Obteniu una demostració
Login

Hi ha un forat al teu Sox? (Compliment)

by Agost 2, 2022Auditoria, BI/Analítica0 comentaris

Analytics i Sarbanes-Oxley

Gestionar el compliment SOX amb eines de BI d'autoservei com Qlik, Tableau i PowerBI

 

L'any que ve SOX tindrà l'edat suficient per comprar cervesa a Texas. Va néixer a partir de la "Public Company Accounting Reform and Investor Protection Act", coneguda afectuosament després pels noms dels senadors que van patrocinar el projecte de llei, la Sarbanes-Oxley Act de 2002. Sarbanes Oxley Sarbanes-Oxley va ser la descendència de la Llei de valors de 1933, l'objectiu principal de la qual era protegir els inversors del frau proporcionant transparència a les finances corporatives. Com a descendència d'aquest acte, Sarbanes-Oxley va reforçar aquests objectius i va intentar promoure la responsabilitat mitjançant bones pràctiques empresarials. Però, com molts adults joves, encara estem intentant esbrinar-ho. Vint anys després, les empreses encara estan intentant esbrinar quines són les implicacions de l'acte específicament per a elles, així com la millor manera d'augmentar la transparència en la seva tecnologia i sistemes per donar suport al compliment.

 

Qui és el responsable?

 

Contràriament a la creença popular, Sarbanes-Oxley no s'aplica només a les institucions financeres, o només al departament financer. El seu objectiu és proporcionar una major transparència a totes les dades organitzatives i processos relacionats. Tècnicament, Sarbanes-Oxley només s'aplica a les corporacions que cotitzen en borsa, però els seus requisits són adequats per a qualsevol negoci ben gestionat. La Llei fa que el CEO i el CFO siguin responsables personalment dades presentades. Aquests oficials confien, al seu torn, en el CIO, el CDO i el CSO per garantir que els sistemes de dades siguin segurs, tinguin integritat i puguin proporcionar la informació necessària per demostrar el compliment. Recentment, el control i el compliment s'han convertit en un repte més per als CIO i els seus companys. Moltes organitzacions s'estan allunyant dels sistemes empresarials tradicionals, d'anàlisi i d'intel·ligència empresarial gestionats per TI. En canvi, estan adoptant eines d'autoservei dirigides per la línia de negoci com Qlik, Tableau i PowerBI. Aquestes eines, per disseny, no es gestionen de manera centralitzada.

 

Gestió del Canvi

 

Un dels requisits clau per al compliment de la Llei és definir els controls establerts i com s'han de registrar sistemàticament els canvis de dades o aplicacions. En altres paraules, la disciplina de Gestió del Canvi. Cal controlar la seguretat, les dades i l'accés al programari, així com si els sistemes informàtics no funcionen correctament. El compliment depèn no només de definir les polítiques i els processos per salvaguardar el medi ambient, sinó també de fer-ho realment i, en última instància, poder demostrar que s'ha fet. Igual que la cadena de custòdia de les proves policials, el compliment de Sarbanes-Oxley és tan fort com el seu enllaç més feble.  

 

L'enllaç feble

 

Com a evangelista de l'anàlisi, em fa pena dir-ho, però l'enllaç més feble en el compliment de Sarbanes-Oxley és sovint Analytics o Business Intelligence. Els líders en analítiques d'autoservei esmentats anteriorment -Qlik, Tableau i PowerBI - L'anàlisi i la generació d'informes avui són més es fa habitualment als departaments de la línia de negoci que a les TI. Això és encara més cert per a les eines d'Analytics com Qlik, Tableau i PowerBI que han perfeccionat el model de BI d'autoservei. La majoria dels diners invertits en el compliment s'han centrat en sistemes financers i comptables. Més recentment, les empreses han ampliat amb raó la preparació d'auditoria a altres departaments. El que van trobar va ser que els programes formals de gestió de canvis informàtics no havien aconseguit abastar bases de dades o magatzems de dades/marts amb el mateix rigor que s'utilitza per a aplicacions i sistemes.  L'àrea de compliment de polítiques i procediments de gestió de canvis es troba sota controls generals i s'agrupa amb altres polítiques i procediments informàtics de proves, recuperació de desastres, còpies de seguretat i recuperació i seguretat.

 

Dels molts passos necessaris per complir amb una auditoria, una de les coses que més sovint es passen per alt és: "Manteniu un rastre de l'activitat amb auditories en temps real, incloent-hi qui, què, on i quan de tota l'activitat de l'operador i els canvis en la infraestructura, especialment aquells que podrien ser inadequats o maliciosos".  Tant si el canvi és la configuració del sistema, una aplicació de programari o les dades en si, s'ha de mantenir un registre que contingui, com a mínim, els elements següents:

  • Qui va demanar el canvi
  • Quan es va realitzar el canvi
  • Quin és el canvi: una descripció
  • Qui va aprovar el canvi

 

Enregistrar aquesta informació sobre els canvis als informes i als taulers de control als sistemes d'Analytics i Business Intelligence és igual d'important. Independentment d'on es trobi l'eina d'Analytics i BI al continu de control: el Far West, l'autoservei o la gestió centralitzada; si els fulls de càlcul (estremiment), Tableau/Qlik/Power BI o Cognos Analytics: per complir amb Sarbanes-Oxley, haureu d'enregistrar aquesta informació bàsica. A l'auditor no li importa si utilitzeu paper i llapis o un sistema automatitzat per documentar que se segueixen els vostres processos de control. Admeto que si utilitzeu fulls de càlcul com a programari d'"analítica" per prendre decisions empresarials, també podeu utilitzar fulls de càlcul per registrar la gestió del canvi.  

 

Tanmateix, és molt probable que, si ja heu invertit en un sistema d'anàlisi com PowerBI o d'altres, haureu d'estar buscant maneres d'automatitzar l'enregistrament dels canvis al vostre sistema d'intel·ligència empresarial i informes. Per bé que siguin, eines d'anàlisi com Tableau, Qlik i PowerBI no inclouen informes de gestió de canvis fàcils i auditables. Fes els deures. Trobeu una manera d'automatitzar la documentació dels canvis al vostre entorn d'anàlisi. Encara millor, estigueu preparat per presentar a un auditor, no només un registre dels canvis al vostre sistema, sinó que els canvis s'ajusten a les polítiques i processos interns aprovats.

 

Tenir la capacitat de: 

1) demostrar que teniu polítiques internes sòlides, 

2) que els vostres processos documentats els donen suport, i 

3) que es pot confirmar la pràctica real 

farà feliç qualsevol auditor. I tothom sap que si l'auditor està content, tothom està content.

 

Moltes empreses es queixen dels costos afegits del compliment, i el cost del compliment dels estàndards SOX pot ser elevat. "Aquests costos són més significatius per a empreses més petites, per a empreses més complexes i per a empreses amb oportunitats de creixement més baixes".  El cost per incompliment pot ser encara més elevat.

 

El risc d'incompliment

 

Sarbanes-Oxley responsabilitza els consellers delegats i els directors i es castiga amb fins a 500,000 dòlars i 5 anys de presó. El govern no accepta sovint una al·legació d'ignorància o incompetència. Si jo fos un CEO, segurament voldria que el meu equip pogués demostrar que ens havíem adherit a les millors pràctiques i sabíem qui havia realitzat cada transacció. 

 

Una cosa més. Vaig dir que Sarbanes-Oxley és per a empreses que cotitzen en borsa. Això és cert, però considereu com la manca de controls interns i la manca de documentació us poden dificultar si mai voleu fer una oferta pública.  

Carregar més