Należy podkreślić, że kategoria ryzyka społeczne uległa przesunięciu w górę skali, przy czym zagrożenia z obszaru zdrowia i bezpieczeństwa są obecnie uważane za bardzo lub niezwykle ważne dla 84% respondentów, w porównaniu ze średnią 45% notowaną w ciągu ostatnich trzech lat. Zagrożenia z tej kategorii zajmują obecnie pierwsze miejsce w ogólnym katalogu obaw, co oznacza przesunięcie z piątego miejsca zajmowanego w ubiegłym roku. Oznacza to, że ryzyko cyberataków spadło z pierwszego miejsca w rankingu ryzyk, na którym pozostawało przez ostatnie trzy lata. Przyczyny wzrostu niepokoju odnośnie ryzyk z obszaru zdrowia i bezpieczeństwa nie są do końca jasne, jednak z pewnością szerokim echem odbiły się kary nałożone na duże korporacje w Wielkiej Brytanii w 2023 roku, którym towarzyszył zauważalny wzrost liczby nakazów egzekucyjnych wydanych przez HSE (Health and Safety Executive, Inspektorat Zdrowia i Bezpieczeństwa Pracy) oraz doniesienia o robiącym wrażenie 94 procentowym wskaźniku decyzji nakładających kary na osoby fizyczne wydanych przez HSE. Był to szczególny trend w ciągu ostatnich trzech lat, widoczny głównie w sektorze MŚP w Wielkiej Brytanii i szczególnie istotny w kontekście underwritingu i odpowiedniej wyceny składki w przypadku oferowania ochrony dla spółki w ramach polisy D&O.
“Był to szczególny trend w ciągu ostatnich trzech lat, widoczny głównie w sektorze MŚP w Wielkiej Brytanii i szczególnie istotny w kontekście underwritingu i odpowiedniej wyceny składki w przypadku oferowania ochrony dla spółki w ramach polisy D&O.”
Ubezpieczyciel D&O | WTW
Na drugim miejscu plasują się obawy związane z zagrożeniami cybernetycznymi. Ryzyka cybernetyczne podlegają stałej ewolucji, a wraz z rosnącą dostępnością narzędzi sztucznej inteligencji (AI), przestępcy zaczynają włączać AI do repertuaru swoich działań, szczególnie w obszarze przeprowadzania rekonesansu i inżynierii społecznej, jak podaje najnowszy raport Narodowego Centrum Cyberbezpieczeństwa (NCSC). Sprawia to, że ataki tego typu będą silniejsze i trudniejsze do wykrycia, potencjalnie przyczyniając się do obniżenia bariery wejścia dla początkujących przestępców i zwiększenia globalnego zagrożenia atakami typu ransomware.
Jest to niepokojące zjawisko, które powoduje, że członkowie zarządu i władz spółek znajdują się pod większą presją wdrożenia odpowiednich mechanizmów kontroli cyberbezpieczeństwa, pozwalających na sprawną i skuteczną reakcję w obliczu ataku. Ryzyko cybernetyczne idzie w parze z problemem numer cztery – utratą danych. Od momentu wejścia w życie kilka lat temu przepisów RODO oraz reformy przepisów w wielu jurysdykcjach, firmy i członkowie ich zarządów obserwowali sytuacje nakładania przez instytucje ochrony danych znacznych grzywien za naruszenia przepisów. Przepisy prawa są natomiast nadal kształtowane w oparciu o sprawy wnoszone przez właścicieli danych osobowych podlegających ochronie. Ponadto koszty poniesione przez stronę administrującą w następstwie naruszenia mogą być znaczne, z towarzyszącym wysokim ryzykiem utraty reputacji.
Działania regulacyjne ze strony organów nadzoru finansowego w związku z awariami systemów cybernetycznych i kontroli mogą również znaleźć swoje miejsce na mapie ryzyka. Niedawnym przykładem z Wielkiej Brytanii jest grzywna w wysokości 11,2 miliona funtów nałożona na firmę za naruszenia cyberbezpieczeństwa w 2017 roku, które doprowadziły do nieautoryzowanego dostępu do danych osobowych milionów obywateli USA, Wielkiej Brytanii i Kanady. Faktycznie jest to zgodne z trendem zauważalnym w ostatnich latach a polegającym na nakładaniu przez organy nadzoru finansowego znacznych kar za szereg niedociągnięć w zakresie systemów i kontroli (wiele definicji podstawowych uchybień obejmuje obecnie PRIN 3 jako standard), co podkreśla znaczenie istnienia takich kontroli dla celów przeciwdziałania przestępstwom takim jak wykorzystywanie informacji poufnych, pranie pieniędzy, łapówkarstwo i oszustwa finansowe.
