Analityka i Sarbanes-Oxley

Zarządzanie zgodnością SOX z samoobsługowymi narzędziami BI, takimi jak Qlik, Tableau i PowerBI

W przyszłym roku SOX będzie na tyle dorosły, że będzie mógł kupować piwo w Teksasie. Narodziła się z „Ustawy o reformie rachunkowości przedsiębiorstw publicznych i ochronie inwestorów”, pieszczotliwie znanej odtąd pod nazwiskami senatorów, którzy sponsorowali tę ustawę, ustawie Sarbanes-Oxley z 2002 roku. Sarbanes-Oxley był potomkiem ustawy o papierach wartościowych z 1933 r., której głównym celem była ochrona inwestorów przed oszustwami poprzez zapewnienie przejrzystości finansów przedsiębiorstw. Jako potomek tego aktu, Sarbanes-Oxley wzmocnił te cele i próbował promować odpowiedzialność poprzez dobre praktyki biznesowe. Ale, jak wielu młodych dorosłych, wciąż próbujemy to rozgryźć. Dwadzieścia lat później firmy wciąż próbują ustalić, jakie konkretnie konsekwencje ma dla nich ustawa, a także jak najlepiej zwiększyć przejrzystość swoich technologii i systemów w celu zapewnienia zgodności.

Kto jest odpowiedzialny?

Wbrew powszechnemu przekonaniu Sarbanes-Oxley nie dotyczy tylko instytucji finansowych, czy tylko działu finansów. Jego celem jest zapewnienie większej przejrzystości wszystkich danych organizacyjnych i powiązanych procesów. Technicznie rzecz biorąc, Sarbanes-Oxley ma zastosowanie tylko do spółek notowanych na giełdzie, ale jego wymagania są rozsądne dla każdego dobrze zarządzanego biznesu. Ustawa nakłada na prezesa i dyrektora finansowego osobistą odpowiedzialność za przedstawione dane. Funkcjonariusze ci z kolei polegają na CIO, CDO i CSO, aby zapewnić, że systemy danych są bezpieczne, mają integralność i są w stanie dostarczyć informacje niezbędne do udowodnienia zgodności. Ostatnio kontrola i zgodność stały się większym wyzwaniem dla CIO i ich współpracowników. Wiele organizacji odchodzi od tradycyjnych korporacyjnych, zarządzanych przez dział IT systemów analitycznych i biznesowych. Zamiast tego stosują narzędzia samoobsługowe kierowane przez firmę, takie jak Qlik, Tableau i PowerBI. Narzędzia te z założenia nie są zarządzane centralnie.

Zarządzanie zmianami

Jednym z kluczowych wymogów zgodności z ustawą jest określenie stosowanych kontroli oraz sposobu systematycznego rejestrowania zmian w danych lub aplikacjach. Innymi słowy, dyscyplina zarządzania zmianą. Należy monitorować bezpieczeństwo, dostęp do danych i oprogramowania, a także czy systemy informatyczne nie działają prawidłowo. Zgodność zależy nie tylko od zdefiniowania polityk i procesów mających na celu ochronę środowiska, ale także od faktycznego wykonania tego i ostatecznego udowodnienia, że ​​zostało to zrobione. Podobnie jak policyjny łańcuch dowodowy, zgodność z Sarbanes-Oxley jest tak silna, jak jej najsłabsze ogniwo.  

Słabe ogniwo

Jako ewangelista analityki, boli mnie to powiedzieć, ale najsłabszym ogniwem w zgodności Sarbanes-Oxley jest często Analytics lub Business Intelligence. Wspomniani wyżej liderzy samoobsługowej analityki – Qlik, Tableau i PowerBI – Analiza i raportowanie to dziś więcej zwykle robi się to w działach biznesowych niż w IT. W jeszcze większym stopniu dotyczy to narzędzi analitycznych, takich jak Qlik, Tableau i PowerBI, które udoskonaliły samoobsługowy model BI. Większość pieniędzy wydanych na zapewnienie zgodności skupia się na systemach finansowo-księgowych. W ostatnim czasie firmy słusznie rozszerzyły przygotowanie do audytu na inne działy. Odkryli, że formalne programy zarządzania zmianą IT nie obejmowały baz danych lub hurtowni danych/martów z takim samym rygorem, jak w przypadku aplikacji i systemów.  Obszar zgodności zasad i procedur zarządzania zmianą podlega Kontrolom ogólnym i jest pogrupowany z innymi zasadami i procedurami IT dotyczącymi testowania, odzyskiwania po awarii, tworzenia kopii zapasowych oraz odzyskiwania i zabezpieczeń.

