№ 3 май-июнь 2006 г. Тема номера: МЕТРИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
		ТРЕБОВАНИЯ SOX 404 К КОНТРОЛЮ ИТ С. А. Петренко, д. т. н.

В начале 2006 года ряд ведущих российских компаний приступили к внедрению системы внутреннего контроля ИТ для выполнения требований американского законодательного акта Сарбейнса–Оксли (SOX). При этом большинство руководителей и специалистов в области контроля ИТ и информационной безопасности стали задаваться вопросами: «Как оценить принятые в компании меры контроля ИТ?», какие метрики оценки эффективности мер контроля ИТ использовать на практике?», «Как тестировать план внедрения системы внутреннего контроля ИТ?». Давайте поищем возможные ответы на поставленные вопросы.

История вопроса

В 70-х годах XX века Нью-Йоркская биржа (NYSE) постановила, что для регистрации акционерной компании на бирже в состав первой должен входить так называемый аудиторский комитет – Audit committee. На него возлагались обязанности по проверке финансовой информации (как правило, годовой отчетности и отчетности перед акционерами), средств внутреннего контроля и системы финансового управления. В 80-х годах примеру США последовала Англия, а в настоящее время указанное требование является обязательным для регистрации акционерных компаний на международных биржах.

Тем не менее ряд компаний, создавших такие аудиторские комитеты, обанкротились вскоре после опубликования заверенной аудиторами «достоверной» финансовой отчетности. В связи с этим в 1992 году в США была создана Комиссия Кедбери, призванная оценить финансовые аспекты корпоративного управления. Далее NYSE и Национальная ассоциация дилеров ценных бумаг (NASDAQ) учредили Комитет «Голубая лента» для разработки рекомендаций по усилению роли внутренних аудиторских комитетов при проведении надзора за корпоративной финансовой отчетностью. Названный комитет подготовил более 10 рекомендаций для NYSE, NASDAQ, SEC (Комиссии по ценным бумагам и биржам США), а также для профессиональных аудиторов с целью усиления независимости и повышения эффективности работы аудиторских комитетов.

23 января 2002 года был принят Конгрессом США и 30 июля того же года подписан Президентом Соединенных Штатов Акт Сарбейнса–Оксли, Sarbanes Oxley Act (SOX). Аналогичные законы готовятся в Англии и других странах. Этот акт получил широкую огласку во всем мире и распространяется как на американские компании, так и на иностранные компании с ценными бумагами, зарегистрированными в SEC (в том числе – и на российские, планирующие разместить ценные бумаги на американских биржах).

Закон предусматривает новые правила, нормы и стандарты корпоративного управления для открытых акционерных обществ, зарегистрированных в SEC. Более того, SEC издала постановление об обязательном внедрении в компаниях признанной системы внутреннего контроля. В правилах, относящихся к Закону Сарбейнса–Оксли, SEC ссылается на рекомендации Комитета спонсорских организаций Комиссии Тредвея (COSO). Хотя в законе содержится много статей, небесполезных для служб внутреннего аудита и информационной безопасности, наиболее интересны две из них: статьи 302 и 404, посвященные вопросам внутреннего контроля ИТ в части формирования финансовой отчетности. Так, статья 404 требует от руководства компаний регулярно оценивать эффективность внутреннего контроля ИТ и безопасности и ежегодно сообщать результаты этой оценки.

Интересно отметить, что согласно Закону Сарбейнса–Оксли, корпоративный комитет по аудиту подчиняется не исполнительному органу компании, а исключительно ее собственнику. Для достижения реальной независимости аудиторов закон обязал комитет по аудиту выбирать на коммерческой основе внешнего аудитора, обладающего соответствующими полномочиями.

Правила аттестации

9 марта 2004 года Комиссия по надзору за аудитом публичных компаний США (PCAOB) утвердила Стандарт проведения аудита № 2 PCAOB под названием «Аудит внутреннего контроля за формированием финансовой отчетности». Он устанавливает требования к проведению аудита внутреннего контроля финансовой отчетности и содержит определенные требования к аудиторам.

Стандарт PCAOB требует от аудиторов понимания бизнес-процессов компании, в том числе того, как эти процессы инициируются, регистрируются, обрабатываются и учитываются. А так как бизнес-процессы компании обычно ИТ-зависимы, то приложения и технические компоненты информационной системы также учитываются при разработке и оценке внутреннего наблюдения за формированием финансовой отчетности.

Таким образом, PCAOB выдвигает ряд достаточно общих требований к контролю ИТ, включая требования по контролю процессов разработки и изменения приложений, выполнения компьютерных операций и процессов доступа к программам и данным. Существенно, что названные требования позволяют задать контрольную среду, метрики контроля и определить контрольные процедуры, необходимые для управления и снижения остаточных рисков компании.

Закон Сарбейнса–Оксли указывает на необходимость внедрения системы внутреннего контроля и рекомендует придерживаться указаний COSO

На практике для детализации требований к организации системы внутреннего контроля ИТ рекомендуется использовать положения стандартов CobiT, ISO 17799, ISO 20000 (BS 15000), распространяя эти положения на область формирования и контроля достоверности финансовой отчетности.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru