ЦБ предложит публичным компаниям ввести в советы директоров компетенции кибербезопасности. Цель — разработка политик по управлению киберрисками и контроль за их исполнением менеджментом. Такая новация в ближайшее время будет внесена в кодекс корпоративного управления, рекомендованный ЦБ для исполнения ПАО. Однако выполнение рекомендаций может быть осложнено тем, что компетентных специалистов, готовых к деятельности в советах директоров, на рынке крайне мало, отмечают эксперты.
Банк России считает необходимым закрепить стратегическую роль совета директоров публичных акционерных обществ (ПАО) в организации системы управления рисками, связанными с развитием IT-технологий и вопросами кибербезопасности. Об этом на прошедшем вчера круглом столе ОЭСР—Россия по корпоративному управлению заявила директор департамента корпоративных отношений ЦБ Елена Курицына. По ее словам, в свете возрастающих киберрисков советы директоров должны обладать необходимой компетенцией в вопросах IT и кибербезопасности, поскольку им предстоит утверждать соответствующие политики компаний и контролировать их исполнение со стороны менеджмента.
Елена Курицына, директор департамента корпоративных отношений ЦБ, 15 ноября 2017 года
С одной стороны, информационные технологии, финтех предлагают огромное количество новых возможностей… С другой стороны, возникают киберриски. Все это требует серьезного вовлечения системы корпоративного управления
Новацию предполагается прописать в кодексе корпоративного управления. Представлена для обсуждения она будет до конца 2017 года. На текущий момент исполнение кодекса не является для публичных компаний обязательным, оно только рекомендовано. Однако исполнение части основных положений кодекса является условием включения акций компаний в первый и второй уровень котировального списка Московской биржи. Так что рекомендации по передаче стратегических функций по управлению системой IT и кибербезопасностью совету директоров ПАО в будущем могут также оказаться в правилах листинга.
Таким образом, перед значительной частью публичных компаний может встать необходимость следовать изменениям в кодексе, касающимся кибербезопасности. По словам председателя набсовета Ассоциации независимых директоров Александра Иконникова, компетенции по информационным технологиям и кибербезопасности советам директоров на данном этапе необходимы. «Идеальный вариант — привлекать в советы директоров готовых специалистов. Однако это смогут позволить себе не все ПАО,— говорит он.— Поэтому есть два альтернативных пути: развивать соответствующие комитеты при советах директоров и поднимать технологическую грамотность действующих директоров». По его словам, необходимы добровольные специализированные программы обучения независимых директоров. С ним соглашается директор по маркетингу компании Solar Security (занимается обеспечением кибербезопасности) Валентин Крохин. «Не все безопасники будут готовы брать на себя ответственность, сопутствующую должности члена совета директоров. Скорее действующие директора будут вынуждены получать новые компетенции в различных учебных центрах. Вероятнее всего, большинство ПАО пойдут именно по этому пути»,— говорит он.
По словам независимого директора компаний АЛРОСА, а также «МРСК Центра» и «МРСК Центра и Приволжья» Олега Федорова, тема кибербезопасности и технологического развития актуальна, однако более действенной мерой была бы рекомендация вводить такой функционал на уровне штатного расписания исполнительных органов управления. «Совет директоров должен следить за многими ключевыми рисками, выносить решения по всем стратегическим вопросам, отмечает он.— А найти кандидата, совмещающего в себе компетенции специалиста по кибербезопасности и профессионального директора, будет очень сложно». Кроме того, по мнению господина Федорова, у компетентных в этих областях специалистов нет мотивации для перехода в разряд членов совета директоров. «Мы не сможем их привлечь»,— резюмирует он.
Согласно данным опроса Банка России, приведенным вчера госпожой Курицыной (в нем участвовали 40 эмитентов первого и второго уровня котировального списка), 68% респондентов подтвердили, что уже приняли внутренние документы, определяющие принципы работы IT и обеспечения кибербезопасности. Порядка половины сообщили, что в состав совета директоров уже избраны специалисты, обладающие компетенциями в данных вопросах.