Закон Сарбейнса-Оксли 2002 г.
Закон о защите инвесторов за счет повышения точности и надежности раскрытия корпоративной информации в соответствии с законодательством о ценных бумагах и для других целей.
Сарбейнс – Оксли, Сарбокс, SOX
сто седьмой Конгресс Соединенных Штатов Америки
Pub.L. 107–204
116 Стат. 745
Закон о фондовых биржах 1934 г. , Закон о ценных бумагах 1933 г. , Закон о гарантиях пенсионного дохода сотрудников 1974 г. , Закон о консультантах по инвестициям 1940 г. , раздел 18 Кодекса США , раздел 28 Кодекса Соединенных Штатов
15, 18, 28, 29
- Введенный в палате , как «Корпоративный и аудита отчетности, ответственности и Закон о прозрачности 2002» ( HR 3763 ) по Майк Оксли ( R — OH ) от 14 февраля 2002
- Рассмотрение комитета Палатой представителей по финансовым услугам , Банковский сенат
- Сдал Дом 24 апреля 2002 г. ( 334–90 )
- Сдал Сенат как «Закон о публичной компании Accounting Reform и защите прав инвесторов 2002» на 15 июля 2002 (голос голосование, вместо S. 2673 прошел 97-0 )
- Об этом сообщил объединенный комитет конференции 24 июля 2002 г .; согласовано Палатой представителей 25 июля 2002 г. ( 423–3 ) и Сенатом 25 июля 2002 г. ( 99–0 )
- Подписан закон президента Джорджа Буша по 30 июля 2002
Сенатор Пол Сарбейнс ( D — MD ) (слева) и член палаты представителей Майкл Г. Оксли ( R — OH-4 ) (справа), соавторы закона Сарбейнса-Оксли
Часть серии по
- Историческая ценность
- Постоянная покупательная способность
- Управление
- Налог
Аудиторская проверка
Люди и организации
Закон Сарбейнса-Оксли 2002 г. ( Pub.L. 107–204 , 116 Stat. 745 , вступил в силу 30 июля 2002 г.), также известный как «Закон о реформе бухгалтерского учета и защите инвесторов в публичных компаниях» (в Сенате ) и «Корпоративный и Закон об аудите подотчетности, ответственности и прозрачности «(в Палате представителей ) и чаще называемый Сарбейнсом – Оксли , Сарбоксом или SOX , является федеральным законом США, который устанавливает новые или расширенные требования для всех советов директоров публичных компаний США , менеджмента и государственного учета. фирмы. Ряд положений Закона также применяется к частным компаниям, например, умышленное уничтожение улик с целью воспрепятствовать федеральному расследованию.
Законопроект, состоящий из одиннадцати разделов, был принят как реакция на ряд крупных корпоративных и бухгалтерских скандалов , включая Enron и WorldCom . Разделы законопроекта охватывают обязанности совета директоров публичной корпорации, добавляют уголовные наказания за определенные проступки и требуют, чтобы Комиссия по ценным бумагам и биржам разработала правила, определяющие, как публичные корпорации должны соблюдать закон.
ФИНАНСЫ
Закон Sarbanes — Oxley (далее — SOX) был принят в 2002 г., как сказано в его тексте, «…для защиты инвесторов путем усовершенствования правильности и достоверности открытой информации, созданной в корпорациях в соответствии с законодательством по ценным бумагам и для иных целей». Одним из поводов к выработке данного закона послужили случаи мошенничества относительно финансовой отчетности в некоторых крупных компаниях. Согласно этому документу фирмы, чьи акции представлены на фондовом рынке США и подпадают под действие законодательства о ценных бумагах 1934 г., должны в обязательном порядке соответствовать некоторым требованиям SOX. В частности, они обязаны создать систему внутреннего контроля финансовой отчетности и отчитываться в ее надежности и эффективности перед советом по контролю бухгалтерской отчетности публичных акционерных обществ (Public Company Accounting Oversight Board). Личную ответственность за соблюдение этого требования несут генеральные и финансовые директора предприятий.
Сегодня в России всего лишь несколько компаний, акции которых котируются на биржах США. Тем не менее нельзя говорить о том, что североамериканский фондовый рынок непривлекателен для российских предпринимателей. Вот примерный «портрет» фирмы, которая, по данным «Бизнес-журнала», может быть заинтересована сейчас либо в будущем в размещении своих акций на фондовых рынках США:
— стоимость активов, или годовой оборот, превышает 150 млн. долл.;
— средние темпы развития отрасли, в которой работает компания, — не менее 10% в год (таких отраслей в нашей экономике достаточно: телекоммуникационная, металлургическая, пищевая, нефтегазовая и т. д.);
— на протяжении последних двух-трех лет — стабильный рост выручки или активов, как минимум, на 30% в год.
СВК наиболее эффективна, если она встроена в инфраструктуру компании и является частью ее основной деятельности.
С другой стороны, поскольку в данном законе нет четкого определения системы внутреннего контроля (СВК), перед компанией, собирающейся создать у себя подобную систему, встает ряд естественных вопросов. Какие бывают СВК? Как они создаются? Какими средствами автоматизируются? Сколько времени потребуется на внедрение СВК?
Что и как контролировать
Ответ на вопрос, какой должна быть СВК, дает нам комитет спонсорских организаций комиссии Тредвея (COSO) в документе «Концептуальные основы внутреннего контроля», который, по определению самого же комитета, «выступает в качестве общепринятого стандарта при выполнении требований к предоставлению отчетности», а также в ряде актов, дополняющих этот документ.
