Pridobite predstavitev
Prijava

Ali obstaja luknja v vašem soxu? (Skladnost)

by Avgust 2, 2022Revidiranje, BI/Analitika0 komentarji

Analytics in Sarbanes-Oxley

Upravljanje skladnosti SOX s samopostrežnimi orodji BI, kot so Qlik, Tableau in PowerBI

 

Naslednje leto bo SOX dovolj star za nakup piva v Teksasu. Nastal je iz »zakona o reformi računovodstva javnih podjetij in zaščiti vlagateljev«, pozneje ljubkovalno znanega po imenih senatorjev, ki so podprli predlog zakona, zakona Sarbanes-Oxley iz leta 2002. Sarbanes Oxley Sarbanes-Oxley je bil potomec zakona o vrednostnih papirjih iz leta 1933, katerega glavni namen je bil zaščititi vlagatelje pred goljufijami z zagotavljanjem preglednosti financ podjetij. Kot potomec tega dejanja je Sarbanes-Oxley okrepil te cilje in poskušal spodbujati odgovornost z dobrimi poslovnimi praksami. Toda, kot mnogi mladi odrasli, to še vedno poskušamo ugotoviti. Dvajset let pozneje podjetja še vedno poskušajo ugotoviti, kakšne so posledice zakona zanje, pa tudi, kako najbolje vgraditi večjo preglednost v svojo tehnologijo in sisteme za podporo skladnosti.

 

Kdo je odgovoren?

 

V nasprotju s splošnim prepričanjem Sarbanes-Oxley ne velja le za finančne institucije ali samo za finančni oddelek. Njegov cilj je zagotoviti večjo preglednost vseh organizacijskih podatkov in povezanih procesov. Tehnično Sarbanes-Oxley velja le za družbe, ki kotirajo na borzi, vendar so njegove zahteve utemeljene za vsako dobro vodeno podjetje. Zakon določa, da sta generalni direktor in finančni direktor osebno odgovorna za predstavljeni podatki. Ti uradniki se zanašajo na CIO, CDO in CSO, da zagotovijo, da so podatkovni sistemi varni, celoviti in lahko zagotovijo informacije, potrebne za dokazovanje skladnosti. V zadnjem času sta nadzor in skladnost postala večji izziv za CIO in njihove kolege. Številne organizacije se odmikajo od tradicionalnih sistemov analitike in poslovne inteligence, ki jih upravlja IT. Namesto tega sprejemajo samopostrežna orodja, ki jih vodijo podjetja, kot so Qlik, Tableau in PowerBI. Ta orodja po zasnovi niso upravljana centralno.

 

Upravljanje sprememb

 

Ena od ključnih zahtev za skladnost z zakonom je opredelitev vzpostavljenih kontrol in načina sistematičnega beleženja sprememb podatkov ali aplikacij. Z drugimi besedami, disciplina upravljanja sprememb. Spremljati je treba varnost, dostop do podatkov in programske opreme, pa tudi, ali sistemi IT ne delujejo pravilno. Skladnost ni odvisna le od opredelitve politik in postopkov za varovanje okolja, ampak tudi od tega, da se to dejansko izvede in da se na koncu lahko dokaže, da je bilo to storjeno. Tako kot policijska veriga nadzora dokazov je skladnost s Sarbanes-Oxleyjevo le tako močna kot njen najšibkejši člen.  

 

Šibka povezava

 

Kot evangelista analitike me boli to reči, vendar je najšibkejši člen v skladnosti Sarbanes-Oxley pogosto analitika ali poslovna inteligenca. Zgoraj omenjeni vodilni v samopostrežni analitiki – Qlik, Tableau in PowerBI – analiza in poročanje sta danes več običajno izvajajo v oddelkih za področje poslovanja kot v IT. To še bolj velja za orodja Analytics, kot so Qlik, Tableau in PowerBI, ki so izpopolnila samopostrežni model BI. Večina denarja, porabljenega za skladnost, je bila osredotočena na finančne in računovodske sisteme. V zadnjem času so podjetja upravičeno razširila pripravo revizije na druge oddelke. Ugotovili so, da uradni programi za upravljanje sprememb IT niso uspeli zajeti baz podatkov ali podatkovnih skladišč/trgov z enako strogostjo, ki se uporablja za aplikacije in sisteme.  Področje skladnosti politik in postopkov upravljanja sprememb spada pod splošni nadzor in je združeno z drugimi politikami in postopki IT za testiranje, obnovitev po katastrofi, varnostno kopiranje in obnovitev ter varnost.

