Раздел 404 закрепляет за SEC обязанность выпускать правила, на основании которых формируется ежегодная отчетность публичных компаний США. Эти правила должны определять роль менеджмента в формировании структур внутреннего контроля и процедур подготовки финансовой отчетности, устанавливать порядок и критерии оценки эффективности указанных структур и процедур.

В разделе 404 упомянута также деятельность аудиторских компаний. Последние в рамках подготовки аудиторского заключения должны подтвердить, что менеджмент оценивал структуру внутреннего контроля компании в соответствии со стандартами, разработанными советом директоров.

В своей речи, произнесенной 27 сентября 2002 г., комиссар SEC Синтия Глассман (Cynthia Glassman) описала роль и место вышеупомянутых разделов в практике корпоративного управления: «…действиям, которые в соответствии с актом Сарбейнса – Оксли и требованиями SEC должны осуществлять генеральные директора и советы директоров компаний, должно предшествовать осознание опасности и понимание ее причин. В соответствии с правилами SEC и актом Сарбейнса – Оксли процедуры внутреннего контроля должны обеспечивать попадание всей информации (как финансовой, так и нефинансовой) к тем, кто ответственен за принятие решений, управление рисками и публикацию отчетности компаний» [10].

По мнению автора, катастрофические последствия современного кризиса окажут воздействие на развитие и совершенствование внутреннего контроля как ключевой функции менеджмента и советов директоров.

Скандальная ситуация с бонусами менеджмента и членов советов директоров Merrill Lynch, Bank of America, AIG [20], вызвавшая полемику в американском обществе, и последовавшие за этим жесткие высказывания со стороны администрации Белого дома привели к тому, что Казначейство США разрабатывает новые требования к процессу определения компенсаций членам правления и менеджменту публичных компаний, в большей степени зависящих от эффективности управления рисками.

Помимо требований со стороны агентств правительства США сами площадки капитала стремятся повысить гарантии защищенности средств инвесторов через совершенствование правил, предъявляемых к эмитентам. Нью-Йоркская фондовая биржа включила в свои требования пункт о том, что комитеты по аудиту при советах директоров компаний обязаны обсуждать оценку рисков и политику по управлению рисками. Рейтинговые агентства, к примеру Standard & Poor's, оценивают процесс корпоративного управления рисками в рамках определения кредитного рейтинга компании [5].

Ключевую роль в развитии внутреннего контроля и управления рисками сыграют новые правила SEC. Выступая в апреле 2009 г. перед Советом институциональных инвесторов США (CII), Мари Шапиро (Mary Schapiro), председатель Securities and Exchange Commission, указала, что требования регулятора к раскрытию рисков, с которыми столк нулась компания, а также степень зависимости компенсаций, выплачиваемых руководству публичных компаний, от эффективности процесса управления этими рисками в перспективе подвергнутся значительной корректировке [15].

Одной из ключевых задач советов директоров станет надзор за процессом управления рисками. Можно предположить, что внимание, уделяемое ключевыми регуляторами и правительством США проблемам управления рисками, изменит существующее положение вещей: в течение последних лет одни организации формировали (приобретали, наследовали) сложные и эффективные системы управления рисками, тогда как другие подходили к данному вопросу исключительно формально. Кризис показал, что формальный подход к управлению рисками неприемлем, часть рисков можно было минимизировать путем приведения системы рискменеджмента в соответствие реалиям бизнеса. Акционеры компаний, особо пострадавших в результате реализации рисков, инициированных кризисом, требуют, во-первых, повышения эффективности управления в целом и рисками в частности, а во-вторых, ужесточения норм, касающихся ответственности за принятые решения. Таким образом, руководители публичных компаний в ближайшее время столкнутся с двойным воздействием – со стороны регуляторов и со стороны акционеров, – направленным на развитие системы управления рисками.

Корпоративное управление рисками – это процесс, позволяющий совету директоров сформировать целостный взгляд на все риски компании. В 2004 г. Комитет спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) опубликовал, наверное, самый известный документ, касающийся данной проблемы, – «Корпоративный риск-менеджмент – интегрированные принципы» (Enterprise Risk Management – Integrated Framework) [3]. Данные принципы определяют корпоративное управление рисками как осуществляемый советом директоров, менеджментом и сотрудниками процесс, который интегрирован в стратегические установки и деятельность организации. Реализация процесса предусматривает идентификацию рисков и управление ими с учетом риск-аппетита компании и направлена на обеспечение разумной гарантии в отношении достижения целей организации.

В нынешней ситуации корпоративное управление рисками может быть наиболее перспективным подходом, позволяющим реализовать эффективную надзорную функцию. Грамотное внедрение и последующее использование данного подхода повысят не только вероятность выполнения долгосрочных организационных планов, но и привлекательность компании для инвесторов. В рамках реализации процесса управления рисками советам директоров компаний отведена критически важная роль – надзор за качеством и эффективностью управления рисками и системы внутреннего контроля.

В своих рекомендациях COSO обозначил следующие зоны ответственности совета директоров.

1. Формирование риск-философии и рискаппетита компании.

2. Понимание объемов, в которых менеджмент установил эффективную корпоративную систему управления рисками и внутреннего контроля.

3. Систематическая оценка портфеля рисков организации с учетом ее риск-аппетита. Эффективность надзора за процессом управления рисками зависит от способности совета директоров формировать и оценивать стратегию компании с точки зрения ожидаемых рисков. Для решения указанной задачи совету директоров необходимы достаточное количество времени, а также актуальная, достоверная и исчерпывающая информация, касающаяся рисков.

4. Оценка и контроль наиболее значительных рисков и способности менеджмента соответствующе на них реагировать [5].

Безусловно, корпоративное управление рисками не гарантирует полного устранения проблем, с которыми публичные компании столкнулись в последнее время. Если учесть, что в каждой компании уже существует определенная организационная культура, то управление рисками – процесс новый, его внедрение сопряжено с издержками на обучение и развитие сотрудников, проведение детального описания имеющихся бизнес-процессов организации, реформирование организационной структуры, идентификацию вероятных рисков и построение адекватной системы внутреннего контроля, поиск кадров, способных решить эту сложную задачу.