تجزیه و تحلیل و ساربنز-آکسلی

مدیریت انطباق SOX با ابزارهای سلف سرویس BI مانند Qlik، Tableau و PowerBI

سال آینده SOX برای خرید آبجو در تگزاس به اندازه کافی پیر خواهد شد. این قانون برگرفته از "قانون اصلاحات حسابداری شرکت های دولتی و حمایت از سرمایه گذاران" بود که پس از آن با نام های سناتورهایی که از این لایحه حمایت کردند، قانون ساربانس-آکسلی در سال 2002 شناخته شد. Sarbanes-Oxley فرزند قانون اوراق بهادار در سال 1933 بود که هدف اصلی آن محافظت از سرمایه گذاران در برابر تقلب با ایجاد شفافیت در امور مالی شرکت ها بود. به عنوان زاده آن عمل، ساربانز-آکسلی آن اهداف را تقویت کرد و سعی کرد از طریق شیوه های تجاری خوب، مسئولیت پذیری را ارتقا دهد. اما، مانند بسیاری از جوانان، ما هنوز در تلاشیم تا آن را کشف کنیم. با گذشت بیست سال، شرکت‌ها هنوز در تلاشند تا بفهمند که این قانون چه پیامدهایی برای آنها دارد، و همچنین بهترین راه برای ایجاد شفافیت بیشتر در فناوری و سیستم‌های خود برای حمایت از انطباق.

چه کسی مسئول است؟

برخلاف تصور رایج، Sarbanes-Oxley فقط برای مؤسسات مالی یا فقط برای بخش مالی اعمال نمی شود. هدف آن ارائه شفافیت بیشتر در تمام داده های سازمانی و فرآیندهای مرتبط است. از نظر فنی، Sarbanes-Oxley فقط برای شرکت های سهامی عام اعمال می شود، اما الزامات آن برای هر کسب و کاری که به خوبی اداره می شود مناسب است. این قانون مدیر عامل و مدیر مالی را شخصاً در قبال آن مسئول می‌سازد داده های ارائه شده این افسران به نوبه خود به CIO، CDO و CSO متکی هستند تا اطمینان حاصل کنند که سیستم های داده ایمن هستند، یکپارچگی دارند و قادر به ارائه اطلاعات لازم برای اثبات انطباق هستند. اخیراً، کنترل و انطباق بیشتر به چالشی برای CIOها و همتایان آنها تبدیل شده است. بسیاری از سازمان‌ها در حال دور شدن از سازمان‌های سنتی، تجزیه و تحلیل مدیریت فناوری اطلاعات و سیستم‌های هوش تجاری هستند. در عوض، آنها از ابزارهای سلف سرویس مبتنی بر خط کسب و کار مانند Qlik، Tableau و PowerBI استفاده می کنند. این ابزارها، بر اساس طراحی، به صورت متمرکز مدیریت نمی شوند.

مدیریت تغییر

یکی از الزامات کلیدی برای انطباق با قانون، تعریف کنترل‌های موجود و نحوه ثبت تغییرات در داده‌ها یا برنامه‌ها به طور سیستماتیک است. به عبارت دیگر، رشته مدیریت تغییر. امنیت، دسترسی به داده ها و نرم افزار و همچنین عدم عملکرد صحیح سیستم های IT باید نظارت شود. انطباق نه تنها به تعریف سیاست ها و فرآیندهای حفاظت از محیط زیست بستگی دارد، بلکه به انجام واقعی آن و در نهایت قادر به اثبات انجام آن بستگی دارد. درست مانند زنجیره شواهد پلیس، انطباق با Sarbanes-Oxley تنها به اندازه ضعیف ترین حلقه آن قوی است.  

پیوند ضعیف

به عنوان یک مبشر تحلیلی، گفتن این موضوع برای من دردسرساز است، اما ضعیف ترین حلقه در انطباق با Sarbanes-Oxley اغلب Analytics یا Business Intelligence است. رهبران در تجزیه و تحلیل سلف سرویس که در بالا ذکر شد - Qlik، Tableau و PowerBI - تجزیه و تحلیل و گزارش امروز بیشتر است معمولاً در بخش های تجاری انجام می شود تا در IT. این در مورد ابزارهای Analytics مانند Qlik، Tableau و PowerBI که مدل سلف سرویس BI را کامل کرده اند، بیشتر صادق است. بیشتر پولی که صرف رعایت قوانین می شود، بر روی سیستم های مالی و حسابداری متمرکز شده است. اخیراً، شرکت ها به درستی آمادگی حسابرسی را به بخش های دیگر گسترش داده اند. چیزی که آنها دریافتند این بود که برنامه‌های مدیریت تغییر فناوری اطلاعات رسمی نتوانسته بودند پایگاه‌های داده یا انبارهای داده/مارت‌ها را با همان سخت‌گیری که برای برنامه‌ها و سیستم‌ها استفاده می‌شود، در بر گیرند.  خط مشی‌ها و رویه‌های مدیریت تغییر تحت کنترل‌های عمومی قرار می‌گیرد و با سایر خط‌مشی‌ها و رویه‌های فناوری اطلاعات آزمایش، بازیابی بلایا، پشتیبان‌گیری، و بازیابی و امنیت گروه‌بندی می‌شود.

