Er det et hull i Soxen din? (Samsvar)

by John BoyerAugust 2, 2022Revisjon, BI/Analytics0 kommentarer

Analytics og Sarbanes-Oxley

Administrere SOX-samsvar med selvbetjente BI-verktøy som Qlik, Tableau og PowerBI

Neste år vil SOX være gammel nok til å kjøpe øl i Texas. Den ble født ut av "Public Company Accounting Reform and Investor Protection Act", kjærlig kjent deretter under navnene på senatorene som sponset lovforslaget, Sarbanes-Oxley Act of 2002. Sarbanes Oxley Sarbanes-Oxley var avkom av Securities Act av 1933, hvis hovedformål var å beskytte investorer mot svindel ved å gi åpenhet i bedriftens økonomi. Som den handlingens avkom, forsterket Sarbanes-Oxley disse målene og forsøkte å fremme ansvarlighet gjennom god forretningspraksis. Men, som mange unge voksne, prøver vi fortsatt å finne ut av det. Tjue år senere prøver bedrifter fortsatt å finne ut hva lovens implikasjoner er for dem spesifikt, samt hvordan de best kan bygge økt åpenhet i teknologien og systemene deres for å støtte etterlevelse.

Hvem er ansvarlig?

I motsetning til hva mange tror, gjelder Sarbanes-Oxley ikke bare for finansinstitusjoner, eller bare for finansavdelingen. Målet er å gi større åpenhet i alle organisasjonsdata og relaterte prosesser. Teknisk sett gjelder Sarbanes-Oxley kun for børsnoterte selskaper, men kravene er gode for enhver veldrevet virksomhet. Loven gjør administrerende direktør og finansdirektør personlig ansvarlig for data presentert. Disse offiserene stoler på sin side på CIO, CDO og CSO for å sikre at datasystemene er sikre, har integritet og er i stand til å gi informasjon som er nødvendig for å bevise samsvar. I det siste har kontroll og etterlevelse blitt mer av en utfordring for IT-sjefer og deres jevnaldrende. Mange organisasjoner beveger seg bort fra tradisjonelle bedrifts-, IT-administrerte Analytics- og Business Intelligence-systemer. I stedet tar de i bruk linje-of-business-ledede selvbetjeningsverktøy som Qlik, Tableau og PowerBI. Disse verktøyene, etter design, administreres ikke sentralt.

Endringsledelse

Et av hovedkravene for etterlevelse av loven er å definere hvilke kontroller som er på plass og hvordan endringer i data eller applikasjoner systematisk skal registreres. Med andre ord, faget Change Management. Sikkerhet, data og programvaretilgang må overvåkes, samt om IT-systemer ikke fungerer som de skal. Overholdelse avhenger ikke bare av å definere retningslinjer og prosesser for å beskytte miljøet, men også å faktisk gjøre det og til slutt kunne bevise at det har blitt gjort. Akkurat som politiets beviskjede, er overholdelse av Sarbanes-Oxley bare så sterk som dets svakeste ledd.

Det svake leddet

Som analytikerevangelist gjør det meg vondt å si dette, men det svakeste leddet i Sarbanes-Oxley-overholdelse er ofte Analytics eller Business Intelligence. Lederne innen selvbetjent Analytics nevnt ovenfor – Qlik, Tableau og PowerBI – Analyse og rapportering i dag er mer ofte gjort i bransjeavdelinger enn i IT. Dette gjelder enda mer for Analytics-verktøy som Qlik, Tableau og PowerBI som har perfeksjonert selvbetjent BI-modellen. De fleste pengene brukt på overholdelse har fokusert på økonomi- og regnskapssystemer. Nylig har selskaper med rette utvidet revisjonsforberedelsen til andre avdelinger. Det de fant var at formelle IT Change Management-programmer ikke hadde klart å omfatte databaser eller datavarehus/markeder med samme strenghet som brukes for applikasjoner og systemer. Retningslinjer og prosedyrer for endringsadministrasjon faller inn under Generelle kontroller og er gruppert med andre IT-policyer og prosedyrer for testing, katastrofegjenoppretting, sikkerhetskopiering og gjenoppretting og sikkerhet.

Av de mange trinnene som kreves for å overholde en revisjon, er en av de tingene som oftest overses å: "Hold et aktivitetsspor med sanntidsrevisjon, inkludert hvem, hva, hvor og når av all operatøraktivitet og infrastrukturendringer, spesielt de som kan være upassende eller skadelige.» Enten endringen gjelder systeminnstillinger, en programvareapplikasjon eller selve dataene, må det opprettholdes en post som inneholder minst følgende elementer:

Hvem ba om endringen
Når endringen ble utført
Hva endringen er – en beskrivelse
Hvem godkjente endringen

Det er like viktig å registrere denne informasjonen om endringer i rapporter og dashbord i Analytics- og Business Intelligence-systemene. Uansett hvor Analytics- og BI-verktøyet er på kontinuumet av kontroll – det ville vesten, selvbetjent eller sentralt administrert; om regneark (gyse), Tableau/Qlik/Power BI eller Cognos Analytics – for å være i samsvar med Sarbanes-Oxley, må du registrere denne grunnleggende informasjonen. Revisor bryr seg ikke om du bruker penn og papir eller et automatisert system for å dokumentere at kontrollprosessene dine blir fulgt. Jeg innrømmer at hvis du bruker regneark som "analyseprogramvare" for å ta forretningsbeslutninger, kan det hende du også bruker regneark for å registrere endringshåndteringen.

