Blaski i cienie firmy

Fundamentem Ładu Korporacyjnego są systemy informatyczne w możliwie najwyższym stopniu odporne na celową lub przypadkową manipulację.

Fundamentem Ładu Korporacyjnego są systemy informatyczne w możliwie najwyższym stopniu odporne na celową lub przypadkową manipulację.

Kiedy mówimy "jakość", intuicyjnie rozumiemy znaczenie tego słowa jako określenie najwyższych osiągalnych w danym momencie cech wyrobu lub usługi. Intuicyjnie też uznajemy, że cechy te nie są dostępne za darmo, a wręcz przeciwnie sporo kosztują. Od dawna słowo "jakość" kojarzono ze szwajcarskimi zegarkami czy też samochodami marki Rolls Royce. Równie dawno (a może nawet wcześniej) różnicowano poziom świadczonych usług restauracyjnych czy hotelowych. Słowo to przenosiło się na kolejne dziedziny ludzkiej aktywności, takie jak tworzenie oprogramowania lub prawa, czy też zarządzanie korporacjami i państwami.

Ostatnie lata przyniosły w skali kraju i świata bardzo dużo negatywnych przykładów w tych dziedzinach, powodując zasłużenie powstanie określeń typu "generowanie prawa niskiej jakości" (patrz wiele projektów ustaw odrzuconych przez Trybunał Konstytucyjny) lub też w USA "bad quality management" (tu można przytoczyć przypadek ENRON-u czy też WorldCom, gdzie określenie "zła jakość zarządzania" jest bardzo delikatne w stosunku do stwierdzonych tam faktów).

Od problemów tych nie jest wolny świat IT, często obwiniany za notoryczne generowanie wyższych niż przewidywano kosztów projektów, nieosiąganie założonej funkcjonalności rozwiązań czy wręcz o przyczynienie się do powstania wspomnianych oszustw księgowych (zwanych kiedyś elegancko "kreatywną księgowością") poprzez "nieszczelność" rozwiązań informatycznych. Do dziś pamiętany i przytaczany jest przypadek fiaska jednej z misji NASA na Wenus, spowodowany wadliwym działaniem oprogramowania sterującego lotem sondy, czy nie tak odległy wypadek przy lądowaniu samolotu Airbus linii Lufthansa na lotnisku Okęcie, spowodowany nieodpowiednią reakcją komputera sterującego na koniunkcję zdarzeń (błąd na etapie projektu logicznego) towarzyszących procesowi lądowania. Znane są mi dziesiątki przypadków, które miały miejsce w systemach mniej krytycznych, a o których można powiedzieć, że wynikły z niewłaściwej (czytaj "niskiej") jakości programowania (włączając w to poprzedzające programowanie prace analityczne). Trzeba jednak mieć świadomość, że nigdy nie osiągnie się absolutnej bezbłędności (stopy błędów wynoszącej zero), a uzyskanie wysokiego poziomu jakości oprogramowania i ogólnie mówiąc usług informatycznych jest bardzo złożonym i kosztownym procesem.

Odrębnym problemem jest zapewnienie odporności rozwiązań informatycznych na celowe działania zmierzające do nieuprawnionej modyfikacji wyników przetwarzania bądź ich destrukcji. Przypadki takie, oprócz spowodowania ogromnych nieraz strat, skutkują medialnie podsycanym brakiem zaufania do całego świata IT.

Dane w pełnym blasku

Blaski i cienie firmy

Tabela 1

Ten kryzys zaufania nieprzypadkowo jest porównywany do kryzysu, jaki miał miejsce w świecie korporacji (zwłaszcza w USA) i spowodował radykalne działania podjęte w obronie tzw. Corporate Governance, tłumaczonego jako Ład Korporacyjny. W najbardziej skrótowym ujęciu polega on na przyjęciu zasad, w tym także regulacji o mocy ustawy, określających przede wszystkim jasne reguły rejestracji i prezentacji danych finansowych firmy. Konieczność przyjęcia takich zasad wynikała przede wszystkim z licznych faktów celowego ukrywania rzeczywistej kondycji przedsiębiorstwa i uzyskiwania przez ich kierownictwo korzyści wynikających z zawyżonej oceny rynkowej tegoż przedsiębiorstwa. Ujawnienie rzeczywistego stanu rzeczy doprowadziło do ruiny wielu osób i podmiotów inwestujących na giełdzie na podstawie publicznie prezentowanych danych, w tym prowadzone przez wiele przedsiębiorstw w USA firmowe fundusze emerytalne. Oprócz spektakularnych upadków firm (w tym audytorskiej, która brała czynny udział w niszczeniu dokumentów świadczących o oszustwie) miało miejsce wiele incydentów manipulujących wartością giełdową spółek, co doprowadziło w szybkim tempie do powstania w USA ustawy określanej mianem Sarabanes-Oxley, która określiła rygory, jakim mają podlegać szeroko rozumiane sprawozdania finansowe (praktycznie każdy dokument, na podstawie którego określa się elementy wpływające na wartość finansową firmy), oraz nałożyła drakońskie kary na osoby z ścisłego kierownictwa (a także inne w określonych sytuacjach), które manipulowałyby takimi danymi bądź ukrywałyby je celowo.

Większość dyskusji w USA, dotycząca ustawy Sarabanes-Oxley, koncentruje się na jej dwóch rozdziałach, a mianowicie: 302 i 404. Zestawienia wymogów tych rozdziałów, adresatów i momentu ich wejścia w życie są zawarte w tabeli 1.

CIO zrobi

Wymogi tej ustawy przekładają się na świat IT, choć mechanizm tego przełożenia nie jest dokładnie w niej określony. Podobnie standardy audytu wydane przez PCAOB 7 października 2003 r. podkreślają wagę przypisaną kontroli IT, ale nie precyzują ani standardu, ani metod, jakie powinny być zastosowane. Chodzi tu przede wszystkim o zapewnienie, że systemy informatyczne firm będą w możliwie najwyższym stopniu odporne na celową lub przypadkową manipulację, natomiast wybór konkretnej metody pozwalającej na dojście do tego celu pozostawiają zarządom firm i audytorom. Przed osobami pełniącymi funkcje CIO w firmach podlegających prawu amerykańskiemu stają zadania: pełnego zrozumienia i zdobycia wiedzy z obszaru kontroli wewnętrznej, współtworzenia planu dojścia do pełnej zgodności (tabela 1) praktyk firmy z wymogami ustawy i co najważniejsze, zbudowania planu w obszarze IT umożliwiającego realizację planu nadrzędnego. W najogólniejszym zarysie wymaga to wykonania trzech kroków:

  1. Ocena stanu istniejącego w środowisku IT.

  2. Zaprojektowanie działań niezbędnych do osiągnięcia zgodności z dyrektywami ustawy (wynikających z planu firmy na poziomie wymogów stawianych kontroli finansów i sprawozdawczości).

  3. Zlikwidowanie luki istniejącej pomiędzy stanami 1 i 2.
Podejmując wyzwanie rzucone przez instytucje publiczne odpowiedzialne za nadzór nad stosowaniem prawa - w tym Securities and Exchange Commision (SEC) i Public Accounting Oversight Bard (PCAOB) - wiele firm audytorskich i instytucji tworzących standardy w USA rozpoczęło prace mające stworzyć praktyczne narzędzia umożliwiające wypełnienie jego wymogów i kontrolę przestrzegania.


TOP 200