Акции компании «СТС Медиа Инк.» котируются на фондовом рынке США. Поэтому ее деятельность должна соответствовать требованиям закона Sarbanes-Oxley (SOX), положения которого определяют требования к документообороту и финансовой отчетности компании. Пункт 404 этого закона требует включать «внутренние» отчеты в ежегодную отчетность компании, откуда следует необходимость установления и поддержания работы структур внутреннего контроля и процедур финансовой отчетности, а также необходимость регулярной оценки эффективности этих структур и процедур со стороны руководства компании.

За подобную деятельность по тестированию эффективности контрольных процедур и оценке рисков в СТС Медиа отвечает подразделение внутреннего контроля и управления рисками. Именно оно выступило заказчиком проекта по внедрению специализированной информационной системы. Подразделение уже обладало не только полным списком контрольных процедур и тестов к ним, но и полностью сложившимися процедурами внутреннего контроля, в частности, налаженной практикой тестирования процедур контроля по соблюдению требований закона SOX. Однако ранее использовавшийся для автоматизации процесса тестирования внутреннего контроля программный продукт перестал удовлетворять растущим потребностям компании.

Для перехода на новую автоматизированную систему управления рисками и проверки процедур внутреннего контроля СТС Медиа выбрала продукт ARIS Risk & Compliance Manager (ARIS RCM) компании IDS Scheer, в том числе благодаря тому, что эта медийная компания уже была знакома с платформой ARIS – здесь активно используются средства моделирования процессов семейства ARIS. Продукт ARIS RCM представляет собой систему управления потоками работ (workflow), связанными с оценкой рисков и тестированием эффективности контрольных процедур, предназначенных для снижения вероятности их возникновения или ущерба от их возникновения. С помощью системы сотрудники компании, отвечающие за внутренний контроль, могут быстро и легко создавать, проверять, выпускать и публиковать на внутреннем интранет-портале подготовленную к аудиту консолидированную документацию по всем проводимым тестам. Система также содержит средства анализа соответствующих данных, позволяющие выявлять «узкие» места в системе внутреннего контроля.

Проект выполнялся с сентября по декабрь 2010 года и включал в себя, в частности, моделирование пилотного процесса (его выбрал клиент) и связанных с ним рисков. Консультанты IDS Scheer разработали модели справочников общего назначения (оргструктура, информационные системы), описали пилотный процесс вплоть до детальных моделей третьего уровня, разработали иерархию рисков и дерево рисков, создали модели окружения контрольных процедур для выбранного процесса, смоделировали справочники для описания рисков.

Затем все модели, созданные в ARIS Business Architect, были экспортированы в развернутую систему ARIS RCM. После опытной эксплуатации пользователями и внесения исправлений система была запущена в промышленную эксплуатацию. Сейчас с ее помощью автоматизировано управление тестированием контрольных процедур, оценкой рисков, назначением и выполнением заданий, связанных с оценкой рисков и тестированием контрольных процедур.