Získajte ukážku
Prihlásiť sa

Máš dieru v Sox? (súlad)

by Augusta 2, 2022Audit, BI/Analytika0 komentáre

Analytics a Sarbanes-Oxley

Správa súladu so SOX pomocou samoobslužných nástrojov BI, ako sú Qlik, Tableau a PowerBI

 

Budúci rok bude SOX dosť starý na to, aby si mohol kúpiť pivo v Texase. Zrodil sa zo zákona o „reforme účtovníctva verejných spoločností a ochrane investorov“, ktorý je potom láskavo známy pod menami senátorov, ktorí zákon sponzorovali, Sarbanes-Oxleyho zákona z roku 2002. Sarbanes Oxley Sarbanes-Oxley bol potomkom zákona o cenných papieroch z roku 1933, ktorého hlavným účelom bolo chrániť investorov pred podvodmi poskytovaním transparentnosti podnikových financií. Ako potomok tohto aktu Sarbanes-Oxley posilnil tieto ciele a pokúsil sa podporiť zodpovednosť prostredníctvom dobrých obchodných praktík. Ale ako mnohí mladí dospelí, stále sa to snažíme zistiť. Po dvadsiatich rokoch sa spoločnosti stále snažia zistiť, aké dôsledky má tento zákon pre nich konkrétne, ako aj to, ako najlepšie zabudovať zvýšenú transparentnosť do svojich technológií a systémov na podporu dodržiavania predpisov.

 

Kto je zodpovedný?

 

Na rozdiel od všeobecného presvedčenia, Sarbanes-Oxley sa nevzťahuje len na finančné inštitúcie, alebo len na finančné oddelenie. Jeho cieľom je poskytnúť väčšiu transparentnosť všetkých organizačných údajov a súvisiacich procesov. Technicky sa Sarbanes-Oxley vzťahuje iba na verejne obchodované korporácie, ale jeho požiadavky sú vhodné pre každý dobre riadený podnik. Zákon robí generálneho riaditeľa a finančného riaditeľa osobne zodpovednými za prezentované údaje. Títo úradníci sa zase spoliehajú na CIO, CDO a CSO, aby zabezpečili, že dátové systémy sú bezpečné, majú integritu a sú schopné poskytnúť informácie potrebné na preukázanie súladu. V poslednej dobe sa kontrola a dodržiavanie predpisov stali pre riaditeľov IT a ich kolegov čoraz väčším problémom. Mnoho organizácií sa vzďaľuje od tradičných podnikových, IT riadených systémov Analytics a Business Intelligence. Namiesto toho prijímajú samoobslužné nástroje riadené podnikmi, ako sú Qlik, Tableau a PowerBI. Tieto nástroje podľa návrhu nie sú spravované centrálne.

 

Riadenie zmien

 

Jednou z kľúčových požiadaviek na dodržiavanie zákona je definovať zavedené kontroly a to, ako by sa mali systematicky zaznamenávať zmeny v údajoch alebo aplikáciách. Inými slovami, disciplína Change Management. Je potrebné monitorovať bezpečnosť, prístup k údajom a softvéru, ako aj to, či IT systémy nefungujú správne. Súlad nezávisí len od definovania politík a procesov na ochranu životného prostredia, ale aj od toho, aby sa to skutočne vykonalo a nakoniec bolo možné dokázať, že sa tak stalo. Rovnako ako policajný reťazec dôkazov, dodržiavanie Sarbanes-Oxley je len také silné, ako silný je jeho najslabší článok.  

 

Slabý článok

 

Ako analytického evanjelistu ma to bolí, ale najslabším článkom dodržiavania pravidiel Sarbanes-Oxley je často Analytics alebo Business Intelligence. Vyššie spomenutí lídri v samoobslužnej analýze – Qlik, Tableau a PowerBI – Analýza a reportovanie je dnes viac bežne vykonávané v obchodných oddeleniach ako v IT. To platí ešte viac o nástrojoch Analytics, ako sú Qlik, Tableau a PowerBI, ktoré zdokonalili samoobslužný model BI. Väčšina peňazí vynaložených na dodržiavanie predpisov sa zamerala na finančné a účtovné systémy. V poslednom čase spoločnosti právom rozšírili prípravu auditu na ďalšie oddelenia. Zistili, že formálne programy IT Change Management zlyhali pri zahrnutí databáz alebo dátových skladov/martov s rovnakou prísnosťou ako pre aplikácie a systémy.  Oblasť dodržiavania pravidiel a postupov riadenia zmien spadá pod všeobecné kontroly a je zoskupená s inými IT politikami a postupmi testovania, obnovy po havárii, zálohovania, obnovy a zabezpečenia.

