Страница 15 из 21
«Черт! – восклицаю я, тряся Пэйдж за плечо. – Дорогая, ты можешь отвезти детей в школу сегодня? Произошло нечто действительно ужасное, мне нужно встретиться со Стивом и руководителем внутреннего аудита. Мне нужно сделать несколько звонков и прямо сейчас ехать в офис».
Она отвечает раздраженно: «Последние два года ты отвозишь детей в школу по четвергам! Мне сегодня тоже рано убегать по делам!»
«Мне очень жаль, дорогая. Это действительно важно. Генеральный директор компании попросил меня решить этот вопрос. Стив Мастерс. Ты знаешь, парень из телевизора, который всегда произносит длинные речи на вечеринках компании? Я не могу опять облажаться после вчерашнего. А еще и эти газетные заголовки…»
Не сказа ни слова, она спускается по лестнице.
Когда я, в конце концов, нахожу переговорную для восьмичасовой встречи, я сразу же замечаю, как там тихо, не считая небольших коротких бесед, которые завязываются, когда кто-то входит в комнату.
Нэнси сидит во главе стола, рядом с ней четыре человека. Совсем рядом с ней Джон, как всегда в своем черном костюме-тройке. Как и обычно, я удивляюсь тому, насколько он молод. Ему что-то около тридцати с лишним, черные кудрявые волосы.
Джон смотрит вперед уставшими глазами и, как и многие выпускники колледжей, устроившиеся на офисную работу, постоянно набирает вес те три года, что работает в Parts Unlimited.
Джон на самом деле больше напоминает мне Брента, чем кого бы то ни было другого. Однако в отличие от Брента, который обычно носит футболку с логотипом Linux, Джон всегда одет в отглаженную рубашку, которая слегка ему великовата.
Вэс заметно хуже одет по сравнению со всеми остальными в комнате, но ему, очевидно, наплевать на это. Последний человек в кабинете – незнакомый мне молодой мужчина, скорее всего, IT-аудитор.
Нэнси начинает: «Мы только что закончили внутренний аудит Q3, который является подготовкой к предстоящему внешнему аудиту на соответствие SOX-404. Мы находимся в опасной ситуации. Тим, наш IT-аудитор, обнаружил поразительное количество проблем с IT-контролем. Хуже того, некоторые обнаруженные ошибки мы заметили еще три года назад – и за это время никто ничего не исправил. Их оставили нерешенными, и эти находки могут заставить нас прийти к заключению, что компания больше не контролирует точность своих финансовых операций. Это может привести к неблагоприятному выводу внешних аудиторов.
Хотя это, конечно, только предварительные выводы, все же в связи с серьезностью ситуации я уже устно проинформировала комитет».
Я чувствую, что бледнею. Хотя я знаю не все профессиональные словечки аудиторов, я понимаю достаточно – это может совсем испортить день Дику и, более того, означает потенциально гораздо худшие первые полосы для нас.
Удовлетворенная тем, что я понимаю всю опасность положения, Нэнси кивает. «Тим, пожалуйста, пройдись по своим заключениям».
Он достает огромную стопку скрепленных бумаг и раздает по такой же всем присутствующим. «Мы только что закончили аудит общего контроля IT в Parts Unlimited относительно всех критических финансовых систем. Потребовалась работа команды из четырех человек, чтобы собрать этот полный отчет».
Вот дерьмо. Я беру в руки двухдюймовую пачку бумаг. Где они нашли такой большой степлер?
Это распечатанная экселевская таблица с двадцатью столбиками на странице, все напечатано крошечным 8 кеглем. Последняя страница – 189. «Здесь же, должно быть, тысячи проблем!» – говорю я, не веря глазам.
«К сожалению, да, – отвечает он, не в силах полностью скрыть удовлетворения. – Мы обнаружили 952 неточности в системах общего контроля, из которых шестнадцать – это значительные ошибки, а две – потенциальные существенные проблемы. Очевидно, мы очень встревожены. Учитывая, как скоро начнется внешний аудит, мы бы хотели как можно скорее ознакомиться с вашим планом по устранению всех ошибок».
