Выход компании на IPO и обретение публичного статуса — это не только укрепление ее репутации на рынках капитала, получение стратегической гибкости в реализации долгосрочных планов роста и развития, но и огромная ответственность эмитента, в том числе в области защиты инсайдерской информации.
Инсайдерской является любая существенная информация о деятельности компании, которая:
- имеет непосредственное отношение к компании, ее ценным бумагам (акциям, депозитарным распискам), сделкам с ценными бумагами, перспективам бизнеса;
- носит конкретный и точный характер;
- не является общедоступной;
- в случае опубликования, скорее всего, окажет значительное влияние на курс или стоимость любых ценных бумаг компании.
Закон обязывает эмитентов осуществлять строгий контроль за оборотом особо важной информации о ключевых событиях компании, способной вызвать заметную реакцию инвесторов и существенно повлиять на рыночную ситуацию.
В законодательстве разных стран можно найти множество запретов и жестких требований вокруг понятия «инсайд». В чем причина пристального внимания регуляторов к соблюдению норм об инсайде?
Ответ прост.
В основе эффективно функционирующего фондового рынка лежит информационная прозрачность, являющаяся залогом инвестиционной привлекательности. Сделки с использованием инсайдерской информации наряду с манипулированием и другими видами незаконной торговой практики на финансовых рынках ведут к подрыву финансовой стабильности. Следовательно, жесткий законодательный контроль призван обеспечить эту стабильность, упорядоченность работы фондового рынка, а также защитить инвесторов, гарантировав равный доступ к одной и той же актуальной информации о компаниях-эмитентах. Если законодатель и регулятор не смогут должным образом справиться с поставленной задачей, то наступит локальный инвестиционно-финансовый коллапс. Ни один инвестор не принесет свои сбережения на фондовый рынок, где инсайдеры «приторговывают» конфиденциальной информацией, извлекая сверхприбыли на разнице текущих и перспективных цен на финансовые инструменты, ущемляя тем самым других участников рынка.
В настоящий момент во всех развитых странах мира законодательно установлены и успешно действуют строгие нормы борьбы с «инсайд-трейдингом» (термин, образованный от английских слов «inside» — внутренний и «trade» — торговля, специфический способ торговли какими-либо активами на основе конфиденциальной информации).
Флагманом борьбы с незаконным использованием инсайдерской информации с целью извлечения прибыли при совершении сделок финансовыми инструментами были Соединенные Штаты Америки, где совершение указанных сделок преследовалось по закону уже в начале прошлого века. В соответствии с законодательством США, обладатель конкретного не общедоступного знания, способного определить будущую динамику курса ценных бумаг, не имеет права зарабатывать на этом знании или передавать его третьим лицам. Директоров и высший менеджмент закон рассматривает в качестве доверенных лиц акционеров: любая деятельность с использованием информации, ставшей известной в силу служебного положения, рассматривается как подрыв доверия держателей акций. Санкции за нарушение закона жесткие — штрафы, в несколько раз превышающие размеры незаконной прибыли, допускается лишение свободы на срок до 10 лет.
Законодательство Великобритании в области инсайда не уступает законодательству США, даже беглый взгляд на нормы и санкции позволяет сделать вывод о его достаточной жесткости. Правоприменительная практика изобилует примерами взыскания крупных сумм штрафов (от £100 тыс. до £7,2 млн. для физических лиц: David Einhorn— Greenlight Capital, RameshKumar Goenka—Dubai-based investor, Simon Eagle— SP Bell, Michiel Visser —Mercurius Capital Management Ltd.) и осуждения виновных на длительные сроки лишения свободы (до 10 лет при замене крупного штрафа лишением свободы).
Британский регулятор —Financial Conduct Authority (FCA), инспекция по контролю за деятельностью финансовых организаций — является независимой структурой, располагающей широким спектром возможностей законотворчества, проведения расследований и достаточными полномочиями в области поддержания эффективности, порядка и прозрачности на финансовых рынках.FCA в своей работе использует безотказную тактику «эффективного устрашения», которая служит серьезным предупреждением тем, кто намеревается нарушить установленные правила: пресса пестрит громкими разоблачительными статьями по материалам судебных разбирательств инсайдерских «кейсов», инициированных FCA и завершившихся назначением незадачливым дельцам финансового мира многомиллионных штрафов, развороты уважаемых деловых изданий украшают печальные лица инсайдеров, получивших длительные сроки лишения свободы.
