Analytik und Sarbanes-Oxley

Verwaltung der SOX-Compliance mit Self-Service-BI-Tools wie Qlik, Tableau und PowerBI

Nächstes Jahr wird SOX alt genug sein, um Bier in Texas zu kaufen. Es wurde aus dem „Public Company Accounting Reform and Investor Protection Act“ geboren, der später liebevoll unter den Namen der Senatoren bekannt ist, die das Gesetz unterstützt haben, dem Sarbanes-Oxley Act von 2002. Sarbanes-Oxley war der Nachkomme des Securities Act von 1933, dessen Hauptzweck darin bestand, Anleger vor Betrug zu schützen, indem er Transparenz in die Unternehmensfinanzen brachte. Als Nachkomme dieses Gesetzes verstärkte Sarbanes-Oxley diese Ziele und versuchte, die Rechenschaftspflicht durch gute Geschäftspraktiken zu fördern. Aber wie viele junge Erwachsene versuchen wir immer noch, es herauszufinden. Zwanzig Jahre später versuchen Unternehmen immer noch herauszufinden, welche Auswirkungen das Gesetz speziell auf sie hat und wie sie am besten mehr Transparenz in ihre Technologien und Systeme einbauen können, um die Einhaltung von Vorschriften zu unterstützen.

Wer ist verantwortlich?

Entgegen der landläufigen Meinung gilt Sarbanes-Oxley nicht nur für Finanzinstitute oder nur für die Finanzabteilung. Ziel ist es, mehr Transparenz über alle organisatorischen Daten und damit verbundenen Prozesse zu schaffen. Technisch gesehen gilt Sarbanes-Oxley nur für börsennotierte Unternehmen, aber seine Anforderungen sind für jedes gut geführte Unternehmen solide. Das Gesetz macht den CEO und den CFO persönlich verantwortlich für die Daten präsentiert. Diese Beamten verlassen sich wiederum auf den CIO, CDO und CSO, um sicherzustellen, dass die Datensysteme sicher sind, Integrität aufweisen und in der Lage sind, Informationen bereitzustellen, die zum Nachweis der Einhaltung erforderlich sind. In letzter Zeit sind Kontrolle und Compliance zu einer immer größeren Herausforderung für CIOs und ihre Kollegen geworden. Viele Unternehmen entfernen sich von traditionellen, IT-verwalteten Analyse- und Business-Intelligence-Systemen für Unternehmen. Stattdessen führen sie branchenorientierte Self-Service-Tools wie Qlik, Tableau und PowerBI ein. Diese Tools werden konstruktionsbedingt nicht zentral verwaltet.

Änderungsmanagement

Eine der wichtigsten Anforderungen für die Einhaltung des Gesetzes besteht darin, die vorhandenen Kontrollen zu definieren und festzulegen, wie Änderungen an Daten oder Anwendungen systematisch aufgezeichnet werden sollten. Mit anderen Worten, die Disziplin des Change Managements. Sicherheit, Daten- und Softwarezugriff müssen überwacht werden, ebenso ob IT-Systeme nicht ordnungsgemäß funktionieren. Compliance hängt nicht nur davon ab, die Richtlinien und Prozesse zum Schutz der Umwelt zu definieren, sondern dies auch tatsächlich zu tun und letztendlich nachweisen zu können, dass es getan wurde. Genau wie die Beweiskette der Polizei ist die Einhaltung von Sarbanes-Oxley nur so stark wie ihr schwächstes Glied.  

Das schwache Glied

Als Analytics-Evangelist schmerzt es mich, das zu sagen, aber das schwächste Glied bei der Sarbanes-Oxley-Compliance ist oft Analytics oder Business Intelligence. Die oben erwähnten führenden Anbieter von Self-Service-Analysen – Qlik, Tableau und PowerBI – Analyse und Berichterstellung sind heute mehr üblicherweise in Fachabteilungen als in der IT. Dies gilt umso mehr für Analytics-Tools wie Qlik, Tableau und PowerBI, die das Self-Service-BI-Modell perfektioniert haben. Das meiste Geld, das für Compliance ausgegeben wurde, konzentrierte sich auf Finanz- und Buchhaltungssysteme. In jüngerer Zeit haben Unternehmen die Prüfungsvorbereitung zu Recht auf andere Abteilungen ausgeweitet. Sie fanden heraus, dass formelle IT-Change-Management-Programme Datenbanken oder Data Warehouses/Marts nicht mit der gleichen Strenge umfassten, die für Anwendungen und Systeme verwendet wird.  Der Compliance-Bereich Change Management-Richtlinien und -Verfahren fällt unter Allgemeine Kontrollen und ist mit anderen IT-Richtlinien und -Verfahren für Tests, Notfallwiederherstellung, Sicherung sowie Wiederherstellung und Sicherheit gruppiert.

