Analytics és Sarbanes-Oxley

SOX-megfelelőség kezelése olyan önkiszolgáló BI-eszközökkel, mint a Qlik, Tableau és PowerBI

Jövőre a SOX elég idős lesz ahhoz, hogy sört vásároljon Texasban. A „Közvállalati számviteli reformról és a befektetők védelméről szóló törvényből” született, amelyet a későbbiekben a törvényjavaslatot támogató szenátorok nevéről, a 2002-es Sarbanes-Oxley törvényből ismertek. Sarbanes-Oxley az 1933-as értékpapírtörvény szülötte volt, amelynek fő célja az volt, hogy megvédje a befektetőket a csalástól a vállalati pénzügyek átláthatóságának biztosításával. E törvény utódjaként Sarbanes-Oxley megerősítette ezeket a célokat, és megkísérelte előmozdítani az elszámoltathatóságot a jó üzleti gyakorlatok révén. De sok fiatal felnőtthez hasonlóan mi is megpróbáljuk kitalálni. Húsz év elteltével a vállalatok még mindig próbálják kitalálni, hogy konkrétan milyen következményekkel jár a törvény rájuk nézve, valamint azt, hogy miként építsék be a legjobban technológiáik és rendszereik fokozott átláthatóságát a megfelelőség támogatása érdekében.

Ki a felelős?

A közhiedelemmel ellentétben a Sarbanes-Oxley nem csak a pénzintézetekre vonatkozik, vagy csak a pénzügyi osztályra. Célja az összes szervezeti adat és a kapcsolódó folyamatok nagyobb átláthatósága. Technikailag a Sarbanes-Oxley csak a tőzsdén jegyzett vállalatokra vonatkozik, de követelményei minden jól működő vállalkozás számára megfelelőek. A törvény a vezérigazgatót és a pénzügyi igazgatót személyesen felelőssé teszi a bemutatott adatok. Ezek a tisztek pedig a CIO-ra, a CDO-ra és a CSO-ra támaszkodnak, hogy biztosítsák az adatrendszerek biztonságát, integritását és a megfelelőség bizonyításához szükséges információkat nyújtani. Az utóbbi időben az ellenőrzés és a megfelelés egyre nagyobb kihívást jelent az informatikai igazgatók és társaik számára. Sok szervezet eltávolodik a hagyományos vállalati, IT által felügyelt Analytics és üzleti intelligencia rendszerektől. Ehelyett olyan, az üzletág által vezetett önkiszolgáló eszközöket alkalmaznak, mint a Qlik, a Tableau és a PowerBI. Ezeket az eszközöket tervezésüknél fogva nem központilag kezelik.

Változáskezelés

A törvénynek való megfelelés egyik kulcsfontosságú követelménye, hogy meg kell határozni a meglévő ellenőrzéseket, valamint azt, hogy az adatokban vagy alkalmazásokban bekövetkezett változásokat hogyan kell szisztematikusan rögzíteni. Más szóval, a változásmenedzsment tudományága. Felügyelni kell a biztonságot, az adatokhoz és szoftverekhez való hozzáférést, valamint azt, hogy az informatikai rendszerek nem működnek-e megfelelően. A megfelelés nemcsak a környezet védelmét szolgáló irányelvek és folyamatok meghatározásán múlik, hanem azon is, hogy ezt ténylegesen meg is tegyük, és végül bizonyítani tudjuk, hogy megtörtént. Csakúgy, mint a rendőrségi bizonyítékok őrizetének láncolata, a Sarbanes-Oxley-nek való megfelelés csak annyira erős, mint a leggyengébb láncszem.  

A gyenge láncszem

Elemző evangélistaként fájdalmasan mondom ezt, de a Sarbanes-Oxley megfelelőség leggyengébb láncszeme gyakran az Analytics vagy az üzleti intelligencia. Az önkiszolgáló Analytics fent említett vezetői – Qlik, Tableau és PowerBI – Az elemzés és jelentéskészítés ma már több általában az üzletági osztályokon történik, mint az informatikai területen. Ez még inkább igaz az olyan Analytics-eszközökre, mint a Qlik, a Tableau és a PowerBI, amelyek tökéletesítették az önkiszolgáló BI-modellt. A megfelelésre fordított pénzek többsége a pénzügyi és számviteli rendszerekre irányult. Az utóbbi időben a cégek joggal terjesztették ki a könyvvizsgálati előkészítést más részlegekre is. Azt találták, hogy a formális IT-változáskezelési programok nem tudták felölelni az adatbázisokat vagy adattárházakat/piacokat ugyanolyan szigorúsággal, mint az alkalmazások és rendszerek esetében.  A változáskezelési szabályzatok és eljárások megfelelőségi területe az általános ellenőrzések alá tartozik, és más IT-irányelvek és -eljárások körébe tartozik, amelyek a tesztelést, a katasztrófa-helyreállítást, a biztonsági mentést, valamint a helyreállítást és a biztonságot érintik.

