Type to search

Новые правила и положения SEC

26 января, 2023
Share

Наблюдатель за инвестициями и фондовым рынком

Вашингтон, округ Колумбия: Внешний вид здания Комиссии по ценным бумагам и биржам США. Комиссия по ценным бумагам и … [+] Комиссия по биржам (SEC) является независимым агентством федерального правительства США. SEC несет основную ответственность за обеспечение соблюдения федеральных законов о ценных бумагах, разработку правил ценных бумаг и регулирование индустрии ценных бумаг, национальных фондовых и опционных бирж, а также других видов деятельности и организаций, включая рынки электронных ценных бумаг в Соединенных Штатах.

гетти

Добро пожаловать в новые обязанности по надзору за советом… Это одна из замечательных вещей в работе совета… она постоянно меняется и развивается. Каждый год в стандартах корпоративного управления происходят изменения, чтобы развиваться вместе с быстро меняющейся бизнес-средой и оставаться в соответствии с меняющимися приоритетами инвесторов и регулирующих органов.

SEC предлагает новые правила на 2023 год.

Вот что я узнал:

26 октября 2022 года Комиссия по ценным бумагам и биржам США (SEC) приняла окончательное правило, которое требует от публичных компаний принять политику возврата компенсации.

В 2010 году Конгресс утвердил правило о возврате компенсации — это правило является последним из положений о компенсации исполнительной власти, дорабатываемых SEC в соответствии с требованиями Закона Додда-Франка.

SEC призывает биржи национальной безопасности (т.е. Nasdaq, NYSE) потребовать от компаний, котирующихся на их биржах, принятия политики возврата. Фондовые биржи добавят требования политики в отношении возвратов к своим листинговым требованиям корпоративного управления.

Компании, котирующиеся на биржах, должны будут:

– Принять / соблюдать политику возврата

– Сделать необходимые раскрытия информации, касающиеся политики

Правило гласит, что если компания обязана подготовить финансовый пересчет и возместить часть поощрительной компенсации, выплаченной ее нынешним или бывшим руководителям, на основании любого искаженного финансового показателя. Политика применяется к компенсации, полученной в течение трех последних завершенных финансовых лет до даты, когда компания выпустила пересчет.

«Правило применяется как к исправлению существенных ошибок, допущенных путем пересчета финансовой отчетности за предыдущий период, так и к исправлению несущественных ошибок, которые могут привести к искажению, если их не исправить».

Компании должны будут подать свою политику возврата в качестве приложения к своим годовым отчетам, поданным в SEC.

Кули заявляет: «У эмитентов будет до одного года плюс 60 дней после публикации нового правила в Федеральном реестре, чтобы принять соответствующие политики, в зависимости от того, когда вступят в силу стандарты биржевого листинга. Новое правило вступает в силу через 60 дней после публикации в Федеральном реестре. Эмитенты должны будут принять политику не позднее, чем через 60 дней после даты вступления в силу применимых стандартов листинга, и они будут обязаны соблюдать требования о раскрытии информации в доверенностях и информационных заявлениях и годовых отчетах, поданных на или после даты такой политики. усыновленный. Небольшие отчитывающиеся компании, развивающиеся растущие компании и иностранные частные эмитенты НЕ являются исключением».

Важно отметить, что в новом правиле не упоминается включение триггера, основанного на неправомерных действиях, не связанных с пересмотром финансовой отчетности… Многие компании в настоящее время используют этот триггер.

Я предлагаю, чтобы советы директоров могли начать информировать и информировать руководство и директоров о новых требованиях. Посмотрите на свою текущую политику возврата, чтобы понять, какие изменения необходимо будет внести. Убедитесь, что политика соответствует требованиям нового правила. Компании также должны пересмотреть и внести поправки в существующие трудовые договоры.

Ключевые выводы

Компании, котирующиеся на биржах, должны будут:

Принятие/соблюдение политики возврата средств Предоставление необходимой информации, касающейся политики. У эмитентов будет до одного года плюс 60 дней после публикации нового правила в разделе. Небольшие отчитывающиеся компании, растущие компании и иностранные частные эмитенты НЕ освобождаются от ответственности.

Новая отчетность ЕС по ESG

Новые экологические, социальные и управленческие требования к отчетности (ESG) под названием «Директива по корпоративной отчетности в области устойчивого развития» (CSRD) были утверждены в Европейском Союзе. Согласно проекту CSRD, первоначальный набор ESRS должен быть принят до 30 июня 2023 года.

Эти новые требования ЕС к отчетности ESG окажут существенное влияние на нефинансовую отчетность. Широкий круг компаний, включая как государственные, так и частные компании из стран, не входящих в ЕС, которые будут соответствовать новым пороговым значениям и которым ранее не нужно было представлять обязательную нефинансовую отчетность.

Для эмитентов из США эти новые правила ЕС приводят к обязательной отчетности ESG, которая намного шире, чем текущие темы ESG США, которые охватываются текущими (и предполагаемыми будущими) правилами SEC.

