Analytics ja Sarbanes-Oxley
SOX-i vastavuse haldamine iseteenindusega BI tööriistadega, nagu Qlik, Tableau ja PowerBI
Järgmisel aastal on SOX piisavalt vana, et Texases õlut osta. See sündis "avaliku ettevõtte raamatupidamisreformi ja investorite kaitse seadusest", mida tunti hiljem hellitavalt eelnõu sponsoriteks olnud senaatorite nimede järgi, 2002. aasta Sarbanes-Oxley seadusest. 
Sarbanes-Oxley oli 1933. aasta väärtpaberiseaduse järglane, mille peamine eesmärk oli kaitsta investoreid pettuste eest, tagades ettevõtete rahanduse läbipaistvuse. Selle teo järeltulijana tugevdas Sarbanes-Oxley neid eesmärke ja püüdis heade äritavade kaudu edendada vastutust. Kuid nagu paljud noored täiskasvanud, püüame me ikka veel sellest aru saada. Kakskümmend aastat hiljem püüavad ettevõtted ikka veel aru saada, millised on seaduse tagajärjed neile konkreetselt ning kuidas kõige paremini suurendada oma tehnoloogia ja süsteemide läbipaistvust, et toetada vastavust.
Kes vastutab?
Vastupidiselt levinud arvamusele ei kehti Sarbanes-Oxley ainult finantsasutuste või ainult finantsosakonna kohta. Selle eesmärk on tagada kõigi organisatsiooniandmete ja nendega seotud protsesside suurem läbipaistvus. Tehniliselt kehtib Sarbanes-Oxley ainult börsil kaubeldavate ettevõtete kohta, kuid selle nõuded on iga hästi juhitud ettevõtte jaoks usaldusväärsed. Seadus paneb tegevjuhi ja finantsjuhi isiklikult vastutavaks 
esitatud andmed. Need ametnikud toetuvad omakorda CIO-le, CDO-le ja CSO-le, et tagada andmesüsteemide turvalisus, terviklikkus ja nad suudavad pakkuda nõuetele vastavuse tõendamiseks vajalikku teavet. Viimasel ajal on kontroll ja järgimine muutunud CIO-de ja nende kaaslaste jaoks suuremaks väljakutseks. Paljud organisatsioonid eemalduvad traditsioonilistest ettevõtetest, IT-ga hallatavatest analüüsi- ja äriteabe süsteemidest. Selle asemel võtavad nad kasutusele ärivaldkonna juhitud iseteenindustööriistad, nagu Qlik, Tableau ja PowerBI. Neid tööriistu ei hallata tsentraalselt.
Muutuste juhtimine
Seaduse järgimise üks peamisi nõudeid on määratleda kehtivad kontrollid ja see, kuidas andmetes või rakendustes muudatusi tuleks süstemaatiliselt registreerida. Teisisõnu, muutuste juhtimise distsipliin. Jälgida tuleb turvalisust, juurdepääsu andmetele ja tarkvarale, samuti seda, kas IT-süsteemid ei tööta korralikult. Nõuetele vastavus ei sõltu mitte ainult keskkonna kaitsmise põhimõtete ja protsesside määratlemisest, vaid ka sellest, kas seda tegelikult tehakse ja lõpuks on võimalik tõestada, et seda on tehtud. Nii nagu politsei tõendite vahiahel, on Sarbanes-Oxley järgimine nii tugev kui selle nõrgim lüli.
Nõrk lüli
Analüütiku evangelistina on mul valus seda öelda, kuid Sarbanes-Oxley järgimise nõrgim lüli on sageli Analytics või äriteave. Eespool mainitud iseteenindusliku Analyticsi liidrid – Qlik, Tableau ja PowerBI – analüüs ja aruandlus on täna rohkem 
tavaliselt tehakse ärivaldkonna osakondades kui IT-s. See kehtib veelgi Analyticsi tööriistade kohta, nagu Qlik, Tableau ja PowerBI, mis on täiustanud iseteenindusliku BI mudelit. Enamik nõuete täitmiseks kulutatud raha on keskendunud finants- ja raamatupidamissüsteemidele. Viimasel ajal on ettevõtted õigustatult laiendanud auditi ettevalmistamist teistele osakondadele. Nad leidsid, et ametlikud IT-muudatuste haldamise programmid ei suutnud hõlmata andmebaase ega andmeladusid/marketeid sama rangusega, mida kasutati rakenduste ja süsteemide puhul. Muudatuste haldamise poliitikate ja protseduuride vastavuse valdkond kuulub üldiste kontrollide alla ning on rühmitatud teiste IT-poliitikate ja -protseduuridega, mis hõlmavad testimist, avariitaastet, varundust ning taastamist ja turvalisust.
