Analytics e Sarbanes-Oxley

Gerenciando a conformidade SOX com ferramentas de BI de autoatendimento, como Qlik, Tableau e PowerBI

No ano que vem, a SOX terá idade suficiente para comprar cerveja no Texas. Nasceu da “Reforma Contábil das Empresas Públicas e Lei de Proteção ao Investidor”, carinhosamente conhecida a partir de então pelos nomes dos senadores que patrocinaram o projeto de lei, a Lei Sarbanes-Oxley de 2002. A Sarbanes-Oxley foi fruto do Securities Act de 1933, cujo objetivo principal era proteger os investidores de fraudes, proporcionando transparência nas finanças corporativas. Como descendente desse ato, a Sarbanes-Oxley reforçou esses objetivos e tentou promover a responsabilização por meio de boas práticas de negócios. Mas, como muitos jovens adultos, ainda estamos tentando descobrir. Vinte anos depois, as empresas ainda estão tentando descobrir quais são as implicações da lei especificamente para elas, bem como a melhor forma de aumentar a transparência em sua tecnologia e sistemas para apoiar a conformidade.

Quem é responsável?

Ao contrário da crença popular, a Sarbanes-Oxley não se aplica apenas às instituições financeiras, ou apenas ao departamento financeiro. Seu objetivo é fornecer maior transparência em todos os dados organizacionais e processos relacionados. Tecnicamente, a Sarbanes-Oxley se aplica apenas a empresas de capital aberto, mas seus requisitos são válidos para qualquer negócio bem administrado. A Lei torna o CEO e o CFO pessoalmente responsáveis ​​pela dados apresentados. Esses executivos confiam, por sua vez, no CIO, CDO e CSO para garantir que os sistemas de dados sejam seguros, tenham integridade e sejam capazes de fornecer as informações necessárias para comprovar a conformidade. Recentemente, o controle e a conformidade tornaram-se um desafio maior para os CIOs e seus pares. Muitas organizações estão se afastando dos sistemas tradicionais de Business Intelligence e Analytics gerenciados por TI. Em vez disso, eles estão adotando ferramentas de autoatendimento lideradas pela linha de negócios, como Qlik, Tableau e PowerBI. Essas ferramentas, por design, não são gerenciadas centralmente.

Gestão de Mudanças

Um dos principais requisitos para o cumprimento da Lei é definir os controles em vigor e como as mudanças nos dados ou aplicativos devem ser sistematicamente registradas. Em outras palavras, a disciplina de Gerenciamento de Mudanças. A segurança, os dados e o acesso ao software precisam ser monitorados, bem como se os sistemas de TI não estão funcionando adequadamente. A conformidade depende não apenas de definir as políticas e processos para proteger o meio ambiente, mas também de realmente fazê-lo e, finalmente, poder provar que foi feito. Assim como a cadeia de custódia de provas policiais, o cumprimento da Sarbanes-Oxley é tão forte quanto seu elo mais fraco.  

O elo fraco

Como evangelista de análise, dói dizer isso, mas o elo mais fraco na conformidade com Sarbanes-Oxley geralmente é Analytics ou Business Intelligence. Os líderes em análise de autoatendimento mencionados acima – Qlik, Tableau e PowerBI – Análise e geração de relatórios hoje são mais geralmente feito em departamentos de linha de negócios do que em TI. Isso é ainda mais verdadeiro para ferramentas de análise como Qlik, Tableau e PowerBI, que aperfeiçoaram o modelo de BI de autoatendimento. A maior parte do dinheiro gasto em compliance concentrou-se em sistemas financeiros e contábeis. Mais recentemente, as empresas expandiram, com razão, a preparação de auditorias para outros departamentos. O que eles descobriram foi que os programas formais de Gerenciamento de Mudanças de TI não conseguiram abranger bancos de dados ou data warehouses/marts com o mesmo rigor usado para aplicativos e sistemas.  A área de conformidade de políticas e procedimentos de Gerenciamento de Mudanças se enquadra em Controles Gerais e é agrupada com outras políticas e procedimentos de TI de teste, recuperação de desastres, backup e recuperação e segurança.

Das muitas etapas necessárias para cumprir uma auditoria, uma das coisas mais frequentemente negligenciadas é: “Mantenha uma trilha de atividades com auditoria em tempo real, incluindo quem, o quê, onde e quando de todas as atividades do operador e mudanças de infraestrutura, especialmente aquelas que podem ser inadequadas ou maliciosas.”  Quer a alteração seja nas configurações do sistema, em um aplicativo de software ou nos próprios dados, deve ser mantido um registro que contenha, no mínimo, os seguintes elementos:

• Quem solicitou a alteração
• Quando a mudança foi realizada
• Qual é a mudança - uma descrição
• Quem aprovou a mudança

Registrar essas informações sobre alterações em relatórios e painéis em seus sistemas Analytics e Business Intelligence é igualmente importante. Independentemente de onde a ferramenta de análise e BI esteja no continuum de controle – o Velho Oeste, autoatendimento ou gerenciamento centralizado; se planilhas (estremecimento), Tableau/Qlik/Power BI ou Cognos Analytics – para estar em conformidade com a Sarbanes-Oxley, você precisará registrar essas informações básicas. O auditor não se importa se você está usando papel e caneta ou um sistema automatizado para documentar que seus processos de controle estão sendo seguidos. Admito que, se você estiver usando planilhas como seu software “analítico” para tomar decisões de negócios, também poderá estar usando planilhas para registrar o gerenciamento de mudanças.  

No entanto, as chances são boas de que, se você já investiu em um sistema de análise como o PowerBI ou outros, deve procurar maneiras de automatizar o registro das alterações em seu sistema de relatórios e inteligência de negócios. Por melhores que sejam, ferramentas de análise prontas para uso, como Tableau, Qlik, PowerBI, não incluíram relatórios de gerenciamento de alterações fáceis e auditáveis. Faça sua lição de casa. Encontre uma maneira de automatizar a documentação de alterações em seu ambiente de análise. Melhor ainda, esteja preparado para apresentar a um auditor, não apenas um registro de alterações em seu sistema, mas que as alterações estejam em conformidade com as políticas e processos internos aprovados.

Ter a capacidade de: 

1) demonstre que você tem políticas internas sólidas, 

2) que seus processos documentados os suportam e 

3) que a prática real pode ser confirmada 

fará qualquer auditor feliz. E, todo mundo sabe que se o auditor está feliz, todo mundo está feliz.

Muitas empresas reclamam dos custos adicionais de conformidade, e o custo de conformidade com os padrões SOX pode ser alto. “Esses custos são mais significativos para empresas menores, para empresas mais complexas e para empresas com oportunidades de menor crescimento.”  O custo da não conformidade pode ser ainda maior.

O risco de não conformidade

A Sarbanes-Oxley responsabiliza os CEOs e diretores e punível com até US$ 500,000 e 5 anos de prisão. O governo não costuma aceitar uma alegação de ignorância ou incompetência. Se eu fosse um CEO, certamente gostaria que minha equipe pudesse provar que seguimos as melhores práticas e sabíamos quem havia realizado todas as transações. 

Mais uma coisa. Eu disse que a Sarbanes-Oxley é para empresas de capital aberto. Isso é verdade, mas considere como a falta de controles internos e a falta de documentação podem atrapalhar se você quiser fazer uma oferta pública.