Соблюдение норм требует управления рисками
Реализация корпоративной стратегии ИТ — полный контроль над ИТ-ресурсами и ИТ-процессами — была важной темой еще до выхода Basel II и американского Sarbanes-Oxley Act (SOX).
Дитхельм Зибур
SOX и Basel II вводятся не для того, чтобы усложнить ведение бизнеса, а для своевременного выявления рисков.
Реализация корпоративной стратегии ИТ — полный контроль над ИТ-ресурсами и ИТ-процессами — была важной темой еще до выхода Basel II и американского Sarbanes-Oxley Act (SOX). Однако под дейст-вие этих законодательных предписаний попадают очень многие предприятия, а до момента, когда они станут обязательными для выполнения, осталось уже немного времени. Что означает это для отделов ИТ и какую часть ответственности могут взять на себя внешние провайдеры услуг?
Многие предприятия относятся к безопасности ИТ всерьез: они следят за тем, чтобы данные предоставлялись лишь тем, кому они нужны и у кого есть право их использовать, защищают корпоративную сеть от отказов и от атак как снаружи, так и изнутри и т. д. Эти меры, безусловно, важны, однако их недостаточно, чтобы соответствовать таким правовым нормам, как Basel II и Sarbanes-Oxley. К сожалению, всеобъемлющее структурированное управление рисками зачастую отсутствует.
ЧТО ЭТО ТАКОЕ
Sarbanes-Oxley Act и Basel II
стали синонимами жесткого регулирования и контроля со стороны законодательных
органов. Basel II включает в себя рекомендации Базельской ко-миссии по надзору
за банками (см. также врезку «Что такое
Basel II?»). Они напрямую касаются всех банков и косвенно —
предприятий, которые в будущем могут подать заявку на банковский кредит.
Начиная с 1 января
В противоположность Basel II положения документа SOX касаются лишь предприятий (см также врезку «Что такое SOX?»). Целью является восстановление доверия инвесторов к корпоративным финансовым отчетам после серии громких финансовых скандалов в США. Все предприятия, которые самостоятельно или опосредованно, через родительскую компанию, котируются на американской бирже, должны соблюдать требования Sarbanes-Oxley Act. Ежегодный аудит удастся пройти лишь при условии выполнения всех предъявляемых SOX требований.
Значительную часть SOX, раздел 404, занимает внутренний контроль финансовой отчетности. Прежде всего SOX требует прозрачности: все процессы, прямо или косвенно связанные с отчетностью, должны обладать эффективными системами контроля, подробно документироваться и регулярно проверяться. Это имеет далеко идущие последствия для корпоративных ИТ, поскольку с их помощью поддерживаются практически все деловые процессы, и в конечном итоге подготавливаются и предоставляются данные для управления.
ОТВЕТСТВЕННОСТЬ МЕНЕДЖМЕНТА
Раздел 404 Sarbanes-Oxley Act делится на две части. Подраздел 404а описывает ответственность менеджмента. Закон обязывает руководство предприятия внедрять подобающие и действенные внутренние системы контроля для всех процессов, связанных с финансовой отчетностью. Кро-ме того, он требует регулярной проверки функциональности и эффективности этого контроля. Нарушение правил может иметь правовые последствия. В подразделе 404b определяется ответственность независимого аудитора.
Подготовка к первому аудиту SOX очень сложна и требует много времени и ресурсов. Предприятию необходимо собрать подробную информацию, для чего рекомендуется обратиться за советом к эксперту. Реализация отдельных шагов занимает много времени, к тому же для аудита необходимо предусмотреть определенное временное окно. Для того чтобы обеспечить соблюдение SOX, следует внедрить прозрачное управление рисками, подлежащее ежегодным проверкам (аудиту). При этом роль управляющего рисками отводится директору по информационным технологиям.
ШАГ ЗА ШАГОМ
На практике это означает, что ответственные за ИТ должны провести глубокий анализ систем и процессов; проверить потенциально уязвимые места и связанные с ними риски в отношении надежности, целостности и готовности данных; определить, какие процессы следует подвергнуть анализу. SOX нацелен на управление финансовой отчетностью, куда относятся, к примеру, управление товарными запасами и реализация товаров по заказу — т. е. практически все процессы, имеющие отношение к бизнесу, и соответствующие ИТ-системы. Исходя из анализа процессов и риска предприятие определяет, какие меры обеспечения безопасности уже приняты, а какие еще ждут своей очереди. Поэтому менеджеры и ответственные за ИТ обязаны составить подробный перечень вопросов, касающихся управления рисками.
БЕЗОПАСНОСТЬ ИТ И НЕ ТОЛЬКО
Безопасность ИТ — важная часть управления ИТ. Список задач может стать всепроникающим — в полном смысле этого слова. Тему можно разбить на следующие разделы (см. Рисунок 1):
● непрерывность бизнеса;
● развитие систем;
● контроль доступа;
● коммуникация и эксплуатация;
● физическая безопасность;
● сотрудники;
● классификация систем;
● организация ИТ;
● директивы безопасности.
Для всех областей необходимо сформулировать вопросы, имеющие отношение к безопасности. Один только пункт «контроль доступа», к при-меру, становится поводом для подробного обсуждения (см. Рисунок 2).
Кто имеет доступ в вычислительный центр? Каким образом сотрудник идентифицируется в момент доступа? Какой метод доступа используется (электронная карта, ключ, ввод кода и т. д.)? Кто администрирует систему доступа? Проводится ли регулярная проверка того, кто из сотрудников знает код доступа и насколько расширился их круг? Регулярно ли проводится обновление кода?
Область «Коммуникация и эксплуатация» затрагивает такие вопросы, как коммуникации по электронной почте, безопасность доступа в Internet, а также вирусы и спамы. Важными темами являются хранение и архивирование данных, а также взаимосвязи между отдельными ИТ-системами и приложениями.
Под «организацию ИТ» попадает построение инфраструктуры. Какой структурой обладает сеть? Имеются ли виртуальная частная сеть и до-машние рабочие места с подключением посредством удаленного доступа? Используются ли беспроводные сети, где требуется соблюдать особые меры предосторожности? Нужно ли шифровать удаленный трафик данных? Список можно продолжать сколь угодно долго. При этом его содержание и детализация зависят от типа предприятия, чувствительности собственных данных и данных клиентов. Как и прежде, действует главное правило: безопасность ИТ — это не столько продукт, сколько непрерывный процесс.
ПРИВЛЕЧЕНИЕ СОТРУДНИКОВ
Сотрудники всегда являются фактором риска. Важно выяснить, как воспринимаются проблемы безопасности в коллективе: насколько широко известны и соблюдаются ли внутренние правила безопасности? Кто и как контролирует их выполнение?
Для того чтобы сотрудники осознанно относились к поставленным перед ними задачам, предприятие должно интегрировать их в общий процесс. Регулярное обучение и широкое освещение всего проекта управления рисками и его развития — вот два возможных пути. Тесное взаимодействие с производственным советом, если он есть, может оказаться очень полезным.
ДОКУМЕНТАЦИЯ И ПЕРЕЧЕНЬ МЕР
После того как проектная команда рассмотрела все затрагиваемые области и тщательно изучила реализованные меры безопасности, необходимо составить подробную документацию. В ней следует детально отразить, как предприятие намерено реализовать на практике предложенные меры. Каждый идентифицированный риск следует рассмотреть с точки зрения безопасности с надлежащим контролем. Важнейшей частью документации является индивидуальная ответственность каждого сотрудника.
Поскольку соответствие условиям SOX — процесс непрерывный, документооборот должен быть частично автоматизирован. Корпоративные консультанты компании KPMG рекомендуют, к примеру, пользоваться так называемыми «шаблонами оценки контроля» (Control Assessment Template). В этих документах указывается ответственный за каждую проверочную меру, а также подлежащие выполнению условия. На основе введенных данных генерируются графики, где отражается эффективность механизмов контроля. Путем анализа рисков и слабых мест можно получить перечень мер, который подлежит регулярным проверкам со стороны внутреннего и внешнего аудита.
РУКОВОДСТВО ИТ И АУТСОРСИНГ
Предприятия, работающие с внешними провайдерами услуг, не должны оставлять без внимания принятое у них управление рисками. В случае аутсорсинга ИТ ответственность переходит к провайдеру услуг, поэтому правильный выбор партнера очень важен. В качестве ориентира может служить наличие сертификатов. В области информационной безопасности и управления рисками наиболее широко используется стандарт Британского института стандартов BS7799. Таким образом, с одной стороны, провайдер услуг доказывает соблюдение строгих требований. С другой — при помощи BS7799 можно снизить издержки на проект по обеспечению соответствия SOX, поскольку сертификат практически полностью дублирует так называемый метод SAS70, в соответствии с которым аудиторы проверяют соблюдение SOX.
Кроме того, важно следить за тем, на какие подразделения предприятия и сферы деятельности распространяется сертификат провайдера, ведь не каждый провайдер берет на себя издержки по полной сертификации. Например, важные для работы процессы выполняются по виртуальной частной сети, предприятие намерено передать ее обслуживание внешнему провайдеру услуг и при этом должно придерживаться требований SOX. В таком случае провайдер должен удовлетворять законодательным требованиям — сам ли он берет на себя это обязательство или по специальному требованию. Он доказывает свое соответствие SOX клиенту, а тот включает необходимые данные в свою документацию.
ПРОВЕРКА КАК ШАНС
Издержки на такие корпоративные стратегии соответствия законодательным нормам весьма велики. Экс-перты консалтинговой компании KPMG прогнозируют, что затраты крупных европейских компаний на соответствующие цели составят несколько десятков миллиардов долларов. Неудивительно, что на предприятиях царят недовольство и критика. Однако регулирование вводится не для того, чтобы усложнить им ведение бизнеса, а для своевременного распознавания и минимизации деловых рисков. Скандалы, связанные с неплатежеспособностью американских предприятий, показывают, насколько необходимо такое управление.
Соблюдение требований SOX или Basel II имеет и некоторые преимущества: анализ собственных процессов с большой долей вероятности послужит стимулом к оптимизации и снижению стоимости, что, в свою очередь, позволит добиться прозрачности этих процессов и тем самым повышения доверия со стороны клиентов.
Источник: LAN #04/2006
Комментарии 0