Розглянемо ще один можливий шлях #Кар’єри у ІТ для QA тестувальників. Дотичний з юриспруденцією, стратегічним ризик-менеджментом, бізнес аналізом, плануванням в одних точках, а інших з девелопментом, де тестери мають справу з людьми причетними до розробки архітектури й функціоналу, ідеї та самої мети створюваного програмного забезпечення.
 
Вакансій в Україні: IT Compliance manager, IT Risk Compliance manager, QA Auditor, Compliance Analyst, Compliance officer, як і самої комплаєнс служби — практично не існує офіційно, крім ха-ха ))), посади Compliance Director, ну як же то без голови керівника можна обійтися?
 
До прикладу, даний перелік вакансій по комплаєнсу виписаний з іноземних сайтів пошуку роботи Indeed та Glassdoor.
 
Що це такі за незвичайні назви IT професії? І що таке узагалі комплаєнс? — давайте далі продовжувати тему цими питаннями!
 
Тема доволі цікава має бути Вам, бо в Україні комплаєнсу обов’язки покладаються здебільшого на Team Lead -ів і якраз QA тестувальників, малій частці лише Бізнес Аналітиків.
 
Стартуємо з перекладу нового для Вас слова Сompliance, тому що доцільно по логіці розпочинати пояснення всього незвичного із простішого, чи не так?

Compliance — з англійської, згідно оксфордського словника: згода, відповідність, погодження, послух, дії відповідно інструкцій, приписів (compliance is an action in accordance with a request or command, obedience) Тобто, термін «Комплаенс» являє собою відповідність будь-яким внутрішнім чи зовнішнім вимогам або нормам.

 
Мається на увазі, що комплаєнс це є управління / контроль для замовників, пов’язаний з ризиками невідповідності, недотримання вимог законодавства, нормативних документів, правил і стандартів наглядових органів, галузевих асоціацій та саморегулівних організацій, загальноприйнятим правилам, кодексам поведінки і т.д.
 

Чому дотримання комплаєнс вимог є важливим?

Український ІТ ринок виробництва ПЗ у нас IT outsoursing — гаряче гарцює на аутсорс. Тобто на закордонних замовників, де озвучені ризики невідповідності в кінцевому підсумку можуть аукнутися стекхолдерам у формі застосування юридичних санкцій, у ЗНАЧНІ фінансові втрати. Особливо з Західної Європи, США й ін. цивілозованих країн зі строгими правилами гри.
 
ПРИМІТКА: Навіть…Великобританія, США, ЕС достатньо широко розглядають можливість застосування власної юрисдикції поза межами власного простору, якщо послуги надаються їх громадянам, ну або ж їх громадянам адресуються маркетингові компанії.
 
Compliance особливо актуальний і необхідний у галузях промисловості, де є прямий вплив на людське життя. Охорона здоров’я, фармацевтика, харчова промисловість тощо. І зазвичай державні організації строго контролюють інформацію та займаються питаннями добробуту й здоров’я своїх громадян. Співпраця з такими організаціями ще строгіше потребує слідування їх стандартам якості для забезпечення відповідності нормам. Наприклад, всі чули за багато років про ті чи ін. деталі, як працюють над цим проектом у GlobalLogic
 
Ба, не потрібно уявляти щось значне і глобальне. Простіші компанії, дрібні продуктові стартапи, звичайні розробники однаково ледь не щодня стикаються з комплаєнс ризиками, питаннями ліцензування / патентування / позиціонуванням свого програмного забезпечення. Як доказати що тивикористовуєш у своїй роботі ліцензоване програмне забезпечення? Як бути з тим коли ти копіююєш десь шматок коду? Використовуєш сторонні бібліотеки? Озвучуються питанням на яких умовах краще продавати / поширювати програмне забезпечення? Оскільки надмірно ліцензоване ПЗ складніше реалізувати, а недостатньо ліцензоване знову ж таки спричинить втрату частини прибутку й може викликати проблеми з дотриманням вимог.
 
