Требования SOX стали законом для всех публичных американских компаний, а их дорогостоящая реализация существенно затронула ИТ-службы; масса консультантов обогатились на этой работе, зато «сдавшим экзамен» правительство США разрешает торговать на биржах акциями. Однако в целом опыт шести лет внедрения SOX показывает, что применительно к ИТ и не только потери и риски, связанные с невыполнением этого закона, а также степень доверия к этим механизмам существенно меньше затрат и рисков, связанных с их внедрением и сертификацией.

Давным-давно унес ураган Элли с Тотошкой в Изумрудный город из прерий Канзаса. Благодаря этому событию весь мир до сих пор восхищается чудесной и доброй сказкой. Пока никому не удавалось найти этот загадочный Изумрудный город. Однако в середине 80-х годов несколько южнее вагончика Элли, в Техасе, начал расти волшебный город под названием Энрон. Сначала?— бизнес с трубами для нефти, затем и все остальное, что положено городу. Классическая история успешного бизнеса. Рос он, рос и дорос до волшебных высот под руководством щедрого и доброго Гудвина, раздававшего богатства всем желающим на благотворительные и прочие цели. Но вот в октябре 2001 года налетел ураган. Выяснилось, что «Великий и Ужасный» раздал на 618 млн долл. больше, чем имел. Его преемникам спасти чужие деньги тоже не удалось. А финансовые дела Энрона вела в то время консалтинговая компания Андерсона, которая тоже попала в ураган после того как цена акции ее заказчика упала с 90 долл. до 50 центов за штучку. И исчез город, и растворились консультанты...

Но еще не успела осесть пыль от урагана, поднятого скандалом с Энроном и примкнувшим к нему Андерсоном, как последовали новые финансовые скандалы в таких компаниях, как WorldCom, Symbols, Tyco International, Adelphia Communications и некоторых других поменьше. Поэтому смелые рыцари закона, сенатор Пол Сарбэйнс (Paul Sarbanes) и конгрессмен Майкл Оксли (Michael Oxley), поспешили засесть за рабочий стол, дабы придумать систему устранения причин подобных «ураганов» в будущем. К лету 2002 года был готов Акт, который в «народе» быстро окрестили серным ангидридом (SOx или SO3, триоксид серы). Для усиления воздействия этих противоураганных мер на всех бизнесменов мира было предложено мягкое решение: не выполняешь предписания?— не примем ни на одну американскую фондовую биржу. Все испугались и стали внедрять SОX во всей бизнес-деятельности и, соответственно, в ИТ-департаментах, без которых сегодня уже немыслим любой бизнес.

В Акте было предложено несколько мер защиты интересов инвесторов от будущих энронов: внутренний мониторинг принятия решений топ-менеджеров, правила наблюдения внешними аудиторами за внутренними практиками, организация системы внутренней службы контроля, правила поведения руководства и набор требований по отделению деятельности по анализу безопасности от принятия инвестиционных решений. Акт сразу же попал под обстрел знатоков за непродуманность, запугивание, отсутствие структуры, потенциально высокие затраты на внедрение предписаний и возможные потери интересных инвестиций. Но поскольку тогдашний казначей всея мира, глава Федерального резерва, Алан Гринспэн, и начальник Nasdaq, Боб Грейфелд, были «за», Акт был принят. Хотя четырьмя годами позже тот же Гринспэн сравнил Акт с «ночным кошмаром» и стал призывать к полному его пересмотру.

Началось принятие мер, и все опасения сбылись. Мало того, некая статья под номером 404 вызывала сначала наибольшие трудности, а затем и наибольшие затраты. Там речь шла об ответственности топ-менеджеров за управление рисками и, главное, об обязательном контроле и аттестации внешними независимыми аудиторами качества управления рисками компании?— идеальной кормушке для консультантов. Цена подобного консалтингового сервиса для каждого отдельно взятого заказчика была, естественно, немалой. Особенно дорогим оказалась реализация требований SOX для ИТ?— сами процессы которой, в отличие от бизнес-процессов, были менее зрелы, и многое надо было решать одновременно. Для предприятия средней величины внедрения и сертификация по SOX оценивается примерно в 2 млн долл. Быстро выяснилось, что выполнение этих норм не под силу многим компаниям, в результате компании среднего размера стали избегать фондовых рынков, что привело к росту фондовых рынков за пределами США.

