Korzystanie z narzędzi informatycznych w każdej niemalże dziedzinie życia sprawia, że konieczne staje się zapewnienie zgodności funkcjonowania systemów informatycznych z wieloma, różnymi przepisami prawa.

Doniesienia o perypetiach działów IT amerykańskich spółek giełdowych związanych z wdrażaniem ustawy SOX spowodowały, że problem zapewnienia zgodności systemów informatycznych z wymogami prawa traktowany jest niejednokrotnie jako specyficzne, ściśle amerykańskie zjawisko. Często też utożsamiany bywa tylko z tą jedną, konkretną ustawą. Tymczasem, nawet w Stanach Zjednoczonych jest to zagadnienie o wiele szersze, odnoszące się do wielu innych, często już obowiązujących od dawna przepisów. Poza tym np. rozwiązanie podobne do amerykańskiego (German Corporate Governance Code) wprowadziły wcześniej w odniesieniu do notowanych na giełdzie spółek Niemcy.

W zgodzie z prawem

W Polsce nie ma, jak dotychczas, ustawowych regulacji zagadnień ładu korporacyjnego. Wymagania w tym zakresie wyznaczają zatwierdzone przez Giełdę Papierów Wartościowych zasady ładu korporacyjnego w polskich spółkach. Nie znaczy to jednak, że zagadnienia zgodności systemów informatycznych z wymogami prawa nie dotyczą działów IT w polskich przedsiębiorstwach. Jest wiele aktów prawnych, które nie odnoszą się wprost do informatyki, ale które mają niebagatelny wpływ na sposób funkcjonowania systemów informatycznych. Z faktu ich obowiązywania wynika też wiele szczególnych zadań i obowiązków dla działów informatyki.

W grupie tej znajdują się m.in. przepisy dotyczące spraw finansowo-księgowych, ordynacji podatkowej, finansów publicznych itp. Nie wszyscy informatycy zdają sobie jeszcze w pełni sprawę z konsekwencji przyjętych w nich uregulowań dla działań w obszarze IT. Często usłyszeć można opinię, że ustawa o rachunkowości dotyczy księgowych, a nie informatyków. Tymczasem spełnienie jej wszystkich wymogów nie jest już dzisiaj możliwe bez ścisłej współpracy księgowych z informatykami. Przepisy określają generalnie zasady księgowania, w równym stopniu dotyczą one czynności wykonywanych w księgach papierowych czy przy użyciu komputera. Wykorzystanie narzędzi informatycznych w działach finansowo-księgowych jest dzisiaj już tak powszechne, że nie sposób nie brać ich pod uwagę przy wdrażaniu w życie postanowień ustawy nawet wówczas, gdy nie odnoszą się one wprost do stosowanych technik informacyjnych.

Wsparcie ze strony informatyki

Zagadnieniom zgodności systemów informatycznych z wymogami prawa poświęcona była zorganizowana przez naszą redakcję konferencja "W mocy prawa". "Bardzo ważne jest ścisłe określenie obowiązków i kompetencji pomiędzy działem księgowości a działem informatyki. Do obowiązków głównego księgowego należy określanie zadań wynikających z wymogów prawa, a rolą informatyków jest określenie możliwości i zasad ich spełnienia" - tłumaczyła uczestnikom spotkania Sylwia Wystub, członek zarządu polskiego oddziału Stowarzyszenia ISACA, zastępca dyrektora Biura Wdrożenia Scentralizowanego Systemu Informatycznego w Getin Banku. Jej zdaniem, trzeba przede wszystkim znaleźć w przepisach to, co jest bardzo potrzebne specjalistom od finansów i księgowości, oraz to, co jest niezbędne do wykonania przez dział IT. Przykładowo, księgowy określa potrzebną mu wydajność przetwarzania danych w systemie, a szef IT wskazuje warunki niezbędne do jej zapewnienia.

Niestosowanie zapisów ustawy o rachunkowości w odniesieniu do wykorzystywanych narzędzi informatycznych może pociągnąć dla ich użytkowników daleko idące skutki. Zwracała na to uwagę Grażyna Pałyska, członek zarządu polskiego oddziału Stowarzyszenia ISACA, prezes spółki AiBI (Audyt i Bezpieczeństwo Informacji). Na podstawie ksiąg rachunkowych określa się na przykład wysokość dochodu stanowiącego podstawę do opodatkowania. Księgi rachunkowe muszą być jednak rzetelne. Jeżeli nie, to organ podatkowy ma prawo ustalić dochód do opodatkowania na drodze szacunkowej. Co oznacza rzetelność ksiąg prowadzonych w formie elektronicznej? Czy za rzetelne mogą być uznane dane przetwarzane lub przechowywane w zawirusowanym systemie?

