ანალიტიკა და სარბანეს-ოქსლი

SOX შესაბამისობის მართვა თვითმომსახურების BI ინსტრუმენტებთან, როგორიცაა Qlik, Tableau და PowerBI

მომავალ წელს SOX საკმარისად ძველი იქნება ტეხასში ლუდის შესაძენად. იგი წარმოიშვა „საჯარო კომპანიების ბუღალტრული აღრიცხვის რეფორმისა და ინვესტორების დაცვის აქტიდან“, რომელიც მას შემდეგ სიყვარულით იყო ცნობილი სენატორების სახელებით, რომლებიც აფინანსებდნენ კანონპროექტს, 2002 წლის სარბანეს-ოქსლის აქტი. სარბანეს-ოქსლი იყო 1933 წლის ფასიანი ქაღალდების აქტის შთამომავალი, რომლის მთავარი მიზანი იყო ინვესტორების დაცვა თაღლითობისგან კორპორატიული ფინანსების გამჭვირვალობის უზრუნველყოფის გზით. როგორც ამ აქტის შთამომავალი, სარბანეს-ოქსლიმ გააძლიერა ეს მიზნები და ცდილობდა დაეხმარა ანგარიშვალდებულებას კარგი ბიზნეს პრაქტიკის საშუალებით. მაგრამ, როგორც ბევრი ახალგაზრდა, ჩვენ მაინც ვცდილობთ ამის გარკვევას. ოცი წლის შემდეგ, კომპანიები ჯერ კიდევ ცდილობენ გაარკვიონ, რა გავლენას მოახდენს მათზე აქტი, ისევე როგორც, როგორ უკეთესად დაამყარონ გამჭვირვალობა თავიანთ ტექნოლოგიასა და სისტემებში შესაბამისობის მხარდასაჭერად.

ვინ არის პასუხისმგებელი?

პოპულარული რწმენის საწინააღმდეგოდ, Sarbanes-Oxley არ ვრცელდება მხოლოდ ფინანსურ ინსტიტუტებზე, ან მხოლოდ ფინანსურ დეპარტამენტზე. მისი მიზანია უზრუნველყოს მეტი გამჭვირვალობა ყველა ორგანიზაციულ მონაცემსა და მასთან დაკავშირებულ პროცესებში. ტექნიკურად, Sarbanes-Oxley ვრცელდება მხოლოდ საჯარო ვაჭრობის მქონე კორპორაციებზე, მაგრამ მისი მოთხოვნები მტკიცეა ნებისმიერი კარგად მართული ბიზნესისთვის. აქტი აღმასრულებელ დირექტორსა და ფინანსურ ფინანსურ პასუხისმგებლობას აკისრებს წარმოდგენილი მონაცემები. ეს ოფიცრები, თავის მხრივ, ეყრდნობიან CIO-ს, CDO-ს და CSO-ს, რათა უზრუნველყონ მონაცემთა სისტემების უსაფრთხოება, მთლიანობა და შეძლებენ უზრუნველყონ შესაბამისობის დასადასტურებლად საჭირო ინფორმაცია. ბოლო დროს, კონტროლი და შესაბამისობა უფრო გამოწვევად იქცა CIO-სთვის და მათი თანატოლებისთვის. ბევრი ორგანიზაცია შორდება ტრადიციულ საწარმოს, IT-ით მართულ ანალიტიკას და ბიზნეს დაზვერვის სისტემებს. ამის ნაცვლად, ისინი იყენებენ ბიზნესის ხელმძღვანელობით თვითმომსახურების ინსტრუმენტებს, როგორიცაა Qlik, Tableau და PowerBI. ეს ხელსაწყოები, დიზაინის მიხედვით, არ იმართება ცენტრალურად.

