SECの新しいルールによる取締役会の再編成
2023年7月、証券取引委員会(SEC)は公企業に対して、重要なサイバーセキュリティ事件、気候リスク管理戦略、取締役会の監視メカニズムを開示することを厳格に求める新しい規則を採用した。このパッケージは精神的には新しくないが、その深さにおいては初めての試みであり、規制当局は何が起こったのかだけでなく、それが起こらないように取締役会がどう組織されているのかを問うている。
このルールは単なる行政の更新ではなく、コーポレートガバナンスの文法に関する変革である。
任意の開示から義務的な報告へ
長年にわたり、非財務リスクの開示はガバナンスの仮面をかぶった広報活動に過ぎなかった。企業は、厳密に監査されることのないサステナビリティ報告書でサイバーセキュリティポリシーを発表し、取締役会は戦略的監視を誇示することができた。しかし、SECはそのギャップを埋めた。
新しい規制枠組みは、弁護士がdisclose or explain(開示または説明)と呼ぶ論理に基づいている。企業はその実践を開示するか、なぜそれを行っていないのかを公に説明することが求められる。この仕組みは思ったよりも強制力がある。理論的には、どの企業も説明の道を選ぶことができるが、実際そうすることはISSやGlass Lewisなどの投票助言会社の監視を受けることを意味し、正式なコントロールの不在を罰せられる可能性がある。結果として、市場からの圧力が暗黙の命令として作用する。
サイバーセキュリティに関する規則はRegulation S-Kの項目106に根拠を持ち、企業は重要なリスクを特定し管理するプロセスの説明を求め、ビジネスに及ぼす潜在的な影響を明示し、特に取締役会のサイバー脅威に対する監視役割について詳述しなければならない。監査委員会が事後的にインシデントを確認するだけでは不十分であり、規制当局は取締役会がどれほど準備されているかを知りたいのである。
これに平行して、気候開示のルールは段階的なスケジュールを立てており、大型加速開示者(Large Accelerated Filers)は2025年に財務リスクの開示を開始し、2026年に温室効果ガスの排出を行う必要がある。中規模企業はそれぞれ2026年および2028年に続く。このタイムラインは寛大ではなく、多くの組織にとっては、その要求に応えるために必要なデータインフラを構築するのに18か月から36か月を要する。
取締役会の構成への圧力
ここで最も多くの分析が見落とすポイントは、新しいルールは報告する内容だけでなく、その報告を信頼性を持って行うために誰がテーブルに座るべきかを変えることにある。
伝統的な財務・運営プロファイルの役員のみで構成された取締役会は、SECが今求めるレベルでサイバーセキュリティ戦略を監視する能力を持たない。同様に、気候リスクに関しても、範囲1、2、3の排出の違いを理解できない取締役は、企業がその規制リスクを適切に管理しているとは認証できない。
これが専門的な技術プロファイルを持つ取締役の需要を急速に生み出している:元CISO(最高情報セキュリティ責任者)、エネルギーインフラの専門家、産業の脱炭素化に精通したエンジニアなどである。しかし、その人材市場は狭くて高価である。実際のサイバーセキュリティや気候リスクに関する資格を有する取締役を採用することは、報酬や取締役会の働きに統合するまでの時間の観点から、かなりの機会コストを伴う。
今の取締役を急速にトレーニングしてこの問題に対処しようとする企業は、表面的な知識が規制基準を満たすと信じているが、その賭けは新しいルールの下で最初の重要な事件が発生したときには耐えない可能性が高い。
この改革は委員会の構造にも圧力をかける。歴史的に、監査委員会はほとんどすべてのリスク関連の問題を吸収してきたが、現在、多くの取締役会がサイバーセキュリティやサステナビリティの特定の委員会を設立しており、これは独立取締役への負担を増加させ、取締役会の運営コストを上昇させる結果となっている。年収が5億ドル未満の企業では、その構造的コストは全体の管理および一般費用の0.3%から0.8%に相当すると、法律分野の予測による。
コンプライアンスと戦略を混同するリスク
このルールに対する企業の反応における最大の運用リスクは、フォームに対するコンプライアンスとリスク管理を混同することである。両者の目標は同じではなく、一方を最適化するともう一方が損なわれる可能性がある。
誤って項目106を満たすためにサイバーセキュリティの開示を構築しつつ、内部のインシデント管理プロセスを再設計しない企業は、重大な法的負債を抱えることになる。何かが漏洩した場合、規制当局は企業が堅牢なコントロールを持っていると主張した認証された文書を手にすることになる。この漏洩による reputational および法的損害は、宣言したものと実際のものの違いによって拡大する。
気候リスクにも同様のことが言える。 計画の裏付けのない排出の開示は、何も開示しないよりも逆に高コストです。これは、規制リスクを訴訟リスクに変えるからである。ESGの義務を持つ機関投資家は、気候開示を利用して、公開した戦略との整合性がない取締役に対して信託不履行のケースを構築し始めている。
SECの議長であるゲーリー・ゲンスラーの言葉には、規制当局の目的が的確に表現されている:開示が「一貫性があり、比較可能で、意思決定にとって有用であること」。この技術的な言葉は取締役会に対して直接的な意味を持つ:基準はより多くを開示することではなく、投資家がリスクを独自に評価できるのに十分な精度で開示することである。現在の開示の多くが持つ一般的な表現は、その基準には耐えられない。
コンプライアンス構造から戦略的資産へと転換する取締役会
このような環境で優位性を持っている企業は、新しい要求を取締役会の構造を再調整する機会として取り組んだ企業であり、最小限の開示を文書化するために外部の法律事務所を雇った企業ではない。
これは具体的な決定を求める:現行の取締役会における技術的な競争力のギャップを特定し、更新された基準で取締役の採用プロセスを設計し、取締役会がサイバーセキュリティや気候リスクを四半期ごとに監視するために必要なデータを生成する内部報告メカニズムを構築することだ。SECへの開示プロセスはそのシステムの最終ステップであり、最初ではないべきである。
期限に追われる前にガバナンスインフラに投資する企業は構造的な利点を得ることになる。取締役会は重要化される前にリスクを検出するのにより適しており、これにより事件の発生の可能性が減少し、それに伴う訴訟、対応、 reputational 被害のコストも低減する。SECの規制枠組みは、実施におけるすべての摩擦とともに、データに基づいて運営する企業と文書に基づいて運営する企業との間での差別化を加速させている。
