Общая цель (Дж. Гэмбл, "Риск-менеджмент", N 3-4, март-апрель 2008 г.)

Общая цель

Как обеспечить партнерство отделов по управлению рисками и HR-служб для выполнения требований SOX.

Закон, известный под названием Sarbanes-Oxley (сокращенно SOX), был принят в США в 2002 году после ряда скандалов в крупных корпорациях. Он ужесточает ответственность менеджеров, совершивших корпоративное мошенничество, и предписывает компаниям внедрять политики и процедуры для обеспечения достоверности финансовой отчетности и адекватности системы внутреннего контроля за ее составлением. Большинство компаний сосредоточивает внимание именно на финансовой отчетности и полагает, что за выполнение требований этого закона отвечают правовой и финансовый департаменты.

Статьи 302 и 404: финансовая отчетность и внутренний контроль

Согласно статье 302 закона SOX, генеральный и финансовый директора компании, акции которой котируются на фондовых биржах США, должны удостоверять своей подписью то, что каждый отчет, предоставляемый в Комиссию по ценным бумагам, не содержит ложной информации, а данные представлены в полном объеме. Отчеты также обязательно должны содержать информацию о всех возможных недостатках внутренних процедур контроля, принятых в компании, которые могут повлиять на точность финансовых показателей, а также обо всех выявленных случаях мошенничества (с целью извлечения материальной или нематериальной выгоды) руководства или ключевых сотрудников компании, имеющих отношение к процедурам внутреннего контроля. В соответствии со статьей 404 менеджеры, управляющие акционерными обществами, отвечают за введение и соблюдение процедур внутреннего контроля при составлении финансовой отчетности и за предотвращение и своевременное выявление "незаконного приобретения, использования или передачи третьим лицам" значимых активов компании.

Периодические финансовые отчеты, направляемые в Комиссию по ценным бумагам, должны включать так называемые отчеты о внутреннем контроле, которые однозначно устанавливают ответственность руководства компании за соблюдение процедур финансового контроля. Эти отчеты должны содержать детальную оценку эффективности внутренних процедур защиты активов компании и информацию обо всех возможных недостатках таких процедур. Статьи 302 и 404 накладывают на руководство компании ответственность за соблюдение правил и процедур защиты активов компании, в том числе активов, связанных с человеческими ресурсами. Соблюдение этого требования невозможно без тесного взаимодействия руководства с отделами по управлению персоналом и управлению рисками.

Риски, связанные с человеческим капиталом

Кадровые ресурсы являются важным активом любой компании. Поэтому ключевые функции HR-отдела - наем, обучение и дисциплинарный контроль сотрудников - должны рассматриваться как важные элементы процедур контроля, предписанных статьей 404 SOX. HR-менеджер должен обладать опытом и знаниями, которые необходимы для решения судебных споров, связанных с персоналом.

Когда дело доходит до судебных исков, отдел по управлению рисками должен быть привлечен на как можно более раннем этапе разбирательства для оценки возможных угроз финансовому положению компании и поиска наиболее оптимальных и наименее затратных способов решения проблемы. Хотя со специалистами по оценке риска необходимо консультироваться во всех случаях возникновения угроз финансовому положению компании, разрешение судебных исков, связанных с персоналом, не всегда может быть оценено в денежном эквиваленте: неверное решение по одному случаю может повлечь за собой массовые иски сотрудников компании, непродуманная HR-политика может негативно отразиться на мотивации всех сотрудников. Поэтому для урегулирования претензий сотрудников так важно взаимодействие HR-отдела и отдела управления рисками.

Конфиденциальная информация и удержание ключевых сотрудников

Еще одной угрозой благосостоянию компании может явиться переход ключевых сотрудников к конкурентам, вследствие чего компания рискует потерять не только профессионалов, но зачастую и клиентов. HR-служба может способствовать минимизации последствий такого риска, включая в контракты о найме пункт о неразглашении конфиденциальной информации, в том числе информации о клиентах и специфике ведения бизнеса с каждым из них. Наличие такого пункта в контрактах может эффективно дополнять HR-стратегию по удержанию персонала.

