विश्लेषण आणि सरबनेस-ऑक्सले
Qlik, Tableau आणि PowerBI सारख्या स्व-सेवा BI साधनांसह SOX अनुपालन व्यवस्थापित करणे
पुढील वर्षी टेक्सासमध्ये बीअर खरेदी करण्यासाठी SOX पुरेसे जुने होईल. "पब्लिक कंपनी अकाउंटिंग रिफॉर्म अँड इन्व्हेस्टर प्रोटेक्शन ऍक्ट" मधून त्याचा जन्म झाला, त्यानंतर बिल प्रायोजित करणार्या सिनेटर्सच्या नावाने ओळखले जाते, सरबनेस-ऑक्सले कायदा 2002. 
Sarbanes-Oxley हे 1933 च्या सिक्युरिटीज कायद्याचे अपत्य होते ज्याचा मुख्य उद्देश कॉर्पोरेट वित्तांमध्ये पारदर्शकता प्रदान करून गुंतवणूकदारांना फसवणुकीपासून संरक्षण करणे हा होता. त्या कायद्याची संतती म्हणून, सरबनेस-ऑक्सलेने त्या उद्दिष्टांना बळकटी दिली आणि चांगल्या व्यवसाय पद्धतींद्वारे जबाबदारीला प्रोत्साहन देण्याचा प्रयत्न केला. परंतु, अनेक तरुण प्रौढांप्रमाणे, आम्ही अजूनही ते शोधण्याचा प्रयत्न करत आहोत. वीस वर्षांनंतर, कंपन्या अजूनही त्यांच्यासाठी कायद्याचे काय परिणाम आहेत हे शोधण्याचा प्रयत्न करत आहेत, तसेच त्यांच्या तंत्रज्ञान आणि प्रणालींमध्ये अनुपालनास समर्थन देण्यासाठी वाढीव पारदर्शकता कशी निर्माण करता येईल.
जबाबदार कोण?
लोकप्रिय समजुतीच्या विरुद्ध, Sarbanes-Oxley केवळ वित्तीय संस्थांना लागू होत नाही किंवा केवळ वित्त विभागाला लागू होत नाही. सर्व संस्थात्मक डेटा आणि संबंधित प्रक्रियांमध्ये अधिक पारदर्शकता प्रदान करणे हे त्याचे ध्येय आहे. तांत्रिकदृष्ट्या, Sarbanes-Oxley फक्त सार्वजनिकरित्या व्यापार करणाऱ्या कॉर्पोरेशन्सना लागू होते, परंतु कोणत्याही चांगल्या व्यवसायासाठी त्याची आवश्यकता योग्य आहे. कायदा सीईओ आणि सीएफओ यांना वैयक्तिकरित्या जबाबदार बनवतो 
डेटा सादर केला. हे अधिकारी डेटा सिस्टम सुरक्षित आहेत, अखंडता आहेत आणि अनुपालन सिद्ध करण्यासाठी आवश्यक माहिती प्रदान करण्यास सक्षम आहेत याची खात्री करण्यासाठी CIO, CDO आणि CSO वर अवलंबून असतात. अलीकडे, नियंत्रण आणि अनुपालन हे CIO आणि त्यांच्या सहकाऱ्यांसाठी एक आव्हान बनले आहे. बर्याच संस्था पारंपारिक एंटरप्राइझ, IT-व्यवस्थापित विश्लेषणे आणि व्यवसाय बुद्धिमत्ता प्रणालींपासून दूर जात आहेत. त्याऐवजी, ते Qlik, Tableau आणि PowerBI सारख्या व्यवसायाच्या नेतृत्वाखालील स्वयं-सेवा साधनांचा अवलंब करत आहेत. ही साधने, डिझाइननुसार, मध्यवर्ती पद्धतीने व्यवस्थापित केली जात नाहीत.
