Obter unha demostración
Iniciar sesión

Hai un burato no teu Sox? (Conformidade)

by Agosto 2, 2022Auditoría, BI/Analíticacomentarios 0

Analítica e Sarbanes-Oxley

Xestionar o cumprimento de SOX con ferramentas de BI de autoservizo como Qlik, Tableau e PowerBI

 

O ano que vén SOX terá idade suficiente para comprar cervexa en Texas. Naceu da "Lei de reforma da contabilidade das empresas públicas e de protección dos investidores", coñecida cariñosamente despois polos nomes dos senadores que patrocinaron o proxecto de lei, a Lei Sarbanes-Oxley de 2002. Sarbanes Oxley Sarbanes-Oxley foi o descendente da Securities Act de 1933, cuxo obxectivo principal era protexer aos investimentos da fraude proporcionando transparencia nas finanzas corporativas. Como descendencia dese acto, Sarbanes-Oxley reforzou eses obxectivos e intentou promover a rendición de contas mediante boas prácticas comerciais. Pero, como moitos adultos novos, aínda estamos intentando descubrilo. Vinte anos despois, as empresas aínda están intentando descubrir cales son as implicacións da lei específicamente para elas, así como a mellor forma de aumentar a transparencia na súa tecnoloxía e sistemas para apoiar o cumprimento.

 

Quen é o responsable?

 

Ao contrario da crenza popular, Sarbanes-Oxley non se aplica só ás entidades financeiras, nin só ao departamento de finanzas. O seu obxectivo é proporcionar unha maior transparencia en todos os datos da organización e procesos relacionados. Tecnicamente, Sarbanes-Oxley aplícase só ás corporacións que cotizan en bolsa, pero os seus requisitos son adecuados para calquera empresa ben dirixida. A Lei fai que o CEO e o CFO sexan responsables persoalmente do datos presentados. Estes oficiais confían, á súa vez, no CIO, CDO e CSO para garantir que os sistemas de datos sexan seguros, teñan integridade e sexan capaces de proporcionar a información necesaria para demostrar o seu cumprimento. Recentemente, o control e o cumprimento convertéronse nun reto máis para os CIO e os seus compañeiros. Moitas organizacións están a afastarse dos sistemas empresariais tradicionais, de analítica e de intelixencia empresarial xestionados por TI. Pola contra, están adoptando ferramentas de autoservizo dirixidas pola liña de negocio como Qlik, Tableau e PowerBI. Estas ferramentas, por deseño, non se xestionan de forma centralizada.

 

Xestión de cambios

 

Un dos requisitos fundamentais para o cumprimento da Lei é definir os controis establecidos e como deben rexistrarse de forma sistemática os cambios nos datos ou nas aplicacións. Noutras palabras, a disciplina de Xestión do Cambio. Hai que supervisar a seguridade, o acceso aos datos e ao software, así como se os sistemas informáticos non funcionan correctamente. O cumprimento depende non só de definir as políticas e os procesos para salvagardar o medio ambiente, senón tamén de facelo realmente e, en última instancia, poder demostrar que se fixo. Do mesmo xeito que a cadea de custodia das probas policiais, o cumprimento de Sarbanes-Oxley só é tan forte como o seu elo máis débil.  

 

O Elo Débil

 

Como evanxelista analítico, dóeme dicir isto, pero o elo máis débil no cumprimento de Sarbanes-Oxley é moitas veces Analytics ou Business Intelligence. Os líderes en analítica de autoservizo mencionados anteriormente -Qlik, Tableau e PowerBI - A análise e a elaboración de informes hoxe son máis adoita facerse nos departamentos da liña de negocio que en TI. Isto é aínda máis certo para as ferramentas de Analytics como Qlik, Tableau e PowerBI que perfeccionaron o modelo de BI de autoservizo. A maior parte do diñeiro gastado no cumprimento centrouse en sistemas financeiros e contables. Máis recentemente, as empresas ampliaron con razón a preparación de auditorías a outros departamentos. O que descubriron foi que os programas formais de xestión de cambios de TI non lograran abarcar bases de datos ou almacéns de datos/mercados co mesmo rigor usado para aplicacións e sistemas.  A área de cumprimento de políticas e procedementos de Xestión de Cambios atópase baixo os Controis Xerais e agrúpase con outras políticas e procedementos informáticos de proba, recuperación ante desastres, copia de seguridade e recuperación e seguridade.

