Analytics και Sarbanes-Oxley

Διαχείριση της συμμόρφωσης SOX με εργαλεία αυτοεξυπηρέτησης BI όπως το Qlik, το Tableau και το PowerBI

Του χρόνου η SOX θα είναι αρκετά μεγάλη για να αγοράσει μπύρα στο Τέξας. Δημιουργήθηκε από τον «Νόμο για τη Μεταρρύθμιση της Λογιστικής της Δημόσιας Εταιρίας και την Προστασία των Επενδυτών», γνωστός στη συνέχεια με τα ονόματα των γερουσιαστών που υποστήριξαν το νομοσχέδιο, τον νόμο Sarbanes-Oxley του 2002. Ο Sarbanes-Oxley ήταν ο απόγονος του Securities Act του 1933, του οποίου ο κύριος σκοπός ήταν να προστατεύσει τους επενδυτές από την απάτη παρέχοντας διαφάνεια στα εταιρικά οικονομικά. Ως απόγονος αυτής της πράξης, ο Sarbanes-Oxley ενίσχυσε αυτούς τους στόχους και προσπάθησε να προωθήσει τη λογοδοσία μέσω καλών επιχειρηματικών πρακτικών. Όμως, όπως πολλοί νέοι ενήλικες, εξακολουθούμε να προσπαθούμε να το καταλάβουμε. Μετά από είκοσι χρόνια, οι εταιρείες εξακολουθούν να προσπαθούν να καταλάβουν ποιες είναι οι επιπτώσεις της πράξης για αυτές συγκεκριμένα, καθώς και τον καλύτερο τρόπο για να δημιουργήσουν αυξημένη διαφάνεια στην τεχνολογία και τα συστήματά τους για να υποστηρίξουν τη συμμόρφωση.

Ποιος είναι υπεύθυνος;

Σε αντίθεση με τη δημοφιλή πεποίθηση, η Sarbanes-Oxley δεν ισχύει μόνο για χρηματοπιστωτικά ιδρύματα ή μόνο για το οικονομικό τμήμα. Στόχος του είναι να παρέχει μεγαλύτερη διαφάνεια σε όλα τα οργανωτικά δεδομένα και τις σχετικές διαδικασίες. Τεχνικά, η Sarbanes-Oxley ισχύει μόνο για εταιρείες που είναι εισηγμένες στο χρηματιστήριο, αλλά οι απαιτήσεις της είναι καλές για κάθε επιχείρηση που λειτουργεί καλά. Ο νόμος καθιστά τον Διευθύνοντα Σύμβουλο και τον Οικονομικό Διευθυντή προσωπικά υπεύθυνους για το στοιχεία που παρουσιάζονται. Αυτοί οι αξιωματικοί βασίζονται, με τη σειρά τους, στους CIO, CDO και CSO για να διασφαλίσουν ότι τα συστήματα δεδομένων είναι ασφαλή, έχουν ακεραιότητα και είναι σε θέση να παρέχουν τις απαραίτητες πληροφορίες για την απόδειξη της συμμόρφωσης. Πρόσφατα, ο έλεγχος και η συμμόρφωση έχουν γίνει μεγαλύτερη πρόκληση για τους CIO και τους ομολόγους τους. Πολλοί οργανισμοί απομακρύνονται από τα παραδοσιακά επιχειρηματικά συστήματα, τα συστήματα Analytics που διαχειρίζονται IT και Business Intelligence. Αντίθετα, υιοθετούν εργαλεία αυτοεξυπηρέτησης που καθοδηγούνται από τη γραμμή της επιχείρησης, όπως το Qlik, το Tableau και το PowerBI. Αυτά τα εργαλεία, από τη σχεδίασή τους, δεν διαχειρίζονται κεντρικά.

Διαχείριση της Αλλαγής

Μία από τις βασικές απαιτήσεις για τη συμμόρφωση με τον Νόμο είναι ο καθορισμός των υφιστάμενων ελέγχων και ο τρόπος συστηματικής καταγραφής των αλλαγών σε δεδομένα ή εφαρμογές. Με άλλα λόγια, η πειθαρχία της Διαχείρισης Αλλαγών. Η ασφάλεια, η πρόσβαση σε δεδομένα και λογισμικό πρέπει να παρακολουθούνται, καθώς και εάν τα συστήματα πληροφορικής δεν λειτουργούν σωστά. Η συμμόρφωση εξαρτάται όχι μόνο από τον καθορισμό των πολιτικών και των διαδικασιών για την προστασία του περιβάλλοντος, αλλά και από το να γίνει πραγματικά και τελικά να είναι σε θέση να αποδείξει ότι έχει γίνει. Ακριβώς όπως η αλυσίδα αστυνομικών αποδεικτικών στοιχείων, η συμμόρφωση με τη Sarbanes-Oxley είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της.  

Ο αδύναμος κρίκος

Ως ευαγγελιστής της ανάλυσης, με πονάει που το λέω αυτό, αλλά ο πιο αδύναμος κρίκος στη συμμόρφωση Sarbanes-Oxley είναι συχνά το Analytics ή το Business Intelligence. Οι ηγέτες στο self-serve Analytics που αναφέρθηκαν παραπάνω –Qlik, Tableau και PowerBI – Η ανάλυση και η αναφορά σήμερα είναι περισσότερα γίνεται συνήθως σε επιχειρηματικά τμήματα παρά στην πληροφορική. Αυτό ισχύει ακόμη περισσότερο για τα εργαλεία του Analytics όπως τα Qlik, Tableau και PowerBI που έχουν τελειοποιήσει το μοντέλο αυτοεξυπηρέτησης BI. Τα περισσότερα χρήματα που δαπανήθηκαν για τη συμμόρφωση έχουν επικεντρωθεί σε χρηματοοικονομικά και λογιστικά συστήματα. Πιο πρόσφατα, οι εταιρείες δικαίως επέκτειναν την προετοιμασία ελέγχου σε άλλα τμήματα. Αυτό που βρήκαν ήταν ότι τα επίσημα προγράμματα διαχείρισης αλλαγών πληροφορικής απέτυχαν να συμπεριλάβουν βάσεις δεδομένων ή αποθήκες δεδομένων/μάρκες με την ίδια αυστηρότητα που χρησιμοποιείται για εφαρμογές και συστήματα.  Ο τομέας συμμόρφωσης των πολιτικών και διαδικασιών διαχείρισης αλλαγών εμπίπτει στους Γενικούς Ελέγχους και ομαδοποιείται με άλλες πολιτικές και διαδικασίες πληροφορικής δοκιμών, ανάκτησης από καταστροφές, δημιουργίας αντιγράφων ασφαλείας και ανάκτησης και ασφάλειας.

Από τα πολλά βήματα που απαιτούνται για τη συμμόρφωση με έναν έλεγχο, ένα από τα πράγματα που συνήθως παραβλέπεται είναι να:Διατηρήστε μια διαδρομή δραστηριότητας με έλεγχο σε πραγματικό χρόνο, συμπεριλαμβανομένου του ποιος, τι, πού και πότε για όλη τη δραστηριότητα του χειριστή και αλλαγές υποδομής, ειδικά εκείνες που θα μπορούσαν να είναι ακατάλληλες ή κακόβουλες».  Είτε η αλλαγή αφορά τις ρυθμίσεις συστήματος, μια εφαρμογή λογισμικού ή δεδομένα, πρέπει να τηρείται ένα αρχείο που περιέχει τουλάχιστον τα ακόλουθα στοιχεία:

• Ποιος ζήτησε την αλλαγή
• Όταν έγινε η αλλαγή
• Ποια είναι η αλλαγή - μια περιγραφή
• Ποιος ενέκρινε την αλλαγή