Авторы SOX покинули конгресс в 2006 году, когда их закон подвергался серьезным испытаниям и критике. Оба ушли на пенсию, но их имена уже вошли в историю, как имена создателей этого закона, носящего скрупулезное название: «Акт Реформы бухгалтерского учета и защиты интересов инвесторов публичных компаний».

Выгоды и невзгоды SOX

Трудно судить о реальных выгодах SOX, проще судить о затратах, особенно теперь, во время финансового кризиса в США, когда страсти опять разгорелись. К марту 2008 года американская экономика заплатила за SOX 1,2 трлн долл. и смещением центра торговли капиталом в Лондон. Сколько внедрение SOX стоило Европе, пока неясно?— здесь весьма критично относятся к американским изобретениям в сфере контроля и учета. Продвижение SOX происходит в Европе по многим направлениям: от создания систем взаимодействия между SOX и другими подходами, такими как COBIT и ITIL, до создания программного обеспечения, поддерживающего мероприятия по соблюдению требований, от убеждения через аргументацию до запугивания штрафами и санкциями. Хотя имеются и некоторые различия.

В сентябре 2006 года при Европейском сообществе был создан институт EuroSOx, который на первой странице своего сайта гордо заявил: «Мы не являемся филиалом института при Sarbanes-Oxley Group». Что следовало понимать как «мы сами все сделаем». Год спустя в Брюсселе по предложению германского руководителя Аудиторского отдела при Европейской Комиссии в Брюсселе, Юргена Тидже, был отвергнут план создания единого варианта SOX для Европы. Директива против SOX была принята в ноябре 2007 года, но достойной альтернативы пока не найдено. Брюссельский бюрократический аппарат выразил недовольство американизацией механизмов контроля и обеспечения безопасности, но и своего пока не придумал. Да и немудрено. Учитывать различия в законодательствах, культуре и прочие особенности 27 стран-участников?— дело непростое, а в контексте SOX?— почти невозможное. Нетрудно представить себе, что думает и чувствует каждый участник любой рабочей группы, связанной с внедрением SOX, когда читает жесткие слова американского Акта: «...несоблюдение правил SOX может повлечь многомиллионные штрафы ... и в особых случаях тюремное заключение...». И это также выдвигается европейскими консультантами в качестве аргумента за внедрение SOX.

Для всех американских компаний сертификация по SOX была обязательна до конца 2003 года. Европейские страны получили отсрочку до конца 2006 года. Речь идет о таких компаниях, как Ahold, KPN, KLM, AirFrance. Многие, получив время на размышление, попросту отказались от соблюдения американских правил и стали создавать свои, покинув Уолл-Стрит и обратившись к фондовым рынкам в Лондоне и Париже. Почти во всех странах Западной Европы сейчас приняты законы, базирующиеся на общих понятиях SOX, но полностью отвечающие местным условиям и законодательству.

Главная выгода SOX заключается только в привлечении особого внимания к вопросам управления операционными, инвестиционными и кредитными рисками. Хотя, например, банки уже с 80-х годов имели свои Базельские договоренности об ограничении рисков, и нормы качества в сферах производства и обслуживания разрабатывались с давних времен, все же, наверное, внимания к рискам было пока недостаточно. Теперь внимание руководства компаний к ИТ как стратегической составляющей бизнеса усилилось. Понимание информационной безопасности бизнесом улучшилось. Многие ИТ-директора приобрели больший вес в советах директоров, особенно в вопросах разработки корпоративной стратегии, планирования, бюджетирования и управления рисками.

Итак, SOX продолжает свой марш в мире бизнеса, хотя его нельзя назвать ни триумфальным, ни траурным. Окончательный приговор можно будет дать только при спаде, во времена испытаний, когда прилив финансово-экономической активности сменяется отливом.