Российский законодатель также хоть и медленно, но верно идет по пути ужесточения ответственности за неправомерное использование инсайдерской информации. В 2010 был принят Федеральный закон «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» (далее также — Закон, Закон об инсайде). Законом предусмотрена уголовная ответственность за неправомерное использование или передачу инсайдерской информации — штрафы от 300 тыс. до 1 млн руб. или лишение свободы на срок до 6 лет. Но действовать уголовная ответственность начала только через 3 года. Таким образом, у российского регулятора — ЦБ РФ (Банк России, ранее ФСФР России) — руки были связаны, и все громкие расследования заканчивались строгими увещеваниями и привлечением нарушителей к административной ответственности («Роснефть», «Калина», «Онэксим»).
С августа 2013 года Банк России имеет основания для передачи материалов проверки в правоохранительные органы с целью возбуждения уголовного дела, а если есть норма и основание, то есть надежда, что за практикой правоприменения дело не встанет.
Практика построения эффективной системы защиты инсайдерской информации
Так каким же образом компании-эмитенту выстроить эффективную систему защиты от неправомерного использования инсайдерской информации с целью минимизации финансовых, репутационных и иных существенных рисков?
Как показывает мировая практика, крупным компаниям-эмитентам при построении системы защиты инсайдерской информации следует руководствоваться комплексным системным подходом. При этом желательно, чтобы процесс внедрения организационных и технических мер защиты инсайдерской информации находился под пристальным вниманием высших органов управления компании в силу его особой значимости.
Так, в компании МегаФон в соответствии с применимым законодательством Российской Федерации и Великобритании о предотвращении незаконного использования инсайдерской информации (МегаФон листингуется в двух юрисдикциях, РФ и Великобритании, и обязан соблюдать нормы и требования законодательства об инсайде двух стран) под контролем Аудиторского комитета Совета директоров внедрены и постоянно совершенствуются специальные организационные и технические меры защиты инсайдерской информации, способствующие соблюдению действующего законодательства, включающие в себя:
- ограничение доступа к инсайдерской информации;
- регламентацию мест хранения и доступа к инсайдерской информации;
- использование инструментов защиты ИТ-систем от потери ключевых данных и доступа к ним третьих лиц;
- внедрение технических средств защиты инсайдерской информации и др.
Эффективное выстраивание периметра информационной защиты компании невозможно без внедрения соответствующих технических средств информационной защиты. В компании МегаФон они используются на всех этапах «жизненного цикла» инсайда: начиная с момента обобщения разрозненных данных в единый консолидированный документ, содержащий инсайдерскую информацию, до момента официального раскрытия инсайдерской информации.
Внедряя систему технических мер защиты инсайда, компания следовала следующим основным принципам.
Унификация и регламентация процедур
Построение системы организационной и технической защиты инсайдерской информации в крупной компании с разветвленной региональной структурой должно начинаться с предварительного детального кроссфункционального анализа типовых операций, производимых сотрудниками внутренних подразделений компании и позволяющих получить доступ к конфиденциальной (инсайдерской) информации. Далее под руководством ответственного подразделения компании (в МегаФоне — Контролер компании) указанные операции систематизируются и унифицируются функциональными экспертами юридической службы, подразделения информационной безопасности и информационных технологий. Определяются защищенные соответствующим образом места и информационные ресурсы для хранения инсайдерской информации, устанавливается особый режим и правила предоставления доступа к инсайду, минимизирующие риск утечки инсайдерской информации. Все вышеописанные процедуры и правила закрепляются во внутренних документах компании и доводятся до сведения сотрудников.
