Allied Irish Bank. Катастрофические потери банка ($700 млн), вызванные действиями трейдера AlliedIrishBank Джона Руснака (JohnRusnak), продемонстрировали всему миру отсутствие контроля за рисками при операциях на рынках капитала. Проведенное позже расследование подтвердило факт махинаций отдельных сотрудников. Банк выстоял только благодаря слиянию с другими банками под гарантии правительства Ирландии [1].
Банкротство HealthSouth. Ежегодный оборот крупнейшей в Соединенных Штатах компании по оказанию медицинских услуг составлял $4,5 млрд. За несколько лет топ-менеджмент завысил прибыли более чем на $3 млрд с целью искусственно поднять стоимость акций HealthSouth на фондовом рынке. В марте 2003 г. SEC обвинила корпорацию и ее генерального директора Ричарда Скруши (Richard Scrushy) в завышении доходов за период 1999–2002 гг. на более чем $1,4 млрд и уклонении от уплаты $1 млрд налогов [17]. 15 топменеджеров HealthSouth были признаны виновными в финансовых махинациях, а против руководителя компании было выдвинуто 85 (!) уголовных обвинений.
В рамках скандала была затронута репутация аудиторской фирмы Ernst & Young LLP, офис которой в Бирмингеме выпускал аудиторское заключение в отношении компании. На основании материалов расследования акционеры и держатели бондов HealthSouth предъявили к Ernst & Young LLP судебные иски. Аудитор согласился выплатить акционерам и профессиональным инвесторам HealthSouth $109 млн отступных [4, 19].
В целях восстановления доверия инвесторов к механизмам финансовых рынков, обеспечивающим разумную гарантию возврата инвестиций, в 2002 г. Конгресс США утвердил акт Сарбейнса – Оксли (далее – SOX), устанавливавший ответственность за нарушения, допущенные руководством публичных компаний в области корпоративного управления.
Многие слышали о данном документе и о его влиянии на практику современного корпоративного управления в США и в мире. Компании, деятельность которых подпадает под регулирование SOX, обязаны выстраивать систему внутреннего контроля и аудита. Если с внутренним аудитом российским компаниям уже приходилось сталкиваться, то отечественная теория и практика формирования эффективных систем внутреннего контроля только начинает формироваться. Система внутреннего контроля в общем виде состоит из процедур, правил, инструкций, бюджетов, политики, а также сотрудников, уполномоченных осуществлять контроль и информировать подписывающих отчетность руководителей о его результатах [8].
Эта система направлена в конечном итоге на создание необходимых предпосылок к тому, что компания в целом и ее руководители в частности достигнут поставленных целей и что риски, которые могут повлиять на достижение целей, будут учитываться менеджментом при принятии управленческих решений.
SOX в первую очередь ориентирован на контроль процесса формирования отчетности, но, как можно увидеть из соответствующих разделов акта, такой контроль подразумевает также и контроль всех основных и обеспечивающих процессов компании. Раздел 302 устанавливает ряд требований к лицам, подписывающим отчетность:
они должны отвечать за создание системы внутреннего контроля и управление ею; систему внутреннего контроля необходимо сформировать таким образом, чтобы указанным лицам была известна вся информация, касающаяся компаний, деятельность которых за соответствующий период находит отражение в отчетности (т.е. в консолидированной отчетности);
лица, согласующие отчетность, должны проводить переоценку системы внутреннего контроля не позднее чем за 90 дней до выпуска отчетности; данная оценка должна получить отражение в отчетности;
лица, согласующие отчетность, должны представить внешним и внутренним аудиторам, а также полномочному комитету при совете директоров информацию обо всех известных им фактах, характеризующих невозможность получать в полной мере, агрегировать и обрабатывать финансовую информацию, о недостаточности системы внутреннего контроля, о мошеннических действиях, совершенных сотрудниками компании, о воздействиях на систему внутреннего контроля, в результате которых может снизиться ее эффективность [13].
Раздел 404 закрепляет за SEC обязанность выпускать правила, на основании которых формируется ежегодная отчетность публичных компаний США. Эти правила должны определять роль менеджмента в формировании структур внутреннего контроля и процедур подготовки финансовой отчетности, устанавливать порядок и критерии оценки эффективности указанных структур и процедур.
В разделе 404 упомянута также деятельность аудиторских компаний. Последние в рамках подготовки аудиторского заключения должны подтвердить, что менеджмент оценивал структуру внутреннего контроля компании в соответствии со стандартами, разработанными советом директоров.
