Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Путь к финансовой прозрачности: ERP или SOX-система?

Как ответная реакция на резкое ужесточение регуляторных требований к надежности финансовой отчетности компаний, немедленно появился и интенсивно развивается новый рынок программного обеспечения — SOX-software. В России оно представляет интерес не только для филиалов иностранных компаний, но и для отечественных игроков, планирующих выгодно продать часть бизнеса.

Ни для кого не секрет, что из множества источников финансирования компании — банковских кредитов, корпоративных облигаций, средств частных инвесторов и т.п. — наиболее привлекательно для владельцев на данном этапе выглядит реализация акций на фондовой бирже. Еще несколько лет назад, чтобы привлечь средства биржевых игроков, достаточно было иметь стабильный рост оборота и представлять надежную, динамично развивающуюся отрасль. Если выходу на биржу предшествовала типовая «предпродажная подготовка», имевшая целью поднять цену компании путем внедрения ERP-системы для возможности формирования финансовой отчетности по западным стандартам, то, как правило, затраты на ERP-проект с лихвой оправдывались за счет увеличения капитализации компании. При этом автоматически формировалось позитивное мнение о достоверности финансовой отчетности компании, проводимой в «правильной» западной ERP-системе.

Сегодня же, после введения в действие в США закона Sarbanes-Oxley (SOX) и аналогичных законов в ряде других развитых стран, компания должна уже не только представить собственно финансовую отчетность, но и дополнительные документы, подтверждающие эффективность внутреннего контроля над ее подготовкой. Требования SOX к наличию в компаниях эффективных систем внутреннего контроля над подготовкой надежной финансовой отчетности формально уравняли в правах все типы информационных систем — от недорого ПО типа «1С Бухгалтерия» до «тяжелого» ERP-решения масштаба предприятия. Главное, чтобы с их помощью компании готовили отчетность, на которую акционеры и инвесторы могли уверенно полагаться. В данном смысле соответствие требованиям закона Sarbanes-Oxley можно рассматривать как более универсальный, чем раньше была ERP, «отбеливатель», позволяющий любой компании, даже не имеющей сложных информационных систем, привлечь к себе внимание широкого круга инвесторов.

Конечно, в современных условиях лишь очень немногим компаниям удается добиться коммерческого успеха, не имея достаточно развитых информационных систем, и речь, по сути дела, идет лишь об очередной смене приоритетов их дальнейшего развития в связи с необходимостью соблюдения обязательных требований законодательства. Несмотря на то, что требование жесткого соответствия SOX относится в полной мере лишь к компаниям, ориентирующимся на американские биржи, есть смысл совершенствовать внутренний контроль и российским компаниям, ориентирующимся как на европейские, так на российские фондовые биржи.

Согласно принятому в конце 2004 года «Положению о деятельности по организации торговли на рынке ценных бумаг» компании, акции которых находятся в котировальных списках российских бирж, должны иметь комитеты по аудиту из числа независимых директоров для надзора за деятельностью системы внутреннего контроля (СВК) и финансовой отчетностью компаний на всех стадиях ее подготовки. В связи с этим фактом вполне логично, если комитеты по аудиту сразу или постепенно будут ориентироваться на международный опыт обеспечения надежности финансовой отчетности.

Вступление России в ВТО, которое откроет для иностранных компаний доступ на российский рынок, вероятно, станет катализатором для роста инвестиций в клиентов СВК. Инвестиции же смогут получить те компании, которые успеют сделать свой бизнес прозрачнее. Наконец, для российских компаний внутренний контроль важен не только как средство соответствия регуляторам фондовых рынков на Западе и в России, но и как способ борьбы акционеров с нецелевым расходованием средств, злоупотреблениями менеджмента и управленческой анархией.

