Развитие внутреннего контроля и управления рисками в публичных компаниях при работе на открытых рынках
Развитие внутреннего контроля и управления рисками в публичных компаниях при работе на открытых рынках
Развитие внутреннего контроля и управления рисками в публичных компаниях при работе на открытых рынках
Эффективность рынка, согласно одноименной гипотезе, зависит от степени доступности информации для его участников. Неравные возможности доступа к информации, а значит, и разные сроки ее анализа создают благоприятные условия для получения спекулятивных доходов и препятствуют долговременным финансовым вложениям. Степень рисков, сопряженных с инвестированием, обратно пропорциональна скорости получения и интерпретации соответствующей информации. Одним из факторов, определяющих привлекательность рынка для инвестора, являются требования, обязующие эмитента раскрывать отчетную информацию. Данные требования могут быть как внутренними, сформулированными менеджментом в целях повышения инвестиционной привлекательности, так и внешними (публичными), исходящими от профильных регуляторов (бирж, правительственных организаций, регулирующих биржевую, инвестиционную и отраслевую деятельность). Назначение публичной отчетности - предоставлять информацию, которая позволяет всем заинтересованным лицам принимать обоснованные экономические решения.
Мировой финансовый кризис выявил недостатки существовавших требований регуляторов к публикуемой отчетности. Ряд публичных компаний, предоставлявших «хорошую» (в плане показателей) и соответствующую требованиям отчетность, впоследствии оказались на грани банкротства. В отношении публичной отчетности этих компаний (опять же согласно требованиям регулирующих органов, например Комиссии по ценным бумагам и биржам (Securities and Exchange Commission, SEC)) было выпущено положительное заключение крупнейших и наиболее авторитетных консультационно-аудиторских компаний. К примеру, аудит банковской группы Merrill Lynch проводила Deloitte & Touche LLP, внешним аудитором финансово-страховой группы AIG с 2000 г. является PricewaterhouseCoopers [14], в банковской группе Citigroup аудит проводила компания KPMG LLP [6], внешний аудитор банка Colonial Banc Group - все та же PricewaterhouseCoopers.
В настоящий момент реформирование принципов регулирования процедур, касающихся ведения публичной отчетности, является одной из важнейших мер, направленных на предотвращение финансового кризиса в будущем. Заинтересованность российских компаний в иностранных инвестициях вынуждает их формировать отчетность в соответствии с международными стандартами - МСФО для ЕС и Общепринятыми принципами бухгалтерского учета (ОПБУ), используемыми в США. На этом основании можно заключить, что российские компании, ценные бумаги которых торгуются на площадках США, ЕС, а также отечественные организации, привлекающие иностранное финансирование, будут вынуждены считаться с процессом реформирования. К тому же российские стандарты и практика регулирования развиваются в аналогичном направлении, поэтому описываемые инструменты внутреннего контроля и риск-менеджмента актуальны и для российских компаний, не связанных с иностранными инвестициями.
Современные требования, касающиеся степени раскрытия информации и ответственности руководителей и владельцев компаний за достоверность и объективность публичной отчетности, сформировались во многом под давлением общественности, активизировавшейся после оглушительных скандалов начала века, когда пошатнулись устои финансовых рынков Запада. Ослабла вера частных инвесторов в способность руководства публичных компаний обеспечить гарантированный возврат средств и эффективное их использование в целях увеличения капитализации компаний.
Рассмотрим вкратце банкротства, имевшие наибольший общественный резонанс.
Банкротство Enron. Enron была основана в 1985 г. и стала первой компанией, обладающей всеамериканской сетью газовых трубопроводов. Руководство компании имело тесные связи с представителями политических кругов, а президент корпорации Кеннет Лей (Kenneth Ley) был личным другом Джорджа Буша-младшего [7]. Благодаря административному ресурсу Enron не только получала долю в поставках электроэнергии, налоговые поблажки, но и оказывала решающее влияние на назначение лиц, ответственных за регулирование энергетического рынка. Свою инвестиционную привлекательность корпорация повышала способами, не противоречившими законодательству, однако искажавшими отчетность, в результате чего использование последней для принятия каких-либо инвестиционных решений становилось невозможным. Так, согласно данным отчетности, во втором квартале 2000 г. компания получила прибыль в размере $423 млн, при этом чистый отток денежных средств составлял $527 млн. Правило №123 Совета по стандартам бухгалтерского учета (организации, отвечающей за развитие Общепринятых принципов бухгалтерского учета в США) позволяло не учитывать опционы, выданные сотрудникам и членам совета директоров [16]. В результате к концу 2000 г. руководство и служащие Enron обладали опционами на приобретение 47 млн акций корпорации. Цена исполнения составляла $38, т.е. реализация сотрудниками своих опционов привела бы к изменению показателей отчетности более чем на $1,7 млрд (!) [2].
