القواعد الجديدة لإفصاح هيئة الأوراق المالية تعيد تشكيل مجالس الإدارة
قامت هيئة الأوراق المالية والبورصات (SEC) في يوليو 2023 باعتماد مجموعة من القواعد التي تلزم الشركات العامة بالإفصاح عن الحوادث المادية المتعلقة بالأمن السيبراني، واستراتيجيات إدارة المخاطر المناخية، والآليات الإشرافية التي تمتلكها مجالس الإدارة بشأن كلا العاملين. الحزمة ليست جديدة من حيث روحها، ولكنها مختلفة في عمقها: إذ تطلب الجهة التنظيمية لأول مرة، ليس فقط ما حدث، ولكن كيف تم تنظيم المجلس لمنع حدوثه.
هذا ليس تحديثًا إداريًا، بل هو تغيير في قواعد الحوكمة المؤسسية.
من الإفصاح الطوعي إلى التسجيل الإلزامي
على مدار سنوات، كان الإفصاح عن المخاطر غير المالية بمثابة تمرين في العلاقات العامة مقنع كحوكمة. كانت الشركات تنشر سياسات الأمن السيبراني الخاصة بها في تقارير الاستدامة التي لم يتم تدقيقها بدقة، وكان يمكن لمجالس الإدارة أن تتبجح بـ "الإشراف الاستراتيجي" دون وجود آلية رسمية للتحقق من ذلك. وقد أغلقت الهيئة هذه الفجوة.
الإطار التنظيمي الجديد يعمل تحت منطق يسميه المحامون المؤسسيون أفصح أو اشرح: إما أن تفصح عن الممارسة، أو تفسر علنًا لماذا لا تمتلكها. هذه الآلية أكثر إكراها مما تبدو. نظريًا، يمكن لأي شركة أن تختار طريق التفسير. لكن عمليًا، القيام بذلك يعني التعرض للتدقيق من قبل شركات استشارية للتصويت مثل ISS أو Glass Lewis، التي تعاقب غياب الضوابط الرسمية بالتوصية بالتصويت ضد المدراء. النتيجة هي ضغط السوق الذي يعمل كتفويض ضمني.
تتطلب قاعدة الأمن السيبراني —المُدونة في البند 106 من التنظيم S-K— أن تصف الشركات عملياتها لتحديد وإدارة المخاطر المادية، وآثارها المحتملة على الأعمال، وبشكل محدد، دور المجلس في الإشراف على التهديدات السيبرانية. ليس كافيًا أن يكون هناك لجنة تدقيق تفحص الحوادث بأثر رجعي. تريد الهيئة معرفة مدى استعداد المجلس للتنبؤ بها.
بالتوازي مع ذلك، تحدد قواعد الإفصاح المناخي جدول زمني تدريجي: يجب على الشركات ذات الرؤوس المالية الكبيرة أن تبدأ بالإفصاحات حول المخاطر المالية في عام 2025، وانبعاثات الغازات المسببة للاحتباس الحراري في عام 2026. تتبعها الشركات المتوسطة في عامي 2026 و2028، على التوالي. هذا الجدول ليس كريمًا: بالنسبة للعديد من الكيانات، يستغرق بناء البنية التحتية للبيانات اللازمة لتلبية هذه المتطلبات من 18 إلى 36 شهرًا.
الضغط يقع مباشرة على تشكيل المجلس
ها هو النقطة التي يتجاهلها معظم التحليلات المتعلقة بهذا الموضوع: القواعد الجديدة لا تغير فقط ما يتم الإبلاغ عنه، بل من يجب أن يكون موجودًا على الطاولة ليكون قادرًا على الإبلاغ عنه بمصداقية.
مجلس الإدارة الذي يتكون بالكامل من التنفيذين الذين يحملون ملفات مالية وتشغيلية تقليدية لا يملك القدرة التقنية لمراقبة استراتيجية الأمن السيبراني بالشكل الدقيق الذي تطلبه الهيئة الآن. ينطبق الأمر أيضًا على المخاطر المناخية: لا يمكن لمدير لا يفهم الفرق بين الانبعاثات من النطاق 1 و2 و3 أن يضمن بكفاءة أن الشركة تدير تعرضها التنظيمي بشكل مناسب في هذا الاتجاه.
هذا يولد طلبًا متزايدًا على مدراء ذوي ملفات تقنية متخصصة: مثل المدراء السابقين للأمن السيبراني (CISOs)، والخبراء في بنية الطاقة، والمهندسين ذوي الخبرة في إزالة الكربون من الصناعة. المشكلة هي أن سوق المواهب هذا ضيق ومكلف. توظيف مدير يحمل مؤهلات حقيقية في الأمن السيبراني أو المخاطر المناخية له تكلفة فرصة كبيرة، سواء من حيث التعويض أو الوقت المستغرق لإدماجه في عمل المجلس.
