Få en demo
Login

Er der et hul i din sox? (Overholdelse)

by August 2, 2022Revision, BI/Analytik0 kommentarer

Analytics og Sarbanes-Oxley

Håndtering af SOX-compliance med selvbetjente BI-værktøjer som Qlik, Tableau og PowerBI

 

Næste år vil SOX være gammel nok til at købe øl i Texas. Det blev født ud af "Public Company Accounting Reform and Investor Protection Act", derefter kærligt kendt under navnene på senatorerne, der sponsorerede lovforslaget, Sarbanes-Oxley Act of 2002. Sarbanes Oxley Sarbanes-Oxley var afkom af Securities Act af 1933, hvis hovedformål var at beskytte investorer mod svig ved at give gennemsigtighed i virksomhedernes økonomi. Som denne handlings afkom forstærkede Sarbanes-Oxley disse mål og forsøgte at fremme ansvarlighed gennem god forretningspraksis. Men ligesom mange unge voksne forsøger vi stadig at finde ud af det. Tyve år senere forsøger virksomheder stadig at finde ud af, hvad lovens implikationer er for dem specifikt, samt hvordan de bedst kan indbygge øget gennemsigtighed i deres teknologi og systemer for at understøtte overholdelse.

 

Hvem er ansvarlig?

 

I modsætning til hvad mange tror, ​​gælder Sarbanes-Oxley ikke kun for finansielle institutioner eller kun for finansafdelingen. Dens mål er at give større gennemsigtighed i alle organisatoriske data og relaterede processer. Teknisk set gælder Sarbanes-Oxley kun for børsnoterede selskaber, men kravene er sunde for enhver veldrevet virksomhed. Loven gør den administrerende direktør og finansdirektøren personligt ansvarlig for data præsenteret. Disse officerer er til gengæld afhængige af CIO, CDO og CSO for at sikre, at datasystemerne er sikre, har integritet og er i stand til at levere information, der er nødvendig for at bevise overholdelse. For nylig er kontrol og overholdelse blevet mere af en udfordring for CIO'er og deres ligestillede. Mange organisationer er på vej væk fra traditionelle virksomheds-, IT-administrerede Analytics- og Business Intelligence-systemer. I stedet tager de i brug linje-of-business-ledede selvbetjeningsværktøjer som Qlik, Tableau og PowerBI. Disse værktøjer er designmæssigt ikke administreret centralt.

 

Change Management

 

Et af nøglekravene for overholdelse af loven er at definere de kontroller, der er på plads, og hvordan ændringer i data eller applikationer systematisk skal registreres. Med andre ord disciplinen Change Management. Sikkerhed, data og softwareadgang skal overvåges, samt om it-systemer ikke fungerer korrekt. Overholdelse afhænger ikke blot af at definere politikker og processer for at beskytte miljøet, men også af rent faktisk at gøre det og i sidste ende være i stand til at bevise, at det er blevet gjort. Ligesom politiets beviskæde, er overholdelse af Sarbanes-Oxley kun så stærk som dets svageste led.  

 

Det svage led

 

Som analytikerevangelist gør det mig ondt at sige dette, men det svageste led i Sarbanes-Oxley-overholdelse er ofte Analytics eller Business Intelligence. De førende inden for selvbetjeningsanalyse nævnt ovenfor – Qlik, Tableau og PowerBI – Analyse og rapportering i dag er mere gøres almindeligvis i linje-of-business afdelinger end i IT. Dette gælder endnu mere for Analytics-værktøjer som Qlik, Tableau og PowerBI, som har perfektioneret selvbetjenings-BI-modellen. De fleste penge brugt på overholdelse har fokuseret på finansielle og regnskabssystemer. På det seneste har virksomheder med rette udvidet revisionsforberedelse til andre afdelinger. Det, de fandt, var, at formelle IT Change Management-programmer havde undladt at omfatte databaser eller datavarehuse/markeder med den samme strenghed, som blev brugt til applikationer og systemer.  Overholdelsesområdet for ændringsstyringspolitikker og -procedurer falder ind under Generelle kontroller og er grupperet med andre it-politikker og -procedurer for test, katastrofegendannelse, backup og gendannelse og sikkerhed.