Von den vielen Schritten, die erforderlich sind, um ein Audit zu erfüllen, wird eines der Dinge, die am häufigsten übersehen werden, Folgendes: „Führen Sie einen Aktivitätspfad mit Echtzeit-Audits, einschließlich Wer, Was, Wo und Wann aller Bedieneraktivitäten und Infrastrukturänderungen, insbesondere solche, die unangemessen oder böswillig sein könnten.“  Unabhängig davon, ob es sich um eine Änderung an Systemeinstellungen, einer Softwareanwendung oder Daten selbst handelt, muss eine Aufzeichnung geführt werden, die mindestens die folgenden Elemente enthält:

• Wer hat die Änderung beantragt?
• Wann die Änderung durchgeführt wurde
• Was die Änderung ist – eine Beschreibung
• Wer hat die Änderung genehmigt?

Genauso wichtig ist das Aufzeichnen dieser Informationen über Änderungen an Berichten und Dashboards in Ihren Analytics- und Business-Intelligence-Systemen. Unabhängig davon, wo sich das Analyse- und BI-Tool auf dem Kontinuum der Kontrolle befindet – im Wilden Westen, Self-Service oder zentral verwaltet; ob Tabellenkalkulationen (schaudern), Tableau/Qlik/Power BI oder Cognos Analytics – um mit Sarbanes-Oxley konform zu sein, müssen Sie diese grundlegenden Informationen aufzeichnen. Dem Prüfer ist es egal, ob Sie Stift und Papier oder ein automatisiertes System verwenden, um zu dokumentieren, dass Ihre Kontrollprozesse befolgt werden. Ich gebe zu, dass Sie, wenn Sie Tabellenkalkulationen als Ihre „Analyse“-Software verwenden, um Geschäftsentscheidungen zu treffen, möglicherweise auch Tabellenkalkulationen verwenden, um das Änderungsmanagement aufzuzeichnen.  

Wenn Sie jedoch bereits in ein Analysesystem wie PowerBI oder andere investiert haben, stehen die Chancen gut, dass Sie nach Möglichkeiten suchen sollten, die Aufzeichnung der Änderungen in Ihrem Business Intelligence- und Berichtssystem zu automatisieren. So gut sie auch sind, Out-of-the-Box-Analysetools wie Tableau, Qlik, PowerBI haben es versäumt, einfache, überprüfbare Änderungsmanagementberichte zu integrieren. Mach deine Hausaufgaben. Finden Sie eine Möglichkeit, die Dokumentation von Änderungen an Ihrer Analyseumgebung zu automatisieren. Noch besser, bereiten Sie sich darauf vor, einem Prüfer nicht nur ein Protokoll der Änderungen an Ihrem System vorzulegen, sondern dass die Änderungen den genehmigten internen Richtlinien und Prozessen entsprechen.

Die Fähigkeit haben: 

1) zeigen, dass Sie solide interne Richtlinien haben, 

2) dass Ihre dokumentierten Prozesse sie unterstützen, und 

3) dass die tatsächliche Praxis bestätigt werden kann 

wird jeden Prüfer glücklich machen. Und jeder weiß, dass jeder glücklich ist, wenn der Auditor glücklich ist.

Viele Unternehmen beschweren sich über die zusätzlichen Kosten der Einhaltung, und die Kosten für die Einhaltung von SOX-Standards können hoch sein. „Diese Kosten sind für kleinere Unternehmen, für komplexere Unternehmen und für Unternehmen mit geringeren Wachstumschancen von größerer Bedeutung.“  Die Kosten für die Nichteinhaltung können sogar noch höher sein.

Das Risiko der Nichteinhaltung

Sarbanes-Oxley macht CEOs und Direktoren zur Rechenschaft und wird mit bis zu 500,000 US-Dollar und 5 Jahren Gefängnis bestraft. Die Regierung akzeptiert nicht oft eine Einrede der Unwissenheit oder Inkompetenz. Wenn ich ein CEO wäre, würde ich sicherlich wollen, dass mein Team nachweisen kann, dass wir uns an Best Practices gehalten haben und wussten, wer jede Transaktion durchgeführt hat. 

Eine Sache noch. Ich sagte, dass Sarbanes-Oxley für börsennotierte Unternehmen ist. Das stimmt, aber bedenken Sie, wie das Fehlen interner Kontrollen und fehlender Dokumentation Sie daran hindern könnte, wenn Sie jemals ein öffentliches Angebot machen wollten.