الشركات التي تحاول حل هذه المشكلة عبر تدريبات مكثفة لمديريها الحاليين تخطط على أن المعرفة السطحية تلبي المعيار التنظيمي. إنها رهان من المحتمل ألا يدوم عند أول حدث مادي تحت القواعد الجديدة.
الإصلاح أيضًا يعزز الضغط على هيكل اللجان. تاريخيًا، كانت لجنة التدقيق تستوعب تقريبًا جميع قضايا المخاطر. اليوم، العديد من المجالس تُنشئ لجان خاصة للأمن السيبراني والاستدامة، مما يضاعف العبء على المديرين المستقلين ويزيد من تكاليف تشغيل المجلس. بالنسبة لشركة ذات إيرادات سنوية أقل من 500 مليون دولار، قد تمثل هذه التكلفة الهيكلية ما بين 0.3% و0.8% من نفقاتها العامة والإدارية، وفقًا لتوقعات القطاع القانوني.
تكلفة الخلط بين الالتزام والاستراتيجية
أكبر خطر تشغيلي أراه بشأن كيفية استجابة الشركات لهذه القواعد هو الخلط بين ملء النموذج وإدارة المخاطر. الهدفان ليسا نفس الشيء، وقد تؤدي الأمثلية لأحدهما إلى تدهور الآخر.
شركة تبني إفصاحها عن الأمن السيبراني لتلبية البند 106 دون إعادة تصميم عملياتها الداخلية لإدارة الحوادث قد وضعت عبئًا قانونيًا من الدرجة الأولى: إذا حدث خرق، ستتوفر للهيئة وثيقة مصدقة حيث ادعت الشركة أن لديها ضوابط قوية. تتضاعف الأضرار السمعة والقانونية لذلك الخرق بسبب المسافة بين ما تم إعلانه وما كان موجودًا بالفعل.
ينطبق الأمر نفسه على المخاطر المناخية. الإفصاح عن الانبعاثات دون خطة إدارة موثوقة وراءه هو، من الناحية المفارقة، أكثر تكلفة من عدم الإفصاح عن أي شيء، لأنه يحول خطرًا تنظيميًا إلى خطر قانوني. المستثمرون المؤسسيون الذين لديهم تفويضات ESG بدأوا بالفعل في استخدام الإفصاحات المناخية لبناء قضايا إهمال ائتماني ضد المدراء الذين وافقوا على استراتيجيات تتناقض مع تصريحاتهم العامة.
رئيس هيئة الأوراق المالية والبورصات، غاري جينسلر، وضح هدف الهيئة بدقة: أن تكون الإفصاحات "متسقة، قابلة للمقارنة، ومفيدة لعملية اتخاذ القرار". هذه اللغة التقنية لها تداعيات مباشرة على المجالس: المعيار ليس إفصاحاً أكثر، بل إفصاح بدقة كافية لكي يتمكن المستثمر الخارجي من إجراء تقييم مستقل للمخاطر. الصيغ العامة التي تميز الكثير من الإفصاحات الحالية لن تصمد أمام هذا المعيار.
المجلس كأصل استراتيجي، وليس كهيكل للامتثال
الشركات التي تخرج في وضع أفضل في هذا السياق هي التي تناولت المتطلبات الجديدة كفرصة لإعادة ضبط هيكل مجالس إدارتها، وليس تلك التي استأجرت مكتبًا خارجيًا لصياغة الحد الأدنى من الإفصاحات المطلوبة.
وهذا يستلزم قرارات ملموسة: رسم خريطة الفجوات في الكفاءة التقنية في المجلس الحالي، تصميم عملية إدماج المدراء وفقًا لمعايير محدثة، وبناء آلية للإبلاغ الداخلي التي تولد البيانات التي يحتاجها المجلس للإشراف على الأمن السيبراني والمخاطر المناخية بشكل ربع سنوي، وليس سنوي. يجب أن تكون عملية الإفصاح أمام الهيئة هي الخطوة الأخيرة في ذلك النظام، وليس الأولى.
ستحصل الشركات التي تستثمر في تلك البنية التحتية للحوكمة قبل أن تضطر مواعيد الالتزام على منحها ميزة هيكلية: ستكون مجالسها مجهزة بشكل أفضل لاكتشاف المخاطر قبل أن تصبح مادية، مما يقلل من احتمال الحوادث، ومعها تكاليف التقاضي والاستجابة والأضرار السمعة المرتبطة بها. الإطار التنظيمي لهيئة الأوراق المالية، مع كافة احتكاكات تطبيقه، يعجل بتمييز بين الشركات التي تدير البيانات وتلك التي تدير الوثائق.