Искажению отчетности Enron также способствовало широкое использование забалансовых партнерств (off-balance-sheet-partnerships), которые позволяли «размывать» ликвидность практически до бесконечности, скрывать долги и демонстрировать дутые прибыли. Подобных партнерств у Enron было несколько сотен. Само по себе применение данного механизма не является нарушением закона, забалансовое партнерство - способ минимизировать подверженность материнской компании рискам, но в руках «финансового гения» Enron Эндрю Фастоу (Andrew Fastow), бессменного финансового директора компании, оно превратилось в мощнейший инструмент сокрытия убытков.
Для увеличения рыночной стоимости своих ценных бумаг Enron использовала средства пенсионного фонда корпорации. В соответствии с действовавшим правилом рядовые служащие, чьи средства на пенсионных счетах были вложены в акции компании, не имели права продавать их до выхода на пенсию. В результате катастрофического падения котировок акций (за период с августа 2000 г. по декабрь 2001 г. они подешевели более чем в 350 раз) стоимость пенсионного фонда упала на $1,2 млрд.
Банкротство WorldCom. Находясь на пике своей капитализации ($127 млрд в 1999 г.), компания считалась вторым в США провайдером телекоммуникационных услуг. В период снижения активности потребителей телекоммуникационных услуг (1999-2002 гг.) WorldCom улучшала свои финансовые показатели за счет ряда приемов, свидетельствующих об отсутствии эффективного внутреннего контроля за риском мошенничества, стратегическими и операционными рисками. Генеральный директор WorldCom Берни Эбберс (Bernie Ebbers) совместно с членом Комитета по аудиту компании Стайлсом Келлетом (Stiles Kellet) добились от Комитета по вознаграждениям одобрения долгосрочного займа и гарантий по займам для упомянутого генерального директора в размере $400 млн в обмен на обещание последнего не продавать принадлежащий ему пакет акций, что негативно повлияло бы на рыночную стоимость компании. В благодарность за оказанную поддержку Эбберс проинвестировал стартап Келлета VirtualBank, вложив $5 млн. [18]. Неспособность руководства управлять стратегическим риском падения спроса на телекоммуникационные услуги, реализовавшимся в 1999 г., привела к тому, что компания преступила закон и нарушила правила SEC. В 2001 г. и в первой четверти 2002 г. WorldCom отразила расходы на оплату услуг местных телефонных компаний (line charges fees) 2, составлявшие $3,9 млрд., как вложения во внеоборотные активы, списание которых должно было проходить постепенно, по мере их устаревания.
Падение и крах Arthur Andersen LLC. При расследовании причин банкротств Enron и WorldCom, проводившемся Security and Exchange Commission, значительное внимание уделялось нарушениям профессиональных стандартов, допущенным консультационно-аудиторской компанией Arthur Andersen LLC при выпуске аудиторских заключений в отношении указанных корпораций. Обвинения были выдвинуты против целого ряда действующих и бывших сотрудников Arthur Andersen LLC. Среди наиболее значимых фигур можно назвать главу хьюстонского офиса компании Дэвида Дункана (David Duncan) и бывшего партнера Arthur Andersen LLC Бена Глисена (Ben Glisan), руководителя казначейства Enron.
Здесь необходимо сделать небольшое отступление и внести ясность в структуру взаимоотношений SEC и аудиторских компаний. SEC как агентство правительства Соединенных Штатов осуществляет регулирование биржевой торговли. Компании, которые желают торговать своими ценными бумагами на национальных биржах США или на биржах более чем одного штата, должны пройти регистрацию SEC и следовать выработанным ею правилам. Согласно последним аудит объективности отчетности и ее соответствия ОПБУ могут проводить аудиторские фирмы, получившие лицензию сертифицированного публичного бухгалтера (Certified Public Accountant, CPA), которую выдает Коллегия публичных бухгалтеров штата. Коллегия не столько осуществляет надзор, сколько карает публичных бухгалтеров, нарушивших профессиональные стандарты. Получается, что агентство правительства США (SEC) переложило функции по контролю за выполнением своих правил на плечи коллегий штатов.
