Закон SOX и ИТ
Когда речь заходит о Законе Сарбейнса — Оксли (Sarbanes — Oxley Act, сокр. SOX) и ИТ, сразу вспоминаются статьи 404 и 302 этого Закона. Давайте вчитаемся:
СТАТЬЯ 404. (а) Каждая Компания, представляющая ежегодную финансовую отчетность в соответствии со статьей 13 (a) или 15 (d) Акта КЦБ США от 1934, должна включать в состав отчетности заявление о состоянии системы внутреннего контроля по формированию финансовой отчетности, в котором (1) указывается ответственность руководства Компании по созданию и поддержке СВК и процедур формирования финансовой отчетности и (2) содержится оценка эффективности СВК по формированию финансовой отчетности по состоянию на конец последнего финансового года. (б) ПРОВЕРКА ЭФФЕКТИВНОСТИ СВК в отношении оценки эффективности СВК руководством Компании. Каждая аудиторская фирма, которая формирует аудиторское заключение для Компании, должна проверить и сформировать отчет по достоверности заключения об эффективности СВК, сделанного руководством Компании. Проверка должна производиться в соответствии со стандартами, утвержденными специализированной организацией. Такая проверка не может быть предметом отдельного аудита.
Итак, Закон SOX требует от организаций создать СВК за процессами, связанными с формированием финансовой отчетности, и в рамках предварительного, текущего и последующего контроля тестировать ее эффективность. А затем на выходе проверки подготовить отчетность с результатами тестирования. Вот, собственно, и всё. Как вы заметили, в статье нет ни слова об «ИТ». В статье 302 Закона Сарбейнса — Оксли тоже нет ни слова об ИТ.
Взаимосвязь восьми компонентов концептуальной модели
управления рисками организации, процессной моделью COBIT 5.0
и требованиями Закона Сарбейнса — Оксли
Так откуда же берутся требования к ИТ, если их нет в самом законе? Всё просто. Закон требует создать контроль процессов формирования финансовой отчетности, позволяющий минимизировать присущие риски ее искажения. Такие меры могут быть автоматизированными, а могут быть «ручными», например, личный контроль и подпись генерального директора.
Очевидно, что объем обрабатываемой информации, как правило, не позволяет сделать меры исключительно «ручными». С большой вероятностью ИТ будут задействованы как в процессе формирования самой отчетности, так и в контроле за ее достоверностью. Контрольные процедуры необходимо применять не ко всем информационным системам, превращающим присущие риски в остаточные, а только к тем, которые осуществляют обработку и анализ данных финансовых потоков, при условии, что результаты работы данных систем попадают в финансовую отчетность. Следовательно, необходимо определить, для каких ИТ-систем необходимо выработать контрольные процедуры.
Но выработка процедур контроля — лишь первый шаг по приближению системы ИТ-управления к требованиям Закона Сарбейнса — Оксли. Затем необходимо сделать так, чтобы выработанные контрольные процедуры соответствовали требованиям Закона SOX. Когда мы говорим о соответствии контрольных процедур этим требованиям, подразумеваем, что они соответствуют пониманию аудиторов четырех крупнейших в мире компаний (так называемой «Большой четверки»), предоставляющих аудиторские услуги.
ISACA (Information Systems Audit and Control Association) помогла нам понять аудиторов «Большой четверки», закрепив это понимание в документе IT Control Objectives for Sarbanes — Oxley, 2nd Edition. В данном документе представлен перечень ИТ-процессов, которые необходимо оценивать, а также вопросы, которые нужно задавать, и активности в рамках процесса, которые требуется проверять. А для компаний, использующих в основе своей системы внутреннего контроля и управления рисками концептуальные основы управления рисками COSO ERM (Enterprise Risk Management), есть матрица, где соотнесены компоненты модели COSO ERM c ИТ-процессами COBIT 5.0 (Control Objectives for Information and Related Technology) и требованиями Закона SOX (см. рисунок).
Прагматичное выполнение требований Закона SOX к ИТ
Ниже мы приводим пошаговый алгоритм выполнения требований Закона SOX к ИТ.
Шаг 1. Определяем, какие информационные системы и поддерживающая их ИТ-инфраструктура задействованы в формировании проверяемой внешними аудиторами финансовой отчетности. На данном этапе необходимо синхронизировать понимание этого вопроса со своими аудиторами, с риск-менеджерами и с персоналом, обеспечивающим организацию деятельности по внутреннему контролю; возможно и привлечение внешних консультантов. Если в организации внедрена система ИТ-управления, то определение можно начать с идентификации наиболее критичных с точки зрения формирования финансовой отчетности существующих ИТ-процессов. Далеко не всегда внедренная система ИТ-управления описана на языке международных стандартов и практик, поэтому есть смысл выделить те виды деятельности в области ИТ-управления, которые направлены на обеспечение надежности обработки и формирования финансовой отчетности.
