Analytics dan Sarbanes-Oxley

Mengelola kepatuhan SOX dengan alat BI swalayan seperti Qlik, Tableau, dan PowerBI

Tahun depan SOX akan cukup umur untuk membeli bir di Texas. Itu lahir dari "Reformasi Akuntansi Perusahaan Publik dan Undang-Undang Perlindungan Investor", yang kemudian dikenal dengan nama-nama senator yang mensponsori RUU tersebut, Sarbanes-Oxley Act of 2002. Sarbanes-Oxley adalah keturunan dari Securities Act of 1933 yang tujuan utamanya adalah untuk melindungi investor dari penipuan dengan memberikan transparansi keuangan perusahaan. Sebagai anak dari tindakan itu, Sarbanes-Oxley memperkuat tujuan tersebut dan berusaha untuk mempromosikan akuntabilitas melalui praktik bisnis yang baik. Tapi, seperti banyak orang dewasa muda, kami masih mencoba mencari tahu. Dua puluh tahun kemudian, perusahaan masih mencoba untuk mencari tahu apa implikasi tindakan tersebut bagi mereka secara khusus, serta, cara terbaik untuk membangun peningkatan transparansi ke dalam teknologi dan sistem mereka untuk mendukung kepatuhan.

Siapa yang bertanggung jawab?

Berlawanan dengan kepercayaan populer, Sarbanes-Oxley tidak hanya berlaku untuk lembaga keuangan, atau hanya untuk departemen keuangan. Tujuannya adalah untuk memberikan transparansi yang lebih besar ke dalam semua data organisasi dan proses terkait. Secara teknis, Sarbanes-Oxley hanya berlaku untuk perusahaan publik, tetapi persyaratannya masuk akal untuk setiap bisnis yang dijalankan dengan baik. Undang-undang tersebut membuat CEO dan CFO secara pribadi bertanggung jawab atas data yang disajikan. Petugas ini, pada gilirannya, mengandalkan CIO, CDO, dan CSO untuk memastikan bahwa sistem data aman, memiliki integritas, dan mampu memberikan informasi yang diperlukan untuk membuktikan kepatuhan. Baru-baru ini, kontrol dan kepatuhan menjadi tantangan bagi CIO dan rekan-rekan mereka. Banyak organisasi beralih dari sistem perusahaan tradisional, Analitik yang dikelola TI, dan Intelijen Bisnis. Sebagai gantinya, mereka mengadopsi alat layanan mandiri yang dipimpin lini bisnis seperti Qlik, Tableau, dan PowerBI. Alat-alat ini, menurut desain, tidak dikelola secara terpusat.

Manajemen Perubahan

Salah satu persyaratan utama untuk mematuhi Undang-Undang tersebut adalah untuk menentukan kontrol yang ada dan bagaimana perubahan dalam data atau aplikasi harus dicatat secara sistematis. Dengan kata lain, disiplin Manajemen Perubahan. Keamanan, akses data dan perangkat lunak perlu dipantau, serta apakah sistem TI tidak berfungsi dengan baik. Kepatuhan tidak hanya bergantung pada penetapan kebijakan dan proses untuk menjaga lingkungan, tetapi juga untuk benar-benar melakukannya dan pada akhirnya dapat membuktikan bahwa hal itu telah dilakukan. Sama seperti rantai bukti polisi, kepatuhan terhadap Sarbanes-Oxley hanya sekuat mata rantai terlemahnya.  

Tautan Lemah

Sebagai penginjil analitik, saya sedih untuk mengatakan ini, tetapi tautan terlemah dalam kepatuhan Sarbanes-Oxley sering kali adalah Analytics atau Intelijen Bisnis. Para pemimpin dalam Analytics swalayan yang disebutkan di atas –Qlik, Tableau, dan PowerBI – Analisis dan pelaporan saat ini lebih umumnya dilakukan di departemen lini bisnis daripada di TI. Ini bahkan lebih benar untuk alat Analytics seperti Qlik, Tableau, dan PowerBI yang telah menyempurnakan model BI swalayan. Sebagian besar uang yang dihabiskan untuk kepatuhan telah difokuskan pada sistem keuangan dan akuntansi. Baru-baru ini, perusahaan dengan tepat memperluas persiapan audit ke departemen lain. Apa yang mereka temukan adalah bahwa program Manajemen Perubahan TI formal telah gagal mencakup database atau gudang data/mart dengan ketelitian yang sama yang digunakan untuk aplikasi dan sistem.  Area kepatuhan kebijakan dan prosedur Manajemen Perubahan berada di bawah Kontrol Umum dan dikelompokkan dengan kebijakan dan prosedur TI lainnya untuk pengujian, pemulihan bencana, pencadangan, serta pemulihan dan keamanan.

