Sarbanes-Oxley: za vším hledej IT
Zákon Sarbanes-Oxley je synonymem boje proti zneužívání moci manažery k vlastnímu obohacení. V našem příspěvku se zaměříme na to, jaké změny v podnikových informačních systémech a technologiích předpokládá prosazování tohoto zákona a jak se projeví na vývoji IT profese. Zákonem proti podvodům Jména jako Enron, Arthur Andersen, Tyco nebo WorldCom jsou spojena s finančními skandály, které otřásly v minulých letech důvěrou investorů ve zdravé fungování amerického korporačního prostředí. Do té doby jsme si mohli myslet, že takové věci se mohou dít pouze u nás a v několika zemích na východ od našich hranic, kde nepříliš dávná masová privatizace státních podniků vytvořila neprůhledné a korupční prostředí. Najednou jsme byli všichni svědky, že se finanční skandály dějí i renomovaných amerických korporacích s dlouholetou tradicí. Konkrétní odpověď americké legislativy na sebe nenechala dlouho čekat: v červenci 2002 podepsal americký prezident George Bush tzv. Sarbanes-Oxley (SOX) zákon, pojmenovaný po dvou členech amerického kongresu, Paula Sarbanese a Michaela Oxleyho, kteří jeho návrh předložili. Přísnější pravidla hry Tento zákon ukládá všem společnostem, jejichž akcie jsou veřejně obchodovány na americkém akciovém trhu, povinnost zavést a udržovat rámec interních kontrol a procedur pro zajištění transparentnosti finančního výkaznictví. Zároveň klade zvýšené požadavky na zodpovědnost managementu za jakákoliv zkreslení zveřejňovaných výsledků, za něž ukládá mnohem tvrdší postihy. V praxi to znamená zavedení nových úrovní kontrol a schvalování, aby bylo zaručeno, že finanční výkaznictví transparentně uplatňuje principy plného zveřejňování (full disclosure) a podnikové řízení (corporate governance).
K zákonu vyšla celá řada opatření a doporučení vydaných americkou Securities and Exchange Comision (SEC) a dalšími organizacemi upravující takové věci, jako jsou formuláře pro měsíční, čtvrtletní a roční reporty, uzávěrky, doporučení, jak provádět audit a podobně. Jak se SOX dotýká Evropy Často se manažeři dotazují, jak se SOX dotýká českých či evropských firem. Mnoho Evropských i některé české podniky jsou kótovány na více burzovních trzích. Proto také platí, že musí zákonu vyhovět - pokud tedy jsou obchodovány ve Spojených státech či na trzích, které vyžadují dodržování pravidel podle SOX (typicky kanadská nebo australská burza).
Dodržování SOX se týká i těch organizací, které mají v USA pobočku, či naopak jsou pobočkou mateřské firmy sídlící ve Spojených státech. Vyhovět SOX musejí i evropské auditorské firmy, které pracují s americkými klienty. Není to jen problém financí Mnoho firem tak v současnosti stojí před problémem, jak se přizpůsobit Sarbanes-Oxley. V této souvislosti se hovoří o zvýšené zodpovědnosti generálního a finančního ředitele za kontrolu systému vykazování finančních výsledků a o povinnosti ustanovit výbor pro audit. Méně často se však hovoří o dopadu tohoto zákona na IT, procesy a infrastrukturu organizací. Bereme-li v potaz skutečnost, že v dnešním světě prakticky neexistují podnikové procesy, které by nebyly postavené na příslušné IT infrastruktuře, pak je zřejmé, že zajištění kontrol ve finančních tocích se neobejde bez sladění s technologickým zázemím společnosti. Jak naložit s IT? Zajištění shody se SOX proto vyžaduje mimo jiné ověření, případně zavedení kontrol v oblasti IT. Auditoři mají omezené zkušenosti s interním fungováním IT v organizaci. Naopak IT manažeři většinou neznají konkrétní potřeby nutné k zajištění souladu s legislativou. Vzniká tak nová situace, v níž auditoři a IT management musí začít spolupracovat. Obě strany přitom vstupují do oblastí, které jim nejsou z podstaty jejich práce příliš známé. Paradoxní přitom je, že ačkoliv SOX má značně velký dopad na IT organizace, vlastní zákon se o informačních technologiích explicitně nezmiňuje. Výklady o tom, jaké z 36ti sekcí tohoto zákona jsou relevantní pro IT se mírně liší, ačkoliv ve všech případech je největší důraz