督。
- 欧盟人工智能法案: 基于风险的人工智能职责;政策、系统登记和影响评估。
您应该拥有的治理文件
纸面数据让一切成为现实:您的公司治理框架只有在核心政策、章程和矩阵经过董事会批准、拥有并按固定周期进行审查时才能发挥作用。从以下基本要素入手——每个要素都应提供版本控制、培训和使用证明——并随着您的风险状况和义务的增长而扩展。
- 董事会/委员会章程: 审计、风险、薪酬、提名/ESG——职责、独立性、报告。
- 授权和批准矩阵: 门槛、共同签署和升级。
- 风险政策与偏好(ISO 31000)+内部控制框架(COSO): 方法、限制、控制目录。
- 内部审计章程和计划: 授权、覆盖范围和董事会报告。
- 行为准则和举报: 反贿赂、冲突/关联方、礼品;调查和非报复。
- 披露和参与政策: 财务、薪酬和 CSRD;年度股东大会/投资者/工会委员会。
- 隐私、网络安全和人工智能治理: GDPR 角色、违规/NIS2 程序;欧盟 AI 法案准备情况。
中小企业、扩大规模企业和家族企业的治理
中小企业、扩张型企业和家族企业需要轻量化且易于扩展的治理结构。您的公司治理框架应该只规范保护价值的要素——决策权、控制权和透明报告——并随着投资者、监管和员工人数的增长而不断深化。力求清晰明了、节奏流畅,避免纸面文件;确保所有者和管理者保持一致。
- 调整板的尺寸: 从顾问委员会开始;添加独立预先资助。
- 授权和批准: 一页矩阵、阈值、共同签署、升级。
- 简单的内部控制: 职责分离、付款批准、月结和现金。
- 继承和所有权: 角色、决策规则、股息和流动性政策。
集团和跨境运营(子公司和投资组合公司)的治理
跨境运营的集团需要保持一致性,并留有回旋余地。以单一的公司治理框架为基准,并添加本地附件,以确保子公司符合当地司法管辖区的法律法规。总部负责设定保留事项,要求可靠的报告,并同步实体数据和审计;子公司董事会负责运营业务,并对各自的实体承担职责。
- 全球基线+本地附录: 具有特定司法管辖区要求的共同政策。
- 保留事项及授权: 明确的审批、门槛、升级;关联方预先批准。
- 子公司董事会及职责: 独立性、冲突、回避;代表子公司行事。
- 实体管理: 中央实体登记册;日历上的文件、签名和许可证。
- 投资组合公司: 保护投票/信息权利、设置报告包、协调激励措施和 ESG。
公共实体和非营利组织的治理
公共实体和非营利组织管理纳税人或捐赠者的资金,在严格的审查下运营,并且必须证明其使命得以履行。其公司治理框架应强调透明度、健全的内部控制和道德管理,同时保持独立性和利益相关者的发言权。明确董事会、管理层和志愿者之间的权限,规范冲突处理,并设定可预测且易于审计的报告节奏。
- 资金和采购: 尊重限制;竞争性招标;门槛和预先批准。
- 审计、风险和举报: 独立监督;畅所欲言;反欺诈和保护程序。
- 披露和参与: 公布账目并付款;吸引捐助者、受益人和监管者参与。
董事会中的人工智能、数据和技术治理
人工智能、数据和核心技术如今需要董事会层面的监督。您的公司治理框架应明确数字资产和模型的责任,界定风险范围(隐私、偏见、网络安全、韧性、知识产权),并设定如何通过清晰的指标、审计和上报机制将保障信息传达给董事会。应将这些领域视为具有严格管控的战略赋能因素,而非边缘项目。
- 人工智能治理: 原则、用例清单、风险等级、影响评估、人工监督、测试。
- 数据治理: 所有者/管理员、质量和访问标准、符合 GDPR 的处理、保留、违规。
- 技术治理: 战略主导的 IT 支出、变更控制、 第三方/SaaS尽职调查、网络风险(NIS2)。
- 控制和报告: 事件、模型性能/偏差、访问冲突、可用性的仪表板;自动警报;季度董事会审查。
ESG治理和可持续性监督
ESG治理将承诺转化为董事会层面的监督和可衡量的成果。您的公司治理框架应明确环境、社会和道德影响的责任,将优先事项与战略和风险挂钩,并确保信息披露的一致性和决策有效性。在欧盟,CSRD要求进行可持续发展报告;在国际上,经合组织原则现已提及可持续性,而King IV则强调道德领导力和包容性的利益相关者治理。
- 定义所有权: 董事会(通过 ESG 委员会)和管理职责、章程、KPI。
- 策略集: 准则、人权、反贿赂、气候/能源、供应链。
- 控制和数据: 符合 COSO 标准的 ESG 控制、可靠的指标、审计/审查节奏。
- 战略整合: 资本配置、产品路线图、风险登记、激励措施一致。
- 利益相关者的参与和报告: 年度股东大会对话、投资者更新;CSRD 就绪的可持续发展报告。
如何逐步构建治理框架