Вэс сгорбился за столом, одна рука на лбу, другая листает страницу за страницей. «Что это за дерьмо?» Он достает одну страницу. «Проблема 127. Небезопасные настройки MAX_SYN_COOKIE в операционной системе». Это шутка? Если вы не в курсе, у нас есть настоящие дела, которыми нужно заниматься. Уже простите, если это как-то нарушает ваш служебный рэкет, которым вы здесь занимаетесь полный рабочий день».
Вэс всегда говорит то, что думают и все остальные, но в отличие от него все достаточно умны, чтобы молчать.
Нэнси мрачно отвечает: «К сожалению, на данный момент фаза контроля и тестирования уже позади. Что нам сейчас от вас требуется, так это «объяснительное письмо руководства». Вы должны изучить все обнаруженное, подтвердить эти проблемы и затем создать план исправления ошибок. Мы рассмотрим его и затем предоставим на суд комитета по аудиту и директорам.
Обычно у компании есть месяцы на то, чтобы подготовить это ответное письмо и реализовать план восстановления, – продолжает она, внезапно выглядя виноватой. – К сожалению, в соответствии с нынешним календарем аудита у вас есть лишь три недели до прибытия внешних аудиторов. Это очень печально. Мы постараемся дать IT-отделу больше времени в следующем цикле аудита. Но сейчас, нам требуется ваш ответ к… – она смотрит на календарь. – Через понедельник, самое позднее. Думаете, вы справитесь?»
О, черт.
Это всего лишь шесть рабочих дней. Нам понадобится половина этого времени просто на чтение документа.
Наши аудиторы, которых долгое время я считал силой справедливости и объективности, тоже хотят мне подгадить?
Я снова беру в руки огромную стопку бумаг и просматриваю случайные страницы. Там много запросов вроде тех, что прочитал Вэс, но есть и такие, которые указывают на неверные настройки безопасности, существование нереальных аккаунтов, проблемы с контролем изменений и проблемы с распределением обязанностей.
Джон захлопывает свою папку и говорит официальным тоном: «Билл, я обсуждал многие из этих проблем с Вэсом и твоим предшественником. Они убедили директора по информационным технологиям подписать отказ, подтверждающий, что он понимает риски, и больше ничего не было сделано. Поэтому сейчас многое в этом отчете повторяется с прошлых лет, и не думаю, что в этот раз удастся также выкрутиться из ситуации».
Он оборачивается к Нэнси. «При прошлом режиме управления контроль в IT не был в приоритете, но так как теперь мы видим, к чему это может привести, я уверен, Билл будет более предусмотрителен».
Вэс смотрит на Джона с презрением. Я не могу поверить, что Джон рисуется перед аудиторами. В такие моменты волей-неволей начинаешь задаваться вопросом: а на чьей он стороне?
Не обращая внимания на Вэса и на меня, Джон говорит Нэнси: «Мой отдел занимался восстановлением некоторых других контрольных систем, которым тоже, на мой взгляд, нужно отдать должное. Прежде всего мы завершили токенизацию персональных данных в наших критических финансовых системах, так что, по крайней мере, хоть с этим мы разобрались. Эта проблема теперь закрыта».
Нэнси сухо говорит: «Интересно. Хранение персональных данных не попадает в поле зрения аудита на соответствие SOX-404, так что, с этой точки зрения, сфокусироваться на общем контроле в IT было бы лучшим способом использования времени».
Подождите-ка. Срочная токенизация, выполненная Джоном, была проделана впустую?
Если это правда, то нам с Джоном будет о чем побеседовать. Позже.
Я медленно говорю: «Нэнси, если честно, я понятия не имею, что мы сможем сделать для тебя к пятнице. Мы просто погребены под восстановительными работами и пытаемся еще поддерживать запуск «Феникса». Какие из обнаруженных проблем наиболее важны?»
Нэнси кивает Тиму, который говорит: «Конечно. Первое – это потенциальные существенные недостатки, они отражены на странице семь. Вот этот пункт указывает на неавторизованные и нетестировавшиеся изменения в приложения, которые поддерживают финансовую отчетность. Это могло привести к неопределяемой существенной ошибке, вплоть до мошенничества и т. п. У руководства нет способов контроля, которые могли бы предотвратить или защитить систему от подобных изменений.