Nie jest zatem zaskoczeniem, że obawy dotyczące systemów i kontroli są nową pozycją na liście siedmiu największych ryzyk (na piątym miejscu). Od zarządów oczekuje się sprawowania kontroli nad tymi kwestiami, natomiast Rada Sprawozdawczości Finansowej (FRC) niedawno dokonała modyfikacji brytyjskiego Kodeksu Zarządzania Korporacyjnego (Corporate Governance Code) , który będzie obowiązywał dla lat obrotowych rozpoczynających się 1 stycznia 2025 r. lub później, koncentrując się w znacznym stopniu na kontrolach wewnętrznych. Główna istotna zmiana polega na wprowadzeniu wymogu, by rady nadzorcze składały dokładne oświadczenia w formie corocznych raportów na temat sposobów wdrożenia wszystkich procedur kontrolnych - finansowych, operacyjnych, sprawozdawczych i compliance – oraz ich skutków.
Skuteczne systemy i mechanizmy kontrolne są również niezbędne dla prewencji i wykrywania naruszeń dotyczących sankcji. Według naszego badania obawy związane z sankcjami to nowa pozycja na liście największych zagrożeń, plasująca się na siódmym miejscu rankingu ryzyk. W Wielkiej Brytanii egzekwowanie przepisów dotyczących sankcji zostało wzmocnione przez wprowadzenie ustawy o przestępstwach gospodarczych (Economic Crime (Transparency and Enforcement) Act) z 2022 roku. Biuro ds. Wdrażania Sankcji Finansowych (OFSI) może teraz nakładać kary za naruszenia sankcji bez konieczności udowodnienia wiedzy danej osoby o naruszeniu, zwiększając ryzyko dla dyrektorów i członków zarządu. OFSI może teraz również publicznie ujawniać naruszenia, potencjalnie powodując szkody reputacyjne. Chociaż do tej pory nie odnotowano licznych działań egzekucyjnych, ekspozycja na ryzyko może się zwiększyć w wyniku ogłoszenia przez rząd 11 grudnia 2023 r. nowej jednostki - Biura Wdrażania Sankcji Handlowych (OTSI) – powołanego w celu ograniczenia możliwości uchylania się od sankcji. OTSI ma odgrywać kluczową rolę we wspieraniu przedsiębiorstw w przestrzeganiu sankcji, badaniu potencjalnych naruszeń, nakładaniu kar w postępowaniach cywilnych i kierowaniu spraw do HMRC w celu egzekwowania prawa karnego, jeśli zajdzie taka potrzeba. Jednostka zacznie działać w 2024 roku.
Ryzyko regulacyjne, w ujęciu bardziej ogólnym, nadal budzi obawy (w tym przypadku jest to numer czwarty na liście obaw). I nie bez powodu. Wiele organów regulacyjnych w coraz większym stopniu korzysta ze swoich uprawnień w zakresie nadzoru i egzekwowania prawa, co sprawia, że dyrektorzy i członkowie zarządu doświadczają trudności w zarządzaniu przestrzenią regulacyjną. Jednak największą aktywność wykazują ograny nadzoru finansowego. W Wielkiej Brytanii działania w zakresie egzekwowania przepisów przez Financial Conduct Authority (Urząd Nadzoru Finansowego/FCA) pozostają istotnym zagrożeniem dla spółek i członków ich władz, przy czym zagrożenie to wzrosło w tym roku wraz z wdrożeniem obowiązku wobec konsumenta (Consumer Duty), który wprowadza podwyższony standard staranności, jaką firmy powinny zapewnić konsumentom. FCA zwraca również baczną uwagę na wykroczenia niefinansowe (wspomagając się niedawno przeprowadzonymi konsultacjami na temat różnorodności i integracji), a także nadal podkreśla indywidualną odpowiedzialność. Oczekuje się, że dyrektorzy i członkowie zarządu będą tworzyć na wskroś zdrową kulturę korporacyjną na wszystkich poziomach zarządzania. W przeciwnym razie poniosą konsekwencje.
Chociaż liczba spraw dotyczących egzekwowania prawa nie rośnie z roku na rok, FCA zwiększa wykorzystanie środków wczesnej interwencji i możliwości nakładania sankcji niefinansowych w celu wychwycenia naruszeń / niewłaściwych działań na wczesnym etapie. Obszary problemowe, na których koncentruje się FCA, to w dalszym ciągu przeciwdziałanie nielicencjonowanej działalności, niewłaściwe doradztwo, błędy w systemach i mechanizmach kontrolnych oraz zwalczanie prania pieniędzy / przestępstw finansowych oraz przekupstwa i korupcji. To ostatnie ryzyko znajduje się na szóstym miejscu na naszej ogólnej liście, jednak w przypadku największych firm (> 5 mld USD) zajmuje pierwsze miejsce, co wynika ze szczególnego zainteresowania prokuratorów tym obszarem oraz koordynacją działań dochodzeniowych w skali międzynarodowej. Ważne jest, abyśmy myśląc o trendach i kosztach w tym obszarze brali pod uwagę co najmniej okres pięciu lat
“Ważne jest, abyśmy myśląc o trendach i kosztach w tym obszarze brali pod uwagę co najmniej okres pięciu lat”
Ubezpieczyciel D&O | WTW
Nadal jest to obszar, w którym obserwujemy zarówno dużą częstotliwość, jak i dotkliwość zdarzeń, szczególnie w przypadku dużych spółek notowanych na giełdzie poza Stanami Zjednoczonymi. Czas trwania postępowań sądowych i dochodzeń oznacza, że wiele roszczeń już zgłoszonych w poprzednich latach będzie czekać na rozpatrzenie przez ubezpieczycieli D&O.
