Название: Руководство по защите от внутренних угроз информационной безопасности - Скиба В. Ю

Жанр: Информатика

Рейтинг:

Просмотров: 797

Глава 10

Американский закон SOX

Анализ требований закона SOX

Основные положения закона SOX

Анализ требований к системе внутреннего контроля

Итоги

Закон SOX (Sarbanes-Oxley Act) был принят в США в 2002 г. По всеобщему убеж* де нию, он оказал наибольшее влияние на принципы корпоративного управления по сравнению со всеми законами, принятыми в США в течение последних нескольких десятков лет.

Сегодня высшие исполнительные лица (генеральные и финансовые директора), чьи организации должны удовлетворять требованиям нового закона, испытывают серьезное давление со стороны регулирующих органов и акционеров, требующих обеспечить совместимость с довольно жесткими положениями SOX. Между тем аго длительный, дорогостоящий и сложный процесс, для эффективной реализа­ции которого требуются системный подход, внедрение новых процедур и инфор­мационных продуктов. Попытка успешно реализовать проект такого масштаба собственными силами требует существенных затрат на переобучение или отвле­чение специалистов, а также чревата ростом постоянных издержек в связи с нера­циональной реорганизацией документооборота компании и неэффективным ис­пользованием ресурсов предприятия.

Продукты и услуги внешнего партнера позволяют значительно удешевить и уско­рить процесс достижения совместимости с требованиямизакона SOX, обеспечить качество и высокий уровень эффективности внедренных процедур и информаци­онных продуктов. Наконец, привлечение опытных и компетентных специалистов подрядчика позволяет гарантировать реализацию всех положений SOX, пол­ное или частичное невыполнение которых влечет персональную ответственность директоров компании в виде значительных штрафов, дисквалификации и даже ли­шения свободы.

Временные рамки закона SOX

2002 г. Вступление в силу закона SOX потребовало от компаний существенно из­менить работу своих финансовых служб и бизнес-процессов. Наибольшую озабо­тим пюсть вызвала секция 404 нового закона, согласно которой корпорациям сле­дует придерживаться определенных правил и иметь соответствующие процедуры ииутреннего контроля за финансовой отчетностью.

г. Согласно закону SOX, большинство корпораций должны предоставлять И регулирующие органы финансовые отчеты в указанной форме и проходить ре­гулярный независимый аудит. Комиссия по ценным бумагам и биржам США предоставила особо крупным компаниям отсрочку 1 год, чтобы те успели реали­зовать положения SOX и привести свою работу в соответствие с ним.

г. Неамериканские компании, представленные на фондовом рынке США, должны выполнить требования SOX, а именно:

удовлетворить требованиям секций 302 и 404;

имен» возможность продемонстрировать инвесторам финансовую нролрич носи, и должную практику корпоративного управления;

внедрить систему управления, поддерживающую проекты еоотікттниіі tuny*

щпм и будущим требованиям закона.

Анализ требований закона SOX

С июля 2005 г. все иностранные компании, чьи акции представлены на фондовом рын­ке США, должны соответствовать положениям закона SOX. Этот нормативный аісґ определяет требования к документообороту и финансовой отчетности компаний, закрепляет персональную ответственность финансовых и генеральных директоров предприятия, а также вводит процедуру регулярного независимого аудита.

Большинство крупных американских компаний столкнулись с необходимостью ynoJ рядочить свою работу в соответствии с требованиями SOX еще в 2002 г. Опыт реали* зации подобных проектов и трудности на этом пути позволили сделать вывод о высо+ кой степени влияния нового закона на принципы корпоративного управления. В этой связи закон SOX уместно рассматривать не просто как очередной нормативный акт со стороны регулирующего органа, а как новый способ управления бизнесом, который помогает руководству предупреждать риски и эффективно преодолевать трудности^ Таким образом, реализация положений SOX влечет за собой значительные изменений в деятельности предприятия и финансовых служб, приводит к автоматизации рабо-| чих процессов, снижению всевозможных рисков, введению жесткого и прозрачной^ контроля над работой финансовых служб и бизнес-процессами.

Закон SOX не имеет юридической силы для компаний, не представленных на амеї риканской фондовой бирже. Тем не менее российские и европейские организации могут обеспечить совместимость с положениями этого закона в следующих слу-j чаях.

Компания планирует выйти на фондовый рынок США. В этом случае она поі падает под действие SOX и обязана удовлетворять его требованиям.

