ການວິເຄາະແລະ Sarbanes-Oxley
ການຄຸ້ມຄອງການປະຕິບັດຕາມ SOX ກັບເຄື່ອງມື BI ທີ່ໃຫ້ບໍລິການຕົນເອງເຊັ່ນ Qlik, Tableau ແລະ PowerBI
ໃນປີຫນ້າ SOX ຈະມີອາຍຸພຽງພໍທີ່ຈະຊື້ເບຍໃນ Texas. ມັນເກີດມາຈາກ "ການປະຕິຮູບການບັນຊີຂອງບໍລິສັດສາທາລະນະແລະກົດຫມາຍວ່າດ້ວຍການປົກປ້ອງນັກລົງທຶນ", ເປັນທີ່ຮູ້ຈັກຢ່າງຮັກແພງຫຼັງຈາກນັ້ນໂດຍຊື່ຂອງສະມາຊິກວຽງຈັນຝົນຜູ້ທີ່ສະຫນັບສະຫນູນບັນຊີລາຍການ, ກົດຫມາຍວ່າດ້ວຍ Sarbanes-Oxley ຂອງ 2002. Sarbanes-Oxley ແມ່ນລູກຫລານຂອງກົດຫມາຍຫຼັກຊັບຂອງປີ 1933 ທີ່ມີຈຸດປະສົງຕົ້ນຕໍເພື່ອປົກປ້ອງນັກລົງທຶນຈາກການສໍ້ໂກງໂດຍການສະຫນອງຄວາມໂປ່ງໃສໃນການເງິນຂອງບໍລິສັດ. ໃນຖານະເປັນລູກຫລານຂອງການກະທໍານັ້ນ, Sarbanes-Oxley ໄດ້ເສີມຂະຫຍາຍຈຸດປະສົງເຫຼົ່ານັ້ນແລະພະຍາຍາມສົ່ງເສີມຄວາມຮັບຜິດຊອບໂດຍຜ່ານການປະຕິບັດທຸລະກິດທີ່ດີ. ແຕ່, ຄືກັນກັບຜູ້ໃຫຍ່ຫຼາຍຄົນ, ພວກເຮົາຍັງພະຍາຍາມຊອກຫາມັນ. XNUMX ປີຕໍ່ມາ, ບໍລິສັດຍັງພະຍາຍາມຊອກຫາສິ່ງທີ່ຜົນກະທົບຂອງການກະທໍາແມ່ນສໍາລັບພວກເຂົາໂດຍສະເພາະ, ເຊັ່ນດຽວກັນກັບວິທີການທີ່ດີທີ່ສຸດທີ່ຈະສ້າງຄວາມໂປ່ງໃສທີ່ເພີ່ມຂຶ້ນໃນເຕັກໂນໂລຢີແລະລະບົບຂອງພວກເຂົາເພື່ອສະຫນັບສະຫນູນການປະຕິບັດຕາມ.
ໃຜຮັບຜິດຊອບ?
