Акт Сарбейнса-Оксли и информационные технологии
Акт Сарбейнса-Оксли и информационные технологии
Компаниям, чьи акции продаются на Нью-Йоркской фондовой бирже (NYSE), необходимо соответствовать требованиям акта Сарбейнса-Оксли. Сегодня многие вендоры программного и аппаратного обеспечения говорят о том, что их решения соответствуют требованиям данного акта. Предлагаю разобраться в том, что за требования предъявляет акт Сарбейнса-Оксли к ИТ, и как им можно соответствовать.
История вопроса
Акт Сарбейнса-Оксли был принят в 2002 году после нашумевших скандалов с компаниями Enron, Worldcom и некоторыми другими. Напомню, что в случае с Enron, компания готовила мошенническую отчетность, которую смело подписывали аудиторы из компании “Артур Андерсен”. Для аудиторов история закончилась плохо – компании “Артур Андерсен” больше нет, а ее практики в разных странах разбежались по другим компаниям теперь уже «большой четверки». Акт определяет требования как к аудиторам, так и к компаниям, чьи акции продаются на американской фондовой бирже. Так, например, компания из «большой четверки» не может оказывать определенные консалтинговые услуги своим клиентам по финансовому аудиту, так как потом не сможе независимо оценивать результаты своей же работы.
Параграф 404
Когда речь заходит о требованиях акта к ИТ все вспоминают 404-й параграф документа. Давайте посмотрим на текст оригинала повнимательнее:
«SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.
(a) RULES REQUIRED.—The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall—
(1) state the responsibility of management for establishing
and maintaining an adequate internal control structure and
procedures for financial reporting; and
(2) contain an assessment, as of the end of the most recent
fiscal year of the issuer, of the effectiveness of the internal
control structure and procedures of the issuer for financial
reporting.
(b) INTERNAL CONTROL EVALUATION AND REPORTING.—With
respect to the internal control assessment required by subsection
(a), each registered public accounting firm that prepares or issues
the audit report for the issuer shall attest to, and report on, the
assessment made by the management of the issuer. An attestation
made under this subsection shall be made in accordance with standards
for attestation engagements issued or adopted by the Board.
Any such attestation shall not be the subject of a separate engagement.»
Не буду переводить полностью, скажу лишь, что аббревиатура “ИТ” в тексте параграфа даже не встречается. Фактически акт требует от компании создать систему внутреннего контроля за процессами формирования финансовой отчетности и регулярно тестировать ее эффективность и готовить соответствующие отчеты с результатами тестирования. И все.
Откуда же берутся требования к ИТ?
Разбираемся дальше. Фактически акт требует создать контроли (контрмеры) в процессах формирования финансовой отчетности, минимизирующие риски ее искажения. Такие контроли могут быть как ручными (например, подпись руководителя на приказе перед тем как чем-то будет дан ход), так и прикладными в информационных системах (например, замена подписи в виде галочки в соответствующей форме). К прикладным контролям также часто относят функционал систем расчета каких-либо цифр, попадающих, в конечном счете, в финансовую отчетность.
Для того, чтобы этим прикладным контролям можно было доверять нужны эффективные общие ИТ-контроли.
Общие ИТ-контроли для SOX
Фактически, когда мы говорим о соответствии ИТ-контролей требованиям акта Сарбейнса-Оксли, мы подразумеваем, что контроли соответствуют пониманию аудиторов из «большой четверки» о том, какие общие ИТ-контроли должны функционировать в компании. Благодаря такой организации, как ISACA понимание аудиторов из «большой четверки» было формально закреплено в документе IT Control Objectives for Sarbanes-Oxley 2nd Edition (для скачивания потребуется регистрация на сайте ассоциации). В документе есть матрица с иллюстративными контролями, которая по сути представляет собой сильно усеченную версию Cobit. Основными ИТ-процессами, которые должны быть на достойном уровне, являются: процесс внесения изменений в информационные системы, процессы управления информационной безопасностью, процесс управления конфигурациями и т.д. В этом же документе есть иллюстративные прикладные контроли, которые также могут быть полезными.
Как выполнить требования SOX (аудиторов из BIG4) к ИТ?
Алгоритм следующий:
- Определить какие информационные системы и поддерживающая их ИТ-инфраструктура задействованы в процессах формирования финансовой отчетности. На этом этапе также очень важно пообщаться со своими аудиторами и добиться одинакового понимания этого вопроса.
- Провести оценку ИТ-рисков для выбранных систем и определиться с контролями по их минимизации. Очень рекомендую использовать перечень контролей из обсуждавшегося выше документа “IT Control Objectives for Sarbanes-Oxley 2nd Edition.”. Особое внимание должно быть уделено контролям, связанным с внесением изменений и управлением доступом.
- Формализовать выбранные контроли в виде политик и процедур. Воплотить их в жизнь.
- Определить подход к тестированию контролей. Проводить периодическое тестирование контролей с формальным отчетом на выходе.
Вместо заключения
Таким образом, привести ИТ в соответствие требованиям акта Сарбейнса-Оксли не сложно: алгоритмы понятны, доступно хорошее руководство от ISACA. Заявления же вендоров о том, что их продукты, соответствуют требованиям SOX 404 являются всего лишь рекламным трюком.
весьма и весьма познавательно…
Спасибо, Дмитрий!