Комплаенс – новое «офицерское звание» для CIO

Логотип компании
Комплаенс – новое «офицерское звание» для CIO
Задача обеспечения комплаенса в ИТ существовала всегда, еще даже когда и сам термин «комплаенс» не придумали.

В Новый год – со старыми трендами

Готовить статью в предновогодний номер про актуальные и ожидаемые в обозримом будущем тренды в ИТ – неблагодарное (в смысле затрачиваемых интеллектуальных усилий) занятие. Практической пользы от такой публикации будет не намного больше, чем от чтения восточного гороскопа, ведь вся мало-мальски серьезная аналитика, способная хоть как-то повлиять на формирование планов и ИТ-бюджетов будущего года, уже написана и опубликована в середине года завершающегося. Да и сами эти планы и бюджеты уже давно сверстаны.

Думаете, случайно компания Gartner обнародует свои «циклы ажиотажа» в июле-августе? Конечно же, нет. Весьма любимые и сейлз-менеджерами интеграторов, и ИТ-руководителями компаний-заказчиков отчеты с «трендовыми» графиками и умными цитатами аналитиков появляются как раз кстати – чтобы тут же быть включенными в презентации для комитетов по бюджету и советов директоров.

Правда, в этом году даже лучшие умы «старика Гартнера», похоже, не в состоянии повлиять на перелом (в хорошем смысле слова) ключевого тренда в отечественных ИТ – по неуклонному сокращению бюджетов и режиму жесткой экономии.

С технологической и концептуальной точек зрения в ИТ происходит и будет происходить много чего интересного (не буду перечислять – о многих новациях журнал писал на протяжении всего года). Но в нашей стране политика и логически вытекающая из нее экономика, увы, превалируют над технологией, способной – при грамотном применении – как раз эту самую экономику сильно улучшить. Но пока не судьба…

Если почитать статью годичной давности (Александр Башкиров, «ИТ-тренды сезона», IT Manager, № 12/2014), то легко заметить, что ни одна из тенденций прошлого сезона не вышла (и, похоже, пока не собирается выходить) из моды: в сезоне наступающем все те же санкции и антисанкции, скачки валют, дешевеющая нефть, импортозамещение, сокращение ИТ-бюджетов… И заметьте: практически все перечисленное обусловлено экономикой и политикой – ни одного тренда технологического.

Высокотехнологичный варваризм

Про то, как жить (или правильнее будет сказать – выживать?) ИТ-подразделениям в таких условиях, написано уже много, и, наверное, не имеет смысла в очередной раз повторять рецепты типа «лучше быть здоровым и богатым, чем бедным и больным». Поэтому мне хочется обратить внимание на существенно менее заметный тренд в ИТ, который возник далеко не вчера, но до настоящего времени воспринимается многими ИТ-директорами как:

·         внешний по отношению к собственно деятельности подразделений ИТ;

·         проецируемый на ИТ потребностями бизнеса;

·         требующий со стороны ИТ только лишь традиционного подхода – «автоматизации в соответствии с ТЗ бизнес-заказчика».

Точное название этому тренду я пока не придумал, но ключевое слово в нем – комплаенс. Как легко понять, происхождение у него иностранное: в современном словаре русского языка «комплаенс» толкуется как варваризм, то есть буквальное заимствование из чужого языка или оборот речи, построенный по образцу чужого языка. Однако, как и многим терминам в ИТ, комплаенсу, похоже, предстоит в скором будущем стать вполне русским словом. В переводе на наш язык compliance означает «соответствие». Имеется в виду соответствие внутриорганизационным и/или внешним нормам, регламентам, стандартам, требованиям законодательства и т. п.

Именно с такой трактовкой проблемы комплаенса я впервые познакомился почти 15 лет назад, когда изучал примеры бизнес-применения ведущей западной системы управления документами, в то время только начинавшей свое продвижение на российский рынок. Одной из задач комплаенса, которую уже тогда вполне успешно решала упомянутая система, было обеспечение длительного хранения электронных документов с соблюдением сколь угодно строгих корпоративных и государственных политик в области создания и эксплуатации электронных архивов.

Однако чаще всего, в силу исторических причин, комплаенс относят к профессиональной деятельности в организациях финансово-банковской сферы или к финансовым же подразделениям крупных корпораций. Я позволю себе процитировать с небольшими сокращениями фрагмент Положения Банка России № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах»[1] в той его части, где определяются функции службы внутреннего контроля в кредитной организации (именно эта служба часто называется комплаенс-подразделением).

