അനലിറ്റിക്സ് ആൻഡ് സാർബേൻസ്-ഓക്സ്ലി

Qlik, Tableau, PowerBI പോലുള്ള സെൽഫ്-സർവീസ് BI ടൂളുകളുമായുള്ള SOX കംപ്ലയിൻസ് നിയന്ത്രിക്കുന്നു

ടെക്സാസിൽ ബിയർ വാങ്ങാൻ അടുത്ത വർഷം SOX ന് പ്രായമാകും. "പബ്ലിക് കമ്പനി അക്കൗണ്ടിംഗ് റിഫോം ആൻഡ് ഇൻവെസ്റ്റർ പ്രൊട്ടക്ഷൻ ആക്ടിൽ" നിന്നാണ് ഇത് ജനിച്ചത്, ബിൽ സ്പോൺസർ ചെയ്ത സെനറ്റർമാരുടെ പേരുകൾ, 2002-ലെ സർബൻസ്-ഓക്‌സ്‌ലി ആക്‌ട് സ്‌നേഹപൂർവ്വം അറിയപ്പെടുന്നു. 1933 ലെ സെക്യൂരിറ്റീസ് ആക്ടിന്റെ സന്തതിയാണ് സർബേൻസ്-ഓക്‌സ്ലി, കോർപ്പറേറ്റ് ധനകാര്യങ്ങളിൽ സുതാര്യത നൽകിക്കൊണ്ട് നിക്ഷേപകരെ തട്ടിപ്പിൽ നിന്ന് സംരക്ഷിക്കുക എന്നതായിരുന്നു ഇതിന്റെ പ്രധാന ലക്ഷ്യം. ആ നിയമത്തിന്റെ സന്തതി എന്ന നിലയിൽ, സാർബേൻസ്-ഓക്‌സ്‌ലി ആ ലക്ഷ്യങ്ങളെ ശക്തിപ്പെടുത്തുകയും നല്ല ബിസിനസ്സ് രീതികളിലൂടെ ഉത്തരവാദിത്തം പ്രോത്സാഹിപ്പിക്കാൻ ശ്രമിക്കുകയും ചെയ്തു. പക്ഷേ, പല ചെറുപ്പക്കാരെയും പോലെ, ഞങ്ങൾ ഇപ്പോഴും അത് മനസിലാക്കാൻ ശ്രമിക്കുന്നു. ഇരുപത് വർഷത്തിന് ശേഷം, കമ്പനികൾ ഇപ്പോഴും ആക്ടിന്റെ പ്രത്യാഘാതങ്ങൾ എന്തൊക്കെയാണെന്ന് മനസിലാക്കാൻ ശ്രമിക്കുന്നു, അതുപോലെ തന്നെ, അവരുടെ സാങ്കേതികവിദ്യയിലും സിസ്റ്റങ്ങളിലും എങ്ങനെ സുതാര്യത വർദ്ധിപ്പിക്കാം എന്നതും പാലിക്കൽ പിന്തുണയ്‌ക്കുന്നതിന്.

ആരാണ് ഉത്തരവാദി?

