W mocy prawa

Zgodność z wymogami prawa (compliance) staje się coraz ważniejszym kryterium oceny funkcjonalności systemów informatycznych. W przypadku uchybień groźba kary jest tak samo realna jak w każdym innym przypadku konfliktu z prawem.

Zgodność z wymogami prawa (compliance) staje się coraz ważniejszym kryterium oceny funkcjonalności systemów informatycznych. W przypadku uchybień groźba kary jest tak samo realna jak w każdym innym przypadku konfliktu z prawem.

Jeszcze do niedawna zwracano uwagę przede wszystkim na to, czy narzędzia informatyczne są efektywne, wydajne i niezawodne. Ważne było głównie to, w jaki sposób wdrażane aplikacje mogą usprawnić procesy biznesowe w firmie czy ułatwić zarządzanie instytucją. Najwyższe uznanie zyskiwały te rozwiązania, dzięki zastosowaniu których można było poważnie zwiększyć konkurencyjność przedsiębiorstwa czy też uzyskać znaczącą wartość dodaną w zarządzaniu organizacją. Wydawało się, że informatyka jest neutralna względem prawa, że proces przetwarzania danych jest zjawiskiem obojętnym z punktu widzenia obowiązujących w różnych dziedzinach życia regulacji prawnych.

Dzisiaj coraz częściej zwraca się uwagę na to, że możliwości wywiązywania się przez przedsiębiorców, pracowników czy urzędników z obowiązków nakładanych na nich przez prawo zależą w dużym stopniu również od parametrów technicznych i sposobów wykorzystania konkretnych programów i aplikacji - i nie chodzi tu wcale tylko o stosowanie się do zasad zawartych w aktach odnoszących się wprost do zastosowania technik informacyjnych, takich jak Ustawa o podpisie elektronicznym czy Ustawa o elektronicznych instrumentach płatniczych. Coraz większy zakres wykorzystania narzędzi informatycznych sprawia, że zasady ich funkcjonowania stają się ważne również z punktu widzenia wielu innych, dotyczących poszczególnych sfer życia ustaw i rozporządzeń.

Światową karierę zaczyna robić pojęcie compliance. Ma ono zwracać uwagę dostawców i użytkowników systemów informatycznych na potrzebę dołożenia starań, by oferowane i wykorzystywane rozwiązania zapewniały działanie zgodne z wszelkimi wymogami i zasadami obowiązującego w danym kraju systemu prawa.

Odkrycie Ameryki

Gdy w 2002 r. uchwalono w Stanach Zjednoczonych tzw. Sarbanes-Oxley Act (SOX), nikt nie przypuszczał, że w tak znaczący sposób wpłynie on na wykorzystanie systemów informatycznych w firmach. Ten akt prawny wprowadzał m.in. zaostrzone wymogi odnoszące się do kontroli wewnętrznej w firmach i odpowiedzialności zarządu za sprawozdania finansowe. Nikomu wówczas nie przyszło do głowy, że ta dotycząca rachunkowości, sprawozdawczości finansowo-księgowej i audytu amerykańskich spółek giełdowych ustawa może wywołać tyle zamieszania w sferze zastosowania informatyki. Okazało się jednak, że podporządkowanie się jej wymogom nie może się odbyć bez uwzględnienia parametrów używanych w zakresie finansów i księgowości programów i aplikacji. Dla zapewnienia pozytywnych wyników audytu w spółce działy IT musiały się zająć m.in. uporządkowaniem procedur bezpieczeństwa i mechanizmów dostępu, czy też stworzeniem systemu archiwizacji dokumentów (bardziej szczegółowo o skutkach wejścia w życie ustawy Sarbanes-Oxley pisaliśmy w Computerworld z 6 kwietnia br.)

Spośród podmiotów działających na rynku polskim wymogom SOX muszą się podporządkować firmy będące oddziałami amerykańskich spółek notowanych na giełdach w USA. Obowiązek ten dotyczy również notowanych na giełdach amerykańskich przedsiębiorstw spoza Stanów Zjednoczonych.

W naszym kraju nie ma ustawy będącej odpowiednikiem SOX. W kierunku zawartych w amerykańskich przepisach wymogów zmierzają jednak opracowane przez warszawską Giełdę Papierów Wartościowych zasady ładu korporacyjnego. Spółki, które się do nich nie stosują, muszą składać wyjaśnienia, dlaczego tego nie robią. Z ubiegłorocznych oficjalnych statystyk giełdowych wynika, że rygorom ładu korporacyjnego poddało się ponad trzy czwarte polskich spółek. Trudno jednak ocenić, w jakim zakresie deklaracje samych spółek są zbieżne z rzeczywistym stanem rzeczy, w jakim zakresie wdrożone zostały poszczególne zalecenia czy wymogi.

