Analytics și Sarbanes-Oxley
Gestionarea conformității SOX cu instrumente de BI cu autoservire precum Qlik, Tableau și PowerBI
Anul viitor, SOX va avea vârsta suficientă pentru a cumpăra bere în Texas. A luat naștere din „Legea privind reforma contabilă a companiei publice și protecția investitorilor”, cunoscută cu afecțiune ulterior prin numele senatorilor care au sponsorizat proiectul de lege, Legea Sarbanes-Oxley din 2002. 
Sarbanes-Oxley a fost urmașul Legii Securities Act din 1933, al cărui scop principal a fost de a proteja investitorii de fraudă, oferind transparență în finanțele corporative. Ca descendență a actului, Sarbanes-Oxley a consolidat aceste obiective și a încercat să promoveze responsabilitatea prin bune practici de afaceri. Dar, la fel ca mulți adulți tineri, încă încercăm să ne dăm seama. După douăzeci de ani, companiile încă încearcă să-și dea seama care sunt implicațiile actului pentru ele în mod specific, precum și cum să creeze o transparență sporită în tehnologia și sistemele lor pentru a susține conformitatea.
Cine este responsabil?
Contrar credinței populare, Sarbanes-Oxley nu se aplică doar instituțiilor financiare, sau doar departamentului financiar. Scopul său este de a oferi o mai mare transparență în toate datele organizaționale și procesele aferente. Din punct de vedere tehnic, Sarbanes-Oxley se aplică numai corporațiilor cotate la bursă, dar cerințele sale sunt solide pentru orice afacere bine gestionată. Legea face ca CEO-ul și CFO să răspundă personal pentru 
datele prezentate. Acești ofițeri se bazează, la rândul lor, pe CIO, CDO și CSO pentru a se asigura că sistemele de date sunt sigure, au integritate și sunt capabile să furnizeze informațiile necesare pentru a dovedi conformitatea. Recent, controlul și conformitatea au devenit mai mult o provocare pentru CIO și colegii lor. Multe organizații se îndepărtează de sistemele de business tradiționale, de analiză gestionate de IT și Business Intelligence. În schimb, adoptă instrumente de autoservire conduse de linia de afaceri precum Qlik, Tableau și PowerBI. Aceste instrumente, prin proiectare, nu sunt gestionate centralizat.
Managementul schimbării
Una dintre cerințele cheie pentru conformitatea cu Legea este definirea controalelor în vigoare și a modului în care modificările datelor sau aplicațiilor ar trebui înregistrate sistematic. Cu alte cuvinte, disciplina Managementul schimbării. Securitatea, accesul la date și la software trebuie monitorizate, precum și dacă sistemele IT nu funcționează corect. Conformitatea depinde nu doar de definirea politicilor și proceselor de salvgardare a mediului, ci și de a face acest lucru efectiv și, în cele din urmă, de a putea demonstra că a fost făcut. La fel ca și lanțul de custodie a dovezilor poliției, respectarea Sarbanes-Oxley este la fel de puternică ca veriga sa cea mai slabă.
Veriga slabă
Ca evanghelist analitic, mă doare să spun asta, dar cea mai slabă verigă în conformitatea Sarbanes-Oxley este adesea Analytics sau Business Intelligence. Liderii în analiză self-service menționați mai sus – Qlik, Tableau și PowerBI – Analiza și raportarea de astăzi este mai mult 
se desfășoară în mod obișnuit în departamentele de linie de afaceri decât în IT. Acest lucru este și mai adevărat pentru instrumentele de analiză precum Qlik, Tableau și PowerBI, care au perfecționat modelul BI cu autoservire. Majoritatea banilor cheltuiți pentru conformitate s-au concentrat pe sistemele financiare și contabile. Mai recent, companiile au extins pe bună dreptate pregătirea pentru audit la alte departamente. Ceea ce au descoperit a fost că programele formale de management al schimbărilor IT nu au reușit să cuprindă baze de date sau depozite de date/magazine cu aceeași rigoare folosită pentru aplicații și sisteme. Zona de conformitate a politicilor și procedurilor de management al schimbărilor intră sub controlul general și este grupată cu alte politici și proceduri IT de testare, recuperare în caz de dezastru, backup și recuperare și securitate.