 

Af de mange trin, der kræves for at overholde en revision, er en af ​​de ting, der oftest overses, at: "Hold et aktivitetsspor med realtidsrevision, inklusive hvem, hvad, hvor og hvornår af al operatøraktivitet og infrastrukturændringer, især dem, der kunne være upassende eller ondsindede."  Uanset om ændringen er til systemindstillinger, en softwareapplikation eller selve data, skal der vedligeholdes en registrering, som mindst indeholder følgende elementer:

  • Hvem anmodede om ændringen
  • Hvornår ændringen blev udført
  • Hvad ændringen er – en beskrivelse
  • Hvem godkendte ændringen

 

Det er lige så vigtigt at registrere disse oplysninger om ændringer af rapporter og dashboards i dine Analytics- og Business Intelligence-systemer. Uanset hvor Analytics- og BI-værktøjet er på kontinuummet af kontrol – det vilde vesten, selvbetjening eller centralt styret; om regneark (ryster), Tableau/Qlik/Power BI eller Cognos Analytics – for at være i overensstemmelse med Sarbanes-Oxley skal du registrere disse grundlæggende oplysninger. Revisoren er ligeglad med, om du bruger pen og papir eller et automatiseret system til at dokumentere, at dine kontrolprocesser bliver fulgt. Jeg indrømmer, at hvis du bruger regneark som din "analyse"-software til at træffe forretningsbeslutninger, bruger du muligvis også regneark til at registrere forandringsledelsen.  

 

Der er dog gode chancer for, at hvis du allerede har investeret i et analysesystem som PowerBI eller andre, bør du lede efter måder at automatisere registreringen af ​​ændringerne i dit business intelligence- og rapporteringssystem. Så gode som de er, ude af kassen, har analyseværktøjer som Tableau, Qlik, PowerBI forsømt at inkludere nem, reviderbar ændringsstyringsrapportering. Lav dine lektier. Find en måde at automatisere dokumentationen af ​​ændringer i dit analysemiljø. Endnu bedre, vær forberedt på at præsentere for en revisor, ikke kun en log over ændringer til dit system, men at ændringerne er i overensstemmelse med godkendte interne politikker og processer.

 

At have evnen til at: 

1) demonstrere, at du har solide interne politikker, 

2) at dine dokumenterede processer understøtter dem, og 

3) at faktisk praksis kan bekræftes 

vil gøre enhver revisor glad. Og alle ved, at hvis revisor er glad, er alle glade.

 

Mange virksomheder klager over de ekstra omkostninger ved overholdelse, og omkostningerne ved overholdelse af SOX-standarder kan være høje. "Disse omkostninger er vigtigere for mindre virksomheder, for mere komplekse virksomheder og for virksomheder med lavere vækstmuligheder."  Omkostningerne ved manglende overholdelse kan være endnu højere.

 

Risikoen for manglende overholdelse

 

Sarbanes-Oxley holder administrerende direktører og direktører ansvarlige og kan straffes med op til $500,000 og 5 års fængsel. Regeringen accepterer ikke ofte en bøn om uvidenhed eller inkompetence. Hvis jeg var en administrerende direktør, ville jeg helt sikkert ønske, at mit team kunne bevise, at vi havde overholdt bedste praksis, og vi vidste, hvem der havde udført hver transaktion. 

 

En ting mere. Jeg sagde, at Sarbanes-Oxley er for børsnoterede virksomheder. Det er sandt, men overvej, hvordan manglen på interne kontroller og mangel på dokumentation kan hindre dig, hvis du nogensinde ville lave et offentligt udbud.  

Load More