Analitika və Sarbanes-Oxley
Qlik, Tableau və PowerBI kimi özünəxidmət BI alətləri ilə SOX uyğunluğunun idarə edilməsi
Gələn il SOX Texasda pivə almaq üçün kifayət qədər köhnə olacaq. Bu, 2002-ci il Sarbanes-Oxley Aktı olan qanun layihəsinə sponsorluq edən senatorların adları ilə məhəbbətlə tanınan "İctimai Şirkətin Mühasibat Uçotu İslahatı və İnvestorların Müdafiəsi Aktı"ndan doğuldu. 
Sarbanes-Oxley 1933-cü ildə qəbul edilmiş Qiymətli Kağızlar Qanununun övladı idi və onun əsas məqsədi korporativ maliyyəyə şəffaflıq təmin etməklə investorları fırıldaqçılıqdan qorumaq idi. Bu aktın nəsli kimi, Sarbanes-Oxley bu məqsədləri gücləndirdi və yaxşı biznes təcrübələri vasitəsilə hesabatlılığı təşviq etməyə çalışdı. Lakin, bir çox gənc yetkinlər kimi, biz hələ də bunu anlamağa çalışırıq. İyirmi il keçsə də, şirkətlər hələ də aktın onlar üçün nə təsir etdiyini, həmçinin uyğunluğu dəstəkləmək üçün texnologiya və sistemlərində şəffaflığın artırılmasını ən yaxşı şəkildə anlamağa çalışırlar.
Kim cavabdehdir?
Məşhur inancın əksinə olaraq, Sarbanes-Oxley təkcə maliyyə institutlarına, ya da yalnız maliyyə şöbəsinə aid deyil. Onun məqsədi bütün təşkilati məlumatlara və əlaqəli proseslərə daha çox şəffaflıq təmin etməkdir. Texniki cəhətdən, Sarbanes-Oxley yalnız açıq şəkildə satılan korporasiyalara aiddir, lakin onun tələbləri istənilən yaxşı idarə olunan biznes üçün etibarlıdır. Qanun CEO və CFO-ya şəxsən cavabdehlik verir 
məlumatlar təqdim edilmişdir. Bu məmurlar, öz növbəsində, məlumat sistemlərinin təhlükəsiz olmasını, bütövlüyünü və uyğunluğu sübut etmək üçün lazım olan məlumatları təqdim edə bilmələrini təmin etmək üçün CIO, CDO və CSO-ya etibar edirlər. Son zamanlar nəzarət və uyğunluq CIO-lar və onların həmyaşıdları üçün daha çox problemə çevrilib. Bir çox təşkilat ənənəvi müəssisə, İT tərəfindən idarə olunan Analitika və Biznes İntellekt sistemlərindən uzaqlaşır. Bunun əvəzinə onlar Qlik, Tableau və PowerBI kimi biznes xətti ilə idarə olunan özünəxidmət alətlərini qəbul edirlər. Bu alətlər dizayn baxımından mərkəzdən idarə olunmur.
Change Management
Qanuna uyğunluq üçün əsas tələblərdən biri mövcud nəzarət vasitələrini və məlumatlarda və ya tətbiqlərdə dəyişikliklərin sistematik şəkildə necə qeydə alınmalı olduğunu müəyyən etməkdir. Başqa sözlə, Dəyişiklik İdarəetmə intizamı. Təhlükəsizlik, məlumat və proqram təminatına giriş, həmçinin İT sistemlərinin düzgün işləmədiyinə nəzarət edilməlidir. Uyğunluq təkcə ətraf mühitin mühafizəsi üçün siyasət və proseslərin müəyyən edilməsindən deyil, həm də bunu həqiqətən etməkdən və nəticədə bunun həyata keçirildiyini sübut etməkdən asılıdır. Polisin dəlil zəncirinin saxlanması kimi, Sarbanes-Oxley-ə uyğunluq da onun ən zəif halqası qədər güclüdür.
Zəif Link
Bir analitik evangelist kimi, bunu söyləmək mənə ağrı verir, lakin Sarbanes-Oxley uyğunluğunda ən zəif həlqə çox vaxt Analitika və ya Biznes Kəşfiyyatıdır. Yuxarıda qeyd olunan özünəxidmət Analitikasının liderləri – Qlik, Tableau və PowerBI – Bu gün təhlil və hesabat daha çoxdur 
adətən İT-dən fərqli olaraq biznes şöbələrində aparılır. Bu, özünəxidmət BI modelini təkmilləşdirmiş Qlik, Tableau və PowerBI kimi Analytics alətlərinə daha çox aiddir. Uyğunluğa xərclənən pulların əksəriyyəti maliyyə və mühasibat sistemlərinə yönəlmişdir. Bu yaxınlarda şirkətlər haqlı olaraq audit hazırlığını digər şöbələrə də genişləndirdilər. Onların tapdıqları o idi ki, rəsmi İT Dəyişiklik İdarəetmə proqramları proqramlar və sistemlər üçün istifadə olunan eyni ciddiliklə verilənlər bazası və ya məlumat anbarlarını/martlarını əhatə edə bilməmişdir. Dəyişikliklərin İdarə Edilməsi siyasətləri və prosedurlarına uyğunluq sahəsi Ümumi Nəzarətlərə aiddir və digər İT siyasətləri və sınaq, fəlakətin bərpası, ehtiyat nüsxəsi, bərpa və təhlükəsizlik prosedurları ilə qruplaşdırılıb.