SOX и ИТ

B самый разгар борьбы против рисков, за безопасность бизнеса и внедрение SOX, новый ураган в начале 2008 года потряс основы доверия инвесторов. Теперь уже во Франции. Жером Кервьель, тридцатилетний брокер, без особых коммерческих и финансовых талантов, с трудом выслужившийся в торговцы из скромного клерка отдела контроля, доторговался фьючерсами до прибыли в 5 млрд евро, которые «выпорхнули» из своего родного банка Societe General. Он ничего особого не придумал и не изобрел. Он хотел попасть в Изумрудный город «дорогой непрямой». Не исключено, что эти окольные пути ему показал SOX, дотошно расставляя вехи на этом сложном административном пути, четко описывая ответственности руководителей, но уделяя недостаточно внимания исполнителям средней руки. Точно зная условия контроля и мониторинга в соответствии со всеми возможными правилами и SOX-подобными актами, Кервьель сумел обойти все преграды.

Кервьель хорошо ориентировался в скриптах Visual Basic для обработки файлов Excel. Он участвовал в разработке многих спецификаций для программного обеспечения финансового управления и, будучи программистом, сумел перенастроить систему контроля и распознавания опасных и подозрительных банковских операций, выбирая при этом именно те параметры транзакции, согласно которым не требовалось немедленной проверки и подтверждения операции. Похитив коды доступов операторов, он прерывал определенные финансовые транзакции, осуществляемые компьютерной системой, и давал приоритетный ход другим. Кроме этого, он обеспечил сопровождение всех операций автоматическими сообщениями по электронной почте ответственным сотрудникам с целью обоснования принятого решения.

Как бы фанатично ни следовал банк Societe General требованиям SOX, как бы глубоко ни сертифицировался по всем мельчайшим деталям, это не смогло спасти его от потери миллиардов.

Другой пример. Лето 2008 года легендарный производитель джинсов Levi’s, при всей строгости внутреннего контроля в ИТ, на неделю задержал поставки продукции оптовикам, потеряв 45 млн долл. Виной этому было неудачное внедрение системы SAP в головном офисе и основных регионах, в результате которого была нарушена система резервного копирования и пропали данные о заказах. Многие упрекают также чрезвычайно сложную финансовую систему в Levi’s, которая была внедрена согласно стандартным правилам, разработанным компанией-поставщиком ERP-системы. После аудита, проведенного консалтинговой фирмой PriceWaterhouse Coopers, выяснилось, что всему виной было несоблюдение правил SOX.

Похожая ситуация произошла при внедрении ERP в Окружном департаменте образования Лос-Анжелеса в начале 2008. Только здесь консультантом была компания Deloitte, обвинившая департамент в несоблюдении правил SOX, когда после внедрения все зарплаты были перепутаны и переведены на счета 32 тыс. сотрудников, к радости одних и к недоумению других.

Учитывают ли ERP-системы правила SOX? Каков бы ни был ответ, проигрывает всегда заказчик, следуя правилам двух дотошных американцев и слишком доверяя производителям программного обеспечения ERP и их консультантам-интеграторам. Как бы то ни было, финансовые и торговые компании испытывают большие трудности с соблюдением правил SOX вообще и в ERP-контексте в частности. Крупные консалтинговые фирмы не заинтересованы в продаже чистого SOX-аудита, так как на этом виде деятельности много не заработаешь. Другое дело?— подготовка заказчика к сертификации по SOX! Это долгий проект, много часов по фактуре. Это проект, из которого может «вытечь» новый проект и еще больше бизнеса для консультантов. Например, поправки процессов, не соответствующих требованиям SOX или просто требующих улучшения. И, естественно, когда все готово, заказчику проще просить того же консультанта провести сертификацию SOX, чем искать его конкурента на стороне, который по определению будет недоволен работой предшественника и выступит со своими идеями улучшения и развития. В этом случае заказчик рискует попасть в круговорот затрат, кончающийся черной дырой. Таким образом, получается, что выбор ERP, полностью отвечающей требованиям SOX, может помочь избежать спирали затрат. И поскольку ERP пока не отличаются совместимостью с SOX, заказчику надо делать выбор?— SOX или не SOX, американские фондовые биржи или нет!

