Վերլուծություն և Սարբանես-Օքսլի

SOX-ի համապատասխանության կառավարում ինքնասպասարկման BI գործիքների հետ, ինչպիսիք են Qlik, Tableau և PowerBI

Հաջորդ տարի SOX-ը բավական մեծ կլինի Տեխասում գարեջուր գնելու համար: Այն ծնվել է «Հանրային ընկերությունների հաշվապահական հաշվառման բարեփոխումների և ներդրողների պաշտպանության մասին օրենքից», որը դրանից հետո սիրալիրորեն հայտնի է օրինագիծը հովանավորած սենատորների անուններով, 2002 թվականի Սարբանես-Օքսլի ակտով: Սարբանես-Օքսլին 1933 թվականի Արժեթղթերի մասին օրենքի սերունդն էր, որի հիմնական նպատակն էր պաշտպանել ներդրողներին խարդախությունից՝ ապահովելով կորպորատիվ ֆինանսների թափանցիկություն: Որպես այդ ակտի սերունդ՝ Սարբանես-Օքսլին ամրապնդեց այդ նպատակները և փորձեց խթանել հաշվետվողականությունը լավ բիզնես պրակտիկայի միջոցով: Բայց, ինչպես շատ երիտասարդներ, մենք դեռ փորձում ենք դա պարզել: Քսան տարի անց ընկերությունները դեռ փորձում են պարզել, թե կոնկրետ ինչ հետևանքներ կունենա ակտը իրենց համար, ինչպես նաև, թե ինչպես լավագույնս թափանցիկություն մտցնել իրենց տեխնոլոգիաների և համակարգերի մեջ՝ համապատասխանությանը աջակցելու համար:

Ո՞վ է պատասխանատու:

Հակառակ տարածված կարծիքի, Սարբանես-Օքսլին չի վերաբերում միայն ֆինանսական հաստատություններին կամ միայն ֆինանսական բաժնին: Դրա նպատակն է ապահովել ավելի մեծ թափանցիկություն բոլոր կազմակերպչական տվյալների և հարակից գործընթացներում: Տեխնիկապես, Sarbanes-Oxley-ն վերաբերում է միայն հրապարակային առևտրով զբաղվող կորպորացիաներին, սակայն նրա պահանջները հիմնավոր են ցանկացած լավ կառավարվող բիզնեսի համար: Օրենքը գործադիր տնօրենին և ֆինանսական տնօրենին անձամբ հաշվետու է դարձնում ներկայացված տվյալները։ Այս պաշտոնյաները, իրենց հերթին, ապավինում են CIO-ին, CDO-ին և CSO-ին, որպեսզի ապահովեն, որ տվյալների համակարգերն ապահով են, ունեն ամբողջականություն և ի վիճակի են տրամադրել անհրաժեշտ տեղեկատվություն՝ համապատասխանությունն ապացուցելու համար: Վերջերս վերահսկողությունն ու համապատասխանությունը դարձել են ավելի մարտահրավեր CIO-ների և նրանց հասակակիցների համար: Շատ կազմակերպություններ հեռանում են ավանդական ձեռնարկություններից, ՏՏ կառավարվող Analytics և Business Intelligence համակարգերից: Փոխարենը, նրանք ընդունում են բիզնեսի գծով ղեկավարվող ինքնասպասարկման գործիքներ, ինչպիսիք են Qlik-ը, Tableau-ն և PowerBI-ն: Այս գործիքները, ըստ նախագծման, կենտրոնացված չեն կառավարվում:

