Gaukite demonstraciją
Prisijungti

Ar jūsų Sox yra skylė? (Laikymasis)

by Rugpjūtis 2, 2022Auditas, BI/Analytics0 komentarai

„Analytics“ ir „Sarbanes-Oxley“.

SOX atitikties valdymas naudojant savitarnos BI įrankius, tokius kaip Qlik, Tableau ir PowerBI

 

Kitais metais SOX bus pakankamai senas, kad galėtų nusipirkti alaus Teksase. Jis buvo sukurtas iš „Valstybinės įmonės apskaitos reformos ir investuotojų apsaugos įstatymo“, kuris vėliau buvo meiliai žinomas senatorių, parėmusių įstatymo projektą, pavardėmis, 2002 m. Sarbaneso-Oxley aktą. Sarbanesas Okslis Sarbanes-Oxley buvo 1933 m. Vertybinių popierių įstatymo palikuonis, kurio pagrindinis tikslas buvo apsaugoti investuotojus nuo sukčiavimo užtikrinant įmonių finansų skaidrumą. Kaip šio akto palikuonys, Sarbanes-Oxley sustiprino šiuos tikslus ir bandė skatinti atskaitomybę taikydama gerą verslo praktiką. Tačiau, kaip ir daugelis jaunų suaugusiųjų, mes vis dar bandome tai išsiaiškinti. Praėjus dvidešimčiai metų, įmonės vis dar bando išsiaiškinti, kokios teisės akto pasekmės konkrečiai yra joms, taip pat kaip geriausiai padidinti savo technologijų ir sistemų skaidrumą, kad būtų palaikoma atitiktis.

 

Kas atsakingas?

 

Priešingai populiariems įsitikinimams, Sarbanes-Oxley taikoma ne tik finansų įstaigoms ar tik finansų skyriui. Jos tikslas – užtikrinti didesnį visų organizacijos duomenų ir susijusių procesų skaidrumą. Techniškai Sarbanes-Oxley taikoma tik viešai parduodamoms korporacijoms, tačiau jos reikalavimai yra tinkami bet kokiam gerai veikiančiam verslui. Įstatymas nustato, kad generalinis direktorius ir finansų direktorius yra asmeniškai atsakingi už pateikti duomenys. Šie pareigūnai savo ruožtu pasitiki CIO, CDO ir CSO, kad užtikrintų, jog duomenų sistemos yra saugios, vientisos ir galėtų teikti informaciją, reikalingą atitikčiai įrodyti. Pastaruoju metu kontrolė ir atitiktis CIO ir jų kolegoms tapo didesniu iššūkiu. Daugelis organizacijų atsisako tradicinių įmonių, IT valdomų „Analytics“ ir „Business Intelligence“ sistemų. Vietoj to, jie taiko verslo krypties vadovaujamus savitarnos įrankius, tokius kaip Qlik, Tableau ir PowerBI. Šie įrankiai pagal dizainą nėra valdomi centralizuotai.

 

Pokyčių valdymas

 

Vienas iš pagrindinių reikalavimų, kad būtų laikomasi įstatymo, yra apibrėžti taikomas kontrolės priemones ir tai, kaip turėtų būti sistemingai registruojami duomenų ar taikomųjų programų pakeitimai. Kitaip tariant, pokyčių valdymo disciplina. Reikia stebėti saugumą, prieigą prie duomenų ir programinės įrangos, taip pat ar IT sistemos neveikia tinkamai. Atitiktis priklauso ne tik nuo aplinkos apsaugos politikos ir procesų apibrėžimo, bet ir nuo to, ar iš tikrųjų tai daroma ir galiausiai galima įrodyti, kad tai buvo padaryta. Kaip ir policijos įrodymų sulaikymo grandinė, Sarbanes-Oxley laikymasis yra tiek stiprus, kiek yra silpniausia jo grandis.  

 

Silpnoji grandis

 

Man, kaip analitiko evangelistui, skaudu tai sakyti, tačiau silpniausia Sarbanes-Oxley atitikties grandis dažnai yra „Analytics“ arba „Business Intelligence“. Aukščiau minėti savitarnos „Analytics“ lyderiai – „Qlik“, „Tableau“ ir „PowerBI“ – šiandien analizė ir ataskaitų teikimas yra daugiau dažniausiai atliekami verslo padaliniuose nei IT. Tai dar labiau pasakytina apie „Analytics“ įrankius, tokius kaip „Qlik“, „Tableau“ ir „PowerBI“, kurie ištobulino savitarnos BI modelį. Dauguma pinigų, išleistų atitikčiai užtikrinti, buvo skirti finansinėms ir apskaitos sistemoms. Pastaruoju metu įmonės pagrįstai išplėtė pasirengimą auditui į kitus padalinius. Jie nustatė, kad oficialios IT pokyčių valdymo programos neapėmė duomenų bazių ar duomenų saugyklų / rinkų tokiu pat griežtumu, koks buvo naudojamas programoms ir sistemoms.  Pokyčių valdymo strategijų ir procedūrų atitikties sritis patenka į bendruosius valdiklius ir yra sugrupuota su kitomis IT strategijomis ir procedūromis, susijusiomis su testavimu, atkūrimu po nelaimingų atsitikimų, atsarginių kopijų kūrimo ir atkūrimo bei saugos.

