分析と Sarbanes-Oxley

Qlik、Tableau、PowerBI などのセルフサービス BI ツールを使用して SOX コンプライアンスを管理する

来年、SOX はテキサスでビールを買える年齢になるでしょう。 これは、2002 年のサーベンス オクスリー法である「公開会社会計改革および投資家保護法」から生まれました。 Sarbanes-Oxley は 1933 年の証券法の派生物であり、その主な目的は、企業の財務に透明性を提供することによって投資家を詐欺から保護することでした。 この法律の後継として、Sarbanes-Oxley はこれらの目的を強化し、優れたビジネス プラクティスを通じて説明責任を促進しようとしました。 しかし、多くの若者と同じように、私たちはまだそれを理解しようとしています. XNUMX 年経った今でも、企業はこの法律が具体的にどのような影響を与えるのか、また、コンプライアンスをサポートするためにテクノロジーとシステムの透明性を向上させる最善の方法を理解しようとしています。

責任は誰ですか？

一般に信じられていることとは反対に、Sarbanes-Oxley は金融機関だけ、または財務部門だけに適用されるわけではありません。 その目標は、すべての組織データと関連プロセスの透明性を高めることです。 技術的には、Sarbanes-Oxley は上場企業のみに適用されますが、その要件は健全なビジネスにとって妥当なものです。 この法律は、CEO と CFO に個人的に責任を負わせています。 提示されたデータ。 これらの担当者は、CIO、CDO、および CSO に依存して、データ システムが安全で、整合性があり、コンプライアンスを証明するために必要な情報を提供できることを保証します。 最近では、CIO とその同僚にとって、管理とコンプライアンスがより大きな課題になっています。 多くの組織は、従来の企業向けの IT 管理の分析およびビジネス インテリジェンス システムから離れつつあります。 代わりに、Qlik、Tableau、PowerBI などの基幹業務主導のセルフサービス ツールを採用しています。 これらのツールは、設計上、一元管理されていません。

変更管理

この法律に準拠するための重要な要件の XNUMX つは、適切な管理を定義し、データまたはアプリケーションの変更を体系的に記録する方法を定義することです。 つまり、チェンジ マネジメントの分野です。 IT システムが正常に機能していないかどうかだけでなく、セキュリティ、データ、およびソフトウェア アクセスも監視する必要があります。 コンプライアンスは、環境を保護するためのポリシーとプロセスを定義するだけでなく、実際にそれを実行し、最終的にそれが実行されたことを証明できるかにかかっています。 警察の証拠管理チェーンと同様に、Sarbanes-Oxley への準拠は、その最も弱いリンクと同じくらい強力です。  

弱いリンク

分析のエバンジェリストとして、これを言うのは苦痛ですが、Sarbanes-Oxley コンプライアンスの最も弱いリンクは、多くの場合、分析またはビジネス インテリジェンスです。 上記のセルフサービス分析のリーダー – Qlik、Tableau、PowerBI – 今日の分析とレポート作成はより 通常、IT 部門よりも基幹業務部門で行われます。 これは、セルフサービス BI モデルを完成させた Qlik、Tableau、PowerBI などの分析ツールにさらに当てはまります。 コンプライアンスに費やされるほとんどの費用は、財務および会計システムに集中しています。 最近では、企業は監査の準備を他の部門に拡大しています。 彼らが発見したのは、正式な IT 変更管理プログラムでは、データベースやデータ ウェアハウス/マートを、アプリケーションやシステムに使用されるのと同じ厳密さで取り込めなかったということです。  コンプライアンスの変更管理のポリシーと手順の領域は、一般統制の下にあり、テスト、障害回復、バックアップ、および回復とセキュリティの他の IT ポリシーと手順とグループ化されています。

監査に準拠するために必要な多くの手順の中で、最も見過ごされがちなことの XNUMX つは、次のことです。すべてのオペレーターの活動について、誰が、何を、どこで、いつ行ったかなど、リアルタイムの監査で活動記録を保持します インフラストラクチャの変更、特に不適切または悪意のある可能性のあるもの。」  変更がシステム設定、ソフトウェア アプリケーション、またはデータ自体のいずれであっても、少なくとも次の要素を含む記録を維持する必要があります。

• 誰が変更を要求したか
• 変更を行ったとき
• 変更内容 – 説明
• 誰が変更を承認したか

分析およびビジネス インテリジェンス システムのレポートおよびダッシュボードへの変更に関するこの情報を記録することも同様に重要です。 アナリティクスと BI ツールが制御の連続体のどこにあるかに関係なく、ワイルド ウェスト、セルフサービス、または集中管理されています。 スプレッドシート (身震い)、Tableau/Qlik/Power BI、または Cognos Analytics – Sarbanes-Oxley に準拠するには、この基本情報を記録する必要があります。 監査人は、管理プロセスが順守されていることを文書化するためにペンと紙を使用しているか、自動化されたシステムを使用しているかを気にしません。 ビジネス上の意思決定を行うための「分析」ソフトウェアとしてスプレッドシートを使用している場合は、変更管理の記録にもスプレッドシートを使用している可能性があることは認めます。  

ただし、PowerBI などの分析システムに既に投資している場合は、ビジネス インテリジェンスおよびレポート システムの変更の記録を自動化する方法を探す必要があります。 Tableau、Qlik、PowerBI などのすぐに使用できる分析ツールは、優れた機能を備えていますが、簡単で監査可能な変更管理レポートを含めることを怠っています。 宿題をしなさい。 分析環境への変更の文書化を自動化する方法を見つけてください。 さらに良いことに、システムへの変更のログだけでなく、変更が承認された内部ポリシーとプロセスに準拠していることを監査人に提示する準備をしてください。

次の能力を持つ： 

1) 確固たる社内ポリシーを持っていることを示す 

2) 文書化されたプロセスがそれらをサポートしていること、および 

３）実際の実践が確認できること 

すべての監査人を幸せにします。 そして、監査人が幸せであれば、誰もが幸せであることを誰もが知っています。

多くの企業は、コンプライアンスの追加コストについて不満を漏らしており、SOX 基準へのコンプライアンスのコストは高くなる可能性があります。 「これらのコストは、小規模な企業、より複雑な企業、および成長機会の少ない企業にとってより重要です。」  コンプライアンス違反の代償はさらに高くなる可能性があります。

コンプライアンス違反のリスク

Sarbanes-Oxley は、最高 500,000 ドルおよび 5 年の懲役で CEO および取締役に責任を負わせ、処罰します。 政府は、無知や無能の嘆願を受け入れないことがよくあります。 もし私が CEO だったら、自分のチームがベスト プラクティスを順守し、すべてのトランザクションを誰が実行したかを知っていることを証明できるようにしたいと思うでしょう。 

もう一つ。 Sarbanes-Oxley は上場企業向けだと言いました。 それは事実ですが、株式公開をしたいと思った場合、内部統制の欠如と文書化の欠如がどのように妨げになるかを考えてみてください。