Комплаенс-политика ИТ-компаний
В настоящий момент внедрение комплаенса с точки зрения закона не является обязательным для большинства российских компаний, в том числе и в ИТ, но отсутствие контроля и несоблюдение законов и стандартов может привести к самым серьезным последствиям. Прозрачность и легальность бизнес-процессов в компании зачастую прямо связаны с управляемостью компанией как системой. О комплаенс-политике ИТ-компаний на отечественном рынке говорит ИТ-директор компании «Интерпроком» Олег Слядников.
– Олег, по вашим наблюдениям, как выстроена комплаенс-политика в ИТ на отечественном рынке? Как исторически проходил процесс ее выстраивания?
– Я бы сказал, что ИТ и комплаенс работают по принципу кнута и пряника, если ИТ-технологии – это пряник, который помогает компаниям развиваться, то ИТ-комплаенс – это кнут, который подстегивает и направляет работу в правильное русло, помогая избежать серьезных негативных последствий из-за несоблюдения нормативных требований.
Компания «Интерпроком», как и большинство российских ИТ-компаний, начинала свой путь с дистрибуции зарубежного ПО и аппаратных систем. В иностранных компаниях, которые выводили товары на наш рынок, функция комплаенса была и остается неотъемлемой частью деятельности. При заключении партнерских соглашений с вендорами необходимо подписать разного рода документы, обязывающие вести бизнес по определенным правилам и стандартам деловой этики и практики, учитывая законодательство как страны производителя, так и страны, где ИТ-продукция реализуется. Поэтому я бы сказал, что история российского комплаенса в ИТ начиналась с использования международного опыта предотвращения, прогнозирования, идентификации и управления рисками. Так к нам пришли знания, например, про закон США о коррупции за рубежом (FCPA), стандарты аудита Sarbanes-Oxley (SOX) и другие.
Даже термин у нас продолжают использовать в английском варианте. Само слово «compliance» можно перевести как согласие, соответствие, повиновение, действие в соответствии с указанием.
В настоящий момент внедрение комплаенса с точки зрения закона не является обязательным для большинства российских компаний, в том числе и в ИТ, они могут самостоятельно принимать решение - применять у себя комплаенс или нет. Исключение составляет финансово-банковская сфера, кредитные организации закон обязывает его внедрять.
При этом опыт ряда российских ИТ-компаний, который освещался в прессе, наглядно демонстрирует, что отсутствие контроля и несоблюдение законов, кодексов поведения, инструкций, правил, стандартов может привести к самым серьезным последствиям, таким как применение санкций юридических или регулирующих органов, к финансовым убыткам, потере репутации. Прозрачность и легальность бизнес-процессов в компании зачастую прямо связаны с управляемостью компанией как системой.
В декабре 2014 года опубликован стандарт ISO 19600:2014 по системам управления комплаенс - Compliance management systems. Это своего рода руководство к действию, с точки зрения правового аспекта, он не обязателен к исполнению, но его внедрение дает компании дополнительное конкурентное преимущество.
Отрадно видеть, что сегодня в российских ВУЗах уже готовят специалистов по комплаенсу, есть онлайн-курсы, выросло поколение отечественных специалистов в этой области, появляются компании, которые предоставляют консультационные услуги по комплаенсу, включая ИТ, на порталах с вакансиями можно увидеть запросы на комплаенс-специалистов не только в зарубежные компании, но и в российские.
Весь руководящий состав «Интерпроком» имеет многолетний опыт работы в крупных международных ИТ-корпорациях, богатый практический опыт в области комплаенса и уделяет этому аспекту очень большое внимание. Сегодня мы можем опираться не только на зарубежные практики, но и нарабатывать свои, которые наглядно демонстрируют, что грамотный комплаенс-контроль как в ИТ, так и других областях способен формировать дополнительную ценность в виде доверия клиентов, партнеров, поставщиков и общества в целом.
– Какие компоненты комплаенс-политики свойственны именно ИТ-рынку? А какие обуславливает отечественная специфика?
– Специфика ИТ заключается в самой специфике этой отрасли и ее бизнес-процессах. Основная цель управления соответствием в ИТ состоит в том, чтобы гарантировать, что ИТ-функции в организациях работают в соответствии с требованиями и обеспечивают эффективное управление необходимыми политиками в ИТ, средствами контроля и стандартами, а также продуманным подходом к управлению ИТ-рисками. Сюда входят такие области, как сбор данных и управление ими, контрольные журналы, рабочие процессы, управление базами данных, безопасность информации и приложений, противодействие мошенничеству, управление ИТ-закупками, доступность систем и предоставление услуг.
Основываясь на своем многолетнем опыте, выделил бы три основных аспекта, на которых был сфокусирован изначально комплаенс в ИТ-отрасли, который был привнесен зарубежными вендорами: лицензионная чистота и борьба с пиратством, правильное ценообразование для конечных пользователей и недопущение коррупционной составляющей в цепочке ИТ-поставок, особенно при работе с государственными организациями. Сегодня к наиболее важным аспектам ИТ-комплаенса добавил бы контроль работы с персональными данными, информационную безопасность и обеспечение работы удаленных пользователей, а также предоставление облачных сервисов, но это тоже глобальные тренды, которые сложно отнести к особенностям отечественного ИТ, несмотря на наличие российской законодательной базы.
С моей точки зрения нет другой отечественной специфики, кроме традиционного «авось» в условиях, когда строгость законов компенсируется слабым контролем их исполнения – это наша общеизвестная специфика, и, к сожалению, она касается не только ИТ.
– Каковы тенденции на ИТ-рынке, связанные с комплаенс-политикой? Ваши прогнозы относительно ее дальнейшего развития в отечественных ИТ-компаниях.
– По мере того как развивается инициатива импортозамещения и форсируется выход отечественных разработок на международный рынок, соответствие международным стандартам будет усиливаться. А с развитием «разумных систем» на первый план будут все больше выходить вопросы, связанные этическими аспектами робототехники и ИИ.
И самое главное, что должно и будет изменяться – это сознание людей. У каждого сотрудника должно войти в привычку работать по правилам, руководствоваться ими при выполнении своих должностных и функциональных обязанностей, не проходить мимо нарушений, своевременно на них реагировать и принимать все возможные меры для их недопущения. И здесь очень важным аспектом является корпоративная культура открытости и высоких этических стандартов, которая поддерживается как личным примером руководящего состава, так и постоянным обучением персонала. Корпоративная идеология будет формировать внутренние нормы и ценности, которые станут для сотрудников не навязанными, а «нативными» и естественными.
Источник: ict-online.ru/interview/i200126
Мнение других экспертов ИТ-рынка: ict-online.ru/analytics/a201038/, https://spbit.ru/analytics/a201038/
