Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю Жанр: Информатика Рейтинг: Просмотров: 797 |
Глава 10
Американский закон SOX Анализ требований закона SOX Основные положения закона SOX Анализ требований к системе внутреннего контроля Итоги
Закон SOX (Sarbanes-Oxley Act) был принят в США в 2002 г. По всеобщему убеж* де нию, он оказал наибольшее влияние на принципы корпоративного управления по сравнению со всеми законами, принятыми в США в течение последних нескольких десятков лет. Сегодня высшие исполнительные лица (генеральные и финансовые директора), чьи организации должны удовлетворять требованиям нового закона, испытывают серьезное давление со стороны регулирующих органов и акционеров, требующих обеспечить совместимость с довольно жесткими положениями SOX. Между тем аго длительный, дорогостоящий и сложный процесс, для эффективной реализации которого требуются системный подход, внедрение новых процедур и информационных продуктов. Попытка успешно реализовать проект такого масштаба собственными силами требует существенных затрат на переобучение или отвлечение специалистов, а также чревата ростом постоянных издержек в связи с нерациональной реорганизацией документооборота компании и неэффективным использованием ресурсов предприятия. Продукты и услуги внешнего партнера позволяют значительно удешевить и ускорить процесс достижения совместимости с требованиямизакона SOX, обеспечить качество и высокий уровень эффективности внедренных процедур и информационных продуктов. Наконец, привлечение опытных и компетентных специалистов подрядчика позволяет гарантировать реализацию всех положений SOX, полное или частичное невыполнение которых влечет персональную ответственность директоров компании в виде значительных штрафов, дисквалификации и даже лишения свободы. Временные рамки закона SOX 2002 г. Вступление в силу закона SOX потребовало от компаний существенно изменить работу своих финансовых служб и бизнес-процессов. Наибольшую озаботим пюсть вызвала секция 404 нового закона, согласно которой корпорациям следует придерживаться определенных правил и иметь соответствующие процедуры ииутреннего контроля за финансовой отчетностью. г. Согласно закону SOX, большинство корпораций должны предоставлять И регулирующие органы финансовые отчеты в указанной форме и проходить регулярный независимый аудит. Комиссия по ценным бумагам и биржам США предоставила особо крупным компаниям отсрочку 1 год, чтобы те успели реализовать положения SOX и привести свою работу в соответствие с ним. г. Неамериканские компании, представленные на фондовом рынке США, должны выполнить требования SOX, а именно:
удовлетворить требованиям секций 302 и 404; имен» возможность продемонстрировать инвесторам финансовую нролрич носи, и должную практику корпоративного управления; внедрить систему управления, поддерживающую проекты еоотікттниіі tuny* щпм и будущим требованиям закона. Анализ требований закона SOX С июля 2005 г. все иностранные компании, чьи акции представлены на фондовом рынке США, должны соответствовать положениям закона SOX. Этот нормативный аісґ определяет требования к документообороту и финансовой отчетности компаний, закрепляет персональную ответственность финансовых и генеральных директоров предприятия, а также вводит процедуру регулярного независимого аудита. Большинство крупных американских компаний столкнулись с необходимостью ynoJ рядочить свою работу в соответствии с требованиями SOX еще в 2002 г. Опыт реали* зации подобных проектов и трудности на этом пути позволили сделать вывод о высо+ кой степени влияния нового закона на принципы корпоративного управления. В этой связи закон SOX уместно рассматривать не просто как очередной нормативный акт со стороны регулирующего органа, а как новый способ управления бизнесом, который помогает руководству предупреждать риски и эффективно преодолевать трудности^ Таким образом, реализация положений SOX влечет за собой значительные изменений в деятельности предприятия и финансовых служб, приводит к автоматизации рабо-| чих процессов, снижению всевозможных рисков, введению жесткого и прозрачной^ контроля над работой финансовых служб и бизнес-процессами. Закон SOX не имеет юридической силы для компаний, не представленных на амеї риканской фондовой бирже. Тем не менее российские и европейские организации могут обеспечить совместимость с положениями этого закона в следующих слу-j чаях. Компания планирует выйти на фондовый рынок США. В этом случае она поі падает под действие SOX и обязана удовлетворять его требованиям. Компания желает повысить свою конкурентоспособность и привлекательности в глазах инвесторов, но при этом не собирается размещать свои ценные бумагу на биржах США. Компания преследует цель надежно защитить свою финансовую отчетность] снизить риск мошенничества и обеспечить целостность и конфиденциальности информации по эффективному стандарту, которым является закон SOX. Одной из основных причин принятия закона SOX была задача защиты интересо^ инвесторов и предотвращения корпоративного мошенничества. Жесткие требовав ния нового закона, касающиеся процедур внутреннего контроля, персональной ответственности руководства компании и регулярно проводимого независимого аудита, действительно позволили добиться крайне высокого уровня раскрываемости корпоративных мошенничеств. Следователи в подобных делах отмечают, что именно реализация положений SOX позволяет выявить факт мошенничества, установить виновных и защитить интересы акционеров. Таким образом, совместимость с законом SOX является одним из самых эффективных способов повышения привлекательности компании в глазах потенциальных инвесторов. Кроме того, принципы корпоративного управления, закрепленные SOX, позволяют повысить конкурентоспособность компании за счет возможности принятия более быстрых и адекватных решений на основе гарантированно достоверной и і (формации. Реализация положений SOX способствует повышению управляемости бизнеса с помощью более прозрачных коммуникаций и эффективного использования ресурсов компании. Таким образом, совместимость с данным нормативным актом миляется одним из самых надежных способов повышения эффективности корпоративного менеджмента и защиты данных.
