Analitika i Sarbanes-Oxley
Upravljanje SOX usklađenošću sa samouslužnim BI alatima kao što su Qlik, Tableau i PowerBI
Sljedeće godine SOX će biti dovoljno star da kupi pivo u Teksasu. Nastao je iz „Zakona o reformi računovodstva javnih preduzeća i zaštiti investitora“, koji je kasnije od milja poznat po imenima senatora koji su sponzorisali zakon, Sarbanes-Oxley akt iz 2002. 
Sarbanes-Oxley je bio potomak Zakona o vrijednosnim papirima iz 1933. čija je glavna svrha bila zaštita investitora od prijevare pružanjem transparentnosti u korporativnim finansijama. Kao potomak tog čina, Sarbanes-Oxley je ojačao te ciljeve i pokušao promovirati odgovornost kroz dobru poslovnu praksu. Ali, kao i mnogi mladi odrasli, mi još uvijek pokušavamo to shvatiti. Dvadeset godina kasnije, kompanije i dalje pokušavaju da shvate koje su implikacije zakona za njih, kao i kako najbolje da ugrade veću transparentnost u svoju tehnologiju i sisteme kako bi podržali usklađenost.
Ko je odgovoran?
Suprotno uvriježenom mišljenju, Sarbanes-Oxley se ne odnosi samo na finansijske institucije, niti samo na odjel finansija. Njegov cilj je da obezbijedi veću transparentnost svih organizacionih podataka i povezanih procesa. Tehnički, Sarbanes-Oxley se odnosi samo na korporacije kojima se javno trguje, ali su njegovi zahtjevi opravdani za svaki dobro vođen posao. Zakon čini generalnog direktora i finansijskog direktora lično odgovornim za 
prezentovani podaci. Ovi službenici se, zauzvrat, oslanjaju na CIO, CDO i CSO kako bi osigurali da su sistemi podataka sigurni, da imaju integritet i da su u mogućnosti da pruže informacije potrebne za dokazivanje usklađenosti. Nedavno su kontrola i usklađenost postali veći izazov za CIO i njihove kolege. Mnoge organizacije se udaljavaju od tradicionalnih sistema analitike i poslovne inteligencije kojima upravljaju preduzeća. Umjesto toga, oni usvajaju samouslužne alate vođene poslovnom linijom kao što su Qlik, Tableau i PowerBI. Ovim alatima se po dizajnu ne upravlja centralno.
Change Management
Jedan od ključnih zahtjeva za usklađenost sa Zakonom je da se definišu kontrole koje su na snazi i kako bi se promjene u podacima ili aplikacijama trebale sistematski evidentirati. Drugim riječima, disciplina upravljanja promjenama. Potrebno je pratiti sigurnost, pristup podacima i softveru, kao i da li IT sistemi ne funkcionišu kako treba. Usklađenost zavisi ne samo od definisanja politika i procesa za zaštitu životne sredine, već i od toga da se to zaista uradi i na kraju bude u stanju da dokaže da je to učinjeno. Baš kao i policijski dokazni lanac čuvanja, poštivanje Sarbanes-Oxleyja snažno je onoliko koliko je jaka njegova najslabija karika.
Slaba karika
Kao analitičkom evanđelistu, boli me što ovo kažem, ali najslabija karika u usklađenosti Sarbanes-Oxley-ja često je analitika ili poslovna inteligencija. Gore navedeni lideri u samouslužnoj analitici – Qlik, Tableau i PowerBI – Analiza i izvještavanje danas je više 
obično se radi u poslovnim odjelima nego u IT. Ovo još više važi za analitičke alate kao što su Qlik, Tableau i PowerBI koji su usavršili samouslužni BI model. Većina novca potrošenog na usklađenost usmjerena je na finansijske i računovodstvene sisteme. Nedavno su kompanije s pravom proširile pripremu revizije na druga odjeljenja. Ono što su otkrili je da formalni programi upravljanja promjenama u IT-u nisu uspjeli obuhvatiti baze podataka ili skladišta podataka/markete sa istom strogošću koja se koristi za aplikacije i sisteme. Područje usklađenosti politika i procedura upravljanja promjenama potpada pod Opće kontrole i grupiše se s drugim IT politikama i procedurama testiranja, oporavka od katastrofe, sigurnosnog kopiranja i oporavka i sigurnosti.
