विश्लेषिकी और Sarbanes-Oxley
Qlik, झांकी और PowerBI जैसे स्वयं-सेवा बीआई टूल के साथ SOX अनुपालन का प्रबंधन
अगले साल एसओएक्स टेक्सास में बीयर खरीदने के लिए काफी पुराना हो जाएगा। इसका जन्म "पब्लिक कंपनी अकाउंटिंग रिफॉर्म एंड इन्वेस्टर प्रोटेक्शन एक्ट" से हुआ था, जिसे बाद में बिल को प्रायोजित करने वाले सीनेटरों के नाम से जाना जाता था, 2002 का सरबेन्स-ऑक्सले अधिनियम। Sarbanes-Oxley 1933 के प्रतिभूति अधिनियम की संतान थे, जिसका मुख्य उद्देश्य कॉर्पोरेट वित्त में पारदर्शिता प्रदान करके निवेशकों को धोखाधड़ी से बचाना था। उस अधिनियम की संतान के रूप में, Sarbanes-Oxley ने उन उद्देश्यों को सुदृढ़ किया और अच्छी व्यावसायिक प्रथाओं के माध्यम से जवाबदेही को बढ़ावा देने का प्रयास किया। लेकिन, कई युवा वयस्कों की तरह, हम अभी भी इसका पता लगाने की कोशिश कर रहे हैं। बीस साल बाद, कंपनियां अभी भी यह पता लगाने की कोशिश कर रही हैं कि विशेष रूप से उनके लिए अधिनियम के निहितार्थ क्या हैं, साथ ही, अनुपालन का समर्थन करने के लिए उनकी तकनीक और प्रणालियों में बढ़ी हुई पारदर्शिता का निर्माण कैसे किया जाए।
कौन ज़िम्मेदार है?
आम धारणा के विपरीत, Sarbanes-Oxley केवल वित्तीय संस्थानों पर या केवल वित्त विभाग पर लागू नहीं होता है। इसका लक्ष्य सभी संगठनात्मक डेटा और संबंधित प्रक्रियाओं में अधिक पारदर्शिता प्रदान करना है। तकनीकी रूप से, Sarbanes-Oxley केवल सार्वजनिक रूप से कारोबार करने वाले निगमों पर लागू होता है, लेकिन इसकी आवश्यकताएं किसी भी अच्छी तरह से चलने वाले व्यवसाय के लिए अच्छी हैं। अधिनियम सीईओ और सीएफओ को व्यक्तिगत रूप से जिम्मेदार बनाता है डेटा प्रस्तुत किया। ये अधिकारी, बदले में, सीआईओ, सीडीओ और सीएसओ पर भरोसा करते हैं ताकि यह सुनिश्चित किया जा सके कि डेटा सिस्टम सुरक्षित हैं, अखंडता है और अनुपालन साबित करने के लिए आवश्यक जानकारी प्रदान करने में सक्षम हैं। हाल ही में, सीआईओ और उनके साथियों के लिए नियंत्रण और अनुपालन एक चुनौती बन गया है। कई संगठन पारंपरिक उद्यम, आईटी-प्रबंधित एनालिटिक्स और बिजनेस इंटेलिजेंस सिस्टम से दूर जा रहे हैं। इसके बजाय, वे Qlik, झांकी और PowerBI जैसे लाइन-ऑफ-बिजनेस-नेतृत्व वाले स्वयं-सेवा टूल को अपना रहे हैं। ये उपकरण, डिज़ाइन द्वारा, केंद्रीय रूप से प्रबंधित नहीं होते हैं।
परिवर्तन प्रबंधन
अधिनियम के अनुपालन के लिए प्रमुख आवश्यकताओं में से एक यह है कि नियंत्रणों को परिभाषित किया जाए और डेटा या अनुप्रयोगों में परिवर्तन को व्यवस्थित रूप से कैसे दर्ज किया जाए। दूसरे शब्दों में, परिवर्तन प्रबंधन का अनुशासन। सुरक्षा, डेटा और सॉफ़्टवेयर एक्सेस की निगरानी करने की आवश्यकता है, साथ ही साथ आईटी सिस्टम ठीक से काम नहीं कर रहे हैं या नहीं। अनुपालन न केवल पर्यावरण की सुरक्षा के लिए नीतियों और प्रक्रियाओं को परिभाषित करने पर निर्भर करता है, बल्कि वास्तव में इसे करने के लिए और अंततः यह साबित करने में सक्षम है कि यह किया गया है। हिरासत की पुलिस साक्ष्य श्रृंखला की तरह, सरबेन्स-ऑक्सले का अनुपालन उतना ही मजबूत है जितना कि इसकी सबसे कमजोर कड़ी।