Для начала разберемся, что же это такое — СВК. Вообще внутренний контроль — это процесс, совершаемый советом директоров, руководящими и другими сотрудниками компании с целью предоставления обоснованной гарантии эффективности и результативности финансовых операций, достоверности финансовой информации, соответствия того и другого законодательству и правилам бухгалтерского учета. Система такого контроля представляет собой совокупность инструментов, позволяющих объективно оценить эффективность процесса с точки зрения достигнутых результатов финансовых операций, правдивости публикуемой финансовой информации, соответствия всех этих действий законам и правилам.
Согласно COSO, внутренний контроль должен включать следующие компоненты.
— Контрольная среда. Это основа для всех остальных элементов, обеспечивающая дисциплину сотрудников компании по отношению к процессу и структурированность системы.
— Оценка рисков. Призвана выявлять и анализировать ситуации, при возникновении которых невозможно ни достижение поставленных целей финансовых операций, ни создание корректной отчетности о деятельности компании.
— Контрольные действия. Регламентированные процедуры, выполнение которых позволяет удостовериться, что директивы высшего руководства соблюдаются и риски, связанные с финансовыми операциями, учитываются и принимаются во внимание. Такие процессы должны осуществляться на всех уровнях деятельности компании и могут включать разнообразные методы: утверждение, авторизацию, проверку, урегулирование, а также рецензирование оперативной производительности бизнеса, сохранности активов и разделения ответственности.
— Информационная среда. Благодаря ей необходимая информация, имеющая отношение к СВК и внутреннему контролю в целом, определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять свои функциональные обязанности. Осуществляется также эффективный обмен информацией в рамках предприятия как по вертикали сверху вниз и снизу вверх, так и по горизонтали. Средства передачи информации между сотрудниками могут быть любыми.
— Мониторинг. Весь процесс управления рисками организации должен отслеживаться и по необходимости корректироваться. Мониторинг осуществляется в рамках текущей деятельности руководства или путем периодического проведения оценок.
СВК наиболее эффективна, если она встроена в инфраструктуру компании и является частью ее основной деятельности. Вся система должна гарантировать разумную детализацию учета, обеспечивающую достоверность отражения финансово-хозяйственных операций и финансового положения компании. Выполнение действий, предусмотренных системой внутреннего контроля, дает уверенность в том, что все указанные операции отражаются согласно установленным требованиям, а доходы и расходы санкционированы руководством. При этом любые попытки несанкционированного приобретения, использования или продажи активов, которые могут иметь существенное воздействие на финансовую отчетность, будут своевременно обнаружены.
Зоны ответственности
SOX возлагает на руководство компаний ответственность за построение СВК, поддержание ее работы, регулярную оценку, отражение эффективности в финансовой отчетности и подтверждение внутренней оценки качества системы путем внешнего аудита. Соответствующие разделы закона — 302 (обязывает высшее руководство компании подтверждать, что отчетность, составляемая согласно закону 1934 г. о ценных бумагах, просмотрена лицом, которое ставит в документах подпись, и не содержит ложных сведений; подписывающее лицо несет ответственность за то, что на предприятии в течение всего отчетного периода функционирует СВК, что она эффективна, не имеет существенных замечаний, а ее недостатки отражены в документах) и 404 (устанавливает ответственность высшего руководства компании за проверку системы внутреннего контроля и обязывает создавать отчеты о правильности и эффективности этого механизма).
SOX возлагает на руководство компаний ответственность за построение СВК, поддержание ее работы и регулярную оценку.
Система внутреннего контроля должна пройти внешний аудит на предмет соответствия требованиям SOX, если она разработана по методологии COSO, задокументирована в формате, понятном аудиторам, и актуальна (т. е. в ней действуют принятые регламенты). Если результаты исполнения контролирующих процедур фиксируются, в отношении отклонений предусматриваются эффективные корректирующие воздействия; осуществляется постоянный мониторинг СВК; руководством утверждаются и контролируются правила ее внутренней сертификации. Ответственность за эту систему в компании должна быть разделена, а генеральный и финансовый директора обязаны засвидетельствовать, что периодическая финансовая отчетность полностью соответствует требованиям закона о биржах 1934 г. и что информация, cодержащаяся в отчетности, дает справедливое представление обо всех существенных аспектах финансового состояния и результатах деятельности компании (раздел 906 SOX).
COSO не дает рекомендаций относительно выбора конкретных аудиторских фирм при формировании процесса внутреннего контроля, но во время создания такой системы компания должна привлечь специалистов из так называемой «большой четверки» — PricewaterhouseCoopers, Deloitte, Ernst & Young и KPMG, поскольку с некоторыми из них COSO взаимодействует при разработке концептуальных продуктов по аудиту предприятий.
Построение СВК — это не просто формирование набора документов и иных сущностей, составляющих так называемую контрольную среду; это выполнение действий по интеграции компонентов внутреннего контроля во все бизнес-процессы, связанные с созданием финансовой отчетности, подготовка персонала для обеспечения эффективности данного процесса и создание автоматизированной системы, обеспечивающей документирование исполнения регламентов, хранение подтверждений исполнения, анализ покрытия рисков контрольными действиями, возможность проводить тестирование элементов, формулировать замечания и рекомендации по устранению недостатков системы и составлять отчетность относительно состояния СВК. Реализацию всех перечисленных функций было бы разумно возложить на специальную автоматизированную систему.
