नई SEC प्रकटीकरण नियमों से बोर्ड के निदेशकों का पुनर्गठन
SEC ने जुलाई 2023 में ऐसे नियमों को अपनाया है जो सार्वजनिक कंपनियों को स्थायी साइबर सुरक्षा घटनाओं और जलवायु प्रबंधन रणनीतियों के बारे में जानकारी देने के लिए बाध्य करते हैं। यह पैकेज अपनी गहराई में नया है: यह पहली बार है जब नियामक सिर्फ यह नहीं पूछता है कि क्या हुआ, बल्कि यह भी जानना चाहता है कि निदेशक मंडल को घटनाओं से बचने के लिए कैसे व्यवस्थित किया गया है।
यह एक प्रशासकीय अपडेट नहीं है। यह कॉर्पोरेट शासन की व्याकरण में बदलाव है।
स्वैच्छिक प्रकटीकरण से अनिवार्य रजिस्ट्रेशन तक
वर्षों से, गैर-वित्तीय जोखिमों का प्रकटीकरण एक सार्वजनिक संबंधों का अभ्यास था, जिसे शासन में ढका गया था। कंपनियाँ अपनी साइबर सुरक्षा नीतियों को ऐसे स्थायी रिपोर्टों में प्रकाशित करती थीं जिन्हें कोई कठोरता से ऑडिट नहीं करता था। अब, SEC ने इस अंतर को बंद कर दिया है।
नया नियम “प्रकटीकरण या स्पष्टीकरण” के तर्क पर कार्य करता है: या तो आप प्रथा को प्रकट करते हैं, या आप सार्वजनिक रूप से बताते हैं कि आपके पास यह क्यों नहीं है। यह तंत्र व्यावहारिक रूप से अधिक दबाव डालता है।
साइबर सुरक्षा के लिए नए नियम
साइबर सुरक्षा का नियम — Regulation S-K में आइटम 106 के तहत कानून में शामिल किया गया है — कंपनियों को यह बताने की आवश्यकता है कि वे जोखिमों की पहचान और प्रबंधन के लिए क्या प्रक्रिया अपनाती हैं। निदेशक मंडल की साइबर खतरों की निगरानी में भूमिका विशेष रूप से महत्वपूर्ण है।
इससे यह स्पष्ट होता है कि केवल एक ऑडिट समिति की आवश्यकता नहीं है, बल्कि निदेशक मंडल की तैयारियों की जाँच करनी है।
निदेशक मंडल की संरचना पर असर
यहाँ एक महत्वपूर्ण बिंदु है जो अधिकांश विश्लेषण छोड़ते हैं: नए नियम सिर्फ यह नहीं बदलते कि क्या रिपोर्ट किया जा रहा है, बल्कि किसे रिपोर्ट करने के लिए सक्षम होना चाहिए।
एक पारंपरिक वित्तीय और संचालन विशेषज्ञों से बना बोर्ड साइबर सुरक्षा रणनीतियों की निगरानी के लिए तकनीकी क्षमता नहीं रखता। यही स्थिति जलवायु जोखिम के लिए भी लागू होती है: एक निदेशक जो केवल वार्षिक रिपोर्ट पढ़ता है, वह सही जानकारी नहीं दे सकता।
इससे साइबर सुरक्षा और जलवायु जोखिम जैसे विशेष कौशल वाले निदेशकों की मांग बढ़ रही है।
रणनीति और अनुपालन के बीच भ्रम
कंपनियाँ जो इन नियमों पर प्रतिक्रिया कर रही हैं, वे बहुत बार अनुपालन और जोखिम प्रबंधन के बीच भ्रमित हो जाती हैं।
एक कंपनी जो केवल साइबर सुरक्षा के लिए 106 का जोर मारती है, फिर भी सुनिश्चित किए बिना कि उसकी प्रक्रियाएँ मजबूत हैं, कानूनी जोखिम बढ़ाने का काम कर रही है।
जब कोई समुचित योजना नहीं होती है, तो यह जोखिम बढ़ जाती है और यह एक कानूनी चुनौती को जन्म दे सकती है।
रणनीतिक संपत्ति के रूप में बोर्ड
वे कंपनियाँ जो नए नियमों को अवसर के रूप में ले रही हैं, वे बेहतर स्थिति में उभर रही हैं।
इसका अर्थ है कि कंपनियाँ समय पर निवेश करें और अपने निदेशक मंडल के कार्यप्रणाली में सुधार करें।
निष्कर्ष
SEC के नए नियमों के तहत, डेटा पर आधारित गवर्नेंस के लिए एक स्पष्ट धारा में बदलाव आ रहा है।