ກົງກັນຂ້າມກັບຄວາມເຊື່ອທີ່ນິຍົມ, Sarbanes-Oxley ບໍ່ໄດ້ໃຊ້ພຽງແຕ່ກັບສະຖາບັນການເງິນ, ຫຼືພຽງແຕ່ພະແນກການເງິນເທົ່ານັ້ນ. ເປົ້າໝາຍຂອງມັນແມ່ນເພື່ອໃຫ້ມີຄວາມໂປ່ງໃສຫຼາຍຂຶ້ນໃນທຸກຂໍ້ມູນອົງກອນ ແລະຂະບວນການທີ່ກ່ຽວຂ້ອງ. ທາງດ້ານເທກນິກ, Sarbanes-Oxley ນໍາໃຊ້ກັບບໍລິສັດທີ່ມີການຊື້ຂາຍສາທາລະນະເທົ່ານັ້ນ, ແຕ່ຂໍ້ກໍານົດຂອງມັນແມ່ນດີສໍາລັບທຸລະກິດທີ່ດໍາເນີນດີ. ກົດຫມາຍວ່າດ້ວຍເຮັດໃຫ້ CEO ແລະ CFO ຮັບຜິດຊອບສ່ວນບຸກຄົນສໍາລັບການ ຂໍ້ມູນນໍາສະເຫນີ. ໃນທາງກົງກັນຂ້າມ, ເຈົ້າຫນ້າທີ່ເຫຼົ່ານີ້ອີງໃສ່ CIO, CDO ແລະ CSO ເພື່ອຮັບປະກັນວ່າລະບົບຂໍ້ມູນມີຄວາມປອດໄພ, ມີຄວາມຊື່ສັດແລະສາມາດສະຫນອງຂໍ້ມູນທີ່ຈໍາເປັນເພື່ອພິສູດການປະຕິບັດຕາມ. ບໍ່ດົນມານີ້, ການຄວບຄຸມແລະການປະຕິບັດຕາມໄດ້ກາຍເປັນສິ່ງທ້າທາຍຫຼາຍຂຶ້ນສໍາລັບ CIOs ແລະເພື່ອນມິດຂອງພວກເຂົາ. ອົງການຈັດຕັ້ງຈໍານວນຫຼາຍກໍາລັງຍ້າຍອອກໄປຈາກວິສາຫະກິດແບບດັ້ງເດີມ, IT-managed Analytics ແລະລະບົບ Business Intelligence. ແທນທີ່ຈະ, ພວກເຂົາກໍາລັງໃຊ້ເຄື່ອງມືການບໍລິການຕົນເອງທີ່ນໍາພາທາງທຸລະກິດເຊັ່ນ Qlik, Tableau ແລະ PowerBI. ເຄື່ອງມືເຫຼົ່ານີ້, ໂດຍການອອກແບບ, ບໍ່ໄດ້ຖືກຄຸ້ມຄອງໂດຍສູນກາງ.
ປ່ຽນການຄຸ້ມຄອງ
ຫນຶ່ງໃນຂໍ້ກໍານົດທີ່ສໍາຄັນສໍາລັບການປະຕິບັດຕາມກົດຫມາຍແມ່ນກໍານົດການຄວບຄຸມໃນສະຖານທີ່ແລະວິທີການການປ່ຽນແປງຂໍ້ມູນຫຼືຄໍາຮ້ອງສະຫມັກຄວນໄດ້ຮັບການບັນທຶກເປັນລະບົບ. ໃນຄໍາສັບຕ່າງໆອື່ນໆ, ລະບຽບວິໄນຂອງການຄຸ້ມຄອງການປ່ຽນແປງ. ຄວາມປອດໄພ, ຂໍ້ມູນແລະການເຂົ້າເຖິງຊອບແວຈໍາເປັນຕ້ອງໄດ້ຮັບການຕິດຕາມ, ເຊັ່ນດຽວກັນ, ບໍ່ວ່າລະບົບ IT ບໍ່ໄດ້ເຮັດວຽກຢ່າງຖືກຕ້ອງ. ການປະຕິບັດຕາມບໍ່ພຽງແຕ່ກໍານົດນະໂຍບາຍແລະຂະບວນການເພື່ອປົກປ້ອງສິ່ງແວດລ້ອມເທົ່ານັ້ນ, ແຕ່ຍັງປະຕິບັດຕົວຈິງແລະສຸດທ້າຍສາມາດພິສູດໄດ້ວ່າມັນໄດ້ເຮັດແລ້ວ. ເຊັ່ນດຽວກັບຫຼັກຖານຂອງຕໍາຫຼວດລະບົບຕ່ອງໂສ້ການຄຸມຂັງ, ການປະຕິບັດຕາມ Sarbanes-Oxley ແມ່ນເຂັ້ມແຂງເທົ່າກັບການເຊື່ອມຕໍ່ທີ່ອ່ອນແອທີ່ສຸດ.
