Nuevas reglas y regulaciones de la SEC
Washington DC: exterior del edificio de la Comisión de Bolsa y Valores de EE. UU. La Comisión de Bolsa y Valores de EE. UU. (SEC) es una agencia independiente del gobierno federal de los Estados Unidos. La SEC tiene la responsabilidad principal de hacer cumplir las leyes federales de valores, proponer reglas de valores y regular la industria de valores, las bolsas de valores y opciones de la nación y otras actividades y organizaciones, incluidos los mercados electrónicos de valores en los Estados Unidos.
getty
Bienvenidos a los nuevos deberes de supervisión de la junta… Es una de las mejores cosas del trabajo de la junta… está en constante cambio y evolución. Cada año hay un cambio en los estándares de gobierno corporativo en un esfuerzo por evolucionar junto con el panorama empresarial que cambia rápidamente y mantenerse alineado con las prioridades cambiantes de los inversores y los reguladores.
La SEC tiene nuevas regulaciones propuestas para 2023.
Esto es lo que he aprendido:
El 26 de octubre de 2022, la Comisión de Bolsa y Valores de EE. UU. (SEC) adoptó una regla final que requiere que las empresas que cotizan en bolsa adopten una política de recuperación de compensación.
En 2010, el Congreso ordenó la regla de recuperación de compensación: esta regla es la última de las regulaciones de compensación ejecutiva que la SEC finaliza según lo exige la Ley Dodd-Frank.
La SEC está pidiendo a las bolsas de seguridad nacional (es decir, Nasdaq, NYSE) que exijan a las empresas que cotizan en sus bolsas que promulguen una política de recuperación. Las bolsas de valores agregarán requisitos de política en torno a las recuperaciones a sus requisitos de cotización de gobierno corporativo.
Las empresas que cotizan en bolsas tendrán que:
– Adoptar/cumplir con una política de recuperación
– Hacer las divulgaciones requeridas relacionadas con la póliza.
La regla establece que si la empresa está obligada a preparar una reexpresión financiera y recuperar la parte de la compensación de incentivos pagada a sus ejecutivos actuales o anteriores con base en cualquier medida financiera inexacta. La política se aplica a las remuneraciones recibidas durante los tres ejercicios fiscales terminados más recientes anteriores a la fecha en que la compañía emitió la actualización.
“La regla se aplica tanto a las correcciones de errores materiales hechas al reexpresar los estados financieros de períodos anteriores como a las correcciones de errores no materiales que resultarían en una declaración errónea si no se corrigieran”.
Las empresas tendrán que presentar sus políticas de recuperación como prueba de sus informes anuales presentados ante la SEC.
Cooley afirma: “Los emisores tendrán hasta un año más 60 días después de la publicación de la nueva regla en el Registro Federal para adoptar políticas de cumplimiento, dependiendo de cuándo entren en vigencia los estándares de cotización en bolsa. La nueva regla entra en vigor 60 días después de su publicación en el Registro Federal. Los emisores deberán adoptar políticas a más tardar 60 días después de la fecha de entrada en vigencia de las normas de cotización aplicables, y deberán cumplir con los requisitos de divulgación en las declaraciones informativas y de poderes y los informes anuales presentados en o después de la fecha en que dichas políticas sean aprobadas. adoptado. Las empresas de informes más pequeñas, las empresas de crecimiento emergente y los emisores privados extranjeros NO están exentos”.
Es importante tener en cuenta que la nueva regla no hace referencia a la inclusión de un activador basado en mala conducta no relacionada con las actualizaciones financieras… muchas empresas actualmente tienen este activador.
Sugiero que las juntas quieran comenzar a educar y actualizar a la gerencia y los directores sobre los nuevos requisitos. Mire su política de recuperación actual para comenzar a ver qué cambios deberán realizarse. Asegúrese de que la política cumpla con los requisitos de la nueva regla. Las empresas también deben revisar y modificar los acuerdos laborales existentes.
Conclusiones clave
Las empresas que cotizan en bolsas tendrán que:
Adoptar/cumplir con una política de recuperación Hacer las divulgaciones requeridas relacionadas con la política Los emisores tendrán hasta un año más 60 días después de la publicación de la nueva regla en las empresas de informes más pequeñas, las empresas de crecimiento emergente y los emisores privados extranjeros NO están exentos.
Nuevos informes ESG de la UE
En la Unión Europea se aprobaron nuevos requisitos de informes ambientales, sociales y de gobierno corporativo (ESG, por sus siglas en inglés), denominados Corporate Sustainability Reporting Directive (CSRD). Según el borrador de CSRD, se debe adoptar un conjunto inicial de ESRS antes del 30 de junio de 2023.
Estos nuevos requisitos de informes ESG de la UE tendrán un impacto dramático en el panorama de informes no financieros. Una amplia gama de empresas, incluidas empresas públicas y privadas no pertenecientes a la UE que cumplirán los nuevos umbrales y que anteriormente no necesitaban cumplir con los informes no financieros obligatorios.
