Analítica y Sarbanes-Oxley
Gestión del cumplimiento de SOX con herramientas de BI de autoservicio como Qlik, Tableau y PowerBI
El próximo año SOX tendrá la edad suficiente para comprar cerveza en Texas. Nació de la “Ley de Reforma de la Contabilidad de Empresas Públicas y Protección del Inversor”, conocida cariñosamente a partir de entonces por los nombres de los senadores que patrocinaron el proyecto de ley, la Ley Sarbanes-Oxley de 2002. 
Sarbanes-Oxley fue el resultado de la Ley de Valores de 1933, cuyo objetivo principal era proteger a los inversores del fraude proporcionando transparencia en las finanzas corporativas. Como descendiente de esa ley, Sarbanes-Oxley reforzó esos objetivos e intentó promover la responsabilidad a través de buenas prácticas comerciales. Pero, como muchos adultos jóvenes, todavía estamos tratando de resolverlo. Veinte años después, las empresas todavía están tratando de averiguar cuáles son las implicaciones de la ley para ellas específicamente, así como también cuál es la mejor manera de generar una mayor transparencia en su tecnología y sistemas para respaldar el cumplimiento.
¿Quien es responsable?
Contrariamente a la creencia popular, Sarbanes-Oxley no se aplica solo a las instituciones financieras o solo al departamento de finanzas. Su objetivo es proporcionar una mayor transparencia en todos los datos de la organización y los procesos relacionados. Técnicamente, Sarbanes-Oxley se aplica solo a corporaciones que cotizan en bolsa, pero sus requisitos son sólidos para cualquier negocio bien administrado. La Ley hace que el CEO y el CFO sean personalmente responsables de la 
datos presentados. Estos oficiales confían, a su vez, en el CIO, CDO y CSO para garantizar que los sistemas de datos sean seguros, tengan integridad y puedan proporcionar la información necesaria para demostrar el cumplimiento. Recientemente, el control y el cumplimiento se han convertido en un desafío mayor para los CIO y sus pares. Muchas organizaciones se están alejando de los sistemas empresariales tradicionales de análisis e inteligencia empresarial administrados por TI. En su lugar, están adoptando herramientas de autoservicio dirigidas por línea de negocio como Qlik, Tableau y PowerBI. Estas herramientas, por diseño, no se administran de forma centralizada.
Gestión del cambio
Uno de los requisitos clave para el cumplimiento de la Ley es definir los controles establecidos y cómo deben registrarse sistemáticamente los cambios en los datos o las aplicaciones. En otras palabras, la disciplina de Gestión del Cambio. Es necesario monitorear la seguridad, el acceso a los datos y al software, así como también si los sistemas de TI no funcionan correctamente. El cumplimiento depende no solo de definir las políticas y procesos para salvaguardar el medio ambiente, sino también de hacerlo y, en última instancia, poder demostrar que se ha hecho. Al igual que la cadena de custodia de la evidencia policial, el cumplimiento de Sarbanes-Oxley es tan fuerte como su eslabón más débil.
El eslabón débil
Como evangelista de la analítica, me duele decir esto, pero el eslabón más débil en el cumplimiento de Sarbanes-Oxley suele ser la analítica o la inteligencia comercial. Los líderes en análisis de autoservicio mencionados anteriormente: Qlik, Tableau y PowerBI: el análisis y la generación de informes hoy en día son más 
comúnmente en los departamentos de línea de negocio que en TI. Esto es aún más cierto en el caso de herramientas de análisis como Qlik, Tableau y PowerBI, que han perfeccionado el modelo de BI de autoservicio. La mayor parte del dinero gastado en cumplimiento se ha centrado en los sistemas financieros y contables. Más recientemente, las empresas han ampliado correctamente la preparación de auditorías a otros departamentos. Lo que encontraron fue que los programas formales de gestión de cambios de TI no habían logrado abarcar bases de datos o almacenes/marts de datos con el mismo rigor utilizado para aplicaciones y sistemas. El área de cumplimiento de políticas y procedimientos de Gestión de Cambios se encuentra bajo Controles Generales y está agrupada con otras políticas y procedimientos de TI de pruebas, recuperación ante desastres, respaldo y recuperación y seguridad.
De los muchos pasos necesarios para cumplir con una auditoría, una de las cosas que se pasa por alto con más frecuencia es: “Mantenga un registro de actividad con auditoría en tiempo real, incluido quién, qué, dónde y cuándo de toda la actividad del operador y cambios de infraestructura, especialmente aquellos que podrían ser inapropiados o maliciosos”. Ya sea que el cambio sea en la configuración del sistema, una aplicación de software o los datos mismos, se debe mantener un registro que contenga, como mínimo, los siguientes elementos:
- Quién solicitó el cambio
- Cuando se realizó el cambio
- Cuál es el cambio: una descripción
- Quién aprobó el cambio
Registrar esta información sobre los cambios en los informes y tableros en sus sistemas de análisis e inteligencia comercial es igual de importante. Independientemente de dónde se encuentre la herramienta de análisis y BI en el continuo de control: el salvaje oeste, autoservicio o administración central; si las hojas de cálculo (estremecimiento), Tableau/Qlik/Power BI o Cognos Analytics: para cumplir con Sarbanes-Oxley, deberá registrar esta información básica. Al auditor no le importa si está utilizando lápiz y papel o un sistema automatizado para documentar que se están siguiendo sus procesos de control. Admito que si está utilizando hojas de cálculo como su software de "análisis" para tomar decisiones comerciales, también podría estar utilizando hojas de cálculo para registrar la gestión de cambios.
Sin embargo, es muy probable que si ya ha invertido en un sistema de análisis como PowerBI u otros, debería buscar formas de automatizar el registro de los cambios en su sistema de informes e inteligencia empresarial. A pesar de lo buenas que son, las herramientas de análisis listas para usar, como Tableau, Qlik, PowerBI, se han olvidado de incluir informes de gestión de cambios fáciles y auditables. Haz tu tarea. Encuentre una manera de automatizar la documentación de los cambios en su entorno de análisis. Aún mejor, prepárese para presentarle a un auditor, no solo un registro de cambios en su sistema, sino que los cambios se ajusten a las políticas y procesos internos aprobados.
Tener la capacidad de:
1) demostrar que tiene políticas internas sólidas,
2) que sus procesos documentados los respalden, y
3) que la práctica real puede ser confirmada
hará feliz a cualquier auditor. Y todos saben que si el auditor está feliz, todos están felices.
Muchas empresas se quejan de los costos adicionales del cumplimiento, y el costo del cumplimiento de las normas SOX puede ser alto. “Estos costos son más significativos para las empresas más pequeñas, para las empresas más complejas y para las empresas con menores oportunidades de crecimiento”. El costo del incumplimiento puede ser aún mayor.
El riesgo de incumplimiento
Sarbanes-Oxley responsabiliza a los directores ejecutivos y directores y los castiga con hasta $500,000 y 5 años de prisión. El gobierno no suele aceptar una alegación de ignorancia o incompetencia. Si yo fuera un CEO, seguramente querría que mi equipo pudiera demostrar que nos hemos adherido a las mejores prácticas y que sabíamos quién había realizado cada transacción.
Una cosa más. Dije que Sarbanes-Oxley es para empresas que cotizan en bolsa. Eso es cierto, pero considere cómo la falta de controles internos y la falta de documentación podrían obstaculizarlo si alguna vez quisiera hacer una oferta pública.