ການເຊື່ອມຕໍ່ທີ່ອ່ອນແອ
ໃນຖານະເປັນນັກປະກາດຂ່າວການວິເຄາະ, ມັນເຮັດໃຫ້ຂ້ອຍເຈັບປວດທີ່ຈະເວົ້າເລື່ອງນີ້, ແຕ່ການເຊື່ອມຕໍ່ທີ່ອ່ອນແອທີ່ສຸດໃນການປະຕິບັດຕາມ Sarbanes-Oxley ມັກຈະເປັນ Analytics ຫຼື Business Intelligence. ຜູ້ນໍາໃນການວິເຄາະແບບບໍລິການຕົນເອງທີ່ໄດ້ກ່າວມາຂ້າງເທິງ -Qlik, Tableau ແລະ PowerBI - ການວິເຄາະແລະການລາຍງານໃນມື້ນີ້ແມ່ນມີຫຼາຍຂຶ້ນ. ໂດຍທົ່ວໄປແລ້ວເຮັດຢູ່ໃນສາຍຂອງພະແນກທຸລະກິດກ່ວາໃນ IT. ນີ້ແມ່ນຄວາມຈິງຫຼາຍກວ່າເກົ່າຂອງເຄື່ອງມືການວິເຄາະເຊັ່ນ Qlik, Tableau ແລະ PowerBI ເຊິ່ງເຮັດໃຫ້ຮູບແບບ BI ການບໍລິການຕົນເອງສົມບູນແບບ. ເງິນສ່ວນໃຫຍ່ທີ່ໃຊ້ໃນການປະຕິບັດຕາມໄດ້ສຸມໃສ່ລະບົບການເງິນແລະບັນຊີ. ຫວ່າງມໍ່ໆມານີ້, ບັນດາບໍລິສັດໄດ້ຂະຫຍາຍການກະກຽມການກວດກາຢ່າງຖືກຕ້ອງໄປຍັງກົມອື່ນໆ. ສິ່ງທີ່ພວກເຂົາພົບເຫັນແມ່ນວ່າໂຄງການການຄຸ້ມຄອງການປ່ຽນແປງ IT ຢ່າງເປັນທາງການໄດ້ລົ້ມເຫລວໃນການລວມເອົາຖານຂໍ້ມູນຫຼືຄັງຂໍ້ມູນ / marts ດ້ວຍຄວາມເຄັ່ງຄັດດຽວກັນທີ່ໃຊ້ສໍາລັບແອັບພລິເຄຊັນແລະລະບົບ. ນະໂຍບາຍການຄຸ້ມຄອງການປ່ຽນແປງ ແລະຂັ້ນຕອນການປະຕິບັດຕາມແມ່ນຢູ່ພາຍໃຕ້ການຄວບຄຸມທົ່ວໄປ ແລະຖືກຈັດເປັນກຸ່ມກັບນະໂຍບາຍ IT ແລະຂັ້ນຕອນການທົດສອບອື່ນໆ, ການຟື້ນຟູໄພພິບັດ, ການສຳຮອງ, ແລະການຟື້ນຕົວ ແລະຄວາມປອດໄພ.
