УправлениеИТ в бизнесе

Комплаенс – новое «офицерское звание» для CIO

Альберт Бертяков | 23.12.2015

Комплаенс – новое «офицерское звание» для CIO

Задача обеспечения комплаенса в ИТ существовала всегда, еще даже когда и сам термин «комплаенс» не придумали.

В Новый год – со старыми трендами

Готовить статью в предновогодний номер про актуальные и ожидаемые в обозримом будущем тренды в ИТ – неблагодарное (в смысле затрачиваемых интеллектуальных усилий) занятие. Практической пользы от такой публикации будет не намного больше, чем от чтения восточного гороскопа, ведь вся мало-мальски серьезная аналитика, способная хоть как-то повлиять на формирование планов и ИТ-бюджетов будущего года, уже написана и опубликована в середине года завершающегося. Да и сами эти планы и бюджеты уже давно сверстаны.

Думаете, случайно компания Gartner обнародует свои «циклы ажиотажа» в июле-августе? Конечно же, нет. Весьма любимые и сейлз-менеджерами интеграторов, и ИТ-руководителями компаний-заказчиков отчеты с «трендовыми» графиками и умными цитатами аналитиков появляются как раз кстати – чтобы тут же быть включенными в презентации для комитетов по бюджету и советов директоров.

Правда, в этом году даже лучшие умы «старика Гартнера», похоже, не в состоянии повлиять на перелом (в хорошем смысле слова) ключевого тренда в отечественных ИТ – по неуклонному сокращению бюджетов и режиму жесткой экономии.

С технологической и концептуальной точек зрения в ИТ происходит и будет происходить много чего интересного (не буду перечислять – о многих новациях журнал писал на протяжении всего года). Но в нашей стране политика и логически вытекающая из нее экономика, увы, превалируют над технологией, способной – при грамотном применении – как раз эту самую экономику сильно улучшить. Но пока не судьба…

Если почитать статью годичной давности (Александр Башкиров, «ИТ-тренды сезона», IT Manager, № 12/2014), то легко заметить, что ни одна из тенденций прошлого сезона не вышла (и, похоже, пока не собирается выходить) из моды: в сезоне наступающем все те же санкции и антисанкции, скачки валют, дешевеющая нефть, импортозамещение, сокращение ИТ-бюджетов… И заметьте: практически все перечисленное обусловлено экономикой и политикой – ни одного тренда технологического.

Высокотехнологичный варваризм

Про то, как жить (или правильнее будет сказать – выживать?) ИТ-подразделениям в таких условиях, написано уже много, и, наверное, не имеет смысла в очередной раз повторять рецепты типа «лучше быть здоровым и богатым, чем бедным и больным». Поэтому мне хочется обратить внимание на существенно менее заметный тренд в ИТ, который возник далеко не вчера, но до настоящего времени воспринимается многими ИТ-директорами как:

·         внешний по отношению к собственно деятельности подразделений ИТ;

·         проецируемый на ИТ потребностями бизнеса;

·         требующий со стороны ИТ только лишь традиционного подхода – «автоматизации в соответствии с ТЗ бизнес-заказчика».

Точное название этому тренду я пока не придумал, но ключевое слово в нем – комплаенс. Как легко понять, происхождение у него иностранное: в современном словаре русского языка «комплаенс» толкуется как варваризм, то есть буквальное заимствование из чужого языка или оборот речи, построенный по образцу чужого языка. Однако, как и многим терминам в ИТ, комплаенсу, похоже, предстоит в скором будущем стать вполне русским словом. В переводе на наш язык compliance означает «соответствие». Имеется в виду соответствие внутриорганизационным и/или внешним нормам, регламентам, стандартам, требованиям законодательства и т. п.

Именно с такой трактовкой проблемы комплаенса я впервые познакомился почти 15 лет назад, когда изучал примеры бизнес-применения ведущей западной системы управления документами, в то время только начинавшей свое продвижение на российский рынок. Одной из задач комплаенса, которую уже тогда вполне успешно решала упомянутая система, было обеспечение длительного хранения электронных документов с соблюдением сколь угодно строгих корпоративных и государственных политик в области создания и эксплуатации электронных архивов.