Что следует автоматизировать
Необходимость автоматизации диктуется тем обстоятельством, что для выполнений требований COSO нужно контролировать риски всех бизнес-процессов, связанных с порождением финансовой отчетности, а сделать это без тесно интегрированных информационных систем управления и контроля, связывающих данные о бизнес-процессе и об управлении его рисками, не представляется возможным (особенно в тех случаях, когда таких бизнес-процессов очень много). Автоматизированная система поможет реализовать процесс внутреннего контроля за изменениями состояния объектов, описанных в документах COSO на концептуальном уровне, в контексте бизнес-процессов. Поскольку очень важна возможность оценки СВК по аналитическим сводкам о функционировании такой системы, система должна быть прозрачной для руководства компании, предоставляя ему отчеты о своем состоянии и эффективности.
Существует два подхода к автоматизации систем внутреннего контроля: внедрение автономных решений или внедрение модулей ERP-систем и других средств управления бизнес-процессами. К системам первого типа относится продукт Microsoft Office Solution Accelerator for Sarbanes — Oxley (MOSASO), функционирующий на технологической платформе Microsoft (Windows 2003 Server, Microsoft .NET, Windows SharePoint Services 2.0, SQL Ser-ver 2000, Office InfoPath 1.0, SQL Server 2000 Reporting Services). Компоненты СВК можно либо описывать в Microsoft Office Excel, а затем импортировать в систему, либо создавать их и редактировать через пользовательский интерфейс. Логика системы реализована в виде программных компонентов .NET. Описания элементов контрольной среды и объекты (бизнес-процессы, операции, контрольные процедуры и т. д.) создаются в системе на основании регламентов из промежуточных документов, т. е. никаким образом не связываются с другими решениями, автоматизирующими бизнес-процессы на предприятии. Тем не менее система предоставляет интерфейсы к своим объектам, которые могут использоваться внешними приложениями через соответствующие библиотеки .NET.
Одним из решений второго подхода является приложение Mercury Sarbanes — Oxley Corporate Assessment Accelerator (MSOXCA), входящее в состав продукта Mercury IT Governance Center (ITGC) и реализованное на платформе Java 2. Продукт ITGC призван решать задачи детализированного управления ИТ-проектами, реализуемыми в компании, посредством организации процессов взаимодействия внутри технических подразделений и их связей с другими отделами, а также через подсистему отчетов о состоянии инфраструктуры ИТ и связанных с нею проектов. По сути MSOXCA представляет собой пакет настроек модуля управления запросами ITGC. После того как описание структуры СВК будет сформировано в виде XML-документа и импортировано в систему, производится настройка правил осуществления процесса контроля.
Ко встроенным системам относится также модуль Oracle Internal Controls Manager (OICM), входящий в состав Oracle E-Business Suite, но лицензируемый отдельно. Реализован он на платформе Oracle и состоит из трех уровней: уровня базы данных (на Oracle Database), уровня приложений, управляющего модулями Oracle E-Business Suite, и клиентского уровня в виде Java-модуля для Web-браузера.
OICM связывает в единую систему компоненты для ведения внутреннего контроля, отвечающие за документирование, тестирование, мониторинг внутреннего контроля и его cоответствие требованиям законодательства.
Еще одним примером систем второго типа может быть SAP Management of Internal Controls (MIC), которая поставляется в составе SAP R/3. Большим ее преимуществом по сравнению с упомянутыми выше решениями является то, что она интегрируется практически со всеми популярными операционными системами, СУБД, средствами построения отчетов и клиентскими приложениями. Строго говоря, определение MIC как подсистемы технически не совсем верно, это скорее логическое объединение различных механизмов SAP для построения автоматизированной СВК.
В отличие от MOSASO встроенные системы позволяют не только создавать обособленные описания контролируемых процессов, но и интегрировать внутренний контроль с уже реализованной в ERP-решении бизнес-логикой. Отсюда следует, что для обеспечения взаимодействия автономной СВК с иными программными средствами придется затратить больше дополнительных ресурсов, в то время как модуль ERP-системы настроить для работы с уже отлаженным механизмом финансового или иного документооборота гораздо проще.
Для выполнений требований COSO нужно контролировать риски всех бизнес-процессов, по которым требуется финансовая отчетность.
Несмотря на то что ERP-решения идеологически построены для автоматизации основных бизнес-процессов предприятия, они также позволяют реализовать взаимодействие с внешними приложениями: у SAP R/3 это модули интерфейса, осуществляющие импорт-экспорт данных для связи с внешними программами, и библиотечные функции; у Oracle E-Business Suite — интерфейсные таблицы СУБД и процессы, обеспечивающие взаимодействие; у Mercury ITGC — поддержка Web-сервисов и протокола SOAP; кроме того, существуют интерфейсные таблицы в БД и пакеты импорта наряду с поддержкой технологии портлетов.
Общие рекомендации
Следует отметить, что все перечисленные выше системы позволяют компаниям удовлетворять разделам 302 и 404 требований SOX. Автоматизация СВК занимает от 40 до 400 дней в зависимости от сложности проекта и выбранного программного продукта. Надо также иметь в виду, что такое внедрение — это в первую очередь создание логической и информационной структуры СВК с точки зрения задач управления рисками и только во вторую — автоматизация данного процесса.