Dintre mulți pași necesari pentru a se conforma unui audit, unul dintre lucrurile cel mai des trecute cu vederea este: „Păstrați o urmărire a activității cu auditare în timp real, inclusiv cine, ce, unde și când a tuturor activităților operatorului și schimbările de infrastructură, în special cele care ar putea fi inadecvate sau rău intenționate.” Indiferent dacă modificarea se referă la setările sistemului, la o aplicație software sau la datele în sine, trebuie păstrată o înregistrare care să conțină cel puțin următoarele elemente:
- Cine a cerut schimbarea
- Când schimbarea a fost efectuată
- Care este schimbarea – o descriere
- Cine a aprobat schimbarea
Înregistrarea acestor informații despre modificările aduse rapoartelor și tablourilor de bord în sistemele dvs. de Analytics și Business Intelligence este la fel de importantă. Indiferent de locul în care instrumentul Analytics și BI se află pe continuum-ul de control – Vestul Sălbatic, autoservire sau gestionat central; fie foi de calcul (fior), Tableau/Qlik/Power BI sau Cognos Analytics – pentru a fi în conformitate cu Sarbanes-Oxley, va trebui să înregistrați aceste informații de bază. Auditorului nu îi pasă dacă utilizați hârtie și pix sau un sistem automat pentru a documenta că procesele dumneavoastră de control sunt urmate. Recunosc că, dacă utilizați foi de calcul ca software de „analitică” pentru a lua decizii de afaceri, este posibil să utilizați și foi de calcul pentru a înregistra gestionarea schimbărilor.
Cu toate acestea, sunt șanse mari ca, dacă ați investit deja într-un sistem de analiză precum PowerBI sau altele, să căutați modalități de a automatiza înregistrarea modificărilor în sistemul dvs. de business intelligence și raportare. Oricât de bune sunt, instrumentele de analiză precum Tableau, Qlik, PowerBI au neglijat să includă raportări ușoare și auditabile de gestionare a schimbărilor. Fă-ți tema. Găsiți o modalitate de a automatiza documentarea modificărilor aduse mediului dvs. de analiză. Și mai bine, fiți pregătit să prezentați unui auditor, nu doar un jurnal al modificărilor aduse sistemului dvs., ci că modificările sunt conforme cu politicile și procesele interne aprobate.
Având capacitatea de a:
1) demonstrați că aveți politici interne solide,
2) că procesele dumneavoastră documentate le susțin și
3) că practica reală poate fi confirmată
va face fericit orice auditor. Și toată lumea știe că, dacă auditorul este fericit, toată lumea este fericită.
Multe companii se plâng de costurile suplimentare ale conformității, iar costul conformării cu standardele SOX poate fi ridicat. „Aceste costuri sunt mai semnificative pentru firmele mai mici, pentru firmele mai complexe și pentru firmele cu oportunități de creștere mai reduse.” Costul pentru neconformitate poate fi chiar mai mare.
Riscul de neconformitate
Sarbanes-Oxley îi trage la răspundere pe directorii executivi și pe directori și se pedepsesc cu până la 500,000 de dolari și 5 ani de închisoare. Guvernul nu acceptă adesea o pledoarie de ignoranță sau incompetență. Dacă aș fi CEO, cu siguranță mi-aș dori ca echipa mea să poată dovedi că am respectat cele mai bune practici și că am știut cine a efectuat fiecare tranzacție.
Inca un lucru. Am spus că Sarbanes-Oxley este pentru companiile cotate la bursă. Este adevărat, dar luați în considerare modul în care lipsa controalelor interne și lipsa documentației v-ar putea împiedica dacă ați dorit vreodată să faceți o ofertă publică.