一次构建,多次调整。从目标和范围入手,明确决策者、风险管理方式以及报告内容。确保公司治理框架与公司在荷兰/欧盟的规模和义务相称,以公认的标准为基础,并在清晰的董事会监督下不断迭代。
- 定义目的和范围: 为什么、谁、在哪里适用。
- 映射角色和权限(RACI): 董事会、委员会、高管。
- 制定原则和核心政策: 代码、冲突、隐私/网络、人工智能。
- 设计决策流程和授权: 批准矩阵、保留事项、升级。
- 建立风险、控制和保证: 胃口、登记/KRI、三行。
- 计划报告和披露控制: 审计日历、补救跟踪。
- 沟通、培训、测试和改进: 入职培训、认证、年度审查。
记录所有者、版本控制和审查周期,并与荷兰法典第 2 卷 BW 和欧盟职责(CSRD、GDPR、NIS2、欧盟 AI 法案)保持一致。
模板、图表和清单可加速采用
实用的成果可以加速公司治理框架的部署,并推动跨实体行为的一致性。使用单页可视化图表,阐明决策者、风险管控方式以及必须披露的内容和时间。标准化格式,以便团队填写、归档和证明合规性——尤其适用于 CSRD、GDPR、NIS2 和高风险 AI 职责。
- 治理图和组织结构图: 董事会、委员会、角色所有者。
- 授权/批准矩阵: 门槛、共同签署人、保留事项。
- 风险登记册和热图: 所有者、KRI、治疗方法。
- 控制目录(COSO/三行): 关键控制、测试、证据。
- 披露控制清单: 财务、薪酬、CSRD 日历、签字。
衡量有效性:关键绩效指标 (KPI)、审计和持续改进
公司治理框架必须证明其有效性。设定与战略、风险偏好和合规性挂钩且经董事会批准的关键绩效指标 (KPI)。运用三条主线:管理层自我评估控制措施;风险/合规挑战并跟踪补救措施;内部审计执行基于风险的计划并向董事会报告。强大的治理结构优先考虑定期、持续的内部审计。使用年度保证日历、单一的补救措施跟踪器和事后审查,以便将发现的结果转化为培训和流程改进的动力。
- 董事会效率: 出勤率;按时提交论文;评估完成情况。
- 风险和网络概况: 食欲违规;KRI 警报已解决。
- 控制: 补救周期;高风险发现的老化。
- 审计: 计划完成情况;重复问题;逾期行动。
- 合规性和数据: 按时申报(财务/CSRD/GDPR/NIS2);培训/证明率。
- 道德与文化: 发言量;证实率;结案时间。
常见陷阱及避免方法
大多数治理失误源于可避免的设计缺陷或执行缺口。尽早修复这些问题,您的公司治理框架就能从纸面文件走向实践——加快决策速度,降低风险,并经得起审计和投资者的审查。以下检查可作为事前分析。
- 纸上练习: 将策略嵌入工作流、KPI 和证明中。
- 模糊的决策权: 发布 RACI 和清晰的批准矩阵。
- 风险/控制薄弱: 采用COSO/ISO 31000;使用三条线;测试。
- 董事会缺口: 使用技能矩阵;确保独立性;规划继任。
- 披露失误: 运行披露控制——所有者、日历、预先批准。
- 道德盲点: 保护敢于直言的权利;强制执行不报复政策;规范调查。
- 技术/人工智能不受管理: 库存 AI;影响评估;确保 GDPR/NIS2 监督。
何时寻求荷兰公司治理方面的法律建议
荷兰和欧盟的规则在结构、职责、信息披露和技术方面存在交叉。当出现利害关系或模糊性时,尽早 法律顾问 防止失误,保护董事,并加快合规。它使您的公司治理框架与《荷兰公司法典》保持一致,并且 第二册 BW 并与 CSRD、GDPR、NIS2 和欧盟 AI 法案保持一致。
- 电路板设计: 单层与双层、条款、章程、遵守或解释。
- 董事职责和冲突: 关联交易、责任、移除、赔偿。
- 股东和员工的声音: 年度股东大会/特别股东大会决议、工会协商。
- 监管计划: CSRD 准备情况、GDPR/DPO 和违规行为、NIS2 事件、欧盟 AI 法案。
结论部分
稳健的公司治理框架将雄心壮志转化为可信赖的绩效。凭借清晰的决策权、独立的监督和经过检验的控制措施,您的董事会将能够加快行动速度,信息披露经得起审查,企业文化也将保持道德规范。本指南概述了原则、组成部分和标准,并标记了荷兰/欧盟的义务,涵盖《荷兰法典》和《BW》第二卷、《企业信息披露规则》、《通用数据保护条例》、《NIS2》以及《欧盟人工智能法案》。现在就开始实施:记录授权、批准核心政策、嵌入风险和披露控制措施、培训人员并进行年度审查。
如果您希望制定务实且合法的方案,包括董事会设计(单层或双层)、委员会章程、审批矩阵、保障计划以及 CSRD/GDPR/NIS2/AI 准备工作,我们的荷兰治理律师可以帮助您自信地进行设计、基准测试和实施。请联系我们的多语种团队,电话: Law & More 以获得定制建议和快速执行。
