Компании, планирующие выходить на фондовый рынок, должны подтвердить достоверность своей финансовой отчетности и эффективность системы внутреннего контроля. Таково одно из основных требований закона Сарбейнса-Оксли. Его выполнение напрямую зависит от эффе

Несколько фактов

Закон Сарбейнса—Оксли (Sarbanes—Oxley Act, SOX) был принят в 2002 году и стал наиболее широким по своему охвату законодательным актом о ценных бумагах Соединенных Штатов Америки за последние 70 лет. Закон был разработан «…для защиты инвесторов путем усовершенствования правильности и достоверности открытой информации, созданной в корпорациях в соответствии с законодательством по ценным бумагам и для иных целей». Поводом к выработке данного закона послужили многочисленные корпоративные скандалы 2001—2002 годов, факты мошенничества, связанные с недостоверностью финансовой отчетности крупных корпораций.

Все предприятия, которые работают на фондовом рынке США либо планируют выйти на эти рынки, должны соответствовать требованиям SOX при составлении финансовой отчетности, а также отчитываться в надежности и достоверности данной финансовой отчетности. Закон требует регламентации процедур тестирования и мониторинга всей внутренней системы контроля рисков, влияющих на качество финансовой отчетности. Компании должны подтвердить наличие эффективных механизмов контроля для всех процессов, имеющих отношение к отчетности, и проводить регулярный аудит. Необходимо внедрять современные формы документооборота, перестраивать системы управления, автоматизировать все бизнес-процессы и вводить необходимые меры контроля за работой финансовых служб.

Личную ответственность за соблюдение этих требований несут генеральные и финансовые директора предприятий.

Сегодня в России есть лишь несколько компаний, акции которых допущены к обращению на биржах США. Тем не менее, нельзя сказать, что североамериканский фондовый рынок не привлекателен для российских предпринимателей.

Вот как выглядит примерный портрет компании, которая, по данным «Бизнес-журнала», может быть заинтересована сейчас либо в будущем в размещении своих акций на фондовых рынках США:

  • стоимость активов или годовой оборот превышает 150 млн. долл.;
  • средние темпы развития отрасли, в которой работает компания, не менее 10% в год (таких отраслей в нашей экономике достаточно: телекоммуникационная, металлургическая, пищевая, нефтегазовая и др.);
  • на протяжении последних двух-трех лет стабильный рост выручки или активов как минимум на 30% в год.

Проблемы перехода

При переходе на составление бухгалтерской отчетности согласно требованиям закона Сарбейнса—Оксли российские компании сталкиваются с проблемами, решение которых может потребовать уменьшения экономических выгод.

Основные расходы придутся на оплату услуг консультантов, сбор информации, замену или модернизацию программного обеспечения.

Расходы должны учитываться в бюджете трансформации, то есть компании должны учесть величину возможных расходов, в том числе с добавлением в бюджет статьи о непредвиденных расходах при составлении генерального бюджета на период, в течение которого финансовая отчетность будет приводиться в соответствие требованиям SOX.

SOX и ИТ

Закон состоит из одиннадцати разделов. Как минимум три нижеприведенных параграфа требуют пристального внимания ИТ-подразделений компаний.

Параграф 302 — требует от генерального и финансового директоров проверки финансовой отчетности компании на точность и полноту.

Параграф 404 — требует от генерального и финансового директоров, а также от сторонних аудиторских организаций периодически подтверждать эффективность внутренних механизмов контроля финансовой отчетности. Наибольшее внимание при приведении деятельности ИТ в соответствие параграфу 404 уделяется процедуре управления изменениями корпоративных информационных систем. В основу управления изменениями информационных систем положены процессы Change Management и Release Management библиотеки ITIL.

Параграф 409 — требует от компаний сообщать о любых существенных фактах и рисках, которые могут повлиять на финансовые показатели.

Закон Сарбейнса—Оксли не выдвигает конкретных требований к ИТ, но акцентирует внимание на том, что достоверность финансовых данных и эффективность системы внутреннего контроля напрямую зависят от эффективности системы контроля деятельности ИТ. Внешний аудит компаний охватывает не только финансовые подразделения, но также ИТ-инфраструктуру компаний, внутренние ИТ-процессы, персонал ИТ-подразделений.

Прямое отношение к управлению ИТ имеет раздел 404 Management Assessment of Internal Controls (Оценка системы внутреннего контроля). В соответствии с данным разделом высшее руководство компаний должно нести ответственность за организацию и поддержку системы внутреннего контроля, а также проводить регулярную оценку системы внутреннего контроля.

Закон акцентирует внимание на контроле корректности составления финансовой отчетности со стороны руководства компаний, а также независимых аудиторов.

Как это построить

Построение системы внутреннего контроля деятельности ИТ начинается с бизнес-процессов — определяются информационные системы и ИТ-сервисы, поддерживающие данные процессы. Необходимо провести глубокий анализ систем и процессов; проверить потенциально уязвимые места и связанные с ними риски надежности, целостности и доступности данных; определить, какие процессы следует подвергнуть тщательному анализу и установить сферы ИТ-безопасности.

Исходя из анализа бизнес-процессов и рисков ИТ-инфраструктуры (неработоспособность элементов ИТ-инфраструктуры, недостаточный уровень информационной безопасности, отсутствие «горячего» резерва и т.д.) предприятию следует определить, какие меры обеспечения безопасности уже приняты, а какие необходимо предпринять, выявить способы контроля рисков, выработать методику обеспечения безопасности и предотвращения рисков, разработать меры контроля за соответствием финансовой отчетности предприятия требованиям SOX. Необходимо детально отразить, как предприятие будет практически реализовывать предложенные меры, спланировать внедрение процессов, необходимых для прохождения аудита по SOX, определить рамки проектов по внедрению данных процессов, согласовать выделение ресурсов на внедрение, формализовать критерии достижения поставленных целей, определить сроки проведения работ. Сроки подготовки к аудиту зависят от типа и размеров компании (численности персонала, количества филиалов, объема предполагаемых к разработке документов и/или количества аудируемых процессов), а также от готовности высшего руководства к предстоящему объему работ.

Подготовка к аудиту SOX требует больших затрат времени и ресурсов. Использование собственных ресурсов возможно, но существенно повышает проектные риски, связанные с недостатком опыта, специфических знаний и компетенции сотрудников. Оптимальным вариантом решения проблемы может стать привлечение внешних специалистов для подготовки предприятия к аудиту по SOX.

Закон Сарбейнса—Оксли не предписывает компании использовать такие нормативные документы, как ISO 9001-2000, CobiT, ITIL, BS 7799 и др. Однако следование им является наилучшим фундаментом для построения эффективных ИТ-процессов внутри компании, а также максимально повышает шанс успешного прохождения аудита ИТ на соответствие SOX.

Анна Новак — консультант компании «5-55»: novaka@5-55.ru

Немного статистики

В недавнем исследовании, проведенном компанией Ventana, участвовало более ста руководителей финансовых и ИТ-служб. Большинство из них согласны с тем, что существующие бизнес-процессы нуждаются в значительных изменениях . Более 80% считают «важным» или «очень важным» упорядочить работу финансовых служб, например, обработку данных и бухгалтерскую отчетность. Руководители также считают важнейшей задачей для ИТ-подразделений упорядочить работу с финансовыми документами и автоматизировать бумажную работу.

На заметку руководителю ИТ-службы

Исходя из положительных ответов на следующие вопросы, можно сделать вывод о готовности компании к аудиту ИТ по SOX:

  1. Одинаково ли эффективно работают выстроенные ИТ-процессы в каждом подразделении (филиале) компании?
    2. а) использовались ли при разработке ИТ-процессов стандарты ISO 9001-2000, CobiT, ITIL, BS ISO/IEC 17799:2005 (BS 7799) и другие международные стандарты, связанные со спецификой отрасли?
  2. Запрещено ли в компании использовать нелицензионное ПО?
    3. а) контролируется ли запрет на использование нелицензионного ПО?
  3. Отсутствует ли в компании самописное ПО без организации гарантированной поддержки?
    4. а) отсутствуют ли ключевые сотрудники, занимающиеся поддержкой самописного ПО?
  4. Существует ли в компании служба внутреннего контроля?
    5. а) охватывает ли деятельность этой службы все ИТ-процессы компании?
    б) анализируются ли высшим руководством отчеты об аудитах?
  5. Проводилась ли в компании проверка ИТ-процессов внешними независимыми аудиторами?
    6. а) ведется ли работа по устранению выявленных в ходе аудита несоответствий?
    б) распределена ли ответственность за организацию этих работ?
  6. Осуществляется ли анализ ИТ-рисков?
    7. а) распределена ли ответственность за выявление и анализ ИТ-рисков?
  7. Проводятся ли в компании корпоративные тренинги сотрудников по информационной безопасности?