Има ли дупка във вашия сокс? (съответствие)

by Август 2, 2022Одиторски, BI/Аналитика0 коментари

Анализи и Sarbanes-Oxley

Управление на съответствието на SOX с BI инструменти за самообслужване като Qlik, Tableau и PowerBI

 

Следващата година SOX ще бъде достатъчно възрастен, за да си купи бира в Тексас. Той се роди от „Закона за счетоводна реформа на публичните компании и защита на инвеститорите“, известен след това с имената на сенаторите, които спонсорираха законопроекта, Законът Сарбейнс-Оксли от 2002 г. Сърбейн Оксли Sarbanes-Oxley е рожба на Закона за ценните книжа от 1933 г., чиято основна цел е да защити инвеститорите от измами чрез осигуряване на прозрачност в корпоративните финанси. Като потомство на този акт, Sarbanes-Oxley засили тези цели и се опита да насърчи отчетността чрез добри бизнес практики. Но като много млади възрастни, ние все още се опитваме да го разберем. Двадесет години по-късно компаниите все още се опитват да разберат какви са последиците от акта конкретно за тях, както и как най-добре да изградят повишена прозрачност в своите технологии и системи, за да поддържат съответствието.

 

Кой е отговорен?

 

Противно на общоприетото схващане, Sarbanes-Oxley не се прилага само за финансови институции или само за финансовия отдел. Целта му е да осигури по-голяма прозрачност на всички организационни данни и свързаните с тях процеси. Технически Sarbanes-Oxley се прилага само за публично търгувани корпорации, но изискванията му са стабилни за всеки добре управляван бизнес. Законът прави главния изпълнителен директор и финансовия директор лично отговорни за представени данни. Тези служители разчитат на свой ред на CIO, CDO и CSO, за да гарантират, че системите за данни са защитени, имат цялост и са в състояние да предоставят информация, необходима за доказване на съответствие. Напоследък контролът и съответствието се превърнаха в по-голямо предизвикателство за CIO и техните колеги. Много организации се отдалечават от традиционните корпоративни системи за анализ и бизнес разузнаване, управлявани от ИТ. Вместо това те приемат ръководени от бизнеса инструменти за самообслужване като Qlik, Tableau и PowerBI. По дизайн тези инструменти не се управляват централно.

 

Управление на промените

 

Едно от ключовите изисквания за спазване на закона е да се определят въведените контроли и как системно да се записват промените в данните или приложенията. С други думи, дисциплината Управление на промяната. Трябва да се следи сигурността, достъпът до данни и софтуер, както и дали ИТ системите не функционират правилно. Съответствието зависи не само от определянето на политиките и процесите за опазване на околната среда, но и от това действително да го направим и в крайна сметка да можем да докажем, че е направено. Точно като полицейската верига за задържане на доказателства, спазването на Sarbanes-Oxley е толкова силно, колкото и най-слабото му звено.  

 

Слабото звено

 

Като евангелист на анализите ми е неприятно да го кажа, но най-слабото звено в съответствието на Sarbanes-Oxley често е Analytics или Business Intelligence. Лидерите в анализите за самообслужване, споменати по-горе – Qlik, Tableau и PowerBI – Анализът и отчитането днес са повече обикновено се прави в бизнес отделите, отколкото в ИТ. Това важи още повече за инструменти на Анализ като Qlik, Tableau и PowerBI, които са усъвършенствали BI модела за самообслужване. Повечето пари, изразходвани за съответствие, са насочени към финансови и счетоводни системи. Съвсем наскоро компаниите правилно разшириха подготовката за одит към други отдели. Това, което откриха, беше, че официалните програми за управление на ИТ промените не успяха да обхванат бази данни или хранилища/маркети за данни със същата строгост, използвана за приложения и системи.  Областта за съответствие с правилата и процедурите за управление на промените попада в общия контрол и е групирана с други ИТ политики и процедури за тестване, възстановяване след бедствие, архивиране и възстановяване и сигурност.

 

От многото стъпки, необходими за спазване на одита, едно от най-често пренебрегваните неща е: „Поддържайте пътека за дейността с одит в реално време, включително кой, какво, къде и кога за цялата дейност на оператора и промени в инфраструктурата, особено тези, които могат да бъдат неподходящи или злонамерени.  Независимо дали промяната е в системни настройки, софтуерно приложение или самите данни, трябва да се поддържа запис, който съдържа най-малко следните елементи:

  • Кой е поискал промяната
  • Кога е извършена промяната
  • Каква е промяната – описание
  • Кой одобри промяната

 

Записването на тази информация за промени в отчетите и таблата за управление във вашите системи за анализ и бизнес разузнаване е също толкова важно. Независимо къде се намира инструментът за анализ и BI в континуума на контрол – Дивият запад, самообслужване или централно управлявано; дали електронни таблици (треперене), Tableau/Qlik/Power BI или Cognos Analytics – за да бъдете в съответствие със Sarbanes-Oxley, ще трябва да записвате тази основна информация. Одиторът не се интересува дали използвате писалка и хартия или автоматизирана система, за да документирате, че вашите контролни процеси се следват. Приемам, че ако използвате електронни таблици като софтуер за „аналитичен“ процес, за да вземате бизнес решения, може също да използвате електронни таблици, за да записвате управлението на промените.  

