Закон Sarbanes - Oxley: ключевые моменты создания системы внутреннего контроля

     ФИНАНСЫ

Закон Sarbanes - Oxley (далее - SOX) был принят в 2002 г., как сказано в его тексте, "...для защиты инвесторов путем усовершенствования правильности и достоверности открытой информации, созданной в корпорациях в соответствии с законодательством по ценным бумагам и для иных целей". Одним из поводов к выработке данного закона послужили случаи мошенничества относительно финансовой отчетности в некоторых крупных компаниях. Согласно этому документу фирмы, чьи акции представлены на фондовом рынке США и подпадают под действие законодательства о ценных бумагах 1934 г., должны в обязательном порядке соответствовать некоторым требованиям SOX. В частности, они обязаны создать систему внутреннего контроля финансовой отчетности и отчитываться в ее надежности и эффективности перед советом по контролю бухгалтерской отчетности публичных акционерных обществ (Public Company Accounting Oversight Board). Личную ответственность за соблюдение этого требования несут генеральные и финансовые директора предприятий.

Сегодня в России всего лишь несколько компаний, акции которых котируются на биржах США. Тем не менее нельзя говорить о том, что североамериканский фондовый рынок непривлекателен для российских предпринимателей. Вот примерный "портрет" фирмы, которая, по данным "Бизнес-журнала", может быть заинтересована сейчас либо в будущем в размещении своих акций на фондовых рынках США:

- стоимость активов, или годовой оборот, превышает 150 млн. долл.;

- средние темпы развития отрасли, в которой работает компания, - не менее 10% в год (таких отраслей в нашей экономике достаточно: телекоммуникационная, металлургическая, пищевая, нефтегазовая и т. д.);

- на протяжении последних двух-трех лет - стабильный рост выручки или активов, как минимум, на 30% в год.

С другой стороны, поскольку в данном законе нет четкого определения системы внутреннего контроля (СВК), перед компанией, собирающейся создать у себя подобную систему, встает ряд естественных вопросов. Какие бывают СВК? Как они создаются? Какими средствами автоматизируются? Сколько времени потребуется на внедрение СВК?

Что и как контролировать

Ответ на вопрос, какой должна быть СВК, дает нам комитет спонсорских организаций комиссии Тредвея (COSO) в документе "Концептуальные основы внутреннего контроля", который, по определению самого же комитета, "выступает в качестве общепринятого стандарта при выполнении требований к предоставлению отчетности", а также в ряде актов, дополняющих этот документ.

Для начала разберемся, что же это такое - СВК. Вообще внутренний контроль - это процесс, совершаемый советом директоров, руководящими и другими сотрудниками компании с целью предоставления обоснованной гарантии эффективности и результативности финансовых операций, достоверности финансовой информации, соответствия того и другого законодательству и правилам бухгалтерского учета. Система такого контроля представляет собой совокупность инструментов, позволяющих объективно оценить эффективность процесса с точки зрения достигнутых результатов финансовых операций, правдивости публикуемой финансовой информации, соответствия всех этих действий законам и правилам.

Согласно COSO, внутренний контроль должен включать следующие компоненты.

- Контрольная среда. Это основа для всех остальных элементов, обеспечивающая дисциплину сотрудников компании по отношению к процессу и структурированность системы.

- Оценка рисков. Призвана выявлять и анализировать ситуации, при возникновении которых невозможно ни достижение поставленных целей финансовых операций, ни создание корректной отчетности о деятельности компании.

- Контрольные действия. Регламентированные процедуры, выполнение которых позволяет удостовериться, что директивы высшего руководства соблюдаются и риски, связанные с финансовыми операциями, учитываются и принимаются во внимание. Такие процессы должны осуществляться на всех уровнях деятельности компании и могут включать разнообразные методы: утверждение, авторизацию, проверку, урегулирование, а также рецензирование оперативной производительности бизнеса, сохранности активов и разделения ответственности.

