Analytics un Sarbanes-Oxley
SOX atbilstības pārvaldība ar pašapkalpošanās BI rīkiem, piemēram, Qlik, Tableau un PowerBI
Nākamgad SOX būs pietiekami vecs, lai iegādātos alu Teksasā. Tas tika izveidots no “Publisko uzņēmumu grāmatvedības reformas un investoru aizsardzības likuma”, kas vēlāk tika mīļi pazīstams ar to senatoru vārdiem, kuri sponsorēja likumprojektu, 2002. gada Sarbanesa-Okslija likumu. 
Sarbanes-Oxley bija 1933. gada Vērtspapīru likuma pēcnācējs, kura galvenais mērķis bija aizsargāt investorus no krāpšanas, nodrošinot korporatīvo finanšu pārredzamību. Kā šī akta pēcnācējs Sarbanes-Oxley pastiprināja šos mērķus un mēģināja veicināt atbildību, izmantojot labu uzņēmējdarbības praksi. Bet, tāpat kā daudzi jauni pieaugušie, mēs joprojām cenšamies to izdomāt. Pēc divdesmit gadiem uzņēmumi joprojām cenšas noskaidrot, kāda ir šī tiesību akta ietekme uz tiem, kā arī to, kā vislabāk uzlabot savu tehnoloģiju un sistēmu pārredzamību, lai atbalstītu atbilstību.
Kurš ir atbildīgs?
Pretēji izplatītajam uzskatam, Sarbanes-Oxley neattiecas tikai uz finanšu iestādēm vai tikai uz finanšu nodaļu. Tās mērķis ir nodrošināt lielāku visu organizācijas datu un saistīto procesu caurskatāmību. Tehniski Sarbanes-Oxley attiecas tikai uz publiski tirgotām korporācijām, taču tās prasības ir piemērotas jebkuram labi vadītam biznesam. Likums nosaka, ka izpilddirektors un finanšu direktors ir personīgi atbildīgi par 
sniegtie dati. Šie darbinieki savukārt paļaujas uz CIO, CDO un CSO, lai nodrošinātu, ka datu sistēmas ir drošas, tām ir integritāte un tās spēj sniegt informāciju, kas nepieciešama, lai pierādītu atbilstību. Pēdējā laikā kontrole un atbilstība ir kļuvusi par lielāku izaicinājumu CIO un viņu vienaudžiem. Daudzas organizācijas atsakās no tradicionālajām uzņēmuma, IT pārvaldītajām Analytics un biznesa informācijas sistēmām. Tā vietā viņi izmanto uzņēmējdarbības virzienu vadītus pašapkalpošanās rīkus, piemēram, Qlik, Tableau un PowerBI. Šie rīki pēc konstrukcijas netiek pārvaldīti centralizēti.
Pārmaiņu vadība
Viena no galvenajām prasībām, lai nodrošinātu atbilstību likumam, ir noteikt esošās kontroles un to, kā sistemātiski jāreģistrē izmaiņas datos vai lietojumprogrammās. Citiem vārdiem sakot, pārmaiņu vadības disciplīna. Ir jāuzrauga drošība, piekļuve datiem un programmatūrai, kā arī jāuzrauga, vai IT sistēmas nedarbojas pareizi. Atbilstība ir atkarīga ne tikai no politikas un procesu definēšanas, lai aizsargātu vidi, bet arī no tā, vai tas patiešām jādara un galu galā jāspēj pierādīt, ka tas ir izdarīts. Tāpat kā policijas pierādījumu aizturēšanas ķēde, atbilstība Sarbanes-Oxley ir tikai tik spēcīga, cik spēcīga ir tās vājākais posms.
Vājais posms
Man kā analītikas evaņģēlistam ir sāpīgi to teikt, taču Sarbanes-Oxley atbilstības vājākā saite bieži ir Analytics vai Business Intelligence. Iepriekš minētie pašapkalpošanās Analytics līderi — Qlik, Tableau un PowerBI — šodien analīze un pārskatu sniegšana ir vairāk 
parasti veic biznesa nodaļās nekā IT jomā. Tas vēl jo vairāk attiecas uz tādiem Analytics rīkiem kā Qlik, Tableau un PowerBI, kas ir pilnveidojuši pašapkalpošanās BI modeli. Lielākā daļa līdzekļu, kas iztērēti atbilstības nodrošināšanai, ir vērsti uz finanšu un grāmatvedības sistēmām. Pavisam nesen uzņēmumi ir pamatoti paplašinājuši revīzijas sagatavošanu arī citās nodaļās. Viņi atklāja, ka formālās IT izmaiņu pārvaldības programmas nav spējušas aptvert datu bāzes vai datu noliktavas/marts ar tādu pašu stingrību kā lietojumprogrammām un sistēmām. Izmaiņu pārvaldības politiku un procedūru atbilstības joma ietilpst vispārīgajās kontrolēs, un tā ir sagrupēta ar citām IT politikām un procedūrām, kas attiecas uz testēšanu, avārijas atkopšanu, dublēšanu un atkopšanu un drošību.