Փոփոխություն կառավարման

Օրենքին համապատասխանելու հիմնական պահանջներից մեկն այն է, որ սահմանվեն առկա հսկողությունները և ինչպես պետք է համակարգված կերպով գրանցվեն տվյալների կամ հավելվածների փոփոխությունները: Այլ կերպ ասած՝ Փոփոխությունների կառավարման կարգապահությունը։ Անվտանգության, տվյալների և ծրագրային ապահովման հասանելիությունը պետք է վերահսկվի, ինչպես նաև՝ արդյոք ՏՏ համակարգերը ճիշտ չեն գործում: Համապատասխանությունը կախված է ոչ միայն շրջակա միջավայրը պաշտպանելու քաղաքականություն և գործընթացներ սահմանելուց, այլ նաև իրականում դա անելուց և, ի վերջո, ապացուցելու, որ դա արվել է: Ինչպես ոստիկանության ապացույցների շղթան, Սարբանես-Օքսլիի հետ համապատասխանությունը նույնքան ուժեղ է, որքան նրա ամենաթույլ օղակը:  

Թույլ օղակը

Որպես վերլուծական ավետարանիչ, ինձ ցավ է պատճառում դա ասելը, բայց Սարբանես-Օքսլիի համապատասխանության ամենաթույլ օղակը հաճախ Analytics-ը կամ Business Intelligence-ն է: Վերը նշված ինքնասպասարկման Analytics-ի առաջատարները՝ Qlik, Tableau և PowerBI – վերլուծությունն ու հաշվետվությունն այսօր ավելին են սովորաբար արվում է բիզնեսի գծով բաժիններում, քան ՏՏ-ում: Սա նույնիսկ ավելի ճիշտ է Analytics գործիքների համար, ինչպիսիք են Qlik, Tableau և PowerBI, որոնք կատարելագործել են ինքնասպասարկման BI մոդելը: Համապատասխանության վրա ծախսված գումարների մեծ մասը կենտրոնացել է ֆինանսական և հաշվապահական համակարգերի վրա: Բոլորովին վերջերս ընկերություններն իրավամբ ընդլայնել են աուդիտի նախապատրաստումը այլ բաժինների վրա: Նրանք պարզեցին, որ ՏՏ փոփոխության կառավարման պաշտոնական ծրագրերը չեն կարողացել ներառել տվյալների բազաները կամ տվյալների պահեստները/մարթերը նույն խստությամբ, որոնք օգտագործվում են հավելվածների և համակարգերի համար:  Փոփոխությունների կառավարման քաղաքականության և ընթացակարգերի համապատասխանության ոլորտը պատկանում է Ընդհանուր վերահսկողությանը և խմբավորված է փորձարկման, աղետից վերականգնման, պահուստավորման և վերականգնման և անվտանգության այլ ՏՏ քաղաքականության և ընթացակարգերի հետ:

Աուդիտին համապատասխանելու համար պահանջվող բազմաթիվ քայլերից մեկը, որ ամենից հաճախ անտեսվում է, հետևյալն է.Պահպանեք գործունեության հետքեր իրական ժամանակի աուդիտով, ներառյալ օպերատորի բոլոր գործունեության ով, ինչ, որտեղ և երբ և ենթակառուցվածքների փոփոխությունները, հատկապես նրանք, որոնք կարող են անպատշաճ կամ վնասակար լինել»:  Անկախ նրանից, թե փոփոխությունը վերաբերում է համակարգի կարգավորումներին, ծրագրային հավելվածին կամ հենց տվյալներին, պետք է պահպանվի գրառում, որը պարունակում է առնվազն հետևյալ տարրերը.

• Ով է խնդրել փոփոխությունը
• Երբ փոփոխությունը կատարվեց
• Ինչ է փոփոխությունը – նկարագրություն
• Ով հաստատեց փոփոխությունը