- Информационная среда. Благодаря ей необходимая информация, имеющая отношение к СВК и внутреннему контролю в целом, определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять свои функциональные обязанности. Осуществляется также эффективный обмен информацией в рамках предприятия как по вертикали сверху вниз и снизу вверх, так и по горизонтали. Средства передачи информации между сотрудниками могут быть любыми.

- Мониторинг. Весь процесс управления рисками организации должен отслеживаться и по необходимости корректироваться. Мониторинг осуществляется в рамках текущей деятельности руководства или путем периодического проведения оценок.

СВК наиболее эффективна, если она встроена в инфраструктуру компании и является частью ее основной деятельности. Вся система должна гарантировать разумную детализацию учета, обеспечивающую достоверность отражения финансово-хозяйственных операций и финансового положения компании. Выполнение действий, предусмотренных системой внутреннего контроля, дает уверенность в том, что все указанные операции отражаются согласно установленным требованиям, а доходы и расходы санкционированы руководством. При этом любые попытки несанкционированного приобретения, использования или продажи активов, которые могут иметь существенное воздействие на финансовую отчетность, будут своевременно обнаружены.

Зоны ответственности

SOX возлагает на руководство компаний ответственность за построение СВК, поддержание ее работы, регулярную оценку, отражение эффективности в финансовой отчетности и подтверждение внутренней оценки качества системы путем внешнего аудита. Соответствующие разделы закона - 302 (обязывает высшее руководство компании подтверждать, что отчетность, составляемая согласно закону 1934 г. о ценных бумагах, просмотрена лицом, которое ставит в документах подпись, и не содержит ложных сведений; подписывающее лицо несет ответственность за то, что на предприятии в течение всего отчетного периода функционирует СВК, что она эффективна, не имеет существенных замечаний, а ее недостатки отражены в документах) и 404 (устанавливает ответственность высшего руководства компании за проверку системы внутреннего контроля и обязывает создавать отчеты о правильности и эффективности этого механизма).

Система внутреннего контроля должна пройти внешний аудит на предмет соответствия требованиям SOX, если она разработана по методологии COSO, задокументирована в формате, понятном аудиторам, и актуальна (т. е. в ней действуют принятые регламенты). Если результаты исполнения контролирующих процедур фиксируются, в отношении отклонений предусматриваются эффективные корректирующие воздействия; осуществляется постоянный мониторинг СВК; руководством утверждаются и контролируются правила ее внутренней сертификации. Ответственность за эту систему в компании должна быть разделена, а генеральный и финансовый директора обязаны засвидетельствовать, что периодическая финансовая отчетность полностью соответствует требованиям закона о биржах 1934 г. и что информация, cодержащаяся в отчетности, дает справедливое представление обо всех существенных аспектах финансового состояния и результатах деятельности компании (раздел 906 SOX).

COSO не дает рекомендаций относительно выбора конкретных аудиторских фирм при формировании процесса внутреннего контроля, но во время создания такой системы компания должна привлечь специалистов из так называемой "большой четверки" - PricewaterhouseCoopers, Deloitte, Ernst & Young и KPMG, поскольку с некоторыми из них COSO взаимодействует при разработке концептуальных продуктов по аудиту предприятий.

Построение СВК - это не просто формирование набора документов и иных сущностей, составляющих так называемую контрольную среду; это выполнение действий по интеграции компонентов внутреннего контроля во все бизнес-процессы, связанные с созданием финансовой отчетности, подготовка персонала для обеспечения эффективности данного процесса и создание автоматизированной системы, обеспечивающей документирование исполнения регламентов, хранение подтверждений исполнения, анализ покрытия рисков контрольными действиями, возможность проводить тестирование элементов, формулировать замечания и рекомендации по устранению недостатков системы и составлять отчетность относительно состояния СВК. Реализацию всех перечисленных функций было бы разумно возложить на специальную автоматизированную систему.

