Analytics e Sarbanes-Oxley
Gestione della conformità SOX con strumenti BI self-service come Qlik, Tableau e PowerBI
L'anno prossimo SOX sarà abbastanza grande per comprare birra in Texas. È nato dal "Public Company Accounting Reform and Investor Protection Act", affettuosamente noto in seguito con i nomi dei senatori che hanno sponsorizzato il disegno di legge, il Sarbanes-Oxley Act del 2002. Sarbanes-Oxley era il figlio del Securities Act del 1933 il cui scopo principale era proteggere gli investitori dalle frodi fornendo trasparenza alle finanze aziendali. Come progenie di quell'atto, Sarbanes-Oxley ha rafforzato questi obiettivi e ha tentato di promuovere la responsabilità attraverso buone pratiche commerciali. Ma, come molti giovani adulti, stiamo ancora cercando di capirlo. A distanza di vent'anni, le aziende stanno ancora cercando di capire quali siano le implicazioni dell'atto per loro in particolare, nonché il modo migliore per creare maggiore trasparenza nella loro tecnologia e nei loro sistemi per supportare la conformità.
Chi è responsabile?
Contrariamente alla credenza popolare, Sarbanes-Oxley non si applica solo alle istituzioni finanziarie o solo al dipartimento finanziario. Il suo obiettivo è fornire una maggiore trasparenza in tutti i dati organizzativi e nei relativi processi. Tecnicamente, Sarbanes-Oxley si applica solo alle società quotate in borsa, ma i suoi requisiti sono validi per qualsiasi attività commerciale ben gestita. La legge rende il CEO e il CFO personalmente responsabili per il dati presentati. Questi funzionari si affidano, a loro volta, al CIO, al CDO e al CSO per garantire che i sistemi di dati siano sicuri, abbiano integrità e siano in grado di fornire le informazioni necessarie per dimostrare la conformità. Di recente, il controllo e la conformità sono diventati sempre più una sfida per i CIO e i loro colleghi. Molte organizzazioni si stanno allontanando dai tradizionali sistemi aziendali, di analisi gestita dall'IT e di Business Intelligence. Al contrario, stanno adottando strumenti self-service basati sulla linea di business come Qlik, Tableau e PowerBI. Questi strumenti, per progettazione, non sono gestiti centralmente.
Change Management
Uno dei requisiti chiave per la conformità con la legge è definire i controlli in atto e come registrare sistematicamente le modifiche ai dati o alle applicazioni. In altre parole, la disciplina del Change Management. È necessario monitorare la sicurezza, l'accesso ai dati e al software, nonché se i sistemi IT non funzionano correttamente. La conformità dipende non solo dalla definizione delle politiche e dei processi per salvaguardare l'ambiente, ma anche dal fatto che sia effettivamente attuata e, in definitiva, essere in grado di dimostrare che è stata fatta. Proprio come la catena di custodia delle prove della polizia, il rispetto di Sarbanes-Oxley è forte solo quanto il suo anello più debole.
L'anello debole
Come evangelista dell'analisi, mi addolora dirlo, ma l'anello più debole nella conformità Sarbanes-Oxley è spesso Analytics o Business Intelligence. I leader dell'analisi self-service di cui sopra –Qlik, Tableau e PowerBI – Analisi e reportistica oggi sono di più comunemente fatto nei dipartimenti line-of-business che nell'IT. Ciò è ancor più vero per gli strumenti di Analytics come Qlik, Tableau e PowerBI che hanno perfezionato il modello di BI self-service. La maggior parte dei soldi spesi per la conformità si è concentrata sui sistemi finanziari e contabili. Più recentemente, le aziende hanno giustamente ampliato la preparazione dell'audit ad altri dipartimenti. Ciò che hanno scoperto è che i programmi formali di IT Change Management non erano riusciti a comprendere database o data warehouse/mart con lo stesso rigore utilizzato per applicazioni e sistemi. L'area di conformità delle politiche e procedure di gestione delle modifiche rientra nei Controlli generali ed è raggruppata con altre politiche e procedure IT di test, ripristino di emergenza, backup, ripristino e sicurezza.
Dei tanti passaggi necessari per ottemperare a un audit, uno degli aspetti più spesso trascurati è: “Tieni traccia delle attività con auditing in tempo reale, incluso chi, cosa, dove e quando di tutte le attività dell'operatore e modifiche all'infrastruttura, in particolare quelle che potrebbero essere inappropriate o dannose". Indipendentemente dal fatto che la modifica riguardi le impostazioni di sistema, un'applicazione software o i dati stessi, è necessario mantenere un record che contenga almeno i seguenti elementi:
- Chi ha richiesto il cambio
- Quando è stata eseguita la modifica
- Qual è il cambiamento: una descrizione
- Chi ha approvato la modifica
Altrettanto importante è la registrazione di queste informazioni sulle modifiche ai report e ai dashboard nei sistemi di analisi e business intelligence. Indipendentemente da dove lo strumento Analytics e BI si trovi sul continuum di controllo: il selvaggio West, self-service o gestito centralmente; se fogli di calcolo (brivido), Tableau/Qlik/Power BI o Cognos Analytics: per essere conforme a Sarbanes-Oxley, dovrai registrare queste informazioni di base. Al revisore non importa se stai usando carta e penna o un sistema automatizzato per documentare che i tuoi processi di controllo vengono seguiti. Ammetto che se si utilizzano fogli di calcolo come software "analitico" per prendere decisioni aziendali, è possibile che si utilizzino fogli di calcolo anche per registrare la gestione delle modifiche.
Tuttavia, è probabile che se hai già investito in un sistema di analisi come PowerBI o altri, dovresti cercare modi per automatizzare la registrazione delle modifiche nel tuo sistema di business intelligence e reporting. Per quanto validi, strumenti di analisi pronti all'uso come Tableau, Qlik e PowerBI hanno trascurato di includere report di gestione delle modifiche semplici e verificabili. Fai i tuoi compiti. Trova un modo per automatizzare la documentazione delle modifiche al tuo ambiente di analisi. Ancora meglio, preparati a presentare a un revisore non solo un registro delle modifiche al tuo sistema, ma che le modifiche siano conformi alle politiche e ai processi interni approvati.
Avere la capacità di:
1) dimostrare di avere solide politiche interne,
2) che i tuoi processi documentati li supportino e
3) che la pratica effettiva possa essere confermata
renderà felice qualsiasi auditor. E tutti sanno che se l'auditor è felice, lo sono tutti.
Molte aziende si lamentano dei costi aggiuntivi della conformità e il costo della conformità agli standard SOX può essere elevato. "Questi costi sono più significativi per le imprese più piccole, per le imprese più complesse e per le imprese con minori opportunità di crescita". Il costo per la non conformità può essere anche più alto.
Il rischio di non conformità
Sarbanes-Oxley considera amministratori delegati e direttori responsabili e punibili fino a $ 500,000 e 5 anni di carcere. Il governo non accetta spesso un motivo di ignoranza o incompetenza. Se fossi un CEO, vorrei sicuramente che il mio team fosse in grado di dimostrare di aver aderito alle migliori pratiche e di sapere chi ha eseguito ogni transazione.
Un'altra cosa. Ho detto che Sarbanes-Oxley è per società quotate in borsa. È vero, ma considera come la mancanza di controlli interni e la mancanza di documentazione potrebbero ostacolarti se mai volessi fare un'offerta pubblica.