Ձեր Analytics և Business Intelligence համակարգերում հաշվետվությունների և վահանակների փոփոխությունների մասին այս տեղեկատվության գրանցումը նույնքան կարևոր է: Անկախ նրանից, թե որտեղ է գտնվում Analytics և BI գործիքը վերահսկողության շարունակականության վրա՝ Վայրի Արևմուտք, ինքնասպասարկում, թե կենտրոնական կառավարում; արդյոք աղյուսակներ (սարսուռ), Tableau/Qlik/Power BI կամ Cognos Analytics – Sarbanes-Oxley-ին համապատասխան լինելու համար դուք պետք է գրանցեք այս հիմնական տեղեկատվությունը: Աուդիտորին չի հետաքրքրում, թե դուք օգտագործում եք գրիչ և թուղթ կամ ավտոմատացված համակարգ՝ ձեր վերահսկողության գործընթացներին հետևելու փաստագրման համար: Ես ընդունում եմ, որ եթե դուք օգտագործում եք աղյուսակները որպես ձեր «վերլուծական» ծրագրակազմ բիզնես որոշումներ կայացնելու համար, կարող եք նաև օգտագործել աղյուսակներ՝ փոփոխությունները կառավարելու համար:  

Այնուամենայնիվ, հավանականությունը մեծ է, որ եթե դուք արդեն ներդրումներ եք կատարել վերլուծական համակարգում, ինչպիսին է PowerBI-ն կամ այլոց, դուք պետք է ուղիներ փնտրեք ձեր բիզնեսի հետախուզության և հաշվետվությունների համակարգի փոփոխություններն ավտոմատացնելու համար: Որքան էլ դրանք լավն են, վերլուծական գործիքները, ինչպիսիք են Tableau-ը, Qlik-ը, PowerBI-ն, անտեսել են փոփոխությունների կառավարման հեշտ, ստուգելի հաշվետվություններ ներառելը: Արա Տնային աշխատանքներդ. Գտեք ձեր վերլուծական միջավայրում փոփոխությունների փաստաթղթավորումն ավտոմատացնելու միջոց: Նույնիսկ ավելի լավ, պատրաստ եղեք աուդիտորին ներկայացնել ոչ միայն ձեր համակարգի փոփոխությունների մատյան, այլ այն, որ փոփոխությունները համապատասխանում են հաստատված ներքին քաղաքականությանն ու գործընթացներին:

Ունենալով կարողություն. 

1) ցույց տալ, որ դուք ունեք ամուր ներքին քաղաքականություն, 

2) որ ձեր փաստաթղթավորված գործընթացները աջակցում են դրանց, և 

3) այդ փաստացի պրակտիկան կարող է հաստատվել 

կուրախացնի ցանկացած աուդիտոր: Եվ բոլորը գիտեն, որ եթե աուդիտորը երջանիկ է, բոլորն էլ երջանիկ են:

Շատ ընկերություններ դժգոհում են համապատասխանության ավելացված ծախսերից, և SOX ստանդարտներին համապատասխանության արժեքը կարող է բարձր լինել: «Այս ծախսերն ավելի զգալի են փոքր ընկերությունների, ավելի բարդ ընկերությունների և ավելի ցածր աճի հնարավորություններ ունեցող ընկերությունների համար»:  Անհամապատասխանության արժեքը կարող է նույնիսկ ավելի բարձր լինել:

Անհամապատասխանության ռիսկը

Սարբանես-Օքսլին պատասխանատվության է ենթարկում գործադիր տնօրեններին և տնօրեններին և պատժում մինչև 500,000 դոլարով և 5 տարվա ազատազրկմամբ: Իշխանությունը հաճախ չի ընդունում անտեղյակության կամ անգործունակության խնդրանքը: Եթե ​​ես լինեի գործադիր տնօրեն, ես, անկասկած, կցանկանայի, որ իմ թիմը կարողանա ապացուցել, որ մենք հավատարիմ ենք եղել լավագույն փորձին և գիտեինք, թե ով է կատարել յուրաքանչյուր գործարք: 

Եւս մեկ բան. Ես ասացի, որ Sarbanes-Oxley-ն հանրային առևտրով զբաղվող ընկերությունների համար է: Դա ճիշտ է, բայց մտածեք, թե ինչպես ներքին վերահսկողության բացակայությունը և փաստաթղթերի բացակայությունը կարող են խանգարել ձեզ, եթե երբևէ ցանկանաք հանրային առաջարկ անել: