Нові правила та положення SEC

Вашингтон, округ Колумбія: зовнішній вигляд будівлі Комісії з цінних паперів і бірж США. Американська Комісія з цінних паперів і … [+] Комісія з бірж (SEC) є незалежним агентством федерального уряду Сполучених Штатів. SEC несе основну відповідальність за виконання федеральних законів про цінні папери, пропонування правил щодо цінних паперів і регулювання індустрії цінних паперів, національних фондових бірж і бірж опціонів, а також інших видів діяльності та організацій, включаючи електронні ринки цінних паперів у Сполучених Штатах.

Гетті

Ласкаво просимо до нових обов’язків нагляду за правлінням… Це одна з чудових речей у роботі ради… вона постійно змінюється та розвивається. Щороку стандарти корпоративного управління змінюються, намагаючись розвиватися разом зі швидкими змінами бізнес-ландшафту та залишатися узгодженими зі змінними пріоритетами інвесторів і регуляторів.

SEC запропонувала нові правила на 2023 рік.

Ось що я дізнався:

26 жовтня 2022 року Комісія з цінних паперів і бірж США (SEC) прийняла остаточне правило, яке вимагає від публічно зареєстрованих компаній прийняти політику повернення компенсацій.

У 2010 році Конгрес ухвалив правило про відшкодування компенсації – це правило є останнім із нормативних актів про компенсацію керівників, які завершуються SEC відповідно до вимог Закону Додда-Френка.

SEC закликає біржі національних цінних паперів (наприклад, Nasdaq, NYSE) вимагати від компаній, які котируються на їхніх біржах, запровадити політику повернення. Фондові біржі додадуть вимоги політики щодо повернення коштів до своїх вимог щодо лістингу корпоративного управління.

Компанії, зареєстровані на біржах, повинні будуть:

– Прийняти / дотримуватися політики повернення коштів

– Зробіть необхідне розкриття інформації щодо політики

Правило стверджує, що якщо від компанії вимагається підготувати фінансовий перерахунок і відшкодувати частину заохочувальної компенсації, виплаченої її нинішнім або колишнім керівникам, на основі будь-якого неправильного фінансового показника. Політика застосовується до компенсації, отриманої протягом трьох останніх завершених фінансових років до дати, коли компанія випустила перерахунок.

«Це правило застосовується як до виправлень суттєвих помилок, зроблених шляхом перерахунку фінансової звітності за попередні періоди, так і до виправлень несуттєвих помилок, які призвели б до викривлення, якщо їх не виправити».

Компанії повинні будуть подати свою політику повернення як приклад до своїх річних звітів, що подаються до SEC.

Кулі зазначає: «Емітенти матимуть до одного року плюс 60 днів після публікації нового правила у Федеральному реєстрі, щоб прийняти відповідну політику, залежно від того, коли набудуть чинності стандарти лістингу бірж. Нове правило набуває чинності через 60 днів після публікації у Федеральному реєстрі. Емітенти повинні будуть прийняти політику не пізніше ніж через 60 днів після дати набрання чинності застосовними стандартами лістингу, і вони повинні будуть дотримуватися вимог щодо розкриття інформації в довіреності та інформаційних заявах і річних звітах, поданих на або після дати прийняття таких політик усиновлений. Менші звітні компанії, компанії, що розвиваються, та іноземні приватні емітенти НЕ звільняються».

Важливо зазначити, що нове правило не містить посилання на тригер, заснований на неправомірній поведінці, не пов’язаній з фінансовими перерахунками… багато компаній зараз мають цей тригер.

Я пропоную, щоб ради почали навчати та інформувати керівництво та директорів про нові вимоги. Подивіться на свою поточну політику відшкодування, щоб почати бачити, які зміни потрібно буде внести. Переконайтеся, що політика відповідає вимогам нових правил. Компанії також повинні переглянути та змінити існуючі трудові угоди.

Ключові висновки

Компанії, зареєстровані на біржах, повинні будуть:

Прийняти/дотримуватися політики відшкодування Зробіть необхідне розкриття інформації щодо політики. Емітенти матимуть до одного року плюс 60 днів після публікації нового правила в. Менші звітні компанії, компанії, що розвиваються, та іноземні приватні емітенти НЕ звільняються.

Новий ESG звіт ЄС

У Європейському Союзі затверджено нові вимоги до екологічної, соціальної та управлінської звітності (ESG), які називаються Директивою щодо корпоративної звітності щодо сталого розвитку (CSRD). Відповідно до проекту CSRD, початковий набір ESRS має бути прийнятий до 30 червня 2023 року.

Ці нові вимоги ЄС до звітності ESG істотно вплинуть на ландшафт нефінансової звітності. Широкий спектр компаній, включаючи як державні, так і приватні компанії за межами ЄС, які відповідатимуть новим порогам, яким раніше не потрібно було відповідати обов’язковій нефінансовій звітності.