В июне 2002 г. Федеральный суд США признал Arthur Andersen LLC и ряд сотрудников компании виновными в препятствовании правосудию через уничтожение рабочих документов, относящихся к аудиту Enron [12].
Банкротство корпорации Adelphia. Данный случай - яркий пример того, как нарушения норм морали, этики, права способны «похоронить» телекоммуникационную компанию всеамериканского масштаба. Компания была основана Джоном Ригасом (John Rigas) в 1952 г. на $40 тыс., занятых у сенатора штата Пенсильвания и доктора из Коудерспота, знакомых Джона. К 2002 г. Adelphia стала пятым по величине поставщиком кабельных услуг с пятью миллионами пользователей. Полный контроль над корпорацией находился в руках семьи Ригас, рассматривавшей ее как собственный кошелек (несмотря на то что компания являлась публичной). Частный бизнес сыновей Джона Ригаса, приобретение домов, перелеты на самолетах финансировались из бюджета компании. Внутренний контроль как таковой фактически отсутствовал: Джон Ригас, председатель правления, являлся одновременно и главой комитета по аудиту. Результат плачевный: акционеры компании подали коллективный иск к менеджменту (семье Ригас). У SEC также были претензии к аудиторской компании Deloitte & Touche LLP, неспособной своевременно выявить мошенничество в Adelphia [9, 11].
Allied Irish Bank. Катастрофические потери банка ($700 млн), вызванные действиями трейдера Allied Irish Bank Джона Руснака (John Rusnak), продемонстрировали всему миру отсутствие контроля за рисками при операциях на рынках капитала. Проведенное позже расследование подтвердило факт махинаций отдельных сотрудников. Банк выстоял только благодаря слиянию с другими банками под гарантии правительства Ирландии [1].
Банкротство HealthSouth. Ежегодный оборот крупнейшей в Соединенных Штатах компании по оказанию медицинских услуг составлял $4,5 млрд. За несколько лет топ-менеджмент завысил прибыли более чем на $3 млрд с целью искусственно поднять стоимость акций HealthSouth на фондовом рынке. В марте 2003 г. SEC обвинила корпорацию и ее генерального директора Ричарда Скруши (Richard Scrushy) в завышении доходов за период 1999-2002 гг. на более чем $1,4 млрд и уклонении от уплаты $1 млрд налогов [17]. 15 топменеджеров HealthSouth были признаны виновными в финансовых махинациях, а против руководителя компании было выдвинуто 85 (!) уголовных обвинений.
В рамках скандала была затронута репутация аудиторской фирмы Ernst & Young LLP, офис которой в Бирмингеме выпускал аудиторское заключение в отношении компании. На основании материалов расследования акционеры и держатели бондов HealthSouth предъявили к Ernst & Young LLP судебные иски. Аудитор согласился выплатить акционерам и профессиональным инвесторам HealthSouth $109 млн отступных [4, 19].
В целях восстановления доверия инвесторов к механизмам финансовых рынков, обеспечивающим разумную гарантию возврата инвестиций, в 2002 г. Конгресс США утвердил акт Сарбейнса - Оксли (далее - SOX), устанавливавший ответственность за нарушения, допущенные руководством публичных компаний в области корпоративного управления.
Многие слышали о данном документе и о его влиянии на практику современного корпоративного управления в США и в мире. Компании, деятельность которых подпадает под регулирование SOX, обязаны выстраивать систему внутреннего контроля и аудита. Если с внутренним аудитом российским компаниям уже приходилось сталкиваться, то отечественная теория и практика формирования эффективных систем внутреннего контроля только начинает формироваться. Система внутреннего контроля в общем виде состоит из процедур, правил, инструкций, бюджетов, политики, а также сотрудников, уполномоченных осуществлять контроль и информировать подписывающих отчетность руководителей о его результатах [8].
Эта система направлена в конечном итоге на создание необходимых предпосылок к тому, что компания в целом и ее руководители в частности достигнут поставленных целей и что риски, которые могут повлиять на достижение целей, будут учитываться менеджментом при принятии управленческих решений.
