Новая методология, предложенная Комитетом спонсорских организаций, рекомендует применять внутрифирменные средства контроля за легальностью использования программных технологий

Комитет спонсорских организаций Комиссии Тредуэя (COSO[1]) является независимой инициативой компаний частного сектора, созданной с целью поделиться с участниками рынка капитала и другими заинтересованными сторонами передовыми практиками в области корпоративного управления рисками, внутрифирменных средств контроля и сдерживания мошеннических действий.

Первая редакция документа InternalControlIntegratedFramework, опубликованная COSOв 1992 году, является основным стандартом, применяемым американскими компаниями для оценки соответствия требованиям Закона США о противодействии коррупции за рубежом и Раздела 404 Закона Сарбейнса-Оксли от 20012 года (SOX).

Стандарты COSOв отношении внутрифирменных средств контроля получили широкое распространение и используются транснациональными корпорациями по всему миру. Компании из Канады, Китая, Японии и Корее ссылаются на стандарты COSO. Например, японские компании используют методологию COSO при подготовке ежегодной финансовой отчетности для соответствия требованиям к подаче отчетности Закона о финансовых инструментах и валютах от 2007 года.

COSOв 2013 году

В мае 2013 года COSOвыпустила новую редакцию методологии InternalControlIntegratedFramework, которая будет переведена на девять языков.[2] Благодаря активному участию BSA, в обновленной версии стандарта признаётся, что сегодня бизнес всё больше зависит от использования технологий, и поэтому в документе особое место отводится вопросу легального использования программного обеспечения:

  • В методологии предусмотрены соответствующие механизмы контроля за изменениями в технологиях, которые могут включать … проверку наличия у организации законного права на использование технологии в том виде, в котором она задействована . . . .”[3]

Обновлённые стандарты вступят в силу на смену предыдущей версии 15 декабря 2014 года. Комиссия США по ценным бумагам и биржам (SEC) дала ясно понять, что ожидает от участников рынка соблюдения нового стандарта к концу 2014 года, и выступила с просьбой к зарегистрированным участникам указать в своей отчетности за 2014 год, если они не соответствуют требованиям новых стандартов. Таким образом, принятие в 2014 году новой версии стандарта станет одним из наиболее важных событий на рынке.

Компании зачастую не знают, что они не соответствуют требованиям лицензионных соглашений об использовании ПО, или что подобное несоответствие способно повлечь за собой крупные расходы для их бизнеса. Своевременный мониторинг и контроль за соблюдением требований лицензионных соглашений является краеугольным камнем и первой линией обороны в повышении уровня кибербезопасности. Задача BSA – способствовать тому, чтобы компании понимали значимость лицензионной чистоты, в том числе за счет привлечения своих аудиторов/консультантов к объяснению важности внедрения и проверки механизмов и процедур внутреннего контроля, и в том числе со ссылкой на COSO.

Принцип 11

Принцип 11 обновлённой методологии механизмов внутреннего контроля, предложенной Комитетом спонсорских организаций Комиссии Тредуэя (COSO), предусматривает регламенты оценки эффективности механизмов контроля над информационными технологиями.  Принцип 11 гласит, что организация выбирает и разрабатывает общие процессы управления технологиями с целью поддержки достижения целей. Суть принципа состоит в том, что организация:

  • Определяет зависимость между использованием технологий в бизнес-процессах и общими механизмами контроля над технологиями.
  • Проводит соответствующие мероприятия для контроля над технологической инфраструктурой.
  • Проводит соответствующие мероприятия для контроля над процессом управления безопасностью.
  • Проводит соответствующие мероприятия для контроля над процессами приобретения, разработки и поддержки технологий.

[1] Организации-спонсоры, состоящие в COSO, это: Американская бухгалтерская ассоциация, Американский институт дипломированных бухгалтеров-ревизоров, Международный институт финансовых директоров, Институт внутрифирменных бухгалтеров-ревизоров, Институт управленческих бухгалтеров

[2] Арабский, Китайский (упрощенный и традиционный), французский, итальянский, японский, норвежский, португальский, русский и испанский.

[3]COSO, Internal Control – Integrated Framework:  методологияиприложения, май 2013 года.