Шаги к надежной финансовой отчетности

Источник: «Делойт», 2006

Задача ИС проста: обеспечить надежную финансовую отчетность

Практически бесконечное разнообразие информационных систем (ИС) можно, в зависимости от разработчиков их бизнес-приложений, условно свести всего к трем классическим вариантам построения. Первый — когда разработчиком бизнес-приложений является сама компания, либо самостоятельно автоматизирующая свои бизнес-процессы, либо привлекающая к этому процессу также стороннего разработчика. Второй — когда разработчиков бизнес-приложений, по крайней мере, несколько, все они сторонние, их приложения являются лидерами или брендами в своих классах. И третий — когда рРазработчик бизнес-приложений один, но только в идеале: реально ERP-системы охватывают далеко не всю необходимую бизнесу функциональность. Это подтверждается статистикой: если 10 лет назад успешно внедренная ERP-система в среднем покрывала 70 % потребностей предприятия, то сегодня, по данным Gartner, только 40 %. Поэтому на крупных предприятиях для формирования финансовой отчетности могут использоваться данные из десятков разных приложений, в том числе, из других ERP-систем.

Безусловно, в чистом виде не только третий, но и два первых варианта встречаются крайне редко: как правило, компании имеют исторически сложившийся набор разнообразных приложений. В любом из этих вариантов компания может реализовать главный принцип построения ИС — создание единого информационного пространства, просто в случае с ERP-системой часть этой работы уже выполнена ее разработчиком.

Итак, в свете требований SOX одного факта использования ERP-системы для подготовки финансовой отчетности уже официально недостаточно для признания последней достоверной. Теперь также необходимо документально подтвердить, что ERP-система эксплуатируется в «здоровой» среде, в которой, в частности, существует эффективно функционирующая система внутреннего контроля над подготовкой финансовой отчетности. Естественно, что эти требования SOX относятся не только к ERP-системам, а к ИС любых типов, точнее сказать, не зависят от типа ИС.

Из всех аспектов построения эффективной СВК — от определения оптимального объема контрольных процедур до планирования проверки их исполнения — в качестве примера рассмотрим здесь только некоторые типовые автоматизированные процедуры, связанные с подготовкой финансовой отчетности.

Вопрос о выборе между ручными и автоматизированными контрольными процедурами чаще всего решается в пользу последних, так как они более эффективны и результативны, менее подвержены манипуляциям и снижают вероятность появления ошибок, не зависят от действия таких «человеческих факторов», как усталость, рассеянность или отсутствие на работе и, что тоже важно, хорошо и удобно документируются.

Опыт реализации большого числа проектов, связанных с выполнением требований SOX, показал, что информационные технологии (ИТ) являются важнейшим элементом в поддержке надежной системы внутреннего контроля над подготовкой финансовой отчетности, особенно для крупных предприятий. В большинстве случаев повышение эффективности контроля за счет использования программного обеспечения (ПО) быстро окупает затраты на его установку. И наоборот, затраты и риски, связанные с отказом от максимальной автоматизации процессов и процедур их контроля, могут быть значительны.

Полный контроль над ИС компании

Выделяют две группы автоматизированных контрольных процедур: процедуры общего компьютерного контроля и прикладные процедуры.

Процедуры общего компьютерного контроля позволяют полагаться на информацию из финансовых приложений компании. К ним, например, относятся контрольные процедуры, обеспечивающие установленный уровень безопасности доступа, препятствующие несанкционированному и ненадлежащему использованию программ, данных, других информационных ресурсов. Кроме того, контроль над приобретением, настройкой и обслуживанием баз данных, телекоммуникационного и прочего системного ПО, а также контроль над разработкой и обслуживанием прикладного ПО (проектированием, реализацией, тестированием и документированием систем, внесением в них изменений, контроль версий). Процедуры общего компьютерного контроля имеют огромное влияние на эффективность прикладных контрольных процедур, действующих на их основе.

Прикладные (от слова «приложение») контрольные процедуры предназначены для контроля полноты, точности, достоверности и правомерности ввода и обработки данных в приложениях, поддерживающих подготовку финансовой отчетности. Иногда их также называют встроенными или программными контрольными процедурами, так как они встроены в прикладные программы, т.е. являются их частью.

