IT Governance Model for SoX Relevant Business Organizations

Введение и рамки исследования

Постановка бизнес-задачи

Одной из основных задач подсистемы управления ИТ департаментом на Предприятии может являться поддержание системы контрольных точек, позволяющих Организации минимизировать финансовые риски и решать бизнес задачи по соблюдению требований регуляторов в сфере финансовой отчетности. Одним из наиболее значимых регуляторов такого рода является закон Сарбейнса—Оксли (Sarbanes-Oxley Act, SOX) [1].

Закон Сарбейнса—Оксли (Sarbanes-Oxley Act, SOX) был принят в 2002 году и стал наиболее широким по своему охвату законодательным актом о ценных бумагах Соединенных Штатов Америки за последние 70 лет. Закон был разработан для защиты инвесторов путем усовершенствования правильности и достоверности открытой информации, созданной в корпорациях в соответствии с законодательством по ценным бумагам.

Сегодня соответствие Sarbanes-Oxley стало общемировой практикой бизнеса и многие компании, в том числе и российские, добровольно приняли требования SOX для повышения инвестиционной привлекательности и возможности ведения бизнеса на международном рынке. Sarbanes-Oxley (SOX)- это подход, позволяющий предупреждать финансовые риски. Компании, планирующие выходить на фондовый рынок, должны подтвердить достоверность своей финансовой отчетности и эффективность системы внутреннего контроля. Таково одно из основных требований закона Сарбейнса—Оксли. Его выполнение напрямую зависит от эффективности системы контроля деятельности ИТ.

Сегодня в России не так много компаний, акции которых допущены к обращению на биржах США. Тем не менее, нельзя сказать, что североамериканский фондовый рынок не привлекателен для российских предпринимателей.

Портрет компании, которая, может быть заинтересована сейчас либо в ближайшем будущем в размещении своих акций на фондовых рынках США:
• стоимость активов или годовой оборот превышает 150 млн. долл.;
• средние темпы развития отрасли (например, фармацевтика), в которой работает компания, не менее 10% в год;
• на протяжении последних двух-трех лет стабильный рост выручки или активов на 30% в год.

ООО «Новартис Консьюмер Хелс», дочернее подразделение крупного Швейцарского фармацевтического концерна, вполне соответствует данным критериям. Так, достижение высоких бизнес-результатов позволило Российскому подразделению Компании подняться на 5 строчку в списке подразделений Новартис с наибольшей финансовой выручкой в секторе безрецептурных препаратов.

Вместе с тем, с ростом оборота по продажам, неизбежно растут финансовые риски, которые, согласно независимым оценкам, могут составить от 0.5 до 1.5 % от ежегодного объема продаж [2]. В данных условиях задача ревизии как бизнес, так и ИТ контролей SoX и модернизация подсистемы управления ИТ становится весьма актуальной задачей.

Задачи ИТ департамента и актуальность SoX IT проекта

Хотя личную ответственность за соблюдение требований SoX несут Генеральные и Финансовые Директора предприятий, производной задачей ИТ департаментов является выстраивание адекватной подсистемы управления ИТ департаментом, которая бы обеспечивала необходимый контроль над информационными системами, прямо или косвенно задействованными в подготовке финансовой отчетности для инвесторов.

Дополнительным мотивом к выстраиванию эффективной подсистемы управления ИТ является тот факт, что Информационные технологии непосредственно влияют на рыночную стоимость организации. Ключевые факторы акционируемого бизнеса – стоимость информации и репутация. Зачастую лишь 15% рыночной стоимости организации находится в ее материальных активах, тогда как остальные 85% - в нематериальных, и большая часть из них приходится именно на информацию (согласно оценке Brookings Institute [4]). Руководители предприятий все больше осознают стратегическое значение информационных активов и возможностей их использования. По мере роста ценности этих активов возрастает и необходимость адекватной оценки и минимизации рисков, связанных с некорректным определением их влияния на стоимость компании.

Дипломная работа «IT Governance Model for SoX Relevant Business Organizations” посвящена разработке практического подхода к организации подсистемы управления ИТ департаментом дочерней компании крупной транснациональной фармацевтической корпорации, в которой вопросам совместимости органов как бизнес так и ИТ управления со стандартом SoX 404, в виду высоких финансовых рисков, традиционно уделяется большое внимание. Прямой бизнес задачей Проекта, лежащего в основе дипломной работы, как раз и является смягчение, посредством внедрения ИТ контролей, рисков, связанных с генерацией потенциально некорректной финансовой отчетности Компании. Следует отметить, что для компании с ежегодным оборотом порядка 200 млн. долларов лишь прямые финансовые потери, в связи с наступлением указанного риска, могут составить порядка 2-4 миллионов долларов.