व्यवस्थापन बदला
कायद्याचे पालन करण्यासाठी मुख्य आवश्यकतांपैकी एक म्हणजे नियंत्रणे परिभाषित करणे आणि डेटा किंवा अनुप्रयोगांमधील बदल पद्धतशीरपणे कसे रेकॉर्ड केले जावेत. दुसऱ्या शब्दांत, बदल व्यवस्थापनाची शिस्त. सुरक्षा, डेटा आणि सॉफ्टवेअर ऍक्सेसचे निरीक्षण करणे आवश्यक आहे, तसेच, आयटी सिस्टम योग्यरित्या कार्य करत नाहीत की नाही. अनुपालन केवळ पर्यावरणाचे रक्षण करण्यासाठी धोरणे आणि प्रक्रिया परिभाषित करण्यावर अवलंबून नाही तर प्रत्यक्षात ते करणे आणि शेवटी ते केले गेले आहे हे सिद्ध करण्यास सक्षम असणे यावर अवलंबून असते. पोलिस पुराव्याच्या साखळीप्रमाणेच, सरबनेस-ऑक्सलेचे पालन करणे ही त्याच्या सर्वात कमकुवत दुव्याइतकीच मजबूत आहे.
कमकुवत दुवा
विश्लेषक प्रचारक म्हणून, मला हे सांगताना वेदना होत आहेत, परंतु सरबनेस-ऑक्सले अनुपालनातील सर्वात कमकुवत दुवा म्हणजे अनेकदा विश्लेषण किंवा व्यवसाय बुद्धिमत्ता. वर नमूद केलेल्या सेल्फ-सर्व्हिस अॅनालिटिक्स मधील लीडर्स - क्वलिक, टॅबलो आणि पॉवरबीआय - आजचे विश्लेषण आणि रिपोर्टिंग अधिक आहे 
आयटी पेक्षा सामान्यतः व्यवसाय विभागांमध्ये केले जाते. हे Qlik, Tableau आणि PowerBI सारख्या अॅनालिटिक्स टूल्सच्या बाबतीत अधिक सत्य आहे ज्यांनी सेल्फ-सर्व्हिस BI मॉडेल परिपूर्ण केले आहे. अनुपालनासाठी खर्च केलेले बहुतेक पैसे आर्थिक आणि लेखा प्रणालीवर केंद्रित आहेत. अगदी अलीकडे, कंपन्यांनी ऑडिटची तयारी इतर विभागांमध्ये विस्तारित केली आहे. त्यांना जे आढळले ते असे की औपचारिक IT चेंज मॅनेजमेंट प्रोग्राम डेटाबेसेस किंवा डेटा वेअरहाऊस/मार्ट्सचा समावेश करण्यात अयशस्वी झाले होते ज्यात अनुप्रयोग आणि सिस्टम्ससाठी वापरल्या जाणार्या समान कठोरतेचा वापर केला जातो. चेंज मॅनेजमेंट पॉलिसी आणि कार्यपद्धतीचे अनुपालन क्षेत्र सामान्य नियंत्रणांतर्गत येते आणि इतर IT धोरणे आणि चाचणी, आपत्ती पुनर्प्राप्ती, बॅकअप आणि पुनर्प्राप्ती आणि सुरक्षिततेच्या प्रक्रियेसह गटबद्ध केले जाते.
ऑडिटचे पालन करण्यासाठी आवश्यक असलेल्या अनेक पायर्यांपैकी, बर्याचदा दुर्लक्षित केलेल्या गोष्टींपैकी एक म्हणजे: “सर्व ऑपरेटर क्रियाकलाप कोण, काय, कुठे आणि केव्हा यासह रिअल-टाइम ऑडिटिंगसह क्रियाकलाप ट्रेल ठेवा आणि पायाभूत सुविधांमध्ये बदल, विशेषत: जे अयोग्य किंवा दुर्भावनापूर्ण असू शकतात. बदल सिस्टीम सेटिंग्ज, सॉफ्टवेअर ऍप्लिकेशन किंवा डेटामध्येच असला तरीही, एक रेकॉर्ड राखला जाणे आवश्यक आहे ज्यामध्ये किमान खालील घटक आहेत:
- ज्याने बदलाची विनंती केली
- जेव्हा बदल केला गेला
- बदल काय आहे - वर्णन
- बदलाला कोणी मान्यता दिली
तुमच्या अॅनालिटिक्स आणि बिझनेस इंटेलिजन्स सिस्टीममधील अहवाल आणि डॅशबोर्डमधील बदलांबद्दल ही माहिती रेकॉर्ड करणे तितकेच महत्त्वाचे आहे. अॅनालिटिक्स आणि बीआय टूल सतत नियंत्रणावर कुठे आहे याची पर्वा न करता – वाइल्ड वेस्ट, सेल्फ-सर्व्हिस किंवा केंद्रीय व्यवस्थापित; स्प्रेडशीट्स (थरथरणे) , Tableau/Qlik/Power BI, किंवा Cognos Analytics – Sarbanes-Oxley चे पालन करण्यासाठी, तुम्हाला ही मूलभूत माहिती रेकॉर्ड करणे आवश्यक आहे. तुमची नियंत्रण प्रक्रिया फॉलो केली जात असल्याचे दस्तऐवज करण्यासाठी तुम्ही पेन आणि कागद किंवा स्वयंचलित प्रणाली वापरत असल्यास ऑडिटरला काळजी नाही. मी कबूल करतो की जर तुम्ही स्प्रेडशीट्सचा वापर व्यवसाय निर्णय घेण्यासाठी तुमचे "विश्लेषण" सॉफ्टवेअर म्हणून करत असाल, तर तुम्ही बदल व्यवस्थापन रेकॉर्ड करण्यासाठी स्प्रेडशीट देखील वापरत असाल.
