Analytics i Sarbanes-Oxley
Upravljanje usklađenošću SOX-a sa samouslužnim BI alatima kao što su Qlik, Tableau i PowerBI
Sljedeće godine SOX će biti dovoljno star da kupuje pivo u Teksasu. Nastao je iz “Zakona o reformi računovodstva javnih poduzeća i zaštiti ulagača”, od milja poznatog po imenima senatora koji su sponzorirali prijedlog zakona, Sarbanes-Oxleyev zakon iz 2002. 
Sarbanes-Oxley bio je izdanak Zakona o vrijednosnim papirima iz 1933. čija je glavna svrha bila zaštititi ulagače od prijevare pružanjem transparentnosti u korporativnim financijama. Kao potomak tog čina, Sarbanes-Oxley je pojačao te ciljeve i pokušao promicati odgovornost kroz dobre poslovne prakse. Ali, poput mnogih mladih odraslih, još uvijek pokušavamo to shvatiti. Dvadeset godina kasnije, tvrtke još uvijek pokušavaju shvatiti koje su implikacije akta konkretno za njih, kao i kako najbolje ugraditi povećanu transparentnost u svoju tehnologiju i sustave za podršku usklađenosti.
Tko je odgovoran?
Suprotno uvriježenom mišljenju, Sarbanes-Oxley se ne odnosi samo na financijske institucije ili samo na odjel financija. Cilj mu je osigurati veću transparentnost svih organizacijskih podataka i povezanih procesa. Tehnički, Sarbanes-Oxley se primjenjuje samo na javne korporacije, ali njegovi su zahtjevi opravdani za svako dobro vođeno poduzeće. Zakon čini CEO i CFO osobno odgovornim za 
prikazani podaci. Ti se službenici zauzvrat oslanjaju na CIO, CDO i CSO kako bi osigurali da su podatkovni sustavi sigurni, da imaju integritet i da mogu pružiti informacije potrebne za dokazivanje usklađenosti. Nedavno su kontrola i usklađenost postali veći izazov za CIO-e i njihove kolege. Mnoge se organizacije udaljavaju od tradicionalnih poslovnih sustava analitike i poslovne inteligencije kojima upravlja IT. Umjesto toga, usvajaju samouslužne alate vođene linijom poslovanja kao što su Qlik, Tableau i PowerBI. Ovim se alatima, po dizajnu, ne upravlja centralno.
Upravljanje promjenama
Jedan od ključnih zahtjeva za usklađivanje sa Zakonom je definiranje uspostavljenih kontrola i načina na koji bi se promjene podataka ili aplikacija trebale sustavno bilježiti. Drugim riječima, disciplina upravljanja promjenama. Potrebno je nadzirati sigurnost, pristup podacima i softveru, kao i provjeriti rade li IT sustavi ispravno. Usklađenost ovisi ne samo o definiranju politika i procesa za zaštitu okoliša, već io tome da se to stvarno učini i da se na kraju može dokazati da je to učinjeno. Baš kao i policijski lanac nadzora nad dokazima, usklađenost sa Sarbanes-Oxleyem je onoliko jaka koliko i njegova najslabija karika.
Slaba karika
Kao evangelizatora analitike, boli me to reći, ali najslabija karika u usklađenosti Sarbanes-Oxley često je analitika ili poslovna inteligencija. Gore spomenuti lideri u samoposlužnoj analitici – Qlik, Tableau i PowerBI – analiza i izvješćivanje danas su više 
obično se radi u poslovnim odjelima nego u IT-u. To još više vrijedi za alate Analyticsa kao što su Qlik, Tableau i PowerBI koji su usavršili samoposlužni BI model. Većina novca potrošenog na usklađenost usmjerena je na financijske i računovodstvene sustave. Nedavno su tvrtke s pravom proširile pripremu revizije na druge odjele. Ono što su otkrili jest da formalni programi upravljanja IT promjenama nisu uspjeli obuhvatiti baze podataka ili skladišta podataka/trgovine s istom strogošću koja se koristi za aplikacije i sustave. Područje usklađenosti politika i postupaka upravljanja promjenama spada pod Opće kontrole i grupirano je s drugim IT politikama i postupcima testiranja, oporavka od katastrofe, sigurnosnog kopiranja i oporavka i sigurnosti.