Az auditnak való megfeleléshez szükséges számos lépés közül az egyik leggyakrabban figyelmen kívül hagyott dolog a következők: „Tartsa nyomon a tevékenységi nyomvonalat valós idejű auditálással, beleértve az összes üzemeltetői tevékenység ki, mit, hol és mikor adatait és infrastrukturális változások, különösen azok, amelyek nem megfelelőek vagy rosszindulatúak lehetnek."  Legyen szó rendszerbeállításokról, szoftveralkalmazásról vagy magáról az adatokról, egy nyilvántartást kell vezetni, amely legalább a következő elemeket tartalmazza:

• Ki kérte a változtatást
• Amikor a változtatást végrehajtották
• Mi a változás – leírás
• Aki jóváhagyta a változtatást

Ugyanilyen fontos ezen információk rögzítése a jelentések és irányítópultok változásairól az Analytics és az üzleti intelligencia rendszerekben. Függetlenül attól, hogy az Analytics és a BI eszköz hol található az irányítás kontinuumában – a vadnyugati, önkiszolgáló vagy központilag felügyelt; hogy táblázatok (reszket), Tableau/Qlik/Power BI vagy Cognos Analytics – a Sarbanes-Oxley követelményeinek való megfeleléshez rögzítenie kell ezeket az alapvető információkat. Az auditort nem érdekli, hogy tollat ​​és papírt vagy automatizált rendszert használ-e annak dokumentálására, hogy az ellenőrzési folyamatait követik. Elismerem, hogy ha táblázatokat használ „analitikai” szoftverként az üzleti döntések meghozatalához, akkor előfordulhat, hogy táblázatokat is használ a változáskezelés rögzítésére.  

Azonban jó eséllyel ha már beruházott egy elemző rendszerbe, mint például a PowerBI vagy más, akkor keresnie kell az üzleti intelligencia és a jelentési rendszer változásainak automatizálásának módját. Bármennyire is jók, az olyan elemző eszközök, mint a Tableau, a Qlik, a PowerBI, elhanyagolták az egyszerű, auditálható változáskezelési jelentéseket. Csináld meg a házi feladatodat. Találja meg a módját az elemzési környezet változásainak dokumentálásának automatizálására. Még jobb, ha készen áll arra, hogy ne csak a rendszer változásainak naplóját mutassa be az auditornak, hanem azt is, hogy a változtatások megfeleljenek a jóváhagyott belső szabályzatoknak és folyamatoknak.

A következő képességekkel rendelkezik: 

1) bizonyítania kell, hogy szilárd belső szabályzatokkal rendelkezik, 

2) dokumentált folyamatai támogatják ezeket, és 

3) hogy a tényleges gyakorlat megerősíthető 

boldoggá tesz minden auditort. És mindenki tudja, hogy ha a könyvvizsgáló boldog, akkor mindenki boldog.

Sok vállalat panaszkodik a megfelelés többletköltsége miatt, és a SOX-szabványoknak való megfelelés költsége magas lehet. "Ezek a költségek jelentősebbek a kisebb cégeknél, az összetettebb cégeknél és az alacsonyabb növekedési lehetőségekkel rendelkező cégeknél."  A meg nem felelés költsége még magasabb is lehet.

A meg nem felelés kockázata

Sarbanes-Oxley elszámoltatja a vezérigazgatókat és igazgatókat, és 500,000 5 dollárig terjedő börtönbüntetéssel és XNUMX év börtönnel bünteti. A kormány gyakran nem fogadja el a tudatlanságra vagy hozzá nem értésre vonatkozó kifogást. Ha vezérigazgató lennék, biztosan szeretném, ha a csapatom be tudná bizonyítani, hogy betartottuk a legjobb gyakorlatokat, és tudjuk, hogy ki hajtott végre minden tranzakciót. 

Még egy dolog. Azt mondtam, hogy a Sarbanes-Oxley a tőzsdén jegyzett cégek számára készült. Ez igaz, de gondolja át, hogy a belső ellenőrzések hiánya és a dokumentáció hiánya miként akadályozhatja Önt, ha valaha nyilvános ajánlatot akar tenni.