تجزیه و تحلیل و ساربنز-آکسلی
مدیریت انطباق SOX با ابزارهای سلف سرویس BI مانند Qlik، Tableau و PowerBI
سال آینده SOX برای خرید آبجو در تگزاس به اندازه کافی پیر خواهد شد. این قانون برگرفته از "قانون اصلاحات حسابداری شرکت های دولتی و حمایت از سرمایه گذاران" بود که پس از آن با نام های سناتورهایی که از این لایحه حمایت کردند، قانون ساربانس-آکسلی در سال 2002 شناخته شد. Sarbanes-Oxley فرزند قانون اوراق بهادار در سال 1933 بود که هدف اصلی آن محافظت از سرمایه گذاران در برابر تقلب با ایجاد شفافیت در امور مالی شرکت ها بود. به عنوان زاده آن عمل، ساربانز-آکسلی آن اهداف را تقویت کرد و سعی کرد از طریق شیوه های تجاری خوب، مسئولیت پذیری را ارتقا دهد. اما، مانند بسیاری از جوانان، ما هنوز در تلاشیم تا آن را کشف کنیم. با گذشت بیست سال، شرکتها هنوز در تلاشند تا بفهمند که این قانون چه پیامدهایی برای آنها دارد، و همچنین بهترین راه برای ایجاد شفافیت بیشتر در فناوری و سیستمهای خود برای حمایت از انطباق.
چه کسی مسئول است؟
برخلاف تصور رایج، Sarbanes-Oxley فقط برای مؤسسات مالی یا فقط برای بخش مالی اعمال نمی شود. هدف آن ارائه شفافیت بیشتر در تمام داده های سازمانی و فرآیندهای مرتبط است. از نظر فنی، Sarbanes-Oxley فقط برای شرکت های سهامی عام اعمال می شود، اما الزامات آن برای هر کسب و کاری که به خوبی اداره می شود مناسب است. این قانون مدیر عامل و مدیر مالی را شخصاً در قبال آن مسئول میسازد داده های ارائه شده این افسران به نوبه خود به CIO، CDO و CSO متکی هستند تا اطمینان حاصل کنند که سیستم های داده ایمن هستند، یکپارچگی دارند و قادر به ارائه اطلاعات لازم برای اثبات انطباق هستند. اخیراً، کنترل و انطباق بیشتر به چالشی برای CIOها و همتایان آنها تبدیل شده است. بسیاری از سازمانها در حال دور شدن از سازمانهای سنتی، تجزیه و تحلیل مدیریت فناوری اطلاعات و سیستمهای هوش تجاری هستند. در عوض، آنها از ابزارهای سلف سرویس مبتنی بر خط کسب و کار مانند Qlik، Tableau و PowerBI استفاده می کنند. این ابزارها، بر اساس طراحی، به صورت متمرکز مدیریت نمی شوند.
مدیریت تغییر
یکی از الزامات کلیدی برای انطباق با قانون، تعریف کنترلهای موجود و نحوه ثبت تغییرات در دادهها یا برنامهها به طور سیستماتیک است. به عبارت دیگر، رشته مدیریت تغییر. امنیت، دسترسی به داده ها و نرم افزار و همچنین عدم عملکرد صحیح سیستم های IT باید نظارت شود. انطباق نه تنها به تعریف سیاست ها و فرآیندهای حفاظت از محیط زیست بستگی دارد، بلکه به انجام واقعی آن و در نهایت قادر به اثبات انجام آن بستگی دارد. درست مانند زنجیره شواهد پلیس، انطباق با Sarbanes-Oxley تنها به اندازه ضعیف ترین حلقه آن قوی است.
پیوند ضعیف
به عنوان یک مبشر تحلیلی، گفتن این موضوع برای من دردسرساز است، اما ضعیف ترین حلقه در انطباق با Sarbanes-Oxley اغلب Analytics یا Business Intelligence است. رهبران در تجزیه و تحلیل سلف سرویس که در بالا ذکر شد - Qlik، Tableau و PowerBI - تجزیه و تحلیل و گزارش امروز بیشتر است معمولاً در بخش های تجاری انجام می شود تا در IT. این در مورد ابزارهای Analytics مانند Qlik، Tableau و PowerBI که مدل سلف سرویس BI را کامل کرده اند، بیشتر صادق است. بیشتر پولی که صرف رعایت قوانین می شود، بر روی سیستم های مالی و حسابداری متمرکز شده است. اخیراً، شرکت ها به درستی آمادگی حسابرسی را به بخش های دیگر گسترش داده اند. چیزی که آنها دریافتند این بود که برنامههای مدیریت تغییر فناوری اطلاعات رسمی نتوانسته بودند پایگاههای داده یا انبارهای داده/مارتها را با همان سختگیری که برای برنامهها و سیستمها استفاده میشود، در بر گیرند. خط مشیها و رویههای مدیریت تغییر تحت کنترلهای عمومی قرار میگیرد و با سایر خطمشیها و رویههای فناوری اطلاعات آزمایش، بازیابی بلایا، پشتیبانگیری، و بازیابی و امنیت گروهبندی میشود.