ცვლილების მართვა

აქტთან შესაბამისობის ერთ-ერთი მთავარი მოთხოვნაა მოქმედი კონტროლის განსაზღვრა და მონაცემების ან აპლიკაციების ცვლილებების სისტემატიურად აღრიცხვა. სხვა სიტყვებით რომ ვთქვათ, ცვლილებების მართვის დისციპლინა. უსაფრთხოების, მონაცემებისა და პროგრამული უზრუნველყოფის ხელმისაწვდომობის მონიტორინგი უნდა მოხდეს, ისევე, როგორც IT სისტემები არ ფუნქციონირებს გამართულად. შესაბამისობა დამოკიდებულია არა მხოლოდ გარემოს დაცვის პოლიტიკისა და პროცესების განსაზღვრაზე, არამედ რეალურად ამის გაკეთებაზე და, საბოლოო ჯამში, იმის დამტკიცებაზე, რომ ეს გაკეთდა. ისევე, როგორც პოლიციის მტკიცებულებათა დაკავების ჯაჭვი, სარბანეს-ოქსლის შესაბამისობა ისეთივე ძლიერია, როგორც მისი ყველაზე სუსტი რგოლი.  

სუსტი რგოლი

როგორც ანალიტიკოსი ევანგელისტი, მტკივნეულია ამის თქმა, მაგრამ Sarbanes-Oxley-ის შესაბამისობაში ყველაზე სუსტი რგოლი ხშირად არის ანალიტიკა ან ბიზნეს დაზვერვა. ზემოთ ნახსენები თვითმომსახურების ანალიტიკის ლიდერები - Qlik, Tableau და PowerBI - ანალიზი და მოხსენება დღეს უფრო მეტია ჩვეულებრივ კეთდება ბიზნესის განყოფილებებში, ვიდრე IT-ში. ეს კიდევ უფრო ეხება ანალიტიკის ინსტრუმენტებს, როგორიცაა Qlik, Tableau და PowerBI, რომლებმაც დაასრულეს თვითმომსახურების BI მოდელი. შესაბამისობაზე დახარჯული თანხის უმეტესი ნაწილი ფოკუსირებულია ფინანსურ და სააღრიცხვო სისტემებზე. ახლახან კომპანიებმა მართებულად გააფართოვეს აუდიტის მომზადება სხვა დეპარტამენტებზე. მათ აღმოაჩინეს, რომ IT ცვლილების მართვის ფორმალური პროგრამები ვერ მოიცავდა მონაცემთა ბაზებს ან მონაცემთა საწყობებს/მარტებს იგივე სიმკაცრით, რომლებიც გამოიყენება აპლიკაციებისა და სისტემებისთვის.  ცვლილებების მართვის პოლიტიკისა და პროცედურების შესაბამისობის სფერო ექვემდებარება გენერალურ კონტროლს და დაჯგუფებულია სხვა IT პოლიტიკასთან და პროცედურებთან ტესტირების, კატასტროფის აღდგენის, სარეზერვო და აღდგენისა და უსაფრთხოების პროცედურებთან.

აუდიტის შესასრულებლად საჭირო მრავალი ნაბიჯიდან, ერთ-ერთი ყველაზე ხშირად შეუმჩნეველი არის: ”შეინახეთ აქტივობების ბილიკი რეალურ დროში აუდიტით, მათ შორის, ვინ, რა, სად და როდის ყველა ოპერატორის საქმიანობის შესახებ და ინფრასტრუქტურის ცვლილებები, განსაკუთრებით ის, რაც შეიძლება იყოს შეუსაბამო ან მავნე“.  იქნება ეს ცვლილება სისტემის პარამეტრებში, პროგრამულ აპლიკაციაში ან თავად მონაცემებში, უნდა იყოს შენახული ჩანაწერი, რომელიც შეიცავს მინიმუმ შემდეგ ელემენტებს:

• ვინც ცვლილებას ითხოვდა
• როცა ცვლილება შესრულდა
• რა არის ცვლილება - აღწერა
• ვინ დაამტკიცა ცვლილება