Para los emisores de EE. UU., estas nuevas reglas de la UE dan como resultado informes ESG obligatorios que son mucho más amplios que los temas actuales de ESG de EE. UU. que están cubiertos por las reglas actuales (y futuras propuestas) de la SEC.
Eche un vistazo a esta tabla de Cooley que destaca las características clave de los estándares / características clave de informes de la UE y la SEC.
Estos nuevos requisitos de la UE cubren un conjunto de temas mucho más amplio que el requerido en los informes ESG de EE. UU.
Además, las empresas estadounidenses deben prepararse para adoptar un enfoque de “doble materialidad” que incluirá un estándar de impacto que es muy diferente del marco centrado en el inversionista de la SEC.
Muchas empresas ya han comenzado a informar voluntariamente sobre ESG… para muchas empresas, la presentación de informes ESG ha sido una iniciativa de marketing. Tal vez sea hora de traer equipos legales y financieros para asesorar y revisar las divulgaciones de ESG a medida que los informes se vuelven más obligatorios en diferentes geografías e industrias.
Conclusiones clave:
La UE ha adoptado requisitos de informes ESG más estrictos. Las empresas estadounidenses deben prepararse para adoptar un enfoque de “doble materialidad” que incluirá un estándar de impacto que difiere mucho del marco centrado en el inversionista de la SEC. Tal vez sea hora de traer equipos legales y financieros para asesorar y revisar las divulgaciones de ESG a medida que los informes se vuelven más obligatorios en diferentes geografías e industrias.
Requisitos de ciberseguridad/gobernanza de la SEC
Bajo los marcos de informes existentes para las empresas públicas, no ha habido divulgaciones explícitas con respecto a la seguridad cibernética.
En marzo de 2022, la SEC anunció las reglas propuestas y abrió un período de comentarios que finalizó en mayo de 2022. Se espera que las acciones finales sobre las reglas se anuncien en abril de 2023.
Las reglas propuestas requieren que una empresa divulgue dentro de los cuatro días hábiles después de que la empresa haya determinado que ha experimentado "un incidente de seguridad cibernética material", no el descubrimiento de dicho incidente. La SEC señala que espera que las empresas "sean diligentes al tomar una determinación de importancia relativa de la manera más rápida posible".
Al informar un incidente de seguridad cibernética material, se le solicitará a una empresa que divulgue (en la medida en que se sepa en el momento de la presentación):
Cuándo se descubrió el incidente / si está en curso. Una descripción de la naturaleza y el alcance del incidente. Si los datos fueron robados, alterados, accedidos o utilizados para cualquier otro propósito no autorizado. El efecto del incidente de ciberseguridad en las operaciones de la empresa. Si la empresa ha remediado o está remediando el incidente.
Esto plantea algunas preocupaciones. Por ejemplo, si hay un incidente cibernético material, la empresa tendría solo cuatro días para divulgarlo públicamente al determinar que el incidente fue realmente material. Determinar la materialidad implica evaluaciones tanto cuantitativas como cualitativas; ese proceso necesita ser creado. Además, las reglamentaciones exigen que cualquier incidente anterior que no alcance el nivel de materialidad pueda considerarse material posteriormente cuando se agregue a otros incidentes cibernéticos posteriores y similares. El proceso y los protocolos para esta agregación requerirán una supervisión y aportes muy exhaustivos de la Junta.
Según las reglas propuestas, se requerirá que las empresas describan la supervisión del directorio del riesgo de seguridad cibernética. Las empresas tendrán que revelar lo siguiente:
Si toda la junta, miembros específicos de la junta o un comité de la junta es responsable de la supervisión de los riesgos de seguridad cibernética. Cuál es el proceso para que la junta esté informada sobre los riesgos de ciberseguridad y con qué frecuencia se discute este tema. Cómo la junta o los comités de la junta consideran los riesgos de seguridad cibernética como parte de su estrategia comercial, gestión de riesgos y supervisión financiera.
Aunque las normas y reglamentos propuestos aún no se han completado, las empresas pueden esperar que estos requisitos se finalicen dentro de los próximos 6 meses y deben comenzar a prepararse para cumplir.
Otro factor a destacar es que la normativa propuesta afectará tanto a las pequeñas empresas, como a las grandes multinacionales. Comprensiblemente, dado que prácticamente todas las empresas están conectadas a Internet. La mayoría de las cadenas de suministro incluyen pequeños comerciantes, distribuidores y fabricantes. La normativa propuesta no excluye a las empresas en función del tamaño. Todos recordamos haber escuchado acerca de cómo las infracciones de las empresas más grandes a menudo se originan en sus empresas más pequeñas menos vigilantes o con recursos limitados que forman parte de su cadena de suministro, o su red de distribuidores y distribuidores.
