Аналітыка і Сарбейнса-Окслі

Кіраванне адпаведнасцю SOX з такімі інструментамі самаабслугоўвання BI, як Qlik, Tableau і PowerBI

У наступным годзе SOX будзе дастаткова дарослым, каб купляць піва ў Тэхасе. Ён быў народжаны з «Закона аб рэформе бухгалтарскага ўліку ў дзяржаўных кампаніях і абароне інвестараў», які пасля гэтага ласкава называюць па імёнах сенатараў, якія падтрымалі законапраект, Закон Сарбейнса-Окслі 2002 года. Закон Сарбэйнса-Окслі быў спараджэннем Закона аб каштоўных паперах 1933 года, галоўнай мэтай якога была абарона інвестараў ад махлярства шляхам забеспячэння празрыстасці карпаратыўных фінансаў. Як нашчадства гэтага акта, Сарбейнз-Окслі ўмацаваў гэтыя мэты і паспрабаваў спрыяць падсправаздачнасці праз належную дзелавую практыку. Але, як і многія маладыя людзі, мы ўсё яшчэ спрабуем гэта зразумець. Праз дваццаць гадоў кампаніі ўсё яшчэ спрабуюць высветліць, якія канкрэтна для іх канкрэтна наступствы гэтага акта, а таксама як найлепшым чынам павысіць празрыстасць у сваіх тэхналогіях і сістэмах для падтрымкі захавання патрабаванняў.

Хто адказвае?

Насуперак распаўсюджанаму меркаванню, Сарбейнса-Окслі распаўсюджваецца не толькі на фінансавыя ўстановы або толькі на фінансавы аддзел. Яго мэта - забяспечыць большую празрыстасць усіх арганізацыйных даных і звязаных з імі працэсаў. Тэхнічна Сарбейнса-Окслі прымяняецца толькі да публічных карпарацый, але яго патрабаванні з'яўляюцца разумнымі для любога добра кіраванага бізнесу. Закон прадугледжвае асабістую адказнасць генеральнага дырэктара і фінансавага дырэктара за прадстаўленыя дадзеныя. Гэтыя супрацоўнікі, у сваю чаргу, спадзяюцца на ІТ-дырэктара, CDO і CSO, каб пераканацца, што сістэмы даных з'яўляюцца бяспечнымі, маюць цэласнасць і могуць прадастаўляць інфармацыю, неабходную для пацверджання адпаведнасці. У апошні час кантроль і выкананне патрабаванняў сталі больш складанай задачай для ІТ-дырэктараў і іх калег. Многія арганізацыі адыходзяць ад традыцыйных карпаратыўных сістэм аналітыкі і бізнес-аналітыкі, якія кіруюцца ІТ. Замест гэтага яны выкарыстоўваюць такія інструменты самаабслугоўвання, як Qlik, Tableau і PowerBI. Па задуме гэтыя інструменты не кіруюцца цэнтралізавана.

Кіраванне зменамі

Адным з асноўных патрабаванняў да выканання Закона з'яўляецца вызначэнне механізмаў кантролю і спосабаў сістэматычнага ўліку змяненняў у дадзеных або прыкладаннях. Іншымі словамі, дысцыпліна кіравання зменамі. Неабходна кантраляваць бяспеку, доступ да дадзеных і праграмнага забеспячэння, а таксама тое, ці не працуюць ІТ-сістэмы належным чынам. Адпаведнасць залежыць не толькі ад вызначэння палітык і працэсаў па ахове навакольнага асяроддзя, але і ад таго, каб сапраўды гэта зрабіць і ў канчатковым выніку быць у стане даказаць, што гэта было зроблена. Падобна паліцэйскай ланцужку захавання доказаў, выкананне патрабаванняў Сарбейнса-Окслі настолькі моцнае, наколькі моцнае яго самае слабое звяно.  

Слабое звяно

Як прапагандысту аналітыкі, мне балюча гэта казаць, але самым слабым звяном у захаванні патрабаванняў Сарбейнса-Окслі часта з'яўляецца аналітыка або бізнес-аналітыка. Лідэры аналітыкі самаабслугоўвання, згаданыя вышэй – Qlik, Tableau і PowerBI – Аналіз і справаздачнасць сёння больш часцей за ўсё робіцца ў бізнес-аддзелах, чым у ІТ. У яшчэ большай ступені гэта тычыцца інструментаў аналітыкі, такіх як Qlik, Tableau і PowerBI, якія ўдасканалілі мадэль BI самаабслугоўвання. Большая частка сродкаў, выдаткаваных на адпаведнасць патрабаванням, была сканцэнтравана на фінансавых і бухгалтарскіх сістэмах. Зусім нядаўна кампаніі справядліва распаўсюдзілі падрыхтоўку да аўдыту на іншыя аддзелы. Яны выявілі, што афіцыйныя праграмы кіравання зменамі ў ІТ не змаглі ахапіць базы дадзеных або сховішчы/кірмашы дадзеных з той жа строгасцю, што выкарыстоўваецца для прыкладанняў і сістэм.  Вобласць захавання палітык і працэдур кіравання зменамі падпадае пад агульны кантроль і згрупавана з іншымі ІТ-палітыкамі і працэдурамі тэсціравання, аварыйнага аднаўлення, рэзервовага капіравання, аднаўлення і бяспекі.