Основные положения закона SOX И табл. 10.1 приведены основные положения закона SOX. Именно на них следует обратить внимание в первую очередь во время запуска проекта обеспечения совместимости с законом SOX. Кроме того, эти требования напрямую касаются высших Исполнительных лиц и регламентируют ответственность руководства за нарушение закона SOX.
ТіблицаІО.1 (продолжение)
Требования
Расшифровка
Секция 404. Оценка менеджментом системы внутреннего контроля
404(b): «В соответствии с оценкой системы внутреннего контроля, требуемой подсекцией (а), каждая зарегистрированная публичная бухгалтерская фирма, которая готовит или выпускает отчет об аудите данной корпорации, должна аттестовать и включить в отчет оценку системы внутреннего контроля, выставленную менеджментом корпорации. Аттестация должна быть проведена в соответствии со стандартами аттестации, выпущенными или одобренными Советом»
Секция 802. Уголовная ответственность за фальсификацию документов. 802(a). Общие
§1520(а).(1): «Каждый бухгалтер, осуществляющий аудит... должен хранить все документы, касающиеся аудита, не менее 5 лет с момента окончания финансового года, в котором был произведен аудит»
§1520(а).(2): «Организации обязаны хранить все записи, рабочие документы и другие данные, которые имеют отношение к аудиту, а также корреспонденцию и электронные документы, которые были созданы, получены или отправлены компанией, могут пригодиться для аудита, содержат выводы,' мнения, анализы, финансовые сведения о компании»
Секция 1102. Искажение записей или другое препятствование расследованию
1102(2): «Любой, кто изменяет, уничтожает, искажает или скрывает запись, документ или другой объект, или пытается это сделать с тем, чтобы нарушить целостность объекта или его доступность при проведении официального расследования... должен быть оштрафован согласно этой статье или лишен свободы на срок до 20 лет, или и то и другое ^ одновременно»
Основную трудность в процессе обеспечения совместимости с положениями SO! вызывает секция 404, обязывающая компанию включать внутренние детальну отчеты в свою ежегодную отчетность. Логичным дополнением к этому требование является секция 802, требующая создавать архивы корпоративной документации (прежде всего, электронной корреспонденции) и хранить их как минимум семь ле Наконец, продолжая ту же линию, вводится секция 302, закрепляющая отъщ ственность руководства за установление и поддержание работы соответствующи структур внутреннего контроля и процедур финансовой отчетности. Правила так] же включают в себя оценку эффективности этих структур и процедур финансовой отчетности со стороны руководства компании. В то же время в ежегодный отче! компании контролеры должны включить оценку работы руководства в соответствии с принятыми стандартами. | Секция 404. Согласно этому положению закона, руководство компании обязано ввести системы внутреннего контроля, оценить их уязвимость и определить пут| проверки их эффективности. В связи с тем что подавляющее большинство ком паї ний предпочитает управлять своими финансовыми потоками без использоваииі детальной отчетности, реализация требований секции 404 приводит к существенной перестройке внутренних процессов. Механизмы внутреннего контроля призваны повысить эффективность процессов Подготовки финансовых отчетов. В частности, эти процессы должны быть согласованы, автоматизированы, подвержены аудиту, а также организованы таким образом, Чтобы минимизировать возможность ошибки или неправильных/ложных записей. Кроме того, внутренний контроль необходим для того, чтобы вовремя обнаружить Неавторизованное или нецелевое использование активов компании, в том числе Информационных. Другими словами, все операции, осуществляемые как с цифровыми активами компании, так и с финансовой отчетностью, должны тщательно Протоколироваться, а инфраструктура организации обязана включать в себя механизмы выявления мошенничеств. Ьекция 802. Очень важной частью закона является секция 802, которая требует Обеспечить хранение всех деловых документов и любой другой информации, имею-№й отношение к финансовой отчетности, сроком минимум семь лет. Хотя закон SOX К* определяет, какие конкретно данные необходимо хранить и какие носители для ІТого использовать, независимые компании-аудиторы требуют обеспечить сбор | архивирование самого широкого спектра электронных документов. В этом кон-Тексте акцент ставится прежде всего на