Акт Сарбейнса-Оксли и информационные технологии

Компаниям, чьи акции продаются на Нью-Йоркской фондовой бирже (NYSE), необходимо соответствовать требованиям акта Сарбейнса-Оксли. Сегодня многие вендоры программного и аппаратного обеспечения говорят о том, что их решения соответствуют требованиям данного акта. Предлагаю разобраться в том, что за требования предъявляет акт Сарбейнса-Оксли к ИТ, и как им можно соответствовать.

Акт Сарбейнса-Оксли был принят в 2002 году после нашумевших скандалов с компаниями Enron, Worldcom и некоторыми другими. Напомню, что в случае с Enron, компания готовила мошенническую отчетность, которую смело подписывали аудиторы из компании “Артур Андерсен”. Для аудиторов история закончилась плохо – компании “Артур Андерсен” больше нет, а ее практики в разных странах разбежались по другим компаниям теперь уже «большой четверки». Акт определяет требования как к аудиторам, так и к компаниям, чьи акции продаются на американской фондовой бирже. Так, например, компания из «большой четверки» не может оказывать определенные консалтинговые услуги своим клиентам по финансовому аудиту, так как потом не сможе независимо оценивать результаты своей же работы.

Когда речь заходит о требованиях акта к ИТ все вспоминают 404-й параграф документа. Давайте посмотрим на текст оригинала повнимательнее:

«SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.

(a) RULES REQUIRED.—The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall—

(1) state the responsibility of management for establishing

and maintaining an adequate internal control structure and

procedures for financial reporting; and

(2) contain an assessment, as of the end of the most recent

fiscal year of the issuer, of the effectiveness of the internal

control structure and procedures of the issuer for financial

reporting.

(b) INTERNAL CONTROL EVALUATION AND REPORTING.—With

respect to the internal control assessment required by subsection

(a), each registered public accounting firm that prepares or issues

the audit report for the issuer shall attest to, and report on, the

assessment made by the management of the issuer. An attestation

made under this subsection shall be made in accordance with standards

for attestation engagements issued or adopted by the Board.

Any such attestation shall not be the subject of a separate engagement.»

Не буду переводить полностью, скажу лишь, что аббревиатура “ИТ” в тексте параграфа даже не встречается. Фактически акт требует от компании создать систему внутреннего контроля за процессами формирования финансовой отчетности и регулярно тестировать ее эффективность и готовить соответствующие отчеты с результатами тестирования. И все.

Разбираемся дальше. Фактически акт требует создать контроли (контрмеры) в процессах формирования финансовой отчетности, минимизирующие риски ее искажения. Такие контроли могут быть как ручными (например, подпись руководителя на приказе перед тем как чем-то будет дан ход), так и прикладными в информационных системах (например, замена подписи в виде галочки в соответствующей форме). К прикладным контролям также часто относят функционал систем расчета каких-либо цифр, попадающих, в конечном счете, в финансовую отчетность.

Для того, чтобы этим прикладным контролям можно было доверять нужны эффективные общие ИТ-контроли.

Фактически, когда мы говорим о соответствии ИТ-контролей требованиям акта Сарбейнса-Оксли, мы подразумеваем, что контроли соответствуют пониманию аудиторов из «большой четверки» о том, какие общие ИТ-контроли должны функционировать в компании. Благодаря такой организации, как ISACA понимание аудиторов из «большой четверки» было формально закреплено в документе IT Control Objectives for Sarbanes-Oxley 2nd Edition (для скачивания потребуется регистрация на сайте ассоциации). В документе есть матрица с иллюстративными контролями, которая по сути представляет собой сильно усеченную версию Cobit. Основными ИТ-процессами, которые должны быть на достойном уровне, являются: процесс внесения изменений в информационные системы, процессы управления информационной безопасностью, процесс управления конфигурациями и т.д. В этом же документе есть иллюстративные прикладные контроли, которые также могут быть полезными.

Алгоритм следующий:

• Определить какие информационные системы и поддерживающая их ИТ-инфраструктура задействованы в процессах формирования финансовой отчетности. На этом этапе также очень важно пообщаться со своими аудиторами и добиться одинакового понимания этого вопроса.
• Провести оценку ИТ-рисков для выбранных систем и определиться с контролями по их минимизации. Очень рекомендую использовать перечень контролей из обсуждавшегося выше документа “IT Control Objectives for Sarbanes-Oxley 2nd Edition.”. Особое внимание должно быть уделено контролям, связанным с внесением изменений и управлением доступом.
• Формализовать выбранные контроли в виде политик и процедур. Воплотить их в жизнь.
• Определить подход к тестированию контролей. Проводить периодическое тестирование контролей с формальным отчетом на выходе.

Вместо заключения

Таким образом, привести ИТ в соответствие требованиям акта Сарбейнса-Оксли не сложно: алгоритмы понятны, доступно хорошее руководство от ISACA. Заявления же вендоров о том, что их продукты, соответствуют требованиям SOX 404 являются всего лишь рекламным трюком.