ИТ-системы и процессы

Соблюдения правил SOX принуждает ИТ-департаменты разрабатывать более детальную отчетность на всех уровнях, от сопровождения операционной деятельности до оценки влияния внедрения программного обеспечения на финансовые показатели компании в целом и на проектные показатели в частности. Множество внутренних и внешних аудитов всех процессов, в которых задействована финансовая информация в той или иной форме, отвлекают ИТ-специалистов от работы. Для большинства ИТ-департаментов, чьи процессы не находятся на высоком уровне зрелости, работа по правилам SOX усложняет и запутывает существующие системы информационной безопасности. Детальное документирование, дополнительное тестирование и поддержка особых механизмов финансового контроля означает серьезный рывок вперед по шкале зрелости одного отдельно взятого процесса, что приводит к однобокому развитию ИТ-процессов. Многие процессы получают, соответственно, меньше внимания и тянут управление качеством процессов и услуг ко дну.

SOX непосредственно затрагивает ИТ и процессы с ними связанные. С развитием Web 2.0 все технологии поддержки Web-приложений стали по-новому управлять информационной безопасностью, оперируя такими понятиями как «Пользователь» (ФИО, адрес, банковский счет, день рождения и т.д.), Front-End (пароли, логины, структура и содержание cookies и т.д.), Back-End (права администратора баз данных, доступ к серверам и т.д.), Network (межсетевые экраны, отдельная сеть для Web-серверов и т.д.), и ничего нового SOX здесь не добавляет, кроме требования генерировать бесчисленное количество отчетов и дополнительной документации. Поскольку SOX бизнес-ориентирован, ИТ-специалисты додумали его преломление для ИТ, однако все усилия сконцентрировались на безопасности технологий и процессов, без внимания к собственно разработкам. Правила для ограничения рисков при разработке программного обеспечения отсутствуют. Интерпретировать SOX для разработок пока еще никто не брался. А вот с процессами управления ИТ-услугами дело обстоит серьезнее.

Как известно, наиболее широко распространенным подходом к управлению ИТ-услугами является ITIL, при внимательном чтении версии 2 и 3 которой становится очевидно, что все акценты грамотного и адекватного построения процессов обеспечения услуг в той или иной степени полностью соответствуют требованиям SOX. Например, роли исполнителей и ответственных должны быть доверены разным людям. Или, например, все процессы должны быть документированы, и проверка документации должна осуществляться на регулярной основе. И так далее. Вот несколько конкретных примеров:

  • Только авторизованное программное обеспечение (ПО) может быть доступно для пользования сотрудниками компании. Должны быть внедрены процедуры обнаружения и предупреждения использования неавторизованного программного обеспечения. Должна быть разработана политика компании по использованию программного обеспечения. (SOX control F19/1a-1с)?— все эти положения полностью и даже более детально описаны в рамках процесса управления релизами ITIL.
  • ПО должно быть маркировано и периодически подвергаться проверке и инвентаризации (SOX control F19/1f?— именно в этом и заключается суть процесса управления конфигурациями ITIL).
  • Изменения в ИТ возможны только после детального тестирования (SOX control F14/Е1?— формально обязательная часть управления релизами и изменениями, детально проработанная в библиотеке ITIL).
  • Базисные конфигурации должны быть разработаны для всех ИТ-активов, им следует регулярно обновляться. Процесс создания базисных конфигураций должен быть формализован (SOX control F19-2D,2E/2F?— это также ключевой принцип управления конфигурациями ITIL).

