Analytics en Sarbanes-Oxley
SOX-compliance beheren met selfservice BI-tools zoals Qlik, Tableau en PowerBI
Volgend jaar zal SOX oud genoeg zijn om bier te kopen in Texas. Het werd geboren uit de "Public Company Accounting Reform and Investor Protection Act", daarna liefkozend bekend onder de namen van de senatoren die het wetsvoorstel sponsorden, de Sarbanes-Oxley Act van 2002. 
Sarbanes-Oxley was de nakomeling van de Securities Act van 1933, waarvan het voornaamste doel was om investeerders te beschermen tegen fraude door transparantie te verschaffen over de bedrijfsfinanciën. Als nakomeling van die wet versterkte Sarbanes-Oxley die doelstellingen en probeerde hij de aansprakelijkheid te bevorderen door middel van goede zakelijke praktijken. Maar, zoals veel jonge volwassenen, proberen we het nog steeds uit te zoeken. Twintig jaar later proberen bedrijven nog steeds uit te zoeken wat de implicaties van de wet specifiek voor hen zijn, en hoe ze het beste meer transparantie in hun technologie en systemen kunnen inbouwen om naleving te ondersteunen.
Wie is verantwoordelijk?
In tegenstelling tot wat vaak wordt gedacht, is Sarbanes-Oxley niet alleen van toepassing op financiële instellingen, of alleen op de financiële afdeling. Het doel is om meer transparantie te bieden in alle organisatorische gegevens en gerelateerde processen. Technisch gezien is Sarbanes-Oxley alleen van toepassing op beursgenoteerde bedrijven, maar de vereisten zijn solide voor elk goed gerund bedrijf. De wet maakt de CEO en CFO persoonlijk verantwoordelijk voor de 
gegevens gepresenteerd. Deze functionarissen vertrouwen op hun beurt op de CIO, CDO en CSO om ervoor te zorgen dat de datasystemen veilig zijn, integriteit hebben en in staat zijn om informatie te verstrekken die nodig is om naleving te bewijzen. De laatste tijd zijn controle en compliance een grotere uitdaging geworden voor CIO's en hun collega's. Veel organisaties stappen af van traditionele enterprise-, IT-beheerde Analytics- en Business Intelligence-systemen. In plaats daarvan gebruiken ze line-of-business-geleide selfservice-tools zoals Qlik, Tableau en PowerBI. Deze tools worden door het ontwerp niet centraal beheerd.
Change Management
Een van de belangrijkste vereisten voor naleving van de wet is het definiëren van de aanwezige controles en hoe wijzigingen in gegevens of toepassingen systematisch moeten worden vastgelegd. Oftewel de discipline Change Management. Beveiliging, toegang tot gegevens en software moeten worden gecontroleerd, evenals of IT-systemen niet goed werken. Compliance hangt niet alleen af van het definiëren van het beleid en de processen om het milieu te beschermen, maar ook van het daadwerkelijk doen en uiteindelijk kunnen bewijzen dat het is gedaan. Net als bewijs van de politie, is de naleving van Sarbanes-Oxley zo sterk als de zwakste schakel.
De zwakke schakel
Als analyse-evangelist vind ik het jammer om dit te zeggen, maar de zwakste schakel in Sarbanes-Oxley-compliance is vaak Analytics of Business Intelligence. De bovengenoemde leiders in self-service Analytics –Qlik, Tableau en PowerBI – Analyse en rapportage van vandaag is meer 
vaak gedaan in line-of-business afdelingen dan in IT. Dit geldt nog meer voor Analytics-tools zoals Qlik, Tableau en PowerBI die het selfservice BI-model hebben geperfectioneerd. Het meeste geld dat aan compliance is besteed, is gericht op financiële en boekhoudsystemen. Meer recentelijk hebben bedrijven terecht de auditvoorbereiding uitgebreid naar andere afdelingen. Wat ze ontdekten was dat formele IT Change Management-programma's er niet in waren geslaagd om databases of datawarehouses/marts te omvatten met dezelfde nauwkeurigheid die wordt gebruikt voor applicaties en systemen. Het beleid en de procedures voor naleving van wijzigingsbeheer vallen onder de algemene controles en zijn gegroepeerd met andere IT-beleidslijnen en procedures voor testen, noodherstel, back-up en herstel en beveiliging.