На певному етапі зростання й розвитку майже перед усіма компаніями важливим моментом постає залучення свіжих іноземних інвестицій. А майже усім інвесторам із «цивілізованого світу» важливі ділова етика та репутація, якою відзначається компанія виробник їх програмного забезпечення. Авторитетні компанії вже давно розробили впровадили та використовують свої програми комплаєнсу і ділової етики, тому їм необхідна впевненість у тому, що купівля або співпраця з українською стороною не спричинить жодних негативних наслідків для них, а навпаки органічно увільється вже в їх існуючу екосистему.
 

Ще кілька уточнюючих моментів до терміну compliance

Історично ноги у комплаєнса ростуть із скандалів і їх тим самих негативних наслідків. Становлення Compliance відбулося 60-70 роках ХХ століття у США, зокрема поштовхом для його розвитку стали Вотергейтський скандал, коли було викрито численні випадки корупції, які стосувалися також приватних компаній. З метою протидії було прийнято Закон США «Про корупцію за кордоном» (Foreign Corrupt Practices Act/FCPA), яким були встановлені жорсткі правила контролю, вимоги до бухгалтерської та фінансової документації, проведення платежів, а також правила взаємовідносин з державними службовцями.
 
На початку 90-х у США були прийняті роз’яснення про порядок застосування кримінального покарання для організацій (Federal Sentencing Guidelines), що містять чіткі інструкції для створення ефективної програми в галузі комплаєнс, включаючи правила етичної поведінки. У 2004 р. ці роз’яснення були доповнені положеннями, які вказували на необхідність обізнаності менеджменту з основними умовами комплаєнс-програм.
 
Особливо актуальною темою сьогодні є GDPR (Загальний регламент захисту даних), набрав чинності 25.05.2018 р. в Європейському Союзі. Йдеться про ту кнопку, що ми щоразу тиснемо про згоду із політикою конфіденційності і зберігання наших cookie з персональними даними. Незважаючи на те, що це європейське законодавство, ОСЬ це якраз яскравий приклад того, як іноземний нормативний документ тією іншою мірою є застосованим для українських компаній.

Отже, compliance (відповідність вимогам) — важлива складова розробки високоякісного програмного забезпечення.

 
АКЦЕНТУЄМО УВАГУ: комплаєнс, це ціла система, процедура, процес, а найголовніше – це культура!
 
Логічно (“Комплаенс” / compliance ) є напрямом професійної діяльності, привнесеним в Україну великими західними компаніями.
 

Чому до Compliance у ІТ залучають саме тестувальників?

Насамперед, це пов’язано з тим, що створення якісних, ефективних і прибуткових програмних бізнес-продуктів потребує значних знань про це ж саме програмне забезпечення. Відповідно тестувальники, коли протестовують систему, на відміну від інших учасників команди, володіють більш повною картиною про програму.
 

Досвідчені тестувальники з власного досвіду успішно реалізованих проектів можуть:

  • якісно сформулювати і опрацювати вимоги, щоб була змога розробити максимально добре функціонуюче рішення;
  • врахувати всю специфіку та поточні цілі аплікації та компанії замовника;
  • запропонувати кілька варіантів робочого процесу для кожного бізнес-випадку;
  • ефективно управляти змінами;
  • управляти оновленнями версій ПЗ;
  • контролювати кількість багів (допустиму якість ПЗ);
  • моніторити чи не виникло уразливостей;
  • документувати та зберігати накопичені знання;
  • надати замовнику якісні поради, які позитивно повпливають, на більше задоволення кінцевих споживачів;
  • тим самим підвищать ефективність кінцевого результату, продуктивності тощо;
  • тестувальники роблять витрати на розробку найменшими.

Комплаєнс-спеціалістам потрібно:

  • постійно бути «up to date» щодо законодавства та останніх змін у стандартах;
  • QA/BA розуміти тонкощі бізнес-управління в тій галузі, де їх залучають до впровадження системи комплаєнсу;
  • вникнути у існуючу політику комплаєнсу замовника;
  • зуміти імплементувати зміни, які несе нова розробка в цю вже існуючу систему комплаєнсу замовника;
  • комплаєнс-менеджер повинен перетворити усі ризики в управлінські рішення (директиви);
  • вміти доносити усім учасникам команди інформацію про те, що варто зробити, а що взагалі не можна робити (від топ-менеджерів і тих, хто приймає бізнес-рішення, до всіх співробітників компанії);
  • налагоджувати комунікацію, щоб у кожного була можливість висловити свою думку;
  • слідкувати, щоб не виникло зловживань у кожної із сторін.

