Analytics og Sarbanes-Oxley
Stjórna SOX samræmi við sjálfsafgreiðslu BI verkfæri eins og Qlik, Tableau og PowerBI
Á næsta ári verður SOX nógu gamalt til að kaupa bjór í Texas. Það var fætt út úr „lögunum um endurbætur á bókhaldi opinberra fyrirtækja og lögum um vernd fjárfesta“, sem síðan var ástúðlega þekkt undir nöfnum öldungadeildarþingmannanna sem styrktu frumvarpið, Sarbanes-Oxley lögin frá 2002. 
Sarbanes-Oxley var afsprengi verðbréfalaganna frá 1933, en megintilgangur þeirra var að vernda fjárfesta fyrir svikum með því að veita gagnsæi í fjármálum fyrirtækja. Sem afkvæmi þessarar athafnar, styrkti Sarbanes-Oxley þessi markmið og reyndi að stuðla að ábyrgð með góðum viðskiptaháttum. En, eins og margir ungir fullorðnir, erum við enn að reyna að átta okkur á því. Tuttugu árum síðar eru fyrirtæki enn að reyna að átta sig á hvaða áhrif lögin hafa fyrir þau sérstaklega, sem og hvernig best sé að byggja upp aukið gagnsæi í tækni og kerfi til að styðja við samræmi.
Hver ber ábyrgð?
Andstætt því sem almennt er talið á Sarbanes-Oxley ekki aðeins við um fjármálastofnanir, eða aðeins um fjármáladeildina. Markmið þess er að veita meira gagnsæi í öll skipulagsgögn og tengd ferla. Tæknilega séð á Sarbanes-Oxley aðeins við um hlutafélög sem eru í viðskiptum, en kröfur þess eru traustar fyrir öll vel rekin fyrirtæki. Lögin gera forstjóra og fjármálastjóra persónulega ábyrga fyrir 
gögn lögð fram. Þessir yfirmenn treysta aftur á móti á CIO, CDO og CSO til að tryggja að gagnakerfin séu örugg, hafi heilleika og geti veitt nauðsynlegar upplýsingar til að sanna að farið sé að ákvæðum. Nýlega hefur eftirlit og fylgni orðið meiri áskorun fyrir CIO og jafningja þeirra. Margar stofnanir eru að hverfa frá hefðbundnum fyrirtækjum, upplýsingatæknistýrðum greiningarkerfum og viðskiptagreindarkerfum. Í staðinn eru þeir að samþykkja sjálfsafgreiðsluverkfæri eins og Qlik, Tableau og PowerBI. Þessum verkfærum, að hönnun, er ekki stjórnað miðlægt.
Breyta Management
Ein af lykilkröfum þess að farið sé að lögunum er að skilgreina það eftirlit sem fyrir hendi er og hvernig skrá skuli skipulega breytingar á gögnum eða umsóknum. Með öðrum orðum, fræðigreinin Breytingastjórnun. Fylgjast þarf með öryggi, gagna- og hugbúnaðaraðgangi og hvort upplýsingatæknikerfi virki ekki sem skyldi. Fylgni er háð því að skilgreina ekki bara stefnur og ferla til að vernda umhverfið, heldur líka að gera það í raun og að lokum að geta sannað að það hafi verið gert. Rétt eins og sönnunargögn lögreglunnar er fylgni við Sarbanes-Oxley aðeins eins sterk og veikasti hlekkurinn.
Veiki hlekkurinn
Sem greiningarguðspjallamaður er mér sárt að segja þetta, en veikasti hlekkurinn í Sarbanes-Oxley samræmi er oft Analytics eða Business Intelligence. Leiðtogarnir í sjálfsþjónustugreiningu sem nefnd eru hér að ofan – Qlik, Tableau og PowerBI – Greining og skýrslur í dag er meira 
almennt gert í viðskiptadeildum en í upplýsingatækni. Þetta á enn frekar við um greiningarverkfæri eins og Qlik, Tableau og PowerBI sem hafa fullkomnað sjálfsafgreiðslu BI líkanið. Mestu fé sem varið er til að uppfylla reglur hefur beinst að fjármála- og bókhaldskerfum. Í seinni tíð hafa fyrirtæki réttilega útvíkkað undirbúning endurskoðunar til annarra deilda. Það sem þeir komust að var að formleg breytingastjórnunarforrit fyrir upplýsingatækni höfðu ekki náð að ná yfir gagnagrunna eða gagnavöruhús/vöruverslun með sömu hörku og notuð eru fyrir forrit og kerfi. Reglur og verklagsreglur breytingastjórnunar falla undir Almennt eftirlit og er flokkað með öðrum upplýsingatæknistefnum og verklagsreglum um prófun, hörmungarbata, öryggisafrit og endurheimt og öryggi.