ജനകീയ വിശ്വാസത്തിന് വിരുദ്ധമായി, സാർബേൻസ്-ഓക്സ്ലി ധനകാര്യ സ്ഥാപനങ്ങൾക്ക് മാത്രമല്ല, ധനകാര്യ വകുപ്പിനും മാത്രം ബാധകമല്ല. എല്ലാ ഓർഗനൈസേഷണൽ ഡാറ്റയിലും അനുബന്ധ പ്രക്രിയകളിലും കൂടുതൽ സുതാര്യത നൽകുക എന്നതാണ് ഇതിന്റെ ലക്ഷ്യം. സാങ്കേതികമായി, സാർബേൻസ്-ഓക്‌സ്‌ലി പൊതുവായി വ്യാപാരം നടത്തുന്ന കോർപ്പറേഷനുകൾക്ക് മാത്രമേ ബാധകമാകൂ, എന്നാൽ നന്നായി നടത്തുന്ന ഏതൊരു ബിസിനസ്സിനും അതിന്റെ ആവശ്യകതകൾ അനുയോജ്യമാണ്. നിയമം സിഇഒയെയും സിഎഫ്ഒയെയും വ്യക്തിപരമായി ഉത്തരവാദിത്തമുള്ളവരാക്കുന്നു ഡാറ്റ അവതരിപ്പിച്ചു. ഡാറ്റാ സിസ്റ്റങ്ങൾ സുരക്ഷിതമാണെന്നും സമഗ്രതയുണ്ടെന്നും പാലിക്കൽ തെളിയിക്കാൻ ആവശ്യമായ വിവരങ്ങൾ നൽകാൻ കഴിയുമെന്നും ഉറപ്പാക്കാൻ ഈ ഉദ്യോഗസ്ഥർ CIO, CDO, CSO എന്നിവയെ ആശ്രയിക്കുന്നു. സമീപകാലത്ത്, നിയന്ത്രണവും അനുസരണവും CIO-കൾക്കും അവരുടെ സമപ്രായക്കാർക്കും ഒരു വെല്ലുവിളിയായി മാറിയിരിക്കുന്നു. പരമ്പരാഗത എന്റർപ്രൈസ്, ഐടി നിയന്ത്രിക്കുന്ന അനലിറ്റിക്സ്, ബിസിനസ് ഇന്റലിജൻസ് സംവിധാനങ്ങൾ എന്നിവയിൽ നിന്ന് പല സ്ഥാപനങ്ങളും മാറുകയാണ്. പകരം, അവർ Qlik, Tableau, PowerBI പോലുള്ള ലൈൻ-ഓഫ്-ബിസിനസ് നയിക്കുന്ന സ്വയം സേവന ഉപകരണങ്ങൾ സ്വീകരിക്കുന്നു. ഈ ഉപകരണങ്ങൾ, ഡിസൈൻ പ്രകാരം, കേന്ദ്രീകൃതമായി കൈകാര്യം ചെയ്യപ്പെടുന്നില്ല.

മാനേജ്മെന്റ് മാറ്റുക

നിയമത്തിന് അനുസൃതമായി പ്രവർത്തിക്കുന്നതിനുള്ള പ്രധാന ആവശ്യകതകളിലൊന്ന് നിയന്ത്രണങ്ങൾ നിർവ്വചിക്കുകയും ഡാറ്റയിലോ ആപ്ലിക്കേഷനുകളിലോ ഉള്ള മാറ്റങ്ങൾ വ്യവസ്ഥാപിതമായി എങ്ങനെ രേഖപ്പെടുത്തണം എന്നതുമാണ്. മറ്റൊരു വിധത്തിൽ പറഞ്ഞാൽ, മാറ്റ മാനേജ്മെന്റിന്റെ അച്ചടക്കം. സുരക്ഷ, ഡാറ്റ, സോഫ്‌റ്റ്‌വെയർ ആക്‌സസ് എന്നിവ നിരീക്ഷിക്കേണ്ടതുണ്ട്, കൂടാതെ ഐടി സംവിധാനങ്ങൾ ശരിയായി പ്രവർത്തിക്കുന്നില്ലെങ്കിൽ. പരിസ്ഥിതിയെ സംരക്ഷിക്കുന്നതിനുള്ള നയങ്ങളും പ്രക്രിയകളും നിർവചിക്കുന്നതിനെ മാത്രമല്ല, യഥാർത്ഥത്തിൽ അത് ചെയ്യുകയും ആത്യന്തികമായി അത് ചെയ്തുവെന്ന് തെളിയിക്കുകയും ചെയ്യുന്നതിനെ ആശ്രയിച്ചിരിക്കുന്നു. കസ്റ്റഡിയിലെ പോലീസ് തെളിവുകളുടെ ശൃംഖല പോലെ, സാർബേൻസ്-ഓക്‌സ്‌ലിയുമായി പാലിക്കുന്നത് അതിന്റെ ഏറ്റവും ദുർബലമായ കണ്ണി പോലെ ശക്തമാണ്.  