Однако чаще всего, в силу исторических причин, комплаенс относят к профессиональной деятельности в организациях финансово-банковской сферы или к финансовым же подразделениям крупных корпораций. Я позволю себе процитировать с небольшими сокращениями фрагмент Положения Банка России № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах»[1] в той его части, где определяются функции службы внутреннего контроля в кредитной организации (именно эта служба часто называется комплаенс-подразделением).

«Служба внутреннего контроля осуществляет следующие функции:

·      выявление комплаенс-риска, то есть риска возникновения у […] организации убытков из-за несоблюдения законодательства Российской Федерации, внутренних документов […] организации, стандартов саморегулируемых организаций (если такие стандарты или правила являются обязательными для […] организации), а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов (далее – регуляторный риск);

·      учет событий, связанных с регуляторным риском, определение вероятности их возникновения и количественная оценка возможных последствий;

·      мониторинг регуляторного риска, в том числе анализ внедряемых […] организацией новых […] продуктов, услуг и планируемых методов их реализации на предмет наличия регуляторного риска;

·      направление в случае необходимости рекомендаций по управлению регуляторным риском руководителям структурных подразделений […] организации и исполнительному органу, определенному внутренними документами […] организации;

·      координация и участие в разработке комплекса мер, направленных на снижение уровня регуляторного риска в […] организации;

·      мониторинг эффективности управления регуляторным риском;

·      участие в разработке внутренних документов по управлению регуляторным риском;

·      информирование служащих […] организации по вопросам, связанным с управлением регуляторным риском;

·      выявление конфликтов интересов в деятельности […] организации и ее служащих, участие в разработке внутренних документов, направленных на его минимизацию;

·      анализ показателей динамики жалоб (обращений, заявлений) клиентов и анализ соблюдения […] организацией прав клиентов;

·      анализ экономической целесообразности заключения […] организацией договоров с юридическими лицами и индивидуальными предпринимателями на оказание услуг и (или) выполнение работ, обеспечивающих осуществление […] организацией […] операций (аутсорсинг);

·      участие в разработке внутренних документов, направленных на противодействие коммерческому подкупу и коррупции;

·      участие в разработке внутренних документов и организации мероприятий, направленных на соблюдение правил корпоративного поведения, норм профессиональной этики;

·      участие в рамках своей компетенции во взаимодействии […] организации с надзорными органами, саморегулируемыми организациями, ассоциациями […]».

Сокращения, которым я подверг вышеприведенную цитату, состоят в том, что из текста убрана пара эпитетов, специфических для финансовых организаций: «кредитный» и «банковский».

А теперь представим себе, что весь этот перечень функций относится не к службе внутреннего контроля банка или финансовой компании, а к некоему специальному подразделению (назовем его, например, сектором ИТ-комплаенса) в рамках ИТ-дирекции крупной организации. Вы, уважаемые читатели, видите какие-либо кардинальные противоречия в таком допущении? Я – нет, не вижу. Абсолютным большинством перечисленных выше задач комплаенса (возможно, пока с менее выраженной формализацией и специализацией) уже сегодня занимаются во многих ИТ-департаментах.

Незаметный приоритет

На самом деле задача обеспечения комплаенса в ИТ (или средствами ИТ – для бизнеса) существовала всегда, еще даже когда и сам термин «комплаенс» не придумали. Всегда были законы, стандарты, регламенты и нормативы, требования которых нужно было учитывать в повседневной деятельности ИТ-служб, при выполнении проектов, планировании и исполнении ИТ-бюджетов. В хорошо известной ИТ- и бизнес-аналитикам методологии IDEF0 комплаенс-требования воздействуют на «черный ящик» абстрактной системы (будь то конкретная ИТ-система, функциональная модель подразделения или всей организации) наряду с прочими управляющими воздействиями. И всегда одним из важнейших квалификационных требований к ИТ-менеджерам высших уровней было понимание всех комплаенс-требований и комплаенс-ограничений, воздействующих на вверенную под их руководство ИТ-службу.

