Аналитика и Сарбенес-Оксли
Управување со усогласеноста на SOX со алатките за самопослужување BI како Qlik, Tableau и PowerBI
Следната година SOX ќе биде доволно стар за да купи пиво во Тексас. Тој е роден од „Законот за реформа на сметководството на јавните претпријатија и заштита на инвеститорите“, познат потоа по имињата на сенаторите кои го спонзорираа законот, Законот Сарбенес-Оксли од 2002 година. Сарбенес-Оксли беше потомок на Законот за хартии од вредност од 1933 година, чија главна цел беше да ги заштити инвеститорите од измами преку обезбедување на транспарентност во корпоративните финансии. Како потомок на тој чин, Сарбенес-Оксли ги зајакна тие цели и се обиде да промовира одговорност преку добри деловни практики. Но, како и многу млади возрасни, ние сè уште се обидуваме да го откриеме тоа. По XNUMX години, компаниите сè уште се обидуваат да откријат какви се импликациите на актот конкретно за нив, како и како најдобро да изградат зголемена транспарентност во нивната технологија и системи за поддршка на усогласеноста.
Кој е одговорен?
Спротивно на популарното верување, Sarbanes-Oxley не се однесува само на финансиските институции или само на одделот за финансии. Неговата цел е да обезбеди поголема транспарентност во сите организациски податоци и поврзани процеси. Технички, Sarbanes-Oxley се однесува само на корпорации со јавно тргување, но неговите барања се здрави за секој добро воден бизнис. Законот ги прави извршниот директор и финансискиот директор лично одговорни за презентирани податоци. Овие службеници, пак, се потпираат на CIO, CDO и CSO за да се осигураат дека системите за податоци се безбедни, имаат интегритет и се способни да обезбедат информации потребни за докажување на усогласеноста. Неодамна, контролата и усогласеноста станаа поголем предизвик за CIO и нивните колеги. Многу организации се оддалечуваат од традиционалните претпријатија, системи за аналитика и бизнис интелигенција управувани од ИТ. Наместо тоа, тие прифаќаат алатки за самопослужување предводени од линијата на бизнисот, како што се Qlik, Tableau и PowerBI. Овие алатки, по дизајн, не се управуваат централно.
менаџмент на промени
Еден од клучните барања за усогласување со Законот е да се дефинираат контролите и како промените во податоците или апликациите треба систематски да се евидентираат. Со други зборови, дисциплината на управување со промени. Треба да се следи безбедноста, пристапот до податоци и софтвер, како и дали ИТ системите не функционираат правилно. Усогласеноста не зависи само од дефинирање на политиките и процесите за заштита на животната средина, туку и од тоа навистина да се направи и на крајот да може да се докаже дека е направено. Исто како и полицискиот синџир на докази за притвор, усогласеноста со Сарбенес-Оксли е исто толку силна колку и нејзината најслаба алка.
Слабата алка
Како евангелист за аналитика, ме боли да го кажам ова, но најслабата алка во усогласеноста со Sarbanes-Oxley е често Analytics или Business Intelligence. Лидерите во аналитика за самопослужување споменати погоре – Qlik, Tableau и PowerBI – Анализата и известувањето денес се повеќе вообичаено се прави во деловните оддели отколку во ИТ. Ова уште повеќе важи за алатките на Analytics како што се Qlik, Tableau и PowerBI кои го усовршија моделот на самопослужување BI. Повеќето пари потрошени за усогласеност се фокусирани на финансиските и сметководствените системи. Во поново време, компаниите со право ја проширија подготовката за ревизија на други сектори. Она што тие открија е дека формалните програми за управување со промени во ИТ не успеале да опфатат бази на податоци или складишта на податоци/маркети со истата строгост што се користи за апликации и системи. Областа на усогласеност на политиките и процедурите за управување со промени спаѓа во Општите контроли и е групирана со други ИТ политики и процедури за тестирање, враќање при катастрофи, резервна копија и обновување и безбедност.
Од многуте чекори потребни за усогласување со ревизијата, една од работите што најчесто се занемаруваат е: „Одржувајте патека на активности со ревизија во реално време, вклучувајќи кој, што, каде и кога од целата активност на операторот и инфраструктурни промени, особено оние кои би можеле да бидат несоодветни или злонамерни“. Без разлика дали промената се однесува на системските поставки, софтверска апликација или самите податоци, мора да се води запис кој ги содржи најмалку следниве елементи:
- Кој ја побара промената
- Кога е извршена промената
- Која е промената - опис
- Кој ја одобри промената
Снимањето на овие информации за промените на извештаите и контролните табли во вашите системи за аналитика и деловно разузнавање се исто толку важни. Без разлика каде е алатката Analytics и BI на континуумот на контрола - Дивиот Запад, самопослужување или централно управувано; дали табеларни пресметки (морници), Tableau/Qlik/Power BI или Cognos Analytics – за да бидете во согласност со Sarbanes-Oxley, ќе треба да ги снимате овие основни информации. Ревизорот не се грижи дали користите пенкало и хартија или автоматски систем за да документирате дека вашите контролни процеси се следат. Признавам дека ако користите табеларни пресметки како ваш софтвер за „аналитика“ за да донесувате деловни одлуки, можеби користите и табели за да го снимате управувањето со промените.
Сепак, големи се шансите дека ако веќе сте инвестирале во аналитички систем како PowerBI или други, треба да барате начини да го автоматизирате снимањето на промените во вашата деловна интелигенција и систем за известување. Колку и да се добри, алатките за аналитика како што се Tableau, Qlik, PowerBI занемариле да вклучат лесно, ревидирачко известување за управување со промени. Напиши ја домашната задача. Најдете начин да ја автоматизирате документацијата за промените во вашата аналитичка околина. Уште подобро, бидете подготвени да му презентирате на ревизорот, не само дневник на промени во вашиот систем, туку дека промените се усогласени со одобрените внатрешни политики и процеси.
Имајќи способност да:
1) покажете дека имате цврсти внатрешни политики,
2) дека вашите документирани процеси ги поддржуваат, и
3) дека вистинската практика може да се потврди
ќе го израдува секој ревизор. И, секој знае дека ако ревизорот е среќен, сите се среќни.
Многу компании се жалат на дополнителните трошоци за усогласеност, а цената на усогласеноста со SOX стандардите може да биде висока. „Овие трошоци се позначајни за помалите фирми, за посложените фирми и за фирмите со помали можности за раст“. Цената за неусогласеност може да биде уште поголема.
Ризикот од неусогласеност
Сарбенес-Оксли ги смета извршните директори и директорите на одговорност и казниви до 500,000 долари и 5 години затвор. Владата често не прифаќа молба за незнаење или неспособност. Да бев извршен директор, сигурно би сакал мојот тим да може да докаже дека сме се придржувале до најдобрите практики и знаевме кој ја извршил секоја трансакција.
Уште една работа. Реков дека Sarbanes-Oxley е за јавно тргувани компании. Тоа е точно, но размислете како недостатокот на внатрешни контроли и недостатокот на документација може да ве попречат ако некогаш сте сакале да направите јавна понуда.