В недавнем обновлении правила 17a-4 (см. https://www.sec.gov/rules/final/2022/34-96034.pdf ) Комиссия по ценным бумагам и биржам (Securities and Exchange Commission, SEC) в полной мере шагнула в 21-й век, отказавшись от требования, согласно которому электронные документы должны храниться в формате «однократной записи, многократного чтения» (write once, read many – WORM). Вместо этого брокеры-дилеры теперь могут выбирать - продолжить использование WORM-систем или же использовать технологии «динамичного ведения документации», обеспечивающие наличие журнала аудита.
Что такое WORM?
Формат «однократной записи, многократного чтения» - это именно то, что следует из названия. Это способ хранения данных и обеспечения сохранности документов в неперезаписываемом и нестираемом формате. Помните ли Вы времена, когда мы прожигали компакт-диски? Формат CD-R был WORM-форматом. Вы можете один раз сохранить данные на диске, и затем обращаться к ним сколько угодно раз, - но их нельзя будет изменить или перезаписать.
Зачем потребовались изменения?
Большинство брокеров-дилеров используют для практических деловых целей системы «динамичного ведения документации» (dynamic recordkeeping systems), захватывающие данные, которые постоянно находятся в движении, обновляются и настраиваются для практических повседневных нужд. Для соответствия требованиям SEC также необходимо иметь отдельную WORM-систему.
Из-за неэффективности и непрактичности унаследованных систем (что может привести к тому, что компании ради удобства работы перестанут соблюдать законодательно-нормативные требования), SEC пересмотрела данное правило, потребовав от брокеров-дилеров, использующих электронные системы ведения документации, сохранять свои документы таким образом, «который позволяет восстановить исходные документы в случае их изменения, перезаписи или стирания; либо предотвращает изменение, перезапись или стирание оригинальных документов». Изменение правила позволяет теперь брокерам-дилерам соответствовать требованиям законодательства, используя либо формат WORM, либо альтернативу в виде журнала аудита.
Каковы новые требования в отношении «альтернативы в виде журнала аудита»?
Требования к контрольному журналу, установленные в новой редакции правил, гласят, что брокеры-дилеры обязаны обеспечивать сохранность и поддерживать документы таким образом, чтобы «имелся полный контрольный журнал с отметками времени, включающий: сведения о внесении любых изменений и удалений в документ или любую его часть; дата и время команд и действий оператора, которые приводят к созданию, модификации или удалению документа; сведения о лице (лицах), создающих, модифицирующих или удаляющих документ; и любая иная информация, необходимая для ведения журнала аудита каждого отдельного документа таким образом, чтобы поддерживать безопасность, подписи и данные, которые обеспечивают аутентичность и надёжность документа и позволят воссоздать исходный документ и его промежуточные версии.».
Мой комментарий: Автор, к сожалению, не акцентировал внимание на том, чего, собственно, добивается SEC – а в этом и заключается «изюминка» вопроса! Для SEC недостаточно иметь возможность установить, вносились ли в документ изменения во время его хранения; SEC хочет иметь возможность гарантированно получить документ в его первоначальном виде, несмотря на любые возможные попытки его модифицировать или уничтожить. Эту задачу сначала решали с помощью физических WORM-систем, где невозможность перезаписи обусловлена физическими особенностями носителя. Впоследствии появились логические WORM-системы, где неизменность записанной информации обеспечивалась программными и аппаратными средствами. Сейчас, по сути дела, допускается протоколирование всех вносимых в документ изменений, достаточное для того, чтобы осуществить «откат» этих изменений. Я бы сказала, что этот вариант может оказаться ловушкой, способной повлечь тяжкие последствия для брокера-дилера – если вдруг по каким-либо причинам (в т.ч. не зависящим от воли брокера-дилера) такой откат окажется невозможным…
Вывод
Новые рекомендации по ведению журналу аудита не должны оказаться чем-то новым для подразделений, отвечающих за исполнение законодательно-нормативных требований, и она фактически больше соответствуют тому, к чему привыкли юридические отделы, когда речь идёт о сохранении данных в ходе э-раскрытия (e-discovery). Они позволяет подразделениям, отвечающим за исполнение законодательно-нормативных требований, оптимизировать операции и отказаться от способного повлечь за собой дополнительные затраты и риски использования устаревших систем.
Наконец, учитывая динамичный и персонализированный характер современных веб-сайтов, платформ социальных сетей и каналов информационного обмена, процесс архивации документов должен быть в состоянии захватить все варианты, создаваемые этими источниками данных. Чтобы надлежащим образом доказать соответствие законодательно-нормативным требованиям, хранителям документов часто требуется доступ к архивам, в которых вещи показаны такими, какими они были на определенную дату, включая раскрывающиеся меню, переключатели, ссылки и персонализированные пути пользователей.
Это, казалось бы, небольшое обновление, сделанное SEC, позволяет подразделениям, отвечающим за исполнение законодательно-нормативных требований, перейти от WORM-систем хранения к более удобной альтернативе журнала аудита; выводит корпоративное управление из цифрового «каменного века» в новую, более функциональную эпоху.
Джим Гилл (Jim Gill)
Источник: блог компании Hanzo
https://www.hanzo.co/blog/sec_recordkeeping_requirement_change_dropping_worm_format
Комментариев нет:
Отправить комментарий