Η καταγραφή αυτών των πληροφοριών σχετικά με αλλαγές σε αναφορές και πίνακες εργαλείων στα συστήματα Analytics και Business Intelligence είναι εξίσου σημαντική. Ανεξάρτητα από το πού βρίσκεται το εργαλείο Analytics και BI στη συνέχεια ελέγχου - στην Άγρια Δύση, αυτοεξυπηρέτηση ή κεντρική διαχείριση. είτε υπολογιστικά φύλλα (ανατριχιάζω), Tableau/Qlik/Power BI ή Cognos Analytics – για να συμμορφώνεστε με το Sarbanes-Oxley, θα πρέπει να καταγράφετε αυτές τις βασικές πληροφορίες. Ο ελεγκτής δεν ενδιαφέρεται αν χρησιμοποιείτε στυλό και χαρτί ή ένα αυτοματοποιημένο σύστημα για να τεκμηριώσετε ότι ακολουθούνται οι διαδικασίες ελέγχου σας. Παραδέχομαι ότι εάν χρησιμοποιείτε υπολογιστικά φύλλα ως λογισμικό «αναλυτικών» για τη λήψη επιχειρηματικών αποφάσεων, ενδέχεται να χρησιμοποιείτε υπολογιστικά φύλλα για την καταγραφή της διαχείρισης αλλαγών.  

Ωστόσο, οι πιθανότητες είναι καλές ότι εάν έχετε ήδη επενδύσει σε ένα σύστημα ανάλυσης όπως το PowerBI ή άλλα, θα πρέπει να αναζητάτε τρόπους αυτοματοποίησης της καταγραφής των αλλαγών στην επιχειρηματική ευφυΐα και το σύστημα αναφορών σας. Όσο καλά κι αν είναι, τα εργαλεία ανάλυσης όπως τα Tableau, Qlik, PowerBI έχουν παραμελήσει να συμπεριλάβουν εύκολες, ελεγχόμενες αναφορές διαχείρισης αλλαγών. Κανε τα μαθηματα σου. Βρείτε έναν τρόπο να αυτοματοποιήσετε την τεκμηρίωση των αλλαγών στο περιβάλλον αναλυτικών στοιχείων σας. Ακόμη καλύτερα, να είστε έτοιμοι να παρουσιάσετε σε έναν ελεγκτή, όχι απλώς ένα αρχείο καταγραφής αλλαγών στο σύστημά σας, αλλά ότι οι αλλαγές συμμορφώνονται με τις εγκεκριμένες εσωτερικές πολιτικές και διαδικασίες.

Έχοντας την ικανότητα να: 

1) δείξετε ότι έχετε σταθερές εσωτερικές πολιτικές, 

2) ότι οι τεκμηριωμένες διαδικασίες σας τις υποστηρίζουν και 

3) ότι η πραγματική πρακτική μπορεί να επιβεβαιωθεί 

θα κάνει κάθε ελεγκτή χαρούμενο. Και, όλοι γνωρίζουν ότι αν ο ελεγκτής είναι ευχαριστημένος, όλοι είναι ευχαριστημένοι.

Πολλές εταιρείες διαμαρτύρονται για το πρόσθετο κόστος συμμόρφωσης και το κόστος συμμόρφωσης με τα πρότυπα SOX μπορεί να είναι υψηλό. «Αυτά τα κόστη είναι πιο σημαντικά για μικρότερες επιχειρήσεις, για πιο σύνθετες επιχειρήσεις και για επιχειρήσεις με χαμηλότερες ευκαιρίες ανάπτυξης».  Το κόστος για τη μη συμμόρφωση μπορεί να είναι ακόμη υψηλότερο.

Ο κίνδυνος μη συμμόρφωσης

Η Sarbanes-Oxley θεωρεί τους CEO και τους διευθυντές υπόλογους και τιμωρούνται με έως και 500,000 δολάρια και 5 χρόνια φυλάκιση. Η κυβέρνηση δεν δέχεται συχνά μια έκκληση άγνοιας ή ανικανότητας. Αν ήμουν Διευθύνων Σύμβουλος, σίγουρα θα ήθελα η ομάδα μου να είναι σε θέση να αποδείξει ότι είχαμε τηρήσει τις βέλτιστες πρακτικές και γνωρίζαμε ποιος είχε πραγματοποιήσει κάθε συναλλαγή. 

Ακόμη ένα πράγμα. Είπα ότι η Sarbanes-Oxley είναι για εισηγμένες εταιρείες. Αυτό είναι αλήθεια, αλλά σκεφτείτε πώς η έλλειψη εσωτερικών ελέγχων και η έλλειψη τεκμηρίωσης θα μπορούσαν να σας εμποδίσουν αν ποτέ θέλατε να κάνετε μια δημόσια προσφορά.