«Служба внутреннего контроля осуществляет следующие функции:

·      выявление комплаенс-риска, то есть риска возникновения у […] организации убытков из-за несоблюдения законодательства Российской Федерации, внутренних документов […] организации, стандартов саморегулируемых организаций (если такие стандарты или правила являются обязательными для […] организации), а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов (далее – регуляторный риск);

·      учет событий, связанных с регуляторным риском, определение вероятности их возникновения и количественная оценка возможных последствий;

·      мониторинг регуляторного риска, в том числе анализ внедряемых […] организацией новых […] продуктов, услуг и планируемых методов их реализации на предмет наличия регуляторного риска;

·      направление в случае необходимости рекомендаций по управлению регуляторным риском руководителям структурных подразделений […] организации и исполнительному органу, определенному внутренними документами […] организации;

·      координация и участие в разработке комплекса мер, направленных на снижение уровня регуляторного риска в […] организации;

·      мониторинг эффективности управления регуляторным риском;

·      участие в разработке внутренних документов по управлению регуляторным риском;

·      информирование служащих […] организации по вопросам, связанным с управлением регуляторным риском;

·      выявление конфликтов интересов в деятельности […] организации и ее служащих, участие в разработке внутренних документов, направленных на его минимизацию;

·      анализ показателей динамики жалоб (обращений, заявлений) клиентов и анализ соблюдения […] организацией прав клиентов;

·      анализ экономической целесообразности заключения […] организацией договоров с юридическими лицами и индивидуальными предпринимателями на оказание услуг и (или) выполнение работ, обеспечивающих осуществление […] организацией […] операций (аутсорсинг);

·      участие в разработке внутренних документов, направленных на противодействие коммерческому подкупу и коррупции;

·      участие в разработке внутренних документов и организации мероприятий, направленных на соблюдение правил корпоративного поведения, норм профессиональной этики;

·      участие в рамках своей компетенции во взаимодействии […] организации с надзорными органами, саморегулируемыми организациями, ассоциациями […]».

Сокращения, которым я подверг вышеприведенную цитату, состоят в том, что из текста убрана пара эпитетов, специфических для финансовых организаций: «кредитный» и «банковский».

А теперь представим себе, что весь этот перечень функций относится не к службе внутреннего контроля банка или финансовой компании, а к некоему специальному подразделению (назовем его, например, сектором ИТ-комплаенса) в рамках ИТ-дирекции крупной организации. Вы, уважаемые читатели, видите какие-либо кардинальные противоречия в таком допущении? Я – нет, не вижу. Абсолютным большинством перечисленных выше задач комплаенса (возможно, пока с менее выраженной формализацией и специализацией) уже сегодня занимаются во многих ИТ-департаментах.

Незаметный приоритет

На самом деле задача обеспечения комплаенса в ИТ (или средствами ИТ – для бизнеса) существовала всегда, еще даже когда и сам термин «комплаенс» не придумали. Всегда были законы, стандарты, регламенты и нормативы, требования которых нужно было учитывать в повседневной деятельности ИТ-служб, при выполнении проектов, планировании и исполнении ИТ-бюджетов. В хорошо известной ИТ- и бизнес-аналитикам методологии IDEF0 комплаенс-требования воздействуют на «черный ящик» абстрактной системы (будь то конкретная ИТ-система, функциональная модель подразделения или всей организации) наряду с прочими управляющими воздействиями. И всегда одним из важнейших квалификационных требований к ИТ-менеджерам высших уровней было понимание всех комплаенс-требований и комплаенс-ограничений, воздействующих на вверенную под их руководство ИТ-службу.

Почему же раньше (да и фактически до сих пор) о комплаенсе в российских ИТ не говорилось как о приоритетном тренде[2]? Да просто потому, что количество факторов и источников, способствующих появлению новых требований, было тогда гораздо меньше и все эти факторы-источники были более-менее прогнозируемыми как по количеству/производительности, так и по временн?му распределению.

На уровне законодательства – новые законы, затрагивающие ИТ-деятельность, сочинялись преимущественно при участии Минкомсвязи и Минэкономразвития; новые регламенты/приказы/инструкции выпускали обычно те же министерства плюс ФСТЭК/ФСО. И всегда от момента утверждения закона/регламента/приказа/инструкции до начала их действия предусматривался достаточный временной промежуток, в течение которого процессы и системы, затрагиваемые вновь вводимыми или измененными требованиями, должны быть приведены в соответствие этим требованиям.

На уровне стандартов – с тех пор как ГОСТы у нас стали не строго обязательными к соблюдению нормами, а рекомендательными документами – тоже не было больших потрясений в части комплаенса. Да и собственных, национальных стандартов, написанных с нуля, у нас в последнее время тоже практически не стало – в основном появляются локализованные версии международных стандартов, хорошо знакомые ИТ-специалистам еще в виде первоисточников и, следовательно, не таящие в себе каких-то подводных камней.

Что же изменилось в последнее время? Короткий ответ на этот вопрос – да практически всё! Вспомните уже названные выше тренды (не только в ИТ-сфере, но и в экономике и политике) прошедшего, 2015 года – все они так или иначе способствовали тому, что внезапно (в масштабах нормотворчества, конечно) вдруг возникло очень много новых или существенно переработанных регуляторных требований самых разных уровней – от поправок в федеральные законы до отраслевых регламентов. Причем все эти новые/переработанные требования вступили или должны вступить в силу на очень ограниченном отрезке времени. И многие из них впрямую или косвенно влияют на жизненный цикл ИТ в организациях, на уже давно сверстанные (и нередко даже секвестированные – с учетом сложной экономической обстановки) планы и бюджеты ИТ.

