Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь
IT Governance Model for SoX Relevant Business Organizations
Кашпаров И.В.
выпускник группы MBA CIO-16
Школа IT-менеджмента
АНХ при Правительстве РФ
Введение и рамки исследования
Постановка бизнес-задачи
Одной из основных задач подсистемы управления ИТ департаментом на Предприятии может являться поддержание системы контрольных точек, позволяющих Организации минимизировать финансовые риски и решать бизнес задачи по соблюдению требований регуляторов в сфере финансовой отчетности. Одним из наиболее значимых регуляторов такого рода является закон Сарбейнса—Оксли (Sarbanes-Oxley Act, SOX) [1].
Закон Сарбейнса—Оксли (Sarbanes-Oxley Act, SOX) был принят в 2002 году и стал наиболее широким по своему охвату законодательным актом о ценных бумагах Соединенных Штатов Америки за последние 70 лет. Закон был разработан для защиты инвесторов путем усовершенствования правильности и достоверности открытой информации, созданной в корпорациях в соответствии с законодательством по ценным бумагам.
Сегодня соответствие Sarbanes-Oxley стало общемировой практикой бизнеса и многие компании, в том числе и российские, добровольно приняли требования SOX для повышения инвестиционной привлекательности и возможности ведения бизнеса на международном рынке. Sarbanes-Oxley (SOX)- это подход, позволяющий предупреждать финансовые риски. Компании, планирующие выходить на фондовый рынок, должны подтвердить достоверность своей финансовой отчетности и эффективность системы внутреннего контроля. Таково одно из основных требований закона Сарбейнса—Оксли. Его выполнение напрямую зависит от эффективности системы контроля деятельности ИТ.
Сегодня в России не так много компаний, акции которых допущены к обращению на биржах США. Тем не менее, нельзя сказать, что североамериканский фондовый рынок не привлекателен для российских предпринимателей.
Портрет компании, которая, может быть заинтересована сейчас либо в ближайшем будущем в размещении своих акций на фондовых рынках США:
• стоимость активов или годовой оборот превышает 150 млн. долл.;
• средние темпы развития отрасли (например, фармацевтика), в которой работает компания, не менее 10% в год;
• на протяжении последних двух-трех лет стабильный рост выручки или активов на 30% в год.
ООО «Новартис Консьюмер Хелс», дочернее подразделение крупного Швейцарского фармацевтического концерна, вполне соответствует данным критериям. Так, достижение высоких бизнес-результатов позволило Российскому подразделению Компании подняться на 5 строчку в списке подразделений Новартис с наибольшей финансовой выручкой в секторе безрецептурных препаратов.
Вместе с тем, с ростом оборота по продажам, неизбежно растут финансовые риски, которые, согласно независимым оценкам, могут составить от 0.5 до 1.5 % от ежегодного объема продаж [2]. В данных условиях задача ревизии как бизнес, так и ИТ контролей SoX и модернизация подсистемы управления ИТ становится весьма актуальной задачей.
Задачи ИТ департамента и актуальность SoX IT проекта
Хотя личную ответственность за соблюдение требований SoX несут Генеральные и Финансовые Директора предприятий, производной задачей ИТ департаментов является выстраивание адекватной подсистемы управления ИТ департаментом, которая бы обеспечивала необходимый контроль над информационными системами, прямо или косвенно задействованными в подготовке финансовой отчетности для инвесторов.
Дополнительным мотивом к выстраиванию эффективной подсистемы управления ИТ является тот факт, что Информационные технологии непосредственно влияют на рыночную стоимость организации. Ключевые факторы акционируемого бизнеса – стоимость информации и репутация. Зачастую лишь 15% рыночной стоимости организации находится в ее материальных активах, тогда как остальные 85% - в нематериальных, и большая часть из них приходится именно на информацию (согласно оценке Brookings Institute [4]). Руководители предприятий все больше осознают стратегическое значение информационных активов и возможностей их использования. По мере роста ценности этих активов возрастает и необходимость адекватной оценки и минимизации рисков, связанных с некорректным определением их влияния на стоимость компании.
Дипломная работа «IT Governance Model for SoX Relevant Business Organizations” посвящена разработке практического подхода к организации подсистемы управления ИТ департаментом дочерней компании крупной транснациональной фармацевтической корпорации, в которой вопросам совместимости органов как бизнес так и ИТ управления со стандартом SoX 404, в виду высоких финансовых рисков, традиционно уделяется большое внимание. Прямой бизнес задачей Проекта, лежащего в основе дипломной работы, как раз и является смягчение, посредством внедрения ИТ контролей, рисков, связанных с генерацией потенциально некорректной финансовой отчетности Компании. Следует отметить, что для компании с ежегодным оборотом порядка 200 млн. долларов лишь прямые финансовые потери, в связи с наступлением указанного риска, могут составить порядка 2-4 миллионов долларов.