Защита электронных баз данных

Сотрудничество риск-менеджеров и HR-отдела также необходимо для эффективной защиты информации. Данные, хранимые в электронном виде, могут быть одним из наиболее значимых активов компании, а в случае судебного разбирательства иметь решающее значение. Следовательно, HR-служба должна проводить программы обучения персонала, которые доводили бы до сведения сотрудников, что компания:

имеет право отслеживать целевое использование сотрудниками компьютеров и прочего оборудования в любое время без предварительного уведомления сотрудника;

должна иметь доступ к любым файлам, созданным сотрудником, в том числе к его электронной переписке;

может вести регистрацию всех действий сотрудника, осуществляемых на электронных устройствах, и в отдельных случаях разглашать информацию о таких действиях, что распространяется на содержание всей электронной почты, полученной или отправленной сотрудником. Кроме того, в соответствии с новыми требованиями, принятыми постановлениями судебных инстанций различного уровня, HR-службы и отделы по управлению рисками должны совместно разработать такие правила и процедуры, которые способствовали бы эффективной защите важных электронных данных от умышленного или неумышленного распространения.

Мошенничество внутри компании

В соответствии с требованиями SOX, риск-менеджмент должен уделять большое внимание защите материальных интересов акционеров и инвесторов. Статья 302 SOX требует уведомлять Комиссию по ценным бумагам обо всех случаях мошенничества (с целью извлечения материальной или нематериальной выгоды), совершенного руководством или ключевыми сотрудниками, имеющими отношение к процедурам внутреннего контроля. Таким образом, даже незначительные нарушения внутренних политик компании должны тщательно отслеживаться. Например, отдел по управлению рисками должен следить за тем, чтобы HR-служба тщательно анализировала все отчеты о расходах, осуществленных сотрудниками.

Информирование о случаях недобросовестного поведения

Согласно статье 301 SOX, аудиторские комитеты открытых акционерных обществ должны разработать процедуры, позволяющие сотрудникам анонимно предоставлять информацию обо всех случаях недобросовестного поведения, связанного с финансовой отчетностью, внутренним контролем и аудитом. Обычно для этого устанавливается специальный телефонный номер, по которому сотрудники могут позвонить и конфиденциально сообщить о подозрительных случаях "третьей стороне", нанятой для этих целей компанией в соответствии с требованиями статьи 301 SOX.

Для эффективного предотвращения возможных рисков необходимо:

провести обучение всех сотрудников компании, чтобы они имели четкое представление о процедурах подачи жалоб о финансовых нарушениях;

информировать всех менеджеров и руководителей о том, что необоснованные санкции против сотрудников, предоставляющих информацию о финансовых нарушениях, запрещены законом;

убедиться, что HR-отдел в полной мере готов к защите прав тех сотрудников, которые предоставили информацию о финансовых нарушениях, даже если впоследствии окажется, что нарушений не было.

HR-менеджеры в данной ситуации непосредственно отвечают за внедрение такой процедуры, а отдел по управлению рисками рассматривает все случаи недобросовестного поведения, представляющие угрозу для компании.

Разбирательства в случае поступления информации о предполагаемых
нарушениях

Требование статьи 806 SOX о разбирательствах в случае поступления информации о предполагаемых нарушениях представляет некоторую угрозу для компании не только с точки зрения возможных проблем, связанных с одним сотрудником, но и в связи с тем, что предъявляемые обвинения могут поставить под сомнения финансовую отчетность компании.

