• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Как организовать контроль соответствия требованиям нормативов. Комплаенс-контроль.

Created: 13 July 2020

Статья начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №7 (157) за июль 2020 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.


Любое современное сложное производство сильно регламентировано. Если контроль исполнения налогового законодательства давно и хорошо налажен, то множество технических регламентов, требований, стандартов и законов часто контролируется значительно хуже. Как же организовать контроль соответствия требованиям законодательства так, чтобы предприятие не тратилось на штрафы?

В профессиональной среде аудиторов и управленцев в последние годы закрепился термин комплаенс. Комплаенс - соответствие требованиям законодательства или регламентов. Скорее всего, распространение термина связано с тем, что всё большее число предприятий внедряет у себя те или иные стандарты управления, контроля качества продукции и услуг. Когда отслеживается соответствие требованиям, то говорят о контроле комплаенса. Пожалуй, комплаенс можно назвать «близким родственником» аудита.
Совсем необязательно чтобы предприятие внедряло у себя международные стандарты или проводились сертификационные аудиты. Руководство может определить для себя ценные практики и методики, отслеживать следование им. Например, правила внутреннего трудового распорядка, производственной и санитарной безопасности. Всё чаще в комплаенс включается антикоррупционные регламенты, правила получения подарков. Но основным побуждающим мотивом контроля соответствия являются штрафы, отзыв лицензии и другие последствия, которые возникнут, если нарушение регламентов выявят контролирующие и регулирующие органы.

Определение требования действующего законодательства и договоров.
Первым шагом при контроле соответствия является выявление всех требований, исполнение которых нужно контролировать. Т.е. буквально нужно составить перечень законов, инструкций, регламентов применимых к организации. Затем из всех них извлечь конкретные требования, как именно должны реализовываться требования, кто ответственный за исполнение. И отдельно, другим человеком, проводится проверка реализации требования, т.е. тот самый комплаенс. Ниже в качестве примера приведен простейший вариант листа контроля соответствия. В нашей практике мы часто консультируем коммерческие банки, поэтому за основу взяты несколько инструкций Центрального банка в сфере информационной безопасности.

Ссылка на требование в регулирующем документе Формулировка требования Как реализовано требование на предприятии Ответственный за реализацию требования, должность и Ф. И. О. Проверка реализации проводена, дата проверки, должность и
Ф. И. О.
п.5 полож. ЦБ РУз № 631 Лица, ответственные за обеспечение информационной безопасности, должны быть назначены приказом Издан приказ № 13 от 3.02.2020, ответственным за обеспечение ИБ назначен Абдуллаев С. Н. Начальник отдела кадров, Штерн М. С. 10.02.2020, старший аудитор Васиева Ш. Ш.
п.28 полож. ЦБ РУз № 631 Система электропитания филиала должна быть оснащена источниками бесперебойного питания и дизель-генератором, обеспечен запасом топлива. Установлен дизель-генератор KIPOR KDE19STA3, планово-профилактические работы проведены 15.01.2020, полностью заправлен, дополнительный запас дизельного топлива - 20 литров    Главный энергетик, Кувватов К. К. 10.02.2020, главный инженер Рузиева Ш. Ш.
п.3.3 полож. ЦБ РУз № 461 На компьютерах должно быть установлено лицензионное антвирусное ПО Установлено ПО Avast Business Antivirus, приобретена лицензия на 50 компьютеров, срок лицензии до 25.03.2021 Главный специалист по ИКТ Абдуллаев С. Н. 10.02.2020, старший аудитор Васиева Ш. Ш.