Kwestia współpracy

Ten prosty przykład pokazuje, jak wiele mają wspólnie do zrobienia np. księgowi i informatycy. "Sam księgowy może być uczciwy, ale gdy będzie korzystał z wadliwie działającego systemu, siłą rzeczy będzie działał wbrew prawu" - mówiła Grażyna Pałyska. Zarówno w ustawie o rachunkowości, jak i w wielu innych obowiązujących w naszym kraju aktach prawnych znajdują się o wiele bardziej złożone i skomplikowane zadania, których rozwiązanie wymaga udziału dostawców systemów informatycznych i ich użytkowników. Za wiarygodność przetwarzanych informacji odpowiedzialność muszą ponosić na równi obie strony.

<hr size=1 noshade>Zgodność na każdym kroku

Najczęściej mówi się ostatnio o wymaganiach wynikających z ustawy SOX, ale firmy muszą spełnić także wiele innych wymagań wynikających z wielu różnych przepisów, regulacji prawnych, ustaw itp. W niektórych firmach są już całe wyspecjalizowane działy albo zespoły w ramach poszczególnych działów zajmujące się zagadnieniami compliance. Z prowadzonych badań wynika, że problematyka ta dotyczy najbardziej działów finansowych. Na drugim miejscu znajdują się działy IT, być może dlatego, że nie da się już dzisiaj obsługiwać finansów bez informatyki.

Osiąganie zgodności z wymogami prawa odbywa się na różny sposób, w zależności od potrzeb i charakteru sytuacji, w jakiej znajduje się firma. W pierwszym etapie dostosowanie ma charakter pasywny, chodzi głównie o takie zorganizowanie pracy, by być przekonanym samemu i umieć przekonać innych (np. kontrolerów), że robimy to, czego prawo od nas wymaga. W drugim etapie celem jest zbieranie informacji z różnych źródeł służących do udowodnienia, że przestrzegaliśmy i przestrzegamy prawa. Trzeci etap polega na stworzeniu mechanizmów stałej, bieżącej kontroli przestrzegania przepisów. Przy tym aktywnym podejściu niezbędne jest zapewnienie stałego dostępu do przetwarzanych informacji. To wiąże się m.in. z koniecznością wdrożenia odpowiednich systemów informatycznych, zdolnych sprostać temu zadaniu.

Właściwe przetwarzanie i przechowywanie informacji ma coraz większe znaczenie. Każda informacja może być ważna dla wykazania zgodności działań firmy z obowiązującym prawem, każda może być wykorzystana jako dowód w sądzie. Każdej informacji trzeba więc zapewnić rzetelność i wiarygodność. Jednym ze sposobów jest chociażby ochrona przed nieuprawnionym dostępem i nieautoryzowanymi zmianami.

Infrastruktura informatyczna musi być przystosowana do ciągłych zmian przepisów prawa. Wymagania ustawodawców wobec firm zmieniają się dzisiaj bardzo często. Przedsiębiorstwo musi być elastyczne, mieć zdolność szybkiego reagowania na nowe regulacje prawne. Musi się to odbywać niemalże "z marszu". Nie ma czasu na prowadzenie długotrwałych wdrożeń. Systemy informatyczne muszą zapewniać zachowanie zgodności z wymogami prawa na bieżąco - teraz i w przyszłości. Muszą też dawać możliwość udowodnienia, że tak było również w przeszłości, czyli zapewniać dostęp do informacji o tym, kto, co, kiedy i jak robił.

Do tej pory najczęściej stosowanym rozwiązaniem było wdrażanie kolejnych modułów czy aplikacji odpowiedzialnych za zapewnienie zgodności z poszczególnymi, konkretnymi przepisami prawa w konkretnych, osobnych działach czy obszarach działania firmy. Dział finansowy miał swoje specjalizowane rozwiązania, dział produkcyjny swoje dedykowane narzędzia IT. Obecnie jest wyraźna tendencja do integrowania mechanizmów compliance z całym systemem wspomagania zarządzania firmą i obiegu informacji. Mechanizmy zapewnienia zgodności z wymogami prawa muszą być wbudowane w codzienną działalność firmy, wpisane w codzienne operacje biznesowe. Przetwarzane informacje muszą być umiejscowione w kontekście całych procesów biznesowych, gdyż tylko wtedy można z całą odpowiedzialnością rozstrzygać o ich wiarygodności i rzetelności.

Automatyzacja procesów kontrolnych w trakcie obróbki informacji przynosi poza tym wiele oszczędności, zmniejsza koszty operacyjne. Spadają wydatki związane z ręcznym wprowadzaniem danych, zmniejszają się możliwości popełnienia pomyłki, a co za tym idzie, wyeliminowane zostają czynności związane z poszukiwaniem błędu i jego naprawą. Automatyczny monitoring zdejmuje część odpowiedzialności z ludzi, którzy mogą być dzięki temu wykorzystani do innych zadań.

George Parapadakis, Compliance Solutions Architect w firmie FileNet