Od mnogih koraka potrebnih za usklađivanje s revizijom, jedna od stvari koja se najčešće zanemaruje je: "Vodite trag aktivnosti s revizijom u stvarnom vremenu, uključujući tko, što, gdje i kada svih aktivnosti operatera i promjene infrastrukture, posebno one koje bi mogle biti neprikladne ili zlonamjerne.” Bez obzira radi li se o promjeni postavki sustava, softverske aplikacije ili samih podataka, mora se održavati evidencija koja sadrži najmanje sljedeće elemente:
- Tko je tražio promjenu
- Kada je promjena izvršena
- Što je promjena – opis
- Tko je odobrio promjenu
Bilježenje ovih informacija o promjenama izvješća i nadzornih ploča u vašim sustavima analitike i poslovne inteligencije jednako je važno. Bez obzira na to gdje se alat Analytics i BI nalazi na kontinuumu kontrole – Divlji zapad, samoposluživanje ili centralizirano upravljanje; da li proračunske tablice (jeza), Tableau/Qlik/Power BI ili Cognos Analytics – da biste bili u skladu sa Sarbanes-Oxleyem, morat ćete bilježiti ove osnovne informacije. Revizor ne mari koristite li olovku i papir ili automatizirani sustav za dokumentiranje da se slijede vaši kontrolni procesi. Priznajem da ako koristite proračunske tablice kao svoj "analitički" softver za donošenje poslovnih odluka, možda također koristite proračunske tablice za bilježenje upravljanja promjenama.
Međutim, dobre su šanse da biste, ako ste već uložili u analitički sustav poput PowerBI-a ili neki drugi, trebali tražiti načine za automatiziranje bilježenja promjena u vašem sustavu poslovne inteligencije i izvješćivanja. Koliko god dobri bili, gotovi, analitički alati kao što su Tableau, Qlik, PowerBI zanemarili su uključivanje jednostavnog izvješća o upravljanju promjenama koje se može revidirati. Napiši domaću zadaću. Pronađite način za automatizaciju dokumentacije promjena u vašem analitičkom okruženju. Još bolje, budite spremni predočiti revizoru, ne samo dnevnik promjena na vašem sustavu, već da su promjene u skladu s odobrenim internim politikama i procesima.
Imati sposobnost da:
1) pokažite da imate čvrste interne politike,
2) da ih vaši dokumentirani procesi podržavaju i
3) da se stvarna praksa može potvrditi
usrećit će svakog revizora. A svi znaju da ako je revizor sretan, svi su sretni.
Mnoge se tvrtke žale na dodatne troškove usklađenosti, a cijena usklađenosti sa standardima SOX može biti visoka. "Ti su troškovi značajniji za manje tvrtke, za složenije tvrtke i za tvrtke s nižim mogućnostima rasta." Trošak za nepridržavanje može biti još veći.
Rizik od nepridržavanja
Sarbanes-Oxley smatra izvršne direktore i direktore odgovornima i kažnjava ih do 500,000 dolara i 5 godina zatvora. Vlada često ne prihvaća izjave o neznanju ili nesposobnosti. Da sam ja CEO, sigurno bih želio da moj tim može dokazati da smo se pridržavali najboljih praksi i da znamo tko je izvršio svaku transakciju.
Još jedna stvar. Rekao sam da je Sarbanes-Oxley za javna poduzeća. To je istina, ali razmislite kako bi vas nedostatak internih kontrola i nedostatak dokumentacije mogli spriječiti ako ikada poželite napraviti javnu ponudu.