В контексте затрат на лицензирование названных продуктов желательно учитывать следующие обстоятельства:
— если на предприятии уже установлены Microsoft Office и SQL Server 2000 Standard или Enterprise Edition, то основные расходы при внедрении MOSASO придутся на консалтинг, потому что SharePoint Services и MOSASO предоставляются бесплатно;
— лицензии на продукты SAP приобретаются на каждого пользователя системы, поэтому установка SAP MIC будет включать только стоимость консалтинга и лишь при создании или расширении отдела СВК — дополнительные пользовательские лицензии;
— лицензирование OICM происходит таким образом, что разрешение на использование необходимо приобрести для каждого сотрудника, работающего с системой (минимальное число таких лицензий — 500);
— информацию о схеме лицензирования продуктов Mercury можно получить только у официальных дистрибьюторов этой компании.
По опыту компании GMCS, начавшей одной из первых в нашей стране внедрять автоматизированные СВК, можно отметить некоторые сложности, которые возникают в процессе ввода в эксплуатацию решений такого рода.
— Концептуальную модель СВК необходимо строить одновременно с разработкой программно-технологических решений автоматизированной системы. Дело в том, что для каждого конкретного предприятия аудиторские фирмы разрабатывают уникальные механизмы управления рисками и в момент создания автоматизированной СВК не существует программного решения, позволяющего настроить нужным образом логику внутреннего контроля. В результате определенную часть функциональности будущей системы приходится реализовывать по ходу утверждения контрольных и иных регламентов, учитывая постоянно меняющиеся требования к концепции СВК. Для преодоления такого рода затруднений выполняется полный цикл производства программного решения: анализ требований к системе, проектирование, реализация, тестирование.
— В территориально распределенных холдингах существуют такие требования: разделение информации, относящейся к разным филиалам, консолидация сведений о состоянии и эффективности системы, управление доступом сотрудников к этой информации. С целью разделения информации организуются логические и физические хранилища для каждого филиала, что позволяет, в частности, разграничить доступ пользователей к данным филиалов. Консолидация показателей состояния и эффективности СВК осуществляется в процессе генерации соответствующих отчетов, что требует либо создания отдельной базы, где хранятся данные обо всей системе, либо специальной настройки программных средств построения отчетности.
В итоге клиенты получают систему, которая полностью удовлетворяет методологии COSO и требованиям SOX, прозрачна и удобна в эксплуатации для всех категорий пользователей — как для сотрудников самого предприятия, так и для внешних аудиторов.
С автором, сотрудником департамента продуктов Microsoft компании GMCS, можно связаться по адресу: marketing@gmcs.r
| Обзор Средства защиты информации и бизнеса 2006 | подготовлен | При поддержке |
 |
 |
|
Путь к финансовой прозрачности: ERP или SOX-система?
Как ответная реакция на резкое ужесточение регуляторных требований к надежности финансовой отчетности компаний, немедленно появился и интенсивно развивается новый рынок программного обеспечения — SOX-software. В России оно представляет интерес не только для филиалов иностранных компаний, но и для отечественных игроков, планирующих выгодно продать часть бизнеса.
Ни для кого не секрет, что из множества источников финансирования компании — банковских кредитов, корпоративных облигаций, средств частных инвесторов и т.п. — наиболее привлекательно для владельцев на данном этапе выглядит реализация акций на фондовой бирже. Еще несколько лет назад, чтобы привлечь средства биржевых игроков, достаточно было иметь стабильный рост оборота и представлять надежную, динамично развивающуюся отрасль. Если выходу на биржу предшествовала типовая «предпродажная подготовка», имевшая целью поднять цену компании путем внедрения ERP-системы для возможности формирования финансовой отчетности по западным стандартам, то, как правило, затраты на ERP-проект с лихвой оправдывались за счет увеличения капитализации компании. При этом автоматически формировалось позитивное мнение о достоверности финансовой отчетности компании, проводимой в «правильной» западной ERP-системе.
Сегодня же, после введения в действие в США закона Sarbanes-Oxley (SOX) и аналогичных законов в ряде других развитых стран, компания должна уже не только представить собственно финансовую отчетность, но и дополнительные документы, подтверждающие эффективность внутреннего контроля над ее подготовкой. Требования SOX к наличию в компаниях эффективных систем внутреннего контроля над подготовкой надежной финансовой отчетности формально уравняли в правах все типы информационных систем — от недорого ПО типа «1С Бухгалтерия» до «тяжелого» ERP-решения масштаба предприятия. Главное, чтобы с их помощью компании готовили отчетность, на которую акционеры и инвесторы могли уверенно полагаться. В данном смысле соответствие требованиям закона Sarbanes-Oxley можно рассматривать как более универсальный, чем раньше была ERP, «отбеливатель», позволяющий любой компании, даже не имеющей сложных информационных систем, привлечь к себе внимание широкого круга инвесторов.
Конечно, в современных условиях лишь очень немногим компаниям удается добиться коммерческого успеха, не имея достаточно развитых информационных систем, и речь, по сути дела, идет лишь об очередной смене приоритетов их дальнейшего развития в связи с необходимостью соблюдения обязательных требований законодательства. Несмотря на то, что требование жесткого соответствия SOX относится в полной мере лишь к компаниям, ориентирующимся на американские биржи, есть смысл совершенствовать внутренний контроль и российским компаниям, ориентирующимся как на европейские, так на российские фондовые биржи.