Документ контроля соответствия - «живой», в него постоянно вносятся исправления, информация о контроле реализации. Поэтому удобнее вести его в электронном виде. Для начала подойдёт файл Excel, а со временем можно автоматизировать этот процесс и внедрить эти формы в действующую на предприятии систему (ERP). Сопутствующей пользой ведения контроля является высокая готовность к проведению проверок контролирующими органами. Всё что могут спросить и проверить - уже под рукой. И наоборот, если будут замечания со стороны проверяющих, то механизмы контроля дорабатываются. Составление перечня контрольных точек очень помогает и в удалённом управлении. Например, головной офис компании может дистанционно отслеживать как филиалы выполняют требования законодательства. Современные технологии позволяют не только заполнять формы отчётности, но и фиксировать факты выполнения требований. Можно прикладывать к формам сканированные документы, фотографии оборудования и помещений. Эта практика широко применяется в крупных торговых сетях. Вы наверняка видели, как сотрудники магазина после раскладки товаров на полках делают их фотографии и отправляют своему руководителю в виде отчёта.
Само собой, при выходе нового закона, инструкций дорабатываются и внедряются новые точки контроля соответствия. А при выходе на новые рынки нужно учитывать требования страны и региона. Хрестоматийный пример - когда в Европе в 2018 году был принят регламент по защите персональных данных GDPR, все мировые компании-гиганты вынуждены были дорабатывать свои процессы и документы. Если компания оказывает услуги или в Евросоюзе, или его гражданам, нужно соответствовать регламенту, даже если штаб-квартира находится не в ЕС.
В случае Узбекистана, после выхода закона «О персональных данных» самой логичной мерой является составление списка обязательных к выполнению требований, выявление в самой организации баз данных, в которых хранятся персональные данные. Об этом мы писали в 11-ом номере журнала за ноябрь 2019 г.
Контроль по соответствию требованиям должен распространяется даже на такую творческую деятельность как журналистика, дизайн, музыка. Выпуская в свет журнал, газету, фильм - редакция должна убедится что имеет все права на издаваемые материалы или они имеют правовой статус, не препятствующий распространению (например - общественное достояние). Если редакция не проверит лицензионную чистоту используемых изображений или текстов, то существует риск получения иска к редакции от правообладателей. Типичный пример: организация по договору аутсорсинга привлекает компанию для выполнения задач пресс-службы. Если на официальном сайте организации будет размещён материал, нарушающий чьи-то авторские права (например, для иллюстрации будет использована случайная картинка из интернета), то ответчиком по иску будет сама организация, а не компания-аутсорсер. Подробнее об этом можно прочитать в п. 18.1.2 государственного стандарта O'z DSt ISO/IEC 27002:2016 . Со временем система комплаенс-контроля становится серьезным инструментом, при помощи которого можно отследить кто и как нарушает требования законодательства. Поэтому нужно с самого начала озаботиться безопасностью системы. Как школьник, получивший двойку, постарается или спрятать дневник от родителей, или «вытравить» отметку, так и нарушитель не заинтересован в существовании документа, доказывающего его нарушения.
Со временем, любая сколько-нибудь серьезная система управления требует проведения аудита. Хорошей практикой считается проведение независимого (внешнего) аудита, когда его проводят специалисты, не зависящие от области аудита, не включенные в изучаемые процессы. Это может быть и сторонняя компания. При внутреннем аудите его проводят сотрудники, не зависящие в административном плане от изучаемого подразделения. Например, один отдел может проводить аудит процессов другого. Но важно понимать, что внутренний аудитор (или исполняющий его роль) должен иметь опыт, квалификацию, только в этом случае результат аудита будет содержательным. Если на предприятии налажен контроль соответствия требованиям (комплаенс-контроль), то и аудит проходит значительно проще.

В качестве резюме. Аудит является более общим, сложным мероприятием, целью которого является оптимизация процессов, повышение эффективности. Поэтому и проводится он относительно нечасто. Крупные предприятия проводят финансовые аудиты ежегодно, внутренние в системах управления качества могут быть чаще - ежеквартально. Скорее всего комплаенс в зачаточном состоянии есть на любом крупном предприятии. Именно его проводят юристы, когда изучают договора с поставщиками, визируют тексты инструкций, приказов. Контроль соответствия (комплаенс) это постоянный процесс призванный поддерживать соблюдение базовых норм, определённых в документах. Его отсутствие неминуемо приводит к штрафам, санкциям и другим тяжелым последствиям.

Copyright © 2011 © IT-TEAM SERVICE 2025 All rights reserved. Custom Design by Youjoomla.com
Новости