ໃນຫຼາຍຂັ້ນຕອນທີ່ຕ້ອງການເພື່ອປະຕິບັດຕາມການກວດສອບ, ຫນຶ່ງໃນສິ່ງທີ່ມັກຈະຖືກມອງຂ້າມແມ່ນ: "ຕິດຕາມການເຄື່ອນໄຫວດ້ວຍການກວດສອບແບບສົດໆ, ລວມທັງໃຜ, ຫຍັງ, ຢູ່ໃສ ແລະເວລາໃດຂອງການເຄື່ອນໄຫວຂອງຜູ້ປະຕິບັດງານທັງໝົດ ແລະການປ່ຽນແປງພື້ນຖານໂຄງລ່າງ, ໂດຍສະເພາະແມ່ນສິ່ງທີ່ບໍ່ເໝາະສົມ ຫຼືເປັນອັນຕະລາຍ.” ບໍ່ວ່າຈະເປັນການປ່ຽນແປງຂອງການຕັ້ງຄ່າລະບົບ, ຄໍາຮ້ອງສະຫມັກຊອບແວ, ຫຼືຂໍ້ມູນຕົວມັນເອງ, ບັນທຶກຕ້ອງໄດ້ຮັບການຮັກສາໄວ້, ຢ່າງຫນ້ອຍອົງປະກອບດັ່ງຕໍ່ໄປນີ້:
- ຜູ້ທີ່ຮ້ອງຂໍການປ່ຽນແປງ
- ໃນເວລາທີ່ການປ່ຽນແປງໄດ້ຖືກປະຕິບັດ
- ການປ່ຽນແປງແມ່ນຫຍັງ - ຄໍາອະທິບາຍ
- ຜູ້ທີ່ອະນຸມັດການປ່ຽນແປງ
ການບັນທຶກຂໍ້ມູນນີ້ກ່ຽວກັບການປ່ຽນແປງບົດລາຍງານແລະ dashboards ໃນລະບົບ Analytics ແລະ Business Intelligence ຂອງທ່ານແມ່ນມີຄວາມສໍາຄັນເຊັ່ນດຽວກັນ. ໂດຍບໍ່ຄໍານຶງເຖິງບ່ອນທີ່ເຄື່ອງມືການວິເຄາະແລະ BI ຢູ່ໃນການຄວບຄຸມຢ່າງຕໍ່ເນື່ອງ - Wild West, ການບໍລິການຕົນເອງ, ຫຼືການຄຸ້ມຄອງສູນກາງ; ບໍ່ວ່າຈະເປັນຕາຕະລາງ (ສັ່ນ), Tableau/Qlik/Power BI, ຫຼື Cognos Analytics – ເພື່ອໃຫ້ສອດຄ່ອງກັບ Sarbanes-Oxley, ທ່ານຈະຕ້ອງບັນທຶກຂໍ້ມູນພື້ນຖານນີ້. ຜູ້ກວດສອບບໍ່ສົນໃຈວ່າທ່ານກໍາລັງໃຊ້ປາກກາແລະເຈ້ຍຫຼືລະບົບອັດຕະໂນມັດເພື່ອບັນທຶກວ່າຂະບວນການຄວບຄຸມຂອງທ່ານຖືກປະຕິບັດຕາມ. ຂ້ອຍຍອມຮັບວ່າຖ້າທ່ານໃຊ້ສະເປຣດຊີດເປັນຊອບແວ "ການວິເຄາະ" ຂອງທ່ານໃນການຕັດສິນໃຈທາງທຸລະກິດ, ທ່ານອາດຈະໃຊ້ສະເປຣດຊີດເພື່ອບັນທຶກການຈັດການການປ່ຽນແປງ.
ຢ່າງໃດກໍ່ຕາມ, ໂອກາດດີຖ້າທ່ານໄດ້ລົງທຶນໃນລະບົບການວິເຄາະເຊັ່ນ PowerBI, ຫຼືອື່ນໆ, ທ່ານຄວນຊອກຫາວິທີທີ່ຈະບັນທຶກການປ່ຽນແປງໃນລະບົບທຸລະກິດແລະລະບົບການລາຍງານໂດຍອັດຕະໂນມັດ. ຄືກັນກັບພວກເຂົາ, ເຄື່ອງມືການວິເຄາະນອກລະບົບເຊັ່ນ Tableau, Qlik, PowerBI ໄດ້ຖືກລະເລີຍທີ່ຈະລວມເອົາການລາຍງານການຄຸ້ມຄອງການປ່ຽນແປງທີ່ງ່າຍແລະສາມາດກວດສອບໄດ້. ເຮັດວຽກບ້ານຂອງເຈົ້າ. ຊອກຫາວິທີທີ່ຈະອັດຕະໂນມັດເອກະສານຂອງການປ່ຽນແປງໃນສະພາບແວດລ້ອມການວິເຄາະຂອງທ່ານ. ດີກວ່າ, ຈົ່ງກຽມພ້ອມທີ່ຈະນໍາສະເຫນີຕໍ່ຜູ້ກວດສອບ, ບໍ່ພຽງແຕ່ບັນທຶກການປ່ຽນແປງໃນລະບົບຂອງເຈົ້າ, ແຕ່ການປ່ຽນແປງທີ່ສອດຄ່ອງກັບນະໂຍບາຍແລະຂະບວນການພາຍໃນທີ່ໄດ້ຮັບການອະນຸມັດ.