कमजोर कड़ी
एक एनालिटिक्स इंजीलवादी के रूप में, मुझे यह कहते हुए दुख हो रहा है, लेकिन सर्बनेस-ऑक्सले अनुपालन में सबसे कमजोर कड़ी अक्सर एनालिटिक्स या बिजनेस इंटेलिजेंस है। ऊपर बताए गए सेल्फ़-सर्व एनालिटिक्स में अग्रणी - Qlik, झांकी और PowerBI - आज विश्लेषण और रिपोर्टिंग अधिक है आमतौर पर आईटी की तुलना में लाइन-ऑफ-बिजनेस विभागों में किया जाता है। यह Qlik, Tableau और PowerBI जैसे Analytics टूल के बारे में और भी सही है, जिन्होंने स्वयं-सेवा BI मॉडल को सिद्ध किया है। अनुपालन पर खर्च किए गए अधिकांश धन ने वित्तीय और लेखा प्रणालियों पर ध्यान केंद्रित किया है। हाल ही में, कंपनियों ने अन्य विभागों के लिए ऑडिट तैयारी का विस्तार किया है। उन्होंने जो पाया वह यह था कि औपचारिक आईटी परिवर्तन प्रबंधन कार्यक्रम डेटाबेस या डेटा वेयरहाउस / मार्ट को अनुप्रयोगों और प्रणालियों के लिए उपयोग किए जाने वाले समान कठोरता के साथ शामिल करने में विफल रहे थे। अनुपालन की परिवर्तन प्रबंधन नीतियां और प्रक्रिया क्षेत्र सामान्य नियंत्रण के अंतर्गत आता है और इसे अन्य आईटी नीतियों और परीक्षण, आपदा वसूली, बैकअप, और पुनर्प्राप्ति और सुरक्षा की प्रक्रियाओं के साथ समूहीकृत किया जाता है।
ऑडिट का अनुपालन करने के लिए आवश्यक कई चरणों में से एक चीज़ जिसे अक्सर नज़रअंदाज़ किया जाता है वह है: "रीयल-टाइम ऑडिटिंग के साथ एक गतिविधि ट्रैक रखें, जिसमें सभी ऑपरेटर गतिविधि के कौन, क्या, कहां और कब शामिल हैं और बुनियादी ढांचे में परिवर्तन, विशेष रूप से वे जो अनुपयुक्त या दुर्भावनापूर्ण हो सकते हैं।" चाहे सिस्टम सेटिंग्स में परिवर्तन हो, एक सॉफ़्टवेयर एप्लिकेशन, या डेटा स्वयं, एक रिकॉर्ड बनाए रखा जाना चाहिए जिसमें कम से कम निम्नलिखित तत्व हों:
- परिवर्तन का अनुरोध किसने किया
- जब परिवर्तन किया गया था
- परिवर्तन क्या है - एक विवरण
- परिवर्तन को किसने मंजूरी दी
अपने एनालिटिक्स और बिजनेस इंटेलिजेंस सिस्टम में रिपोर्ट और डैशबोर्ड में बदलाव के बारे में इस जानकारी को रिकॉर्ड करना उतना ही महत्वपूर्ण है। भले ही Analytics और BI टूल नियंत्रण की निरंतरता पर हों - वाइल्ड वेस्ट, स्वयं-सेवा, या केंद्र द्वारा प्रबंधित; चाहे स्प्रेडशीट (कंपकंपी), झांकी/Qlik/Power BI, या कॉग्नोस एनालिटिक्स - Sarbanes-Oxley के अनुपालन के लिए, आपको इस बुनियादी जानकारी को रिकॉर्ड करना होगा। यदि आप पेन और पेपर का उपयोग कर रहे हैं या एक स्वचालित प्रणाली का उपयोग कर रहे हैं तो ऑडिटर परवाह नहीं करता है कि आपकी नियंत्रण प्रक्रियाओं का पालन किया जा रहा है। मैं मानता हूं कि यदि आप व्यावसायिक निर्णय लेने के लिए अपने "एनालिटिक्स" सॉफ़्टवेयर के रूप में स्प्रैडशीट का उपयोग कर रहे हैं, तो हो सकता है कि आप परिवर्तन प्रबंधन को रिकॉर्ड करने के लिए स्प्रैडशीट का भी उपयोग कर रहे हों.