Особенно "неудобен" аспект статьи 806, согласно которому Департамент труда США может потребовать восстановления на работе сотрудника, который утверждает, что был уволен за уведомление о финансовых мошенничествах внутри компании. То есть в некоторых случаях сотрудник будет восстановлен в должности до официального судебного разбирательства. Даже если впоследствии окажется, что случаев финансовых махинаций не выявлено, сам факт огласки подобного происшествия может негативно отразиться на репутации компании и, следовательно, на стоимости ее акций.

Кодекс норм поведения, пенсионные планы и корпоративные ссуды Статья 406 SOX предписывает, чтобы во всех открытых акционерных компаниях был введен так называемый Кодекс норм поведения для сотрудников финансового департамента, главных бухгалтеров или любых других сотрудников, наделенных сходными полномочиями. Такой кодекс должен:

содержать стандарты поведения, исключающие конфликт интересов;

обеспечивать регулярное предоставление периодических финансовых отчетов, которые должны быть "полными, достоверными, своевременными и доступными для понимания";

обеспечивать соблюдение всех законов и требований, установленных государством.

Соблюдение предписаний такого корпоративного кодекса имеет большое значение как для отдела управления рисками, так и для HR-отдела, которые принимают участие в разработке кодекса или в пересмотре норм для соответствия требованиям SOX. HR-служба может эффективно способствовать соблюдению многих других требований SOX, которые важны и для отдела по управлению рисками. Например, HR-отдел может следить за соблюдением правил, связанных с пенсионными фондами или с корпоративными ссудами, установленными статьей 306 SOX.

Предотвращение риска обвинений в совершении уголовных преступлений

Очевидно, что обвинение в уголовном преступлении, выдвинутое против любого сотрудника компании, может нанести серьезный вред бизнесу. Примером может служить компания Arthur Andersen, входившая в "большую пятерку" и прекратившая свое существование в 2002 году после судебных разбирательств по делу о банкротстве компании Enron. В соответствии с SOX риск-менеджеры должны быть в полной мере осведомлены о рисках судебных разбирательств. На предотвращение риска уголовных преступлений направлены следующие статьи закона Sarbanes-Oxley:

802 - говорит о незаконности уничтожения, изменения, сокрытия или подделки любых документов с целью введения в заблуждение следственных органов или аудиторов; 904 - значительно повышает степень уголовной ответственности за нарушение Закона о пенсионной защищенности работников (ERISA);

906 - вводит уголовную ответственность директоров и финансовых управляющих за недостоверность финансовой отчетности, предоставляемой в комиссию по ценным бумагам;

1102 - вводит уголовную ответственность за уничтожение или искажение информации с целью введения в заблуждение официального следствия;

1107 - вводит уголовную ответственность, вплоть до лишения свободы на срок до десяти лет, за неправомерные санкции в отношении сотрудников, предоставивших правоохранительным органам информацию о финансовых нарушениях в компании. Статья 1107 - наиболее важная для HR-служб - дополняет статью 806, и поскольку в настоящее время в американском законодательстве не существует четкого определения термина "правоохранительные органы", HR-служба должна предупреждать руководство компании о возможной уголовной ответственности за неправомерные санкции в отношении сотрудников, сообщивших о финансовых нарушениях.

Корпорации зависят от человеческого капитала

Основная цель закона Sarbanes-Oxley - "защитить интересы инвесторов, повысив аккуратность финансовой отчетности и увеличив ответственность директоров и финансовых управляющих" - может быть сформулирована просто: данные должны быть достоверны. Исполнение закона и, следовательно, снижение уровня рисков для инвесторов непосредственно зависит от сотрудников компаний, которые должны быть соответствующим образом обучены и готовы четко соблюдать все правила и процедуры. Для достижения максимальной эффективности исполнения сотрудниками требований SOX необходимо взаимодействие HR-отдела и отдела по управлению рисками.

Статья опубликована в журнале Risk Management Magazine, ноябрь 2007

Дж. Гэмбл,

партнер рекрутинговой компании Fisher & Phillips LLP

"Риск-менеджмент", N 3-4, март-апрель 2008 г.