Van de vele stappen die nodig zijn om aan een audit te voldoen, wordt vaak over het hoofd gezien: “Houd een activiteitenspoor bij met realtime auditing, inclusief een wie, wat, waar en wanneer van alle activiteiten van operators en infrastructuurveranderingen, vooral die welke ongepast of kwaadaardig kunnen zijn.” Of het nu gaat om systeeminstellingen, een softwaretoepassing of gegevens zelf, er moet een record worden bijgehouden dat ten minste de volgende elementen bevat:
- Wie heeft de wijziging aangevraagd
- Wanneer de wijziging is uitgevoerd
- Wat de verandering is - een beschrijving
- Wie heeft de wijziging goedgekeurd?
Het vastleggen van deze informatie over wijzigingen in rapporten en dashboards in uw Analytics- en Business Intelligence-systemen is minstens zo belangrijk. Ongeacht waar de Analytics- en BI-tool zich op het continuüm van controle bevindt - het Wilde Westen, selfservice of centraal beheerd; of spreadsheets (huiveren), Tableau/Qlik/Power BI of Cognos Analytics – om te voldoen aan Sarbanes-Oxley, moet u deze basisinformatie vastleggen. Het maakt de auditor niet uit of u pen en papier of een geautomatiseerd systeem gebruikt om te documenteren dat uw controleprocessen worden gevolgd. Ik geef toe dat als u spreadsheets gebruikt als uw 'analysesoftware' om zakelijke beslissingen te nemen, u mogelijk ook spreadsheets gebruikt om het wijzigingsbeheer vast te leggen.
De kans is echter groot dat als u al hebt geïnvesteerd in een analysesysteem zoals PowerBI of andere, u op zoek moet gaan naar manieren om het vastleggen van de wijzigingen in uw business intelligence- en rapportagesysteem te automatiseren. Hoe goed ze ook zijn, kant-en-klare analysetools zoals Tableau, Qlik en PowerBI hebben nagelaten om eenvoudige, controleerbare rapportage over verandermanagement op te nemen. Doe je huiswerk. Vind een manier om de documentatie van wijzigingen in uw analyseomgeving te automatiseren. Sterker nog, wees voorbereid om aan een auditor niet alleen een logboek van wijzigingen in uw systeem te presenteren, maar ook dat de wijzigingen voldoen aan goedgekeurde interne beleidsregels en processen.
Het vermogen hebben om:
1) aantonen dat u een solide intern beleid heeft,
2) dat uw gedocumenteerde processen deze ondersteunen, en
3) dat de praktijk kan worden bevestigd
zal elke accountant blij maken. En iedereen weet dat als de auditor blij is, iedereen blij is.
Veel bedrijven klagen over de extra kosten van naleving en de kosten van naleving van SOX-normen kunnen hoog zijn. "Deze kosten zijn groter voor kleinere bedrijven, voor complexere bedrijven en voor bedrijven met minder groeimogelijkheden." De kosten voor niet-naleving kunnen nog hoger zijn.
Het risico van niet-naleving
Sarbanes-Oxley houdt CEO's en directeuren verantwoordelijk en bestraft met maximaal $ 500,000 en 5 jaar gevangenisstraf. Een pleidooi van onwetendheid of incompetentie accepteert de overheid niet vaak. Als ik een CEO was, zou ik zeker willen dat mijn team kan bewijzen dat we ons aan de best practices hadden gehouden en dat we wisten wie elke transactie had uitgevoerd.
Nog een ding. Ik zei dat Sarbanes-Oxley voor beursgenoteerde bedrijven is. Dat is waar, maar bedenk eens hoe het gebrek aan interne controles en het gebrek aan documentatie u zouden kunnen hinderen als u ooit een openbare aanbieding zou willen doen.
