Zawierzyć systemowi

Zapewnienie rzetelności i wiarygodności przetwarzanych informacji staje się jednym z głównych zadań twórców systemów informatycznych. Wynika to z konieczności zapewnienia zgodności narzędzi informatycznych z wymogami prawa.

Zapewnienie rzetelności i wiarygodności przetwarzanych informacji staje się jednym z głównych zadań twórców systemów informatycznych. Wynika to z konieczności zapewnienia zgodności narzędzi informatycznych z wymogami prawa.

Gdy w 2002 r. uchwalono w Stanach Zjednoczonych tzw. Sarbanes-Oxley Act (SOX), trudno było przewidzieć, że w tak znaczący sposób wpłynie to na sposób wykorzystania informatyki. Przede wszystkim ustawa miała bowiem zapobiegać przestępczym praktykom finansowym, jakie miały miejsce w firmach typu Enron czy WorldCom. Wprowadzała m.in. zaostrzone wymogi co do kontroli wewnętrznej i odpowiedzialności zarządu za sprawozdania finansowe. Okazało się jednak, że podporządkowanie się wymogom ustawy dotyczącej rachunkowości, sprawozdawczości finansowo-księgowej i audytu amerykańskich spółek giełdowych nie może się odbyć bez uwzględnienia parametrów używanych w zakresie finansów i księgowości programów i aplikacji. Dla zapewnienia pozytywnych wyników audytu w spółce działy IT musiały się zająć m.in. uporządkowaniem procedur bezpieczeństwa i mechanizmów dostępu, czy też stworzeniem systemu archiwizacji dokumentów. Zdaniem analityków AMR Research, wydatki na zapewnienie zgodności z ustawą Sarbanes-Oxley sięgną w tym roku 6,1 mld USD. 28% tej kwoty ma być przeznaczone na technologie, a 29% na zewnętrzne usługi konsultingowe.

Generalnie zapewnienie zgodności działania systemów informatycznych z wymogami prawa (compliance) jest już dzisiaj jednym z najważniejszych wyzwań dla działów IT w przedsiębiorstwach na całym świecie. Jak wynika z raportu przygotowanego przez firmę Mercury we współpracy z The Economist Intelligence Unit, w największych firmach jest to wręcz priorytet w zakresie wykorzystania systemów informatycznych. O ile jednak w USA najważniejsze zadania są wyznaczane przez SOX, to w Europie i Azji dominującą rolę mają międzynarodowe standardy rachunkowości. Coraz ważniejsze staje się zapewnienie bezpieczeństwa przetwarzanym w systemach komputerowych informacjom, tak by generowane na ich podstawie raporty mogły uchodzić rzeczywiście za wiarygodne i rzetelne.

Docenione prawo

Producenci i dostawcy oprogramowania zaczynają w coraz większym zakresie dbać o zapewnienie zgodności swoich produktów z regulacjami prawnymi z różnych dziedzin. Pojawia się coraz więcej rozwiązań mających na celu zagwarantowanie zgodności systemów przetwarzających informację w firmach i instytucjach publicznych z wymogami obowiązujących w danym kraju przepisów, międzynarodowych standardów, czy też coraz częściej firmowych zasad ładu korporacyjnego.

Wiosną ubiegłego roku firma FileNet zaproponowała kompleksowe rozwiązanie zmierzające do zapewnienia zgodności mechanizmów elektronicznego przetwarzania danych z wymogami prawa. Wykorzystując platformę FileNet P8 ramowa struktura FileNet Compliance ma wspomagać zarządzanie firmą w obszarach wymagających kontroli zgodności działań firmy z obowiązującymi przepisami. Ma m.in. umożliwić zachowanie jednolitego podejścia do operacji finansowych w całej firmie, ułatwić zarządzanie informacjami i procesami biznesowymi, zapewnić możliwości skutecznej kontroli nad nimi. Daje możliwość śledzenia w czasie rzeczywistym oraz archiwizowania informacji kto, co, kiedy i gdzie robi bądź robił w systemie informatycznym. Dzięki temu zarówno audytorzy z zewnątrz, jak i kontrolerzy wewnętrzni łatwiej mogą dokonać analizy odnośnie do tego, w jaki sposób i dlaczego podejmowano w firmie określone decyzje. Pozwala to na większą kontrolę i przejrzystość organizacji, co w konsekwencji może przyczynić się do zmniejszenia ryzyka związanego z prowadzoną działalnością, m.in. poprzez możliwość szybkiego reagowania na zmieniające się przepisy.

Oprogramowanie HP Open View Compliance Manager ma służyć zwiększeniu kontroli przedsiębiorstw nad ich działalnością biznesową i środowiskiem informatycznym. Automatyzuje i nieustannie monitoruje wewnętrzne parametry kontrolne najważniejszych procesów gospodarczych oraz obsługujących je aplikacji i infrastruktury. Ma zapewniać wszechstronny nadzór wewnętrznych mechanizmów kontrolnych systemów informatycznych w celu zwiększenia wydajności i zmniejszenia ryzyka. Opiera się na założeniu synchronizacji działalności biznesowej firmy z jej środowiskiem informatycznym w celu odnoszenia korzyści z zachodzących zmian.