ദുർബലമായ ലിങ്ക്

ഒരു അനലിറ്റിക്‌സ് ഇവാഞ്ചലിസ്റ്റ് എന്ന നിലയിൽ, ഇത് പറയുന്നത് എനിക്ക് വേദനാജനകമാണ്, പക്ഷേ സർബേൻസ്-ഓക്‌സ്‌ലി പാലിക്കുന്നതിൽ ഏറ്റവും ദുർബലമായ ലിങ്ക് പലപ്പോഴും അനലിറ്റിക്‌സ് അല്ലെങ്കിൽ ബിസിനസ് ഇന്റലിജൻസ് ആണ്. മുകളിൽ സൂചിപ്പിച്ച സെൽഫ് സെർവ് അനലിറ്റിക്‌സിലെ നേതാക്കൾ -ക്ലിക്ക്, ടേബിൾ, പവർബിഐ - ഇന്നത്തെ വിശകലനവും റിപ്പോർട്ടിംഗും കൂടുതൽ ഐടിയിലേതിനേക്കാൾ സാധാരണയായി ലൈൻ-ഓഫ്-ബിസിനസ് ഡിപ്പാർട്ട്‌മെന്റുകളിലാണ് ചെയ്യുന്നത്. സെൽഫ് സർവീസ് ബിഐ മോഡൽ മികവുറ്റതാക്കിയ Qlik, Tableau, PowerBI പോലുള്ള Analytics ടൂളുകളുടെ കാര്യത്തിൽ ഇത് കൂടുതൽ ശരിയാണ്. കംപ്ലയിൻസിനായി ചെലവഴിക്കുന്ന മിക്ക പണവും സാമ്പത്തിക, അക്കൗണ്ടിംഗ് സംവിധാനങ്ങളിൽ ശ്രദ്ധ കേന്ദ്രീകരിച്ചിരിക്കുന്നു. അടുത്തിടെ, കമ്പനികൾ മറ്റ് വകുപ്പുകളിലേക്ക് ഓഡിറ്റ് തയ്യാറെടുപ്പുകൾ ശരിയായി വിപുലീകരിച്ചു. ആപ്ലിക്കേഷനുകൾക്കും സിസ്റ്റങ്ങൾക്കും ഉപയോഗിക്കുന്ന അതേ കാഠിന്യത്തോടെ ഡാറ്റാബേസുകളോ ഡാറ്റ വെയർഹൗസുകളോ/മാർട്ടുകളോ ഉൾക്കൊള്ളുന്നതിൽ ഔപചാരിക ഐടി മാറ്റ മാനേജ്മെന്റ് പ്രോഗ്രാമുകൾ പരാജയപ്പെട്ടുവെന്നാണ് അവർ കണ്ടെത്തിയത്.  മാറ്റ മാനേജ്‌മെന്റ് നയങ്ങളും നടപടിക്രമങ്ങളും പാലിക്കുന്ന മേഖല പൊതുവായ നിയന്ത്രണങ്ങൾക്ക് കീഴിലാണ്, കൂടാതെ മറ്റ് ഐടി നയങ്ങളും പരിശോധന, ദുരന്ത വീണ്ടെടുക്കൽ, ബാക്കപ്പ്, വീണ്ടെടുക്കൽ, സുരക്ഷ എന്നിവയുടെ നടപടിക്രമങ്ങളുമായി ഗ്രൂപ്പുചെയ്‌തിരിക്കുന്നു.

ഒരു ഓഡിറ്റ് അനുസരിക്കുന്നതിന് ആവശ്യമായ നിരവധി ഘട്ടങ്ങളിൽ, മിക്കപ്പോഴും അവഗണിക്കപ്പെടുന്ന കാര്യങ്ങളിൽ ഒന്ന് ഇതാണ്: "എല്ലാ ഓപ്പറേറ്റർ പ്രവർത്തനങ്ങളുടെയും ആർ, എന്ത്, എവിടെ, എപ്പോൾ എന്നിവ ഉൾപ്പെടെ, തത്സമയ ഓഡിറ്റിംഗ് ഉപയോഗിച്ച് ഒരു പ്രവർത്തന പാത നിലനിർത്തുക അടിസ്ഥാന സൗകര്യ മാറ്റങ്ങളും, പ്രത്യേകിച്ച് അനുചിതമോ ക്ഷുദ്രകരമോ ആയവ.”  സിസ്റ്റം ക്രമീകരണങ്ങളിലോ സോഫ്റ്റ്‌വെയർ ആപ്ലിക്കേഷനിലോ ഡാറ്റയിലോ മാറ്റം വരുത്തിയാലും, കുറഞ്ഞത് ഇനിപ്പറയുന്ന ഘടകങ്ങൾ ഉൾക്കൊള്ളുന്ന ഒരു റെക്കോർഡ് സൂക്ഷിക്കേണ്ടതുണ്ട്:

• ആരാണ് മാറ്റം ആവശ്യപ്പെട്ടത്
• മാറ്റം നടത്തിയപ്പോൾ
• എന്താണ് മാറ്റം - ഒരു വിവരണം
• ആരാണ് മാറ്റം അംഗീകരിച്ചത്

