архив

SOX: Хотите на фондовый рынок - извольте соответствовать

Анна Новак, Компания «5-55»

2007-04-17

Несколько фактов о SOX

Закон Sarbanes - Oxley (далее - SOX, Закон) был принят в 2002 г. и стал наиболее широким по своему охвату законодательным актом о ценных бумагах, принятым в Соединенных Штатах Америки за последние 70 лет. SOX был создан «…для защиты инвесторов путем усовершенствования правильности и достоверности открытой информации, созданной в корпорациях в соответствии с законодательством по ценным бумагам и для иных целей». [Sarbanes - Oxley Act]

Поводом к выработке данного закона послужили многочисленные корпоративные скандалы 2001-2002 года, факты мошенничества связанные с недостоверностью финансовой отчётности крупных корпораций.

Согласно этому Закону все предприятия, которые либо представлены на фондовом рынке США либо планируют выйти на эти рынки, должны в обязательном порядке соответствовать требованиям SOX в сфере создания эффективной системы внутреннего контроля при составлении финансовой отчётности, а также отчитываться в надежности и достоверности данной финансовой отчётности. Закон требует регламентации процедур тестирования и мониторинга всей внутренней системы контроля рисков, влияющих на качество финансовой отчетности. Компании должны подтвердить наличие эффективных механизмов контроля для всех процессов, имеющих отношение к отчетности, и проводить регулярный аудит. В связи с этим предприятиям необходимо внедрять современные формы документооборота, перестраивать системы управления, автоматизировать все бизнес-процессы и вводить необходимые меры контроля работы финансовых служб.

Личную ответственность за соблюдение этих требований несут генеральные и финансовые директора предприятий.

Статистика

Среди более 100 руководителей финансовых и ИТ-служб, которые участвовали в недавнем исследовании, проведенном компанией Ventana, большинство согласны с необходимостью существенных изменений существующих бизнес-процессов. Более 80% считают «важным» или «очень важным» упорядочить работу финансовых служб, например, обработку данных и бухгалтерскую отчетность. Руководители также выделяют среди важнейших задач необходимость упорядочить работу с финансовыми документами и автоматизировать бумажную работу, что напрямую зависит от ИТ-подразделений компаний.

«Портрет» компании-участницы фондового рынка США

Сегодня в России есть всего лишь несколько компаний, акции которых допущены к обращению на биржах США. Тем не менее, нельзя говорить о том, что североамериканский фондовый рынок непривлекателен для российских предпринимателей.

Так выглядит примерный «портрет» компании, которая, по данным «Бизнес-журнала», может быть заинтересована сейчас либо в будущем в размещении своих акций на фондовых рынках США:

  • стоимость активов или годовой оборот превышает 150 млн. долл.;
  • средние темпы развития отрасли, в которой работает компания, - не менее 10% в год (таких отраслей в нашей экономике достаточно: телекоммуникационная, металлургическая, пищевая, нефтегазовая и т. д.);
  • на протяжении последних двух-трех лет стабильный рост выручки или активов, как минимум на 30% в год.

Проблемы перехода

При переходе на составление бухгалтерской отчетности согласно требованиям SOX, российские компании сталкиваются с рядом проблем, решение которых может потребовать оттока экономических выгод у компании.

Основная часть расходов компаний при переходе придется на следующие области:

  • Оплата услуг консультантов.
  • Замена или модернизация программного обеспечения.
  • Дополнительные издержки на сбор информации.

Данные области потребуют расходов финансовых ресурсов компании, следовательно, их влияние должно учитываться в бюджете трансформации, т.е. компании должны учесть величину возможных расходов при составлении генерального бюджета на период, в течение которого будет производиться приведение финансовой отчетности в соответствие требованиям SOX.

Что касается ИТ

Закон состоит из 11 разделов. Как минимум три следующих параграфа раздела требуют пристального внимания ИТ-подразделений компаний:

  • Параграф 302 требует от генерального и финансового директоров проверки финансовой отчетности компании на точность и полноту.
  • Параграф 404 требует от генерального и финансового директоров, а так же от сторонних аудиторских организаций, периодически подтверждать эффективность внутренних механизмов контроля финансовой отчетности.
Наибольшее внимание при приведении деятельности ИТ в соответствие параграфу 404 уделяется процедуре управления изменениями корпоративных информационных систем (далее КИС). В основу процесса управления изменениями КИС положены процессы Change Management и Release Management библиотеки ITIL.
  • Параграф 409 требует от компаний сообщать о любых существенных фактах и рисках, которые могут повлиять на финансовые показатели.

SOX не выдвигает конкретных требований к ИТ, но акцентирует внимание на том, что достоверность финансовых данных и эффективность системы внутреннего контроля напрямую зависит от эффективности системы контроля деятельности ИТ. Внешний аудит компаний охватывает не только финансовые подразделения, но также ИТ-инфраструктуру компаний, внутренние ИТ-процессы, а так же персонал ИТ-подразделений.

Прямое отношение к управлению ИТ имеет раздел 404 Закона Management Assessment of Internal Controls («Оценка системы внутреннего контроля»), который акцентирует внимание компаний на эффективности систем внутреннего контроля. В соответствии с данным разделом, высшее руководство компаний должно:

  • нести ответственность за организацию и поддержку системы внутреннего контроля;
  • проводить регулярную оценку системы внутреннего контроля.

Закон акцентирует внимание на контроле корректности составления финансовой отчетности:

  • со стороны руководства компаний;
  • со стороны независимых аудиторов.

Как это построить

Построение системы внутреннего контроля деятельности ИТ начинается с уровня бизнес-процессов: определяются информационные системы и ИТ-сервисы, поддерживающие данные процессы. Необходимо провести глубокий анализ систем и процессов; проверить потенциально уязвимые места и связанные с ними риски в вопросах надежности, целостности и доступности данных; определить, какие процессы следует подвергнуть тщательному анализу; определить сферы ИТ-безопасности:

  • непрерывность бизнеса;
  • развитие систем;
  • контроль доступа;
  • коммуникация и эксплуатация;
  • физическая безопасность;
  • сотрудники;
  • классификация систем;
  • организация ИТ.

Исходя из анализа бизнес-процессов и рисков ИТ-инфраструктуры, предприятию следует определить, какие меры обеспечения безопасности уже приняты, а какие необходимо определить и предпринять, определить способы контроля рисков, методику обеспечения безопасности и предотвращения рисков, меры контроля соответствия финансовой отчётности предприятия требованиям SOX. Необходимо детально отразить, как предприятие намерено реализовать на практике предложенные меры, спланировать внедрение необходимых бизнес-процессов, определить рамки проектов, согласовать выделение ресурсов на внедрение, формализовать критерии достижения поставленных целей, сроки проведения работы. Сроки подготовки предприятия к аудиту варьируются в зависимости от типа и размеров Компании, потребностей и требований Заказчика, численности персонала, количество филиалов, объема предполагаемых к разработке документов и/или количества аудируемых процессов, а также от готовности высшего руководства к адаптации работающих процессов к требованиям SOX.

Подготовка к аудиту SOX требует больших временных и ресурсных затрат. Использование собственных ресурсов для реализации таких проектов возможно, но существенно повышает проектные риски, связанные с недостатком опыта, специфических знаний и компетенции сотрудников. Оптимальным вариантом решения ресурсной проблемы может стать привлечение внешних консультантов для подготовки предприятия к аудиту по SOX.