Соблюсти закон и собственные интересы.

По материалам
американского издания
Intelligent Enterprise

Акт Сарбанеса (или, иначе, Сарбейнса) — Оксли (Sarbanes — Oxley Act, сокращенно SOX), установив для предприятий США новые, значительно более жесткие, чем прежде, стандарты финансовой отчетности, заставил многие компании по-новому взглянуть на свои бизнес-процессы и их поддержку средствами ИТ. Сейчас в сходном направлении движутся и российские предприятия, которые добровольно вводят у себя западные стандарты отчетности для выхода на международный рынок.

Контроль над финансами

Требования SOX весьма суровы и жестки. Так, в соответствии со статьей 404 этого акта высшим руководителям компаний должен быть обеспечен адекватный внутренний контроль над финансовой отчетностью. А статья 302 обязывает их периодически проводить формальную оценку эффективности имеющихся на предприятии внутренних механизмов контроля и удостоверять правильность финансовых деклараций. Соответственно для того, чтобы выполнить требования SOX, на предприятии нужно выявить точки, в которых система финансовой отчетности уязвима для мошеннических махинаций, оценить (с помощью специализированных тестов) эффективность внутренних механизмов контроля, предотвращающих такие махинации, а затем получить заключение независимых аудиторов относительно адекватности этих механизмов.

Но в любом случае, даже если не привязываться к жестким нормам SOX, тенденция очевидна: во всем мире компании стали более тщательно относиться к процессам аудита финансовой отчетности и контроля учета финасов. Этого требуют не только биржи, но и акционеры. Собственникам фирм всех рангов нужна ясная картина потенциальных проблем бизнеса с точки зрения финансовой уязвимости и недостатков процессов отчетности. По данным аналитического агентства Ventana Research, эта особенность проявилась еще до введения в действие норм SOX. И в первых рядах тут оказались предприятия со зрелой системой финансового контроля — для них такие задачи были самоочевидны.

Области применения ИТ

Каким образом сказанное касается информационных технологий? Понять это — одна из главных задач, стоящих перед предприятием. Эксперт из Ventana Research Роберт Д. Кугель отмечает: «Финансовые специалисты не знают, чем ИТ-системы могли бы помочь им в решении проблем с контролем и аудитом бизнес-процессов, а ИТ-специалисты не имеют представления о том, как известные им системы могли бы помочь финансовому подразделению сэкономить средства за счет снижения стоимости финансового аудита». По мнению Роберта Кугеля, занимаясь вопросами аудита и контроля, финансовые отделы компаний должны сосредоточить усилия на двух направлениях — бизнес-процессах в области учета финансов и документообороте, сопровождающем управление финансами.

Бизнес-процессы в области учета финансов. Центральная проблема при организации управления финансами — обеспечение качества в финансовых процессах. Высококачественные процессы всегда лучше поддаются контролю и адаптации, поэтому обеспечивать с их помощью выполнение норм SOX и проще, и дешевле. Качественный финансовый процесс означает «выполнение правильных шагов, в правильном порядке, с использованием правильных инструментов и техники в правильное время». Ключевым моментом Роберт Кугель считает соответствие финансовых процессов жестким стандартам — по его мнению, для финансовых подразделений это так же важно, как и для производственных, отделов продаж и других.

Но что такое качество? По мнению экспертов качество бизнес-процессов в области управления финансами можно характеризовать четырьмя измерениями: точность, понимаемость, скорость, стоимость. Точность процессов финансового учета имеет три важных параметра: корректность входных данных; их классификация и изменение согласно жестким стандартам компании; непротиворечивость различных данных (только одна «версия правды»). Понимаемость процессов — это характеристика того, насколько правила финансового учета «читабельны» и легки для восприятия. Их максимально возможное упрощение очень важно для облегчения аудита и, соответственно, уменьшения его стоимости. Скорость финансовых процессов характеризует, насколько быстро компания может закрыть период. Возникающие при этом трения являются результатом ошибок или плохой координации. Скорость закрытия периода — очень неплохой индикатор качества бухгалтерского учета. По мнению экспертов, чтобы измерить качество своих финансовых процессов, отделы финансов должны понять, как быстро они могут выполнить ключевые задачи, в том числе составление финансовых отчетов, отчетов для аудиторов и для внутренних целей управления. Наконец, стоимость процессов учета финансов — также важная характеристика их качества. Большая точность и более быстрые циклы отчетности не должны повлечь за собой удорожания финансовых процессов.