централизованном хранении корпоративной почтовой корреспонденции. Использование механизмов внутреннего контроля в отношении почтовых архивов подразумевает гарантию их аутентичности I возможность делать аналитические выборки с целью проведения обширного Інтроспективного анализа. Секция 302. Согласно этому положению закона, генеральные и финансовые директора обязаны включать свои отчеты в протоколы ревизии, для того чтобы удостоверить правильность информации, содержащейся в данных протоколах. Руко-Іодители, которые намеренно предоставляют фальшивые отчеты, подвергаются Мрьсзному наказанию: штрафам в размере до $25 млн и лишению свободы на срок ДО 20 лет. Иными словами, топ-менеджмент компании лично заинтересован в обеспечен ии совместимости с положениями закона SOX. С одной стороны, руководители должны понимать, что невыполнение предписанных правил чревато судебным Преследованием и персональной ответственностью. С другой стороны, исполнительные лица должны самостоятельно стремиться к реализации требований SOX И своей компании, так как это повышает ее конкурентоспособность и инвестиционную привлекательность. Тикнм образом, главный вектор приложения усилий компании должен быть направ пен именно па создание эффективной и совместимой системы внутреннего КОПТ|М>Л>1. Дичее раскрывается суть определения «система внутреннего контроля», й тик же поменяется, какие задачи должна выполнять такая система, какие шіементм кон- Анализ требований к системе внутреннего контроля После принятия закона SOX в 2002 г. в США была создана организация РСАОВ (Public Company Accounting Oversight Board — Комитет по надзору за отчетностью открытых акционерных компаний). Этот орган выполняет функции надзора з| правильностью учета и отчетности в компаниях, чьи акции торгуются на биржа США. Кроме того, в задачи РСАОВ входит разработка стандартов, конкретизируй юіцих требования закона SOX в тех или иных областях. В результате деятельности РСАОВ было разработано несколько стандартов, детали зирующих требования отдельных секций закона SOX. Одним из таких стандартО1 является стандарт аудита № 2 (Auditing Standard N 2: An Audit of Internal Control Ovd Financial Reporting Performed in Conjunction With an Audit of Financial Statements] Этот стандарт уточняет требования закона SOX к системе внутреннего контрол и фактически раскрывает положения секции 404. Рекомендации стандарта аудита № 2 по построению системы внутреннего контролі во многом основаны на стандарте Internal Control — Integrated Framework, выпущеш ном организацией COSO (Committee of Sponsoring Organizations of the Treadwal Commission — Комитет спонсорских организаций Комиссии Трэдуэя). Что такое система внутреннего контроля? Согласно п. 7 стандарта аудита № Я система внутреннего контроля над финансовой отчетностью — это: процессу разработанный под руководством или с участием главного исполнительног директора и главного финансового директора компании (или соответствующих уполномоченных лиц)у а также введенный в действие советом директоров, менедж ментом и другими служащими компании, чтобы предоставить разумные гаранти достоверности финансовой отчетности и обеспечить подготовку финансовых отт шов для внешних целей в соответствии с общепринятыми принципами бухгалтер ского учета. Этот процесс включает политики и процедуры, которые: обеспечивают сохранение записей, которые с достаточной степенью подробной ти, точности и беспристрастности отражают транзакции и перемещения кощ поративных активов; предоставляют разумную гарантию того, что все транзакции записаны долж ным образом и могут быть отражены в финансовых отчетах в соответствие с общепринятыми принципами бухгалтерского учета, а также что все корп(Ц ративные приходы и расходы произведены с разрешения менеджмента и дире^ торов компании; предоставляют разумную гарантию предотвращения или своевременного выяв1 ления неавторизованного приобретения, использования или перемещения корпо* ративных активов, которое может материально повлиять на финансовую от* четность. Отметим, что третий блок требований к политикам и процедурам внутреннего1 контроля, касающийся предотвращения и выявления псзнторизоинипых действий с корпоративными активами, является наиболее сложным в практической реализации секции 404 закона SOX. Следует обратить внимание, что в понятие «корпоративные активы» также входят цифровые активы компании: интеллектуальная собственность, коммерческие или технологические секреты, а также целый ряд конфиденциальных сведений. Очевидно, что кража или утечка этой информации отрицательно скажется на бизнесе компании и ее финансовых показателях. Следовательно, система внутреннего контроля должна обеспечить защиту не только самих финансовых транзакций и отчетов, но еще и информационных активов фирмы. Средства внутреннего контроля. Согласно п. И стандарта аудита № 2, средства контроля могут позволять как предотвращать, так и выявлять нарушения. ('родства для выявления нарушений призваны отыскать ошибки или случаи мошенничества уже после того, как они произошли и могли повлиять на финансовую отчетность. Средства для предотвращения нарушений ставят своей целью предотвратить со-нершение ошибки или мошенничества еще до того, как нарушения повлияют на финансовую отчетность. В то же время авторы стандарта признают, что даже самые лучшие средства внутреннего контроля могут не справиться с тем, чтобы предотвратить искажение финансовой отчетности. Однако соответствующие риски могут быть минимизированы посредством как превентивных мер, так и средств для выявления нарушений. Таким образом, на практике целесообразно использовать комбинацию этих методой, частично покрывая угрозы то одними, то другими средствами контроля. Согласно п. 24 стандарта аудита № 2, при проверке средств внутреннего контроля аудитору следует в первую очередь обратить внимание на то, как эти механизмы решают проблему мошенничества. Действительно, такие инциденты, как мошенничество, наиболее сильно влияют на финансовые показатели, корпоративные йктивы и бухгалтерские отчеты. Более того, мошенничество является предумышленным преступлением, так что задействованные в нем инсайдеры могут кооперироваться, чтобы исказить финансовые отчеты, перераспределить корпоративные йкіивы и скрыть следы своих махинаций. Поэтому система внутреннего контроля должна минимизировать крайне опасные риски мошенничества.
Итоги 11а основании представленных данных можно сделать следующие выводы. Во-пор-ИІІІХ, внедрение требований закона SOX является сложным и ресурсоемким нроцое-( ом. Во-вторых, несмотря на комплексный характер нормативного акта, корпорації-им выгодно внедрять его требования, так как за счет этого они получают рыночные преимущества. В-третьих, положительное влияние на конкурентоснособноегь fillil-веса со стороны закона SOX продиктовано в первую очередь эффективной системой iiiivi репного контроля, которая должна быть реализована в компании согласно сек мим 101 І Іакоиец, в-четвертых, именно внедрение механизмов шіутрешіеіо контро /ні п соответствие требованиям секции 404 вызываем у корпорации наибольшие очожиопп в процессе обеспечении еовмееіимоеін с законом S()Х, Система внутреннего контроля должна обеспечивать сохранение подробных зан писей, отражение всех транзакций и защиту от целого ряда угроз корпоративным активам. При этом под защитой понимается как предотвращение, так и своевременное выявление нарушений, а под корпоративными активами — в том числе цифровые активы (интеллектуальная собственность, торговые секреты, привате ные списки клиентов и т. д.). С точки зрения аудита очень важно, чтобы система внутреннего контроля могла) предотвратить или своевременно выявить искажение финансовой отчетности и мошенничество с корпоративными активами. Для этих целей следует разумнее сочетать пассивные и активные методы защиты, хотя ни одна комбинация средств внутреннего контроля не может дать полной гарантии ликвидации этих рисков. |
| Оглавление| |
- Акмеология
- Анатомия
- Аудит
- Банковское дело
- БЖД
- Бизнес
- Биология
- Бухгалтерский учет
- География
- Грамматика
- Делопроизводство
- Демография
- Естествознание
- Журналистика
- Иностранные языки
- Информатика
- История
- Коммуникация
- Конфликтология
- Криминалогия
- Культурология
- Лингвистика
- Литература
- Логика
- Маркетинг
- Медицина
- Менеджмент
- Метрология
- Педагогика
- Политология
- Право
- Промышленность
- Психология
- Реклама
- Религиоведение
- Социология
- Статистика
- Страхование
- Счетоводство
- Туризм
- Физика
- Филология
- Философия
- Финансы
- Химия
- Экология
- Экономика
- Эстетика
- Этика
Лучшие книги
Гражданский процесс: Вопросы и ответы
ЗАПАДНОЕВРОПЕЙСКОЕ ИСКУССТВО от ДЖОТТО до РЕМБРАНДТА
Коммуникации стратегического маркетинга
Консультации по английской грамматике: В помощь учителю иностранного языка.
Международные экономические отношения