Niedawno brytyjski Urząd ds. Poważnych Nadużyć Finansowych (SFO) we współpracy z prokuratorami z USA, Holandii i Szwajcarii prowadził dochodzenie w sprawie brytyjskiej firmy handlowej i wydobywczej, która została niedawno skazana za przekupstwo na mocy ustawy Bribery Act (Ustawa Antykorupcyjna) z 2010. Firma zapłaciła 29 milionów dolarów łapówek w celu zwiększenia zysków z handlu ropą naftową w pięciu krajach afrykańskich w latach 2011-2016, za co została ukarana grzywną w wysokości 280 milionów funtów, co stanowi największą w historii karę za przekupstwo korporacyjne i pierwszy przypadek przyznania się do winy do popełnienia przestępstwa polegającego na przekupstwie według ustawy. Oprócz bezpośrednich postępowań przeciwko dyrektorom i członkom zarządu, klauzula ‘niedopełnienia obowiązku zapobiegania’ przewidziana w tej ustawie (a także w ustawie Criminal Finances Act 2017 oraz Economic Crime and Corporate Transparency Act 2023 (Ustawa o Przestępczości Finanasowej i Ustawa o przestępczości gospodarczej i transparentności korporacyjnej z 2023 r.) może doprowadzić do kolejnych oskarżeń przeciwko członkom władz spółek w wyniku współpracy ze strony spółki na rzecz uzyskania odroczonej zgody na ściganie (DPA). Rzeczywiście, w marcu 2023 r. SFO uzyskało pierwszy wyrok skazujący związany z DPA, jednak wciąż większość przypadków podlega umorzeniu.
Co ciekawe, pomimo globalnego i wciąż rosnącego nacisku regulacyjnego na społeczną odpowiedzialność biznesu oraz emocji które wzbudza obszar ESG na posiedzeniach zarządów po raz kolejny zmiany klimatyczne nie znalazły się w siódemce największych ryzyk. Nie ma ich już w ogóle w rankingu ryzyk dla Wielkiej Brytanii, mimo że w ubiegłym roku pozycja ta zajmowała pierwsze miejsce, jednak pojawia się w Azji (numer cztery) i na Bliskim Wschodzie (numer sześć). Jest to o tyle zaskakujące, że wszelkie wymogi dotyczące ujawniania informacji w sposób oczywisty powodują powstanie odpowiedzialności spółek i ich zarządów, a sposób, w jaki radzą sobie one z kwestią wypełniania wymogów ESG będzie decydował o ich ewentualnej odpowiedzialności w takim samym stopniu jak brak zgodności (non-compliance) lub brak powodzenia w osiągnięciu deklarowanych celów. Działania w tym obszarze mogą mieć ogromny wpływ nie tylko na samą spółkę, ale także na czynnik ludzki i gospodarkę. Świadomość wagi tych zagrożeń wśród członków zarządu jest kluczowa dla prawidłowości podejmowaych działań; w przeciwnym razie będą musieli zmierzyć się z konsekwencjami roszczeń wynikających z niewłaściwego zarządzania polityką ESG. Aby uniknąć zagrożeń, konieczne jest skuteczne zarządzanie ryzykiem oraz wdrożenie odpowiednich systemów i mechanizmów kontroli
“Aby uniknąć zagrożeń, konieczne jest skuteczne zarządzanie ryzykiem oraz wdrożenie odpowiednich systemów i mechanizmów kontroli”
James Cooper | Partner Clyde & Co
Lista siedmiu największych ryzyk ujawnia różne trudności i wyzwania napotykane przez dyrektorów i członków zarządów które mogą wiązać się z poważnymi konsekwencjami. Aby uniknąć tych zagrożenia lub je zniwelować, niezbędne jest skuteczne zarządzanie ryzykiem oraz wdrożenie odpowiednich systemów i mechanizmów kontroli. Niepowodzenie we wdrożeniu solidnych mechanizmów kontroli może w istotny sposób wpłynąć na działalność biznesową i finanse skutkując wysokimi grzywnami i karami. Co więcej, istnieje także ryzyko roszczeń ze strony akcjonariuszy w konsekwencji spadków cen akcji spowodowanych szkodami reputacyjnymi z uwagi na tego typu zaniedbania.