Sjansen er imidlertid stor for at hvis du allerede har investert i et analysesystem som PowerBI eller andre, bør du lete etter måter å automatisere registrering av endringene i forretningsinformasjon og rapporteringssystem. Så gode som de er, ut-av-boksen, har analyseverktøy som Tableau, Qlik, PowerBI unnlatt å inkludere enkel, reviderbar endringsstyringsrapportering. Gjør leksene dine. Finn en måte å automatisere dokumentasjonen av endringer i analysemiljøet ditt. Enda bedre, vær forberedt på å presentere for en revisor, ikke bare en logg over endringer i systemet ditt, men at endringene samsvarer med godkjente interne retningslinjer og prosesser.

Å ha evnen til å:

1) vise at du har solide interne retningslinjer,

2) at dine dokumenterte prosesser støtter dem, og

3) at faktisk praksis kan bekreftes

vil gjøre enhver revisor glad. Og alle vet at hvis revisor er fornøyd, er alle fornøyde.

Mange selskaper klager på de ekstra kostnadene ved overholdelse, og kostnadene ved å overholde SOX-standarder kan være høye. "Disse kostnadene er mer betydelige for mindre firmaer, for mer komplekse firmaer og for firmaer med lavere vekstmuligheter." Kostnaden for manglende overholdelse kan bli enda høyere.

Risikoen for manglende overholdelse

Sarbanes-Oxley holder administrerende direktører og direktører ansvarlige og straffes med opptil $500,000 5 og XNUMX års fengsel. Regjeringen aksepterer ikke ofte en bønn om uvitenhet eller inkompetanse. Hvis jeg var administrerende direktør, ville jeg garantert ønsket at teamet mitt kunne bevise at vi hadde fulgt beste praksis og at vi visste hvem som hadde utført hver transaksjon.

En ting til. Jeg sa at Sarbanes-Oxley er for børsnoterte selskaper. Det er sant, men tenk på hvordan mangelen på internkontroll og mangel på dokumentasjon kan hindre deg hvis du noen gang ønsket å gi et offentlig tilbud.

BI/Analytics Uncategorized

Hvorfor Microsoft Excel er det første analyseverktøyet

Hvorfor er Excel det beste analyseverktøyet?

Det er billig og enkelt. Microsoft Excel-regnearkprogramvaren er sannsynligvis allerede installert på bedriftsbrukerens datamaskin. Og mange brukere i dag har vært utsatt for Microsoft Office-programvare siden videregående eller til og med tidligere. Dette knefallende svaret på...

Les mer

John Boyer | April 18, 2024 | 0

BI/Analytics Uncategorized

Rengjør innsikten din: En guide til vårrengjøring i Analytics

Rydd ut din innsikt En guide til Analytics Vårrengjøring Det nye året starter med et smell; årsavslutningsrapporter opprettes og granskes, og deretter legger alle seg inn i en konsistent arbeidsplan. Etter hvert som dagene blir lengre og trærne og blomstene blomstrer,...

Les mer

Sherie Wigder | April 10, 2024 | 0

BI/Analytics Uncategorized

NY Style vs Chicago Style Pizza: En deilig debatt

Når du tilfredsstiller trangene våre, er det få ting som kan måle seg med gleden ved en rykende varm pizzaskive. Debatten mellom pizza i New York-stil og Chicago-stil har utløst lidenskapelige diskusjoner i flere tiår. Hver stil har sine egne unike egenskaper og hengivne fans....

Les mer

Sherie Wigder | Mar 12, 2024 | 0

BI/Analytics Cognos Analytics

Brukerne dine vil ha Query Studio

Med utgivelsen av IBM Cognos Analytics 12 ble den lenge annonserte avviklingen av Query Studio og Analysis Studio endelig levert med en versjon av Cognos Analytics minus disse studioene. Selv om dette ikke burde komme som en overraskelse for de fleste som er engasjert i...

Les mer

Mike Norris | Februar 29, 2024 | 0

BI/Analytics Uncategorized

Er Taylor Swift-effekten ekte?

Noen kritikere antyder at hun driver opp Super Bowl-billettprisene. Denne helgens Super Bowl forventes å være en av de tre mest sette begivenhetene i TV-historien. Sannsynligvis mer enn fjorårets rekordsettende tall og kanskje til og med mer enn 3-månen...

Les mer

John Boyer | Februar 7, 2024 | 0

BI/Analytics

Analytics-kataloger – en stigende stjerne i Analytics-økosystemet

Introduksjon Som Chief Technology Officer (CTO) er jeg alltid på utkikk etter nye teknologier som forvandler måten vi nærmer oss analyse på. En slik teknologi som har fanget oppmerksomheten min de siste årene og har et enormt løfte, er Analytics...

Les mer

Lance Hankins | Oktober 19, 2023 | 0

Last inn flere

Er det et hull i Soxen din? (Samsvar)

Analytics og Sarbanes-Oxley

Hvem er ansvarlig?

Endringsledelse

Det svake leddet

Risikoen for manglende overholdelse

Relaterte blogginnlegg

Hvorfor er Excel det beste analyseverktøyet?

Rengjør innsikten din: En guide til vårrengjøring i Analytics

NY Style vs Chicago Style Pizza: En deilig debatt

Brukerne dine vil ha Query Studio

Er Taylor Swift-effekten ekte?

Analytics-kataloger – en stigende stjerne i Analytics-økosystemet

Få en demo

Free Software

Solutions

Produkter

Om Oss

Ressurser

Kontakt