നിങ്ങളുടെ അനലിറ്റിക്‌സ്, ബിസിനസ് ഇന്റലിജൻസ് സിസ്റ്റങ്ങളിലെ റിപ്പോർട്ടുകളിലും ഡാഷ്‌ബോർഡുകളിലും വരുത്തിയ മാറ്റങ്ങളെ കുറിച്ചുള്ള ഈ വിവരങ്ങൾ രേഖപ്പെടുത്തുന്നത് വളരെ പ്രധാനമാണ്. Analytics, BI ടൂൾ നിയന്ത്രണത്തിന്റെ തുടർച്ചയിൽ എവിടെയാണെങ്കിലും - വൈൽഡ് വെസ്റ്റ്, സെൽഫ് സർവീസ്, അല്ലെങ്കിൽ കേന്ദ്രീകൃതമായി നിയന്ത്രിക്കുന്നത്; സ്പ്രെഡ്ഷീറ്റുകൾ ആണെങ്കിലും (വിറയൽ), Tableau/Qlik/Power BI, അല്ലെങ്കിൽ Cognos Analytics – Sarbanes-Oxley-യുമായി പൊരുത്തപ്പെടാൻ, നിങ്ങൾ ഈ അടിസ്ഥാന വിവരങ്ങൾ റെക്കോർഡ് ചെയ്യേണ്ടതുണ്ട്. നിങ്ങളുടെ നിയന്ത്രണ പ്രക്രിയകൾ പിന്തുടരുന്നുണ്ടെന്ന് രേഖപ്പെടുത്താൻ നിങ്ങൾ പേനയും പേപ്പറും അല്ലെങ്കിൽ ഒരു ഓട്ടോമേറ്റഡ് സിസ്റ്റവും ഉപയോഗിക്കുന്നുണ്ടോ എന്നത് ഓഡിറ്റർ കാര്യമാക്കുന്നില്ല. ബിസിനസ്സ് തീരുമാനങ്ങൾ എടുക്കാൻ നിങ്ങൾ സ്‌പ്രെഡ്‌ഷീറ്റുകൾ "അനലിറ്റിക്‌സ്" സോഫ്‌റ്റ്‌വെയറായി ഉപയോഗിക്കുകയാണെങ്കിൽ, മാറ്റ മാനേജ്‌മെന്റ് റെക്കോർഡ് ചെയ്യാനും നിങ്ങൾ സ്‌പ്രെഡ്‌ഷീറ്റുകൾ ഉപയോഗിച്ചേക്കാം എന്ന് ഞാൻ സമ്മതിക്കുന്നു.  

എന്നിരുന്നാലും, നിങ്ങൾ പവർബിഐ അല്ലെങ്കിൽ മറ്റുള്ളവ പോലുള്ള ഒരു അനലിറ്റിക്സ് സിസ്റ്റത്തിൽ ഇതിനകം നിക്ഷേപിച്ചിട്ടുണ്ടെങ്കിൽ, നിങ്ങളുടെ ബിസിനസ്സ് ഇന്റലിജൻസ്, റിപ്പോർട്ടിംഗ് സിസ്റ്റത്തിലെ മാറ്റങ്ങൾ സ്വയമേവ റെക്കോർഡ് ചെയ്യാനുള്ള വഴികൾ നിങ്ങൾ അന്വേഷിക്കണം. അവ എത്ര മികച്ചതാണെങ്കിലും, Tableau, Qlik, PowerBI പോലുള്ള അനലിറ്റിക്‌സ് ടൂളുകൾ എളുപ്പവും ഓഡിറ്റ് ചെയ്യാവുന്നതുമായ മാറ്റ മാനേജ്‌മെന്റ് റിപ്പോർട്ടിംഗ് ഉൾപ്പെടുത്തുന്നത് അവഗണിച്ചു. നിങ്ങളുടെ ഗൃഹപാഠം ചെയ്യുക. നിങ്ങളുടെ അനലിറ്റിക്സ് പരിതസ്ഥിതിയിലെ മാറ്റങ്ങളുടെ ഡോക്യുമെന്റേഷൻ ഓട്ടോമേറ്റ് ചെയ്യുന്നതിനുള്ള ഒരു മാർഗം കണ്ടെത്തുക. ഇതിലും മികച്ചത്, നിങ്ങളുടെ സിസ്റ്റത്തിലെ മാറ്റങ്ങളുടെ ഒരു ലോഗ് മാത്രമല്ല, അംഗീകൃത ആന്തരിക നയങ്ങളോടും പ്രക്രിയകളോടും പൊരുത്തപ്പെടുന്ന മാറ്റങ്ങൾ ഒരു ഓഡിറ്റർക്ക് അവതരിപ്പിക്കാൻ തയ്യാറാകുക.