Согласно принятому в конце 2004 года «Положению о деятельности по организации торговли на рынке ценных бумаг» компании, акции которых находятся в котировальных списках российских бирж, должны иметь комитеты по аудиту из числа независимых директоров для надзора за деятельностью системы внутреннего контроля (СВК) и финансовой отчетностью компаний на всех стадиях ее подготовки. В связи с этим фактом вполне логично, если комитеты по аудиту сразу или постепенно будут ориентироваться на международный опыт обеспечения надежности финансовой отчетности.
Вступление России в ВТО, которое откроет для иностранных компаний доступ на российский рынок, вероятно, станет катализатором для роста инвестиций в клиентов СВК. Инвестиции же смогут получить те компании, которые успеют сделать свой бизнес прозрачнее. Наконец, для российских компаний внутренний контроль важен не только как средство соответствия регуляторам фондовых рынков на Западе и в России, но и как способ борьбы акционеров с нецелевым расходованием средств, злоупотреблениями менеджмента и управленческой анархией.
Шаги к надежной финансовой отчетности
| № | Вариант построения ИС | СВК (Шаг 1) |
SOX-аудит (Шаг 2) |
SOX-software (Шаг 3) |
| 1 | Развитие собственных (заказных) приложений (Custom Development) | Нужна | Нужен | Собственный (заказной) |
| 2 | Интеграция «лучших в своем классе» тиражных приложений (Best-of-Breed) | Нужна | Нужен | Тиражный |
| 3 | На базе интегрированной ERP-системы | Нужна | Нужен | ERP-модуль |
Источник: «Делойт», 2006
Задача ИС проста: обеспечить надежную финансовую отчетность
Практически бесконечное разнообразие информационных систем (ИС) можно, в зависимости от разработчиков их бизнес-приложений, условно свести всего к трем классическим вариантам построения. Первый — когда разработчиком бизнес-приложений является сама компания, либо самостоятельно автоматизирующая свои бизнес-процессы, либо привлекающая к этому процессу также стороннего разработчика. Второй — когда разработчиков бизнес-приложений, по крайней мере, несколько, все они сторонние, их приложения являются лидерами или брендами в своих классах. И третий — когда рРазработчик бизнес-приложений один, но только в идеале: реально ERP-системы охватывают далеко не всю необходимую бизнесу функциональность. Это подтверждается статистикой: если 10 лет назад успешно внедренная ERP-система в среднем покрывала 70 % потребностей предприятия, то сегодня, по данным Gartner, только 40 %. Поэтому на крупных предприятиях для формирования финансовой отчетности могут использоваться данные из десятков разных приложений, в том числе, из других ERP-систем.
Безусловно, в чистом виде не только третий, но и два первых варианта встречаются крайне редко: как правило, компании имеют исторически сложившийся набор разнообразных приложений. В любом из этих вариантов компания может реализовать главный принцип построения ИС — создание единого информационного пространства, просто в случае с ERP-системой часть этой работы уже выполнена ее разработчиком.
Итак, в свете требований SOX одного факта использования ERP-системы для подготовки финансовой отчетности уже официально недостаточно для признания последней достоверной. Теперь также необходимо документально подтвердить, что ERP-система эксплуатируется в «здоровой» среде, в которой, в частности, существует эффективно функционирующая система внутреннего контроля над подготовкой финансовой отчетности. Естественно, что эти требования SOX относятся не только к ERP-системам, а к ИС любых типов, точнее сказать, не зависят от типа ИС.
Из всех аспектов построения эффективной СВК — от определения оптимального объема контрольных процедур до планирования проверки их исполнения — в качестве примера рассмотрим здесь только некоторые типовые автоматизированные процедуры, связанные с подготовкой финансовой отчетности.
Вопрос о выборе между ручными и автоматизированными контрольными процедурами чаще всего решается в пользу последних, так как они более эффективны и результативны, менее подвержены манипуляциям и снижают вероятность появления ошибок, не зависят от действия таких «человеческих факторов», как усталость, рассеянность или отсутствие на работе и, что тоже важно, хорошо и удобно документируются.
Опыт реализации большого числа проектов, связанных с выполнением требований SOX, показал, что информационные технологии (ИТ) являются важнейшим элементом в поддержке надежной системы внутреннего контроля над подготовкой финансовой отчетности, особенно для крупных предприятий. В большинстве случаев повышение эффективности контроля за счет использования программного обеспечения (ПО) быстро окупает затраты на его установку. И наоборот, затраты и риски, связанные с отказом от максимальной автоматизации процессов и процедур их контроля, могут быть значительны.
Полный контроль над ИС компании
Выделяют две группы автоматизированных контрольных процедур: процедуры общего компьютерного контроля и прикладные процедуры.
Процедуры общего компьютерного контроля позволяют полагаться на информацию из финансовых приложений компании. К ним, например, относятся контрольные процедуры, обеспечивающие установленный уровень безопасности доступа, препятствующие несанкционированному и ненадлежащему использованию программ, данных, других информационных ресурсов. Кроме того, контроль над приобретением, настройкой и обслуживанием баз данных, телекоммуникационного и прочего системного ПО, а также контроль над разработкой и обслуживанием прикладного ПО (проектированием, реализацией, тестированием и документированием систем, внесением в них изменений, контроль версий). Процедуры общего компьютерного контроля имеют огромное влияние на эффективность прикладных контрольных процедур, действующих на их основе.