Dari sekian banyak langkah yang diperlukan untuk mematuhi audit, salah satu hal yang paling sering diabaikan adalah: “Simpan jejak aktivitas dengan audit waktu nyata, termasuk siapa, apa, di mana, dan kapan semua aktivitas operator dan perubahan infrastruktur, terutama yang mungkin tidak pantas atau berbahaya.”  Apakah perubahan tersebut pada pengaturan sistem, aplikasi perangkat lunak, atau data itu sendiri, catatan harus dipelihara yang berisi, minimal elemen-elemen berikut:

• Siapa yang meminta perubahan?
• Kapan perubahan itu dilakukan
• Apa perubahannya – deskripsi
• Siapa yang menyetujui perubahan?

Mencatat informasi ini tentang perubahan pada laporan dan dasbor di sistem Analytics dan Intelijen Bisnis Anda sama pentingnya. Di mana pun alat Analytics dan BI berada pada kontinum kontrol – Wild West, swalayan, atau dikelola secara terpusat; apakah spreadsheet (merasa ngeri), Tableau/Qlik/Power BI, atau Cognos Analytics – agar sesuai dengan Sarbanes-Oxley, Anda harus mencatat informasi dasar ini. Auditor tidak peduli jika Anda menggunakan pena dan kertas atau sistem otomatis untuk mendokumentasikan bahwa proses kontrol Anda sedang diikuti. Saya akui bahwa jika Anda menggunakan spreadsheet sebagai perangkat lunak "analitik" untuk membuat keputusan bisnis, Anda mungkin juga menggunakan spreadsheet untuk mencatat manajemen perubahan.  

Namun, kemungkinan besar jika Anda telah berinvestasi dalam sistem analitik seperti PowerBI, atau lainnya, Anda harus mencari cara untuk mengotomatiskan pencatatan perubahan dalam kecerdasan bisnis dan sistem pelaporan Anda. Sebagus apa pun, alat analisis out-of-the-box seperti Tableau, Qlik, PowerBI telah mengabaikan untuk menyertakan pelaporan manajemen perubahan yang mudah dan dapat diaudit. Kerjakan pekerjaan rumah Anda. Temukan cara untuk mengotomatiskan dokumentasi perubahan pada lingkungan analitik Anda. Lebih baik lagi, bersiaplah untuk mempresentasikan kepada auditor, bukan hanya log perubahan pada sistem Anda, tetapi bahwa perubahan tersebut sesuai dengan kebijakan dan proses internal yang disetujui.

Memiliki kemampuan untuk: 

1) tunjukkan bahwa Anda memiliki kebijakan internal yang solid, 

2) bahwa proses terdokumentasi Anda mendukungnya, dan 

3) bahwa praktik yang sebenarnya dapat dikonfirmasi 

akan membuat setiap auditor senang. Dan, semua orang tahu bahwa jika auditor senang, semua orang senang.

Banyak perusahaan mengeluh tentang biaya tambahan kepatuhan, dan biaya kepatuhan dengan standar SOX bisa tinggi. “Biaya ini lebih signifikan untuk perusahaan yang lebih kecil, untuk perusahaan yang lebih kompleks, dan untuk perusahaan dengan peluang pertumbuhan yang lebih rendah.”  Biaya untuk ketidakpatuhan bisa lebih tinggi.

Risiko Ketidakpatuhan

Sarbanes-Oxley meminta pertanggungjawaban CEO dan direktur dan dapat dihukum hingga $500,000 dan 5 tahun penjara. Pemerintah tidak sering menerima pembelaan ketidaktahuan atau ketidakmampuan. Jika saya seorang CEO, saya pasti ingin tim saya dapat membuktikan bahwa kami telah mengikuti praktik terbaik dan kami tahu siapa yang telah melakukan setiap transaksi. 

Satu hal lagi. Saya mengatakan bahwa Sarbanes-Oxley adalah untuk perusahaan publik. Itu benar, tetapi pertimbangkan bagaimana kurangnya kontrol internal dan kurangnya dokumentasi dapat menghalangi Anda jika Anda ingin melakukan penawaran umum.