Ze strony dostawców oprogramowania dochodzą jednak informacje, że coraz więcej klientów w naszym kraju zaczyna pytać o zgodność oferowanych rozwiązań z wymogami obowiązującego prawa. Niektóre firmy pytają nie tylko o zgodność z polskimi regulacjami prawnymi, ale też i o zgodność z ustawą SOX. Powodem takich działań są często wewnętrzne korporacyjne standardy i normy.

W wielu przypadkach podjęcie działań dostosowujących systemy informatyczne do wymogów prawa wynika z uregulowań zawartych w samych aktach prawnych. Szczególne zainteresowanie wzbudzają np. zalecenia wynikające z ustawy o rachunkowości. Zawarte w niej zapisy są obiektem analizy zarówno audytorów finansowych, jak i audytorów systemów informatycznych. W urzędach administracji państwowej coraz większego znaczenia nabierają działania związane z wypełnieniem obowiązków wynikających z Ustawy o ochronie danych osobowych. Ponieważ język prawniczy budzi w wielu sytuacjach wątpliwości, urzędnicy często posiłkują się wsparciem ze strony audytorów i konsultantów posiadających umiejętność przełożenia zapisów prawa na konkretne rozwiązania techniczne i organizacyjne. Specjaliści od bezpieczeństwa informacji podkreślają cały czas, że zabezpieczenia techniczne muszą być ściśle zintegrowane z działaniami o charakterze organizacyjnym.

Sami producenci i dostawcy oprogramowania zaczynają też w coraz większym zakresie dbać o zapewnienie zgodności swoich produktów z regulacjami prawnymi z różnych dziedzin. Wiele firm stara się o certyfikaty zgodności swoich programów, np. z Ustawą o rachunkowości, Ustawą o podatku VAT czy Ustawą o ochronie danych osobowych. W większości przypadków nie ma jednego, wyznaczonego prawem podmiotu do wydawania takich poświadczeń. Certyfikaty i rekomendacje pochodzą więc zarówno od różnych firm konsultingowych, jak i organizacji audytorskich.

Nie wiadomo jednak, czy w najbliższym czasie reguły zgodności systemów informatycznych z regulacjami prawnymi w działalności spółek i przedsiębiorstw nie nabiorą mocy prawnej na wzór rozwiązań amerykańskich. Komisja Europejska proponuje bowiem przyjęcie nowej dyrektywy o ustawowych rewizjach finansowych, która uważana jest za odpowiednik ustawy SOX. Miałaby ona precyzować zakres obowiązków biegłych rewidentów prowadzących badania ustawowe. Zaostrzeniu uległyby wymagania dotyczące firm świadczących usługi audytorskie. Wszystkie z pośród nich, które są ustawowo wymagane na terenie Unii Europejskiej, musiałyby podlegać międzynarodowym standardom.

Uchwalenie dyrektywy spowodowałoby obowiązek dostosowania do jej ustaleń rozwiązań prawnych funkcjonujących w krajach członkowskich. Obecnie tylko Niemcy posiadają ustawę podobną do amerykańskiego Sarbanes-Oxley Act. We wprowadzeniu rozwiązań dyscyplinujących działalność spółek w Unii Europejskiej ma pomóc przygotowany przez Komisję Europejską "Action Plan for Company Law and Corporate Governance".

Tęsknota za inspektorem

Nagłaśniany ostatnio coraz mocniej problem zgodności systemów informatycznych z prawem może, paradoksalnie, pomóc informatykom zatrudnionym w firmach oraz instytucjach czy urzędach administracji publicznej. Podobno inspektorzy z Biura Generalnego Inspektora Danych Osobowych słyszeli już niejednokrotnie od szefów działów informatyki kontrolowanych organizacji następujące stwierdzenie - "Jak dobrze, że przyjechaliście. Może wreszcie uda mi się zrobić to, o co dopominam się już od dawna".

Okazuje się bowiem, że zapowiedź kontroli sposobów wykorzystania technik informacyjnych i związana z nią niejednokrotnie groźba kary za istniejące uchybienia działa mobilizująco na decydentów. Do przełożonych informatyków dociera wtedy, że propozycje i wnioski pochodzące ze strony pionu IT mają swoje uzasadnienie i nie są pozbawione racji bytu. Szefowie i kierownicy zaczynają słuchać opinii informatyków i traktować je poważnie. Mocne wsparcie dla swoich argumentów uzyskują wówczas przeważnie ci informatycy, których pozycja w strukturze firmy nie jest zbyt mocna.

W przypadku kontroli GIODO, co druga spośród nich kończy się stwierdzeniem niezgodności z obowiązującym prawem. To chyba powinno dawać wszystkim do myślenia...