Почему же раньше (да и фактически до сих пор) о комплаенсе в российских ИТ не говорилось как о приоритетном тренде[2]? Да просто потому, что количество факторов и источников, способствующих появлению новых требований, было тогда гораздо меньше и все эти факторы-источники были более-менее прогнозируемыми как по количеству/производительности, так и по временн?му распределению.

На уровне законодательства – новые законы, затрагивающие ИТ-деятельность, сочинялись преимущественно при участии Минкомсвязи и Минэкономразвития; новые регламенты/приказы/инструкции выпускали обычно те же министерства плюс ФСТЭК/ФСО. И всегда от момента утверждения закона/регламента/приказа/инструкции до начала их действия предусматривался достаточный временной промежуток, в течение которого процессы и системы, затрагиваемые вновь вводимыми или измененными требованиями, должны быть приведены в соответствие этим требованиям.

На уровне стандартов – с тех пор как ГОСТы у нас стали не строго обязательными к соблюдению нормами, а рекомендательными документами – тоже не было больших потрясений в части комплаенса. Да и собственных, национальных стандартов, написанных с нуля, у нас в последнее время тоже практически не стало – в основном появляются локализованные версии международных стандартов, хорошо знакомые ИТ-специалистам еще в виде первоисточников и, следовательно, не таящие в себе каких-то подводных камней.

Что же изменилось в последнее время? Короткий ответ на этот вопрос – да практически всё! Вспомните уже названные выше тренды (не только в ИТ-сфере, но и в экономике и политике) прошедшего, 2015 года – все они так или иначе способствовали тому, что внезапно (в масштабах нормотворчества, конечно) вдруг возникло очень много новых или существенно переработанных регуляторных требований самых разных уровней – от поправок в федеральные законы до отраслевых регламентов. Причем все эти новые/переработанные требования вступили или должны вступить в силу на очень ограниченном отрезке времени. И многие из них впрямую или косвенно влияют на жизненный цикл ИТ в организациях, на уже давно сверстанные (и нередко даже секвестированные – с учетом сложной экономической обстановки) планы и бюджеты ИТ.

Очень любят вводить такие новые требования «ускоренной готовности» Пенсионный фонд, Министерство по налогам и сборам, практически все силовые ведомства. Вот совсем свежий пример (взято из соцсетей, но все перечисленные факты легко проверяются). Только в ноябре 2015 года различными правительственными постановлениями внесены следующие изменения в законодательство, касающееся малого и среднего бизнеса (того самого, который топ-менеджеры нашей страны уже неоднократно призывали «не кошмарить»):

·      удвоены штрафы за ошибки в бухотчетности;

·      введена обязанность отчета в ПФР ежемесячно;

·      увеличен срок давности за ошибки в бухотчетности;

·      увеличены штрафы за опоздание со статотчетностью;

·      введена обязанность отчета по НДФЛ ежеквартально.

Легко видеть, что абсолютное большинство вышеперечисленных «новаций» несет в себе потенциал незапланированных доработок в ИТ-системы организаций. И ведь эти доработки придется выполнять, сдвигая сроки плановых проектов и перераспределяя ранее с трудом сбалансированные ИТ-бюджеты…

Отдельного упоминания (как практически неиссякаемый источник комплаенс-требований) заслуживают наши «горячо любимые» депутаты Госдумы. Эти законодатели умудряются зачастую минимальными средствами наносить максимально разрушительные по своим последствиям удары. Достаточно внести в пару-тройку федеральных законов какую-то незначительную, на первый взгляд, поправку, как это может повлечь (и влечет!) лавину изменений и доработок, которые необходимо будет произвести в многочисленных корпоративных и государственных информационных системах.

Простой пример. Казалось бы, пустяк: «Внести в Федеральный закон №… в статью… в третьем абзаце после слов “предусмотреть хранение документов по кадровому составу” дополнение: “, в том числе и в электронном виде”». Всего-то семь слов и две запятые – а про то, каких многомиллионных (а скорее многомиллиардных) доработок информационных систем в рамках всей страны, начиная от Пенсионного Фонда и заканчивая отделами кадров небольших организаций, потребует эта поправка, можно написать целую статью, а то и не одну!