Подход и методология

Проект модернизации подсистемы управления департаментом ИТ с учетом требований SoX в Новартис Консьюмер Хелс включал ряд этапов, отраженных на Рис. 1.

Рис. 1. Этапы проекта SoX IT в Новартис Консьюмер Хелс.

Триггером старта ИТ части SoX проекта явилась сформулированная бизнес-цель соответствия требованиям Закона Сарбейнса-Оксли. Также предварительно были сформулированы основные бизнес цели, связанные с обеспечением достоверности финансовой отчетности.

Результаты и обсуждение

Основным объектом исследования настоящей дипломной работы являлась подсистема управления ИТ департаментом фирмы.
Задача дипломной работы состояла в разработке и практическом применении такого Проектного подхода к построению подсистемы управления ИТ, который бы обеспечил удовлетворение требований SoX в отношении контроля основных бизнес приложений и процессов ИТ поддержки.

На первой стадии Проекта была создана т.н. «Дорожная Карта» - документ, определяющий, на основе детальной оценки рисков, приоритетные задачи в построении ИТ контролей на основе модернизации основных ИТ процессов поддержки.

Работа над созданием «Дорожной Карты» основывалась на результатах решения нескольких подзадач, таких как: инвентаризация бизнес-приложений Предприятия, Высокоуровневая оценка рисков (High Level Risk Assessment), позволившая выделить относящиеся к SoX бизнес приложения и процессы, Функциональная Оценка Рисков (Functional Risk Assessment, FRA) и ряда других (Рис. 2).

В результате проведенного анализа были выявлены незрелые процессы и элементы ИТ контроля, которые легли на календарно-ресурсный план смягчения SoX IT рисков и были в дальнейшем формализованы в документе «Дорожной Карты».

Рис. 2. Построение «Дорожной Карты».

На второй стадии Проекта был согласован и введен в действие коммуникационный план, позволивший задать правильный ритм всего проекта, обеспечивший прозрачность принятия решений и выполнения проектных задач.

Рис. 3. Подход к внедрению процессов ИТ поддержки.

На третьей стадии проекта были спланированы и внедрены базовые процессы ИТ поддержки на основе рекомендаций ITIL [4] и COBIT [5] (Рис. 3). Данная стадия, в частности, включала в себя концептуальный и детализированный дизайн процессов, позволивший еще до запуска процессов в эксплуатацию смоделировать работу необходимых SoX IT контролей. Формализация процессов с использованием нотации BPMN и практики документирования SOP (Стандартных Операционных Процедур) создало основу для вхождения в четвертую фазу SoX IT проекта по мониторингу и улучшению существующих процессов и контролей. В настоящее время проект продолжается в этой стадии.

Заключение

В результате SoX IT проекта в Российском подразделении компании Новартис Консьюмер Хелс была внедрена процессно-ориентированная система ИТ контролей, позволяющая в достаточной степени снизить аудиторские финансовые риски. В настоящее время аналогичный подход используется для выравнивания требований регламента SoX с бизнес и ИТ задачами на уровне подсистемы управлением ИТ департамента Новартис Консьюмер Хелс региона РИК (Россия, Индия, Китай).

К сильным сторонам предложенного подхода можно отнести и то, что помимо решения задач, связанных конкретно со спецификой ИТ контролей SoX, данный подход способен легко адаптироваться к задачам установления иных типов ИТ контролей, ориентированных на соблюдение практически любых видов законодательства, как местного, так и международного.

Литература

[1] USA, Sarbanes-Oxley Act, 2002.
[2] Ivy Xiying Zhang, Economic Consequences of the Sarbanes-Oxley Act of 2002, William E. Simon Graduate School of Business Administration, 2005.
[3] Following the Money: The Enron Failure and the State of Corporate Disclosure. Alfred Wagenhofer, George Benston, Michael Bromwich and Robert E. Litan, AEI Brookings Joint Center for Regulatory Studies, 2003.
[4] http://www.itil.co.uk/
[5] COBIT 4.1, IT Governance Institute, www.itgi.org, 2007.

Copyright © 2009 Кашпаров И.В.