Из большого многообразия простых и развитых прикладных контрольных процедур в качестве примера приведем несколько типовых. Во-первых, заранее предопределенные перечни данных (словари и справочники), которые предоставляют имеющему право работать с приложением пользователю возможность выбирать только из ограниченного перечня допустимых данных. Например, отпустить товар он может только заранее внесенным в справочник клиентам, с которыми заключен договор, подтвержденный соответствующей отметкой юристов.

Во-вторых, логические проверки, обеспечивающие контроль числовых или буквенно-цифровых данных при их вводе или изменении. Например, ИНН для российских юридических лиц должен быть положительным, десятиразрядным, его первые четыре цифры должны совпадать с кодом присвоившей его налоговой инспекции, корректность его последней цифры (контрольного числа) должна подтверждаться принятым ФНС РФ алгоритмом ее расчета.

 В-третьих, уровни допустимых отклонений. Эти процедуры ограничивают инициацию или проведение определенных операций на сумму сверх установленных лимитов без получения на то санкции. Аналогичные положения могут быть предусмотрены для внесения записей в журналы-ордера и/или главную книгу.

Более полно требования и процедуры для установления внутреннего контроля над ИС изложены в публикации Ассоциации по аудиту и контролю информационных систем "IT Control Objectives for Sarbanes-Oxley", рассматривающей конкретные цели и мероприятия ИТ-контроля и, особенно, значение основанных на ИТ контрольных процедур в построении, реализации и устойчивости СВК, следящих за раскрытием информации и финансовой отчетностью.

Дороги на все биржи идут через SOX

Одним из важных документов, в соответствии с требованиями Главы 404 закона Sarbanes-Oxley прилагаемых к годовой финансовой отчетности, является оценка менеджментом компании эффективности внутреннего контроля над подготовкой финансовой отчетности и признание своей ответственности за его поддержание.

Объем работ по оценке внутреннего контроля над подготовкой финансовой отчетности и даже только над ИС, в частности, велик. На крупном предприятии может быть до 1000 ключевых контрольных процедур: контролю подлежат не только бухгалтерские документы, но и сами бизнес-процессы. Например, для оценки лишь одной прикладной контрольной процедуры необходимы: анализ присущих рисков; формулировка целей контроля; документирование (описание) бизнес-процесса; идентификация основных точек ввода, изменения, обработки или вывода данных; оценка устройства контрольной процедуры; оценка ее эффективности.

Этап оценки является обязательным, потому что без комплексной оценки рисков компания в принципе не сможет разработать эффективные процедуры их устранения. Это сродни планированию командировки: вы не можете купить билет на самолет до тех пор, пока не выбрали место назначения. Поэтому начинать надо с разработки подробного плана действий по выявлению и устранению недостатков в системе внутреннего контроля. В первую очередь, нужно выделить бизнес-процессы, которые оказывают значительное влияние на достоверность финансовой отчетности. К таковым обычно относят 10–15 ключевых бизнес-процессов: подготовку финансовой отчетности, закупки, продажи, запасы, общий компьютерный контроль и пр. Определить значительные бизнес-приложения несложно: обычно это именно те приложения, которые поддерживают значительные бизнес-процессы.

Ни жесткое требование соответствия SOX, ни другие трудности превращения компании в публичную, ни возникающие при этом расходы (в мировой практике — несколько процентов от объема размещения) уже не смущают российские предприятия. Только в 2006 году анонсировали свой выход на IPO более 40 российских компаний, при этом пик IPO ожидают в 2007–2008 годах.

Очевидно, что для того чтобы реализовать требования SOX, необходимые для создания эффективной системы внутреннего контроля над подготовкой финансовой отчетности, руководству компании нужно планировать на ближайшие 2-3 года значительные расходы на услуги внешних SOX-консультантов, а также на разработку и/или приобретение программных и аппаратных решений для реализации процедур прикладного и общего компьютерного контроля. Для руководства американских компаний соответствие требованиям SOX уже стало одним из высших приоритетов, большим, чем снижение затрат или предоставление удобств, главным средством которого служили корпоративные ИТ-проекты. Более того, для достижения этого соответствия многими компаниями были отложены проекты по развитию бизнеса.