Oprócz kompleksowych, zintegrowanych rozwiązań dostępne są także pojedyncze narzędzia, programy czy aplikacje. RSA Security rozszerzyło funkcję swego oprogramowania RSA ClearTrust, służącego do zarządzania dostępem do Internetu, o moduł RSA Reporting & Compliance Manager. Umożliwia on dostosowanie się do przepisów dotyczących bezpieczeństwa informacji, w tym amerykańskich ustaw SOX i HIPAA (Health Insurance Portability and Accountability Act). Posiada m.in. funkcję scentralizowanego tworzenia raportów dającą możliwość śledzenia zdarzeń związanych z bezpieczeństwem , np. kontrolę trafności przyznawanych praw dostępu.

"Zapewnienie zgodności z przepisami jest głównym czynnikiem wzrostu pojemności pamięci masowych w firmach. Przepisy, takie jak ustawa Sarbanes-Oxley, SEC Rule 17a-4, Basel 2 czy HIPAA, nakładają konkretne obowiązki na działy IT" - uważa Mark Canepa, wiceprezes wykonawczy firmy Sun. By wyjść naprzeciw przewidywanemu rozwojowi wypadków, Sun wprowadził na rynek system Sun StorEdge 5310 Compliance Archiving System. Jest to połączenie urządzenia NAS Sun StorEdge 5310 z oprogramowaniem Sun StorEdge Compliance Archiving Software. Ma zapewniać bezpieczeństwo przechowywanych danych, ich integralność, możliwość zarządzania nimi i ich odtwarzania. Wśród zastosowanych funkcji zabezpieczeń są m.in.: dzienniki audytu, dane logowania użytkowników, zegar bezpieczeństwa, dane kontroli dostępu.

Oprócz uniwersalnych systemów do zarządzania informacjami twórcy oprogramowania oferują specjalizowane rozwiązania dla poszczególnych branż czy sektorów gospodarki. Firma Computer Associates oferuje instytucjom finansowym, bankom i towarzystwom ubezpieczeniowym produkt o nazwie CleverPath for Global Compliance. Według producenta, umożliwia on szybkie reagowanie na zmiany przepisów prawa poprzez wdrażanie specjalnie zaprojektowanych procesów służących wykrywaniu oszustw i zmniejszaniu ryzyka finansowego. Wśród wykorzystywanych narzędzi są zaawansowane reguły biznesowe, mechanizmy pracy grupowej czy analizy prognostyczne. Z kolei Andover Controls CFR Compliance Pack, to system adresowany do przemysłu farmaceutycznego, biotechnologicznego oraz produkcji żywności i napojów. Jego zadaniem jest zapewnienie przetwarzania informacji zgodnie z procedurami zalecanymi przez Amerykańską Agencję ds. Żywności i Leków (FDA), a w szczególności z ustanowionym już w 1997 r. aktem prawnym 21 CFR, paragraf 11. Określa on sposób i wymagania dotyczące przechowywania danych elektronicznych, tworzenia raportów, stosowania podpisu elektronicznego itp. System umożliwia łączenie informacji z systemu bezpieczeństwa, kontroli parametrów otoczenia i zarządzania procesem produkcyjnym w jedną spójną całość. Zwiększa to możliwości wymiany informacji i tworzenia zaawansowanych analiz. Poprzez automatyzację procesów ograniczona ma być ilość błędów. Istnieje możliwość stałej weryfikacji zdarzeń zachodzących w systemie poprzez ich pełną dokumentację.

Gwarancja pewności

Rosnąca ilość danych wymaga coraz bardziej złożonych narzędzi i zaawansowanych metod ich obróbki, analizy czy weryfikacji. Ponieważ w systemach komputerowych (już coraz częściej wyłącznie tam) znajdują się coraz bardziej ważne, strategiczne informacje, najważniejsze staje się zapewnienie ich prawdziwości. By można było kontrolować procesy podejmowania decyzji w firmach czy w urzędach, konieczne jest, aby systemy informatyczne dawały gwarancję rzetelności przetwarzania danych w zgodzie z obowiązującym prawem.

To wyzwanie będzie z pewnością w dużej mierze wyznaczać kierunki rozwoju systemów IT dla firm i instytucji sektora publicznego. Już nie wystarczy, by informacje były łatwo i szybko dostępne. Muszą być przede wszystkim pewne i wiarygodne.

Tygodnik Computerworld organizuje 14 września br. w Warszawie konferencję "W mocy prawa" poświęconą zapewnieniu zgodności systemów informatycznych z wymogami prawa i zasadami ładu korporacyjnego. Patronat nad konferencją sprawują: Centrum Informatyki Prawniczej na Wydziale Prawa Katolickiego Uniwersytetu Lubelskiego, ISACA Warsaw Chapter - Stowarzyszenie ds. Audytu i Kontroli Systemów Informatycznych, PIIiT - Polska Izba Informatyki i Telekomunikacji oraz Polskie Forum Corporate Governance przy Instytucie Badań nad Gospodarką Rynkową. Więcej informacji pod adresemhttp://www.computerworld.pl/konferencje/prawo2005 .


TOP 200