Działać według reguł

Wzrost znaczenia systemów informatycznych w przedsiębiorstwach powoduje konieczność podporządkowywania ich coraz większej ilości wymagań prawnych.

Wzrost znaczenia systemów informatycznych w przedsiębiorstwach powoduje konieczność podporządkowywania ich coraz większej ilości wymagań prawnych.

Każde przedsiębiorstwo zobligowane jest do spełniania wymogów formalnoprawnych obowiązujących w danym obszarze politycznym, geograficznym czy gospodarczym. Wewnątrz firmy istnieją z kolei zasady ładu korporacyjnego czy uczciwego biznesu obowiązujące pracowników. Wprowadzenie takich wewnętrznych regulacji często pomaga budować pozytywny wizerunek firmy na rynku wśród klientów i partnerów. Na straży interesu spółki stoi zaś umiejętne zarządzanie ryzykiem. Utrata zysku, naruszenie własności firmy, przeciek informacji - konieczna jest wiedza, w jakim stopniu organizacja ucierpi na skutek tych wydarzeń, np. poprzez brak szczelnego systemu teleinformatycznego.

Działać według reguł

Rozwiązania typu compliance nie prowadzą wprost do poprawy jakości działania firmy czy usprawnienia obsługi klienta, ale do tego, aby trzymać ludzi odpowiedzialnych za podejmowanie decyzji i kierowanie firmą z daleka od zagrożeń formalnoprawnych - mówi Wojciech Mazurkiewicz z FileNet.

"Zgodność z przepisami prawa jest stanem dynamicznym. Osiągnięcie jednorazowej zgodności z ustawą nie wystarcza. Konieczne jest nieustanne sprawdzanie, weryfikacja i udowadnianie takiej zgodności" - mówi Wojciech Mazurkiewicz z IBM. Udowodnienie tego nie jest jednak prostym zadaniem, a musi zostać przeprowadzone przy każdym audycie - formalnoprawnym, finansowym, przeprowadzanym przez GIODO lub inne służby kontrolne. "Tego rodzaju audyt ma pokazać sposób i zakres realizacji wymogów, zdefiniowanych przez odpowiednie przepisy i regulacje prawne wewnętrzne i zewnętrzne" - dodaje.

Zgodność z regulacjami zewnętrznymi i wewnętrznymi określana jest terminem "compliance". Szczególnie zyskał on na znaczeniu w Stanach Zjednoczonych - skąd się wywodzi - od czasu głośnych afer związanych z finansami spółek, takich jak Enron, Tyco International, Adelphia, Peregrine Systems i WorldCom. W celu uniknięcia przyszłych malwersacji w USA wprowadzono w 2002 r. ustawę The Sarbanes-Oxley Act (SOX). Od tamtej pory firmy notowane na amerykańskich giełdach zobowiązane są do przestrzegania jej zapisów. Z kolei branża finansowa ma Nową Umowę Kapitałową (Basel II), której musi przestrzegać w celu odpowiedniego zarządzania ryzykiem i poziomem kapitału.

IT pod nadzorem

Regulacje dotykają także systemów informatycznych. "IT jest coraz ważniejsze i musi spełniać coraz więcej wymogów, gdyż coraz więcej danych składowanych jest w postaci elektronicznej - bankowość elektroniczna, zamówienia klientów, ich zatwierdzenia, płace" - mówi Tomasz Wiernicki, dyrektor informatyki w WSK PZL Rzeszów. Systemy informatyczne odgrywają ogromną rolę w przedsiębiorstwie. Ich szczelność ma uniemożliwić dostęp osób niepowołanych, które mogą dokonać nadużyć. Zbierane i przetwarzane informacje muszą być bezpieczne. "Większa kontrola nie zawsze oznacza jednak wydajniejszą pracę. Konieczność obniżania ryzyka jest bezdyskusyjna, choć efekty nie zawsze są odczuwalne i wymierne" - ocenia Tomasz Wiernicki.