თქვენი ანალიტიკისა და ბიზნეს დაზვერვის სისტემებში ანგარიშებისა და დაფების ცვლილებების შესახებ ინფორმაციის ჩაწერა ისეთივე მნიშვნელოვანია. იმისდა მიუხედავად, თუ სად არის ანალიტიკა და BI ინსტრუმენტი კონტროლის კონტინუუმზე – ველური დასავლეთი, თვითმომსახურება თუ ცენტრალიზებული მართვა; ცხრილები (კანკალებს), Tableau/Qlik/Power BI, ან Cognos Analytics – Sarbanes-Oxley-თან შესაბამისობაში რომ იყოთ, თქვენ უნდა ჩაწეროთ ეს ძირითადი ინფორმაცია. აუდიტორს არ აინტერესებს, იყენებთ თუ არა კალამი და ქაღალდი ან ავტომატიზირებულ სისტემას თქვენი კონტროლის პროცესების დადასტურებისთვის. ვაღიარებ, რომ თუ თქვენ იყენებთ ცხრილებს, როგორც თქვენს „ანალიტიკური“ პროგრამულ უზრუნველყოფას ბიზნეს გადაწყვეტილებების მისაღებად, შესაძლოა ასევე გამოიყენოთ ცხრილები ცვლილებების მართვის ჩასაწერად.  

თუმცა, კარგია იმის შანსი, რომ თუ თქვენ უკვე ჩადეთ ინვესტიცია ანალიტიკურ სისტემაში, როგორიცაა PowerBI, ან სხვა, უნდა ეძებოთ გზები თქვენი ბიზნეს ინტელექტისა და ანგარიშგების სისტემაში ცვლილებების ჩაწერის ავტომატიზაციისთვის. რაც არ უნდა კარგი იყოს, ანალიტიკური ინსტრუმენტები, როგორიცაა Tableau, Qlik, PowerBI, უგულებელყოფილია ცვლილებების მართვის მარტივი, აუდიტორული ანგარიშების შეტანა. Გააკეთე დავალება. იპოვეთ გზა თქვენი ანალიტიკური გარემოში ცვლილებების დოკუმენტაციის ავტომატიზაციისთვის. კიდევ უკეთესი, მზად იყავით აუდიტორს წარუდგინოთ არა მხოლოდ თქვენი სისტემის ცვლილებების ჟურნალი, არამედ რომ ცვლილებები შეესაბამებოდეს დამტკიცებულ შიდა პოლიტიკას და პროცესებს.

უნარი აქვს: 

1) აჩვენეთ, რომ გაქვთ მყარი შიდა პოლიტიკა, 

2) რომ თქვენი დოკუმენტირებული პროცესები მხარს უჭერს მათ და 

3) რომ რეალური პრაქტიკა შეიძლება დადასტურდეს 

გაახარებს ნებისმიერ აუდიტორს. და ყველამ იცის, რომ თუ აუდიტორი ბედნიერია, ყველა ბედნიერია.

ბევრი კომპანია უჩივის შესაბამისობის დამატებით ხარჯებს და SOX სტანდარტებთან შესაბამისობის ღირებულება შეიძლება იყოს მაღალი. ”ეს ხარჯები უფრო მნიშვნელოვანია მცირე ფირმებისთვის, უფრო რთული ფირმებისთვის და დაბალი ზრდის შესაძლებლობების მქონე ფირმებისთვის.”  შეუსაბამობის ღირებულება შეიძლება კიდევ უფრო მაღალი იყოს.

შეუსაბამობის რისკი

სარბანეს-ოქსლი აღმასრულებელ დირექტორებსა და დირექტორებს აკისრებს პასუხისმგებლობას და ისჯება 500,000 5 დოლარამდე და XNUMX წლით თავისუფლების აღკვეთით. ხელისუფლება ხშირად არ იღებს უცოდინრობის ან არაკომპეტენტურობის ბრალდებას. მე რომ აღმასრულებელი დირექტორი ვიყო, აუცილებლად ვისურვებდი, რომ ჩემს გუნდს შეეძლო დაემტკიცებინა, რომ ჩვენ ვიცავდით საუკეთესო პრაქტიკას და ვიცოდით, ვინ შეასრულა ყველა ტრანზაქცია. 

Კიდევ ერთი რამ. მე ვთქვი, რომ Sarbanes-Oxley არის საჯარო ვაჭრობის კომპანიები. ეს მართალია, მაგრამ გაითვალისწინეთ, როგორ შეიძლება შეგაფერხოთ შიდა კონტროლის ნაკლებობამ და დოკუმენტაციის ნაკლებობამ, თუ ოდესმე გინდოდათ საჯარო შეთავაზების გაკეთება.