Od mnogih koraka potrebnih za usklađivanje s revizijom, jedna od stvari koja se najčešće zanemaruje je: “Vodite evidenciju aktivnosti uz reviziju u realnom vremenu, uključujući ko, šta, gdje i kada svih aktivnosti operatera i infrastrukturne promjene, posebno one koje bi mogle biti neprikladne ili zlonamjerne.” Bilo da je promjena u sistemskim postavkama, softverskoj aplikaciji ili samim podacima, mora se održavati zapis koji sadrži najmanje sljedeće elemente:
- Ko je tražio promjenu
- Kada je promjena izvršena
- Šta je promjena – opis
- Ko je odobrio promjenu
Snimanje ovih informacija o promjenama izvještaja i nadzornih ploča u vašim sistemima analitike i poslovne inteligencije je jednako važno. Bez obzira na to gdje se analitika i BI alat nalaze u kontinuumu kontrole – Divlji zapad, samouslužni ili centralno upravljani; da li tabele (zadrhtati), Tableau/Qlik/Power BI ili Cognos Analytics – da biste bili u skladu sa Sarbanes-Oxley, morat ćete snimiti ove osnovne informacije. Revizoru je svejedno da li koristite olovku i papir ili automatizovani sistem za dokumentovanje da se vaši kontrolni procesi prate. Priznajem da ako koristite proračunske tabele kao svoj softver za „analitiku” za donošenje poslovnih odluka, možda ćete koristiti i tabele za beleženje upravljanja promenama.
Međutim, velike su šanse da, ako ste već investirali u sistem za analizu kao što je PowerBI ili drugi, trebali biste tražiti načine da automatizirate bilježenje promjena u vašem sistemu poslovnog obavještavanja i izvještavanja. Koliko god da su dobri, gotovi, analitički alati kao što su Tableau, Qlik, PowerBI su zanemarili da uključe lako izvještavanje o upravljanju promjenama koje se može revidirati. Uradi svoju zadaću. Pronađite način da automatizujete dokumentovanje promena u vašem analitičkom okruženju. Još bolje, budite spremni da revizoru predstavite, ne samo dnevnik promjena u vašem sistemu, već da su promjene u skladu s odobrenim internim politikama i procesima.
Imati sposobnost da:
1) pokažite da imate čvrste interne politike,
2) da ih vaši dokumentovani procesi podržavaju, i
3) da se stvarna praksa može potvrditi
učiniće svakog revizora sretnim. I, svi znaju da ako je revizor zadovoljan, svi su sretni.
Mnoge kompanije se žale na dodatne troškove usklađenosti, a troškovi usklađenosti sa SOX standardima mogu biti visoki. „Ovi troškovi su značajniji za manje firme, za složenije firme i za firme sa nižim mogućnostima rasta.” Trošak neusklađenosti može biti i veći.
Rizik neusklađenosti
Sarbanes-Oxley smatra da su izvršni direktori i direktori odgovorni i kažnjivi sa do 500,000 dolara i 5 godina zatvora. Vlada često ne prihvata prigovor na neznanje ili nesposobnost. Da sam ja izvršni direktor, sigurno bih želio da moj tim može dokazati da smo se pridržavali najbolje prakse i da znamo ko je izvršio svaku transakciju.
Još jedna stvar. Rekao sam da je Sarbanes-Oxley za kompanije kojima se trguje na berzi. To je tačno, ali razmislite kako bi vas nedostatak internih kontrola i nedostatak dokumentacije mogli ometi ako ste ikada htjeli da napravite javnu ponudu.
