Wspólna odpowiedzialność
- Andrzej Gontarz,
- 26.09.2005
Korzystanie z narzędzi informatycznych w każdej niemalże dziedzinie życia sprawia, że konieczne staje się zapewnienie zgodności funkcjonowania systemów informatycznych z wieloma, różnymi przepisami prawa.
Korzystanie z narzędzi informatycznych w każdej niemalże dziedzinie życia sprawia, że konieczne staje się zapewnienie zgodności funkcjonowania systemów informatycznych z wieloma, różnymi przepisami prawa.
Doniesienia o perypetiach działów IT amerykańskich spółek giełdowych związanych z wdrażaniem ustawy SOX spowodowały, że problem zapewnienia zgodności systemów informatycznych z wymogami prawa traktowany jest niejednokrotnie jako specyficzne, ściśle amerykańskie zjawisko. Często też utożsamiany bywa tylko z tą jedną, konkretną ustawą. Tymczasem, nawet w Stanach Zjednoczonych jest to zagadnienie o wiele szersze, odnoszące się do wielu innych, często już obowiązujących od dawna przepisów. Poza tym np. rozwiązanie podobne do amerykańskiego (German Corporate Governance Code) wprowadziły wcześniej w odniesieniu do notowanych na giełdzie spółek Niemcy.
W zgodzie z prawem
W grupie tej znajdują się m.in. przepisy dotyczące spraw finansowo-księgowych, ordynacji podatkowej, finansów publicznych itp. Nie wszyscy informatycy zdają sobie jeszcze w pełni sprawę z konsekwencji przyjętych w nich uregulowań dla działań w obszarze IT. Często usłyszeć można opinię, że ustawa o rachunkowości dotyczy księgowych, a nie informatyków. Tymczasem spełnienie jej wszystkich wymogów nie jest już dzisiaj możliwe bez ścisłej współpracy księgowych z informatykami. Przepisy określają generalnie zasady księgowania, w równym stopniu dotyczą one czynności wykonywanych w księgach papierowych czy przy użyciu komputera. Wykorzystanie narzędzi informatycznych w działach finansowo-księgowych jest dzisiaj już tak powszechne, że nie sposób nie brać ich pod uwagę przy wdrażaniu w życie postanowień ustawy nawet wówczas, gdy nie odnoszą się one wprost do stosowanych technik informacyjnych.
Wsparcie ze strony informatyki
Krzysztof Grabowski, członek Fundacji Polski Instytut Dyrektorów
Niestosowanie zapisów ustawy o rachunkowości w odniesieniu do wykorzystywanych narzędzi informatycznych może pociągnąć dla ich użytkowników daleko idące skutki. Zwracała na to uwagę Grażyna Pałyska, członek zarządu polskiego oddziału Stowarzyszenia ISACA, prezes spółki AiBI (Audyt i Bezpieczeństwo Informacji). Na podstawie ksiąg rachunkowych określa się na przykład wysokość dochodu stanowiącego podstawę do opodatkowania. Księgi rachunkowe muszą być jednak rzetelne. Jeżeli nie, to organ podatkowy ma prawo ustalić dochód do opodatkowania na drodze szacunkowej. Co oznacza rzetelność ksiąg prowadzonych w formie elektronicznej? Czy za rzetelne mogą być uznane dane przetwarzane lub przechowywane w zawirusowanym systemie?
Kwestia współpracy
Ten prosty przykład pokazuje, jak wiele mają wspólnie do zrobienia np. księgowi i informatycy. "Sam księgowy może być uczciwy, ale gdy będzie korzystał z wadliwie działającego systemu, siłą rzeczy będzie działał wbrew prawu" - mówiła Grażyna Pałyska. Zarówno w ustawie o rachunkowości, jak i w wielu innych obowiązujących w naszym kraju aktach prawnych znajdują się o wiele bardziej złożone i skomplikowane zadania, których rozwiązanie wymaga udziału dostawców systemów informatycznych i ich użytkowników. Za wiarygodność przetwarzanych informacji odpowiedzialność muszą ponosić na równi obie strony.