SOX в первую очередь ориентирован на контроль процесса формирования отчетности, но, как можно увидеть из соответствующих разделов акта, такой контроль подразумевает также и контроль всех основных и обеспечивающих процессов компании. Раздел 302 устанавливает ряд требований к лицам, подписывающим отчетность:
?? они должны отвечать за создание системы внутреннего контроля и управление ею; ?? систему внутреннего контроля необходимо сформировать таким образом, чтобы указанным лицам была известна вся информация, касающаяся компаний, деятельность которых за соответствующий период находит отражение в отчетности (т.е. в консолидированной отчетности);
?? лица, согласующие отчетность, должны проводить переоценку системы внутреннего контроля не позднее чем за 90 дней до выпуска отчетности; данная оценка должна получить отражение в отчетности;
?? лица, согласующие отчетность, должны представить внешним и внутренним аудиторам, а также полномочному комитету при совете директоров информацию обо всех известных им фактах, характеризующих невозможность получать в полной мере, агрегировать и обрабатывать финансовую информацию, о недостаточности системы внутреннего контроля, о мошеннических действиях, совершенных сотрудниками компании, о воздействиях на систему внутреннего контроля, в результате которых может снизиться ее эффективность [13].
Раздел 404 закрепляет за SEC обязанность выпускать правила, на основании которых формируется ежегодная отчетность публичных компаний США. Эти правила должны определять роль менеджмента в формировании структур внутреннего контроля и процедур подготовки финансовой отчетности, устанавливать порядок и критерии оценки эффективности указанных структур и процедур.
В разделе 404 упомянута также деятельность аудиторских компаний. Последние в рамках подготовки аудиторского заключения должны подтвердить, что менеджмент оценивал структуру внутреннего контроля компании в соответствии со стандартами, разработанными советом директоров.
В своей речи, произнесенной 27 сентября 2002 г., комиссар SEC Синтия Глассман (Cynthia Glassman) описала роль и место вышеупомянутых разделов в практике корпоративного управления: «…действиям, которые в соответствии с актом Сарбейнса - Оксли и требованиями SEC должны осуществлять генеральные директора и советы директоров компаний, должно предшествовать осознание опасности и понимание ее причин. В соответствии с правилами SEC и актом Сарбейнса - Оксли процедуры внутреннего контроля должны обеспечивать попадание всей информации (как финансовой, так и нефинансовой) к тем, кто ответственен за принятие решений, управление рисками и публикацию отчетности компаний» [10].
По мнению автора, катастрофические последствия современного кризиса окажут воздействие на развитие и совершенствование внутреннего контроля как ключевой функции менеджмента и советов директоров.
Скандальная ситуация с бонусами менеджмента и членов советов директоров Merrill Lynch, Bank of America, AIG [20], вызвавшая полемику в американском обществе, и последовавшие за этим жесткие высказывания со стороны администрации Белого дома привели к тому, что Казначейство США разрабатывает новые требования к процессу определения компенсаций членам правления и менеджменту публичных компаний, в большей степени зависящих от эффективности управления рисками.
Помимо требований со стороны агентств правительства США сами площадки капитала стремятся повысить гарантии защищенности средств инвесторов через совершенствование правил, предъявляемых к эмитентам. Нью-Йоркская фондовая биржа включила в свои требования пункт о том, что комитеты по аудиту при советах директоров компаний обязаны обсуждать оценку рисков и политику по управлению рисками. Рейтинговые агентства, к примеру Standard & Poor's, оценивают процесс корпоративного управления рисками в рамках определения кредитного рейтинга компании [5].
Ключевую роль в развитии внутреннего контроля и управления рисками сыграют новые правила SEC. Выступая в апреле 2009 г. перед Советом институциональных инвесторов США (CII), Мари Шапиро (Mary Schapiro), председатель Securities and Exchange Commission, указала, что требования регулятора к раскрытию рисков, с которыми столк нулась компания, а также степень зависимости компенсаций, выплачиваемых руководству публичных компаний, от эффективности процесса управления этими рисками в перспективе подвергнутся значительной корректировке [15].