Для емітентів США ці нові правила ЄС призводять до обов’язкової звітності ESG, яка є набагато ширшою, ніж поточні теми ESG США, які охоплюються поточними (і запропонованими в майбутньому) правилами SEC.

Подивіться на цю таблицю від Cooley, яка висвітлює ключові особливості стандартів звітності ЄС і SEC/ключові особливості.

Ці нові вимоги ЄС охоплюють набагато ширший набір тем, ніж те, що вимагається у звітності ESG США.

Крім того, американські компанії повинні підготуватися до застосування підходу «подвійної суттєвості», який включатиме стандарт впливу, який дуже відрізняється від системи SEC, орієнтованої на інвесторів.

Багато компаній уже почали добровільно звітувати про ESG… для багатьох компаній звітність ESG була маркетинговою ініціативою. Можливо, настав час залучити юридичні та фінансові команди для консультування та перегляду розкриття інформації ESG, оскільки звітність стає все більш обов’язковою в різних регіонах і галузях.

Ключові висновки:

ЄС прийняв більш жорсткі вимоги до звітності ESG. Американські компанії повинні підготуватися до застосування підходу «подвійної суттєвості», який включатиме стандарт впливу, який суттєво відрізняється від системи SEC, орієнтованої на інвесторів. Можливо, настав час залучити юридичні та фінансові команди для консультування та перегляду розкриття інформації ESG, оскільки звітність стає все більш обов’язковою в різних регіонах і галузях.

SEC щодо кібербезпеки/вимог до управління

Згідно з існуючими рамками звітності для публічних компаній, не було розкриття чіткої інформації щодо кібербезпеки.

У березні 2022 року SEC оголосила про запропоновані правила та відкрила період коментарів, який закінчився у травні 2022 року. Очікується, що остаточні дії щодо правил будуть оголошені у квітні 2023 року.

Запропоновані правила вимагають від компанії розкриття інформації протягом чотирьох робочих днів після того, як компанія визначила, що у неї стався «значний інцидент кібербезпеки», а не виявлення такого інциденту. SEC зазначає, що очікує, що компанії «старанно визначать суттєвість якнайшвидше, наскільки це можливо».

Повідомляючи про суттєвий інцидент кібербезпеки, компанія повинна буде розкрити (наскільки відомо на момент подання заяви):

Коли інцидент було виявлено / чи триває він. Опис характеру та масштабів інциденту. Чи були будь-які дані вкрадені, змінені, доступ до них чи використання з будь-якою іншою несанкціонованою метою. Вплив інциденту кібербезпеки на діяльність компанії. Чи компанія усунула або зараз усуває інцидент.

Це викликає деякі занепокоєння. Наприклад, якщо стався суттєвий кіберінцидент, у компанії було б лише чотири дні, щоб оприлюднити його публічно після визначення того, що інцидент справді був суттєвим. Визначення суттєвості передбачає як кількісні, так і якісні оцінки; цей процес потрібно створити. Крім того, правила вимагають, щоб будь-який попередній інцидент, який не досягає рівня суттєвості, згодом міг вважатися суттєвим у сукупності з іншими наступними та подібними кіберінцидентами. Процес і протоколи для цього агрегування вимагатимуть дуже ретельного нагляду з боку Правління та участі.

Згідно із запропонованими правилами, компанії повинні будуть описувати нагляд ради за ризиками кібербезпеки. Компанії повинні будуть розкрити наступне:

Незалежно від того, чи відповідає за нагляд за ризиками кібербезпеки вся правління, окремі члени правління чи комітет правління. Який процес інформування правління про ризики кібербезпеки та як часто ця тема обговорюється. Як правління або комітети правління розглядають ризики кібербезпеки як частину своєї бізнес-стратегії, управління ризиками та фінансового нагляду.

Незважаючи на те, що запропоновані правила та норми ще не завершено, компанії можуть очікувати, що ці вимоги будуть завершені протягом наступних 6 місяців, і повинні почати готуватися до їх виконання.

Ще одним важливим фактором є те, що запропоновані правила торкнуться як малих компаній, так і великих транснаціональних компаній. Це зрозуміло, оскільки практично всі компанії підключені до Інтернету. Більшість ланцюгів постачання включають дрібних дилерів, дистриб'юторів і виробників. Запропоновані правила не виключають компанії за розміром. Ми всі пам’ятаємо, як чули про те, що порушення великих компаній часто походять від їхніх менш пильних або обмежених ресурсами менших компаній, які є частиною їхнього ланцюжка постачання, або їхніх дилерів та дистриб’юторської мережі.