Compliance testing & also know as Conformance testing

Так у Теорії Тестування виділяють і такий вид тестування програмного забезпечення. Як нефункціональний вид тестування. Це своєрідний аудит чи відповідає ПЗ стандартам
 
Стандарти, які звичайно використовують у ІТ-індустрії, в основному визначаються великими організаціями, такими як IEEE (Міжнародний інститут інженерів з електротехніки та електроніки) або W3C (World Wide Web Consortium) багато інших. Також може проводитись співставлення відповідності із стандартами незалежних сторонніх компаній, які спеціалізується на цьому типі технології сервісу. Або, як згадувалося вище, згідно якихось міжнародних державних законодавчих актів — нічого складного для розуміння. Слід дивитися на контекст того, де і з чим конкретна програма буде працювати.
 
За цим посиланням невеличка, проте корисна підбірка корисних посилань для комплаенс аудиту
 
ВАЖЛИВО: перевірка відповідності повинна розпочинатися безпосередньо з самого початку проекту, ніж з більш пізнього етапу, оскільки важко виправити комплаєнс-ризик, коли сама вимога не буде належним чином задокументована. Найкраще починати на паралельно етапу Тестування Документації. На цій підставі додатково можна провести оцінку наскільки первинна документація повна і обгрунтована. І потрібно комплаєнс-аудит продовжувати на кожній стадії SDLC (Циклі Розробки Програмного Забезпечення). Якщо будуть прогалини, їх виправляти. Детальніше:
 

Обов’язки комплаєнс-офіцера полягають в наступному:

  • проведення консультацій про прийняті закони, правила і стандарти, а також інформування про останні зміни в цій сфері;
  • дотримання належних стандартів поведінки на ринку;
  • виявлення, оцінка та аналіз комплаєнс-ризиків;
  • передбачити політику управління конфліктами інтересів,
  • контроль, перевірка, звітність;
  • побудова схеми по консультуванні працівників клієнтів по роботі програми;
  • зважування всіх за і проти від регуляторного ризику;
  • кількісна оцінка ймовірності виникнення і можливих наслідків ризик-подій
  • моніторинг платіжних, курсових ризиків, включаючи аналіз нових банківських продуктів і методів їх
  • реалізації на предмет комплаєнс-ризику;
  • координація та участь в розробці заходів щодо зниження рівня ризику;
  • розробка і доведення до органів управління і керівників структурних підрозділів рекомендацій з
  • управління ймовірними ризиками;
  • моніторинг ефективності управління ризиком;
  • участь в розробці внутрішніх документів з управління ризиками;
  • виявлення конфлікту інтересів у діяльності організації та її співробітників;
  • аналіз показників динаміки скарг (звернень, заяв) клієнтів;
  • аналіз економічної доцільності аутсорсингу послуг і (або) виконання робіт;
  • участь в розробці нових внутрішніх документів і організації заходів, спричинених новою розробкою/версією, спрямованих на дотримання правил корпоративної поведінки, норм професійної етики;
  • участь в межах своєї компетенції з наглядовими органами, саморегулівними організаціями, асоціаціями тощо
  • інші функції, пов’язані з ризик-менеджментом, передбачені договором з замовником бізнес-партнером.

Коли потрібно проводити Compliance testing? — необхідність даного виду тестування повідомляє завжди керівництво.

Складові Compliance політики

У різних галузях у сфері комплаенсу можна зіштовхнутися у контексті зі специфічними областями, да-а-а-а-а-а-леко не пов’язаними з ІТ.  Якщо йти глибше в ліс по дрова 🙂 🙂 🙂 Якщо гіпотетично розробляти усю політику комплаєнсу з нуля комусь Система менеджменту якості (QMS), а не тільки вклинюватися зі своїми поправками, які стосуються конкретного ІТ продукту, то потрібно би було розробляти цілу низку внутрішньої документації:

  • Кодекс корпоративної поведінки (англ. Code of conduct) — головний документ комплаєнс-програми, регламентує норми поведінки співробітників організації при взаємодії з клієнтами, іншими співробітниками, контрагентами, постачальниками, наглядовими органами та іншими третіми особами, з якими стикається той чи інший співробітник у процесі виконання своїх професійних обов’язків, і поширюється на ін системи.

