Развитие внутреннего контроля и управления рисками в публичных компаниях при работе на открытых рынках
p align="left">Allied Irish Bank. Катастрофические потери банка ($700 млн), вызванные действиями трейдера Allied Irish Bank Джона Руснака (John Rusnak), продемонстрировали всему миру отсутствие контроля за рисками при операциях на рынках капитала. Проведенное позже расследование подтвердило факт махинаций отдельных сотрудников. Банк выстоял только благодаря слиянию с другими банками под гарантии правительства Ирландии [1].Банкротство HealthSouth. Ежегодный оборот крупнейшей в Соединенных Штатах компании по оказанию медицинских услуг составлял $4,5 млрд. За несколько лет топ-менеджмент завысил прибыли более чем на $3 млрд с целью искусственно поднять стоимость акций HealthSouth на фондовом рынке. В марте 2003 г. SEC обвинила корпорацию и ее генерального директора Ричарда Скруши (Richard Scrushy) в завышении доходов за период 1999-2002 гг. на более чем $1,4 млрд и уклонении от уплаты $1 млрд налогов [17]. 15 топменеджеров HealthSouth были признаны виновными в финансовых махинациях, а против руководителя компании было выдвинуто 85 (!) уголовных обвинений.
В рамках скандала была затронута репутация аудиторской фирмы Ernst & Young LLP, офис которой в Бирмингеме выпускал аудиторское заключение в отношении компании. На основании материалов расследования акционеры и держатели бондов HealthSouth предъявили к Ernst & Young LLP судебные иски. Аудитор согласился выплатить акционерам и профессиональным инвесторам HealthSouth $109 млн отступных [4, 19].
В целях восстановления доверия инвесторов к механизмам финансовых рынков, обеспечивающим разумную гарантию возврата инвестиций, в 2002 г. Конгресс США утвердил акт Сарбейнса - Оксли (далее - SOX), устанавливавший ответственность за нарушения, допущенные руководством публичных компаний в области корпоративного управления.
Многие слышали о данном документе и о его влиянии на практику современного корпоративного управления в США и в мире. Компании, деятельность которых подпадает под регулирование SOX, обязаны выстраивать систему внутреннего контроля и аудита. Если с внутренним аудитом российским компаниям уже приходилось сталкиваться, то отечественная теория и практика формирования эффективных систем внутреннего контроля только начинает формироваться. Система внутреннего контроля в общем виде состоит из процедур, правил, инструкций, бюджетов, политики, а также сотрудников, уполномоченных осуществлять контроль и информировать подписывающих отчетность руководителей о его результатах [8].
Эта система направлена в конечном итоге на создание необходимых предпосылок к тому, что компания в целом и ее руководители в частности достигнут поставленных целей и что риски, которые могут повлиять на достижение целей, будут учитываться менеджментом при принятии управленческих решений.
SOX в первую очередь ориентирован на контроль процесса формирования отчетности, но, как можно увидеть из соответствующих разделов акта, такой контроль подразумевает также и контроль всех основных и обеспечивающих процессов компании. Раздел 302 устанавливает ряд требований к лицам, подписывающим отчетность:
?? они должны отвечать за создание системы внутреннего контроля и управление ею; ?? систему внутреннего контроля необходимо сформировать таким образом, чтобы указанным лицам была известна вся информация, касающаяся компаний, деятельность которых за соответствующий период находит отражение в отчетности (т.е. в консолидированной отчетности);
?? лица, согласующие отчетность, должны проводить переоценку системы внутреннего контроля не позднее чем за 90 дней до выпуска отчетности; данная оценка должна получить отражение в отчетности;
?? лица, согласующие отчетность, должны представить внешним и внутренним аудиторам, а также полномочному комитету при совете директоров информацию обо всех известных им фактах, характеризующих невозможность получать в полной мере, агрегировать и обрабатывать финансовую информацию, о недостаточности системы внутреннего контроля, о мошеннических действиях, совершенных сотрудниками компании, о воздействиях на систему внутреннего контроля, в результате которых может снизиться ее эффективность [13].
Раздел 404 закрепляет за SEC обязанность выпускать правила, на основании которых формируется ежегодная отчетность публичных компаний США. Эти правила должны определять роль менеджмента в формировании структур внутреннего контроля и процедур подготовки финансовой отчетности, устанавливать порядок и критерии оценки эффективности указанных структур и процедур.
В разделе 404 упомянута также деятельность аудиторских компаний. Последние в рамках подготовки аудиторского заключения должны подтвердить, что менеджмент оценивал структуру внутреннего контроля компании в соответствии со стандартами, разработанными советом директоров.
В своей речи, произнесенной 27 сентября 2002 г., комиссар SEC Синтия Глассман (Cynthia Glassman) описала роль и место вышеупомянутых разделов в практике корпоративного управления: «…действиям, которые в соответствии с актом Сарбейнса - Оксли и требованиями SEC должны осуществлять генеральные директора и советы директоров компаний, должно предшествовать осознание опасности и понимание ее причин. В соответствии с правилами SEC и актом Сарбейнса - Оксли процедуры внутреннего контроля должны обеспечивать попадание всей информации (как финансовой, так и нефинансовой) к тем, кто ответственен за принятие решений, управление рисками и публикацию отчетности компаний» [10].
По мнению автора, катастрофические последствия современного кризиса окажут воздействие на развитие и совершенствование внутреннего контроля как ключевой функции менеджмента и советов директоров.
Скандальная ситуация с бонусами менеджмента и членов советов директоров Merrill Lynch, Bank of America, AIG [20], вызвавшая полемику в американском обществе, и последовавшие за этим жесткие высказывания со стороны администрации Белого дома привели к тому, что Казначейство США разрабатывает новые требования к процессу определения компенсаций членам правления и менеджменту публичных компаний, в большей степени зависящих от эффективности управления рисками.
