Analytics en Sarbanes-Oxley
Bestuur SOX-nakoming met selfdiens-BI-nutsmiddels soos Qlik, Tableau en PowerBI
Volgende jaar sal SOX oud genoeg wees om bier in Texas te koop. Dit is gebore uit die "Public Company Accounting Reform and Investor Protection Act", wat daarna liefdevol bekend is onder die name van die senatore wat die wetsontwerp, die Sarbanes-Oxley-wet van 2002, geborg het. 
Sarbanes-Oxley was die nageslag van die Securities Act van 1933 wie se hoofdoel was om beleggers teen bedrog te beskerm deur deursigtigheid in korporatiewe finansies te verskaf. As die nageslag van daardie wet, het Sarbanes-Oxley daardie doelwitte versterk en gepoog om aanspreeklikheid deur goeie sakepraktyke te bevorder. Maar, soos baie jong volwassenes, probeer ons dit steeds uitvind. Twintig jaar later probeer maatskappye steeds uitvind wat die wet se implikasies spesifiek vir hulle is, asook hoe om groter deursigtigheid in hul tegnologie en stelsels te bou om voldoening te ondersteun.
Wie is verantwoordelik?
In teenstelling met die algemene opvatting, is Sarbanes-Oxley nie net van toepassing op finansiële instellings nie, of slegs op die finansiële departement. Die doel daarvan is om groter deursigtigheid in alle organisatoriese data en verwante prosesse te verskaf. Tegnies is Sarbanes-Oxley slegs van toepassing op korporasies wat in die openbaar verhandel word, maar sy vereistes is gesond vir enige goed bestuurde onderneming. Die Wet maak die HUB en finansiële hoof persoonlik aanspreeklik vir die 
data aangebied. Hierdie beamptes maak op hul beurt staat op die CIO, CDO en CSO om te verseker dat die datastelsels veilig is, integriteit het en in staat is om inligting te verskaf wat nodig is om voldoening te bewys. Onlangs het beheer en nakoming meer van 'n uitdaging vir CIO's en hul eweknieë geword. Baie organisasies beweeg weg van tradisionele ondernemings-, IT-bestuurde Analytics- en Business Intelligence-stelsels. In plaas daarvan neem hulle selfdiensnutsmiddels soos Qlik, Tableau en PowerBI aan. Hierdie instrumente word volgens ontwerp nie sentraal bestuur nie.
Veranderings bestuur
Een van die sleutelvereistes vir die nakoming van die Wet is om die beheermaatreëls in plek te definieer en hoe veranderinge in data of toepassings sistematies aangeteken moet word. Met ander woorde, die dissipline van Veranderingsbestuur. Sekuriteit-, data- en sagtewaretoegang moet gemonitor word, asook of IT-stelsels nie behoorlik funksioneer nie. Nakoming hang nie net daarvan af om die beleide en prosesse te definieer om die omgewing te beskerm nie, maar ook om dit daadwerklik te doen en uiteindelik te kan bewys dat dit wel gedoen is. Net soos polisiebewyse ketting van bewaring, is nakoming van Sarbanes-Oxley net so sterk soos sy swakste skakel.
Die swak skakel
As 'n analitiese evangelis maak dit my seer om dit te sê, maar die swakste skakel in Sarbanes-Oxley-nakoming is dikwels Analytics of Business Intelligence. Die leiers in selfdien-analise hierbo genoem – Qlik, Tableau en PowerBI – Ontleding en verslagdoening vandag is meer 
algemeen gedoen in lyn-van-sake departemente as in IT. Dit is selfs meer waar van Analytics-nutsgoed soos Qlik, Tableau en PowerBI wat die selfdiens-BI-model vervolmaak het. Die meeste geld wat aan voldoening bestee is, het op finansiële en rekeningkundige stelsels gefokus. Meer onlangs het maatskappye tereg ouditvoorbereiding na ander departemente uitgebrei. Wat hulle gevind het, was dat formele IT-veranderingsbestuurprogramme nie databasisse of datapakhuise/markte insluit met dieselfde strengheid wat vir toepassings en stelsels gebruik word nie. Die Veranderingbestuurbeleide en -prosedures-area van voldoening val onder Algemene Kontroles en is gegroepeer met ander IT-beleide en prosedures van toetsing, rampherstel, rugsteun en herstel en sekuriteit.