Документооборот в управлении финансами. Средства автоматизированного управления документооборотом традиционно — до появления SOX — не входили в инструментарий финансовых отделов. Пока почтовые системы не проникли в большинство бизнес-процессов, им вполне хватало неформальных механизмов общения. Однако в 2004 году американские аудиторские фирмы советовали своим клиентам для снижения стоимости аудиторских услуг, во-первых, обеспечить высококачественное документирование финансовых транзакций, выполнения процессов и т. п., а во-вторых, научиться наглядно, посредством систем и документации, демонстрировать, что руководство постоянно ведет тестирование и мониторинг. Ясно, что системы автоматизации документоборота и управления записями (record management) необходимы для выполнения обеих задач. Автоматизация документооборота и управления записями обеспечивает полноту и своевременную доступность записей, относящихся к поддерживающей информации, а значит, тоже облегчает аудит, заодно повышая эффективность процессов.

Отметим, что с точки зрения выполнения SOX важно автоматизировать управление только той документацией, которая относится к аудиту и контролю (при этом должен быть охвачен весь ее жизненный цикл, от создания до архивации). Но некоторые компании могут пойти дальше, решив обеспечить жесткое документирование всего цикла выполнения финансовых процессов, включая подробные инструкции для сотрудников, а также более глубокую интеграцию бизнес-документов с финансовыми системами.

Не вызывает сомнений, что как требования SOX, так и аналогичные требования со стороны акционеров тем проще выполнить, чем выше уровень автоматизации процессов: всякая ручная обработка (особенно с использованием табличных процессоров) — потенциальный источник ошибок и мошенничества. Однако, анализируя ситуацию на предприятиях, уже применивших нормы SOX, Роберт Кугель отмечает, что в своих попытках соблюсти эти требования они часто упускают ряд важных возможностей. Прежде всего недооценен потенциал ИТ-систем, которые «в состоянии не только уменьшить головную боль из-за сегодняшних проблем, но и помочь в организации эффективных и экономичных бизнес-процессов». По мнению г-на Кугеля, даже американским предприятиям здесь «есть куда расти», и SOX дал новый стимул к внедрению систем автоматизации. Если до его появления процессы, затрагиваемые статьей 404, могли представляться тривиальными и не нуждающимися в усовершенствовании, то теперь «...стандарты стали выше, и аудиторы будут забираться глубже, чтобы подтвердить, что все в порядке... Советую воспользоваться требованиями SOX, чтобы вновь проверить, как можно было бы применить ИТ для усовершенствования процессов аудита и контроля», — резюмирует Роберт Кугель.

SOX как стимул для интеграции

Еще один аспект, который всплывает в связи с нормами SOX, — это повышенное внимание к интеграции. Естественно, комплексная автоматизация и интеграция бизнес-процессов снижает их уязвимость для разного рода мошеннических махинаций; соответственно становится меньше показателей, нуждающихся в проверке, и меньше работы у аудитора. Среди систем управления сегодня преобладают финансовые (планирование и бюджетирование, прогнозирование, формирование отчетности), хотя есть и другие — относящиеся к вопросам стратегического менеджмента, управления работой с клиентами, производительностью и т. д. Исторически системы разных типов никогда не были хорошо интегрированы между собой, поэтому для предприятий характерны фрагментарные структуры с преобладанием финансовых систем, из-за чего принятие решений может быть сильно ограниченным. Поскольку такое состояние не дает идеальной среды для контроля, интеграция систем управления желательна и с точки зрения SOX. Так нельзя ли «убить одним выстрелом двух зайцев» — решить одновременно и узкую, хотя и жизненно важную задачу, обеспечив выполнение норм SOX, и более широкую, усовершенствовав управление предприятием в целом? Никаких общепринятых подходов к решению этой задачи, по мнению главы консалтинговой фирмы Bywater Management Consulting Дина Соренсена, не существует, для ее обозначения нет даже общепринятого термина.

Важно то, что основная задача при удовлетворении требований SOX и интеграции систем управления практически одна — контроль над слабыми местами в нынешнем управлении бизнес-процессами. Именно поэтому эксперты считают важным свести эти проекты вместе. Кроме того, Дин Соренсен дает несколько рекомендаций при проведении подобных проектов:

• составить список опытных сотрудников, глубоко понимающих бизнес, его аналитику и архитектуру данных, — они помогут преодолеть коммуникационный разрыв между специалистами в области бизнес-стратегии и технологии;
  
• добиться, чтобы все одинаково понимали, что может и чего не может существующая система управления, что даст устранение пробелов в ней;
  
• сфокусироваться на том, как системы управления создают прибыль и сводят к минимуму риск, относящийся к SOX, обеспечив непротиворечивое выполнение стратегии, ее адекватность и прозрачность;
• предугадывать потенциальные источники сопротивления — процессы управления часто принадлежат к числу самых «политических».

«Технология, — резюмирует Дин Соренсен, — делает все это осуществимым, но ключом к интеграции управления на уровне бизнес-процессов является подготовка организации к изменениям. В противном случае она станет одной из длинной череды великих идей, так и не преодолевших традиционных функционалистских стереотипов».