Компания желает повысить свою конкурентоспособность и привлекательности в глазах инвесторов, но при этом не собирается размещать свои ценные бумагу на биржах США.

Компания преследует цель надежно защитить свою финансовую отчетность] снизить риск мошенничества и обеспечить целостность и конфиденциальности информации по эффективному стандарту, которым является закон SOX.

Одной из основных причин принятия закона SOX была задача защиты интересо^ инвесторов и предотвращения корпоративного мошенничества. Жесткие требовав ния нового закона, касающиеся процедур внутреннего контроля, персональной ответственности руководства компании и регулярно проводимого независимого аудита, действительно позволили добиться крайне высокого уровня раскрываемо­сти корпоративных мошенничеств. Следователи в подобных делах отмечают, что именно реализация положений SOX позволяет выявить факт мошенничества, установить виновных и защитить интересы акционеров. Таким образом, совмести­мость с законом SOX является одним из самых эффективных способов повыше­ния привлекательности компании в глазах потенциальных инвесторов.

Кроме того, принципы корпоративного управления, закрепленные SOX, позволяют повысить конкурентоспособность компании за счет возможности принятия более быстрых и адекватных решений на основе гарантированно достоверной и і (форма­ции. Реализация положений SOX способствует повышению управляемости бизне­са с помощью более прозрачных коммуникаций и эффективного использования ресурсов компании. Таким образом, совместимость с данным нормативным актом миляется одним из самых надежных способов повышения эффективности корпора­тивного менеджмента и защиты данных.

Основные положения закона SOX

И табл. 10.1 приведены основные положения закона SOX. Именно на них следует обратить внимание в первую очередь во время запуска проекта обеспечения совме­стимости с законом SOX. Кроме того, эти требования напрямую касаются высших Исполнительных лиц и регламентируют ответственность руководства за наруше­ние закона SOX.

ТіблицаІО.1 (продолжение)

Требования

Расшифровка

Секция 404. Оценка менеджментом системы внутреннего контроля

404(b): «В соответствии с оценкой системы внутреннего контроля, требуемой подсекцией (а), каждая зарегистрированная публичная бухгалтерская фирма, которая готовит или выпускает отчет об аудите данной корпорации, должна аттестовать и включить в отчет оценку системы внутреннего контроля, выставленную менеджментом корпорации. Аттестация должна быть проведена в соответствии со стандартами аттестации, выпущенными или одобренными Советом»

Секция 802. Уголовная ответственность за фальсификацию документов. 802(a). Общие

§1520(а).(1): «Каждый бухгалтер, осуществляющий аудит... должен хранить все документы, касающиеся аудита, не менее 5 лет с момента окончания финансового года, в котором был произведен аудит»

§1520(а).(2): «Организации обязаны хранить все записи, рабочие документы и другие данные, которые имеют отношение к аудиту, а также корреспонденцию и электронные документы, которые были созданы, получены или отправлены компанией, могут пригодиться для аудита, содержат выводы,' мнения, анализы, финансовые сведения о компании»

Секция 1102. Искажение записей или другое препятствование расследованию

1102(2): «Любой, кто изменяет, уничтожает, искажает или скрывает запись, документ или другой объект, или пытается это сделать с тем, чтобы нарушить целостность объекта или его доступность при проведении официального расследования... должен быть оштрафован согласно этой статье или лишен свободы на срок до 20 лет, или и то и другое ^ одновременно»

Основную трудность в процессе обеспечения совместимости с положениями SO! вызывает секция 404, обязывающая компанию включать внутренние детальну отчеты в свою ежегодную отчетность. Логичным дополнением к этому требование является секция 802, требующая создавать архивы корпоративной документации (прежде всего, электронной корреспонденции) и хранить их как минимум семь ле Наконец, продолжая ту же линию, вводится секция 302, закрепляющая отъщ ственность руководства за установление и поддержание работы соответствующи структур внутреннего контроля и процедур финансовой отчетности. Правила так] же включают в себя оценку эффективности этих структур и процедур финансовой отчетности со стороны руководства компании. В то же время в ежегодный отче! компании контролеры должны включить оценку работы руководства в соответ­ствии с принятыми стандартами. |

Секция 404. Согласно этому положению закона, руководство компании обязано ввести системы внутреннего контроля, оценить их уязвимость и определить пут| проверки их эффективности. В связи с тем что подавляющее большинство ком паї ний предпочитает управлять своими финансовыми потоками без использоваииі детальной отчетности, реализация требований секции 404 приводит к существен­ной перестройке внутренних процессов.

