Analytics ja Sarbanes-Oxley

SOX-yhteensopivuuden hallinta itsepalvelun BI-työkaluilla, kuten Qlik, Tableau ja PowerBI

Ensi vuonna SOX on tarpeeksi vanha ostamaan olutta Texasista. Se syntyi "julkisen yrityksen kirjanpidon uudistamista ja sijoittajien suojaa koskevasta laista", joka tunnettiin sen jälkeen hellästi senaattoreiden nimillä, jotka sponsoroivat lakiesitystä, vuoden 2002 Sarbanes-Oxley-lakia. Sarbanes-Oxley oli vuoden 1933 arvopaperilain jälkeläinen, jonka päätarkoituksena oli suojella sijoittajia petoksilta tarjoamalla läpinäkyvyyttä yritysten talouteen. Tuon lain jälkeläisenä Sarbanes-Oxley vahvisti näitä tavoitteita ja yritti edistää vastuullisuutta hyvien liiketoimintakäytäntöjen avulla. Mutta kuten monet nuoret aikuiset, yritämme edelleen selvittää sitä. Kaksikymmentä vuotta myöhemmin yritykset yrittävät edelleen selvittää, mitä lailla on erityisesti niille, sekä kuinka parhaiten rakentaa teknologiaansa ja järjestelmiinsä avoimuutta vaatimusten noudattamisen tukemiseksi.

Kuka on vastuussa?

Vastoin yleistä käsitystä Sarbanes-Oxley ei koske vain rahoituslaitoksia tai vain talousosastoa. Sen tavoitteena on tarjota suurempi läpinäkyvyys kaikkiin organisaatiotietoihin ja niihin liittyviin prosesseihin. Teknisesti Sarbanes-Oxley koskee vain julkisesti noteerattuja yrityksiä, mutta sen vaatimukset ovat hyvät kaikille hyvin hoidetuille yrityksille. Laki asettaa toimitusjohtajan ja talousjohtajan henkilökohtaisesti vastuuseen esitetyt tiedot. Nämä virkailijat puolestaan ​​luottavat tietohallintojohtajaan, CDO:hen ja CSO:hin varmistaakseen, että tietojärjestelmät ovat turvallisia, eheitä ja pystyvät tarjoamaan tarvittavia tietoja vaatimustenmukaisuuden osoittamiseksi. Viime aikoina valvonnasta ja vaatimustenmukaisuudesta on tullut enemmän haasteita tietohallintojohtajille ja heidän kollegoilleen. Monet organisaatiot ovat siirtymässä pois perinteisistä yritys-, IT-ohjatuista Analytics- ja Business Intelligence -järjestelmistä. Sen sijaan he ottavat käyttöön yrityskohtaisia ​​itsepalvelutyökaluja, kuten Qlik, Tableau ja PowerBI. Näitä työkaluja ei suunnittelun mukaan hallita keskitetysti.

Muutoksen hallinta

Yksi keskeisistä lain noudattamisen vaatimuksista on määritellä käytössä olevat kontrollit ja se, miten tiedoissa tai sovelluksissa tapahtuvat muutokset tulee kirjata järjestelmällisesti. Toisin sanoen muutosjohtamisen kurinalaisuutta. Turvallisuutta, tieto- ja ohjelmistokäyttöä on valvottava sekä sitä, eivätkö IT-järjestelmät toimi kunnolla. Vaatimusten noudattaminen ei riipu pelkästään ympäristön suojelemiseksi tarkoitettujen politiikkojen ja prosessien määrittelystä, vaan myös siitä, että se todella tehdään ja viime kädessä pystytään todistamaan, että se on tehty. Aivan kuten poliisin todisteiden huoltoketju, Sarbanes-Oxleyn noudattaminen on vain niin vahvaa kuin sen heikoin lenkki.  

Heikko lenkki

Analytiikan evankelistana minun on vaikea sanoa tämä, mutta heikoin lenkki Sarbanes-Oxley-yhteensopivuudessa on usein Analytics tai Business Intelligence. Yllä mainitut itsepalveluanalytiikan johtajat – Qlik, Tableau ja PowerBI – Analyysi ja raportointi on nykyään enemmän tehdään yleensä toimialaosastoilla kuin IT-alalla. Tämä pätee vielä enemmän Analytics-työkaluihin, kuten Qlik, Tableau ja PowerBI, jotka ovat täydentäneet itsepalveluBI-mallia. Suurin osa vaatimustenmukaisuuteen käytetystä rahasta on keskittynyt rahoitus- ja kirjanpitojärjestelmiin. Viime aikoina yritykset ovat perustellusti laajentaneet tilintarkastuksen valmistelua muille osastoille. He havaitsivat, että muodolliset IT-muutostenhallintaohjelmat eivät olleet pystyneet kattamaan tietokantoja tai tietovarastoja/marketteja samalla tarkkuudella kuin sovelluksissa ja järjestelmissä.  Muutoshallinnan käytäntöjen ja menettelyjen vaatimustenmukaisuusalue kuuluu yleisten valvontatoimintojen piiriin ja on ryhmitelty muiden IT-käytäntöjen ja -menettelyjen kanssa, jotka koskevat testausta, katastrofipalautusta, varmuuskopiointia sekä palautusta ja turvallisuutta.

