Analytique et Sarbanes-Oxley
Gestion de la conformité SOX avec des outils de BI en libre-service tels que Qlik, Tableau et PowerBI
L'année prochaine, SOX sera assez vieux pour acheter de la bière au Texas. Il est né du « Public Company Accounting Reform and Investor Protection Act », affectueusement connu par la suite sous le nom des sénateurs qui ont parrainé le projet de loi, le Sarbanes-Oxley Act de 2002. 
La loi Sarbanes-Oxley est issue du Securities Act de 1933 dont l'objectif principal était de protéger les investisseurs contre la fraude en assurant la transparence des finances des entreprises. En tant que progéniture de cette loi, Sarbanes-Oxley a renforcé ces objectifs et a tenté de promouvoir la responsabilité par le biais de bonnes pratiques commerciales. Mais, comme beaucoup de jeunes adultes, nous essayons toujours de comprendre. Vingt ans plus tard, les entreprises essaient toujours de comprendre quelles sont les implications de la loi pour elles spécifiquement, ainsi que la meilleure façon d'accroître la transparence de leur technologie et de leurs systèmes pour soutenir la conformité.
Qui est responsable?
Contrairement à la croyance populaire, Sarbanes-Oxley ne s'applique pas uniquement aux institutions financières, ou uniquement au département des finances. Son objectif est de fournir une plus grande transparence dans toutes les données organisationnelles et les processus associés. Techniquement, Sarbanes-Oxley ne s'applique qu'aux sociétés cotées en bourse, mais ses exigences sont valables pour toute entreprise bien gérée. La Loi rend le chef de la direction et le chef des finances personnellement responsables de la 
données présentées. Ces agents s'appuient, à leur tour, sur le CIO, le CDO et le CSO pour s'assurer que les systèmes de données sont sécurisés, intègres et capables de fournir les informations nécessaires pour prouver la conformité. Récemment, le contrôle et la conformité sont devenus plus problématiques pour les DSI et leurs pairs. De nombreuses organisations s'éloignent des systèmes traditionnels d'entreprise, d'analyse informatique et de Business Intelligence. Au lieu de cela, ils adoptent des outils en libre-service axés sur le secteur d'activité comme Qlik, Tableau et PowerBI. Ces outils, de par leur conception, ne sont pas gérés de manière centralisée.
La Gestion du changement
L'une des principales exigences pour se conformer à la loi est de définir les contrôles en place et la manière dont les changements de données ou d'applications doivent être systématiquement enregistrés. En d'autres termes, la discipline de la conduite du changement. La sécurité, les données et l'accès aux logiciels doivent être surveillés, ainsi que le bon fonctionnement des systèmes informatiques. La conformité dépend non seulement de la définition des politiques et des processus pour protéger l'environnement, mais aussi de la mise en œuvre effective et, en fin de compte, de la capacité de prouver que cela a été fait. Tout comme la chaîne de contrôle des preuves policières, la conformité à la loi Sarbanes-Oxley n'est aussi solide que son maillon le plus faible.
Le maillon faible
En tant qu'évangéliste de l'analytique, cela me fait mal de le dire, mais le maillon le plus faible de la conformité Sarbanes-Oxley est souvent l'analytique ou l'informatique décisionnelle. Les leaders de l'analyse en libre-service mentionnés ci-dessus - Qlik, Tableau et PowerBI - L'analyse et le reporting aujourd'hui, c'est plus 
généralement effectuée dans les départements métier que dans l'informatique. C'est encore plus vrai des outils Analytics comme Qlik, Tableau et PowerBI qui ont perfectionné le modèle de BI en libre-service. La plupart des fonds consacrés à la conformité se sont concentrés sur les systèmes financiers et comptables. Plus récemment, les entreprises ont étendu à juste titre la préparation des audits à d'autres départements. Ils ont constaté que les programmes formels de gestion des changements informatiques n'avaient pas réussi à englober les bases de données ou les entrepôts/marchés de données avec la même rigueur que celle utilisée pour les applications et les systèmes. Le domaine de conformité des politiques et procédures de gestion des modifications relève des contrôles généraux et est regroupé avec d'autres politiques et procédures informatiques de test, de reprise après sinistre, de sauvegarde, de récupération et de sécurité.