"Rozwiązania informatyczne typu «compliance» nie prowadzą wprost do poprawy jakości działania firmy, zwiększenia zysku czy usprawnienia obsługi klienta, ale do tego, aby zminimalizować poziom ryzyka biznesowego w jej działalności oraz utrzymać ludzi odpowiedzialnych za podejmowanie decyzji i kierowanie firmą z daleka od zagrożeń formalnoprawnych" - wyjaśnia Wojciech Mazurkiewicz. Przyznaje jednak, że pojawienie się SOX, Basel II i innych tego typu regulacji prawnych to z punktu widzenia dostawcy systemów informatycznych czynnik inspirujący do tworzenia nowego rodzaju oprogramowania.

Ku lepszej organizacji

Kompania Piwowarska należy do międzynarodowego koncernu SABMiller. Jak wszystkie spółki w grupie musiała dostosować się do wymagań ustawy SOX, uchwalonej w styczniu 2002 r. w celu poprawy sprawozdawczości finansowej przedsiębiorstw. "Zgodność z tą ustawą dotarła do nas kanałami korporacyjnymi" - mówi Maciej Król, IT governance manager w Kompanii Piwowarskiej. "Wdrożenie wymagań SOX to wyraźny sygnał dla inwestorów i akcjonariuszy, że ich pieniądze są dobrze zarządzane. Raporty finansowe są zgodne z rzeczywistością, a nie kreatywne" - dodaje. Zobowiązanie do wypełniania zapisów SOX szefowie SABMiller podjęli trzy lata temu. Projekt trwał prawie dwa lata.

"Od kwietnia 2007 r. spełniamy wymogi SOX w zakresie operacji biznesowych i systemów IT, które wspierają sprawozdawczość finansową" - mówi Maciej Król. Umotywowanie i uzasadnienie wydatków oraz nakładu pracy ludzi na zmianę jakości i efektywności pracy, chociażby działu informatyki, nie zawsze może spotkać się ze zrozumieniem zarządzających. Jednak przy dużej konkurencji czas często działa na niekorzyść, przede wszystkim firm lokalnych, które nie podlegają międzynarodowym wymogom. Kompania Piwowarska po wdrożeniu SOX przeniosła się o szczebel wyżej w dojrzałości organizacji. Wprowadzone procedury i polityki mogą pomóc w szybszym uzyskaniu certyfikacji ISO, pełnego wprowadzenia ITIL czy wykorzystania PMI. "SOX był dla nas zewnętrznym impulsem. Musieliśmy podporządkować się zaleceniom z centrali. Z perspektywy czasu postrzegam to jako atut. Jako dział IT nie musieliśmy już przekonywać zarządu i reszty organizacji do tych działań. Mobilizacja i presja były ogólnokorporacyjne" - konkluduje Maciej Król.

"Tworząc oprogramowanie na potrzeby biznesowe, szuka się punktu równowagi pomiędzy wymogami «compliance», elastycznością biznesową oraz przyjaznością dla użytkownika. Można zbudować bardzo bezpieczny system informatyczny, zgodny z wymogami prawa, ale mało przyjazny dla użytkownika i realizujący z trudem zadania biznesowe" - mówi Wojciech Mazurkiewicz. Tak zwany złoty środek jest jednak przesunięty w stronę wymogów prawa, gdyż niestosowanie się do nich naraża firmę na konsekwencje związane z niezachowaniem odpowiednich ustaw i przepisów dotyczących określonej branży. Tomasz Wiernicki jest zdania, że rynek tego typu narzędzi będzie czekał w przyszłości wyraźny wzrost.

Przygotowani czy nie?

Czy przedsiębiorstwa posiadają jednak pogłębioną wiedzę w zakresie compliance, siadając do rozmów na temat wdrożenia stosownego systemu? "Oczekiwania klientów wobec rozwiązań informatycznych związanych z zarządzaniem ładem korporacyjnym, jak również przygotowanie organizacji do wdrożenia rozwiązania oraz wiedza na ten temat są bardzo zróżnicowane" - uważa Agnieszka Beresińska, Business Consulting Manager w Oracle. Okazuje się, że chociaż temat zastosowania rozwiązań informatycznych w kwestii compliance jest ciągle stosunkowo świeży, to obecni i przyszli użytkownicy mają wiedzę i konkretne oczekiwania wobec możliwości systemu informatycznego i efektów biznesowych, które ma zapewnić jego implementacja.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200