ഇതിനുള്ള കഴിവുണ്ട്: 

1) നിങ്ങൾക്ക് ഉറച്ച ആന്തരിക നയങ്ങളുണ്ടെന്ന് തെളിയിക്കുക, 

2) നിങ്ങളുടെ ഡോക്യുമെന്റ് ചെയ്ത പ്രക്രിയകൾ അവരെ പിന്തുണയ്ക്കുന്നു, ഒപ്പം 

3) യഥാർത്ഥ പരിശീലനം സ്ഥിരീകരിക്കാൻ കഴിയും 

ഏതൊരു ഓഡിറ്ററെയും സന്തോഷിപ്പിക്കും. കൂടാതെ, ഓഡിറ്റർ സന്തോഷവാനാണെങ്കിൽ, എല്ലാവരും സന്തുഷ്ടരാണെന്ന് എല്ലാവർക്കും അറിയാം.

പല കമ്പനികളും പാലിക്കുന്നതിന്റെ അധിക ചെലവുകളെക്കുറിച്ച് പരാതിപ്പെടുന്നു, കൂടാതെ SOX മാനദണ്ഡങ്ങൾ പാലിക്കുന്നതിനുള്ള ചെലവ് ഉയർന്നതായിരിക്കും. "ചെറിയ സ്ഥാപനങ്ങൾക്കും കൂടുതൽ സങ്കീർണ്ണമായ സ്ഥാപനങ്ങൾക്കും താഴ്ന്ന വളർച്ചാ അവസരങ്ങളുള്ള സ്ഥാപനങ്ങൾക്കും ഈ ചെലവുകൾ കൂടുതൽ പ്രാധാന്യമർഹിക്കുന്നു."  പാലിക്കാത്തതിന്റെ ചിലവ് ഇതിലും കൂടുതലായിരിക്കും.

പാലിക്കാത്തതിന്റെ അപകടസാധ്യത

സിഇഒമാർക്കും ഡയറക്ടർമാർക്കും 500,000 ഡോളർ വരെ ശിക്ഷയും 5 വർഷം തടവും ലഭിക്കാവുന്ന കുറ്റമാണ് സർബേൻസ്-ഓക്‌സ്‌ലിക്കുള്ളത്. അറിവില്ലായ്മയുടെയോ കഴിവില്ലായ്മയുടെയോ അപേക്ഷ സർക്കാർ പലപ്പോഴും അംഗീകരിക്കുന്നില്ല. ഞാൻ ഒരു സിഇഒ ആയിരുന്നെങ്കിൽ, ഞങ്ങൾ മികച്ച രീതികൾ പാലിച്ചിട്ടുണ്ടെന്നും എല്ലാ ഇടപാടുകളും നടത്തിയത് ആരാണെന്ന് ഞങ്ങൾക്കറിയാമെന്നും തെളിയിക്കാൻ എന്റെ ടീമിന് കഴിയണമെന്ന് ഞാൻ തീർച്ചയായും ആഗ്രഹിക്കുന്നു. 

ഒരു കാര്യം കൂടി. സാർബേൻസ്-ഓക്‌സ്‌ലി പരസ്യമായി വ്യാപാരം ചെയ്യുന്ന കമ്പനികൾക്കുള്ളതാണെന്ന് ഞാൻ പറഞ്ഞു. അത് ശരിയാണ്, എന്നാൽ നിങ്ങൾ എപ്പോഴെങ്കിലും ഒരു പൊതു ഓഫർ നടത്താൻ ആഗ്രഹിക്കുന്നുവെങ്കിൽ ആന്തരിക നിയന്ത്രണങ്ങളുടെ അഭാവവും ഡോക്യുമെന്റേഷന്റെ അഭാവവും നിങ്ങളെ എങ്ങനെ തടസ്സപ്പെടുത്തുമെന്ന് പരിഗണിക്കുക.