Prawne wyzwania

Zapewnienie zgodności działania systemów informatycznych z przepisami prawa jest obecnie największym wyzwaniem dla działów IT w przedsiębiorstwach - wynika z raportu "Trwała zgodność z przepisami. Przepisy branżowe i rola nadzoru nad systemami informatycznymi" (Sustainable Compliance. Industry Regulation and the Role of IT Governance) przygotowanego przez firmę Mercury Interactive we współpracy z The Economist Intelligence Unit. Raport powstał w oparciu o wyniki przeprowadzonej ankiety, w której wzięło udział ponad 800 szefów działów IT z 22 krajów.

Dla dużych przedsiębiorstw (osiągających przychody powyżej 8 mld USD) zapewnienie zgodności z przepisami jest głównym priorytetem w zakresie wykorzystania systemów informatycznych. Ponad 80% największych przedsiębiorstw w Azji Wschodniej, 74% w Stanach Zjednoczonych oraz 45% największych firm w regionie EMEA uznaje wdrażanie programów umożliwiających zapewnienie zgodności z przepisami za jedno z największych wyzwań w dziedzinie informatyki. Oczywiście priorytety w tym zakresie różnią się w zależności od branży i kraju. W Stanach Zjednoczonych 68% respondentów za istotny czynnik, wpływający na działanie systemów informatycznych, uznaje ustawę Sarbanes-Oxley, natomiast w regionie EMEA i w Azji Wschodniej na pierwszych miejscach znajdują się międzynarodowe standardy rachunkowości IAS (International Accounting Standards) oraz przepisy krajowe.

Uczestnicy badania oczekują wymiernych korzyści po wdrożeniu odpowiednich programów. We wszystkich trzech badanych regionach świata za najważniejszą korzyść uznano usprawnienia w ramach sprawozdawczości finansowej. 54% respondentów w Stanach Zjednoczonych, 60% w regionie EMEA oraz 66% w Azji Wschodniej uważa, że zgodność systemów IT z przepisami pozwoli tworzyć bardziej rzetelne sprawozdania finansowe. Do innych korzyści zaliczono usprawnienie zarządzania zasobami informatycznymi oraz procesami biznesowymi przedsiębiorstw.

"Natłok przepisów regulujących prowadzenie działalności gospodarczej zmusza szefów działów IT w przedsiębiorstwach na całym świecie do poszukiwania nowych strategii, pozwalających ograniczyć do minimum obciążenie, a zarazem uzyskać maksymalne korzyści wynikające z zapewnienia zgodności z tymi przepisami" - mówi Gareth Lofthouse, dyrektor ds. usług dla przedsiębiorstw na Europę w Economist Intelligence Unit. "Wyniki sondażu dowodzą, że wymagania w zakresie zgodności z przepisami wpływają na działalność informatyczną na całym świecie. Wymagania te wymuszają zmiany w procesach biznesowych, a w rezultacie prowadzą do modyfikacji w aplikacjach o krytycznym znaczeniu dla działalności przedsiębiorstw. Firmy wdrażają strategie nadzoru nad systemami informatycznymi oraz odpowiednie oprogramowanie, starając się obniżyć koszty i zmniejszyć ryzyko prowadzonej działalności" - dodaje Christopher Lochhead, dyrektor ds. marketingu w firmie Mercury.

Zgodność na platformie

Firmy BWise i FileNet podpisały umowę o strategicznej współpracy w zakresie oferowania przedsiębiorstwom zintegrowanej platformy gwarantującej zgodność systemów informatycznych z obowiązującymi przepisami prawa. BWise jest dostawcą oprogramowania do kontroli wewnętrznej, a FileNet dostawcą rozwiązań z zakresu zarządzania informacjami i zarządzania procesami biznesowymi. Efektem połączenia wysiłków w tych dziedzinach ma być produkt pozwalający firmom na zachowanie większej kontroli nad informacjami i procesami biznesowymi w ramach całej organizacji.

Pakiet oprogramowania BWise zawiera m.in. rozwiązania z zakresu zarządzania ryzykiem przedsiębiorstwa. Pozwala ono na integrację i adaptację wielu systemów i infrastruktur informatycznych do wymagań zgodnych z wieloma kluczowymi aktami prawnymi, m.in. do przepisów ustawy Sarbanes Oxley Act (SOX). Połączenie tego pakietu z platformą FileNet P8 ma umożliwić firmom łatwiejszą kontrolę nad zarządzaniem rekordami, wiadomościami e-mail oraz całymi procesami biznesowymi. W konsekwencji ma powstać produkt pełniący rolę kompletnego rozwiązania do zarządzania informacjami obniżającego ryzyko wszelkich procesów w przedsiębiorstwie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200