Адекватность и достаточность
Внедряя технические меры защиты инсайда, функциональные эксперты предварительно оценивают адекватность и достаточность существующих технических мер защиты, анализируя риски и сопоставляя результаты субъективной экспертной оценки потенциальной угрозы с объективным расчетом затрат на внедрение механизма защиты.
Автоматизация
Автоматизация рутинных процессов технической защиты инсайда дает широкие возможности по минимизации рисков человеческого фактора и высвобождению значительных временных ресурсов. Доверять машине можно и нужно много таких сопутствующих процедур, как:
- оперативное автоматическое выявление инсайдерской информации, требующей скорейшего раскрытия
- предоставление конкретному сотруднику соответствующих инсайдерских прав с предварительным включением этого сотрудника в список инсайдеров
- ежедневная автоматическая актуализация списка инсайдеров
- информирование инсайдеров о начале и окончании открытых и закрытых периодов торговли финансовыми инструментами компании
- распределение и отработка заявок по устранению проблем с использованием технических средств защиты информации и др.
В качестве примера приведу успешный опыт автоматизации одного из наиболее трудоемких рутинных процессов — ежедневная актуализация списка инсайдеров компании. Ввиду особенностей построения организационной структуры управления и необходимости соблюдения норм законодательства об инсайде двух юрисдикций, список инсайдеров Мегафона довольно обширен. Лица, включенные в список, ежедневно совершают большое количество юридически значимых действий (меняют паспорта, имена, фамилии, переходят на новые должности и т. д.), требующих своевременной актуализации данных списка инсайдеров. Ручное сопровождение бизнес-процесса было малоэффективным. На помощь пришла автоматизация. На базе корпоративной системы кадрового документооборота (SAPHR) разработана и внедрена системная надстройка, позволяющая в режиме реального времени отслеживать все изменения в данных инсайдеров Мегафона, а также получать своевременную информацию о приеме сотрудников на штатные должности, обозначенные признаком «инсайдер». Эти и другие возможности системы позволяют поддерживать список инсайдеров в актуальном состоянии, не затрачивая при этом большого количества времени и минимизируя риск ошибок, неизбежных в случае ручного сопровождения процесса.
Ревизия и оптимизация
Компания проводит ежеквартальную ревизию использования технических средств защиты инсайда с целью актуализации существующих контрольных механизмов и их модернизации в случае необходимости. Неактуальные контроли оперативно устраняются. Необходимость устранения действующих контрольных процедур предварительно обсуждается с внутренними функциональными подразделениями компании, задействованными в их осуществлении, и согласовывается Контролером компании, отвечающим за контроль оборота инсайдерской информации.
Информирование
Внедрение новых и модернизация действующих технических мер защиты проходит с обязательным информированием сотрудников МегаФона.
В компании разработаны и внедрены специальные обучающие инструменты и материалы, призванные повысить уровень осознанности сотрудников, проинформировать о персональной ответственности за соблюдение норм законодательства и внутренних корпоративных норм об инсайде, ознакомить с основными принципами защиты инсайдерской информации, а также специализированными способами работы с инсайдом.
Популяризация соответствующих сервисов происходит одновременно по нескольким коммуникационным каналам:
- обучающие тренинги и семинары
- дистанционные обучающие курсы с обязательным итоговым тестированием,
- размещение актуальных документов, регламентов, информационных презентаций на внутреннем корпоративном портале МегаФона
- ведение регулярного информационного блога, в котором размещаются статьи о наиболее интересных случаях судебной практики по инсайду в Российской Федерации и Великобритании
- консультирование внутренних пользователей
- и даже создание и трансляция обучающих анимационных фильмов, которые на простых и понятных примерах разъясняют правила работы с инсайдерской информацией.
Периметр информационной защиты инсайдерской информации компании: защита без ущерба удобству пользователя
В настоящий момент в компании функционирует система защиты инсайдерской информации, отвечающая требованиям действующего российского и британского законодательства, позволяющая успешно проходить проверки регуляторов. Указанная система органично интегрирована в электронные системы корпоративного документооборота (SAP ERP SAP HR, Oracle's Hyperion Planning, LiveLink xEcm и др.) и охватывает весь спектр операционной деятельности компании, финансовый и управленческий учет, стратегическое планирование, бюджетирование, прогнозирование, систему управления персоналом, работу сервисных служб, обеспечивая полную функциональность, необходимую для реализации задачи по защите инсайдерской информации.