Процесс оценки прикладных контрольных процедур в ряде компаний затрудняется из-за целого ряда факторов, из них особо можно выделить: отсутствие необходимых квалификации, опыта и знаний в области внутреннего контроля для документирования, оценки и тестирования контрольных процедур; недостаточная независимость и объективность собственных внутренних аудиторов; отсутствие достаточных человеческих ресурсов (консультантов, программистов, конструкторов бизнес-процессов) для оценки внутреннего контроля в многочисленных территориальных подразделениях в ограниченные сроки; отсутствие квалифицированного ИТ-персонала для разработки и оценки прикладных контрольных процедур в системах, имеющих отношение к финансовой отчетности; использование децентрализованных и устаревших программ обработки финансовых данных, неэффективных методов учета.

Чтобы добиться наилучших долгосрочных результатов, компании, планирующие реализацию своих акций на фондовой бирже, как правило, начинают с того, что приглашают независимых внешних консультантов для оценки степени своей готовности к проверке эффективности СВК (включающей проведение целевого ИТ-аудита). Во время такой пробной проверки обнаруживаются и заранее устраняются как явные бреши, так и просто оставшиеся незамеченными или скрытые недостатки в устройстве СВК, что снижает риск выдачи официальным аудитором отрицательного заключения по итогам проведенного аудита. В соответствии с требованиями главы 404 закона Sarbanes-Oxley, заключение независимого аудитора об эффективности СВК является неотъемлемой частью годового финансового отчета компании.

Новый рынок приложений: громадный потенциал роста

После рассмотрения некоторых актуальных задач (на примере ИТ), стоящих перед российскими компаниями, планирующими размещение своих акций на фондовых биржах, возникает вопрос: а что дальше? Что, например, делают американские компании, уже завершившие проведение оценки своих СВК за составлением финансовой отчетности и в целом добившиеся их соответствия требованиям SOX?

Публичные компании, еще не остыв от аврального «проектного» настроя, осознали, что требования к предоставлению как бухгалтерской отчетности, так и отчетности по внутреннему контролю, в обозримом будущем будут действовать постоянно, и что качественная система внутреннего контроля должна быть навсегда интегрирована в миссию, корпоративную культуру и повседневную деятельность компаний. Их деятельность направлена теперь на оптимизацию контрольных процедур и соответствующих процессов, снижение издержек на выполнение требований SOX, на повышение подотчетности всех подразделений компании, на поиск и анализ возможных рисков и т.п. При этом они осознают, что выявление значительных недостатков в функционировании СВК может повлечь падение котировок акций компании на 5-10 %, пересмотр рейтинга компании и т.п. Например, рейтинговое агентство Moody’s считает, что «значительные недостатки ставят под сомнение не только способность руководства составлять правильную финансовую отчетность, но также его способность осуществлять контроль над бизнесом».

Из всего спектра направлений деятельности соответствующих требованиям SOX компаний ниже рассмотрены только те, которые оказывают прямое влияние на развитие ИС компаний: контроль над внедрением новых бизнес-приложений; внедрение специализированного программного обеспечения — SOX-software; интеграция процессов составления финансовой отчетности и внутреннего контроля.

SOX не предоставляет никаких отсрочек в случае внедрения компанией новых бизнес-приложений (например, ERP), равно как и внесения любых других изменений в информационно-технологическую инфраструктуру компании. Т.е. контрольные процедуры должны быть заранее реализованы и приведены в действие с первого дня работы приложения. Западные компании, уже осознавшие, что любой ИТ-проект должен изначально учитывать аспекты, связанные с внутренним контролем, внедрение новых приложений, как правило, осуществляют при участии и/или под надзором внешнего консультанта (Implementation Assurance). При этом сроки внедрения нового приложения должны быть реалистичными и гарантировать результат. Например, если бизнес-приложение запланировано к вводу в эксплуатацию в 4 квартале, руководство компании может столкнуться с нехваткой времени на оценку и составление своего отчета о состоянии контрольных процедур (что является неотъемлемой частью годового финансового отчета компании),а на устранение недостатков и проведение повторной проверки времени не окажется совсем.