Прикладные (от слова «приложение») контрольные процедуры предназначены для контроля полноты, точности, достоверности и правомерности ввода и обработки данных в приложениях, поддерживающих подготовку финансовой отчетности. Иногда их также называют встроенными или программными контрольными процедурами, так как они встроены в прикладные программы, т.е. являются их частью.
Из большого многообразия простых и развитых прикладных контрольных процедур в качестве примера приведем несколько типовых. Во-первых, заранее предопределенные перечни данных (словари и справочники), которые предоставляют имеющему право работать с приложением пользователю возможность выбирать только из ограниченного перечня допустимых данных. Например, отпустить товар он может только заранее внесенным в справочник клиентам, с которыми заключен договор, подтвержденный соответствующей отметкой юристов.
Во-вторых, логические проверки, обеспечивающие контроль числовых или буквенно-цифровых данных при их вводе или изменении. Например, ИНН для российских юридических лиц должен быть положительным, десятиразрядным, его первые четыре цифры должны совпадать с кодом присвоившей его налоговой инспекции, корректность его последней цифры (контрольного числа) должна подтверждаться принятым ФНС РФ алгоритмом ее расчета.
В-третьих, уровни допустимых отклонений. Эти процедуры ограничивают инициацию или проведение определенных операций на сумму сверх установленных лимитов без получения на то санкции. Аналогичные положения могут быть предусмотрены для внесения записей в журналы-ордера и/или главную книгу.
Более полно требования и процедуры для установления внутреннего контроля над ИС изложены в публикации Ассоциации по аудиту и контролю информационных систем «IT Control Objectives for Sarbanes-Oxley», рассматривающей конкретные цели и мероприятия ИТ-контроля и, особенно, значение основанных на ИТ контрольных процедур в построении, реализации и устойчивости СВК, следящих за раскрытием информации и финансовой отчетностью.
Дороги на все биржи идут через SOX
Одним из важных документов, в соответствии с требованиями Главы 404 закона Sarbanes-Oxley прилагаемых к годовой финансовой отчетности, является оценка менеджментом компании эффективности внутреннего контроля над подготовкой финансовой отчетности и признание своей ответственности за его поддержание.
Объем работ по оценке внутреннего контроля над подготовкой финансовой отчетности и даже только над ИС, в частности, велик. На крупном предприятии может быть до 1000 ключевых контрольных процедур: контролю подлежат не только бухгалтерские документы, но и сами бизнес-процессы. Например, для оценки лишь одной прикладной контрольной процедуры необходимы: анализ присущих рисков; формулировка целей контроля; документирование (описание) бизнес-процесса; идентификация основных точек ввода, изменения, обработки или вывода данных; оценка устройства контрольной процедуры; оценка ее эффективности.
Этап оценки является обязательным, потому что без комплексной оценки рисков компания в принципе не сможет разработать эффективные процедуры их устранения. Это сродни планированию командировки: вы не можете купить билет на самолет до тех пор, пока не выбрали место назначения. Поэтому начинать надо с разработки подробного плана действий по выявлению и устранению недостатков в системе внутреннего контроля. В первую очередь, нужно выделить бизнес-процессы, которые оказывают значительное влияние на достоверность финансовой отчетности. К таковым обычно относят 10–15 ключевых бизнес-процессов: подготовку финансовой отчетности, закупки, продажи, запасы, общий компьютерный контроль и пр. Определить значительные бизнес-приложения несложно: обычно это именно те приложения, которые поддерживают значительные бизнес-процессы.
Ни жесткое требование соответствия SOX, ни другие трудности превращения компании в публичную, ни возникающие при этом расходы (в мировой практике — несколько процентов от объема размещения) уже не смущают российские предприятия. Только в 2006 году анонсировали свой выход на IPO более 40 российских компаний, при этом пик IPO ожидают в 2007–2008 годах.
Очевидно, что для того чтобы реализовать требования SOX, необходимые для создания эффективной системы внутреннего контроля над подготовкой финансовой отчетности, руководству компании нужно планировать на ближайшие 2-3 года значительные расходы на услуги внешних SOX-консультантов, а также на разработку и/или приобретение программных и аппаратных решений для реализации процедур прикладного и общего компьютерного контроля. Для руководства американских компаний соответствие требованиям SOX уже стало одним из высших приоритетов, большим, чем снижение затрат или предоставление удобств, главным средством которого служили корпоративные ИТ-проекты. Более того, для достижения этого соответствия многими компаниями были отложены проекты по развитию бизнеса.
Процесс оценки прикладных контрольных процедур в ряде компаний затрудняется из-за целого ряда факторов, из них особо можно выделить: отсутствие необходимых квалификации, опыта и знаний в области внутреннего контроля для документирования, оценки и тестирования контрольных процедур; недостаточная независимость и объективность собственных внутренних аудиторов; отсутствие достаточных человеческих ресурсов (консультантов, программистов, конструкторов бизнес-процессов) для оценки внутреннего контроля в многочисленных территориальных подразделениях в ограниченные сроки; отсутствие квалифицированного ИТ-персонала для разработки и оценки прикладных контрольных процедур в системах, имеющих отношение к финансовой отчетности; использование децентрализованных и устаревших программ обработки финансовых данных, неэффективных методов учета.