 

Има обаче големи шансове, че ако вече сте инвестирали в система за анализ като PowerBI или други, трябва да търсите начини за автоматизиране на записването на промените във вашата система за бизнес разузнаване и отчитане. Колкото и да са добри, готови извън кутията, инструментите за анализ като Tableau, Qlik, PowerBI са пренебрегнали включването на лесно, подлежащо на проверка отчитане за управление на промените. Напиши си домашното. Намерете начин да автоматизирате документирането на промените във вашата среда за анализ. Дори по-добре, бъдете готови да представите на одитор не само регистър на промените във вашата система, но че промените съответстват на одобрените вътрешни политики и процеси.

 

Да имаш способността да: 

1) демонстрирайте, че имате солидни вътрешни политики, 

2) вашите документирани процеси ги поддържат и 

3) че действителната практика може да бъде потвърдена 

ще зарадва всеки одитор. И всеки знае, че ако одиторът е щастлив, всички са щастливи.

 

Много компании се оплакват от допълнителните разходи за съответствие, а цената за съответствие със стандартите SOX може да бъде висока. „Тези разходи са по-значими за по-малките фирми, за по-сложните фирми и за фирмите с по-ниски възможности за растеж.“  Цената за неспазване може да бъде дори по-висока.

 

Рискът от несъответствие

 

Sarbanes-Oxley държи изпълнителните директори и директорите отговорни и наказани с до 500,000 5 долара и XNUMX години затвор. Правителството често не приема молбата за невежество или некомпетентност. Ако бях главен изпълнителен директор, със сигурност щях да искам екипът ми да може да докаже, че сме се придържали към най-добрите практики и знаем кой е извършил всяка сделка. 

 

Още нещо. Казах, че Sarbanes-Oxley е за публично търгувани компании. Това е вярно, но помислете как липсата на вътрешен контрол и липсата на документация може да ви попречи, ако някога искате да направите публично предлагане.  

BI/АналитикаБез категория
NY Style срещу Chicago Style Pizza: Вкусен дебат

NY Style срещу Chicago Style Pizza: Вкусен дебат

Когато задоволяваме желанията си, малко неща могат да съперничат на насладата от горещо парче пица. Дебатът между пицата в стил Ню Йорк и този в Чикаго предизвиква страстни дискусии от десетилетия. Всеки стил има свои уникални характеристики и предани фенове....

Вижте повече

BI/АналитикаАнализ на Cognos
Студио за заявки Cognos
Вашите потребители искат своето студио за заявки

Вашите потребители искат своето студио за заявки

С пускането на IBM Cognos Analytics 12, отдавна обявеното оттегляне на Query Studio и Analysis Studio най-накрая беше доставено с версия на Cognos Analytics без тези студия. Въпреки че това не трябва да е изненада за повечето хора, ангажирани с...

Вижте повече

BI/АналитикаБез категория
Реален ли е ефектът на Тейлър Суифт?

Реален ли е ефектът на Тейлър Суифт?

Някои критици предполагат, че тя повишава цените на билетите за Super Bowl Този уикенд се очаква Super Bowl да бъде едно от 3-те най-гледани събития в историята на телевизията. Вероятно повече от миналогодишните рекордни числа и може би дори повече от луната през 1969 г.

Вижте повече

BI/Аналитика
Каталози на Анализ – Изгряваща звезда в екосистемата на Анализ

Каталози на Анализ – Изгряваща звезда в екосистемата на Анализ

Въведение Като главен технологичен директор (CTO) винаги съм нащрек за нововъзникващи технологии, които променят начина, по който подхождаме към анализа. Една такава технология, която привлече вниманието ми през последните няколко години и има огромно обещание, е Analytics...

Вижте повече

BI/Аналитика
Излагали ли сте се напоследък?

Излагали ли сте се напоследък?

  Говорим за сигурност в облака Прекомерна експозиция Нека го кажем така, какво се тревожите за излагането? Кои са вашите най-ценни активи? Вашият социалноосигурителен номер? Информация за вашата банкова сметка? Лични документи или снимки? Вашата крипто...

Вижте повече

BI/Аналитика
Значението на KPI и как да ги използваме ефективно

Значението на KPI и как да ги използваме ефективно

Значението на KPI И когато посредственото е по-добро от перфектното Един от начините да се провалите е да настоявате за съвършенство. Съвършенството е невъзможно и е враг на доброто. Изобретателят на радара за ранно предупреждение за въздушни нападения предложи "култ към несъвършените". Неговата философия беше...

Вижте повече