אנליטיקס וסרבנס-אוקסלי

ניהול תאימות SOX עם כלי BI בשירות עצמי כמו Qlik, Tableau ו-PowerBI

בשנה הבאה SOX יהיה מבוגר מספיק כדי לקנות בירה בטקסס. זה נולד מתוך "הרפורמה בחשבונאות של החברה הציבורית וחוק הגנת משקיעים", הידוע בחיבה לאחר מכן בשמות הסנאטורים שנתנו חסות להצעת החוק, חוק Sarbanes-Oxley משנת 2002. Sarbanes-Oxley היה צאצא של חוק ניירות ערך משנת 1933 שמטרתו העיקרית הייתה להגן על משקיעים מפני הונאה על ידי מתן שקיפות לכספים של חברות. כצאצא של מעשה זה, סרבנס-אוקסלי חיזקה את המטרות הללו וניסתה לקדם אחריות באמצעות שיטות עסקיות טובות. אבל, כמו מבוגרים צעירים רבים, אנחנו עדיין מנסים להבין את זה. עשרים שנה לאחר מכן, חברות עדיין מנסות להבין מהן ההשלכות של המעשה לגביהן באופן ספציפי, כמו גם כיצד לבנות שקיפות מוגברת בטכנולוגיה ובמערכות שלהן כדי לתמוך בציות.

מי אחראי?

בניגוד למה שנהוג לחשוב, סרבנס-אוקסלי אינה מתייחסת רק למוסדות פיננסיים, או רק למחלקת הכספים. מטרתו היא לספק שקיפות רבה יותר לכל הנתונים הארגוניים והתהליכים הקשורים. מבחינה טכנית, Sarbanes-Oxley חל רק על תאגידים הנסחרים בבורסה, אך הדרישות שלו תקינות עבור כל עסק מנוהל היטב. החוק הופך את המנכ"ל וסמנכ"ל הכספים אחראים אישית על נתונים שהוצגו. קצינים אלה מסתמכים, בתורם, על ה-CIO, CDO ו-CSO כדי להבטיח שמערכות הנתונים מאובטחות, בעלות שלמות ומסוגלות לספק מידע הדרוש להוכחת תאימות. לאחרונה, שליטה ותאימות הפכו לאתגר יותר עבור מנהלי ה-CIO וחבריהם. ארגונים רבים מתרחקים ממערכות ארגוניות מסורתיות, מנוהלות IT ומערכות בינה עסקית. במקום זאת, הם מאמצים כלי שירות עצמי המופעלים על ידי קו עסקים כמו Qlik, Tableau ו-PowerBI. הכלים הללו, לפי תכנון, אינם מנוהלים באופן מרכזי.

שינוי הנהלה

אחת הדרישות המרכזיות לעמידה בחוק היא להגדיר את הבקרות במקום וכיצד יש לתעד שינויים בנתונים או ביישומים באופן שיטתי. במילים אחרות, הדיסציפלינה של ניהול שינויים. יש לפקח על גישה לאבטחה, לנתונים ולתוכנה, כמו גם אם מערכות IT אינן פועלות כראוי. תאימות תלויה לא רק בהגדרת המדיניות והתהליכים לשמירה על הסביבה, אלא גם בעשייתה בפועל ובסופו של דבר להיות מסוגלת להוכיח שזה נעשה. בדיוק כמו שרשרת הראיות המשטרתית, הציות ל-Sarbanes-Oxley חזק רק כמו החוליה החלשה ביותר שלה.  

החוליה החלשה

כאוונגליסט אנליטי, כואב לי לומר זאת, אבל החוליה החלשה ביותר בתאימות של Sarbanes-Oxley היא לעתים קרובות אנליטיקה או בינה עסקית. המובילים באנליטיקס בשירות עצמי שהוזכרו לעיל - Qlik, Tableau ו- PowerBI - ניתוח ודיווח היום הם יותר נעשה בדרך כלל במחלקות תחום עסקיות מאשר ב-IT. זה נכון עוד יותר לגבי כלי אנליטיקס כמו Qlik, Tableau ו-PowerBI ששיכללו את מודל ה-BI בשירות עצמי. רוב הכסף שהוצא על ציות התמקד במערכות פיננסיות וחשבונאיות. לאחרונה, חברות הרחיבו בצדק את ההכנה לביקורת למחלקות אחרות. מה שהם מצאו היה שתוכניות ניהול שינויים פורמליות ב-IT לא הצליחו להקיף מסדי נתונים או מחסני נתונים/שוקים באותה הקפדה המשמשת עבור יישומים ומערכות.  תחום המדיניות והנהלים של ניהול שינויים נופל תחת בקרות כלליות ומקובץ עם מדיניות ונהלי IT אחרים של בדיקות, התאוששות מאסון, גיבוי ושחזור ואבטחה.