Чтобы добиться наилучших долгосрочных результатов, компании, планирующие реализацию своих акций на фондовой бирже, как правило, начинают с того, что приглашают независимых внешних консультантов для оценки степени своей готовности к проверке эффективности СВК (включающей проведение целевого ИТ-аудита). Во время такой пробной проверки обнаруживаются и заранее устраняются как явные бреши, так и просто оставшиеся незамеченными или скрытые недостатки в устройстве СВК, что снижает риск выдачи официальным аудитором отрицательного заключения по итогам проведенного аудита. В соответствии с требованиями главы 404 закона Sarbanes-Oxley, заключение независимого аудитора об эффективности СВК является неотъемлемой частью годового финансового отчета компании.
Новый рынок приложений: громадный потенциал роста
После рассмотрения некоторых актуальных задач (на примере ИТ), стоящих перед российскими компаниями, планирующими размещение своих акций на фондовых биржах, возникает вопрос: а что дальше? Что, например, делают американские компании, уже завершившие проведение оценки своих СВК за составлением финансовой отчетности и в целом добившиеся их соответствия требованиям SOX?
Публичные компании, еще не остыв от аврального «проектного» настроя, осознали, что требования к предоставлению как бухгалтерской отчетности, так и отчетности по внутреннему контролю, в обозримом будущем будут действовать постоянно, и что качественная система внутреннего контроля должна быть навсегда интегрирована в миссию, корпоративную культуру и повседневную деятельность компаний. Их деятельность направлена теперь на оптимизацию контрольных процедур и соответствующих процессов, снижение издержек на выполнение требований SOX, на повышение подотчетности всех подразделений компании, на поиск и анализ возможных рисков и т.п. При этом они осознают, что выявление значительных недостатков в функционировании СВК может повлечь падение котировок акций компании на 5-10 %, пересмотр рейтинга компании и т.п. Например, рейтинговое агентство Moodys считает, что «значительные недостатки ставят под сомнение не только способность руководства составлять правильную финансовую отчетность, но также его способность осуществлять контроль над бизнесом».
Из всего спектра направлений деятельности соответствующих требованиям SOX компаний ниже рассмотрены только те, которые оказывают прямое влияние на развитие ИС компаний: контроль над внедрением новых бизнес-приложений; внедрение специализированного программного обеспечения — SOX-software; интеграция процессов составления финансовой отчетности и внутреннего контроля.
SOX не предоставляет никаких отсрочек в случае внедрения компанией новых бизнес-приложений (например, ERP), равно как и внесения любых других изменений в информационно-технологическую инфраструктуру компании. Т.е. контрольные процедуры должны быть заранее реализованы и приведены в действие с первого дня работы приложения. Западные компании, уже осознавшие, что любой ИТ-проект должен изначально учитывать аспекты, связанные с внутренним контролем, внедрение новых приложений, как правило, осуществляют при участии и/или под надзором внешнего консультанта (Implementation Assurance). При этом сроки внедрения нового приложения должны быть реалистичными и гарантировать результат. Например, если бизнес-приложение запланировано к вводу в эксплуатацию в 4 квартале, руководство компании может столкнуться с нехваткой времени на оценку и составление своего отчета о состоянии контрольных процедур (что является неотъемлемой частью годового финансового отчета компании),а на устранение недостатков и проведение повторной проверки времени не окажется совсем.
Производители программного обеспечения провели большую работу, чтобы создать и вывести на рынок программные продукты, отвечающие требованиям компаний в связи с введением главы 404 закона Sarbanes-Oxley. Появился новый рынок программного обеспечения — SOX-software, предназначенный для автоматизации и оптимизации внутреннего контроля над составлением финансовой отчетности (Financial Compliance Process Management Software).
Современное SOX-software объединяет в единую систему все компоненты внутреннего контроля, такие как документирование, мониторинг, тестирование, оценку и отчетность, что дает возможность активно отслеживать процессы внутреннего контроля бизнеса в реальном времени и оперативно информировать руководство компании о статусе СВК и необходимости корректирующих действий по устранению недостатков.
SOX-системы поддерживают возможность как ведения детализированных справочников (библиотек) основных логических объектов СВК: бизнес-процессов, целей контроля, потенциальных рисков искажения финансовой отчетности, способов воздействия на риск и т.д., так и установления множественных связей между ними: бизнес-процесс > цели контроля > риски > способы воздействия на риск (контрольные процедуры)> тестирование. Имеется также возможность интеграции с другими системами и базами данных компании, если в них уже ведутся справочники статей финансовой отчетности, персонала, организационной структуры компании и т.п. Такой системный подход позволяет, например, увязывать каждый значительный бизнес-процесс с соответствующими счетами финансовой отчетности, устанавливая, таким образом, связь между финансовой отчетностью и возможными рисками; увязывать бизнес-процессы с их владельцами и контролерами, определяя, таким образом, роли и персональную ответственность должностных лиц за бизнес-процессы, за области внутреннего контроля и т.д.
К важнейшим возможностям, предоставляемым SOX-системами, можно отнести: анализ полноты контроля и установление контрольных точек в бизнес-процессах; планирование объема и управление тестированием контролей; процедуры сертификации СВК (как на уровне контрольных процедур, подпроцессов, процессов, так и в целом), централизованный доступ ко всем документам СВК: планам и результатам тестирования, планам корректирующих действий и пр. Кроме того, управление полным жизненным циклом документов (документирование исполнения контрольных и корректирующих процедур, регистрация существенных фактов и событий, возможность коллективной работы пользователей по подготовке, согласованию и визированию документов, автоматизация документооборота, поддержка версий документов, историй их редактирования, архивов и т.п.). Развитая отчетность, связанная с внутренним контролем (наличие мощных аналитических средств, удобных инструментальных панелей, визуализации результатов и пр.), позволяющая руководству компании и каждой группе пользователей, эффективно проводить контроль СВК, ее элементов, статусов тестирования, корректирующих действий и т.п. в режиме реального времени. Предустановленные контроли, библиотеки, шаблоны и др. данные для Sarbanes-Oxley, а также поддержка аудиторского инструментария.