Взгляните на эту таблицу от Cooley, в которой отмечены ключевые особенности стандартов отчетности ЕС и SEC / ключевые особенности.

Эти новые требования ЕС охватывают гораздо более широкий набор тем, чем то, что требуется в отчетности ESG США.

Кроме того, американские компании должны подготовиться к принятию подхода «двойной существенности», который будет включать стандарт воздействия, который сильно отличается от структуры, ориентированной на инвесторов SEC.

Многие компании уже начали добровольно отчитываться по ESG… для многих компаний отчетность по ESG была маркетинговой инициативой. Возможно, пришло время привлечь юридические и финансовые группы для консультирования и проверки раскрытия ESG, поскольку отчетность становится все более обязательной в разных регионах и отраслях.

Основные выводы:

ЕС принял более строгие требования к отчетности ESG. Американские компании должны подготовиться к принятию подхода «двойной существенности», который будет включать стандарт воздействия, который сильно отличается от структуры, ориентированной на инвесторов SEC. Возможно, пришло время привлечь юридические и финансовые группы для консультирования и проверки раскрытия ESG, поскольку отчетность становится все более обязательной в разных регионах и отраслях.

Требования к кибербезопасности / управлению SEC

В соответствии с существующими системами отчетности для публичных компаний не было явного раскрытия информации о кибербезопасности.

В марте 2022 года SEC объявила о предлагаемых правилах и открыла период комментариев, который закончился в мае 2022 года. Ожидается, что окончательные действия по правилам будут объявлены в апреле 2023 года.

Предлагаемые правила требуют, чтобы компания раскрывала информацию в течение четырех рабочих дней после того, как компания определила, что она столкнулась с «существенным инцидентом кибербезопасности», а не с обнаружением такого инцидента. SEC отмечает, что ожидает, что компании «будут усердно определять существенность как можно быстрее».

При сообщении о существенном инциденте кибербезопасности компания должна раскрыть (насколько это известно на момент подачи):

Когда инцидент был обнаружен / продолжается ли он. Описание характера и масштаба инцидента. Были ли какие-либо данные украдены, изменены, получили доступ или использованы для любых других несанкционированных целей. Влияние инцидента кибербезопасности на деятельность компании. Устранила ли компания или в настоящее время устраняет инцидент.

Это вызывает некоторые опасения. Например, если произошел существенный кибер-инцидент, у компании будет только четыре дня, чтобы публично раскрыть его после определения того, что инцидент действительно был существенным. Определение существенности включает как количественную, так и качественную оценку; этот процесс должен быть создан. Кроме того, правила требуют, чтобы любой предыдущий инцидент, который не достигает уровня существенности, впоследствии мог считаться существенным при объединении с другими последующими и аналогичными киберинцидентами. Процесс и протоколы для этого агрегирования потребуют очень тщательного надзора и участия Правления.

В соответствии с предлагаемыми правилами компании должны будут описать надзор советов директоров за рисками кибербезопасности. Компании должны будут раскрыть следующую информацию:

Независимо от того, несет ли ответственность за надзор за рисками кибербезопасности все правление, отдельные члены правления или комитет правления. Каков процесс информирования совета директоров о рисках кибербезопасности и как часто обсуждается эта тема. Как правление или комитеты правления рассматривают риски кибербезопасности в рамках своей бизнес-стратегии, управления рисками и финансового надзора.

Несмотря на то, что предложенные правила и положения еще не завершены, компании могут ожидать, что эти требования будут завершены в течение следующих 6 месяцев, и им следует начать подготовку к их соблюдению.

Еще один примечательный фактор заключается в том, что предлагаемые правила коснутся как небольших компаний, так и крупных транснациональных корпораций. Это и понятно, учитывая, что практически все компании подключены к Интернету. Большинство цепочек поставок включают мелких дилеров, дистрибьюторов и производителей. Предлагаемые правила не исключают компании по размеру. Мы все помним, как слышали о том, что нарушения безопасности крупных компаний часто происходят из-за их менее бдительных или ограниченных в ресурсах небольших компаний, которые являются частью их цепочки поставок или их сети дистрибьюторов и дистрибьюторов.

Новые правила ставят перед советом директоров такие вопросы, как: есть ли в совете эксперт по кибербезопасности? Каковы их полномочия и как был определен их опыт? Как Совет осуществляет надзор за киберрисками? Учитывает ли компания риски кибербезопасности в своей бизнес-стратегии, финансовом планировании и процессах распределения капитала?

Предлагаемое положение не определяет, какой комитет Правления должен нести ответственность за кибер-риски в свою компетенцию, это остается темой, которую должны определить Правления. Есть плюсы и минусы, которые следует учитывать. Некоторые отмечают, что комитет по аудиту может быть слишком перегружен, и есть ли у них время и опыт для наблюдения за постоянно растущими киберрисками? Кроме того, комитеты по аудиту уже должны соблюдать более строгие сроки представления финансовой отчетности, так что это еще одно соображение, которое необходимо учитывать Совету директоров.

