Przez działy IT amerykańskich spółek giełdowych przechodzi burza. W oczekiwaniu na wszędobylskich audytorów porządkowane są procedury bezpieczeństwa, mechanizmy dostępu i kontroli zmian, systemy tworzenia kopii zapasowych.

Zaczęło się niewinnie. Na tyle niewinnie, że w 2002 r. prawie nikt nie wiązał uchwalonego właśnie Sarbanes-Oxley Act (w skrócie SOX) z systemami informatycznymi. Uchwalenie SOX było efektem wysiłków, które amerykańska Komisja Papierów Wartościowych (Securities and Exchange Commision) podjęła w celu odbudowy zaufania inwestorów do giełdowych korporacji. Zaufania, które zostało mocno nadszarpnięte po spektakularnych bankructwach WorldCom i Enronu spowodowanych "kreatywną księgowością".

Celem ustawy Sarbanes-Oxley jest ochrona inwestorów poprzez poprawę dokładności i wiarygodności sprawozdań finansowych publikowanych przez spółki. Środkiem do tego celu jest dwustopniowy system wewnętrznej kontroli procesów związanych z raportowaniem finansowym. Sama ustawa nie wspomina ani słowem o komputerach ani systemach informatycznych. A jednak są w niej przepisy, które gruntownie zmienią sposób zarządzania informatyką w korporacjach.

Zgodnie z paragrafem 404 SOX, przedsiębiorstwa muszą każdego roku dokonywać oceny efektywności swoich systemów kontroli wewnętrznej, które wpływają na raportowanie finansowe. Co więcej, zgodnie z paragrafem 302, przedsiębiorstwa co kwartał muszą potwierdzać, że opracowały, udokumentowały i przetestowały systemy kontroli wewnętrznej. SOX narzuca więc kontrolę tych procesów, które mają wpływ na raportowanie. A takim jest niewątpliwie proces komputerowego przetwarzania danych finansowych.

W większości firm wiarygodność raportów finansowych zależy wprost od kompletności, prawdziwości i aktualności danych przepływających przez systemy informatyczne. A to, do jakiego stopnia firma może polegać na automatycznych procedurach księgowania, zależy od tego, jak efektywny jest system kontroli systemów informatycznych. I faktycznie, odniesienie do systemów IT pojawia się w dokumencie "Standard audytu nr 2", wydanym przez Komisję Nadzoru nad Księgowością Spółek Publicznych (PCAOB), organizację powołaną przez ustawę w celu wprowadzenia jej przepisów w życie i ustanowienie odpowiednich standardów księgowych i audytorskich. Standard nr 2 jest dziś najważniejszym punktem odniesienia dla dostosowujących się do nowego prawa spółek. Najważniejszym, ale wcale nie jedynym.

Co ma PC do finansów?

W standardzie COSO, jednym ze standardów wskazywanych jako źródło szczegółowych wytycznych pomocnych przy tworzeniu zgodnego z ustawą systemu kontroli wewnętrznej, przyjęte jest, że w chwili, gdy procesy księgowe realizowane są w oparciu o systemy informatyczne, te systemy muszą zostać poddane odpowiedniej kontroli. Firmy amerykańskie przechodzą właśnie pierwszą rundę audytów zgodności z nową ustawą. Przeprowadzający je audytorzy stosują się do standardów COSO, CObIT lub ITIL. Audytowani twierdzą, że audytorzy oczekują dostosowania się do wszystkich przedstawionych w nich zasad zarządzania systemami IT, a nie do tych zasad, które znajdują się w obrębie zainteresowania SOX. Wskutek tego audytowane firmy wydają o wiele więcej pieniędzy na tworzenie odpowiedniej dokumentacji i procedur niż jest to faktycznie konieczne. Coraz wyraźniej widać, że prawo na razie kształtuje się i ewoluuje, zmierzając jednak nieuchronnie w kierunku ścisłego uporządkowania sfery zarządzania IT.

Dezorientację panującą w działach IT dobrze odzwierciedlają rozważania jednego z amerykańskich CIO: "Moim zdaniem (aby pozostać w zgodzie z SOX), powinniśmy być w stanie odpowiedzieć na podstawowe pytania dotyczące obsługiwanych przez nas komputerów osobistych. Kiedy wykonywany był ostatni update? Kiedy i jak komputer został przetestowany? Jakie oprogramowanie jest obecnie zainstalowane na tym komputerze? Czy jest licencjonowane i czy jest zgodne z naszą polityką oprogramowania? Czy mamy odpowiednie procedury kontroli zapobiegające nieuprawnionemu dostępowi do komputerów nieobsługiwanych w danej chwili przez żadnego pracownika? Jakie ważne dane są przechowywane na PC? Kiedy ostatni raz robiono kopie zapasowe?" Zarówno w Stanach Zjednoczonych jak i w Polsce kontrola komputerów osobistych jest najsłabszym ogniwem kontroli w działach IT. A może się okazać, że to będzie musiało szybko ulec zmianie.

SOX zapoczątkował nabierającą tempa dyskusję o tym, jak powinny być zarządzane działy IT. Czy dopuszczalne jest używanie tego samego hasła przez grupę administratorów? Czy dopuszczalne jest wprowadzanie bieżących poprawek w oprogramowaniu w chwili zaistnienia takiej potrzeby, bez prowadzenia odpowiedniej dokumentacji? A jeśli użytkownicy zachowują się nieodpowiedzialnie, a wykorzystywane przez nich aplikacje wykorzystują te same serwery co aplikacje finansowe?

Producenci systemów zintegrowanych przekonują, że wejście w życie ustawy Sarbanes-Oxley jest właściwym momentem do rozpoczęcia projektów całkowitej integracji systemów IT oraz automatyzacji przepływu danych i dokumentów w przedsiębiorstwie. Niektórzy analitycy są nawet zdania, że SOX może być takim impulsem dla wymiany systemów informatycznych, jakim kilka lat temu był problem roku 2000. Tym bardziej, że zakupiony wówczas sprzęt wchodzi właśnie w schyłkową fazę cyklu życia.

Zadania przed działem IT

Firmy audytorskie próbują tłumaczyć prawo na język zrozumiały dla zarządów spółek. SOX, zgodnie z wykładnią PricewaterhouseCoopers, wygląda całkiem prosto. Najpierw firma powinna zidentyfikować systemy informatyczne, sprzęt i oprogramowanie, które ma wpływ na raporty finansowe. Tylko bowiem te procedury kontroli, które dotyczą systemów i środowisk informatycznych wpływających na raportowanie finansowe, muszą zostać odpowiednio udokumentowane i przetestowane. Przetwarzanie danych musi zostać zbadane nie tylko na poziomie aplikacji, ale również baz danych, sieci i systemów operacyjnych. Na każdym z tych poziomów zarząd firmy musi ocenić pięć obszarów: środowisko kontroli IT, proces rozwoju systemów, procedury wprowadzania zmian, dostęp do danych i programów oraz bieżącą pracę systemów informatycznych.