Механизмы внутреннего контроля призваны повысить эффективность процессов Подготовки финансовых отчетов. В частности, эти процессы должны быть согласо­ваны, автоматизированы, подвержены аудиту, а также организованы таким образом, Чтобы минимизировать возможность ошибки или неправильных/ложных записей.

Кроме того, внутренний контроль необходим для того, чтобы вовремя обнаружить Неавторизованное или нецелевое использование активов компании, в том числе Информационных. Другими словами, все операции, осуществляемые как с цифро­выми активами компании, так и с финансовой отчетностью, должны тщательно Протоколироваться, а инфраструктура организации обязана включать в себя ме­ханизмы выявления мошенничеств.

Ьекция 802. Очень важной частью закона является секция 802, которая требует Обеспечить хранение всех деловых документов и любой другой информации, имею-№й отношение к финансовой отчетности, сроком минимум семь лет. Хотя закон SOX К* определяет, какие конкретно данные необходимо хранить и какие носители для ІТого использовать, независимые компании-аудиторы требуют обеспечить сбор | архивирование самого широкого спектра электронных документов. В этом кон-Тексте акцент ставится прежде всего на централизованном хранении корпоратив­ной почтовой корреспонденции. Использование механизмов внутреннего кон­троля в отношении почтовых архивов подразумевает гарантию их аутентичности I возможность делать аналитические выборки с целью проведения обширного Інтроспективного анализа.

Секция 302. Согласно этому положению закона, генеральные и финансовые ди­ректора обязаны включать свои отчеты в протоколы ревизии, для того чтобы удо­стоверить правильность информации, содержащейся в данных протоколах. Руко-Іодители, которые намеренно предоставляют фальшивые отчеты, подвергаются Мрьсзному наказанию: штрафам в размере до $25 млн и лишению свободы на срок ДО 20 лет. Иными словами, топ-менеджмент компании лично заинтересован в обес­печен ии совместимости с положениями закона SOX. С одной стороны, руководи­тели должны понимать, что невыполнение предписанных правил чревато судебным Преследованием и персональной ответственностью. С другой стороны, исполни­тельные лица должны самостоятельно стремиться к реализации требований SOX И своей компании, так как это повышает ее конкурентоспособность и инвестицион­ную привлекательность.

Тикнм образом, главный вектор приложения усилий компании должен быть направ пен именно па создание эффективной и совместимой системы внутреннего КОПТ|М>Л>1.

Дичее раскрывается суть определения «система внутреннего контроля», й тик же поменяется, какие задачи должна выполнять такая система, какие шіементм кон-

Анализ требований к системе внутреннего контроля

После принятия закона SOX в 2002 г. в США была создана организация РСАОВ (Public Company Accounting Oversight Board — Комитет по надзору за отчетностью открытых акционерных компаний). Этот орган выполняет функции надзора з| правильностью учета и отчетности в компаниях, чьи акции торгуются на биржа США. Кроме того, в задачи РСАОВ входит разработка стандартов, конкретизируй юіцих требования закона SOX в тех или иных областях.

В результате деятельности РСАОВ было разработано несколько стандартов, детали зирующих требования отдельных секций закона SOX. Одним из таких стандартО1 является стандарт аудита № 2 (Auditing Standard N 2: An Audit of Internal Control Ovd Financial Reporting Performed in Conjunction With an Audit of Financial Statements] Этот стандарт уточняет требования закона SOX к системе внутреннего контрол и фактически раскрывает положения секции 404.

Рекомендации стандарта аудита № 2 по построению системы внутреннего контролі во многом основаны на стандарте Internal Control — Integrated Framework, выпущеш ном организацией COSO (Committee of Sponsoring Organizations of the Treadwal Commission — Комитет спонсорских организаций Комиссии Трэдуэя).