 

Iš daugelio žingsnių, kurių reikia, kad būtų laikomasi audito, vienas iš dažniausiai nepastebimų dalykų yra: „Stebėkite veiklos seką naudodami realiojo laiko auditą, įskaitant kas, ką, kur ir kada visos operatoriaus veiklos ir infrastruktūros pokyčius, ypač tuos, kurie gali būti netinkami arba kenksmingi.  Nesvarbu, ar keičiami sistemos nustatymai, programinė įranga ar patys duomenys, turi būti saugomas įrašas, kuriame yra bent šie elementai:

  • Kas prašė pakeisti
  • Kai buvo atliktas pakeitimas
  • Koks pokytis – aprašymas
  • Kas patvirtino pakeitimą

 

Taip pat svarbu įrašyti šią informaciją apie ataskaitų ir informacijos suvestinių pakeitimus „Analytics“ ir „Business Intelligence“ sistemose. Nepriklausomai nuo to, kur „Analytics“ ir BI įrankis yra valdymo kontinuume – laukiniuose vakaruose, savitarnoje ar centralizuotai valdomas; ar skaičiuoklės (šiurpas), Tableau/Qlik/Power BI arba Cognos Analytics – kad atitiktumėte Sarbanes-Oxley, turėsite įrašyti šią pagrindinę informaciją. Auditoriui nerūpi, ar naudojate rašiklį ir popierių, ar automatizuotą sistemą dokumentuodami, kad vykdomi jūsų kontrolės procesai. Sutinku, kad jei naudojate skaičiuokles kaip „analitikos“ programinę įrangą verslo sprendimams priimti, taip pat galite naudoti skaičiuokles pakeitimų valdymui įrašyti.  

 

Tačiau didelė tikimybė, kad jei jau investavote į tokias analitikos sistemas kaip „PowerBI“ ar kitas, turėtumėte ieškoti būdų, kaip automatizuoti verslo informacijos ir ataskaitų teikimo sistemos pokyčių registravimą. Kad ir kokie būtų geri, tokie analizės įrankiai kaip „Tableau“, „Qlik“, „PowerBI“ neįtraukė lengvų, tikrinamų pokyčių valdymo ataskaitų teikimo. Atlikite namų darbus. Raskite būdą, kaip automatizuoti analizės aplinkos pakeitimų dokumentavimą. Dar geriau, būkite pasirengę pateikti auditoriui ne tik savo sistemos pakeitimų žurnalą, bet ir tai, kad pakeitimai atitiktų patvirtintas vidaus strategijas ir procesus.

 

Turėdamas galimybę: 

1) įrodyti, kad turite tvirtą vidaus politiką, 

2) kad jūsų dokumentuoti procesai juos palaiko ir 

3) kad faktinė praktika gali būti patvirtinta 

pradžiugins bet kurį auditorių. Ir visi žino, kad jei auditorius laimingas, visi yra laimingi.

 

Daugelis įmonių skundžiasi papildomomis atitikties išlaidomis, o SOX standartų laikymosi išlaidos gali būti didelės. „Šios išlaidos yra reikšmingesnės mažesnėms įmonėms, sudėtingesnėms įmonėms ir įmonėms, turinčioms mažesnes augimo galimybes.  Kaina už reikalavimų nesilaikymą gali būti dar didesnė.

 

Neatitikimo rizika

 

Sarbanesas-Oxley reikalauja, kad generaliniai direktoriai ir direktoriai būtų atsakingi ir baudžiami iki 500,000 5 USD ir XNUMX metų kalėjimo. Vyriausybė dažnai nesutinka su prašymu dėl nežinojimo ar nekompetencijos. Jei būčiau generalinis direktorius, tikrai norėčiau, kad mano komanda galėtų įrodyti, kad laikėmės geriausios praktikos ir žinojome, kas atliko kiekvieną sandorį. 

 

Dar vienas dalykas. Sakiau, kad „Sarbanes-Oxley“ yra skirtas įmonėms, kuriomis prekiaujama viešai. Tai tiesa, tačiau pagalvokite, kaip vidaus kontrolės trūkumas ir dokumentų trūkumas gali jums trukdyti, jei kada nors norėtumėte viešai pasiūlyti.  

BI/Analytics
„Analytics“ katalogai – kylanti žvaigždė „Analytics“ ekosistemoje

„Analytics“ katalogai – kylanti žvaigždė „Analytics“ ekosistemoje

Įvadas Kaip vyriausiasis technologijų pareigūnas (CTO), aš visada ieškau naujų technologijų, kurios keičia mūsų požiūrį į analizę. Viena iš tokių technologijų, kurios patraukė mano dėmesį per pastaruosius kelerius metus ir duoda daug žadą, yra „Analytics“...

Skaityti daugiau

| Spalis 19, 2023 | 0

Rodyti Daugiau