Аналитика және Сарбанес-Оксли
Qlik, Tableau және PowerBI сияқты өзіне-өзі қызмет көрсететін BI құралдарымен SOX сәйкестігін басқару
Келесі жылы SOX Техастағы сыра сатып алуға жеткілікті болады. Ол 2002 жылғы Сарбанес-Оксли заң жобасына демеушілік жасаған сенаторлардың есімдерімен танымал болған «Мемлекеттік компанияның бухгалтерлік есебін реформалау және инвесторларды қорғау туралы заңнан» дүниеге келген. 
Сарбанес-Оксли 1933 жылғы Бағалы қағаздар туралы заңның ұрпағы болды, оның негізгі мақсаты корпоративтік қаржының ашықтығын қамтамасыз ету арқылы инвесторларды алаяқтықтан қорғау болды. Бұл әрекеттің ұрпағы ретінде Сарбанес-Оксли осы мақсаттарды нығайтты және жақсы іскерлік тәжірибелер арқылы жауапкершілікті арттыруға тырысты. Бірақ, көптеген жас ересектер сияқты, біз әлі де оны анықтауға тырысамыз. Жиырма жыл өтсе де, компаниялар әлі де олар үшін актінің салдары қандай екенін, сондай-ақ сәйкестікті қолдау үшін өз технологиялары мен жүйелеріне ашықтықты қалай арттыруға болатынын анықтауға тырысуда.
Кім жауапты?
Танымал пікірге қарамастан, Сарбанес-Оксли тек қаржы институттарына немесе тек қаржы бөліміне ғана қатысты емес. Оның мақсаты - барлық ұйымдық деректер мен байланысты процестердің ашықтығын қамтамасыз ету. Техникалық тұрғыдан алғанда, Сарбанес-Оксли тек ашық түрде сатылатын корпорацияларға қатысты, бірақ оның талаптары кез келген жақсы басқарылатын бизнес үшін жарамды. Заң бас директор мен қаржылық директорды жеке жауапкершілікке жүктейді 
деректер ұсынылды. Бұл офицерлер, өз кезегінде, деректер жүйелерінің қауіпсіз, тұтастығын және сәйкестікті растау үшін қажетті ақпаратты ұсына алуын қамтамасыз ету үшін CIO, CDO және CSO-ға сенеді. Жақында бақылау және сәйкестік CIO және олардың құрдастары үшін күрделірек болды. Көптеген ұйымдар дәстүрлі кәсіпорын, IT басқаратын Analytics және Business Intelligence жүйелерінен бас тартуда. Оның орнына олар Qlik, Tableau және PowerBI сияқты бизнес желісі басқаратын өзіне-өзі қызмет көрсету құралдарын қолданады. Бұл құралдар дизайн бойынша орталықтан басқарылмайды.
Басқаруды өзгерту
Заңға сәйкестікке қойылатын негізгі талаптардың бірі - қолданыстағы бақылауды анықтау және деректердегі немесе қолданбалардағы өзгерістердің жүйелі түрде жазылуын анықтау. Басқаша айтқанда, өзгерістерді басқару пәні. Қауіпсіздікті, деректер мен бағдарламалық құралға қол жеткізуді, сондай-ақ АТ жүйелерінің дұрыс жұмыс істемейтінін бақылау қажет. Сәйкестік қоршаған ортаны қорғау жөніндегі саясаттар мен процестерді анықтауға ғана емес, сонымен бірге оны іс жүзінде орындауға және ақыр соңында оның орындалғанын дәлелдей алуға байланысты. Полицияның қамауда ұстау тізбегі сияқты, Сарбанес-Окслиге сәйкестік оның ең әлсіз буыны сияқты күшті.
Әлсіз сілтеме
Аналитикалық евангелист ретінде бұлай айту маған ауыр тиеді, бірақ Сарбанес-Окслидің сәйкестіктегі ең әлсіз буыны көбінесе Analytics немесе Business Intelligence болып табылады. Жоғарыда аталған өз-өзіне қызмет көрсететін Analytics көшбасшылары – Qlik, Tableau және PowerBI – бүгінгі күні талдау және есеп беру көбірек. 
әдетте АТ-ға қарағанда, салалық бөлімдерде жасалады. Бұл өзіне-өзі қызмет көрсететін BI үлгісін жетілдірген Qlik, Tableau және PowerBI сияқты Analytics құралдарына көбірек қатысты. Сәйкестікке жұмсалған ақшаның көп бөлігі қаржы және есеп жүйелеріне бағытталған. Жақында компаниялар аудитке дайындықты басқа бөлімшелерге де дұрыс кеңейтті. Олар анықтағандай, ресми АТ өзгерістерін басқару бағдарламалары қолданбалар мен жүйелер үшін бірдей қатаңдықпен дерекқорларды немесе деректер қоймаларын/марттарды қамти алмаған. Өзгерістерді басқару саясаттары мен процедураларының сәйкестік аймағы Жалпы басқару элементтеріне жатады және басқа АТ саясаттарымен және тестілеу, апатты қалпына келтіру, сақтық көшірме жасау, қалпына келтіру және қауіпсіздік процедураларымен топтастырылған.