Что следует автоматизировать

Необходимость автоматизации диктуется тем обстоятельством, что для выполнений требований COSO нужно контролировать риски всех бизнес-процессов, связанных с порождением финансовой отчетности, а сделать это без тесно интегрированных информационных систем управления и контроля, связывающих данные о бизнес-процессе и об управлении его рисками, не представляется возможным (особенно в тех случаях, когда таких бизнес-процессов очень много). Автоматизированная система поможет реализовать процесс внутреннего контроля за изменениями состояния объектов, описанных в документах COSO на концептуальном уровне, в контексте бизнес-процессов. Поскольку очень важна возможность оценки СВК по аналитическим сводкам о функционировании такой системы, система должна быть прозрачной для руководства компании, предоставляя ему отчеты о своем состоянии и эффективности.

Существует два подхода к автоматизации систем внутреннего контроля: внедрение автономных решений или внедрение модулей ERP-систем и других средств управления бизнес-процессами. К системам первого типа относится продукт Microsoft Office Solution Accelerator for Sarbanes - Oxley (MOSASO), функционирующий на технологической платформе Microsoft (Windows 2003 Server, Microsoft .NET, Windows SharePoint Services 2.0, SQL Ser-ver 2000, Office InfoPath 1.0, SQL Server 2000 Reporting Services). Компоненты СВК можно либо описывать в Microsoft Office Excel, а затем импортировать в систему, либо создавать их и редактировать через пользовательский интерфейс. Логика системы реализована в виде программных компонентов .NET. Описания элементов контрольной среды и объекты (бизнес-процессы, операции, контрольные процедуры и т. д.) создаются в системе на основании регламентов из промежуточных документов, т. е. никаким образом не связываются с другими решениями, автоматизирующими бизнес-процессы на предприятии. Тем не менее система предоставляет интерфейсы к своим объектам, которые могут использоваться внешними приложениями через соответствующие библиотеки .NET.

Одним из решений второго подхода является приложение Mercury Sarbanes - Oxley Corporate Assessment Accelerator (MSOXCA), входящее в состав продукта Mercury IT Governance Center (ITGC) и реализованное на платформе Java 2. Продукт ITGC призван решать задачи детализированного управления ИТ-проектами, реализуемыми в компании, посредством организации процессов взаимодействия внутри технических подразделений и их связей с другими отделами, а также через подсистему отчетов о состоянии инфраструктуры ИТ и связанных с нею проектов. По сути MSOXCA представляет собой пакет настроек модуля управления запросами ITGC. После того как описание структуры СВК будет сформировано в виде XML-документа и импортировано в систему, производится настройка правил осуществления процесса контроля.

Ко встроенным системам относится также модуль Oracle Internal Controls Manager (OICM), входящий в состав Oracle E-Business Suite, но лицензируемый отдельно. Реализован он на платформе Oracle и состоит из трех уровней: уровня базы данных (на Oracle Database), уровня приложений, управляющего модулями Oracle E-Business Suite, и клиентского уровня в виде Java-модуля для Web-браузера.

OICM связывает в единую систему компоненты для ведения внутреннего контроля, отвечающие за документирование, тестирование, мониторинг внутреннего контроля и его cоответствие требованиям законодательства.

Еще одним примером систем второго типа может быть SAP Management of Internal Controls (MIC), которая поставляется в составе SAP R/3. Большим ее преимуществом по сравнению с упомянутыми выше решениями является то, что она интегрируется практически со всеми популярными операционными системами, СУБД, средствами построения отчетов и клиентскими приложениями. Строго говоря, определение MIC как подсистемы технически не совсем верно, это скорее логическое объединение различных механизмов SAP для построения автоматизированной СВК.