Что такое система внутреннего контроля? Согласно п. 7 стандарта аудита № Я система внутреннего контроля над финансовой отчетностью — это:

процессу разработанный под руководством или с участием главного исполнительног директора и главного финансового директора компании (или соответствующих уполномоченных лиц)у а также введенный в действие советом директоров, менедж ментом и другими служащими компании, чтобы предоставить разумные гаранти достоверности финансовой отчетности и обеспечить подготовку финансовых отт шов для внешних целей в соответствии с общепринятыми принципами бухгалтер ского учета. Этот процесс включает политики и процедуры, которые:

обеспечивают сохранение записей, которые с достаточной степенью подробной ти, точности и беспристрастности отражают транзакции и перемещения кощ поративных активов;

предоставляют разумную гарантию того, что все транзакции записаны долж ным образом и могут быть отражены в финансовых отчетах в соответствие с общепринятыми принципами бухгалтерского учета, а также что все корп(Ц ративные приходы и расходы произведены с разрешения менеджмента и дире^ торов компании;

предоставляют разумную гарантию предотвращения или своевременного выяв1 ления неавторизованного приобретения, использования или перемещения корпо* ративных активов, которое может материально повлиять на финансовую от* четность.

Отметим, что третий блок требований к политикам и процедурам внутреннего1 контроля, касающийся предотвращения и выявления псзнторизоинипых действий с корпоративными активами, является наиболее сложным в практической реализа­ции секции 404 закона SOX. Следует обратить внимание, что в понятие «корпора­тивные активы» также входят цифровые активы компании: интеллектуальная собственность, коммерческие или технологические секреты, а также целый ряд кон­фиденциальных сведений. Очевидно, что кража или утечка этой информации отри­цательно скажется на бизнесе компании и ее финансовых показателях. Следователь­но, система внутреннего контроля должна обеспечить защиту не только самих финансовых транзакций и отчетов, но еще и информационных активов фирмы.

Средства внутреннего контроля. Согласно п. И стандарта аудита № 2, средства контроля могут позволять как предотвращать, так и выявлять нарушения.

('родства для выявления нарушений призваны отыскать ошибки или случаи мо­шенничества уже после того, как они произошли и могли повлиять на финансо­вую отчетность.

Средства для предотвращения нарушений ставят своей целью предотвратить со-нершение ошибки или мошенничества еще до того, как нарушения повлияют на финансовую отчетность.

В то же время авторы стандарта признают, что даже самые лучшие средства внут­реннего контроля могут не справиться с тем, чтобы предотвратить искажение фи­нансовой отчетности. Однако соответствующие риски могут быть минимизирова­ны посредством как превентивных мер, так и средств для выявления нарушений. Таким образом, на практике целесообразно использовать комбинацию этих мето­дой, частично покрывая угрозы то одними, то другими средствами контроля.

Согласно п. 24 стандарта аудита № 2, при проверке средств внутреннего контроля аудитору следует в первую очередь обратить внимание на то, как эти механизмы решают проблему мошенничества. Действительно, такие инциденты, как мошен­ничество, наиболее сильно влияют на финансовые показатели, корпоративные йктивы и бухгалтерские отчеты. Более того, мошенничество является предумыш­ленным преступлением, так что задействованные в нем инсайдеры могут коопери­роваться, чтобы исказить финансовые отчеты, перераспределить корпоративные йкіивы и скрыть следы своих махинаций. Поэтому система внутреннего контроля должна минимизировать крайне опасные риски мошенничества.

Итоги

11а основании представленных данных можно сделать следующие выводы. Во-пор-ИІІІХ, внедрение требований закона SOX является сложным и ресурсоемким нроцое-( ом. Во-вторых, несмотря на комплексный характер нормативного акта, корпорації-им выгодно внедрять его требования, так как за счет этого они получают рыночные преимущества. В-третьих, положительное влияние на конкурентоснособноегь fillil-веса со стороны закона SOX продиктовано в первую очередь эффективной системой iiiivi репного контроля, которая должна быть реализована в компании согласно сек мим 101 І Іакоиец, в-четвертых, именно внедрение механизмов шіутрешіеіо контро /ні п соответствие требованиям секции 404 вызываем у корпорации наибольшие очожиопп в процессе обеспечении еовмееіимоеін с законом S()Х,

Система внутреннего контроля должна обеспечивать сохранение подробных зан писей, отражение всех транзакций и защиту от целого ряда угроз корпоративным активам. При этом под защитой понимается как предотвращение, так и своевре­менное выявление нарушений, а под корпоративными активами — в том числе цифровые активы (интеллектуальная собственность, торговые секреты, привате ные списки клиентов и т. д.).

С точки зрения аудита очень важно, чтобы система внутреннего контроля могла) предотвратить или своевременно выявить искажение финансовой отчетности и мошенничество с корпоративными активами. Для этих целей следует разумнее сочетать пассивные и активные методы защиты, хотя ни одна комбинация средств внутреннего контроля не может дать полной гарантии ликвидации этих рисков.