kladen na sekci 404. Tato část totiž pojednává o "interních kontrolách". Ve stručnosti se jedná o následující oblasti: Standardní postupy Pro uchopení těchto požadavků a jejich uplatnění v reálném podnikovém prostředí existují standardy, které se dají více či méně úspěšně aplikovat. Jedná se o tzv. COSO (Committee of Sponsoring Organizations of the Treadway Commission), zahrnující soubor kontrol, identifikaci rizik, komunikace a sledování podnikových procesů. Obdobou COSO v IT je COBIT (Control Objectives for Information and Related Technology), stanovující soubor kontrol zaměřených na čtyři oblasti fungování IT: Nutné zlo, nebo příležitost? Když vedení firmy začíná s přípravou na certifikaci shody se SOX, v naprosté většině případů nemá jasnou představu o rozsahu potřebných prací. Po určitém období "seznámení se" s oblastmi a souvislostmi, které certifikace obnáší, následuje zvolení určité metodiky pro definování interních kontrol, procesů a procedur. V rámci programu pro přípravu na audit se stanoví zodpovědné role pro jednotlivé oblasti, které je potřeba pokrýt na základě zvolené metodiky. IT manažeři, před nimiž vznikne řada nových úkolů, obvykle přistupují k této problematice různým způsobem. Podle toho se potom liší i výsledky a celková hodnota, kterou zavedení a formalizace IT procesů, kontrol a procedur přináší.
Prvním přístupem je chápání přípravy na certifikaci jako nutného zla. Jejím cílem je pokrýt nejnutnější oblasti pro certifikace s co možná nejmenším dopadem na stávající provoz a rozvoj IT. Druhý, neutrální postoj, považuje přípravu na audit za nevyhnutelnou skutečnost, která by v závěru mohla pravděpodobně přinést nějaký užitek. Změny k lepšímu Poslední, nejvíce aktivní přístup, vnímá přípravu na shodu se SOX jako příležitost prosadit změny, které by se za normálních okolností těžko dostaly do popředí v seznamu priorit vedení firem. Samotná práce na přípravných projektech většinou neznamená pro IT příliš velká zlepšení, alespoň ne z pohledu návratnosti investic. Přínosy ale mohou spočívat v zahájení optimalizace a zlepšování některých oblastí IT, které doposud fungovaly "na dobré slovo". Příkladem mohou být definice formálně neexistujících úrovní IT služeb včetně odpovídajících SLA (Service Level Agreement) a monitorování jejich efektivity. Následuje konsolidace procesů a řešení problémů v oblasti řízení změn (Change management), jasná definice struktury a vlastnictví dat, řízení konfigurace systémové infrastruktury, zkvalitnění bezpečnosti přístupu k datům a systémům. V případě, že práce v těchto oblastech bude vycházet z celkové strategie společnosti, výsledek kvalitní implementace kontrol, schvalovacích procedur a procesů může velmi pozitivně ovlivnit růst výkonnosti podniku. Na rozdíl od "pouhého úspěšného auditu" přinese tento postup v konečném důsledku růst hodnoty celé společnosti. Dopad na IT profese IT manažeři, zvláště ti, co působí na rozhodovací úrovni, by se měli dobře vyznat v provádění kontrolního a schvalovacího procesu. Společně s ostatními vedoucími pracovníky by se měli podílet na analyzování aktiv firmy a potenciálních rizik, které mohou mít významný finanční dopad. Tato analýza pak slouží jako východisko pro definování plánu, který by postupně promítl podmínky SOX do změn v IT. SOX dělá manažery podniků explicitně zodpovědnými za zavedení, vyhodnocování a sledování efektivnosti interních kontrol prostřednictvím finančního výkaznictví. Pro většinu organizací bude oblast IT rozhodující k dosažení tohoto cíle, a to bez ohledu na to, zda se tak děje prostřednictvím integrovaného ERP systému nebo pomocí nesourodé kolekce provozních a finančních softwarových aplikací. Podnikové IT každopádně představují základ efektivního systému interních kontrol na finančního výkaznictví. O autorech Jan Farfan a Vladimír Kufner pracují ve společnosti Hewlett-Packard ČR. Příspěvek jsme ve zkrácené podobě publikovali v dubnovém čísle časopisu BIZ v rámci tématu Systémová integrace. 04.05.2006 - Jan Farfan, Vladimír Kufner