В отличие от MOSASO встроенные системы позволяют не только создавать обособленные описания контролируемых процессов, но и интегрировать внутренний контроль с уже реализованной в ERP-решении бизнес-логикой. Отсюда следует, что для обеспечения взаимодействия автономной СВК с иными программными средствами придется затратить больше дополнительных ресурсов, в то время как модуль ERP-системы настроить для работы с уже отлаженным механизмом финансового или иного документооборота гораздо проще.

Несмотря на то что ERP-решения идеологически построены для автоматизации основных бизнес-процессов предприятия, они также позволяют реализовать взаимодействие с внешними приложениями: у SAP R/3 это модули интерфейса, осуществляющие импорт-экспорт данных для связи с внешними программами, и библиотечные функции; у Oracle E-Business Suite - интерфейсные таблицы СУБД и процессы, обеспечивающие взаимодействие; у Mercury ITGC - поддержка Web-сервисов и протокола SOAP; кроме того, существуют интерфейсные таблицы в БД и пакеты импорта наряду с поддержкой технологии портлетов.

Общие рекомендации

Следует отметить, что все перечисленные выше системы позволяют компаниям удовлетворять разделам 302 и 404 требований SOX. Автоматизация СВК занимает от 40 до 400 дней в зависимости от сложности проекта и выбранного программного продукта. Надо также иметь в виду, что такое внедрение - это в первую очередь создание логической и информационной структуры СВК с точки зрения задач управления рисками и только во вторую - автоматизация данного процесса.

В контексте затрат на лицензирование названных продуктов желательно учитывать следующие обстоятельства:

- если на предприятии уже установлены Microsoft Office и SQL Server 2000 Standard или Enterprise Edition, то основные расходы при внедрении MOSASO придутся на консалтинг, потому что SharePoint Services и MOSASO предоставляются бесплатно;

- лицензии на продукты SAP приобретаются на каждого пользователя системы, поэтому установка SAP MIC будет включать только стоимость консалтинга и лишь при создании или расширении отдела СВК - дополнительные пользовательские лицензии;

- лицензирование OICM происходит таким образом, что разрешение на использование необходимо приобрести для каждого сотрудника, работающего с системой (минимальное число таких лицензий - 500);

- информацию о схеме лицензирования продуктов Mercury можно получить только у официальных дистрибьюторов этой компании.

По опыту компании GMCS, начавшей одной из первых в нашей стране внедрять автоматизированные СВК, можно отметить некоторые сложности, которые возникают в процессе ввода в эксплуатацию решений такого рода.

- Концептуальную модель СВК необходимо строить одновременно с разработкой программно-технологических решений автоматизированной системы. Дело в том, что для каждого конкретного предприятия аудиторские фирмы разрабатывают уникальные механизмы управления рисками и в момент создания автоматизированной СВК не существует программного решения, позволяющего настроить нужным образом логику внутреннего контроля. В результате определенную часть функциональности будущей системы приходится реализовывать по ходу утверждения контрольных и иных регламентов, учитывая постоянно меняющиеся требования к концепции СВК. Для преодоления такого рода затруднений выполняется полный цикл производства программного решения: анализ требований к системе, проектирование, реализация, тестирование.

- В территориально распределенных холдингах существуют такие требования: разделение информации, относящейся к разным филиалам, консолидация сведений о состоянии и эффективности системы, управление доступом сотрудников к этой информации. С целью разделения информации организуются логические и физические хранилища для каждого филиала, что позволяет, в частности, разграничить доступ пользователей к данным филиалов. Консолидация показателей состояния и эффективности СВК осуществляется в процессе генерации соответствующих отчетов, что требует либо создания отдельной базы, где хранятся данные обо всей системе, либо специальной настройки программных средств построения отчетности.

В итоге клиенты получают систему, которая полностью удовлетворяет методологии COSO и требованиям SOX, прозрачна и удобна в эксплуатации для всех категорий пользователей - как для сотрудников самого предприятия, так и для внешних аудиторов.

С автором, сотрудником департамента продуктов Microsoft компании GMCS, можно связаться по адресу: marketing@gmcs.r