Крім Кодексу корпоративного поведінки існує море додаткових документів, залежності від ситуації та потреб, кілька прикладів:

  • Кодекс корпоративної етики (Code of Ethics)
  • Політика повідомлення про порушення (Whistleblowing policy)
  • Політика щодо хабарництва і корупції (Financial Crime / Fraud Prevention)
  • Політика щодо протидії легалізації ( «відмиванню») доходів, отриманих злочинним шляхом, і
  • фінансуванню тероризму (Fight against Money Laundering and Terrorist Financing)
  • Політика про конфіденційність даних
  • Політика щодо конфлікту інтересів (політика «китайських стін») (Chinese Walls)
  • Політика щодо використання та контролю інформації
  • Аналіз потоку персональних даних,
  • Політика законного використання ПЗ, згода на інвентеризацію, оновлення ПЗ
  • Політика Прихильність до лікування — цікавий документ для медичних і фармацевтичних проектів, це документ по-суті є згода відповідальність за самолікування, добровільне проходження пацієнтом запропонованого йому режиму лікування, споживання ліків по рецепту інструкції. У своїй сфері цей документ має ключове значення, оскільки за даними більшості дослідників, при довгостроковій терапії більше 50% пацієнтів не лікуються так, як їм наказано лікарем.
  • В електроніці (зокрема, в контрольно-вимірювальному обладнанні) комплаенс — параметр обмеження джерела напруги або струму, протилежний параметру стабілізації цього джерела. Наприклад, у випадку з джерелом струму, комплаєнсом буде максимальна напруга на виході, яку можна обмежити з метою запобігання пошкоджень від навантаження.

Методичні засоби:

  • Засоби збору даних
  • Засоби надання даних
  • Методи статистичної обробки даних
  • Теорія загального менеджменту
  • Нормативні акти, стандарти
  • Системний аналіз законодавства, тобто додаткові джерела роз’яснень, рекомендацій, практик успішного впровадження
  • Економічні розрахунки
  • Управління за допомогою планування

Які переваги надає наявність окремих комплаєнс фахівців у ІТ компанії?

  • підвищує шанси на перемогу при участі в тендерах, конкурсах, а також при укладанні договорів і контрактів зі значними знаними гравцями на ринку;
  • за рахунок якості та додаткового сервісу можна збільшити цінник на послуги компанії серед інших рівних умов;
  • можна продавати послуги комплаєнсу, як додаткові послуги і більше заробляти баксиків. Приклади: Тренінг персоналу, Періодичні оцінки, Періодичні перевірки (аудит),Інвентеризації ПЗ, Аудит інформаційної безпеки, Поради щодо ІТ-інфраструктури;
  • у випадку, якщо у компанії замовника ще не розроблена Система менеджменту якості (QMS), теж можна цьому посприяти за гроші;
  • наявність комплаєнсу підвищує довіру з боку інвестиційних компаній, зростання інвестицій для розвитку потужностей і вдосконалення виробничих процесів;
  • збільшує довіру з боку страхових компаній при укладенні відповідних договорів з організацією про страхування; Як не дивно, але у ІТ ризики (хоча це по суті мильні бульбашки) страхують;
  • підвищення іміджу організації в регіоні і галузі;
  • дає можливість ширшої співпраці в спільних роботах і проектах з іноземними партнерами;
  • є обов’язковою умовою для отримання державного, військового або будь-якого іншого замовлення, який фінансується з бюджету якоїсь країни або міста;
  • полегшує вихід на світовий ринок, кого ще там не має;
  • спрощує процес отримання ліцензій і дозволів;
  • вцілому підвищує конкурентоспроможність організації.

Підсумок:

Комплаєнс кропіткий ручний процес, який неможливо повністю автоматизувати. Відповідність вимогам досягається досить складно, здебільшого за рахунок компромісів. Але порівнюючи з середньостатистичними інвестиціями у оцінку комплаєнс-ризиків та заощадженнями ймовірних витрат на штрафи — економія суттєва. Відчуваєте, що така робота Вам підходить? — Уперед! 

Related posts

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.