Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Sarbanes-Oxley препятствует выходу на биржу?

Sarbanes-Oxley препятствует выходу на биржу?Одного желания для выхода на фондовые рынки становится мало. Известно, что инвесторы — народ пугливый. Особенно остро вопрос защиты прав инвесторов и обеспечения их достоверной информацией возник после скандала с мошенничеством американского энергетического гиганта Enron. Далее в топку подлили масла и другие компании. Теперь, как говорят в России, «обжегшись на молоке, дуют на воду». Главным камнем преткновения становятся требования закона Sarbanes-Oxley, касающиеся перестройки информационных систем и защиты данных.

Закон Sarbanes — Oxley (далее — SOX, Закон) был принят в 2002 году и стал наиболее широким по своему охвату законодательным актом о ценных бумагах, принятым в Соединенных Штатах Америки за последние 70 лет. SOX был создан «…для защиты инвесторов путем усовершенствования правильности и достоверности открытой информации, созданной в корпорациях в соответствии с законодательством по ценным бумагам и для иных целей». [Sarbanes — Oxley Act] Поводом к выработке данного закона послужили многочисленные корпоративные скандалы 2001-2002 годов и факты мошенничества связанные с недостоверностью финансовой отчётности крупных корпораций.

Согласно этому нормативному акту все предприятия, которые либо представлены на фондовом рынке США, либо планируют туда выйти, должны в обязательном порядке соответствовать требованиям SOX в сфере создания эффективной системы внутреннего контроля при составлении финансовой отчётности, а также отчитываться в ее надежности и достоверности. Закон требует регламентации процедур тестирования и мониторинга всей внутренней системы контроля рисков, влияющих на качество финансовой отчетности. Компании должны подтвердить наличие эффективных механизмов контроля для всех процессов, имеющих отношение к отчетности, и проводить регулярный аудит. В связи с этим предприятиям необходимо внедрять современные формы документооборота, перестраивать системы управления, автоматизировать все бизнес-процессы и вводить необходимые меры контроля работы финансовых служб. Личную ответственность за соблюдение этих требований несут генеральные и финансовые директора предприятий.

Среди более 100 руководителей финансовых и ИТ-служб, которые участвовали в недавнем исследовании компании Ventana, большинство согласны с необходимостью существенных изменений существующих бизнес-процессов. Более 80% считают «важным» или «очень важным» упорядочить работу финансовых служб, например, обработку данных и бухгалтерскую отчетность. Руководители также выделяют среди важнейших задач необходимость упорядочить работу с финансовыми документами и автоматизировать бумажную работу, что напрямую зависит от ИТ-подразделений компаний.

«Портрет» компании-участницы фондового рынка США

Сегодня в России есть всего лишь несколько компаний, акции которых допущены к обращению на биржах США. Тем не менее, нельзя говорить о том, что североамериканский фондовый рынок непривлекателен для российских предпринимателей. Так выглядит примерный «портрет» компании, которая, по данным «Бизнес-журнала», может быть заинтересована сейчас — либо в будущем — в размещении своих акций на фондовых рынках США. Во-первых, стоимость активов или годовой оборот превышает 150 млн  долл. Во-вторых, средние темпы развития отрасли, в которой работает компания, — не менее 10% в год (таких отраслей в нашей экономике достаточно: телекоммуникационная, металлургическая, пищевая, нефтегазовая и т. д.) В-третьих, на протяжении последних двух-трех лет стабильный рост выручки или активов, как минимум на 30% в год.

Проблемы перехода

При переходе на составление бухгалтерской отчетности согласно требованиям SOX российские компании сталкиваются с рядом проблем, решение которых может потребовать оттока экономических выгод. Основная часть расходов компаний при переходе придется на оплату услуг консультантов, замену или модернизацию программного обеспечения, а также на дополнительные издержки на сбор информации. Данные области потребуют расходов финансовых ресурсов компании, следовательно, их влияние должно учитываться в бюджете трансформации, т.е. компании должны учесть величину возможных расходов при составлении генерального бюджета на период, в течение которого будет производиться приведение финансовой отчетности в соответствие требованиям SOX.

Однако могут возникнуть и непредвиденные расходы. По данным IDC в 2006 году на конференции Boston Security Summit представитель Xerox привел результаты исследований, касающихся соответствия уровня защищенности данных у 350 крупнейших клиентов этой компании положениями SOX и USA PATRIOT Act. Выяснилось, что средний возраст устройств печати составил 5,6 лет, а во многих случаях от 8 и выше лет. То есть, они были куплены еще до вступления в силу этих законодательных норм и, соответственно, не имеют достаточных встроенных средств защиты информации. Другая не менее важная проблема состоит в фактах краж отпечатанных документов и иных медиа носителей. Планируется использование специальных меток по технологиям DataGlyphs, GlossMarks, Correlation Marks, Micro-Fonts и RFID.