हालाँकि, संभावना अच्छी है कि यदि आपने पहले से ही PowerBI, या अन्य जैसे एनालिटिक्स सिस्टम में निवेश किया है, तो आपको अपने व्यावसायिक इंटेलिजेंस और रिपोर्टिंग सिस्टम में परिवर्तनों को स्वचालित करने के तरीकों की तलाश करनी चाहिए। वे जितने अच्छे हैं, आउट-ऑफ-द-बॉक्स, झांकी, Qlik, PowerBI जैसे एनालिटिक्स टूल ने आसान, ऑडिट करने योग्य परिवर्तन प्रबंधन रिपोर्टिंग को शामिल करने की उपेक्षा की है। अपना होमवर्क करें। अपने विश्लेषिकी वातावरण में परिवर्तनों के दस्तावेज़ीकरण को स्वचालित करने का एक तरीका खोजें। इससे भी बेहतर, एक लेखा परीक्षक को प्रस्तुत करने के लिए तैयार रहें, न केवल आपके सिस्टम में परिवर्तनों का एक लॉग, बल्कि यह कि परिवर्तन स्वीकृत आंतरिक नीतियों और प्रक्रियाओं के अनुरूप हैं।
करने की क्षमता रखते हैं:
1) प्रदर्शित करें कि आपके पास ठोस आंतरिक नीतियां हैं,
2) कि आपकी प्रलेखित प्रक्रियाएं उनका समर्थन करती हैं, और
3) वास्तविक अभ्यास की पुष्टि की जा सकती है
किसी भी ऑडिटर को खुश कर देगा। और, हर कोई जानता है कि अगर ऑडिटर खुश है, तो हर कोई खुश है।
कई कंपनियां अनुपालन की अतिरिक्त लागत के बारे में शिकायत करती हैं, और एसओएक्स मानकों के अनुपालन की लागत अधिक हो सकती है। "ये लागत छोटी फर्मों के लिए, अधिक जटिल फर्मों के लिए और कम विकास के अवसरों वाली फर्मों के लिए अधिक महत्वपूर्ण हैं।" गैर-अनुपालन की लागत और भी अधिक हो सकती है।
गैर-अनुपालन का जोखिम
Sarbanes-Oxley सीईओ और निदेशकों को $500,000 तक की जेल और 5 साल की जेल के लिए जवाबदेह और दंडनीय रखता है। सरकार अक्सर अज्ञानता या अक्षमता की दलील को स्वीकार नहीं करती है। अगर मैं एक सीईओ होता, तो मैं निश्चित रूप से चाहता था कि मेरी टीम यह साबित करने में सक्षम हो कि हमने सर्वोत्तम प्रथाओं का पालन किया है और हम जानते हैं कि प्रत्येक लेनदेन किसने किया है।
एक बात और। मैंने कहा कि Sarbanes-Oxley सार्वजनिक रूप से कारोबार करने वाली कंपनियों के लिए है। यह सच है, लेकिन विचार करें कि यदि आप कभी सार्वजनिक पेशकश करना चाहते हैं तो आंतरिक नियंत्रण की कमी और दस्तावेज़ीकरण की कमी आपको कैसे रोक सकती है।