Las nuevas regulaciones plantean preguntas a la junta como: ¿Tiene la junta un experto cibernético? ¿Cuáles son sus credenciales y cómo se determinó su experiencia? ¿Cómo ejecuta la Junta su supervisión de los riesgos cibernéticos? ¿La empresa considera los riesgos de ciberseguridad en su estrategia comercial, planificación financiera y procesos de asignación de capital?
La regulación propuesta no ordena qué Comité de la Junta debe asumir el riesgo cibernético en su competencia, ese sigue siendo un tema para que las Juntas lo determinen. Hay pros y contras a considerar. Algunos observan que el comité de auditoría puede estar demasiado sobrecargado, y ¿tienen el tiempo y la experiencia para supervisar los riesgos cibernéticos cada vez mayores? Además, los comités de auditoría ya deben observar plazos más estrictos para la presentación de informes financieros, por lo que esa es otra consideración que debe sopesar la Junta.
También se les pregunta a las empresas, ¿tienen un Director de Seguridad de la Información? ¿Dónde se reporta esa persona? ¿Cuáles son sus credenciales? Incrustado en estas preguntas hay una sutil determinación de si un CISO debe informar independientemente de la organización de TI, tal vez de forma análoga a la forma en que las funciones de auditoría interna generalmente no informan dentro de la organización financiera.
Probablemente sea un momento muy oportuno para que una empresa externa de pruebas de penetración cibernética revise los sistemas actuales de la empresa.
También podría ser un buen momento para considerar la creación de una relación con un proveedor de servicios administrados (MSP) cibernético que pueda realizar un monitoreo externo para aumentar lo que actualmente tiene en casa.
Las empresas están bien servidas para comenzar a revisar sus políticas, procedimientos, controles y medidas de respuesta de ciberseguridad existentes. Las empresas también pueden querer comenzar a revisar sus estructuras / marcos de gobierno actuales y si es necesario realizar algún cambio en la junta / comités.
Otro tema que habla de la supervisión de la Junta es, ¿tiene un seguro y una planificación adecuados en caso de una brecha cibernética? Esto plantea la cuestión de la adecuación del seguro cibernético de la empresa y si la empresa está modelando financieramente los riesgos cibernéticos en función de probabilidades variables, desde un evento ordinario hasta escenarios de "Cisne negro".
Estas son regulaciones propuestas específicas que son complicadas, si no preocupantes.
También hay preguntas inferidas: ¿qué tan preparada cibernéticamente está la junta? ¿Tiene sesiones informativas de expertos externos para la junta? ¿Expertos externos haciendo pruebas de penetración? ¿Qué tipo de capacitación interna está supervisando dentro de la empresa? ¿Los directores tienen cursos externos y credenciales que se espera que reciban para mantenerse actualizados?
Las juntas estarán bien servidas para mejorar sus divulgaciones y agregar a sus biografías escritos en sus poderes qué directores son sus expertos cibernéticos.
En general, reforzar las calificaciones/descripciones de los directores es una gran oportunidad. Recientemente me reuní en persona con varios grandes inversores institucionales. La mayoría de las empresas tienen entre 10 y 12 inversores que representan alrededor del 70 % de su propiedad. Estas grandes instituciones pasivas tienen grupos de gobierno separados que buscan activamente más divulgación. Compartir más sobre la experiencia / perspectiva de su director individual será muy positivo en sus revisiones. Use su representante para contar más historias en un lenguaje sencillo "sin abogados".
A medida que planificamos para 2023, los deberes de supervisión de nuestras juntas y las expectativas de los reguladores son más exigentes que nunca. Las juntas deben asegurarse de que mantenemos nuestra prioridad y nuestro enfoque en el negocio.
En la medida de lo posible, la carga de trabajo regulatorio adicional debería residir en los comités.
Sugiero llamadas de junta separadas; por ejemplo, haga una llamada de la junta de "educación del director" con una lectura previa seguida de una presentación de su firma de abogados y firma de contabilidad externa. Pídales a cada uno que prepare una presentación breve y nítida sobre las nuevas divulgaciones de la SEC. Guíelos para actualizar su tablero.
Conclusiones clave:
Se espera que los nuevos requisitos finalizados de ciberseguridad/gobernanza de la SEC se anuncien en abril de 2023. Se requerirá que las empresas divulguen dentro de los cuatro días hábiles después de que la empresa haya determinado que ha experimentado un "incidente material de ciberseguridad". expertos Las empresas tal vez harían bien en comenzar a revisar sus políticas, procedimientos, controles y medidas de respuesta de ciberseguridad existentes.
Tenemos una gran cantidad de nueva supervisión regulatoria para absorber e implementar en el próximo año. Debemos planificar e invertir el tiempo.
Pero lo más importante es que la junta no debe dejarse abrumar por estos procesos y asuntos de cumplimiento. Nuestro verdadero trabajo es mantenernos enfocados en el negocio de nuestra empresa y ser administradores de la salud y el crecimiento de nuestra empresa.