Как видно из приведенного перечня, основная функциональность «нового» класса ПО, SOX-software, органично складывается из возможностей, предоставляемых такими популярными «старыми» классами ПО, как управление бизнес-процессами(business process management, BPM), управление документами (enterprise content management, ECM), отчетность и анализ данных (business intelligence, BI), а также управление ресурсами предприятий (enterprise resource planning, ERP).Поэтому среди поставщиков программных решений на рынок SOX-software, насчитывающий уже более сотни программных продуктов, фигурируют такие хорошо известные компании, как, например, HandySoft и IDS Scheer (BPM); FileNET и OpenPages (ECM);Hyperion и Cognos (BI); Oracle и SAP (ERP).
Ряд ведущих игроков рынка SOX-приложений уже давно ведут счет успешных внедрений на сотни (например, у Paisley Consulting их 500, Virsa Systems — 300, Oracle — 250, OpenPages — 200).
В России, где число внедрений еще невелико (рост внедрений SOX-software ожидается в ближайшие два-три года), из ведущих игроков реально представлены лишь IBM (Workplace for Business Controls and Reporting), Oracle (Internal Control Manager) и SAP (Management of Internal Controls). Кроме этого, доступны SOX-приложения от IDS Scheer, Mercury, Microsoft и др.
Если компания приняла решение о выборе и внедрении SOX-приложения,то, кроме функциональных требований, она должна также сформулировать пакет общих и технических требований, таких, например, как наличие механизма бизнес-ролей, совместимость с имеющейся программно-аппаратной платформой, масштабируемость, наличие Web-интерфейса и т.п. Более полно требования и процедуры выбора ПО изложены в недавней публикации «Делойт» «Как правильно выбрать новое программное обеспечение», подготовленной на базе собственного опыта проведения полномасштабных тендеров.
Необходимо также иметь в виду, что если ERP-системы Oracle E-Business Suite или SAPR/3 в компании не внедрены и не запланированы к внедрению, то нужно ориентироваться не на возможность «отдельного» внедрения их SOX-модулей, а на выбор тиражного решения из «Best-of-Breed». Ведущие производители ERP-систем для малых и средних предприятий (например, Epicor Scala) также предприняли меры для обеспечения возможности интеграции своих продуктов с тиражными SOX-приложениями и дают конкретные рекомендации по их выбору своим клиентам.
Наконец, при выборе конкретного SOX-приложения целесообразно ознакомиться с планами его производителя по более тесной интеграции подготовки финансовой отчетности с ее оценкой внутренним контролем. Задача интеграции процессов составления финансовой отчетности и внутреннего контроля является главной движущей силой развития рынка SOX-software, постоянно и целенаправленно движущегося к ее решению.
Традиционно финансисты управляли отчетностью отдельно от работ по сертификации ее достоверности: сначала они получали финансовые результаты без полного знания рисков, а потом, после проверки аудиторами каждой строчки финансового отчета задним числом, разбирали их замечания вручную.
Интеграция обработки финансовой отчетности с ее оценкой системой внутреннего контроля позволяет видеть наглядную картину текущего состояния и функционирования контрольных процедур в привязке к финансовой информации, вести проактивный мониторинг потенциальных рисков, переходить от просмотра финансовых результатов к анализу информации по соответствующим контрольным процедурам, автоматически отмечать исключения, неавторизованные записи и прочие отклонения.
Например, Oracle, один из лидеров SOX-рынка, недавно объявил о полной интеграции своего Internal Controls Manager с Oracle Financial Consolidation Hub — модулем Oracle E-Business Suite, используемым для трансформации и консолидации финансовой отчетности. В Oracle Financial Consolidation Hub появились инструментальные панели, которые одновременно отражают текущие статусы процессов финансовой консолидации и сертификации внутреннего контроля в Internal Controls Manager, т.е. как финансисты, так и контролеры получили наглядность, необходимую для уверенного утверждения ими финансовых результатов компании.
Рекомендации «Делойта»
- Выделить необходимые ресурсы на обеспечение внутреннего контроля над подготовкой финансовой отчетности, на анализ и удовлетворение потребностей бухгалтерии и контролирующих подразделений в информационной поддержке; на выявление основных причин, по которым их сотрудники разрабатывают специальные отчеты, обрабатывают финансовые результаты в электронных таблицах вручную или с использованием собственных форматов и расчетов и т.п.
- Отразить во внутренних нормативных документах необходимость учета во всех новых проектах (не только ИТ) задач, связанных с внутренним контролем.
- Провести процесс самооценки СВК или пригласить независимых внешних консультантов для оценки степени своей готовности к проверке ее эффективности.
- Внести SOX-коррективы в ИТ-стратегию, отразить в ней задачи по оценке, разработке, документированию и мониторингу общих и прикладных процедур контроля над компьютерной обработкой финансовой информации.
Сергей Ровный / для CNews Analytics
3 апреля 2006 г. компания SAPAG анонсировала свое приобретение Virsa Systems.