Три параграфа об ИТ

Закон состоит из 11 разделов. Как минимум три следующих параграфа раздела требуют пристального внимания ИТ-подразделений компаний. Параграф 302 требует от генерального и финансового директоров проверки финансовой отчетности компании на точность и полноту. Параграф 404 требует от генерального и финансового директоров, а также от сторонних аудиторских организаций, периодически подтверждать эффективность внутренних механизмов контроля финансовой отчетности. «При этом наибольшее внимание при приведении деятельности ИТ в соответствие параграфу 404 должно уделяться процедуре управления изменениями корпоративных информационных систем (далее КИС). В основу процесса управления изменениями КИС лежат процессы управления изменениями и обновлениями (Change Management и Release Management) библиотеки ITIL» — считает консультант компании «5-55» Роман Шевченко.

Наконец, параграф 409 требует от компаний сообщать о любых существенных фактах и рисках, которые могут повлиять на финансовые показатели.

SOX не выдвигает конкретных требований к ИТ, но акцентирует внимание на том, что достоверность финансовых данных и эффективность системы внутреннего контроля напрямую зависит от эффективности системы контроля деятельности ИТ. Внешний аудит компаний охватывает не только финансовые подразделения, но также ИТ-инфраструктуру компаний, внутренние ИТ-процессы, а так же персонал ИТ-подразделений.

Прямое отношение к управлению ИТ имеет раздел 404 Закона «Оценка системы внутреннего контроля» (Management Assessment of Internal Controls), который акцентирует внимание компаний на эффективности систем внутреннего контроля. В соответствии с данным разделом, высшее руководство компаний должно нести ответственность за организацию и поддержку системы внутреннего контроля, а также проводить регулярную оценку системы внутреннего контроля. Закон акцентирует внимание на контроле корректности составления финансовой отчетности и со стороны руководства компаний, и со стороны независимых аудиторов.

Как это построить

Построение системы внутреннего контроля деятельности ИТ начинается с уровня бизнес-процессов. Определяются информационные системы и ИТ-сервисы, поддерживающие данные процессы. Далее необходимо провести их глубокий анализ; проверить потенциально уязвимые места и связанные с ними риски, касающиеся надежности, целостности и доступности данных. определить, какие процессы следует подвергнуть более тщательному анализу и наконец, определить границы сферы ИТ-безопасности.

Обычно в компетенцию сотрудников информационной безопасности входит мониторинг таких бизнес — процессов, как: обеспечение непрерывности бизнеса; развитие систем управления; контроль доступа к информации; коммуникация и эксплуатация систем связи и передачи данных; физическая безопасность; контроль за актуальными данными о сотрудниках; организация работы службы ИТ.

Исходя из анализа бизнес-процессов и рисков ИТ-инфраструктуры, предприятию следует определить, какие меры обеспечения безопасности уже приняты, а какие необходимо определить и предпринять, определить способы контроля рисков, методику обеспечения безопасности и предотвращения рисков, меры контроля соответствия финансовой отчётности предприятия требованиям SOX. Необходимо детально отразить, как предприятие намерено реализовать на практике предложенные меры, спланировать внедрение необходимых бизнес-процессов, определить рамки проектов, согласовать выделение ресурсов на внедрение, формализовать критерии достижения поставленных целей, сроки проведения работы. Сроки подготовки предприятия к аудиту варьируются в зависимости от типа и размеров Компании, потребностей и требований заказчика, численности персонала, количество филиалов, объема предполагаемых к разработке документов и/или количества аудируемых процессов, а также от готовности высшего руководства к адаптации работающих процессов к требованиям SOX.

Подготовка к аудиту SOX требует больших временных и ресурсных затрат. Использование собственных ресурсов для реализации таких проектов возможно, но существенно повышает проектные риски, связанные с недостатком опыта, специфических знаний и компетенции сотрудников. Оптимальным вариантом решения ресурсной проблемы может стать привлечение внешних консультантов для подготовки предприятия к аудиту по SOX.

Как определить готовность

Отвечая положительно на следующие вопросы можно сделать вывод о готовности компании к аудиту ИТ по SOX:

- Одинаково ли эффективно работают выстроенные ИТ-процессы в каждом подразделении (филиале) компании? (При этом необходимо выяснить, использовались ли при разработке ИТ-процессов следующие стандарты: ISO 9001-2000, CobiT,ITIL, BS ISO/IEC 17799:2005 (BS 7799) или другие международные стандарты, связанные со спецификой отрасли.

- Запрещено ли на уровне всей компании использование нелицензионного ПО. И, если ответ положителен, то кто и как контролирует это решения.

- Отсутствует ли в компании самописное ПО без организации гарантированной поддержки?

- Существует ли в компании служба внутреннего контроля? Охватывает ли деятельность данной службы все ИТ-процессы компании? Анализируются ли высшим руководством отчеты об аудитах?

- Проводилась ли в компании проверка ИТ-процессов внешними независимыми аудиторами И ведется ли работа по устранению, выявленных в ходе аудита, несоответствий? А также, как распределена ответственность за организацию этих работ?

- Осуществляется ли в компании анализ ИТ-рисков?

- Осуществляются ли в компании корпоративные тренинги сотрудников по вопросам информационной безопасности?

Источник: «5-55», 2007

Необходимо отметить, что аудит ИТ по SOX не предполагает использование компанией таких нормативных документов, как ISO 9001-2000, CobiT, ITIL, BS 7799 и т.д. Однако использование данных стандартов является наилучшим фундаментом для построения эффективных ИТ-процессов внутри компании, а также максимально повышает шанс успешного прохождения аудита ИТ по SOX.

Анна Новак

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS