Аналитика и Сарбейнс-Оксли

Управление соответствием SOX с помощью инструментов самообслуживания BI, таких как Qlik, Tableau и PowerBI.

В следующем году SOX станет достаточно взрослым, чтобы покупать пиво в Техасе. Он был рожден из «Закона о реформе бухгалтерского учета в государственных компаниях и защите инвесторов», известного впоследствии по именам сенаторов, которые выступили авторами законопроекта, Закона Сарбейнса-Оксли 2002 года. Закон Сарбейнса-Оксли был порождением Закона о ценных бумагах 1933 года, главной целью которого была защита инвесторов от мошенничества путем обеспечения прозрачности корпоративных финансов. Как потомок этого акта, Сарбейнс-Оксли укрепил эти цели и попытался способствовать подотчетности с помощью передовой деловой практики. Но, как и многие молодые люди, мы все еще пытаемся понять это. Двадцать лет спустя компании все еще пытаются выяснить, каковы последствия этого закона конкретно для них, а также как лучше всего обеспечить повышенную прозрачность своих технологий и систем для обеспечения соответствия требованиям.

Кто за это отвечает?

Вопреки распространенному мнению, закон Сарбейнса-Оксли применим не только к финансовым учреждениям или только к финансовому отделу. Его цель — обеспечить большую прозрачность всех организационных данных и связанных с ними процессов. Технически Закон Сарбейнса-Оксли применим только к публичным корпорациям, но его требования применимы к любому хорошо управляемому бизнесу. Закон возлагает на генерального директора и финансового директора личную ответственность за представлены данные. Эти сотрудники, в свою очередь, полагаются на CIO, CDO и CSO, чтобы гарантировать, что системы данных безопасны, имеют целостность и могут предоставить информацию, необходимую для подтверждения соответствия. В последнее время контроль и соответствие стали более сложной задачей для ИТ-директоров и их коллег. Многие организации отказываются от традиционных корпоративных систем аналитики и бизнес-аналитики, управляемых ИТ. Вместо этого они внедряют бизнес-инструменты самообслуживания, такие как Qlik, Tableau и PowerBI. Эти инструменты по своей конструкции не управляются централизованно.

Управление изменениями

Одним из ключевых требований для соблюдения Закона является определение существующих средств контроля и способов систематической регистрации изменений в данных или приложениях. Другими словами, дисциплина «Управление изменениями». Необходимо контролировать безопасность, доступ к данным и программному обеспечению, а также следить за тем, чтобы ИТ-системы не функционировали должным образом. Соблюдение требований зависит не только от определения политик и процессов для защиты окружающей среды, но и от их фактического выполнения и, в конечном счете, от способности доказать, что это было сделано. Точно так же, как полицейские доказательства цепочки содержания под стражей, соблюдение закона Сарбейнса-Оксли настолько сильно, насколько сильно его самое слабое звено.  

Слабое звено

Как проповедник аналитики, мне больно говорить об этом, но самым слабым звеном в соблюдении норм Сарбейнса-Оксли зачастую является аналитика или бизнес-аналитика. Упомянутые выше лидеры в области аналитики самообслуживания — Qlik, Tableau и PowerBI — сегодня анализ и отчетность более обычно делается в бизнес-подразделениях, чем в ИТ. Еще в большей степени это относится к инструментам аналитики, таким как Qlik, Tableau и PowerBI, которые усовершенствовали модель BI с самообслуживанием. Большая часть денег, потраченных на соблюдение требований, была сосредоточена на финансовых и бухгалтерских системах. Совсем недавно компании справедливо распространили подготовку к аудиту на другие отделы. Они обнаружили, что формальные программы управления изменениями в ИТ не смогли охватить базы данных или хранилища/витрины данных с той же строгостью, которая используется для приложений и систем.  Область соответствия политик и процедур управления изменениями относится к общим элементам управления и сгруппирована с другими ИТ-политиками и процедурами тестирования, аварийного восстановления, резервного копирования, восстановления и безопасности.

Из многих шагов, необходимых для соблюдения требований аудита, чаще всего упускается из виду следующее:Следите за активностью с помощью аудита в режиме реального времени, включая информацию о том, кто, что, где и когда осуществляет вся деятельность оператора. и изменения инфраструктуры, особенно те, которые могут быть неуместными или злонамеренными».  Независимо от того, касается ли изменение настроек системы, программного приложения или самих данных, необходимо вести запись, содержащую, как минимум, следующие элементы:

• Кто запросил изменение
• Когда было выполнено изменение
• Что изменилось – описание
• Кто утвердил изменение

Запись этой информации об изменениях в отчетах и ​​информационных панелях в ваших системах Analytics и Business Intelligence не менее важна. Независимо от того, где находится инструмент аналитики и бизнес-аналитики в континууме контроля — Дикий Запад, самообслуживание или централизованное управление; будь то электронные таблицы (содрогаться), Tableau/Qlik/Power BI или Cognos Analytics — чтобы соответствовать закону Сарбейнса-Оксли, вам необходимо записать эту основную информацию. Аудитору все равно, используете ли вы ручку и бумагу или автоматизированную систему для документирования того, что ваши процессы контроля выполняются. Я допускаю, что если вы используете электронные таблицы в качестве своего «аналитического» программного обеспечения для принятия бизнес-решений, вы также можете использовать электронные таблицы для записи управления изменениями.  

Однако велика вероятность, что если вы уже вложили средства в систему аналитики, такую ​​как PowerBI или другие, вам следует искать способы автоматизации регистрации изменений в вашей системе бизнес-аналитики и отчетности. Как бы ни были хороши готовые инструменты аналитики, такие как Tableau, Qlik, PowerBI, они не включают в себя простые, проверяемые отчеты об управлении изменениями. Делай свою домашнюю работу. Найдите способ автоматизировать документирование изменений в вашей аналитической среде. Более того, будьте готовы представить аудитору не только журнал изменений в вашей системе, но и то, что изменения соответствуют утвержденным внутренним политикам и процессам.

Обладая способностью: 

1) продемонстрировать, что у вас есть твердая внутренняя политика, 

2) что ваши задокументированные процессы их поддерживают, и 

3) что реальная практика может быть подтверждена 

осчастливит любого аудитора. И все знают, что если одитор счастлив, счастливы все.

Многие компании жалуются на дополнительные расходы на соблюдение стандартов, а затраты на соблюдение стандартов SOX могут быть высокими. «Эти затраты более значительны для небольших фирм, для более сложных фирм и для фирм с более низкими возможностями роста».  Цена несоблюдения может быть еще выше.

Риск несоблюдения

Сарбейнс-Оксли привлекает генеральных директоров и директоров к ответственности и наказывает до 500,000 5 долларов и XNUMX лет тюремного заключения. Правительство не часто принимает заявление о невежестве или некомпетентности. Если бы я был генеральным директором, я бы, конечно, хотел, чтобы моя команда смогла доказать, что мы придерживались лучших практик и знали, кто совершал каждую транзакцию. 

Еще кое-что. Я сказал, что закон Сарбейнса-Оксли предназначен для публичных компаний. Это правда, но подумайте, как отсутствие внутреннего контроля и отсутствие документации могут помешать вам, если вы когда-нибудь захотите сделать публичное предложение.