Analytics a Sarbanes-Oxley
Správa souladu SOX pomocí samoobslužných nástrojů BI, jako jsou Qlik, Tableau a PowerBI
Příští rok bude SOX dost starý na to, aby si mohl koupit pivo v Texasu. Zrodil se ze zákona o „reformě účetnictví veřejných společností a ochraně investorů“, který byl poté s láskou známý pod jmény senátorů, kteří návrh zákona sponzorovali, Sarbanes-Oxley Act z roku 2002. 
Sarbanes-Oxley byl potomkem zákona o cenných papírech z roku 1933, jehož hlavním účelem bylo chránit investory před podvody poskytováním transparentnosti firemních financí. Sarbanes-Oxley jako potomek tohoto aktu posílil tyto cíle a pokusil se prosazovat odpovědnost prostřednictvím dobrých obchodních praktik. Ale stejně jako mnoho mladých dospělých se na to stále snažíme přijít. Po dvaceti letech se společnosti stále snaží zjistit, jaké důsledky pro ně tento zákon konkrétně má, a také to, jak nejlépe zabudovat větší transparentnost do svých technologií a systémů na podporu dodržování předpisů.
Kdo je zodpovědný?
Na rozdíl od všeobecného přesvědčení se Sarbanes-Oxley nevztahuje pouze na finanční instituce nebo pouze na finanční oddělení. Jeho cílem je zajistit větší transparentnost všech organizačních dat a souvisejících procesů. Technicky se Sarbanes-Oxley vztahuje pouze na veřejně obchodované korporace, ale její požadavky jsou vhodné pro jakýkoli dobře vedený podnik. Zákon činí generálního ředitele a finančního ředitele osobně odpovědnými za společnost 
prezentovaná data. Tito úředníci zase spoléhají na CIO, CDO a CSO, aby zajistili, že datové systémy jsou bezpečné, mají integritu a jsou schopny poskytovat informace nezbytné k prokázání souladu. V poslední době se kontrola a dodržování předpisů staly pro CIO a jejich kolegy větší výzvou. Mnoho organizací odchází od tradičních podnikových, IT řízených analytických a Business Intelligence systémů. Místo toho přijímají samoobslužné nástroje vedené obchodními společnostmi, jako jsou Qlik, Tableau a PowerBI. Tyto nástroje podle návrhu nejsou spravovány centrálně.
řízení změn
Jedním z klíčových požadavků pro soulad se zákonem je definování zavedených kontrol a toho, jak mají být změny v datech nebo aplikacích systematicky zaznamenávány. Jinými slovy, disciplína Change Management. Je třeba sledovat zabezpečení, přístup k datům a softwaru a také to, zda IT systémy nefungují správně. Soulad nezávisí pouze na definování politik a procesů k ochraně životního prostředí, ale také na tom, že to skutečně děláme a nakonec jsme schopni prokázat, že to bylo provedeno. Stejně jako policejní důkazní řetězec, dodržování Sarbanes-Oxley je jen tak silné, jak silný je jeho nejslabší článek.
Slabý článek
Jako analytického evangelistu mě bolí, když to říkám, ale nejslabším článkem v souladu se Sarbanes-Oxley je často Analytics nebo Business Intelligence. Lídři v oblasti samoobslužné analýzy zmínění výše – Qlik, Tableau a PowerBI – Analýza a reporting je dnes mnohem více 
běžně prováděné v obchodních odděleních než v IT. To platí ještě více o nástrojích Analytics, jako jsou Qlik, Tableau a PowerBI, které zdokonalily samoobslužný model BI. Většina peněz vynaložených na dodržování předpisů se zaměřila na finanční a účetní systémy. V poslední době společnosti právem rozšířily přípravu auditu na další oddělení. Zjistili, že formální programy IT Change Management nedokázaly zahrnout databáze nebo datové sklady/trhy se stejnou přísností jako pro aplikace a systémy. Oblast zásad a postupů řízení změn spadá pod obecné kontroly a je seskupena s dalšími zásadami a postupy IT testování, obnovy po havárii, zálohování a obnovy a zabezpečení.
Z mnoha kroků nutných k vyhovění auditu je jednou z věcí, které se nejčastěji přehlížejí: „Udržujte si záznam o činnosti pomocí auditu v reálném čase, včetně toho, kdo, co, kde a kdy veškeré činnosti operátora a změny infrastruktury, zejména ty, které by mohly být nevhodné nebo škodlivé.“ Ať už se jedná o změnu nastavení systému, softwarové aplikace nebo samotných dat, musí být udržován záznam, který obsahuje minimálně následující prvky:
- Kdo o změnu požádal
- Kdy byla změna provedena
- Co je to změna – popis
- Kdo změnu schválil
Zaznamenávání těchto informací o změnách v sestavách a řídicích panelech ve vašich systémech Analytics a Business Intelligence je stejně důležité. Bez ohledu na to, kde je nástroj Analytics a BI na kontinuu kontroly – Divoký západ, samoobslužné nebo centrálně spravované; zda tabulky (zachvění), Tableau/Qlik/Power BI nebo Cognos Analytics – abyste byli v souladu se Sarbanes-Oxley, musíte tyto základní informace zaznamenávat. Auditora nezajímá, zda používáte tužku a papír nebo automatizovaný systém k dokumentaci toho, že jsou dodržovány vaše kontrolní procesy. Připouštím, že pokud používáte tabulky jako svůj „analytický“ software pro obchodní rozhodnutí, můžete tabulky používat také k zaznamenávání řízení změn.
Je však pravděpodobné, že pokud jste již investovali do analytického systému, jako je PowerBI nebo jiné, měli byste hledat způsoby, jak automatizovat zaznamenávání změn ve vašem business intelligence a systému výkaznictví. I když jsou hotové, analytické nástroje jako Tableau, Qlik, PowerBI opomíjely zahrnout snadné a kontrolovatelné vykazování správy změn. Udělej si domácí úkol. Najděte způsob, jak automatizovat dokumentaci změn ve vašem analytickém prostředí. Ještě lepší je, že buďte připraveni předložit auditorovi nejen protokol změn ve vašem systému, ale také to, že změny odpovídají schváleným interním zásadám a procesům.
Mít schopnost:
1) prokázat, že máte solidní interní zásady,
2) zda je vaše zdokumentované procesy podporují a
3) že skutečná praxe může být potvrzena
udělá radost každému auditorovi. A každý ví, že když je spokojený auditor, jsou šťastní všichni.
Mnoho společností si stěžuje na dodatečné náklady na dodržování norem a náklady na dodržování norem SOX mohou být vysoké. "Tyto náklady jsou významnější pro menší firmy, pro složitější firmy a pro firmy s nižšími možnostmi růstu." Náklady za nedodržení mohou být ještě vyšší.
Riziko nedodržení
Sarbanes-Oxley volá generální ředitele a ředitele k odpovědnosti a trestá až 500,000 5 $ a XNUMX let vězení. Vláda často nepřijímá prosbu o neznalosti nebo neschopnosti. Kdybych byl generálním ředitelem, určitě bych chtěl, aby můj tým mohl prokázat, že jsme se drželi osvědčených postupů a věděli jsme, kdo každou transakci provedl.
Ještě jedna věc. Řekl jsem, že Sarbanes-Oxley je pro veřejně obchodované společnosti. To je pravda, ale zvažte, jak by vám nedostatek vnitřních kontrol a chybějící dokumentace mohl bránit, pokud byste někdy chtěli udělat veřejnou nabídku.