В своей речи, произнесенной 27 сентября 2002 г., комиссар SEC Синтия Глассман (Cynthia Glassman) описала роль и место вышеупомянутых разделов в практике корпоративного управления: «…действиям, которые в соответствии с актом Сарбейнса – Оксли и требованиями SEC должны осуществлять генеральные директора и советы директоров компаний, должно предшествовать осознание опасности и понимание ее причин. В соответствии с правилами SEC и актом Сарбейнса – Оксли процедуры внутреннего контроля должны обеспечивать попадание всей информации (как финансовой, так и нефинансовой) к тем, кто ответственен за принятие решений, управление рисками и публикацию отчетности компаний» [10].
По мнению автора, катастрофические последствия современного кризиса окажут воздействие на развитие и совершенствование внутреннего контроля как ключевой функции менеджмента и советов директоров.
Скандальная ситуация с бонусами менеджмента и членов советов директоров Merrill Lynch, BankofAmerica, AIG [20], вызвавшая полемику в американском обществе, и последовавшие за этим жесткие высказывания со стороны администрации Белого дома привели к тому, что Казначейство США разрабатывает новые требования к процессу определения компенсаций членам правления и менеджменту публичных компаний, в большей степени зависящих от эффективности управления рисками.
Помимо требований со стороны агентств правительства США сами площадки капитала стремятся повысить гарантии защищенности средств инвесторов через совершенствование правил, предъявляемых к эмитентам. Нью-Йоркская фондовая биржа включила в свои требования пункт о том, что комитеты по аудиту при советах директоров компаний обязаны обсуждать оценку рисков и политику по управлению рисками. Рейтинговые агентства, к примеру Standard & Poor's, оценивают процесс корпоративного управления рисками в рамках определения кредитного рейтинга компании [5].
Ключевую роль в развитии внутреннего контроля и управления рисками сыграют новые правила SEC. Выступая в апреле 2009 г. перед Советом институциональных инвесторов США (CII), Мари Шапиро (Mary Schapiro), председатель Securities and Exchange Commission, указала, что требования регулятора к раскрытию рисков, с которыми столк нулась компания, а также степень зависимости компенсаций, выплачиваемых руководству публичных компаний, от эффективности процесса управления этими рисками в перспективе подвергнутся значительной корректировке [15].
Одной из ключевых задач советов директоров станет надзор за процессом управления рисками. Можно предположить, что внимание, уделяемое ключевыми регуляторами и правительством США проблемам управления рисками, изменит существующее положение вещей: в течение последних лет одни организации формировали (приобретали, наследовали) сложные и эффективные системы управления рисками, тогда как другие подходили к данному вопросу исключительно формально. Кризис показал, что формальный подход к управлению рисками неприемлем, часть рисков можно было минимизировать путем приведения системы рискменеджмента в соответствие реалиям бизнеса. Акционеры компаний, особо пострадавших в результате реализации рисков, инициированных кризисом, требуют, во-первых, повышения эффективности управления в целом и рисками в частности, а во-вторых, ужесточения норм, касающихся ответственности за принятые решения. Таким образом, руководители публичных компаний в ближайшее время столкнутся с двойным воздействием – со стороны регуляторов и со стороны акционеров, – направленным на развитие системы управления рисками.
Корпоративное управление рисками – это процесс, позволяющий совету директоров сформировать целостный взгляд на все риски компании. В 2004 г. Комитет спонсорских организаций Комиссии Тредуэя (CommitteeofSponsoringOrganizationsoftheTreadwayCommission, COSO) опубликовал, наверное, самый известный документ, касающийся данной проблемы, – «Корпоративный риск-менеджмент – интегрированные принципы» (Enterprise Risk Management – Integrated Framework) [3]. Данные принципы определяют корпоративное управление рисками как осуществляемый советом директоров, менеджментом и сотрудниками процесс, который интегрирован в стратегические установки и деятельность организации. Реализация процесса предусматривает идентификацию рисков и управление ими с учетом риск-аппетита компании и направлена на обеспечение разумной гарантии в отношении достижения целей организации.
В нынешней ситуации корпоративное управление рисками может быть наиболее перспективным подходом, позволяющим реализовать эффективную надзорную функцию. Грамотное внедрение и последующее использование данного подхода повысят не только вероятность выполнения долгосрочных организационных планов, но и привлекательность компании для инвесторов. В рамках реализации процесса управления рисками советам директоров компаний отведена критически важная роль – надзор за качеством и эффективностью управления рисками и системы внутреннего контроля.