Аудитті орындау үшін қажетті көптеген қадамдардың ішінде жиі назардан тыс қалған нәрселердің бірі: «Кім, не, қайда және қашан оператор әрекетін қоса алғанда, нақты уақыттағы аудит арқылы әрекет ізін сақтаңыз және инфрақұрылымдық өзгерістер, әсіресе орынсыз немесе зиянды болуы мүмкін». Жүйе параметрлеріне, бағдарламалық жасақтамаға немесе деректердің өзіне өзгеріс енгізілсе де, кем дегенде келесі элементтерді қамтитын жазба сақталуы керек:
- Өзгертуді кім сұрады
- Өзгеріс орындалған кезде
- Қандай өзгеріс – сипаттама
- Өзгерісті кім мақұлдады
Analytics және Business Intelligence жүйелеріндегі есептер мен бақылау тақталарына өзгерістер туралы осы ақпаратты жазу да сондай маңызды. Analytics және BI құралы басқарудың континууумында орналасқан жеріне қарамастан – жабайы Батыс, өзіне-өзі қызмет көрсету немесе орталықтан басқарылатын; электрондық кестелер (қалтырау), Tableau/Qlik/Power BI немесе Cognos Analytics – Sarbanes-Oxley-ге сәйкес болу үшін осы негізгі ақпаратты жазып алуыңыз қажет. Аудитор сіздің бақылау процестеріңіз орындалып жатқанын құжаттау үшін қалам мен қағазды немесе автоматтандырылған жүйені пайдаланып жатқаныңызға мән бермейді. Бизнес шешімдерді қабылдау үшін электрондық кестелерді «аналитика» бағдарламалық құралы ретінде пайдалансаңыз, өзгерістерді басқаруды жазу үшін электрондық кестелерді де пайдалануыңыз мүмкін екенін мойындаймын.
Дегенмен, PowerBI немесе басқалар сияқты аналитикалық жүйеге инвестиция салған болсаңыз, іскери сараптау мен есеп беру жүйесіндегі өзгерістерді жазуды автоматтандыру жолдарын іздегеніңіз жөн. Қаншалықты жақсы болса да, Tableau, Qlik, PowerBI сияқты аналитикалық құралдар оңай, тексерілетін өзгерістерді басқару есептерін қосуды елемейді. Үй тапсырмасын орында. Аналитикалық ортаңызға өзгертулер құжаттамасын автоматтандыру жолын табыңыз. Одан да жақсырақ, аудиторға жүйеңіздегі өзгерістер журналын ғана емес, өзгерістер бекітілген ішкі саясаттар мен процестерге сәйкес келетінін ұсынуға дайын болыңыз.
Мүмкіндігі бар:
1) берік ішкі саясатыңыз бар екенін көрсету,
2) құжатталған процестеріңіз оларға қолдау көрсетеді және
3) нақты тәжірибе расталуы мүмкін
кез келген аудиторды қуантады. Аудитор бақытты болса, бәрі де бақытты екенін бәрі біледі.
Көптеген компаниялар сәйкестіктің қосымша шығындарына шағымданады және SOX стандарттарына сәйкестік құны жоғары болуы мүмкін. «Бұл шығындар кішігірім фирмалар үшін, күрделірек фирмалар үшін және өсу мүмкіндіктері төмен фирмалар үшін маңыздырақ». Сәйкес келмеу құны одан да жоғары болуы мүмкін.
Сәйкес келмеу қаупі
Сарбанес-Оксли бас директорлар мен директорларды жауапкершілікке тартады және 500,000 5 долларға дейін және XNUMX жылға бас бостандығынан айырылады. Үкімет надандық немесе қабілетсіздік туралы өтінішті жиі қабылдамайды. Егер мен бас директор болсам, мен өз командамның озық тәжірибелерді ұстанғанымызды және әрбір транзакцияны кім орындағанын білетінімізді дәлелдей алғанын қалар едім.
Тағы бір нәрсе. Мен Сарбанес-Оксли ашық компанияларға арналғанын айттым. Бұл дұрыс, бірақ ішкі бақылаудың жоқтығы мен құжаттаманың жоқтығы, егер сіз қоғамдық ұсыныс жасағыңыз келсе, сізге қалай кедергі келтіруі мүмкін екенін қарастырыңыз.