Помимо требований со стороны агентств правительства США сами площадки капитала стремятся повысить гарантии защищенности средств инвесторов через совершенствование правил, предъявляемых к эмитентам. Нью-Йоркская фондовая биржа включила в свои требования пункт о том, что комитеты по аудиту при советах директоров компаний обязаны обсуждать оценку рисков и политику по управлению рисками. Рейтинговые агентства, к примеру Standard & Poor's, оценивают процесс корпоративного управления рисками в рамках определения кредитного рейтинга компании [5].
Ключевую роль в развитии внутреннего контроля и управления рисками сыграют новые правила SEC. Выступая в апреле 2009 г. перед Советом институциональных инвесторов США (CII), Мари Шапиро (Mary Schapiro), председатель Securities and Exchange Commission, указала, что требования регулятора к раскрытию рисков, с которыми столк нулась компания, а также степень зависимости компенсаций, выплачиваемых руководству публичных компаний, от эффективности процесса управления этими рисками в перспективе подвергнутся значительной корректировке [15].
Одной из ключевых задач советов директоров станет надзор за процессом управления рисками. Можно предположить, что внимание, уделяемое ключевыми регуляторами и правительством США проблемам управления рисками, изменит существующее положение вещей: в течение последних лет одни организации формировали (приобретали, наследовали) сложные и эффективные системы управления рисками, тогда как другие подходили к данному вопросу исключительно формально. Кризис показал, что формальный подход к управлению рисками неприемлем, часть рисков можно было минимизировать путем приведения системы рискменеджмента в соответствие реалиям бизнеса. Акционеры компаний, особо пострадавших в результате реализации рисков, инициированных кризисом, требуют, во-первых, повышения эффективности управления в целом и рисками в частности, а во-вторых, ужесточения норм, касающихся ответственности за принятые решения. Таким образом, руководители публичных компаний в ближайшее время столкнутся с двойным воздействием - со стороны регуляторов и со стороны акционеров, - направленным на развитие системы управления рисками.
Корпоративное управление рисками - это процесс, позволяющий совету директоров сформировать целостный взгляд на все риски компании. В 2004 г. Комитет спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) опубликовал, наверное, самый известный документ, касающийся данной проблемы, - «Корпоративный риск-менеджмент - интегрированные принципы» (Enterprise Risk Management - Integrated Framework) [3]. Данные принципы определяют корпоративное управление рисками как осуществляемый советом директоров, менеджментом и сотрудниками процесс, который интегрирован в стратегические установки и деятельность организации. Реализация процесса предусматривает идентификацию рисков и управление ими с учетом риск-аппетита компании и направлена на обеспечение разумной гарантии в отношении достижения целей организации.
В нынешней ситуации корпоративное управление рисками может быть наиболее перспективным подходом, позволяющим реализовать эффективную надзорную функцию. Грамотное внедрение и последующее использование данного подхода повысят не только вероятность выполнения долгосрочных организационных планов, но и привлекательность компании для инвесторов. В рамках реализации процесса управления рисками советам директоров компаний отведена критически важная роль - надзор за качеством и эффективностью управления рисками и системы внутреннего контроля.
В своих рекомендациях COSO обозначил следующие зоны ответственности совета директоров.
1. Формирование риск-философии и рискаппетита компании.
2. Понимание объемов, в которых менеджмент установил эффективную корпоративную систему управления рисками и внутреннего контроля.
3. Систематическая оценка портфеля рисков организации с учетом ее риск-аппетита. Эффективность надзора за процессом управления рисками зависит от способности совета директоров формировать и оценивать стратегию компании с точки зрения ожидаемых рисков. Для решения указанной задачи совету директоров необходимы достаточное количество времени, а также актуальная, достоверная и исчерпывающая информация, касающаяся рисков.
4. Оценка и контроль наиболее значительных рисков и способности менеджмента соответствующе на них реагировать [5].
Безусловно, корпоративное управление рисками не гарантирует полного устранения проблем, с которыми публичные компании столкнулись в последнее время. Если учесть, что в каждой компании уже существует определенная организационная культура, то управление рисками - процесс новый, его внедрение сопряжено с издержками на обучение и развитие сотрудников, проведение детального описания имеющихся бизнес-процессов организации, реформирование организационной структуры, идентификацию вероятных рисков и построение адекватной системы внутреннего контроля, поиск кадров, способных решить эту сложную задачу.
Одним из возможных вариантов эффективного внедрения системы риск-менеджмента является постепенное формирование соответствующей корпоративной культуры, проводимое под надзором совета директоров. Для повышения степени контроля совет директоров зачастую использует профильные комитеты (комитеты по аудиту, вознаграждениям, стратегии). Каждый из них акцентирует внимание на соответствующем секторе деятельности организации, и, следовательно, способен более точно и оперативно идентифицировать те или иные риски. Такая схема позволяет создать предпосылки для внедрения системы управления рисками в условиях, когда компания в силу определенных обстоятельств не способна реализовать подобный проект в полном объеме и в кратчайшие сроки. Чем больше внимания будет уделять совет директоров вопросам управления рисками, тем более устойчивой окажется организация к негативным воздействиям внешней и внутренней среды. Корпоративное управление рисками позволяет принимать решения о судьбе компании именно с той «разумной осмотрительностью», за соблюдение которой так ратуют SEC и прочие регуляторы, подразумевающие под осмотрительностью баланс между желанием увеличить капитализацию компании и способностью противостоять тем рискам, которыми чреваты действия, направленные на такое увеличение.
Страницы: 1, 2