Производители программного обеспечения провели большую работу, чтобы создать и вывести на рынок программные продукты, отвечающие требованиям компаний в связи с введением главы 404 закона Sarbanes-Oxley. Появился новый рынок программного обеспечения — SOX-software, предназначенный для автоматизации и оптимизации внутреннего контроля над составлением финансовой отчетности (Financial Compliance Process Management Software).

Современное SOX-software объединяет в единую систему все компоненты внутреннего контроля, такие как документирование, мониторинг, тестирование, оценку и отчетность, что дает возможность активно отслеживать процессы внутреннего контроля бизнеса в реальном времени и оперативно информировать руководство компании о статусе СВК и необходимости корректирующих действий по устранению недостатков.

SOX-системы поддерживают возможность как ведения детализированных справочников (библиотек) основных логических объектов СВК: бизнес-процессов, целей контроля, потенциальных рисков искажения финансовой отчетности, способов воздействия на риск и т.д., так и установления множественных связей между ними: бизнес-процесс > цели контроля > риски > способы воздействия на риск (контрольные процедуры)> тестирование. Имеется также возможность интеграции с другими системами и базами данных компании, если в них уже ведутся справочники статей финансовой отчетности, персонала, организационной структуры компании и т.п. Такой системный подход позволяет, например, увязывать каждый значительный бизнес-процесс с соответствующими счетами финансовой отчетности, устанавливая, таким образом, связь между финансовой отчетностью и возможными рисками; увязывать бизнес-процессы с их владельцами и контролерами, определяя, таким образом, роли и персональную ответственность должностных лиц за бизнес-процессы, за области внутреннего контроля и т.д.

К важнейшим возможностям, предоставляемым SOX-системами, можно отнести: анализ полноты контроля и установление контрольных точек в бизнес-процессах; планирование объема и управление тестированием контролей; процедуры сертификации СВК (как на уровне контрольных процедур, подпроцессов, процессов, так и в целом), централизованный доступ ко всем документам СВК: планам и результатам тестирования, планам корректирующих действий и пр. Кроме того, управление полным жизненным циклом документов (документирование исполнения контрольных и корректирующих процедур, регистрация существенных фактов и событий, возможность коллективной работы пользователей по подготовке, согласованию и визированию документов, автоматизация документооборота, поддержка версий документов, историй их редактирования, архивов и т.п.). Развитая отчетность, связанная с внутренним контролем (наличие мощных аналитических средств, удобных инструментальных панелей, визуализации результатов и пр.), позволяющая руководству компании и каждой группе пользователей, эффективно проводить контроль СВК, ее элементов, статусов тестирования, корректирующих действий и т.п. в режиме реального времени. Предустановленные контроли, библиотеки, шаблоны и др. данные для Sarbanes-Oxley, а также поддержка аудиторского инструментария.

Как видно из приведенного перечня, основная функциональность «нового» класса ПО, SOX-software, органично складывается из возможностей, предоставляемых такими популярными «старыми» классами ПО, как управление бизнес-процессами(business process management, BPM), управление документами (enterprise content management, ECM), отчетность и анализ данных (business intelligence, BI), а также управление ресурсами предприятий (enterprise resource planning, ERP).Поэтому среди поставщиков программных решений на рынок SOX-software, насчитывающий уже более сотни программных продуктов, фигурируют такие хорошо известные компании, как, например, HandySoft и IDS Scheer (BPM); FileNET и OpenPages (ECM);Hyperion и Cognos (BI); Oracle и SAP (ERP).

Ряд ведущих игроков рынка SOX-приложений уже давно ведут счет успешных внедрений на сотни (например, у Paisley Consulting их 500, Virsa Systems^[1]  — 300, Oracle — 250, OpenPages — 200).