Очень любят вводить такие новые требования «ускоренной готовности» Пенсионный фонд, Министерство по налогам и сборам, практически все силовые ведомства. Вот совсем свежий пример (взято из соцсетей, но все перечисленные факты легко проверяются). Только в ноябре 2015 года различными правительственными постановлениями внесены следующие изменения в законодательство, касающееся малого и среднего бизнеса (того самого, который топ-менеджеры нашей страны уже неоднократно призывали «не кошмарить»):

·      удвоены штрафы за ошибки в бухотчетности;

·      введена обязанность отчета в ПФР ежемесячно;

·      увеличен срок давности за ошибки в бухотчетности;

·      увеличены штрафы за опоздание со статотчетностью;

·      введена обязанность отчета по НДФЛ ежеквартально.

Легко видеть, что абсолютное большинство вышеперечисленных «новаций» несет в себе потенциал незапланированных доработок в ИТ-системы организаций. И ведь эти доработки придется выполнять, сдвигая сроки плановых проектов и перераспределяя ранее с трудом сбалансированные ИТ-бюджеты…

Отдельного упоминания (как практически неиссякаемый источник комплаенс-требований) заслуживают наши «горячо любимые» депутаты Госдумы. Эти законодатели умудряются зачастую минимальными средствами наносить максимально разрушительные по своим последствиям удары. Достаточно внести в пару-тройку федеральных законов какую-то незначительную, на первый взгляд, поправку, как это может повлечь (и влечет!) лавину изменений и доработок, которые необходимо будет произвести в многочисленных корпоративных и государственных информационных системах.

Простой пример. Казалось бы, пустяк: «Внести в Федеральный закон №… в статью… в третьем абзаце после слов “предусмотреть хранение документов по кадровому составу” дополнение: “, в том числе и в электронном виде”». Всего-то семь слов и две запятые – а про то, каких многомиллионных (а скорее многомиллиардных) доработок информационных систем в рамках всей страны, начиная от Пенсионного Фонда и заканчивая отделами кадров небольших организаций, потребует эта поправка, можно написать целую статью, а то и не одну!

Товарищи Officer’ы!

Дочитавший (дотерпевший) до этого места вправе задать вопрос: а где же про указанное в заголовке новое офицерское звание для CIO? Да, собственно, об этом вся статья. Это новое звание – Chief Compliance Officer (CCO), директор по комплаенсу. Практически во всех западных компаниях, а сейчас и во многих российских финансовых организациях такая позиция существует в оргструктуре и штатном расписании. Но если на Западе топ-менеджер, занимающий эту позицию, отвечает за комплаенс в самом широком смысле этого понятия, то у нас в основном его ответственность ограничена требованиями упомянутого в начале статьи Положения Банка России № 242-П.

А кого же назначать на позицию CCO в других, нефинансовых организациях? Известно кого! Уже давно признано, что в России ИТ-директор должен быть универсальным топ-менеджером, то бишь в вопросах бизнес-процессов, финансов, маркетинга, управления персоналом, общего руководства разбираться немногим хуже, чем специально обученные профильные топы. Иными словами, быть немного и CFO, и COO, и СМО, и даже CEO. А вот теперь многим российским CIO нужно примерять на себя и «погоны» CCO. Потому что пока больше некому. Задачи комплаенса очень плотно завязаны на ИТ, без должной автоматизации большинство этих задач не решается, и понятно, что гораздо проще обучить ИТ-менеджера новой специфике, связанной с комплаенсом, чем юриста или финансиста всем премудростям руководства ИТ-инфраструктурой.

Вот таким представляется мне один из новых ИТ-трендов, который вполне может стать приоритетным уже в новом году. Как говорится, доживем – увидим.

Завершая статью, хочется напомнить читателям, чем хороши практически все предновогодние прогнозы: о них обычно никто не вспоминает через год, когда по идее нужно бы проверить – а насколько предсказанное оказалось правдивым? За все мое многолетнее регулярное чтение различных прогнозов мне лишь пару раз встретились подобные post-mortem analysis – когда аналитики старались честно (в меру способностей, конечно) сравнить прогнозную картинку с реальностью, наступившей через год. Совпадения, конечно же, были – но примерно с той же вероятностью, как если бы прогноз делался не на основании серьезных исходных данных и в соответствии со строгой научной методикой, а с помощью простого подбрасывания монетки. Зато там, где прогноз и реальность не совпали, аналитики сумели дать вполне резонные объяснения, почему так случилось.

Так что через год и я смогу, надеюсь, написать в следющей статье: «Вот видите, я же говорил…» Ну или: «К сожалению, прогноз об актуальности комплаенса не сбылся. Давайте посмотрим почему…»




[1] Цитируется по документу “ Положение Банка России от 16 декабря 2003 г. N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (с изменениями и дополнениями).
Система ГАРАНТ: http://base.garant.ru/584330


[2] Чтобы быть совсем корректным, следует уточнить, что термин «комплаенс» все-таки используется в отечественных ИТ, но в достаточно узком смысле – как соответствие регуляторным требованиям в сфере информационной безопасности. Даже в журнале «IT Manager» можно найти несколько статей про ИБ, где встречается слово «комплаенс».



Опубликовано 23.12.2015