Одной из ключевых задач советов директоров станет надзор за процессом управления рисками. Можно предположить, что внимание, уделяемое ключевыми регуляторами и правительством США проблемам управления рисками, изменит существующее положение вещей: в течение последних лет одни организации формировали (приобретали, наследовали) сложные и эффективные системы управления рисками, тогда как другие подходили к данному вопросу исключительно формально. Кризис показал, что формальный подход к управлению рисками неприемлем, часть рисков можно было минимизировать путем приведения системы рискменеджмента в соответствие реалиям бизнеса. Акционеры компаний, особо пострадавших в результате реализации рисков, инициированных кризисом, требуют, во-первых, повышения эффективности управления в целом и рисками в частности, а во-вторых, ужесточения норм, касающихся ответственности за принятые решения. Таким образом, руководители публичных компаний в ближайшее время столкнутся с двойным воздействием - со стороны регуляторов и со стороны акционеров, - направленным на развитие системы управления рисками.
Корпоративное управление рисками - это процесс, позволяющий совету директоров сформировать целостный взгляд на все риски компании. В 2004 г. Комитет спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) опубликовал, наверное, самый известный документ, касающийся данной проблемы, - «Корпоративный риск-менеджмент - интегрированные принципы» (Enterprise Risk Management - Integrated Framework) [3]. Данные принципы определяют корпоративное управление рисками как осуществляемый советом директоров, менеджментом и сотрудниками процесс, который интегрирован в стратегические установки и деятельность организации. Реализация процесса предусматривает идентификацию рисков и управление ими с учетом риск-аппетита компании и направлена на обеспечение разумной гарантии в отношении достижения целей организации.
В нынешней ситуации корпоративное управление рисками может быть наиболее перспективным подходом, позволяющим реализовать эффективную надзорную функцию. Грамотное внедрение и последующее использование данного подхода повысят не только вероятность выполнения долгосрочных организационных планов, но и привлекательность компании для инвесторов. В рамках реализации процесса управления рисками советам директоров компаний отведена критически важная роль - надзор за качеством и эффективностью управления рисками и системы внутреннего контроля.
В своих рекомендациях COSO обозначил следующие зоны ответственности совета директоров.
1. Формирование риск-философии и рискаппетита компании.
2. Понимание объемов, в которых менеджмент установил эффективную корпоративную систему управления рисками и внутреннего контроля.
3. Систематическая оценка портфеля рисков организации с учетом ее риск-аппетита. Эффективность надзора за процессом управления рисками зависит от способности совета директоров формировать и оценивать стратегию компании с точки зрения ожидаемых рисков. Для решения указанной задачи совету директоров необходимы достаточное количество времени, а также актуальная, достоверная и исчерпывающая информация, касающаяся рисков.
4. Оценка и контроль наиболее значительных рисков и способности менеджмента соответствующе на них реагировать [5].
Безусловно, корпоративное управление рисками не гарантирует полного устранения проблем, с которыми публичные компании столкнулись в последнее время. Если учесть, что в каждой компании уже существует определенная организационная культура, то управление рисками - процесс новый, его внедрение сопряжено с издержками на обучение и развитие сотрудников, проведение детального описания имеющихся бизнес-процессов организации, реформирование организационной структуры, идентификацию вероятных рисков и построение адекватной системы внутреннего контроля, поиск кадров, способных решить эту сложную задачу.
Одним из возможных вариантов эффективного внедрения системы риск-менеджмента является постепенное формирование соответствующей корпоративной культуры, проводимое под надзором совета директоров. Для повышения степени контроля совет директоров зачастую использует профильные комитеты (комитеты по аудиту, вознаграждениям, стратегии). Каждый из них акцентирует внимание на соответствующем секторе деятельности организации, и, следовательно, способен более точно и оперативно идентифицировать те или иные риски. Такая схема позволяет создать предпосылки для внедрения системы управления рисками в условиях, когда компания в силу определенных обстоятельств не способна реализовать подобный проект в полном объеме и в кратчайшие сроки. Чем больше внимания будет уделять совет директоров вопросам управления рисками, тем более устойчивой окажется организация к негативным воздействиям внешней и внутренней среды. Корпоративное управление рисками позволяет принимать решения о судьбе компании именно с той «разумной осмотрительностью», за соблюдение которой так ратуют SEC и прочие регуляторы, подразумевающие под осмотрительностью баланс между желанием увеличить капитализацию компании и способностью противостоять тем рискам, которыми чреваты действия, направленные на такое увеличение.