 

Dos moitos pasos necesarios para cumprir cunha auditoría, unha das cousas que máis se pasa por alto é: "Manteña un rastro da actividade con auditorías en tempo real, incluíndo quen, que, onde e cando de toda a actividade do operador e cambios de infraestrutura, especialmente aqueles que poidan ser inadecuados ou maliciosos".  Se o cambio é na configuración do sistema, unha aplicación de software ou os propios datos, debe manterse un rexistro que conteña, como mínimo, os seguintes elementos:

  • Quen solicitou o cambio
  • Cando se realizou o cambio
  • Cal é o cambio: unha descrición
  • Quen aprobou o cambio

 

O rexistro desta información sobre os cambios nos informes e nos paneis nos seus sistemas de Analytics e Business Intelligence é igual de importante. Independentemente de onde estea a ferramenta Analytics e BI no continuo de control: o Salvaxe Oeste, de autoservizo ou de xestión centralizada; se as follas de cálculo (estremecerse), Tableau/Qlik/Power BI ou Cognos Analytics: para cumprir con Sarbanes-Oxley, deberás rexistrar esta información básica. Ao auditor non lle importa se está a usar papel e bolígrafo ou un sistema automatizado para documentar que se seguen os seus procesos de control. Recoñezo que se estás usando follas de cálculo como o teu software de "analítica" para tomar decisións comerciais, tamén podes estar usando follas de cálculo para rexistrar a xestión do cambio.  

 

Non obstante, é probable que, se xa investiches nun sistema de análise como PowerBI ou outros, deberías buscar formas de automatizar o rexistro dos cambios no teu sistema de intelixencia empresarial e informes. Por moi bos que son, as ferramentas de análise listas para usar como Tableau, Qlik e PowerBI deixaron de incluír informes de xestión de cambios sinxelos e auditables. Fai os deberes. Busca unha forma de automatizar a documentación dos cambios no teu ambiente de análise. Aínda mellor, estea preparado para presentar a un auditor, non só un rexistro dos cambios no seu sistema, senón que os cambios se axustan ás políticas e procesos internos aprobados.

 

Ter a capacidade de: 

1) demostrar que ten políticas internas sólidas, 

2) que os seus procesos documentados os apoian, e 

3) que a práctica real pode ser confirmada 

fará feliz a calquera auditor. E todo o mundo sabe que se o auditor está contento, todo o mundo está contento.

 

Moitas empresas quéixanse dos custos engadidos do cumprimento e o custo do cumprimento dos estándares SOX pode ser alto. "Estes custos son máis significativos para as empresas máis pequenas, para as máis complexas e para as empresas con menores oportunidades de crecemento".  O custo por incumprimento pode ser aínda maior.

 

O risco de incumprimento

 

Sarbanes-Oxley responsabiliza aos CEO e aos directores e castiga con ata 500,000 dólares e 5 anos de prisión. O goberno non adoita aceptar unha alegación de ignorancia ou incompetencia. Se fose CEO, seguramente querería que o meu equipo puidese demostrar que nos adherimos ás mellores prácticas e que sabiamos quen realizara cada transacción. 

 

Unha cousa máis. Dixen que Sarbanes-Oxley é para empresas que cotizan en bolsa. Iso é certo, pero considera como a falta de controis internos e a falta de documentación poden obstaculizarche se algunha vez quixeses facer unha oferta pública.  

Cargar máis