пятница, 28 декабря 2007 г.

Решение задач соответствия стандартам и лучшим практикам

Возрастание роли ИТ в реализации ключевых бизнес-процессов крупных компаний, в том числе процессов подготовки финансовой отчетности, в соответствии с требованиями органов регулирования фондовых рынков, поставило вопрос о формализации процедур управления ИТ-инфраструктурой.

Подобная формализация идет по пути формирования набора лучших практик и стандартов, которым должны соответствовать информационные инфраструктуры и ИТ-службы компаний. Такое соответствие обеспечивается в рамках процесса получившего название «Управление соответствием» (Compliance Management).
Наиболее известные стандарты, применяемые для регулирования деятельности ИТ: SOX (COSO), Solvency II, Basel II, MiFID. В США требования к ИТ определяются Актом Сарбейнса–Оксли (Sarbanes-Oxley - SOX), а именно его 404 секцией. В Европейском Союзе используется аналогичный стандарт Solvency II. Действующий в Британии добровольный Объединенный Кодекс (Combined Code) мало, чем уступает SOX.
Для детализации требований к организации системы внутреннего контроля ИТ аудиторское сообщество широко применяет положения стандартов CobiT, ISO 17799, ISO 20000 (BS 15000), распространяя эти положения на область формирования и контроля достоверности финансовой отчетности.
Для обеспечения соответствия новым требованиям регулирующих органов, крупным компаниям, начиная с 2007 года, необходимо прибегать к дорогостоящим услугам аудиторов. Другой путь – использование методологии «постоянного соответствия», предполагающей использование технологий и программного обеспечения, уменьшающих потребность во внешних процедурах аудита.
Компания РДТЕХ предлагает новую версию информационной системы alfabet planningIT 3.0, включающую модуль «Управление соответствием» (Compliance Management). Данная система поддерживает методологию «постоянного соответствия». Внедрение системы planningIT может уже в первый год эксплуатации принести эффект в размере 4-5 миллионов долларов США.
Внедрение такой системы целесообразно также для компаний, которые только планируют выход на международный фондовый рынок. Результат использование в деятельности компании лучших практик и стандартов в области управления ИТ через проведение регулярных процедур соответствия – более эффективная организация, более высокое качество продуктов и услуг, более высокая капитализация компании.

Требования Акта Сарбейнса–Оксли (Sarbanes-Oxley - SOX)

Акт Сарбейнса–Оксли (SOX) был принят Конгрессом США в 2002 году. Этот акт распространяется как на американские компании, так и на иностранные компании с ценными бумагами, зарегистрированными в Федеральной комиссии по ценным бумагам США (SEC), в том числе – и на российские, планирующие разместить ценные бумаги на американском фондовом рынке. Он предусматривает новые правила, нормы и стандарты корпоративного управления для открытых акционерных обществ, зарегистрированных в SEC.
Акт Сарбейнса–Оксли требует обеспечить выбор и реализацию соответствующего внутреннего управленческого стандарта в виде типовой модели. Секция 404 из SOX оговаривает в качестве обязательного условия, чтобы управленческий аппарат демонстрировал финансовую отчетность и перечень изменений в ИТ (аудит изменений).

Внутренний контроль

В соответствии с секцией 404 Акта SOX менеджмент компании должен готовить отчет о внутреннем контроле для включения его в ежегодный отчет, предоставляемый в Комиссию по ценным бумагам США (SEC). Отчет должен подтверждать ответственность руководства компании за создание и обеспечение адекватной структуры и процедур внутреннего контроля при подготовке финансовой отчетности. Для этого менеджеры должны руководствоваться определенными типовыми моделями.

Управление ИТ, аудит ИТ и SOX 404

Совет по надзору за учетом в публичных компаниях США (Public Company Accounting Oversight Board - PCAOB) утвердил Стандарт «Аудит внутреннего контроля формирования финансовой отчетности». Он устанавливает требования к проведению аудита внутреннего контроля финансовой отчетности и содержит определенные требования к аудиторам. Стандарт PCAOB требует от аудиторов понимания бизнес-процессов компании, в том числе того, как эти процессы инициируются, регистрируются, обрабатываются и учитываются.
Процессы подготовки финансовой отчетности в большинстве организаций обеспечиваются с помощью информационных систем. Многие компании используют ИТ для управления, обработки документов и реализации ключевых операционных процессов. Таким, образом, ИТ играет жизненно важную роль в управлении компанией.
Так как бизнес-процессы компаний ИТ-зависимы, то приложения и технические компоненты информационной системы также учитываются при разработке и оценке внутреннего наблюдения за формированием финансовой отчетности.
Таким образом, PCAOB выдвигает ряд общих требований к контролю ИТ, включая требования по контролю процессов разработки и изменения приложений, выполнения компьютерных операций и процессов доступа к программам и данным. Существенно, что названные требования позволяют задать контрольную среду, метрики контроля и определить контрольные процедуры, необходимые для управления и снижения остаточных рисков компании.