Parmi les nombreuses étapes requises pour se conformer à un audit, l'une des choses les plus souvent négligées est de : "Gardez une trace d'activité avec un audit en temps réel, y compris qui, quoi, où et quand de toutes les activités de l'opérateur et les changements d'infrastructure, en particulier ceux qui pourraient être inappropriés ou malveillants. Que la modification concerne les paramètres du système, une application logicielle ou les données elles-mêmes, un enregistrement doit être conservé contenant au minimum les éléments suivants :
- Qui a demandé le changement
- Lorsque le changement a été effectué
- Quel est le changement - une description
- Qui a approuvé le changement
L'enregistrement de ces informations sur les modifications apportées aux rapports et aux tableaux de bord dans vos systèmes d'analyse et de Business Intelligence est tout aussi important. Quelle que soit la position de l'outil d'analyse et de BI sur le continuum de contrôle - le Far West, en libre-service ou géré de manière centralisée ; si les feuilles de calcul (frémir), Tableau/Qlik/Power BI ou Cognos Analytics - pour être en conformité avec Sarbanes-Oxley, vous devrez enregistrer ces informations de base. L'auditeur ne se soucie pas de savoir si vous utilisez un stylo et du papier ou un système automatisé pour documenter que vos processus de contrôle sont suivis. Je reconnais que si vous utilisez des feuilles de calcul comme logiciel "d'analyse" pour prendre des décisions commerciales, vous pouvez également utiliser des feuilles de calcul pour enregistrer la gestion du changement.
Cependant, il y a de fortes chances que si vous avez déjà investi dans un système d'analyse comme PowerBI ou d'autres, vous devriez rechercher des moyens d'automatiser l'enregistrement des modifications dans votre système de veille économique et de reporting. Aussi bons soient-ils, prêts à l'emploi, les outils d'analyse tels que Tableau, Qlik et PowerBI ont négligé d'inclure des rapports de gestion des modifications simples et auditables. Fais tes devoirs. Trouvez un moyen d'automatiser la documentation des modifications apportées à votre environnement d'analyse. Encore mieux, soyez prêt à présenter à un auditeur, non seulement un journal des modifications apportées à votre système, mais que les modifications sont conformes aux politiques et processus internes approuvés.
Avoir la capacité de :
1) démontrer que vous avez des politiques internes solides,
2) que vos processus documentés les prennent en charge, et
3) que la pratique réelle peut être confirmée
fera le bonheur de tout auditeur. Et tout le monde sait que si l'auditeur est content, tout le monde est content.
De nombreuses entreprises se plaignent des coûts supplémentaires liés à la conformité, et le coût de la conformité aux normes SOX peut être élevé. "Ces coûts sont plus importants pour les petites entreprises, pour les entreprises plus complexes et pour les entreprises ayant des opportunités de croissance plus faibles." Le coût de la non-conformité peut être encore plus élevé.
Le risque de non-conformité
La loi Sarbanes-Oxley tient les PDG et les administrateurs responsables et passibles de 500,000 5 $ et de XNUMX ans de prison. Le gouvernement n'accepte pas souvent un plaidoyer d'ignorance ou d'incompétence. Si j'étais PDG, je voudrais sûrement que mon équipe soit en mesure de prouver que nous avons respecté les meilleures pratiques et que nous savions qui a effectué chaque transaction.
Encore une chose. J'ai dit que Sarbanes-Oxley est pour les sociétés cotées en bourse. C'est vrai, mais considérez comment le manque de contrôles internes et le manque de documentation pourraient vous gêner si jamais vous vouliez faire une offre publique.