तथापि, शक्यता चांगली आहे की जर तुम्ही आधीच पॉवरबीआय किंवा इतर सारख्या विश्लेषण प्रणालीमध्ये गुंतवणूक केली असेल, तर तुम्ही तुमच्या व्यावसायिक बुद्धिमत्ता आणि अहवाल प्रणालीमधील बदल स्वयंचलितपणे रेकॉर्ड करण्याचे मार्ग शोधत असाल. ते जितके चांगले आहेत तितकेच, आउट-ऑफ-द-बॉक्स, विश्लेषण साधन जसे की Tableau, Qlik, PowerBI ने सोपे, ऑडिटेबल बदल व्यवस्थापन अहवाल समाविष्ट करण्याकडे दुर्लक्ष केले आहे. तुझा गृहपाठ कर. तुमच्या विश्लेषण वातावरणातील बदलांचे दस्तऐवजीकरण स्वयंचलित करण्याचा मार्ग शोधा. याहूनही चांगले, ऑडिटरला सादर करण्यास तयार राहा, तुमच्या सिस्टीममधील बदलांची नोंदच नव्हे, तर बदल स्वीकृत अंतर्गत धोरणे आणि प्रक्रियांशी सुसंगत आहेत.
क्षमता असणे:
1) तुमच्याकडे ठोस अंतर्गत धोरणे असल्याचे प्रदर्शित करा,
२) तुमच्या दस्तऐवजीकरण केलेल्या प्रक्रिया त्यांना समर्थन देतात आणि
3) वास्तविक सरावाची पुष्टी केली जाऊ शकते
कोणत्याही ऑडिटरला आनंदित करेल. आणि, प्रत्येकाला माहित आहे की ऑडिटर आनंदी असल्यास, प्रत्येकजण आनंदी आहे.
अनेक कंपन्या अनुपालनाच्या अतिरिक्त खर्चाबद्दल तक्रार करतात आणि SOX मानकांचे पालन करण्याची किंमत जास्त असू शकते. "हे खर्च लहान कंपन्यांसाठी, अधिक जटिल कंपन्यांसाठी आणि कमी-वाढीच्या संधी असलेल्या कंपन्यांसाठी अधिक महत्त्वपूर्ण आहेत." गैर-अनुपालनाची किंमत आणखी जास्त असू शकते.
गैर-अनुपालनाचा धोका
Sarbanes-Oxley CEO आणि संचालकांना जबाबदार धरते आणि $500,000 पर्यंत दंडनीय आणि 5 वर्षे तुरुंगवास. सरकार अनेकदा अज्ञान किंवा अक्षमतेची याचिका स्वीकारत नाही. मी जर सीईओ असतो, तर मी निश्चितपणे माझ्या टीमला हे सिद्ध करू इच्छितो की आम्ही सर्वोत्तम पद्धतींचे पालन केले आहे आणि प्रत्येक व्यवहार कोणी केला आहे हे आम्हाला ठाऊक आहे.
आणखी एक गोष्ट. मी म्हणालो की Sarbanes-Oxley सार्वजनिकपणे व्यापार करणाऱ्या कंपन्यांसाठी आहे. हे खरे आहे, परंतु जर तुम्हाला सार्वजनिक ऑफर करायची असेल तर अंतर्गत नियंत्रणांचा अभाव आणि दस्तऐवजीकरणाचा अभाव तुम्हाला कसा अडथळा आणू शकतो याचा विचार करा.