Подход и методология
Проект модернизации подсистемы управления департаментом ИТ с учетом требований SoX в Новартис Консьюмер Хелс включал ряд этапов, отраженных на Рис. 1.
Рис. 1. Этапы проекта SoX IT в Новартис Консьюмер Хелс.
Триггером старта ИТ части SoX проекта явилась сформулированная бизнес-цель соответствия требованиям Закона Сарбейнса-Оксли. Также предварительно были сформулированы основные бизнес цели, связанные с обеспечением достоверности финансовой отчетности.
Результаты и обсуждение
Основным объектом исследования настоящей дипломной работы являлась подсистема управления ИТ департаментом фирмы.
Задача дипломной работы состояла в разработке и практическом применении такого Проектного подхода к построению подсистемы управления ИТ, который бы обеспечил удовлетворение требований SoX в отношении контроля основных бизнес приложений и процессов ИТ поддержки.
На первой стадии Проекта была создана т.н. «Дорожная Карта» - документ, определяющий, на основе детальной оценки рисков, приоритетные задачи в построении ИТ контролей на основе модернизации основных ИТ процессов поддержки.
Работа над созданием «Дорожной Карты» основывалась на результатах решения нескольких подзадач, таких как: инвентаризация бизнес-приложений Предприятия, Высокоуровневая оценка рисков (High Level Risk Assessment), позволившая выделить относящиеся к SoX бизнес приложения и процессы, Функциональная Оценка Рисков (Functional Risk Assessment, FRA) и ряда других (Рис. 2).
В результате проведенного анализа были выявлены незрелые процессы и элементы ИТ контроля, которые легли на календарно-ресурсный план смягчения SoX IT рисков и были в дальнейшем формализованы в документе «Дорожной Карты».
Рис. 2. Построение «Дорожной Карты».
На второй стадии Проекта был согласован и введен в действие коммуникационный план, позволивший задать правильный ритм всего проекта, обеспечивший прозрачность принятия решений и выполнения проектных задач.
Рис. 3. Подход к внедрению процессов ИТ поддержки.
На третьей стадии проекта были спланированы и внедрены базовые процессы ИТ поддержки на основе рекомендаций ITIL [4] и COBIT [5] (Рис. 3). Данная стадия, в частности, включала в себя концептуальный и детализированный дизайн процессов, позволивший еще до запуска процессов в эксплуатацию смоделировать работу необходимых SoX IT контролей. Формализация процессов с использованием нотации BPMN и практики документирования SOP (Стандартных Операционных Процедур) создало основу для вхождения в четвертую фазу SoX IT проекта по мониторингу и улучшению существующих процессов и контролей. В настоящее время проект продолжается в этой стадии.
Заключение
В результате SoX IT проекта в Российском подразделении компании Новартис Консьюмер Хелс была внедрена процессно-ориентированная система ИТ контролей, позволяющая в достаточной степени снизить аудиторские финансовые риски. В настоящее время аналогичный подход используется для выравнивания требований регламента SoX с бизнес и ИТ задачами на уровне подсистемы управлением ИТ департамента Новартис Консьюмер Хелс региона РИК (Россия, Индия, Китай).
К сильным сторонам предложенного подхода можно отнести и то, что помимо решения задач, связанных конкретно со спецификой ИТ контролей SoX, данный подход способен легко адаптироваться к задачам установления иных типов ИТ контролей, ориентированных на соблюдение практически любых видов законодательства, как местного, так и международного.
Литература
[1] USA, Sarbanes-Oxley Act, 2002.
[2] Ivy Xiying Zhang, Economic Consequences of the Sarbanes-Oxley Act of 2002, William E. Simon Graduate School of Business Administration, 2005.
[3] Following the Money: The Enron Failure and the State of Corporate Disclosure. Alfred Wagenhofer, George Benston, Michael Bromwich and Robert E. Litan, AEI Brookings Joint Center for Regulatory Studies, 2003.
[4] http://www.itil.co.uk/
[5] COBIT 4.1, IT Governance Institute, www.itgi.org, 2007.
Copyright © 2009 Кашпаров И.В.