Auditi järgimiseks vajalikest paljudest sammudest jääb üks kõige sagedamini tähelepanuta jäetud asjaoludest: „Jälgige tegevuste jälgimist reaalajas auditeerimisega, sealhulgas kogu operaatori tegevuse kes, mida, kus ja millal ja infrastruktuuri muudatused, eriti need, mis võivad olla sobimatud või pahatahtlikud. Olenemata sellest, kas muudatus puudutab süsteemi sätteid, tarkvararakendust või andmeid ennast, tuleb säilitada kirje, mis sisaldab vähemalt järgmisi elemente:
- Kes muudatust taotles
- Millal muudatus tehti
- Mis muutus – kirjeldus
- Kes muudatuse heaks kiitis
Sama oluline on selle teabe salvestamine aruannete ja armatuurlaudade muudatuste kohta oma Analyticsi ja Business Intelligence'i süsteemides. Olenemata sellest, kus on Analyticsi ja BI tööriist kontrolli all – metsik lääs, iseteenindus või keskselt hallatav; kas arvutustabelid (värisema), Tableau/Qlik/Power BI või Cognos Analytics – Sarbanes-Oxley järgimiseks peate selle põhiteabe salvestama. Audiitor ei hooli sellest, kas kasutate pliiatsit ja paberit või automatiseeritud süsteemi, et dokumenteerida, et teie kontrolliprotsesse järgitakse. Möönan, et kui kasutate äriotsuste langetamiseks analüütikatarkvarana arvutustabeleid, võite kasutada ka arvutustabeleid muudatuste haldamise salvestamiseks.
Siiski on tõenäoline, et kui olete juba investeerinud analüüsisüsteemi nagu PowerBI või muusse, peaksite otsima viise, kuidas automatiseerida oma ärianalüüsi ja aruandlussüsteemi muudatuste registreerimist. Nii head kui ka need on, on analüüsitööriistad, nagu Tableau, Qlik, PowerBI, jätnud tähelepanuta lihtsa, auditeeritava muudatuste juhtimise aruandluse. Tee oma kodutöid. Leidke viis oma analüüsikeskkonna muudatuste dokumenteerimise automatiseerimiseks. Veelgi parem, olge valmis esitama audiitorile mitte ainult oma süsteemi muudatuste logi, vaid ka seda, et muudatused vastavad kinnitatud sisepoliitikatele ja protsessidele.
Omades võimet:
1) näidata, et teil on kindlad sisepoliitikad,
2) kas teie dokumenteeritud protsessid toetavad neid ja
3) tegelikku praktikat saab kinnitada
teeb iga audiitori õnnelikuks. Ja kõik teavad, et kui audiitor on rahul, on kõik õnnelikud.
Paljud ettevõtted kurdavad vastavuse lisakulude üle ja SOX-i standarditele vastavuse kulud võivad olla suured. "Need kulud on olulisemad väiksemate ettevõtete, keerukamate ettevõtete ja väiksemate kasvuvõimalustega ettevõtete jaoks." Nõuetele mittevastavuse hind võib olla veelgi suurem.
Mittevastavuse oht
Sarbanes-Oxley peab tegevjuhte ja direktoreid vastutavaks ning karistatakse kuni 500,000 5 dollari ja XNUMX-aastase vangistusega. Valitsus ei võta sageli vastu väiteid teadmatuse või ebakompetentsuse kohta. Kui ma oleksin tegevjuht, tahaksin kindlasti, et mu meeskond suudaks tõestada, et oleme järginud parimaid tavasid ja teadsime, kes on iga tehingu teinud.
Üks asi veel. Ütlesin, et Sarbanes-Oxley on mõeldud börsil noteeritud ettevõtetele. See on tõsi, kuid mõelge, kuidas sisekontrolli puudumine ja dokumentide puudumine võivad teid takistada, kui soovite kunagi avaliku pakkumise teha.
