Intre Enron si Sarbanes-Oxley
Sfarsitul anilor 90 si inceputul noului mileniu au zguduit pietele financiare americane si societatea civila prin scandalurile legate de falimentul unor corporatii gigant precum Enron, World Com sau Tyco. Anchetele intreprinse au condus la descoperirea unor incredibile fraude financiare, dar mai ales, au relevat slabiciunile mecanismelor de control independent asupra rapoartelor financiare si necesitatea reproiectarii imediate a acestuia. Astfel, au luat nastere o serie de reforme in sistemul de audit financiar printre care si 2002 Sarbanes-Oxley, cu referinte directe catre domeniul IT.
In Statele Unite, companiile sunt obligate sa publice periodic rapoartele financiare. Investitorii interesati sa investeasca in respectivele companii se bazeaza pe un sistem complex de mecanisme de control public si privat care ii asigura de corectitudinea rapoartelor financiare. In general, o companie de auditori independenti certifica acuratetea acestor rapoarte financiare si faptul ca ele se incadreaza in asa numitele “Principii General Acceptate de Contabilitate” (GAAP).
Pana in decembrie 2001, americanii au trait cu senzatia ca Enron este una dintre cele mai profitabile si de succes companii. De altfel, “Fortune” a oferit trustului Enron, pentru cinci ani consecutivi, titlul de “Cea mai inovativa companie”, iar actiunile Enron au fost catalogate ca fiind printre primele “10 actiuni cele mai performante din ultimul deceniu”. Falimentul Enron a atras dupa sine pierderi de 61 de miliarde de dolari in randul actionarilor, iar 5000 de salariati din Houston si-au pierdut job-urile. Pierderile suferite de salariatii Enron care fusesera incurajati sa-si transforme fondurile personale de pensii in actiuni au fost estimate la 1,6 miliarde.
Motivele pentru situatia dezastruoasa in care a ajuns Enron sunt complexe. In primul rand, suita de investitii neprofitabile in diferite domenii – energetic, telecomunicatii, apa – care au generat costuri imense. Pentru a acoperi aceste costuri si a mentine imaginea unei firme prospere, Enron a apelat la o serie de inginerii financiare in totala discordanta cu legile americane si cu standardele contabile. Altfel spus, a masluit rapoartele financiare pentru a induce in eroare atat investitorii si bancile, cat si jucatorii pietei de capital.
Un rol important in falimentul Enron l-a avut auditorul independent. Firma de audit financiar Arthur Andersen, care a auditat Enron mai mult de 20 de ani, a ascuns in mod deliberat situatia catastrofala. Conform spuselor lui Neil Batson, unul dintre anchetatorii falimentului, Andersen s-a implicat chiar in consilierea Enron privind manipularea contabila a tranzactiilor, astfel incat sa ofere actionarilor o imagine falsa asupra balantelor contabile. Anchetele ulterioare au relevat ca auditorul Arthur Andersen a fost implicat si in manipularea rapoartelor financiare ale altor firme americane majore, cum ar fi Sunbeam, Waste Management sau McKesson. Pentru World Com veniturile au fost inflatate cu 1,2 miliarde de dolari cu acoperirea Andersen.
Toate aceste erori au readus in discutie rolul firmelor de consultanta si audit financiar si independenta acestora. S-a constatat ca firmele de audit sunt tentate mai degraba sa plaseze interesul conducerii companiei (care de altfel le plateste si selecteaza) deasupra investitorilor. Cele 58 milioane de dolari pe care Andersen le primea anual pentru servicii de consultanta si audit au primat in fata ilegalitatilor comise de conducerea Enron. Publicul american a amendat deopotriva atat analistii pietelor financiare, brokerii de pe Wall Street, cat mai ales Comisia de Securitate si Comert (SEC), care din 1930, reprezinta organismul major care protejeaza investitorii.
Ce este Sarbanes-Oxley Act?
Sarbanes-Oxley Act reprezinta o componenta a reformei legislative americane aparuta ca o necesitate dupa scandalurile financiare din anii trecuti. Ea reprezinta fundamentul viziunii asupra gestionarii si controlului unei companii. Ea impune standarde si reglementari asupra cadrului de control ale sistemului financiar. Initiatorul Sarbanes-Oxley Act este senatorul american, Paul S. Sarbanes, care a incercat schimbarea legislatiei imediat dupa caderea Enron, dar s-a lovit de un puternic lobby. Prabusirea ulterioara a WorldCom a fortat practic guvernul sa ia masuri imediate. Sarbanes-Oxley Act se considera a fi cea mai importanta componenta de legislatie de afaceri din ultima jumatate de secol.
Sarbanes-Oxley responsabilizeaza in mod direct managementul unei companii pentru implementarea, evaluarea si monitorizarea controalelor interne asupra sistemelor de rapoarte financiare. Sectiunea 302 specifica clar ca directorul executiv si directorul economic trebuie sa semneze personal rapoartele financiare anuale asumandu-si astfel responsabilitatea asupra acuratetii lor.
O alta masura adoptata de Congresul american este ca auditorii sa nu ofere in acelasi timp servicii de consultanta si de audit. Altfel, daca ma auditez financiar cu PriceWaterHouseCoopers, serviciile de consultanta trebuie contractate cu alta firma din cadrul “Big Four”.
De asemenea, legislatia americana a propus rotirea auditorilor pentru o mai buna responsabilizare a firmelor de consultanta si audit. Se presupune ca un auditor va evita sa “inchida ochii” in fata unor erori ale managementului daca stie ca 3 ani o alta companie de audit va verifica aceleasi inregistrari contabile.
Sarbanes-Oxley Act insa se focuseaza destul de putin asupra rolului pe care il are tehnologia informatiei in realizarea obiectivelor. Rolul IT-ului in realizarea acestor obiective este insa crucial avand in vedere ca majoritatea sistemelor financiare sunt gestionate de black box-uri IT. Indiferent daca sistemul financiar contabil al companiei este bazat pe o structura ERP sau pe o suita de aplicatii dispersate, el trebuie sa fie controlabil si sa indeplineasca cerinte stricte de securitate IT. Comisia de Securitate si Comert (SEC) nu recomanda un anume standard de controale IT implementabile (sugereaza cel mult COSO) si nici standardul dupa care ele vor fi auditate. ISACA propune pentru standardul COBIT ca un cadru robust cuprinzand 4 domenii, 34 de procese IT si 318 obiective de control care acopera integral cerintele specificate de SEC.
Sectiunea 404 solicita clar atestarea si certificarea rapoartelor financiare. Pentru ca principiile Sarbanes-Oxley raman totusi interpretabile, exista voci care sustin ca auditarea doar a sistemului financiar este suficienta. Adica, de exemplu, daca sistemul financiar contabil care proceseaza rapoartele financiare este oarecum izolat de restul sistemului informatic, nu trebuie sa fie luate in calcul alte subsisteme informatice si, cu atat mai putin, intregul sistem informatic luat ca tot unitar. Viziunea este insa complet falsa, pentru ca este greu de crezut ca un auditor nu va lua in calcul alte proceduri sau operatiuni IT. Altfel spus, certificarea rapoartelor financiare ca fiind compatibile Sarbanes-Oxley (din punct de vedere IT), va implica in final un audit de IT la nivelul intregului sistem informatic.
Despre cum se implementeaza un sistem informatic compatibil Sarbanes-Oxley, conform standardului COBIT al ISACA, vom vorbi in numerele urmatoare.