Закон Sarbanes - Oxley (далее - SOX, Закон) был принят в 2002 г. и стал наиболее широким по своему охвату законодательным актом о ценных бумагах, принятым в Соединенных Штатах Америки за последние 70 лет. SOX был создан «…для защиты инвесторов путем усовершенствования правильности и достоверности открытой информации, созданной в корпорациях в соответствии с законодательством по ценным бумагам и для иных целей». [Sarbanes - Oxley Act]
Поводом к выработке данного закона послужили многочисленные корпоративные скандалы 2001-2002 года, факты мошенничества связанные с недостоверностью финансовой отчётности крупных корпораций.
Согласно этому Закону все предприятия, которые либо представлены на фондовом рынке США либо планируют выйти на эти рынки, должны в обязательном порядке соответствовать требованиям SOX в сфере создания эффективной системы внутреннего контроля при составлении финансовой отчётности, а также отчитываться в надежности и достоверности данной финансовой отчётности. Закон требует регламентации процедур тестирования и мониторинга всей внутренней системы контроля рисков, влияющих на качество финансовой отчетности. Компании должны подтвердить наличие эффективных механизмов контроля для всех процессов, имеющих отношение к отчетности, и проводить регулярный аудит. В связи с этим предприятиям необходимо внедрять современные формы документооборота, перестраивать системы управления, автоматизировать все бизнес-процессы и вводить необходимые меры контроля работы финансовых служб.
Личную ответственность за соблюдение этих требований несут генеральные и финансовые директора предприятий.
«Портрет» компании-участницы фондового рынка США
Сегодня в России есть всего лишь несколько компаний, акции которых допущены к обращению на биржах США. Тем не менее, нельзя говорить о том, что североамериканский фондовый рынок непривлекателен для российских предпринимателей.
Так выглядит примерный «портрет» компании, которая, по данным «Бизнес-журнала», может быть заинтересована сейчас либо в будущем в размещении своих акций на фондовых рынках США:
стоимость активов или годовой оборот превышает 150 млн. долл.;
средние темпы развития отрасли, в которой работает компания, - не менее 10% в год (таких отраслей в нашей экономике достаточно: телекоммуникационная, металлургическая, пищевая, нефтегазовая и т. д.);
на протяжении последних двух-трех лет стабильный рост выручки или активов, как минимум на 30% в год.
Проблемы перехода
При переходе на составление бухгалтерской отчетности согласно требованиям SOX, российские компании сталкиваются с рядом проблем, решение которых может потребовать оттока экономических выгод у компании.
Основная часть расходов компаний при переходе придется на следующие области:
Оплата услуг консультантов.
Замена или модернизация программного обеспечения.
Дополнительные издержки на сбор информации.
Данные области потребуют расходов финансовых ресурсов компании, следовательно, их влияние должно учитываться в бюджете трансформации, т.е. компании должны учесть величину возможных расходов при составлении генерального бюджета на период, в течение которого будет производиться приведение финансовой отчетности в соответствие требованиям SOX.
Что касается ИТ
Закон состоит из 11 разделов. Как минимум три следующих параграфа раздела требуют пристального внимания ИТ-подразделений компаний:
Параграф 302 требует от генерального и финансового директоров проверки финансовой отчетности компании на точность и полноту.
Параграф 404 требует от генерального и финансового директоров, а так же от сторонних аудиторских организаций, периодически подтверждать эффективность внутренних механизмов контроля финансовой отчетности.
Параграф 409 требует от компаний сообщать о любых существенных фактах и рисках, которые могут повлиять на финансовые показатели.
SOX не выдвигает конкретных требований к ИТ, но акцентирует внимание на том, что достоверность финансовых данных и эффективность системы внутреннего контроля напрямую зависит от эффективности системы контроля деятельности ИТ. Внешний аудит компаний охватывает не только финансовые подразделения, но также ИТ-инфраструктуру компаний, внутренние ИТ-процессы, а так же персонал ИТ-подразделений.
Прямое отношение к управлению ИТ имеет раздел 404 Закона Management Assessment of Internal Controls («Оценка системы внутреннего контроля»), который акцентирует внимание компаний на эффективности систем внутреннего контроля. В соответствии с данным разделом, высшее руководство компаний должно:
нести ответственность за организацию и поддержку системы внутреннего контроля;
проводить регулярную оценку системы внутреннего контроля.
Закон акцентирует внимание на контроле корректности составления финансовой отчетности:
со стороны руководства компаний;
со стороны независимых аудиторов.
Как это построить
Построение системы внутреннего контроля деятельности ИТ начинается с уровня бизнес-процессов: определяются информационные системы и ИТ-сервисы, поддерживающие данные процессы. Необходимо провести глубокий анализ систем и процессов; проверить потенциально уязвимые места и связанные с ними риски в вопросах надежности, целостности и доступности данных; определить, какие процессы следует подвергнуть тщательному анализу; определить сферы ИТ-безопасности:
непрерывность бизнеса;
развитие систем;
контроль доступа;
коммуникация и эксплуатация;
физическая безопасность;
сотрудники;
классификация систем;
организация ИТ.
Исходя из анализа бизнес-процессов и рисков ИТ-инфраструктуры, предприятию следует определить, какие меры обеспечения безопасности уже приняты, а какие необходимо определить и предпринять, определить способы контроля рисков, методику обеспечения безопасности и предотвращения рисков, меры контроля соответствия финансовой отчётности предприятия требованиям SOX. Необходимо детально отразить, как предприятие намерено реализовать на практике предложенные меры, спланировать внедрение необходимых бизнес-процессов, определить рамки проектов, согласовать выделение ресурсов на внедрение, формализовать критерии достижения поставленных целей, сроки проведения работы. Сроки подготовки предприятия к аудиту варьируются в зависимости от типа и размеров Компании, потребностей и требований Заказчика, численности персонала, количество филиалов, объема предполагаемых к разработке документов и/или количества аудируемых процессов, а также от готовности высшего руководства к адаптации работающих процессов к требованиям SOX.
Подготовка к аудиту SOX требует больших временных и ресурсных затрат. Использование собственных ресурсов для реализации таких проектов возможно, но существенно повышает проектные риски, связанные с недостатком опыта, специфических знаний и компетенции сотрудников. Оптимальным вариантом решения ресурсной проблемы может стать привлечение внешних консультантов для подготовки предприятия к аудиту по SOX.