З многіх крокаў, неабходных для выканання аўдыту, адна з рэчаў, якую часцей за ўсё забываюць, гэта: "Вядзіце след дзейнасці з аўдытам у рэальным часе, у тым ліку хто, што, дзе і калі ўсіх дзеянняў аператара і змены інфраструктуры, асабліва тыя, якія могуць быць недарэчнымі або зламыснымі».  Незалежна ад таго, ці змяняюцца сістэмныя налады, праграмнае прылажэнне або самі даныя, трэба весці запіс, які змяшчае як мінімум наступныя элементы:

• Хто прасіў змены
• Калі змяненне было выканана
• Што такое змяненне - апісанне
• Хто ўхваліў змены

Запіс гэтай інфармацыі аб зменах у справаздачах і панэлі кіравання ў вашых сістэмах аналітыкі і бізнес-аналітыкі не менш важны. Незалежна ад таго, дзе знаходзіцца інструмент аналітыкі і BI на кантынууме кантролю - на Дзікім Захадзе, самаабслугоўванні або цэнтралізаваным кіраванні; электронныя табліцы (уздрыгваць), Tableau/Qlik/Power BI або Cognos Analytics – каб адпавядаць патрабаванням Сарбейнса-Окслі, вам трэба будзе запісваць гэтую базавую інфармацыю. Аўдытару ўсё роўна, выкарыстоўваеце вы ручку і паперу або аўтаматызаваную сістэму для дакументавання таго, што вашы працэсы кантролю выконваюцца. Я прызнаю, што калі вы выкарыстоўваеце электронныя табліцы ў якасці праграмнага забеспячэння для «аналітыкі» для прыняцця бізнес-рашэнняў, вы таксама можаце выкарыстоўваць электронныя табліцы для запісу кіравання зменамі.  

Тым не менш, вялікая верагоднасць таго, што калі вы ўжо інвеставалі ў аналітычную сістэму, такую ​​як PowerBI або іншую, вам варта пашукаць спосабы аўтаматызацыі запісу змяненняў у вашай сістэме бізнес-аналітыкі і справаздачнасці. Такія інструменты аналітыкі, як Tableau, Qlik, PowerBI, як бы ні былі добрыя, не ўваходзяць у стандартную камплектацыю, але не ўключалі лёгкую справаздачу аб кіраванні зменамі, якую можна правяраць. Рабі хатняе заданне. Знайдзіце спосаб аўтаматызаваць дакументаванне змяненняў у вашым асяроддзі аналітыкі. Яшчэ лепш, будзьце гатовыя прадставіць аўдытару не толькі журнал змяненняў у вашай сістэме, але і тое, што змены адпавядаюць зацверджаным унутраным палітыкам і працэсам.

Наяўнасць здольнасці: 

1) прадэманстраваць, што ў вас ёсць надзейная ўнутраная палітыка, 

2) што вашы дакументаваныя працэсы падтрымліваюць іх, і 

3) што рэальная практыка можа быць пацверджана 

парадуе любога аўдытара. А ўсе ведаюць, што калі рэвізор шчаслівы, то шчаслівыя ўсе.

Шматлікія кампаніі скардзяцца на дадатковыя выдаткі на выкананне стандартаў, а кошт выканання стандартаў SOX можа быць высокім. «Гэтыя выдаткі больш значныя для невялікіх фірмаў, для больш складаных фірмаў і для фірмаў з меншымі магчымасцямі росту».  Кошт невыканання патрабаванняў можа быць нават вышэй.

Рызыка неадпаведнасці

Сарбейнз-Окслі прыцягвае кіраўнікоў і дырэктараў да адказнасці і карае да 500,000 5 долараў і XNUMX гадоў пазбаўлення волі. Урад часта не прымае заяву аб няведанні або некампетэнтнасці. Калі б я быў генеральным дырэктарам, я хацеў бы, каб мая каманда змагла даказаць, што мы прытрымліваліся перадавой практыкі і ведалі, хто выконваў кожную транзакцыю. 

Яшчэ адно. Я сказаў, што Сарбейнз-Окслі прызначаны для публічных кампаній. Гэта праўда, але падумайце, як адсутнасць унутранага кантролю і дакументацыі можа перашкодзіць вам, калі вы калі-небудзь захочаце зрабіць публічную прапанову.