Соответствие нормативным требованиям связано с необходимостью решения целого ряда проблем. В их числе ведение дел в сложной нормативно-правовой среде, преодоление трудностей при достижении и поддержании соответствия нормативным предписаниям, а также понимание последствий их несоблюдения.
Сложность нормативно-правовой среды
По мере роста количества и расширения сферы действия нормативных актов происходит последовательное усложнение нормативно-правовой среды. Это возлагает на организации и их руководителей дополнительную ответственность за исполнение растущего числа предписаний и предоставление убедительных свидетельств их соблюдения. Различаются и специфические требования разных нормативных актов, равно как и объем необходимых работ, обусловленных каждым предписанием. Определение оптимальной стратегии в этой сфере для той или иной организации предполагает тщательный анализ каждого нормативного акта. Организации обязаны приложить усилия, чтобы разобраться, каким образом нормативные акты затрагивают их деятельность, а также проявить практичность при внедрении элементов управления и бизнес-процедур с целью убедительной демонстрации соответствия нормативным требованиям.
Достижение и поддержание соответствия нормативным требованиям
Многие организации убедились, что достижение и последующее поддержание соответствия требованиям нормативных актов связано с известными трудностями. В частности, многие компании обнаруживают, что меры по обеспечению соответствия сложнее, требуют больше времени и финансовых затрат, чем предполагалось ранее. Эти трудности зачастую вызваны попытками добиться одновременного соответствия требованиям многочисленных разнообразных нормативных актов, даже если эти предписания затрагивают независимые друг от друга подразделения организации. После того, как компания осуществит первоначальное обеспечение соответствия нормативным требованиям, на первый план выдвигается не менее сложная задача поддержания этого соответствия с наименьшими затратами. Границы ответственности за постоянное выполнение этой работы часто остаются размытыми. Нечеткое определение сфер ответственности ограничивает способность организации к целостному восприятию задачи соответствия нормативным требованиям и может повысить риск дублирования усилий.
Последствия несоблюдения требований
Для многих компаний соблюдение соответствия нормативным требованиям мотивировано стремлением избежать юридических последствий обратного. Помимо финансовых, гражданско-правовых санкций и уголовного наказания эти последствия могут включать ущерб репутации организации на рынке и утрату доступа к ресурсам, необходимым для успешного ведения дел.
Конкретная ситуация зависит от соответствующего нормативного акта, но в большинстве случаев несоблюдение предписаний может привести к: ощутимым штрафам (налагаются на частных лиц и на организации); лишению свободы за тяжкие нарушения; подаче судебных исков акционерами и другими заинтересованными сторонами; ограничению доступа на фондовые рынки; ограничению возможностей для ведения дел в районах действия определенных нормативных актов; усилению надзора со стороны контрольных органов; ущербу репутации компании; утрате доверия со стороны клиентов и деловых партнеров. Угроза этих последствий обеспечивает достаточную мотивацию, чтобы организации и их руководители серьезно относились к необходимости эффективных упреждающих мер по соответствию нормативным требованиям.
Деловые возможности
Соответствие нормативным требованиям связано не только с решением сложных задач, но и с дополнительными возможностями, которые открываются для организаций. К ним относятся возможности совершенствования бизнес-процессов, получения конкурентных преимуществ и дальнейшей интеграции ИТ в коммерческую деятельность с целью повышения окупаемости инвестиций.
Совершенствование процессов
Большинство нормативных актов предписывает организациям внедрение документированных и воспроизводимых процессов, снабженных надлежащими элементами управления для предотвращения ошибок и мошенничества. Автоматизированные процессы, как правило, располагают более эффективными элементами управления, нежели ручные, и аудиторы в целом больше полагаются на автоматизированные, а не на ручные процессы. Именно поэтому многие организации могут использовать необходимость соответствия нормативным требованиям для обоснования автоматизации неэффективных ручных процессов. Ключевым основанием для внедрения автоматизации процессов служит необходимость совершенствования элементов управления ИТ и способности к воспроизведению, однако дополнительное преимущество состоит в повышении эффективности процессов.
Хорошим примером повышения эффективности благодаря усовершенствованному процессу является управление учетными данными. Многие аудиторы обращают внимание на отсутствие элементов управления ИТ, связанных с процедурой управления жизненным циклом учетных данных пользователей, включая создание, изменение и удаление учетных записей и профилей. Для устранения этой недоработки компании внедряют автоматизированные средства управления учетными данными. Главная цель таких средств — автоматизация элементов управления ИТ, имеющих отношение к ответственным бизнес-процессам, однако их внедрение также повышает эффективность управления учетными данными пользователей.
Конкурентные преимущества
Тщательное и своевременное соблюдение требований нормативных актов может предоставить компаниям конкурентные преимущества. Организации, предоставляющие услуги другим компаниям, могут получить преимущества благодаря своевременным и подтверждаемым мерам по соответствию предписаниям. Причина этого состоит в том, что организации легче пойдут на сотрудничество с компаниями, которые соответствуют нормативным требованиям, рассчитывая получить от них помощь в решении собственных задач, связанных с соответствием. Например, ощутимую пользу от этого преимущества могут получить фирмы, оказывающие ИТ-услуги на условиях внешнего подряда, бюро обслуживания и компании, занимающиеся управлением медицинским страхованием.
Соблюдение конфиденциальности информации является сегодня еще одним поводом беспокойства для компаний и частных лиц. Неуклонное соответствие нормативным требованиям по охране конфиденциальности также дает организациям конкурентные преимущества. Организации могут превратить соответствие требованиям нормативных актов о конфиденциальности в инструмент маркетинга, укрепления доверия и расширения клиентской базы, а также снизить уровень общей обеспокоенности по поводу нарушений конфиденциальности и хищений учетных данных. Поскольку соблюдение директивы ЕС о защите данных (EUDPD) является непременным условием для ведения дел в некоторых европейских странах, выполнение этого требования может открыть новые рынки для продуктов и услуг компании.
Интеграция ИТ и окупаемость инвестиций
Необходимость соответствия нормативным требованиям может помочь руководителям ИТ-подразделений добиться более тесной интеграции ИТ в деятельность организации. Нормативные акты по большей части не содержат прямых предписаний о внедрении элементов управления на основе ИТ, однако зачастую именно руководству ИТ-подразделений в конечном итоге приходится заниматься внедрением элементов управления ИТ, настоятельно рекомендуемых этими актами. Это повышает потребность в тесном сотрудничестве руководителей коммерческих и ИТ-подразделений для решения непростой задачи по обеспечению соответствия нормативным требованиям.
Опираясь на растущее доверие со стороны руководства, руководители ИТ-подразделений могут продвигать другие инициативы по развитию ИТ, направленные на повышение эффективности и снижение затрат в рамках всей компании. Они, в частности, могут настаивать на приоритетности работ по разработке, обслуживанию и резервному копированию защищенных приложений.