В России, где число внедрений еще невелико (рост внедрений SOX-software ожидается в ближайшие два-три года), из ведущих игроков реально представлены лишь IBM (Workplace for Business Controls and Reporting), Oracle (Internal Control Manager) и SAP (Management of Internal Controls). Кроме этого, доступны SOX-приложения от IDS Scheer, Mercury, Microsoft и др.

Если компания приняла решение о выборе и внедрении SOX-приложения,то, кроме функциональных требований, она должна также сформулировать пакет общих и технических требований, таких, например, как наличие механизма бизнес-ролей, совместимость с имеющейся программно-аппаратной платформой, масштабируемость, наличие Web-интерфейса и т.п. Более полно требования и процедуры выбора ПО изложены в недавней публикации «Делойт» «Как правильно выбрать новое программное обеспечение», подготовленной на базе собственного опыта проведения полномасштабных тендеров.

Необходимо также иметь в виду, что если ERP-системы Oracle E-Business Suite или SAPR/3 в компании не внедрены и не запланированы к внедрению, то нужно ориентироваться не на возможность «отдельного» внедрения их SOX-модулей, а на выбор тиражного решения из «Best-of-Breed». Ведущие производители ERP-систем для малых и средних предприятий (например, Epicor Scala) также предприняли меры для обеспечения возможности интеграции своих продуктов с тиражными SOX-приложениями и дают конкретные рекомендации по их выбору своим клиентам.

Наконец, при выборе конкретного SOX-приложения целесообразно ознакомиться с планами его производителя по более тесной интеграции подготовки финансовой отчетности с ее оценкой внутренним контролем. Задача интеграции процессов составления финансовой отчетности и внутреннего контроля является главной движущей силой развития рынка SOX-software, постоянно и целенаправленно движущегося к ее решению.

Традиционно финансисты управляли отчетностью отдельно от работ по сертификации ее достоверности: сначала они получали финансовые результаты без полного знания рисков, а потом, после проверки аудиторами каждой строчки финансового отчета задним числом, разбирали их замечания вручную.

Интеграция обработки финансовой отчетности с ее оценкой системой внутреннего контроля позволяет видеть наглядную картину текущего состояния и функционирования контрольных процедур в привязке к финансовой информации, вести проактивный мониторинг потенциальных рисков, переходить от просмотра финансовых результатов к анализу информации по соответствующим контрольным процедурам, автоматически отмечать исключения, неавторизованные записи и прочие отклонения.

Например, Oracle, один из лидеров SOX-рынка, недавно объявил о полной интеграции своего Internal Controls Manager с Oracle Financial Consolidation Hub — модулем Oracle E-Business Suite, используемым для трансформации и консолидации финансовой отчетности. В Oracle Financial Consolidation Hub появились инструментальные панели, которые одновременно отражают текущие статусы процессов финансовой консолидации и сертификации внутреннего контроля в Internal Controls Manager, т.е. как финансисты, так и контролеры получили наглядность, необходимую для уверенного утверждения ими финансовых результатов компании.

Рекомендации «Делойта»

• Выделить необходимые ресурсы на обеспечение внутреннего контроля над подготовкой финансовой отчетности, на анализ и удовлетворение потребностей бухгалтерии и контролирующих подразделений в информационной поддержке; на выявление основных причин, по которым их сотрудники разрабатывают специальные отчеты, обрабатывают финансовые результаты в электронных таблицах вручную или с использованием собственных форматов и расчетов и т.п.
• Отразить во внутренних нормативных документах необходимость учета во всех новых проектах (не только ИТ) задач, связанных с внутренним контролем.
• Провести процесс самооценки СВК или пригласить независимых внешних консультантов для оценки степени своей готовности к проверке ее эффективности.
• Внести SOX-коррективы в ИТ-стратегию, отразить в ней задачи по оценке, разработке, документированию и мониторингу общих и прикладных процедур контроля над компьютерной обработкой финансовой информации.

Сергей Ровный / для CNews Analytics

^[1]  3 апреля 2006 г. компания SAPAG анонсировала свое приобретение Virsa Systems.