از بسیاری از مراحل مورد نیاز برای رعایت ممیزی، یکی از مواردی که اغلب نادیده گرفته می شود این است:یک دنباله فعالیت با ممیزی بلادرنگ، از جمله اینکه چه کسی، چه چیزی، کجا و چه زمانی از تمام فعالیت های اپراتور است، نگه دارید و تغییرات زیرساختی، به ویژه آنهایی که می توانند نامناسب یا مخرب باشند." چه تغییر در تنظیمات سیستم، یک برنامه نرم افزاری یا خود داده باشد، باید رکوردی حفظ شود که حداقل شامل عناصر زیر باشد:
- چه کسی درخواست تغییر کرده است
- زمانی که تغییر انجام شد
- تغییر چیست - یک توضیح
- چه کسی این تغییر را تایید کرد
ثبت این اطلاعات در مورد تغییرات گزارش ها و داشبوردها در سیستم های Analytics و Business Intelligence شما به همان اندازه مهم است. صرف نظر از جایی که ابزار Analytics و BI در زنجیره کنترل قرار دارند - غرب وحشی، سلف سرویس یا مدیریت مرکزی. آیا صفحات گسترده (لرزیدن)، Tableau/Qlik/Power BI یا Cognos Analytics – برای اینکه با Sarbanes-Oxley مطابقت داشته باشید، باید این اطلاعات اولیه را ثبت کنید. حسابرس اهمیتی نمی دهد که از قلم و کاغذ یا یک سیستم خودکار برای مستندسازی اینکه فرآیندهای کنترلی شما دنبال می شود استفاده می کنید. قبول دارم که اگر از صفحهگستردهها بهعنوان نرمافزار تحلیلی خود برای تصمیمگیری تجاری استفاده میکنید، ممکن است از صفحات گسترده برای ثبت مدیریت تغییر نیز استفاده کنید.
با این حال، این احتمال وجود دارد که اگر قبلاً روی یک سیستم تحلیلی مانند PowerBI یا سایر سیستمها سرمایهگذاری کردهاید، باید به دنبال راههایی برای ثبت خودکار تغییرات در هوش تجاری و سیستم گزارشدهی خود باشید. به همان اندازه که خوب هستند، ابزارهای تحلیلی خارج از جعبه مانند Tableau، Qlik، PowerBI از گنجاندن گزارش مدیریت تغییرات آسان و قابل بازرسی غفلت کرده اند. مشقت را بنویس. راهی برای خودکارسازی اسناد تغییرات در محیط تجزیه و تحلیل خود بیابید. حتی بهتر از آن، آماده باشید که نه تنها گزارشی از تغییرات سیستم خود را به حسابرس ارائه دهید، بلکه این تغییرات با سیاست ها و فرآیندهای داخلی تایید شده مطابقت دارد.
داشتن توانایی:
1) نشان دهید که سیاست های داخلی محکمی دارید،
2) که فرآیندهای مستند شما از آنها پشتیبانی می کند، و
3) این عمل واقعی قابل تایید است
هر حسابرسی را خوشحال می کند. و همه می دانند که اگر حسابرس خوشحال باشد، همه خوشحال هستند.
بسیاری از شرکتها از هزینههای اضافی ناشی از انطباق شکایت دارند و هزینه انطباق با استانداردهای SOX میتواند بالا باشد. این هزینهها برای شرکتهای کوچکتر، برای شرکتهای پیچیدهتر و برای شرکتهایی با فرصتهای رشد کمتر قابل توجهتر است.» هزینه عدم انطباق می تواند حتی بیشتر باشد.
خطر عدم رعایت
Sarbanes-Oxley مدیران اجرایی و مدیران را مسئول می داند و تا سقف 500,000 دلار و 5 سال زندان محکوم می کند. دولت اغلب ادعای جهل یا بی کفایتی را نمی پذیرد. اگر من یک مدیرعامل بودم، مطمئناً میخواستم تیمم بتواند ثابت کند که ما به بهترین روشها پایبند بودهایم و میدانیم چه کسی هر معامله را انجام داده است.
یک چیز دیگر. گفتم که Sarbanes-Oxley برای شرکت های سهامی عام است. این درست است، اما در نظر بگیرید که چگونه فقدان کنترل های داخلی و فقدان مستندات ممکن است مانع شما شود اگر می خواهید یک عرضه عمومی داشته باشید.