Типовые модели COSO

PCAOB предлагает ряд типовых моделей, подготовленных комитетом спонсорских организаций Комиссии Тредвея (COSO). Типовые модели COSO ориентированы на «управленческую активность» и «информацию и взаимодействие».
Комиссия по ценным бумагам (SEC) определяет типовые модели COSO как методологию для достижения соответствия стандартам. Типовые модели COSO определяют пять областей, которые при реализации могут помочь в выполнении требований SOX.
Пять областей и их влияние на ИТ-подразделения:
Оценка риска. Перед тем как будут реализованы необходимые управленческие процедуры, руководство ИТ должно оценить и понять области риска влияющие на полноту и достоверность финансовой отчетности. Необходимо проверить, как информационные системы в компании обеспечивают точность существующей отчетности. Эта область обеспечивает оценку рисков для других компонентов типовой модели COSO.
Контроль окружения. Окружение, в котором сотрудники ответственны за успех их проектов, может поощрять их к усилению позитивного отношения к успеху всей организации. Сотрудники должны проходить разнообразные тренинги в группах по разработке, реализации, оценке риска и внедрению для лучшего понимания всего жизненного цикла ИТ.
Контроль деятельности. Проектирование, реализация и оценка качества должны быть независимы. Организация должна создавать правила использования документов и отслеживать изменения для каждой системы, которая используется для обработки финансовой информации. Более того, описанные политики должны определять спецификации, бизнес-требования и другие документы, необходимые в каждом проекте.
Мониторинг. Должны быть разработаны процессы аудита для отслеживания наиболее проблемных областей ИТ-инфраструктуре. Персонал ИТ должен практиковать регулярные процедуры внутреннего аудита. Кроме того, персонал из других подразделений должен участвовать в процедурах аудита с регулярностью, соответствующей уровням рисков.
Информация и взаимодействие. Без своевременной и точной информации ИТ-менеджерам будет трудно обеспечить упреждающее определение областей риска. В таком случае, реакция будет невозможна, пока неблагоприятное событие не произойдет. ИТ-менеджеры должны демонстрировать руководству компании понимание того, что надо сделать для обеспечения требований Акта Сарбейнса–Оксли.
Однако, на практике большинство компаний для обеспечения процедур соответствия применяют значительно более детальный стандарт CobiT.

Стоимость реализации

В бизнес-сообществе есть понимание, что Акт Сарбейнса–Оксли необходим. Однако, стоимость реализации его требований оказалась очень высокой. Для компаний ключевым вопросом является стоимость обновления информационных систем для выполнения требований по внутреннему контролю и финансовой отчетности. Системы, которые предоставляют управление документооборотом, доступ к финансовой информации и долгосрочное хранение информации должны теперь поддерживать функции аудита изменений. В большинстве случаев это требует существенных модификаций или даже полной замены существующих систем, разработанных без учета необходимой поддержки аудита изменений.
Затраты компаний по выполнению требований по соответствию SOX 404 могут быть очень существенными. В соответствии с данными Международной ассоциации финансовых директоров (FEI), на основании исследования проведенного в 217 компаниях со средним доходом более 5 миллиардов долларов, затраты в первый год составляют в среднем 4.36 миллиона долларов. По данным журнала BusinessWeek, требования по соответствию Акту Сарбейнса–Оксли могут стоить крупной компании в среднем $7.8 миллионов долларов и 70,000 человеко-часов.
Компания Ernst&Yong провела исследование, в котором приняли участие более 100 иностранных эмитентов, котирующихся на фондовом рынке США, в том числе, все шесть российских компаний-эмитентов. Некоторые цифры из исследования:
· 29% компаний с выручкой от 5 до 20 млрд. долларов США протестировали более 5000 процедур. В компаниях с выручкой более 20 млрд. долларов США доля компаний, протестировавших более 5000 контрольных процедур, достигла 86%.
· 48% компаний к началу первого года смогут внедрить только половину всех рекомендаций по повышению эффективности системы внутреннего контроля.
· 42% компаний с выручкой свыше 20 млрд. долларов собираются затратить более 100,000 человеко-часов в течение первого года.

Установление «постоянного соответствия» или процесс вместо проекта.