 

Z mnohých krokov potrebných na dodržanie súladu s auditom je jednou z vecí, ktoré sa najčastejšie prehliadajú: „Majte prehľad o činnosti s auditovaním v reálnom čase, vrátane informácií o tom, kto, čo, kde a kedy zo všetkých činností operátora a zmeny infraštruktúry, najmä tie, ktoré by mohli byť nevhodné alebo škodlivé.“  Či už ide o zmeny v systémových nastaveniach, softvérovej aplikácii alebo samotných údajoch, musí sa viesť záznam, ktorý obsahuje minimálne tieto prvky:

  • Kto požiadal o zmenu
  • Kedy bola vykonaná zmena
  • Čo je to zmena – popis
  • Kto schválil zmenu

 

Zaznamenávanie týchto informácií o zmenách v zostavách a dashboardoch vo vašich systémoch Analytics a Business Intelligence je rovnako dôležité. Bez ohľadu na to, kde je nástroj Analytics a BI v kontinuite kontroly – Divoký západ, samoobslužný alebo centrálne riadený; či už tabuľky (zachvenie), Tableau/Qlik/Power BI alebo Cognos Analytics – aby ste boli v súlade so Sarbanes-Oxley, musíte tieto základné informácie zaznamenávať. Audítora nezaujíma, či používate pero a papier alebo automatizovaný systém na zdokumentovanie toho, že sa dodržiavajú vaše kontrolné procesy. Pripúšťam, že ak používate tabuľky ako svoj „analytický“ softvér na prijímanie obchodných rozhodnutí, môžete tabuľky používať aj na zaznamenávanie riadenia zmien.  

 

Je však veľká šanca, že ak ste už investovali do analytického systému, akým je PowerBI alebo iné, mali by ste hľadať spôsoby, ako automatizovať zaznamenávanie zmien vo vašom systéme business intelligence a reportingu. Aj keď sú hotové, analytické nástroje ako Tableau, Qlik, PowerBI zabudli zahrnúť jednoduché a kontrolovateľné vykazovanie správy zmien. Urob si domácu úlohu. Nájdite spôsob, ako automatizovať dokumentáciu zmien vo vašom analytickom prostredí. Ešte lepšie je, že buďte pripravení predložiť audítorovi nielen protokol zmien vo vašom systéme, ale aj to, že zmeny sú v súlade so schválenými internými zásadami a procesmi.

 

Mať schopnosť: 

1) preukázať, že máte solídne interné pravidlá, 

2) či ich vaše zdokumentované procesy podporujú a 

3), že skutočná prax môže byť potvrdená 

poteší každého audítora. A každý vie, že ak je spokojný audítor, všetci sú šťastní.

 

Mnoho spoločností sa sťažuje na dodatočné náklady na dodržiavanie noriem a náklady na dodržiavanie noriem SOX môžu byť vysoké. "Tieto náklady sú významnejšie pre menšie firmy, pre komplexnejšie firmy a pre firmy s nižšími možnosťami rastu."  Náklady za nedodržanie môžu byť ešte vyššie.

 

Riziko nesúladu

 

Sarbanes-Oxley núti generálnych riaditeľov a riaditeľov k zodpovednosti a trestá sa až 500,000 5 USD a XNUMX rokmi väzenia. Vláda často neakceptuje prosbu o ignorancii alebo neschopnosti. Keby som bol generálnym riaditeľom, určite by som chcel, aby môj tím mohol dokázať, že sme sa držali osvedčených postupov a vedeli sme, kto vykonal každú transakciu. 

 

Ešte jedna vec. Povedal som, že Sarbanes-Oxley je pre verejne obchodované spoločnosti. To je pravda, ale zvážte, ako by vám nedostatok vnútorných kontrol a nedostatok dokumentácie mohol brániť, ak by ste niekedy chceli urobiť verejnú ponuku.  

BI/AnalytikaNezaradené
Urobte si poriadok vo svojich postrehoch: Sprievodca analytickým jarným upratovaním

Urobte si poriadok vo svojich postrehoch: Sprievodca analytickým jarným upratovaním

Uvoľnite svoje poznatky Sprievodca analýzou Jarné upratovanie Nový rok sa začína s ranou; vytvoria sa a skontrolujú sa koncoročné správy a potom sa všetci zariadia do konzistentného pracovného plánu. Ako sa dni predlžujú a stromy a kvety kvitnú,...

Čítaj viac

| Apríla 10, 2024 | 0

Načítať ďalšie