از بسیاری از مراحل مورد نیاز برای رعایت ممیزی، یکی از مواردی که اغلب نادیده گرفته می شود این است:یک دنباله فعالیت با ممیزی بلادرنگ، از جمله اینکه چه کسی، چه چیزی، کجا و چه زمانی از تمام فعالیت های اپراتور است، نگه دارید و تغییرات زیرساختی، به ویژه آنهایی که می توانند نامناسب یا مخرب باشند."  چه تغییر در تنظیمات سیستم، یک برنامه نرم افزاری یا خود داده باشد، باید رکوردی حفظ شود که حداقل شامل عناصر زیر باشد:

• چه کسی درخواست تغییر کرده است
• زمانی که تغییر انجام شد
• تغییر چیست - یک توضیح
• چه کسی این تغییر را تایید کرد

ثبت این اطلاعات در مورد تغییرات گزارش ها و داشبوردها در سیستم های Analytics و Business Intelligence شما به همان اندازه مهم است. صرف نظر از جایی که ابزار Analytics و BI در زنجیره کنترل قرار دارند - غرب وحشی، سلف سرویس یا مدیریت مرکزی. آیا صفحات گسترده (لرزیدن)، Tableau/Qlik/Power BI یا Cognos Analytics – برای اینکه با Sarbanes-Oxley مطابقت داشته باشید، باید این اطلاعات اولیه را ثبت کنید. حسابرس اهمیتی نمی دهد که از قلم و کاغذ یا یک سیستم خودکار برای مستندسازی اینکه فرآیندهای کنترلی شما دنبال می شود استفاده می کنید. قبول دارم که اگر از صفحه‌گسترده‌ها به‌عنوان نرم‌افزار تحلیلی خود برای تصمیم‌گیری تجاری استفاده می‌کنید، ممکن است از صفحات گسترده برای ثبت مدیریت تغییر نیز استفاده کنید.  

با این حال، این احتمال وجود دارد که اگر قبلاً روی یک سیستم تحلیلی مانند PowerBI یا سایر سیستم‌ها سرمایه‌گذاری کرده‌اید، باید به دنبال راه‌هایی برای ثبت خودکار تغییرات در هوش تجاری و سیستم گزارش‌دهی خود باشید. به همان اندازه که خوب هستند، ابزارهای تحلیلی خارج از جعبه مانند Tableau، Qlik، PowerBI از گنجاندن گزارش مدیریت تغییرات آسان و قابل بازرسی غفلت کرده اند. مشقت را بنویس. راهی برای خودکارسازی اسناد تغییرات در محیط تجزیه و تحلیل خود بیابید. حتی بهتر از آن، آماده باشید که نه تنها گزارشی از تغییرات سیستم خود را به حسابرس ارائه دهید، بلکه این تغییرات با سیاست ها و فرآیندهای داخلی تایید شده مطابقت دارد.

داشتن توانایی: 

1) نشان دهید که سیاست های داخلی محکمی دارید، 

2) که فرآیندهای مستند شما از آنها پشتیبانی می کند، و 

3) این عمل واقعی قابل تایید است 

هر حسابرسی را خوشحال می کند. و همه می دانند که اگر حسابرس خوشحال باشد، همه خوشحال هستند.

بسیاری از شرکت‌ها از هزینه‌های اضافی ناشی از انطباق شکایت دارند و هزینه انطباق با استانداردهای SOX می‌تواند بالا باشد. این هزینه‌ها برای شرکت‌های کوچک‌تر، برای شرکت‌های پیچیده‌تر و برای شرکت‌هایی با فرصت‌های رشد کمتر قابل توجه‌تر است.»  هزینه عدم انطباق می تواند حتی بیشتر باشد.

خطر عدم رعایت

Sarbanes-Oxley مدیران اجرایی و مدیران را مسئول می داند و تا سقف 500,000 دلار و 5 سال زندان محکوم می کند. دولت اغلب ادعای جهل یا بی کفایتی را نمی پذیرد. اگر من یک مدیرعامل بودم، مطمئناً می‌خواستم تیمم بتواند ثابت کند که ما به بهترین روش‌ها پایبند بوده‌ایم و می‌دانیم چه کسی هر معامله را انجام داده است. 

یک چیز دیگر. گفتم که Sarbanes-Oxley برای شرکت های سهامی عام است. این درست است، اما در نظر بگیرید که چگونه فقدان کنترل های داخلی و فقدان مستندات ممکن است مانع شما شود اگر می خواهید یک عرضه عمومی داشته باشید.