Niistä monista vaiheista, jotka vaaditaan auditoinnin noudattamiseksi, yksi useimmiten huomiotta jäävistä asioista on: "Pidä aktiivisuuspolkua reaaliaikaisella auditoinnilla, mukaan lukien kuka, mitä, missä ja milloin kaikista operaattorin toiminnoista ja infrastruktuurin muutokset, erityisesti ne, jotka voivat olla sopimattomia tai haitallisia."  Olipa muutos sitten järjestelmäasetuksiin, ohjelmistosovellukseen tai itse tietoihin, on säilytettävä tietue, joka sisältää vähintään seuraavat elementit:

• Kuka pyysi muutosta
• Kun muutos tehtiin
• Mikä muutos on – kuvaus
• Kuka hyväksyi muutoksen

Näiden tietojen tallentaminen raporttien ja hallintapaneelien muutoksista Analytics- ja Business Intelligence -järjestelmiin on yhtä tärkeää. Riippumatta siitä, missä Analytics- ja BI-työkalu on hallinnan jatkumossa – villi länsi, itsepalvelu vai keskitetysti hallittu; onko laskentataulukoita (vapisemaan), Tableau/Qlik/Power BI tai Cognos Analytics – noudattaaksesi Sarbanes-Oxleya, sinun on tallennettava nämä perustiedot. Tarkastaja ei välitä, käytätkö kynää ja paperia vai automaattista järjestelmää dokumentoidaksesi, että valvontaprosessejasi noudatetaan. Myönnän, että jos käytät laskentataulukoita "analytiikkaohjelmistona" liiketoimintapäätösten tekemiseen, saatat myös käyttää laskentataulukoita muutostenhallinnan tallentamiseen.  

Todennäköisyys on kuitenkin, että jos olet jo investoinut PowerBI:n tai muiden analytiikkajärjestelmään, sinun pitäisi etsiä tapoja automatisoida liiketoimintatiedon ja -raportointijärjestelmän muutosten kirjaaminen. Niin hyvät kuin ne ovatkin, valmiit analytiikkatyökalut, kuten Tableau, Qlik ja PowerBI, ovat laiminlyöneet helpon, tarkastettavan muutoksenhallinnan raportoinnin. Tee kotitehtäväsi. Löydä tapa automatisoida analytiikkaympäristösi muutosten dokumentointi. Vielä parempi, ole valmis esittämään tarkastajalle, ei vain lokia järjestelmääsi tehdyistä muutoksista, vaan että muutokset ovat hyväksyttyjen sisäisten käytäntöjen ja prosessien mukaisia.

jolla on kyky: 

1) osoittaa, että sinulla on vakaat sisäiset käytännöt, 

2) että dokumentoidut prosessisi tukevat niitä ja 

3) että todellinen käytäntö voidaan vahvistaa 

ilahduttaa kaikkia tilintarkastajia. Ja kaikki tietävät, että jos tilintarkastaja on tyytyväinen, kaikki ovat onnellisia.

Monet yritykset valittavat vaatimustenmukaisuuden lisäkustannuksista, ja SOX-standardien noudattamisen kustannukset voivat olla korkeita. "Nämä kustannukset ovat merkittävämpiä pienille yrityksille, monimutkaisemmille yrityksille ja yrityksille, joilla on alhaisemmat kasvumahdollisuudet."  Sääntöjen noudattamatta jättämisestä aiheutuvat kustannukset voivat olla jopa korkeammat.

Vaatimusten noudattamatta jättämisen riski

Sarbanes-Oxley pitää toimitusjohtajat ja johtajat vastuullisina ja rankaisevat jopa 500,000 5 dollaria ja XNUMX vuotta vankeutta. Hallitus ei usein hyväksy vetoomusta tietämättömyydestä tai epäpätevyydestä. Jos olisin toimitusjohtaja, haluaisin varmasti tiimini pystyvän todistamaan, että olimme noudattaneet parhaita käytäntöjä ja tiesimme, kuka oli suorittanut jokaisen tapahtuman. 

Yksi asia vielä. Sanoin, että Sarbanes-Oxley on tarkoitettu julkisesti noteeratuille yrityksille. Se on totta, mutta harkitse, kuinka sisäisen valvonnan ja dokumentaation puute voivat haitata sinua, jos haluat koskaan tehdä julkisen tarjouksen.