Поскольку правила в основном одни и те же, поиск различий?— кропотливая и трудная работа, которую доблестно взвалили на себя внешние консультанты, правда, полностью на средства заказчиков, которые всерьез относятся к требованию SOX об обязательном аудите внешними консультантами контрольных механизмов компании (пресловутая статья 404). Сильно запутались отделы качества ИТ крупных компаний, где к каждому изобретению кабинетных консультантов относятся придирчиво. Как найти золотую середину и правду в смешивающихся течениях ISO20000, COBIT, 6S, ASL, BiSL, ITIL, SOX, MOF, и т.д.? Все эти модели и структуры претендуют на реальную помощь в улучшении процессов ИТ. Повторений в них, естественно, много, и говорят они об одном и том же, только перспективы различны. Понимание и попытка использования этих подходов больше похоже на слалом-гигант ночью.

Если в организациях идет знакомство с ITIL или уже частично началось внедрение некоторых его компонентов, то взаимодействие между консультантами ITIL и SOX часто удорожает работу над процессами. Что же делать последним, кроме как заседать на многолюдных собраниях и мучать консультантов по ITIL вопросами типа: «А вот об этом у вас где?» или «А это положение где отражено?». Эти собрания одинаково дороги и бессмысленны, так как на них присутствуют недешевые консультанты и не принимается никаких решений.

Уроки внедрения SOX в ИТ

Вне сомнения, качество внедрения SOX в ИТ зависит от степени доверия к Акту в бизнесе. В целом потери и риски, связанные с невыполнением правил SOX, а также степень доверия к этим механизмам гораздо ниже, чем затраты и риски, связанные с их внедрением и сертификацией. Общие затраты на управление информационной безопасностью растут так или иначе, независимо от степени проникновения SOX в компании любого размера, включая и крупные публичные.

SOX?— стратегическая инициатива. Это понимают все. Но не все ее используют для улучшения работы ИТ-департаментов. Часто «крутящий момент» SOX используется смекалистыми руководителями проектов по улучшению процессов для продвижения своих идей и обоснования «само собой разумеющихся в свете SOX» инициатив. Приведем несколько примеров из практики того, как под сенью SOX больше внимания уделяется смежным методикам и процессам:

  • появились проекты улучшения информационной безопасности и управления доступами;
  • произошло усиление акцентов внедрения процессов ITIL;
  • топ-менеджмент бизнеса обязан высказаться по поводу ИТ-стратегии и подробно сообщить о планах и сценариях управления непрерывностью бизнеса, на которых, в свою очередь, должны основываться подобные меры для ИТ;
  • наконец-то проведена полная инвентаризация всех активов или конфигурационных единиц;
  • произошло улучшение работы со «спящими» ключевыми показателями качества (Key Performance Indicator, KPI);
  • и уделяется особое внимание безопасности действия интерфейсов между системами и между процессами.

Подобных примеров можно привести великое множество, потому что в удивительном мире процессов управления ИТ усилия, прилагаемые в одном направлении, подчас дают самые неожиданные результаты и выгоды в других областях.

Кроме этого, общий успех бизнеса зависит не столько от выполнения требований SOX, сколько от общей культуры бизнеса и лояльности сотрудников. SOX?— не панацея от любых неудач и если найдутся желающие сделать зло, то они это сделают, принуждение к честности нереально.

Немногие любят SOX в США, многие не любят его в Европе, а в ИТ почти все относятся весьма скептически. Удивительно, что по поводу SOX согласие между бизнесом и ИТ достигается быстрее, чем по вопросам качества сервисов или быстроты проведения изменений. SOX может выправить извилистую дорогу в Изумрудный город согласования интересов бизнеса и ИТ, хотя на отдельных участках он наносит разметку, строит ненужные мосты и кладет асфальт, на что уходит много средств. И теперь это надо поддерживать в рабочем режиме. Не все компании выбрали такой сложный путь. Многие довольствуются простым грунтовым покрытием и прекрасно себя чувствуют. Интересно, как глубоко были внедрены требования SOX в ныне покойном банке братьев Леман? Там наверняка все сотрудники работали честно.

Александр Левинсон (al@tolkin.nl)?— независимый международный консультант по стратегическому ИТ-управлению (Гаага, Париж, Москва).