No daudzajām darbībām, kas jāveic, lai izpildītu revīzijas prasības, viena no lietām, kas visbiežāk tiek ignorēta, ir:Saglabājiet aktivitāšu izsekojamību, izmantojot reāllaika auditu, tostarp visu operatora darbību kurš, ko, kur un kad un infrastruktūras izmaiņas, īpaši tās, kas varētu būt nepiemērotas vai ļaunprātīgas. Neatkarīgi no tā, vai izmaiņas attiecas uz sistēmas iestatījumiem, lietojumprogrammu vai pašiem datiem, ir jāuztur ieraksts, kurā ir vismaz šādi elementi:
- Kas pieprasīja izmaiņas
- Kad tika veiktas izmaiņas
- Kādas ir izmaiņas – apraksts
- Kas apstiprināja izmaiņas
Tikpat svarīgi ir reģistrēt šo informāciju par izmaiņām pārskatos un informācijas paneļos jūsu Analytics un biznesa informācijas sistēmās. Neatkarīgi no tā, kur Analytics un BI rīks atrodas kontroles nepārtrauktībā — Mežonīgie Rietumi, pašapkalpošanās vai centralizēti pārvaldīts; vai izklājlapas (nodrebēt), Tableau/Qlik/Power BI vai Cognos Analytics — lai nodrošinātu atbilstību Sarbanes-Oxley, jums ir jāreģistrē šī pamatinformācija. Auditoram ir vienalga, vai izmantojat pildspalvu un papīru vai automatizētu sistēmu, lai dokumentētu, ka tiek ievēroti jūsu kontroles procesi. Es pieļauju, ka, ja izmantojat izklājlapas kā savu “analītikas” programmatūru, lai pieņemtu biznesa lēmumus, iespējams, izmantosit arī izklājlapas, lai reģistrētu izmaiņu pārvaldību.
Tomēr pastāv lielas izredzes, ka, ja jau esat ieguldījis analītikas sistēmā, piemēram, PowerBI vai citās, jums vajadzētu meklēt veidus, kā automatizēt biznesa informācijas un ziņošanas sistēmas izmaiņu reģistrēšanu. Lai arī cik labi tie ir, tādi analītikas rīki kā Tableau, Qlik, PowerBI nav iekļauti vienkāršu, pārbaudāmu izmaiņu pārvaldības pārskatu veidošanā. Izpildi savu mājasdarbu. Atrodiet veidu, kā automatizēt analītikas vides izmaiņu dokumentēšanu. Vēl labāk, esiet gatavs iesniegt auditoram ne tikai sistēmas izmaiņu žurnālu, bet arī to, ka izmaiņas atbilst apstiprinātajām iekšējām politikām un procesiem.
Kam ir spēja:
1) pierādīt, ka jums ir stabila iekšējā politika,
2) vai jūsu dokumentētie procesi tos atbalsta, un
3) ka faktiskā prakse var tikt apstiprināta
iepriecinās jebkuru auditoru. Un visi zina, ka, ja auditors ir laimīgs, visi ir laimīgi.
Daudzi uzņēmumi sūdzas par atbilstības papildu izmaksām, un SOX standartu ievērošanas izmaksas var būt augstas. "Šīs izmaksas ir lielākas mazākiem uzņēmumiem, sarežģītākiem uzņēmumiem un uzņēmumiem ar zemākām izaugsmes iespējām." Izmaksas par neatbilstību var būt pat lielākas.
Neatbilstības risks
Sarbanes-Oxley sauc izpilddirektorus un direktorus pie atbildības un sodīja ar līdz pat 500,000 5 USD un XNUMX gadiem cietumā. Valdība bieži nepieņem aizbildinājumu par nezināšanu vai nekompetenci. Ja es būtu izpilddirektors, es noteikti vēlētos, lai mana komanda varētu pierādīt, ka esam ievērojuši labāko praksi un zinājām, kurš ir veicis katru darījumu.
Vēl viena lieta. Es teicu, ka Sarbanes-Oxley ir paredzēts publiski tirgotiem uzņēmumiem. Tā ir taisnība, taču apsveriet, kā iekšējās kontroles trūkums un dokumentācijas trūkums varētu traucēt jums, ja kādreiz vēlaties veikt publisku piedāvājumu.