Будущее практики обеспечения соответствия видится в установлении «постоянного соответствия». На пути к этому видятся следующие предпосылки:
  • Многие компании по-прежнему видят выполнение требований SOX 404 как конечный проект с четко определенной конечной точкой.
  • Отвлечение персонала на работы по обеспечению соответствия в рамках внутреннего аудита приводит к резкому увеличению нагрузки на персонал и существенному увеличению расходов.
  • Роли, определенные требованиями проекта по управлению соответствием часто плохо определены и отделены от ежедневных должностных обязанностей персонала. Обеспечение процесса «постоянного соответствия» приводит к большей ясности и интегрированности процессов контроля.
  • Давление со стороны даты завершения проекта по обеспечению соответствия приводит к использованию различных импровизированных процедур, сто не происходит при реализации процесса обеспечения соответствия.
  • Недооценка влияния информационных технологий как ключевого фактора достижения целей, преследуемых SOX 404, приводит к существенным искажениям процедур соответствия в рамках ограниченного по времени проекта по обеспечению соответствия. В таком случае компания концентрируется на бизнес-процессах и не уделяет должного внимания огромной роли ИТ во внутреннем контроле и подготовке финансовой отчетности. Процесс управления соответствием приводит к большему влиянию ИТ на процедуры соответствия.
  • Эффективный внутренний контроль основан на упреждающей оценке рисков. Однако, при проведении проекта по обеспечению соответствия, задачи оценки рисков решаются в последнюю очередь.
Компания Deloitte разработала типовую модель для процесса «постоянного соответствия» (Sustained Compliance Solution Framework). Основные элементы этой типовой модели:
  • Эффективные и результативные процессы количественной и качественной оценки уровней тестирования, исправления, мониторинга и подготовки отчетности.
  • Интегрированные процессы подготовки финансовой отчетности и внутреннего управления.
  • Использование технологии поддерживающей обеспечение соответствия.
  • Ясно прописанные роли и ответственность с возможностью их оценки.
  • Обучение и тренинги для управления окружением.
  • Адаптивность и гибкость для реагирования на организационные и регулятивные изменения.
Однако, для реализации модели «постоянного соответствия» необходимо использовать программное обеспечение, способное обеспечить поддержку соответствующих процедур и функций в рамках крупной компании через реализацию соответствующей технологии.

Инструменты поддержки процедур управления соответствием.

Инструменты по обеспечению соответствия SOX могут использоваться для снижения расходов при проведении соответствующих процедур в рамках реализации концепции «постоянного соответствия».
Информационные системы, призванные помочь при обеспечении соответствия должны обеспечивать «постоянное соответствие» в следующих областях: единый репозитарий, процессное управление работами и функции аудита изменений. Информационные системы такого рода могут также применяться для интеграции процессов подготовки финансовой отчетности и внутреннего контроля. Подобная интеграция критически важна для большинства крупных и сложных по структуре компаний.

alfabet planningIT и процедуры соответствия

Информационная система alfabet planningIT в полной мере соответствует указанным требованиям к реализации процедур соответствия. Система реализована на основе единого репозитария, построенного на расширяемой метамодели, детально описывающей взаимодействие ИТ-инфраструктуры с бизнесом компании.
В planningIT реализовано процессное управление работами на основе единого репозитария. Функции аудита изменений позволяют в режиме реального времени проводить необходимые процедуры соответствия. Единый репозитарий позволяет обеспечить эффективный сбор и хранение информации по соответствию лучшим практикам. Реализована поддержка управленческих процедур и процессов с помощью встроенного механизма поручений, мониторов и наборов правил информирования по электронной почте. Ролевое распределение прав и ответственности пользователей позволяет реализовать эффективные процедуры соответствия и внутреннего контроля.
Система planningIT обеспечивает поддержку процедур соответствия через:
• Сбор информации по согласованию и утверждению.
• Аудит изменений для обеспечения нужд раскрытия.
• Непрерывный процесс по управлению финансовыми данными и внутреннему контролю.
• Документирование и присоединение файлов для детального раскрытия информации.
• Оценку статуса объектов в реальном времени и подготовку отчетов для принятия управленческих решений.
• Автоматическое отслеживание задач и механизм уведомлений.
Система Alfabet planningIT обеспечивает выполнение требований по контролю процессов разработки и изменения приложений, выполнения компьютерных операций и процессов доступа к программам и данным. Существует стандартная возможность задать контрольную среду, метрики контроля и определить контрольные процедуры, необходимые для управления рисками.
Поддерживается механизм поддержки внутреннего управленческого стандарта через построение типовых моделей, определенных требованиями соответствия лучшим практикам и стандартам. Система поддерживает документирование и использование в процессе «постоянного соответствия» набора стратегических целей, набора стратегий и политик компании.

Комментариев нет: