Развитие внутреннего контроля и управления рисками в публичных компаниях при работе на открытых рынках
Эта система направлена в конечном итоге на создание необходимых предпосылок к тому, что компания в целом и ее руководители в частности достигнут поставленных целей и что риски, которые могут повлиять на достижение целей, будут учитываться менеджментом при принятии управленческих решений.
SOX в первую очередь ориентирован на контроль процесса формирования отчетности, но, как можно увидеть из соответствующих разделов акта, такой контроль подразумевает также и контроль всех основных и обеспечивающих процессов компании. Раздел 302 устанавливает ряд требований к лицам, подписывающим отчетность:
они должны отвечать за создание системы внутреннего контроля и управление ею; систему внутреннего контроля необходимо сформировать таким образом, чтобы указанным лицам была известна вся информация, касающаяся компаний, деятельность которых за соответствующий период находит отражение в отчетности (т.е. в консолидированной отчетности);
лица, согласующие отчетность, должны проводить переоценку системы внутреннего контроля не позднее чем за 90 дней до выпуска отчетности; данная оценка должна получить отражение в отчетности;
лица, согласующие отчетность, должны представить внешним и внутренним аудиторам, а также полномочному комитету при совете директоров информацию обо всех известных им фактах, характеризующих невозможность получать в полной мере, агрегировать и обрабатывать финансовую информацию, о недостаточности системы внутреннего контроля, о мошеннических действиях, совершенных сотрудниками компании, о воздействиях на систему внутреннего контроля, в результате которых может снизиться ее эффективность [13].
Раздел 404 закрепляет за SEC обязанность выпускать правила, на основании которых формируется ежегодная отчетность публичных компаний США. Эти правила должны определять роль менеджмента в формировании структур внутреннего контроля и процедур подготовки финансовой отчетности, устанавливать порядок и критерии оценки эффективности указанных структур и процедур.
В разделе 404 упомянута также деятельность аудиторских компаний. Последние в рамках подготовки аудиторского заключения должны подтвердить, что менеджмент оценивал структуру внутреннего контроля компании в соответствии со стандартами, разработанными советом директоров.
В своей речи, произнесенной 27 сентября 2002 г., комиссар SEC Синтия Глассман (Cynthia Glassman) описала роль и место вышеупомянутых разделов в практике корпоративного управления: «…действиям, которые в соответствии с актом Сарбейнса – Оксли и требованиями SEC должны осуществлять генеральные директора и советы директоров компаний, должно предшествовать осознание опасности и понимание ее причин. В соответствии с правилами SEC и актом Сарбейнса – Оксли процедуры внутреннего контроля должны обеспечивать попадание всей информации (как финансовой, так и нефинансовой) к тем, кто ответственен за принятие решений, управление рисками и публикацию отчетности компаний» [10].
По мнению автора, катастрофические последствия современного кризиса окажут воздействие на развитие и совершенствование внутреннего контроля как ключевой функции менеджмента и советов директоров.
Скандальная ситуация с бонусами менеджмента и членов советов директоров Merrill Lynch, Bank of America, AIG [20], вызвавшая полемику в американском обществе, и последовавшие за этим жесткие высказывания со стороны администрации Белого дома привели к тому, что Казначейство США разрабатывает новые требования к процессу определения компенсаций членам правления и менеджменту публичных компаний, в большей степени зависящих от эффективности управления рисками.
Помимо требований со стороны агентств правительства США сами площадки капитала стремятся повысить гарантии защищенности средств инвесторов через совершенствование правил, предъявляемых к эмитентам. Нью-Йоркская фондовая биржа включила в свои требования пункт о том, что комитеты по аудиту при советах директоров компаний обязаны обсуждать оценку рисков и политику по управлению рисками. Рейтинговые агентства, к примеру Standard & Poor's, оценивают процесс корпоративного управления рисками в рамках определения кредитного рейтинга компании [5].