בשנים האחרונות גוברת הציפייה מדירקטוריונים למלא תפקיד פעיל בפיקוח על פעילות החברה. אירועי ציות, כשלי סייבר, תקלות בטיחות, משברים תפעוליים ורגולטוריים, ואף כשלים בתרבות הארגונית, חושפים את חברי הדירקטוריון לביקורת ציבורית ומשפטית.
אלא שבניגוד לתפיסה הרווחת, חובת הפיקוח אינה מחייבת את הדירקטוריון לדעת כל פרט המתרחש בחברה או לנהל את פעילותה השוטפת. השאלה האמיתית היא האם הדירקטוריון הקים והפעיל מנגנוני פיקוח סבירים שיאפשרו לו לקבל מידע מהותי בזמן אמת ולקבל החלטות מושכלות.
חובת הפיקוח כחלק מחובות הדירקטור
חוק החברות הישראלי אינו קובע במפורש "חובת פיקוח" כללית של הדירקטוריון (סעיף 92 לחוק מתייחס לפיקוח על ביצוע תפקידי המנכ"ל). עם זאת, אחריות בגין כשלי פיקוח עשויה לנבוע מחובת הזהירות ולעיתים אף מחובת האמונים של נושאי משרה.
משמעות הדבר היא שדירקטורים נדרשים לנקוט אמצעים סבירים לקבלת מידע רלוונטי ולהפעיל שיקול דעת ביחס לסיכונים המרכזיים העומדים בפני החברה.
משבר לא נולד ביום אחד
רבים מהמשברים התאגידיים המשמעותיים אינם תוצאה של אירוע בודד או בלתי צפוי. לעיתים קרובות ישנם סימנים מקדימים, תלונות, דיווחים פנימיים או אינדיקציות שונות אחרות שמתן תשומת לב אליהן מאפשר לטפל בהן מבעוד מועד.
לכן, שאלת המפתח איננה האם אירע כשל, אלא כיצד פעלה מערכת הפיקוח של החברה לפני שהכשל התממש.
פסק דין Caremark והסטנדרט המקובל לפיקוח
אבן הדרך המרכזית בתחום היא פסק הדין האמריקאי Caremark שהשפיע על דיני החברות בעולם כולו.
המסר המרכזי מהפסיקה הוא שדירקטוריון אינו נדרש לדעת הכול. על הדירקטוריון לוודא שקיימת מערכת אפקטיבית של דיווח, בקרה, ציות וניהול סיכונים, המאפשרת להביא בפניו מידע מהותי באופן שוטף.
לצד זאת, כאשר מופיעים "דגלים אדומים" או נורות אזהרה, לא ניתן להסתפק בקבלת הדיווח בלבד. על הדירקטוריון לשאול שאלות, לדרוש בדיקות, לעקוב אחר הטיפול בנושא ולוודא שהבעיה אכן טופלה.
האם הדין הישראלי צועד באותו כיוון?
בשנים האחרונות ניתן לזהות מגמה של אימוץ עקרונות Caremark גם במשפט הישראלי.
בפסק הדין בעניין אהרוני נ' בנק מזרחי שניתן בשנת 2021 התייחס בית המשפט למודל Caremark כמודל ראוי, ואף ציין כי הוא עשוי להפוך לסטנדרט המקובל גם בישראל.
משמעות הדברים היא שחובת הפיקוח צפויה לקבל מקום מרכזי יותר ויותר בדיון באחריותם של דירקטורים.
מהו פיקוח אפקטיבי?
פסיקות מהשנים האחרונות מלמדות כי בתי המשפט אינם מצפים מהדירקטוריון לבצע מיקרו-ניהול של החברה.
הדגש הוא על קיומו של מנגנון פיקוח מסודר ומתועד, הכולל בין היתר:
- זיהוי סיכוני הליבה של החברה;
- קבלת דיווחים תקופתיים בנושאים מהותיים
- קיום דיונים סדירים בנושאי סיכון
- קבלת חומרים מראש
- מעקב אחר החלטות והשלמת טיפול בליקויים
- מעורבות פעילה בעת גילוי חריגות או אירועים חריגים
המבחן האמיתי: מה קורה כשנדלקת נורת אזהרה?
אחד הלקחים המרכזיים מהפסיקה הוא שהשאלה אינה האם אירעה תקלה, אלא כיצד הגיבו לה הדירקטוריון והנהלת החברה.
קיומם של נהלים, מדיניות או מצגות מסודרות אינו מספיק כשלעצמו. דירקטורים נדרשים לוודא שהנהלים מיושמים בפועל, שהמידע זורם כלפי מעלה ושהליקויים מטופלים באופן אפקטיבי.
במילים אחרות, פיקוח אפקטיבי נמדד פחות במסמכים ויותר באיכות השאלות, המעקב והתגובה לסיכונים.
מסקנות מעשיות לדירקטורים
חובת הפיקוח אינה מחייבת דירקטורים להיות מומחים בכל תחום פעילות של החברה. עם זאת, היא מחייבת אותם לוודא שקיימת מערכת פיקוח סבירה, לקבל מידע מהותי באופן שוטף, ולהגיב באופן פעיל כאשר מתעוררות נורות אזהרה.
בעולם עסקי המאופיין ברגולציה גוברת, סיכוני סייבר, שרשראות אספקה מורכבות וציפיות ציבוריות גבוהות יותר, איכות מנגנון הפיקוח של הדירקטוריון עשויה להיות אחד הגורמים המרכזיים המשפיעים על יכולתה של חברה להתמודד עם משברים — ולעיתים אף למנוע אותם מראש.
***