Товарищи Officer’ы!

Дочитавший (дотерпевший) до этого места вправе задать вопрос: а где же про указанное в заголовке новое офицерское звание для CIO? Да, собственно, об этом вся статья. Это новое звание – Chief Compliance Officer (CCO), директор по комплаенсу. Практически во всех западных компаниях, а сейчас и во многих российских финансовых организациях такая позиция существует в оргструктуре и штатном расписании. Но если на Западе топ-менеджер, занимающий эту позицию, отвечает за комплаенс в самом широком смысле этого понятия, то у нас в основном его ответственность ограничена требованиями упомянутого в начале статьи Положения Банка России № 242-П.

А кого же назначать на позицию CCO в других, нефинансовых организациях? Известно кого! Уже давно признано, что в России ИТ-директор должен быть универсальным топ-менеджером, то бишь в вопросах бизнес-процессов, финансов, маркетинга, управления персоналом, общего руководства разбираться немногим хуже, чем специально обученные профильные топы. Иными словами, быть немного и CFO, и COO, и СМО, и даже CEO. А вот теперь многим российским CIO нужно примерять на себя и «погоны» CCO. Потому что пока больше некому. Задачи комплаенса очень плотно завязаны на ИТ, без должной автоматизации большинство этих задач не решается, и понятно, что гораздо проще обучить ИТ-менеджера новой специфике, связанной с комплаенсом, чем юриста или финансиста всем премудростям руководства ИТ-инфраструктурой.

Вот таким представляется мне один из новых ИТ-трендов, который вполне может стать приоритетным уже в новом году. Как говорится, доживем – увидим.

Завершая статью, хочется напомнить читателям, чем хороши практически все предновогодние прогнозы: о них обычно никто не вспоминает через год, когда по идее нужно бы проверить – а насколько предсказанное оказалось правдивым? За все мое многолетнее регулярное чтение различных прогнозов мне лишь пару раз встретились подобные post-mortem analysis – когда аналитики старались честно (в меру способностей, конечно) сравнить прогнозную картинку с реальностью, наступившей через год. Совпадения, конечно же, были – но примерно с той же вероятностью, как если бы прогноз делался не на основании серьезных исходных данных и в соответствии со строгой научной методикой, а с помощью простого подбрасывания монетки. Зато там, где прогноз и реальность не совпали, аналитики сумели дать вполне резонные объяснения, почему так случилось.

Так что через год и я смогу, надеюсь, написать в следющей статье: «Вот видите, я же говорил…» Ну или: «К сожалению, прогноз об актуальности комплаенса не сбылся. Давайте посмотрим почему…»




[1] Цитируется по документу “ Положение Банка России от 16 декабря 2003 г. N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (с изменениями и дополнениями).
Система ГАРАНТ: http://base.garant.ru/584330


[2] Чтобы быть совсем корректным, следует уточнить, что термин «комплаенс» все-таки используется в отечественных ИТ, но в достаточно узком смысле – как соответствие регуляторным требованиям в сфере информационной безопасности. Даже в журнале «IT Manager» можно найти несколько статей про ИБ, где встречается слово «комплаенс».



Журнал: Журнал IT-Manager [№ 12/2015], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Мысли вслух

Мы много и часто говорим о том, что "ИТ меняют наш мир". Посмотрим, как это происходит в Китае с применением конкретных инструментов и затрагивает сотни миллионов человек.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

Конференция «СПО: от обучения до разработки»
ОНЛАЙН
Бесплатно
15.06.2021 — 18.06.2021
10.00–19.30
Четвертый цифровой саммит AVEVA
ОНЛАЙН
Бесплатно
17.06.2021
Conversations – конференция для бизнеса и разработчиков
ОНЛАЙН
12 900 руб
21.06.2021 — 22.06.2021
09:00–18:00
Apple Tech Business Week
Санкт-Петербург, IT-пространство для бизнеса Resonance Space
22.06.2021 — 24.06.2021
VI Конференция ЦИПР-2021
Нижний Новгород, ул. Совнаркомовская, дом 13, «Нижегородская Ярмарка»
15 000 руб
23.06.2021