ມີຄວາມສາມາດທີ່ຈະ:
1) ສະແດງໃຫ້ເຫັນວ່າທ່ານມີນະໂຍບາຍພາຍໃນທີ່ແຂງ,
2) ວ່າຂະບວນການເອກະສານຂອງທ່ານສະຫນັບສະຫນູນໃຫ້ເຂົາເຈົ້າ, ແລະ
3) ການປະຕິບັດຕົວຈິງນັ້ນສາມາດຢືນຢັນໄດ້
ຈະເຮັດໃຫ້ຜູ້ກວດສອບໃດມີຄວາມສຸກ. ແລະ, ທຸກຄົນຮູ້ວ່າຖ້າຜູ້ກວດສອບມີຄວາມສຸກ, ທຸກຄົນມີຄວາມສຸກ.
ບໍລິສັດຈໍານວນຫຼາຍຈົ່ມກ່ຽວກັບຄ່າໃຊ້ຈ່າຍເພີ່ມເຕີມຂອງການປະຕິບັດຕາມ, ແລະຄ່າໃຊ້ຈ່າຍຂອງການປະຕິບັດຕາມມາດຕະຖານ SOX ສາມາດສູງ. "ຄ່າໃຊ້ຈ່າຍເຫຼົ່ານີ້ແມ່ນມີຄວາມສໍາຄັນຫຼາຍສໍາລັບບໍລິສັດຂະຫນາດນ້ອຍ, ສໍາລັບບໍລິສັດທີ່ສັບສົນຫຼາຍ, ແລະສໍາລັບບໍລິສັດທີ່ມີໂອກາດໃນການເຕີບໂຕຕ່ໍາ." ຄ່າໃຊ້ຈ່າຍສໍາລັບການບໍ່ປະຕິບັດຕາມສາມາດສູງກວ່າ.
ຄວາມສ່ຽງຂອງການບໍ່ປະຕິບັດຕາມ
Sarbanes-Oxley ຖື CEO ແລະຜູ້ອໍານວຍການຮັບຜິດຊອບແລະລົງໂທດເຖິງ $ 500,000 ແລະຈໍາຄຸກ 5 ປີ. ລັດຖະບານມັກຈະບໍ່ຍອມຮັບຄໍາອ້ອນວອນຂອງຄວາມໂງ່ຈ້າຫຼືຄວາມບໍ່ມີຄວາມສາມາດ. ຖ້າຂ້ອຍເປັນ CEO, ຂ້ອຍແນ່ນອນຕ້ອງການໃຫ້ທີມງານຂອງຂ້ອຍສາມາດພິສູດໄດ້ວ່າພວກເຮົາໄດ້ຍຶດຫມັ້ນໃນການປະຕິບັດທີ່ດີທີ່ສຸດແລະພວກເຮົາຮູ້ວ່າຜູ້ທີ່ເຮັດທຸກທຸລະກໍາ.
ອີກຢ່າງຫນຶ່ງ. ຂ້າພະເຈົ້າໄດ້ເວົ້າວ່າ Sarbanes-Oxley ແມ່ນສໍາລັບບໍລິສັດທີ່ມີການຊື້ຂາຍສາທາລະນະ. ນັ້ນແມ່ນຄວາມຈິງ, ແຕ່ພິຈາລະນາວ່າການຂາດການຄວບຄຸມພາຍໃນແລະການຂາດເອກະສານອາດຈະຂັດຂວາງທ່ານຖ້າທ່ານຕ້ອງການສະເຫນີຂາຍສາທາລະນະ.