<hr size=1 noshade>Zgodność na każdym kroku
George Parapadakis</b>, Compliance Solutions Architect w firmie FileNet
Osiąganie zgodności z wymogami prawa odbywa się na różny sposób, w zależności od potrzeb i charakteru sytuacji, w jakiej znajduje się firma. W pierwszym etapie dostosowanie ma charakter pasywny, chodzi głównie o takie zorganizowanie pracy, by być przekonanym samemu i umieć przekonać innych (np. kontrolerów), że robimy to, czego prawo od nas wymaga. W drugim etapie celem jest zbieranie informacji z różnych źródeł służących do udowodnienia, że przestrzegaliśmy i przestrzegamy prawa. Trzeci etap polega na stworzeniu mechanizmów stałej, bieżącej kontroli przestrzegania przepisów. Przy tym aktywnym podejściu niezbędne jest zapewnienie stałego dostępu do przetwarzanych informacji. To wiąże się m.in. z koniecznością wdrożenia odpowiednich systemów informatycznych, zdolnych sprostać temu zadaniu.
Właściwe przetwarzanie i przechowywanie informacji ma coraz większe znaczenie. Każda informacja może być ważna dla wykazania zgodności działań firmy z obowiązującym prawem, każda może być wykorzystana jako dowód w sądzie. Każdej informacji trzeba więc zapewnić rzetelność i wiarygodność. Jednym ze sposobów jest chociażby ochrona przed nieuprawnionym dostępem i nieautoryzowanymi zmianami.
Infrastruktura informatyczna musi być przystosowana do ciągłych zmian przepisów prawa. Wymagania ustawodawców wobec firm zmieniają się dzisiaj bardzo często. Przedsiębiorstwo musi być elastyczne, mieć zdolność szybkiego reagowania na nowe regulacje prawne. Musi się to odbywać niemalże "z marszu". Nie ma czasu na prowadzenie długotrwałych wdrożeń. Systemy informatyczne muszą zapewniać zachowanie zgodności z wymogami prawa na bieżąco - teraz i w przyszłości. Muszą też dawać możliwość udowodnienia, że tak było również w przeszłości, czyli zapewniać dostęp do informacji o tym, kto, co, kiedy i jak robił.
Do tej pory najczęściej stosowanym rozwiązaniem było wdrażanie kolejnych modułów czy aplikacji odpowiedzialnych za zapewnienie zgodności z poszczególnymi, konkretnymi przepisami prawa w konkretnych, osobnych działach czy obszarach działania firmy. Dział finansowy miał swoje specjalizowane rozwiązania, dział produkcyjny swoje dedykowane narzędzia IT. Obecnie jest wyraźna tendencja do integrowania mechanizmów compliance z całym systemem wspomagania zarządzania firmą i obiegu informacji. Mechanizmy zapewnienia zgodności z wymogami prawa muszą być wbudowane w codzienną działalność firmy, wpisane w codzienne operacje biznesowe. Przetwarzane informacje muszą być umiejscowione w kontekście całych procesów biznesowych, gdyż tylko wtedy można z całą odpowiedzialnością rozstrzygać o ich wiarygodności i rzetelności.
Automatyzacja procesów kontrolnych w trakcie obróbki informacji przynosi poza tym wiele oszczędności, zmniejsza koszty operacyjne. Spadają wydatki związane z ręcznym wprowadzaniem danych, zmniejszają się możliwości popełnienia pomyłki, a co za tym idzie, wyeliminowane zostają czynności związane z poszukiwaniem błędu i jego naprawą. Automatyczny monitoring zdejmuje część odpowiedzialności z ludzi, którzy mogą być dzięki temu wykorzystani do innych zadań.
George Parapadakis, Compliance Solutions Architect w firmie FileNet