Auditə riayət etmək üçün tələb olunan bir çox addımlardan ən çox diqqətdən kənarda qalan şeylərdən biri: “Bütün operator fəaliyyətinin kim, nə, harada və nə vaxt daxil olduğu real vaxt auditi ilə fəaliyyət izini saxlayın və infrastruktur dəyişiklikləri, xüsusən də yersiz və ya zərərli ola biləcək dəyişikliklər.” Dəyişikliyin sistem parametrləri, proqram təminatı və ya verilənlərin özündə olmasından asılı olmayaraq, ən azı aşağıdakı elementləri ehtiva edən qeyd aparılmalıdır:
- Dəyişikliyi kim tələb etdi
- Dəyişiklik həyata keçirildikdə
- Dəyişiklik nədir - təsvir
- Dəyişikliyi kim təsdiqlədi
Analytics və Business Intelligence sistemlərinizdə hesabatlara və idarə panellərinə edilən dəyişikliklər haqqında bu məlumatı qeyd etmək də eyni dərəcədə vacibdir. Analytics və BI alətinin nəzarətin davamında olduğu yerdən asılı olmayaraq – Vəhşi Qərb, özünəxidmət və ya mərkəzdən idarə olunur; elektron cədvəllər (titrəmək), Tableau/Qlik/Power BI və ya Cognos Analytics – Sarbanes-Oxley ilə uyğun olmaq üçün bu əsas məlumatı qeyd etməlisiniz. Nəzarət proseslərinizin izləndiyini sənədləşdirmək üçün qələm və kağızdan və ya avtomatlaşdırılmış sistemdən istifadə etməyiniz auditorun vecinə deyil. Mən etiraf edirəm ki, əgər siz biznes qərarları qəbul etmək üçün elektron cədvəllərdən “analitik” proqram təminatı kimi istifadə edirsinizsə, dəyişikliklərin idarə edilməsini qeyd etmək üçün elektron cədvəllərdən də istifadə edə bilərsiniz.
Bununla belə, şansınız yaxşıdır ki, əgər siz artıq PowerBI və ya digərləri kimi analitik sistemə sərmayə qoymusunuzsa, biznes kəşfiyyatınızda və hesabat sisteminizdə dəyişiklikləri qeyd etməyi avtomatlaşdırmağın yollarını axtarmalısınız. Nə qədər yaxşı olsalar da, Tableau, Qlik, PowerBI kimi hazır analitik alətlər asan, yoxlanıla bilən dəyişikliklərin idarə edilməsi hesabatını daxil etməyi unutdular. Ev tapşırığını et. Analitik mühitinizdə dəyişikliklərin sənədləşdirilməsini avtomatlaşdırmağın yolunu tapın. Daha da yaxşısı, auditora yalnız sisteminizdəki dəyişikliklər jurnalını deyil, dəyişikliklərin təsdiq edilmiş daxili siyasət və proseslərə uyğun olduğunu təqdim etməyə hazır olun.
Bacarıqlara malik olmaq:
1) möhkəm daxili siyasətinizin olduğunu nümayiş etdirin,
2) sənədləşdirilmiş proseslərinizin onları dəstəkləməsi və
3) faktiki təcrübə təsdiq edilə bilər
istənilən auditoru sevindirəcək. Və hamı bilir ki, auditor xoşbəxtdirsə, hamı xoşbəxtdir.
Bir çox şirkətlər uyğunluğun əlavə xərclərindən şikayətlənir və SOX standartlarına uyğunluğun dəyəri yüksək ola bilər. “Bu xərclər daha kiçik firmalar, daha mürəkkəb firmalar və daha aşağı inkişaf imkanları olan firmalar üçün daha əhəmiyyətlidir.” Uyğunsuzluğun dəyəri daha da yüksək ola bilər.
Uyğunsuzluq Riski
Sarbanes-Oxley CEO və direktorları məsuliyyətə cəlb edir və onları 500,000 dollara qədər və 5 il həbslə cəzalandırır. Hökumət çox vaxt cəhalət və ya bacarıqsızlıq iddiasını qəbul etmir. Mən CEO olsaydım, şübhəsiz ki, komandamın ən yaxşı təcrübələrə əməl etdiyimizi və hər bir əməliyyatı kimin yerinə yetirdiyini bildiyimizi sübut edə bilməsini istərdim.
Daha bir şey. Mən dedim ki, Sarbanes-Oxley açıq şəkildə satılan şirkətlər üçündür. Bu doğrudur, lakin siz nə vaxtsa ictimai təklif etmək istəsəniz, daxili nəzarətin olmaması və sənədlərin olmaması sizə necə mane ola biləcəyini düşünün.