Шаг 2. Проводим оценку ИТ-рисков для выбранных систем и определяем контрольные процедуры, направленные на их минимизацию. IT Control Objectives for Sarbanes — Oxley, 2nd Edition в этом очень поможет. Учтите, что выбранные системы нужно рассматривать с точки зрения трехуровневой архитектуры (multitier architecture): платформы (OS), базы данных (DB), приложения (APP) — и соотносить каждый уровень идентифицированных систем с контрольными процедурами. Выработанные для информационных систем механизмы контроля должны строиться исходя из используемых методов управления и взаимосвязанных с ними видов деятельности (Activities), которые определены COBIT 5. Чтобы наиболее точно идентифицировать риски, связанные с теми или иными ИТ-процессами, участвующими в формировании финансовой отчетности, нужно проанализировать накопленную компанией информацию о негативных событиях, периодичности их возникновения и размере причиненного ущерба. У компании, которая до момента внедрения системы внутреннего контроля не осуществляла систематизированное управление рисками, подобных статистических данных, как правило, нет. В этом случае идентификацию рисков лучше полностью возложить на экспертов — обычно руководителей подразделений. Они также оценят периодичность возникновения неблагоприятных событий и вероятный ущерб.
Шаг 3. Формализуем и внедряем выбранные механизмы контроля в виде политик и процедур.
Шаг 4. Определяем подход и программу проверки (тестирования) механизмов контроля. Необходимо назначить ответственных за проведение проверок. Ответственные за программу должны:
- определить цели и объем программы проверки контрольных процедур;
- назначить ответственных за проведение данных проверок;
- определить процедуры и этапы тестирования контрольных процедур (самооценка, вери-фикация, валидация);
- гарантировать обеспечение необходимыми ресурсами процедуры проверки контрольных процедур;
- утвердить программу проверки контрольных процедур;
- вести записи по программе проверки контрольных процедур;
- формировать необходимую отчетность по каждому из этапов тестирования контрольных процедур;
- периодически проводить мониторинг, анализ и улучшение программ проверки.
Шаг 5. Обеспечиваем проведение периодических проверок выработанных механизмов контроля. На данном этапе надо локализовать адекватные соразмерные процедуры проверки и обработки информация, чтобы вынести актуальное суждение как по отдельным контрольным процедурам, так и по агрегированным консолидированным оценкам контрольных процедур в разрезе ИТ-процессов COBIT 5.0.
Шаг 6. Формируем по итогам каждой про-верки финальный отчет для директората компании. Отчет включает перечень идентифицированных отклонений по каждой из процедур контроля с непосредственным указанием на уровень (OS, DB, APP) и систему. По каждой из проверяемых процедур контроля должна быть представлена информация о содержании аудиторских процедур (Control Activity), рассмотренные свидетельства, пояснения, детальные вопросы, описание рисков и рекомендации по совершенствованию выявленных отклонений, вывод о степени соответствия требованиям Закона SOX.
Шаг 7. Обсуждаем выявленные отклонения/недостатки в системе ИТ-управления, механизмах контроля в разрезе ИТ-процессов и системе внутреннего контроля с заинтересованными сторонами и устраняем их.
Шаг 8. Проводим внешний аудит выстроенных контрольных процедур. Это позволит получить независимую оценку эффективности системы внутреннего контроля в части ИТ, отвечающей за подготовку финансовой отчетности, включая эффективность процедур оценки механизмов контроля и СВК.
Используя данный алгоритм, подкрепив его COBIT 5.0 и документом IT Control Objectives for Sarbanes — Oxley 2nd Edition, можно привести систему ИТ-управления компании в соответствие с требованиям Закона Сарбейнса — Оксли.
 | Михаил Грибов Эксперт по ИТ-аудиту компании IT Expert. Закончил МГТУ им. Баумана и АНХ при Правительстве Москвы. Профессиональную карьеру начал в 2000-м г.: организовывал проектирование, разработку и внедрение территориально-распределенных систем информационной безопасности и доступности. В IT Expert руководит проектами по стратегическому и операционному консалтингу; реализовал более 30 проектов для крупных организаций. Сертифицированный EXIN тренер (Expert Level) и разработчик программ обучения аудиторов, специалистов по внутреннему контролю в области ИТ, обеспечению непрерывности бизнеса и ИТ-услуг. Имеет российские и зарубежные сертификаты по ИТ-управлению и управлению проектами. |
 | Павел Кудрявцев Директор Департамента ИТ-услуг компании IT Expert. Обладает 17-летним опытом в области информационных технологий, из них 9 лет в области разработки автоматизированных систем, 8 лет практики в сфере аудита информационных систем и систем ИТ-управления. Руководил и участвовал в проектах по аудиту и управленческому консалтингу. Кроме консалтинговой и аудиторской деятельности, разрабатывал и проводил тренинги по контролю и аудиту ИТ, а также по разработке и сопровождению автоматизированных систем. |