Af mörgum skrefum sem þarf til að fara eftir úttekt er eitt af því sem oftast gleymist að: „Haltu virknislóð með rauntíma endurskoðun, þar á meðal hver, hvað, hvar og hvenær af allri starfsemi rekstraraðila og innviðabreytingar, sérstaklega þær sem gætu verið óviðeigandi eða illgjarnar.“ Hvort sem breytingin er á kerfisstillingum, hugbúnaðarforriti eða gögnunum sjálfum verður að halda skrá sem inniheldur að minnsta kosti eftirfarandi þætti:
- Hver óskaði eftir breytingunni
- Þegar breytingin var framkvæmd
- Hver breytingin er - lýsing
- Hver samþykkti breytinguna
Það er jafn mikilvægt að skrá þessar upplýsingar um breytingar á skýrslum og mælaborðum í greiningar- og viðskiptagreindarkerfum þínum. Burtséð frá því hvar greiningartólið og BI tólið er á samfellu eftirlitsins - villta vestrið, sjálfsafgreiðslu eða miðstýrt; hvort töflureiknar (skjálfa), Tableau/Qlik/Power BI eða Cognos Analytics – til að vera í samræmi við Sarbanes-Oxley þarftu að skrá þessar grunnupplýsingar. Endurskoðanda er sama hvort þú notar penna og pappír eða sjálfvirkt kerfi til að skjalfesta að eftirlitsferlum þínum sé fylgt. Ég viðurkenni að ef þú ert að nota töflureikna sem „greiningar“ hugbúnaðinn þinn til að taka viðskiptaákvarðanir, gætirðu líka notað töflureikna til að skrá breytingastjórnunina.
Hins vegar eru líkurnar á því að ef þú hefur þegar fjárfest í greiningarkerfi eins og PowerBI, eða öðrum, ættir þú að leita leiða til að gera sjálfvirkan skráningu á breytingum á viðskiptagreind og skýrslukerfi þínu. Eins góð og þau eru, útúr kassanum, hafa greiningartól eins og Tableau, Qlik, PowerBI vanrækt að innihalda auðvelda, endurskoðanlega skýrslugerð um breytingastjórnun. Gera heimavinnuna þína. Finndu leið til að gera sjálfvirkan skjölun breytinga á greiningarumhverfi þínu. Jafnvel betra, vertu tilbúinn til að kynna fyrir endurskoðanda, ekki bara skrá yfir breytingar á kerfinu þínu, heldur að breytingarnar séu í samræmi við samþykktar innri stefnur og ferla.
Að hafa getu til að:
1) sýna fram á að þú hafir trausta innri stefnu,
2) að skjalfest ferli þín styðji þau, og
3) að hægt sé að staðfesta raunverulega framkvæmd
mun gleðja hvaða endurskoðanda sem er. Og allir vita að ef endurskoðandinn er ánægður, þá eru allir ánægðir.
Mörg fyrirtæki kvarta yfir auknum kostnaði við að uppfylla kröfur og kostnaður við að uppfylla SOX staðla getur verið hár. „Þessi kostnaður er mikilvægari fyrir smærri fyrirtæki, fyrir flóknari fyrirtæki og fyrir fyrirtæki með minni vaxtarmöguleika. Kostnaður vegna vanefnda getur verið enn meiri.
Hætta á að ekki sé farið að ákvæðum
Sarbanes-Oxley setur forstjóra og stjórnarmenn til ábyrgðar og setur refsingu allt að $500,000 og 5 ára fangelsi. Ríkisstjórnin tekur ekki oft undir ámæli um vanþekkingu eða vanhæfni. Ef ég væri forstjóri myndi ég örugglega vilja að teymið mitt gæti sannað að við hefðum fylgt bestu starfsvenjum og við vissum hver hefði framkvæmt öll viðskipti.
Eitt í viðbót. Ég sagði að Sarbanes-Oxley væri fyrir fyrirtæki í hlutabréfaviðskiptum. Það er satt, en íhugaðu hvernig skortur á innra eftirliti og skortur á skjölum gæti hindrað þig ef þú vildir einhvern tíma gera almennt útboð.
