Вокруг ITSM

Иногда для достижения целей акционеров либо нет времени на формирование систем внутреннего контроля, управления рисками, на нахождение баланса между доверием, управлением и контролем, либо владельцы компании не видят в этом необходимости. При этом акционерам нужно в кратчайшие сроки поднять капитализацию с минимальными затратами. Самый простой способ — выйти на IPO (Initial Public Offering). В статье описан сугубо прагматичный подход к выходу на IPO. В дальнейшем можно использовать его как фундамент, на котором уже выстраивать систему внутреннего контроля (СВК) и/или систему управления рисками.

Закон SOX и ИТ Когда речь заходит о Законе Сарбейнса — Оксли (Sarbanes — Oxley Act, сокр. SOX) и ИТ, сразу вспоминаются статьи 404 и 302 этого Закона. Давайте вчитаемся:

СТАТЬЯ 404. (а) Каждая Компания, представляющая ежегодную финансовую отчетность в соответствии со статьей 13 (a) или 15 (d) Акта КЦБ США от 1934, должна включать в состав отчетности заявление о состоянии системы внутреннего контроля по формированию финансовой отчетности, в котором (1) указывается ответственность руководства Компании по созданию и поддержке СВК и процедур формирования финансовой отчетности и (2) содержится оценка эффективности СВК по формированию финансовой отчетности по состоянию на конец последнего финансового года. (б) ПРОВЕРКА ЭФФЕКТИВНОСТИ СВК в отношении оценки эффективности СВК руководством Компании. Каждая аудиторская фирма, которая формирует аудиторское заключение для Компании, должна проверить и сформировать отчет по достоверности заключения об эффективности СВК, сделанного руководством Компании. Проверка должна производиться в соответствии со стандартами, утвержденными специализированной организацией. Такая проверка не может быть предметом отдельного аудита.

Итак, Закон SOX требует от организаций создать СВК за процессами, связанными с формированием финансовой отчетности, и в рамках предварительного, текущего и последующего контроля тестировать ее эффективность. А затем на выходе проверки подготовить отчетность с результатами тестирования. Вот, собственно, и всё. Как вы заметили, в статье нет ни слова об «ИТ». В статье 302 Закона Сарбейнса — Оксли тоже нет ни слова об ИТ.

Так откуда же берутся требования к ИТ, если их нет в самом законе? Всё просто. Закон требует создать контроль процессов формирования финансовой отчетности, позволяющий минимизировать присущие риски ее искажения. Такие меры могут быть автоматизированными, а могут быть «ручными», например, личный контроль и подпись генерального директора.

Очевидно, что объем обрабатываемой информации, как правило, не позволяет сделать меры исключительно «ручными». С большой вероятностью ИТ будут задействованы как в процессе формирования самой отчетности, так и в контроле за ее достоверностью. Контрольные процедуры необходимо применять не ко всем информационным системам, превращающим присущие риски в остаточные, а только к тем, которые осуществляют обработку и анализ данных финансовых потоков, при условии, что результаты работы данных систем попадают в финансовую отчетность. Следовательно, необходимо определить, для каких ИТ-систем необходимо выработать контрольные процедуры.

Но выработка процедур контроля — лишь первый шаг по приближению системы ИТ-управления к требованиям Закона Сарбейнса — Оксли. Затем необходимо сделать так, чтобы выработанные контрольные процедуры соответствовали требованиям Закона SOX. Когда мы говорим о соответствии контрольных процедур этим требованиям, подразумеваем, что они соответствуют пониманию аудиторов четырех крупнейших в мире компаний (так называемой «Большой четверки»), предоставляющих аудиторские услуги.

ISACA (Information Systems Audit and Control Association) помогла нам понять аудиторов «Большой четверки», закрепив это понимание в документе IT Control Objectives for Sarbanes — Oxley, 2nd Edition. В данном документе представлен перечень ИТ-процессов, которые необходимо оценивать, а также вопросы, которые нужно задавать, и активности в рамках процесса, которые требуется проверять. А для компаний, использующих в основе своей системы внутреннего контроля и управления рисками концептуальные основы управления рисками COSO ERM (Enterprise Risk Management), есть матрица, где соотнесены компоненты модели COSO ERM c ИТ-процессами COBIT 5.0 (Control Objectives for Information and Related Technology) и требованиями Закона SOX (см. рисунок).

Прагматичное выполнение требований Закона SOX к ИТ Ниже мы приводим пошаговый алгоритм выполнения требований Закона SOX к ИТ. Шаг 1. Определяем, какие информационные системы и поддерживающая их ИТ-инфраструктура задействованы в формировании проверяемой внешними аудиторами финансовой отчетности. На данном этапе необходимо синхронизировать понимание этого вопроса со своими аудиторами, с риск-менеджерами и с персоналом, обеспечивающим организацию деятельности по внутреннему контролю; возможно и привлечение внешних консультантов. Если в организации внедрена система ИТ-управления, то определение можно начать с идентификации наиболее критичных с точки зрения формирования финансовой отчетности существующих ИТ-процессов. Далеко не всегда внедренная система ИТ-управления описана на языке международных стандартов и практик, поэтому есть смысл выделить те виды деятельности в области ИТ-управления, которые направлены на обеспечение надежности обработки и формирования финансовой отчетности.

Шаг 2. Проводим оценку ИТ-рисков для выбранных систем и определяем контрольные процедуры, направленные на их минимизацию. IT Control Objectives for Sarbanes — Oxley, 2nd Edition в этом очень поможет. Учтите, что выбранные системы нужно рассматривать с точки зрения трехуровневой архитектуры (multitier architecture): платформы (OS), базы данных (DB), приложения (APP) — и соотносить каждый уровень идентифицированных систем с контрольными процедурами. Выработанные для информационных систем механизмы контроля должны строиться исходя из используемых методов управления и взаимосвязанных с ними видов деятельности (Activities), которые определены COBIT 5. Чтобы наиболее точно идентифицировать риски, связанные с теми или иными ИТ-процессами, участвующими в формировании финансовой отчетности, нужно проанализировать накопленную компанией информацию о негативных событиях, периодичности их возникновения и размере причиненного ущерба. У компании, которая до момента внедрения системы внутреннего контроля не осуществляла систематизированное управление рисками, подобных статистических данных, как правило, нет. В этом случае идентификацию рисков лучше полностью возложить на экспертов — обычно руководителей подразделений. Они также оценят периодичность возникновения неблагоприятных событий и вероятный ущерб.

Шаг 3. Формализуем и внедряем выбранные механизмы контроля в виде политик и процедур.

Шаг 4. Определяем подход и программу проверки (тестирования) механизмов контроля. Необходимо назначить ответственных за проведение проверок. Ответственные за программу должны:

• определить цели и объем программы проверки контрольных процедур;

• назначить ответственных за проведение данных проверок;

• определить процедуры и этапы тестирования контрольных процедур (самооценка, вери-фикация, валидация);

• гарантировать обеспечение необходимыми ресурсами процедуры проверки контрольных процедур;

• утвердить программу проверки контрольных процедур;

• вести записи по программе проверки контрольных процедур;

• формировать необходимую отчетность по каждому из этапов тестирования контрольных процедур;

• периодически проводить мониторинг, анализ и улучшение программ проверки.

Шаг 5. Обеспечиваем проведение периодических проверок выработанных механизмов контроля. На данном этапе надо локализовать адекватные соразмерные процедуры проверки и обработки информация, чтобы вынести актуальное суждение как по отдельным контрольным процедурам, так и по агрегированным консолидированным оценкам контрольных процедур в разрезе ИТ-процессов COBIT 5.0.

Шаг 6. Формируем по итогам каждой про-верки финальный отчет для директората компании. Отчет включает перечень идентифицированных отклонений по каждой из процедур контроля с непосредственным указанием на уровень (OS, DB, APP) и систему. По каждой из проверяемых процедур контроля должна быть представлена информация о содержании аудиторских процедур (Control Activity), рассмотренные свидетельства, пояснения, детальные вопросы, описание рисков и рекомендации по совершенствованию выявленных отклонений, вывод о степени соответствия требованиям Закона SOX.

Шаг 7. Обсуждаем выявленные отклонения/недостатки в системе ИТ-управления, механизмах контроля в разрезе ИТ-процессов и системе внутреннего контроля с заинтересованными сторонами и устраняем их.

Шаг 8. Проводим внешний аудит выстроенных контрольных процедур. Это позволит получить независимую оценку эффективности системы внутреннего контроля в части ИТ, отвечающей за подготовку финансовой отчетности, включая эффективность процедур оценки механизмов контроля и СВК.

Используя данный алгоритм, подкрепив его COBIT 5.0 и документом IT Control Objectives for Sarbanes — Oxley 2nd Edition, можно привести систему ИТ-управления компании в соответствие с требованиям Закона Сарбейнса — Оксли.