Компании также спрашивают, есть ли у вас директор по информационной безопасности? Куда сообщает этот человек? Каковы их полномочия? В эти вопросы встроено тонкое определение того, должен ли директор по информационной безопасности отчитываться независимо от ИТ-организации, возможно, аналогично тому, как службы внутреннего аудита обычно не отчитываются внутри финансовой организации.

Вероятно, сейчас самое подходящее время, чтобы сторонняя фирма, занимающаяся тестированием на проникновение в киберпространство, проверила текущие системы компании.

Это также может быть подходящим моментом для налаживания отношений с поставщиком управляемых киберуслуг (MSP), который может осуществлять внешний мониторинг, чтобы расширить то, что у вас есть в настоящее время.

Компании хорошо подготовлены для того, чтобы приступить к пересмотру существующих политик, процедур, средств контроля и мер реагирования в области кибербезопасности. Компании также могут захотеть приступить к пересмотру своих текущих структур / механизмов управления и необходимости внесения каких-либо изменений в совет / комитеты.

Еще один вопрос, который говорит о надзоре со стороны Совета, заключается в том, есть ли у вас адекватная страховка и планирование на случай кибератаки? Это поднимает вопрос об адекватности киберстрахования компании и о том, занимается ли компания финансовым моделированием киберрисков на основе различных вероятностей, от обычного события до сценариев «черного лебедя».

Это конкретные предлагаемые правила, которые сложны, если не касаются.

Есть также предполагаемые вопросы: насколько плата готова к кибербезопасности? Проводите ли вы брифинги внешних экспертов для правления? Внешние эксперты проводят тестирование на проникновение? Какое внутреннее обучение вы курируете в компании? Есть ли у директоров внешние курсы и сертификаты, которые они должны получить, чтобы оставаться в курсе событий?

Советы директоров будут хорошо обслуживаться, чтобы расширить их раскрытие информации и добавить в свои биографии записи в своих доверенных лицах, какие директора являются их киберэкспертами.

Как правило, повышение квалификации / описания режиссера — это большая возможность. Недавно я лично встречался с несколькими крупными институциональными инвесторами. У большинства компаний есть 10-12 инвесторов, которые составляют около 70% вашей собственности. В этих крупных пассивных учреждениях есть отдельные группы управления, которые активно добиваются большего раскрытия информации. Если вы расскажете больше об опыте / взглядах вашего индивидуального директора, это будет очень положительным моментом в их отзывах. Используйте свое доверенное лицо, чтобы рассказать больше историй в «незаконной» простой речи.

Поскольку мы планируем на 2023 год, наши обязанности по надзору за советом директоров и ожидания от регулирующих органов становятся более требовательными, чем когда-либо. Советы директоров должны быть уверены, что мы сохраняем наши приоритеты и фокусируемся на бизнесе.

Дополнительная регулирующая нагрузка должна максимально возлагаться на комитеты.

Я предлагаю отдельные звонки на доску; например, проведите телеконференцию по «обучению директоров» с предварительным чтением, за которым последует презентация от вашей внешней юридической фирмы и бухгалтерской фирмы. Попросите каждого из них подготовить четкую краткую презентацию о новых раскрытиях SEC. Направляйте их, чтобы обновить вашу доску.

Основные выводы:

Ожидается, что новые окончательные требования SEC в области кибербезопасности/управления будут объявлены в апреле 2023 года. Компании должны будут раскрыть информацию в течение четырех рабочих дней после того, как компания определит, что она столкнулась с «существенным инцидентом в области кибербезопасности». Советы должны быть готовы определить, какие директора отвечают за кибербезопасность. эксперты. Возможно, компаниям было бы полезно начать пересматривать свои существующие политики, процедуры, средства контроля и меры реагирования в области кибербезопасности.

У нас есть огромное количество новых нормативных требований, которые необходимо принять и внедрить в предстоящем году. Мы должны планировать и инвестировать время.

Но самое главное, правление не должно быть перегружено этими процессами и вопросами соответствия. Наша истинная работа заключается в том, чтобы оставаться сосредоточенными на бизнесе нашей компании и быть распорядителями здоровья и роста нашей компании.

Previous Article
Next Article

Trending & Hot

Оркестровка портфоліо: нова суперсила приватного капіталу для покращення створення вартості
Інновації
В Ізраїлі бульдозером знесли піцерію через насмішки над заручницею ХАМАС
Новини війни, Новини світу
Виберіть або акцію Johnson & Johnson, або її аналог – обидва можуть запропонувати подібну прибутковість
Гроші
Как провести более чуткое увольнение
Без рубрики
США відправляють другий авіаносець до узбережжя Ізраїлю
Новини війни, Новини світу
With love by SkyBuss ©All rights reservd.