מבין השלבים הרבים הנדרשים כדי לעמוד בביקורת, אחד הדברים שהכי מתעלמים ממנו הוא: "שמור על נתיב פעילות עם ביקורת בזמן אמת, כולל מי, מה, איפה ומתי של כל פעילות המפעיל ושינויי תשתית, במיוחד אלה שעלולים להיות בלתי הולמים או זדוניים".  בין אם השינוי הוא בהגדרות מערכת, ביישום תוכנה או בנתונים עצמם, יש לשמור רישום המכיל, לכל הפחות, את המרכיבים הבאים:

• מי ביקש את השינוי
• מתי בוצע השינוי
• מה השינוי - תיאור
• מי אישר את השינוי

רישום מידע זה על שינויים בדוחות ובמרכזי שליטה במערכות ה-Analytics וה-Business Intelligence שלך ​​חשוב לא פחות. לא משנה היכן נמצא כלי ה-Analytics וה-BI על רצף השליטה - המערב הפרוע, בשירות עצמי או בניהול מרכזי; בין אם גיליונות אלקטרוניים (רַעַד), Tableau/Qlik/Power BI, או Cognos Analytics - כדי לעמוד בדרישות של Sarbanes-Oxley, תצטרך לתעד את המידע הבסיסי הזה. למבקר לא אכפת אם אתה משתמש בעט ובנייר או במערכת אוטומטית כדי לתעד שעוקבים אחר תהליכי הבקרה שלך. אני מודה שאם אתה משתמש בגיליונות אלקטרוניים בתור תוכנת ה"אנליטיקה" שלך כדי לקבל החלטות עסקיות, ייתכן שאתה גם משתמש בגיליונות אלקטרוניים כדי לתעד את ניהול השינויים.  

עם זאת, רוב הסיכויים שאם כבר השקעתם במערכת אנליטיקה כמו PowerBI, או אחרות, אתם צריכים לחפש דרכים לבצע אוטומציה של רישום השינויים במערכת הבינה העסקית והדיווח שלכם. עד כמה שהם טובים, מחוץ לקופסה, כלי ניתוח כמו Tableau, Qlik, PowerBI הזניחו לכלול דיווח ניהול שינויים קל וניתן לביקורת. תעשה שיעורי בית. מצא דרך להפוך את התיעוד של השינויים בסביבת הניתוח שלך לאוטומטית. אפילו טוב יותר, היה מוכן להציג בפני מבקר, לא רק יומן של שינויים במערכת שלך, אלא שהשינויים תואמים למדיניות ותהליכים פנימיים מאושרים.

בעל יכולת: 

1) להוכיח שיש לך מדיניות פנימית מוצקה, 

2) שהתהליכים המתועדים שלך תומכים בהם, וכן 

3) שניתן לאשר בפועל בפועל 

ישמח כל מבקר. וכולם יודעים שאם המבקר מאושר, כולם מרוצים.

חברות רבות מתלוננות על העלויות הנוספות של ציות, ועלות העמידה בתקני SOX יכולה להיות גבוהה. "עלויות אלו משמעותיות יותר עבור חברות קטנות יותר, עבור חברות מורכבות יותר ועבור חברות עם הזדמנויות צמיחה נמוכות יותר."  העלות בגין אי ציות יכולה להיות אפילו גבוהה יותר.

הסיכון של אי ציות

Sarbanes-Oxley מטיל דין וחשבון על מנכ"לים ודירקטורים ועונשם עד 500,000 דולר ו-5 שנות מאסר. הממשלה לא מרבה לקבל תחינה של בורות או חוסר יכולת. אם הייתי מנכ"ל, בוודאי הייתי רוצה שהצוות שלי יוכל להוכיח שדבקנו בשיטות העבודה המומלצות וידענו מי ביצע כל עסקה. 

עוד דבר אחד. אמרתי שסרבנס-אוקסלי מיועד לחברות ציבוריות. זה נכון, אבל תחשבו איך היעדר בקרות פנימיות והיעדר תיעוד עלולים להפריע לכם אם אי פעם תרצו להציע הנפקה לציבור.