Van die vele stappe wat nodig is om aan 'n oudit te voldoen, is een van die dinge wat die meeste oor die hoof gesien word om: "Hou 'n aktiwiteitsspoor met intydse ouditering, insluitend 'n wie, wat, waar en wanneer van alle operateuraktiwiteit en infrastruktuurveranderinge, veral dié wat onvanpas of kwaadwillig kan wees.” Of die verandering aan stelselinstellings, 'n sagtewaretoepassing of data self is, 'n rekord moet bygehou word wat ten minste die volgende elemente bevat:
- Wie het die verandering aangevra
- Wanneer die verandering uitgevoer is
- Wat die verandering is – 'n beskrywing
- Wie het die verandering goedgekeur
Dit is net so belangrik om hierdie inligting oor veranderinge aan verslae en kontroleskerms in jou Analytics- en Business Intelligence-stelsels aan te teken. Ongeag waar die Analytics- en BI-instrument op die kontinuum van beheer is – die Wilde Weste, selfdiens of sentraal bestuur; of sigblaaie (sidder), Tableau/Qlik/Power BI, of Cognos Analytics – om aan Sarbanes-Oxley te voldoen, sal jy hierdie basiese inligting moet opteken. Die ouditeur gee nie om of jy pen en papier of 'n outomatiese stelsel gebruik om te dokumenteer dat jou beheerprosesse gevolg word nie. Ek gee toe dat as jy sigblaaie as jou "analise" sagteware gebruik om besigheidsbesluite te neem, jy dalk ook sigblaaie gebruik om die veranderingsbestuur op te teken.
Die kans is egter goed dat as jy reeds in 'n ontledingstelsel soos PowerBI of ander belê het, jy na maniere moet soek om die opname van die veranderinge in jou besigheidsintelligensie en verslagdoeningstelsel te outomatiseer. So goed soos hulle is, buite die boks, het ontledingsinstrumente soos Tableau, Qlik, PowerBI nagelaat om maklike, ouditeerbare veranderingsbestuurverslaggewing in te sluit. Doen jou huiswerk. Vind 'n manier om die dokumentasie van veranderinge aan jou analitiese omgewing te outomatiseer. Nog beter, wees voorbereid om nie net 'n log van veranderinge aan jou stelsel aan 'n ouditeur voor te lê nie, maar dat die veranderinge ooreenstem met goedgekeurde interne beleide en prosesse.
Met die vermoë om:
1) demonstreer dat jy soliede interne beleide het,
2) dat jou gedokumenteerde prosesse dit ondersteun, en
3) dat werklike praktyk bevestig kan word
sal enige ouditeur gelukkig maak. En almal weet dat as die ouditeur gelukkig is, is almal gelukkig.
Baie maatskappye kla oor die bykomende koste van voldoening, en die koste van voldoening aan SOX-standaarde kan hoog wees. “Hierdie koste is belangriker vir kleiner ondernemings, vir meer komplekse ondernemings en vir ondernemings met laer groeigeleenthede.” Die koste vir nie-nakoming kan selfs hoër wees.
Die risiko van nie-nakoming
Sarbanes-Oxley hou uitvoerende hoofde en direkteure aanspreeklik en strafbaar met tot $500,000 5 en XNUMX jaar tronkstraf. Die regering aanvaar nie dikwels 'n pleit van onkunde of onbevoegdheid nie. As ek 'n uitvoerende hoof was, sou ek sekerlik wou hê dat my span kon bewys dat ons die beste praktyke nagekom het en ons geweet het wie elke transaksie uitgevoer het.
Nog 'n ding. Ek het gesê Sarbanes-Oxley is vir maatskappye wat in die openbaar verhandel word. Dit is waar, maar dink aan hoe die gebrek aan interne beheermaatreëls en gebrek aan dokumentasie jou kan belemmer as jy ooit 'n openbare aanbod wil maak.