Нові правила ставлять перед радою такі запитання: чи є в раді кіберексперт? Які вони мають повноваження та як визначався їхній досвід? Як Правління здійснює нагляд за кіберризиками? Чи враховує компанія ризики кібербезпеки у своїй бізнес-стратегії, фінансовому плануванні та процесах розподілу капіталу?

Запропонована постанова не вказує на те, який комітет правління має нести кіберризик у свою компетенцію, це залишається темою для визначення правлінням. Варто розглянути плюси і мінуси. Дехто зауважує, що аудиторська комісія може бути надто перевантаженою, і чи є у них час і досвід для спостереження за постійно зростаючими кіберризиками? Крім того, комітети з аудиту вже повинні дотримуватись підвищених термінів подання фінансової звітності, тому Рада має врахувати це ще одне міркування.

Компанії також запитують, чи є у вас директор з інформаційної безпеки? Куди ця людина звітує? Які в них облікові дані? У цих питаннях закладено тонке визначення того, чи повинен CISO звітувати незалежно від ІТ-організації, можливо, аналогічно тому, як служби внутрішнього аудиту зазвичай не звітують у фінансовій організації.

Ймовірно, зараз дуже вдалий час, щоб зовнішня стороння фірма з тестування кіберпроникнення перевірила поточні системи компанії.

Можливо, це також гарний час, щоб побудувати відносини з постачальником кіберкерованих послуг (MSP), який може здійснювати зовнішній моніторинг, щоб збільшити те, що ви зараз маєте вдома.

Компанії можуть розпочати перегляд існуючої політики кібербезпеки, процедур, засобів контролю та заходів реагування. Компанії також можуть почати переглядати свої поточні структури/системи управління та перевірити, чи потрібно вносити якісь зміни в раду/комітети.

Інше питання, яке говорить про нагляд з боку Правління, полягає в тому, чи є у вас належне страхування та планування на випадок кіберзлому? Це піднімає питання про адекватність кіберстрахування компанії та про те, чи компанія фінансово моделює кіберризики на основі різних ймовірностей, від звичайної події до сценаріїв «Чорного лебедя».

Це конкретні запропоновані правила, які є складними, якщо не занепокоєними.

Є також припущення про те, наскільки дошка готова до кібернетики? Чи проводяться у вас брифінги зовнішніх експертів для ради? Зовнішні експерти проводять тестування на проникнення? Яке внутрішнє навчання ви здійснюєте в компанії? Чи мають директори зовнішні курси та сертифікати, які вони повинні отримати, щоб бути в курсі?

Ради директорів будуть добре обслуговуватися, щоб покращити розкриття інформації та додати до своїх біографій інформацію про те, які директори є їхніми кіберекспертами.

Загалом підвищення кваліфікації / опису директора є великою можливістю. Нещодавно я особисто зустрічався з кількома великими інституційними інвесторами. У більшості компаній є 10-12 інвесторів, які складають близько 70% вашої власності. Ці великі пасивні установи мають окремі керівні групи, які активно прагнуть розкриття інформації. Якщо ви поділитеся докладнішою інформацією про особистий досвід/точку зору свого режисера, то його відгуки будуть дуже позитивними. Використовуйте свій проксі-сервер, щоб розповідати більше історій «неюристизованою» простою мовою.

Оскільки ми плануємо на 2023 рік, наші наглядові обов’язки правління та очікування від регуляторів є більш вимогливими, ніж будь-коли. Правління має переконатися, що ми зберігаємо пріоритети та зосередженість на бізнесі.

Додаткове нормативне навантаження має якомога більше жити в комітетах.

Я пропоную окремі виклики дошки; наприклад, зробіть дзвінок до ради «навчання директорів» із попереднім читанням, а потім презентацією вашої сторонньої юридичної та бухгалтерської фірми. Попросіть кожного підготувати чітку коротку презентацію щодо нових розкриттів SEC. Допоможіть їм оновити вашу дошку.

Ключові висновки:

Очікується, що нові остаточні вимоги SEC щодо кібербезпеки/управління будуть оголошені у квітні 2023 року. Компанії повинні будуть розкрити інформацію протягом чотирьох робочих днів після того, як компанія визначить, що в неї стався «суттєвий інцидент кібербезпеки». Правління має бути готовим визначити, які директори займаються кібербезпекою. експерти. Можливо, компаніям було б добре розпочати перегляд існуючої політики кібербезпеки, процедур, засобів контролю та заходів реагування.

У нас є величезна кількість нових регуляторних наглядів, які ми маємо прийняти та реалізувати в наступному році. Ми повинні планувати та вкладати час.

Але найголовніше, правління не повинно дозволити собі бути перевантаженим цими процесами та питаннями відповідності. Наша справжня робота полягає в тому, щоб залишатися зосередженими на бізнесі нашої компанії та бути розпорядниками здоров’я та зростання нашої компанії.