Firmy, które zreorganizowały swoje działy IT pod kątem zgodności z najlepszymi praktykami opisanymi w bibliotece ITIL zastanawiają się więc, czy reorganizować się teraz pod kątem standardu CObIT, czy może zastosować podejście mieszane. Optymiści uspokajają, że przecież zarówno ITIL, jak i CObIT proponują usystematyzowane podejście do kwestii zarządzania dostępem do danych, bezpieczeństwa sieci, spójności danych przetwarzanych w systemach IT, a więc rozwiązują problemy wskazane przez SOX. Tak naprawdę lista aprobowanych standardów jest cały czas otwarta, bowiem zgodnie z zarządzaniem SEC zarządy zobowiązane są oceniać efektywność systemu kontroli wewnętrznej przedsiębiorstwa według uznanych standardów kontroli. Za odpowiednie standardy uznano te, które zostały ustanowione przez organizacje lub grupy przestrzegające właściwych procedur tworzenia standardów. Takich organizacji i takich standardów może być bardzo wiele.

Krótkoterminowe narzędzia i długoterminowa filozofia

Na razie sporo przedsiębiorstw objętych ustawą, szczególnie tych działających w Stanach Zjednoczonych, próbuje rozwiązać problem za pomocą pakietów oprogramowania umożliwiających ustalenie i śledzenie procedur przepływu i zatwierdzania dokumentów finansowych w przedsiębiorstwie, wykorzystujących dane z systemów finansowo-księgowych i mechanizmy zarządzania przepływem dokumentów. "SAP ma przygotowany we współpracy z PricewaterhouseCoopers pakiet oprogramowania ułatwiający przedsiębiorstwom osiągnięcie zgodności z ustawą Sarbanes-Oxley. Na razie działające w Polsce firmy nie planują jeszcze rozpoczęcia wdrożeń, ale częściowo wynika to z faktu, że wdrożenie prowadzone będzie na poziomie korporacji macierzystej. Częściowo zaś jest to kwestia koncentracji na projektach wdrożenia Międzynarodowych Standardów Rachunkowości" - mówi Agnieszka Pasławska z SAP Polska.

Analogiczny moduł "internal controls management" oferowany jest przez Oracle. "Samo wdrożenie takiego systemu nie jest nawet kwestią dwóch miesięcy, natomiast zdecydowanie dłużej mogą zabrać prace przygotowawcze - ustalenie i udokumentowanie procedur, przydzielenie odpowiedzialności" - mówi Jarosław Poręba z Oracle. I tu jest sedno sprawy. Oprogramowanie automatyzujące tworzenie odpowiedniej dokumentacji jest tylko częścią rozwiązania. Wielu szefów działów IT jest zdania, że w długim okresie ich firmy zupełnie przebudują swoje podejście do zarządzania systemami informatycznymi, podchodząc poważnie do takich zbiorów najlepszych praktyk, jak ITIL czy CObIT. Inni z niepokojem zastanawiają się, jakie regulacje unijne pójdą za ustawą Sarbanes-Oxley.

<hr size=1 noshade>Okiem doradcy - konsulntamci o Sarbanes-Oxley

Kogo dotyczy ustawa?

Wbrew pozorom Sarbanes-Oxley Act (SOX) dotyczy bardzo wielu działających w Polsce firm, należących do dwóch grup. Pierwsza to spółki zależne podmiotów amerykańskich notowanych na giełdach amerykańskich. Kluczowe są tutaj powiązania właścicielskie. Druga grupa to podmioty zarejestrowane i działające poza Stanami Zjednoczonymi, ale notowane na giełdach amerykańskich.

Pojawiły się już pierwsze opinie audytorskie z rynku amerykańskiego, bowiem nowe zasady dotyczą rocznych sprawozdań finansowych publikowanych po 15 listopada 2004 r. Dla przedsiębiorstw działających poza Stanami Zjednoczonymi, ale notowanych na amerykańskich giełdach przepisy dotyczą sprawozdań finansowych publikowanych po 15 lipca 2005 r., ale już teraz mówi się o ewentualnym przesunięciu tego terminu. Zgodnie z SOX przedmiotem kontroli jest m.in. cała sfera technologii informatycznych, a więc zasady zarządzania działem IT, zasady prowadzenia wdrożeń, zarządzania zmianami, procedury bezpieczeństwa. Ustawa nie określa jednak wyraźnie, w jaki sposób powinny wyglądać procedury zarządzania i kontroli. Więcej wskazówek niż obszarów, które należy objąć oceną w zakresie IT, zawiera "Standard audytu nr 2", wydany przez Radę Nadzoru nad Rachunkowością Spółek Publicznych (PCAOB), 161-stronicowy dokument określający, jak dokonywać oceny kontroli wewnętrznej zgodnie z Sekcją 404 SOX.

Ocena procedur kontroli w przedsiębiorstwie jest dwustopniowa. Pierwszy etap to samoocena kierownictwa spółki, która dokumentuje procedury kontroli oraz weryfikuje ich faktyczne wykonanie. Drugi etap to opinia audytora, który niezależnie ocenia budowę procedur kontroli oraz, na określonej próbie, ich efektywność, czyli sprawdza, czy procedury są faktycznie przestrzegane.

Dodatkowe obowiązki związane z audytem m.in. procesów IT spadną w tej chwili na audytorów sprawozdań finansowych. "Standard audytu nr 2" wyraźnie określa, że efektywność procedur kontroli wewnętrznej w ramach SOX ocenia audytor badający sprawozdanie finansowe spółki. Już wcześniej pewne kwestie związane z IT były oceniane przez audytorów, jednak na ogół w znacznie mniejszym zakresie. Badanie to miało na celu ocenę, w jakim zakresie można polegać na systemach informatycznych i procedurach kontrolnych pod kątem sprawozdania finansowego. Obecnie zapotrzebowanie na usługi działów analizy systemów informatycznych w firmach audytorskich może się znacznie zwiększyć.

Ustawa pośrednio dotyczy również firm outsourcingowych, które świadczą usługi na rzecz spółek wspomnianych wcześniej. Zarządy spółek giełdowych i audytorzy muszą bowiem poddać kontroli również istotne procesy powierzone firmom zewnętrznym. Popularnym (na razie w Stanach Zjednoczonych i Europie Zachodniej) sposobem zapewnienia zgodności z ustawą, jeśli chodzi o integralność powierzonych procesów, jest poddanie się przez firmę outsourcingową przeglądowi przez niezależnego biegłego rewidenta. Wynikiem takiego przeglądu jest przeznaczony dla klientów firm outsourcingowych i ich audytorów raport SAS 70, określający stosowane przez firmę procedury kontrolne i potwierdzający poprawność ich funkcjonowania.