Хотя это, конечно, только предварительные выводы, все же в связи с серьезностью ситуации я уже устно проинформировала комитет».
Я чувствую, что бледнею. Хотя я знаю не все профессиональные словечки аудиторов, я понимаю достаточно – это может совсем испортить день Дику и, более того, означает потенциально гораздо худшие первые полосы для нас.
Удовлетворенная тем, что я понимаю всю опасность положения, Нэнси кивает. «Тим, пожалуйста, пройдись по своим заключениям».
Он достает огромную стопку скрепленных бумаг и раздает по такой же всем присутствующим. «Мы только что закончили аудит общего контроля IT в Parts Unlimited относительно всех критических финансовых систем. Потребовалась работа команды из четырех человек, чтобы собрать этот полный отчет».
Вот дерьмо. Я беру в руки двухдюймовую пачку бумаг. Где они нашли такой большой степлер?
Это распечатанная экселевская таблица с двадцатью столбиками на странице, все напечатано крошечным 8 кеглем. Последняя страница – 189. «Здесь же, должно быть, тысячи проблем!» – говорю я, не веря глазам.
«К сожалению, да, – отвечает он, не в силах полностью скрыть удовлетворения. – Мы обнаружили 952 неточности в системах общего контроля, из которых шестнадцать – это значительные ошибки, а две – потенциальные существенные проблемы. Очевидно, мы очень встревожены. Учитывая, как скоро начнется внешний аудит, мы бы хотели как можно скорее ознакомиться с вашим планом по устранению всех ошибок».
Вэс сгорбился за столом, одна рука на лбу, другая листает страницу за страницей. «Что это за дерьмо?» Он достает одну страницу. «Проблема 127. Небезопасные настройки MAX_SYN_COOKIE в операционной системе». Это шутка? Если вы не в курсе, у нас есть настоящие дела, которыми нужно заниматься. Уже простите, если это как-то нарушает ваш служебный рэкет, которым вы здесь занимаетесь полный рабочий день».
Вэс всегда говорит то, что думают и все остальные, но в отличие от него все достаточно умны, чтобы молчать.
Нэнси мрачно отвечает: «К сожалению, на данный момент фаза контроля и тестирования уже позади. Что нам сейчас от вас требуется, так это «объяснительное письмо руководства». Вы должны изучить все обнаруженное, подтвердить эти проблемы и затем создать план исправления ошибок. Мы рассмотрим его и затем предоставим на суд комитета по аудиту и директорам.
Обычно у компании есть месяцы на то, чтобы подготовить это ответное письмо и реализовать план восстановления, – продолжает она, внезапно выглядя виноватой. – К сожалению, в соответствии с нынешним календарем аудита у вас есть лишь три недели до прибытия внешних аудиторов. Это очень печально. Мы постараемся дать IT-отделу больше времени в следующем цикле аудита. Но сейчас, нам требуется ваш ответ к… – она смотрит на календарь. – Через понедельник, самое позднее. Думаете, вы справитесь?»
О, черт.
Это всего лишь шесть рабочих дней. Нам понадобится половина этого времени просто на чтение документа.
Наши аудиторы, которых долгое время я считал силой справедливости и объективности, тоже хотят мне подгадить?
Я снова беру в руки огромную стопку бумаг и просматриваю случайные страницы. Там много запросов вроде тех, что прочитал Вэс, но есть и такие, которые указывают на неверные настройки безопасности, существование нереальных аккаунтов, проблемы с контролем изменений и проблемы с распределением обязанностей.
Джон захлопывает свою папку и говорит официальным тоном: «Билл, я обсуждал многие из этих проблем с Вэсом и твоим предшественником. Они убедили директора по информационным технологиям подписать отказ, подтверждающий, что он понимает риски, и больше ничего не было сделано. Поэтому сейчас многое в этом отчете повторяется с прошлых лет, и не думаю, что в этот раз удастся также выкрутиться из ситуации».
Он оборачивается к Нэнси. «При прошлом режиме управления контроль в IT не был в приоритете, но так как теперь мы видим, к чему это может привести, я уверен, Билл будет более предусмотрителен».
Вэс смотрит на Джона с презрением. Я не могу поверить, что Джон рисуется перед аудиторами. В такие моменты волей-неволей начинаешь задаваться вопросом: а на чьей он стороне?
Не обращая внимания на Вэса и на меня, Джон говорит Нэнси: «Мой отдел занимался восстановлением некоторых других контрольных систем, которым тоже, на мой взгляд, нужно отдать должное. Прежде всего мы завершили токенизацию персональных данных в наших критических финансовых системах, так что, по крайней мере, хоть с этим мы разобрались. Эта проблема теперь закрыта».
Нэнси сухо говорит: «Интересно. Хранение персональных данных не попадает в поле зрения аудита на соответствие SOX-404, так что, с этой точки зрения, сфокусироваться на общем контроле в IT было бы лучшим способом использования времени».
Подождите-ка. Срочная токенизация, выполненная Джоном, была проделана впустую?
Если это правда, то нам с Джоном будет о чем побеседовать. Позже.
Я медленно говорю: «Нэнси, если честно, я понятия не имею, что мы сможем сделать для тебя к пятнице. Мы просто погребены под восстановительными работами и пытаемся еще поддерживать запуск «Феникса». Какие из обнаруженных проблем наиболее важны?»
Нэнси кивает Тиму, который говорит: «Конечно. Первое – это потенциальные существенные недостатки, они отражены на странице семь. Вот этот пункт указывает на неавторизованные и нетестировавшиеся изменения в приложения, которые поддерживают финансовую отчетность. Это могло привести к неопределяемой существенной ошибке, вплоть до мошенничества и т. п. У руководства нет способов контроля, которые могли бы предотвратить или защитить систему от подобных изменений.
Более того, ваша группа вообще не проводит встречи относительно изменений, хотя предполагается, что они должны проходить еженедельно, согласно вашей же политике».
Я стараюсь своим видом не выдать, что на последнее собрание CAB вчера не пришел никто, а во время инцидента с системой расчет зарплаты мы настолько не подозревали об изменениях, которые проводил Джон, что закончилось все тем, что обвалился SAN. Если мы были слепы относительно этих изменений, я искренне сомневаюсь, что мы бы заметили, если бы кто-нибудь украл, допустим, 100 миллионов долларов при помощи специальной программы.
«Правда? Это невероятно. Я обязательно разберусь», – говорю я, надеясь, что в моем голосе звучит достаточно удивления и слышно, что это поражает меня до глубины души. Я киваю, Тим продолжает:
«Затем, мы нашли несколько инстанций, где разработчики имеют административный доступ к производственным приложениям и базам данных. Это существенно усугубляет риск мошенничества».
Я смотрю на Джона: «Серьезно? Ты не говорил. Разработчики вносят изменения в приложения, не получая специального разрешения на изменения? Это определенно звучит как риск системы безопасности. Что бы случилось, если бы кто-нибудь вынудил разработчика, ну, скажем, Макса, сделать что-то без авторизации? Мы должны с этим что-то делать, да, Джон?»