Spośród wielu kroków wymaganych do wykonania audytu, jedną z najczęściej pomijanych rzeczy jest: „Śledź aktywność z audytem w czasie rzeczywistym, w tym kto, co, gdzie i kiedy wszystkich działań operatora oraz zmiany infrastruktury, zwłaszcza te, które mogą być nieodpowiednie lub złośliwe”.  Niezależnie od tego, czy zmiana dotyczy ustawień systemu, aplikacji, czy samych danych, należy prowadzić rejestr zawierający co najmniej następujące elementy:

• Kto zażądał zmiany?
• Kiedy dokonano zmiany
• Na czym polega zmiana – opis
• Kto zatwierdził zmianę

Równie ważne jest rejestrowanie tych informacji o zmianach w raportach i pulpitach nawigacyjnych w systemach Analytics i Business Intelligence. Niezależnie od tego, w którym kontinuum kontroli znajduje się narzędzie Analytics i BI – na Dzikim Zachodzie, samoobsługowe czy zarządzane centralnie; czy arkusze kalkulacyjne (dreszcz), Tableau/Qlik/Power BI czy Cognos Analytics – aby zachować zgodność z Sarbanes-Oxley, musisz rejestrować te podstawowe informacje. Audytor nie dba o to, czy używasz długopisu i papieru, czy zautomatyzowanego systemu do udokumentowania, że ​​twoje procesy kontrolne są przestrzegane. Przyznaję, że jeśli używasz arkuszy kalkulacyjnych jako oprogramowania „analitycznego” do podejmowania decyzji biznesowych, możesz również używać arkuszy kalkulacyjnych do rejestrowania zarządzania zmianami.  

Jednak są duże szanse, że jeśli już zainwestowałeś w system analityczny, taki jak PowerBI lub inny, powinieneś szukać sposobów na zautomatyzowanie rejestrowania zmian w swoim systemie analizy biznesowej i raportowania. Tak dobre, jak są, gotowe narzędzia analityczne, takie jak Tableau, Qlik, PowerBI, nie zawierają łatwego, podlegającego kontroli raportowania zarządzania zmianami. Odrób swoją pracę domową. Znajdź sposób na zautomatyzowanie dokumentacji zmian w środowisku analitycznym. Co więcej, przygotuj się na przedstawienie audytorowi nie tylko dziennika zmian w swoim systemie, ale także tego, że zmiany są zgodne z zatwierdzonymi wewnętrznymi zasadami i procesami.

Posiadanie umiejętności: 

1) wykazać, że posiadasz solidne polityki wewnętrzne, 

2) że Twoje udokumentowane procesy je wspierają, oraz 

3) że faktyczna praktyka może zostać potwierdzona 

uszczęśliwi każdego audytora. I wszyscy wiedzą, że jeśli audytor jest szczęśliwy, wszyscy są szczęśliwi.

Wiele firm skarży się na dodatkowe koszty przestrzegania przepisów, a koszty przestrzegania norm SOX mogą być wysokie. „Koszty te są bardziej znaczące dla mniejszych firm, dla bardziej złożonych firm i dla firm o niższych możliwościach wzrostu”.  Koszt niezgodności może być jeszcze wyższy.

Ryzyko niezgodności

Sarbanes-Oxley pociąga do odpowiedzialności dyrektorów generalnych i dyrektorów, którzy podlegają karze do 500,000 5 dolarów i XNUMX lat więzienia. Rząd często nie akceptuje zarzutów o ignorancję lub niekompetencję. Gdybym był CEO, z pewnością chciałbym, aby mój zespół był w stanie udowodnić, że postępowaliśmy zgodnie z najlepszymi praktykami i wiedzieliśmy, kto wykonał każdą transakcję. 

Jeszcze jedna rzecz. Powiedziałem, że Sarbanes-Oxley jest przeznaczony dla spółek giełdowych. To prawda, ale zastanów się, jak brak kontroli wewnętrznej i brak dokumentacji może utrudnić Ci przeprowadzenie oferty publicznej.