При этом, внедряя и совершенствуя технические средства защиты и повышая безопасность, ответственные внутренние подразделения компании заботятся о том, чтобы элементы системы информационной защиты были простыми и удобными в использовании, насколько это возможно.
Так, для работы с инсайдерской информацией создана специализированная виртуальная ИТ-инфраструктура, которая обеспечивает высокоэффективные инструменты управления, не внося при этом заметных изменений в рабочий процесс пользователей. На базе технологи Virtual Desktop Infrastructure (VDI) создано защищенное виртуальное рабочее пространство для обработки инсайдерской информации компании, централизованно развернутое на базе отказоустойчивого кластера (группы серверов, спроектированных в соответствии с методом обеспечения высокой доступности, гарантирующим минимальное время простоя за счет аппаратной избыточности).
Текущее решение обеспечивает снижение операционных издержек, повышение уровня защиты инсайдерских данных и не требует обучения конечных пользователей работе с новым интерфейсом. Благодаря VDI инсайдеры компании получают в свое распоряжение виртуальный персональный компьютер, с которым можно работать не только в офисе, но и во время путешествия или из дома. Все данные и настройки пользователей хранятся на сервере и надежно защищены. Защищенный доступ к ресурсу с внешних устройств для «внешних» инсайдеров, не являющихся сотрудниками компании, обеспечивается с помощью средства двухфакторной ОТР-аутентификации пользователей (термин, от английского «one time password» — одноразовый пароль): «внешним» инсайдерам, согласно действующим регламентам безопасности компании, выдается специальное устройство (так называемый OTP-токен), генерирующее комбинацию цифр для единичного сеанса подключения к рабочей среде VDI.
Кроме того, в компании внедрена удобная система защиты сообщений электронной почты, содержащих инсайдерскую информацию, осуществляющая проверку правомочности доступа и защиту документов. При попытке открытия защищенного сообщения программа производит моментальную сверку прав доступа и предоставляет возможность работы с защищенным контентом только инсайдерам компании.
Работа с инсайдерскими документами и корпоративными системами при помощи мобильных устройств обеспечивается еще одной программой, осуществляющей визуальный мониторинг состояния инсайдерского мобильного сегмента и администрирование параметров рабочей среды для мобильных устройств, находящихся в пользовании инсайдеров компании.
Также в компании внедрены и успешно функционируют системные решения, обеспечивающие защиту персональных компьютеров инсайдеров от несанкционированного доступа, копирования, повреждения, кражи или принудительного изъятия, и осуществляется контекстный контроль каналов сетевых коммуникаций.
С целью повышения эффективности системы защиты инсайдерской информации ответственные подразделения компании проводят ежеквартальный аудит использования технических мер защиты. А для оперативной поддержки и технического обслуживания инсайдеров компании создана специальная группа «быстрого реагирования» из числа инсайдеров — сотрудников функции информационных технологий, которая в приоритетном режиме устраняют технические проблемы в работе технических средств защиты на персональных компьютерах и переносных мобильных устройствах инсайдеров, обеспечивая функциональность и работоспособность системы информационной безопасности компании.
При этом, выстраивая периметр информационной защиты компании, в том числе в области защиты инсайда, нельзя ограничиваться внедрением технических мер защиты. Необходимо понимать, что никакая ИТ-система или их конфигурация не сможет обеспечить тотальную защиту от несанкционированного доступа и распространения конфиденциальной информации. Можно потратить миллионы долларов на обеспечение информационной безопасности и допустить ее утечку, если сотрудник сфотографирует конфиденциальный документ на телефон и впоследствии распространит эту информацию. Поэтому не менее важно воспитывать в сотрудниках культуру бережного отношения к инсайдерской информации общества, акцентировать внимание на том, что защита конфиденциальной информации — это персональная ответственность каждого сотрудника.