 

Med številnimi koraki, potrebnimi za izpolnjevanje revizijskega pregleda, je ena od stvari, ki se največkrat spregleda, ta: "Vodite sled dejavnosti z nadzorom v realnem času, vključno s podatki o tem, kdo, kaj, kje in kdaj za vse dejavnosti operaterja in spremembe infrastrukture, zlasti tiste, ki bi lahko bile neprimerne ali zlonamerne.«  Ne glede na to, ali gre za spremembo sistemskih nastavitev, programske aplikacije ali samih podatkov, je treba vzdrževati zapis, ki vsebuje vsaj naslednje elemente:

  • Kdo je zahteval spremembo
  • Ko je bila sprememba izvedena
  • Kaj je sprememba – opis
  • Kdo je odobril spremembo

 

Beleženje teh informacij o spremembah poročil in nadzornih plošč v vaših sistemih Analytics in Business Intelligence je prav tako pomembno. Ne glede na to, kje sta orodje Analytics in BI na kontinuumu nadzora – Divji zahod, samopostrežno ali centralno upravljano; ali preglednice (tresenje), Tableau/Qlik/Power BI ali Cognos Analytics – za skladnost s Sarbanes-Oxleyjem boste morali beležiti te osnovne informacije. Revizorja ne zanima, ali uporabljate pero in papir ali avtomatiziran sistem za dokumentiranje, da se upoštevajo vaši kontrolni procesi. Priznam, da če uporabljate preglednice kot svojo »analitično« programsko opremo za sprejemanje poslovnih odločitev, morda uporabljate preglednice tudi za beleženje upravljanja sprememb.  

 

Če pa ste že vlagali v analitični sistem, kot je PowerBI ali drugi, obstaja velika verjetnost, da bi morali iskati načine za avtomatsko beleženje sprememb v vašem sistemu poslovne inteligence in poročanja. Ne glede na to, da so že pripravljena analitična orodja, kot so Tableau, Qlik, PowerBI, so zanemarila vključitev preprostega poročanja o upravljanju sprememb, ki ga je mogoče revidirati. Naredi svojo domačo nalogo. Poiščite način za avtomatizacijo dokumentiranja sprememb v vašem analitičnem okolju. Še bolje, bodite pripravljeni revizorju predstaviti ne le dnevnik sprememb vašega sistema, temveč tudi to, da so spremembe v skladu z odobrenimi notranjimi politikami in procesi.

 

Sposobnost: 

1) dokažite, da imate trdne notranje politike, 

2) da jih vaši dokumentirani procesi podpirajo in 

3) da je dejansko prakso mogoče potrditi 

bo osrečil vsakega revizorja. In vsi vedo, da če je revizor srečen, so srečni vsi.

 

Mnoga podjetja se pritožujejo nad dodatnimi stroški skladnosti, stroški skladnosti s standardi SOX pa so lahko visoki. "Ti stroški so pomembnejši za manjša podjetja, za bolj zapletena podjetja in za podjetja z nižjimi možnostmi rasti."  Cena neskladnosti je lahko še višja.

 

Tveganje neskladnosti

 

Sarbanes-Oxley izvršne direktorje in direktorje kliče na odgovornost in jih kaznuje z do 500,000 $ in 5 leti zapora. Vlada pogosto ne sprejme očitka o nevednosti ali nesposobnosti. Če bi bil generalni direktor, bi zagotovo želel, da bi moja ekipa lahko dokazala, da smo upoštevali najboljše prakse in vedeli, kdo je izvedel vsako transakcijo. 

 

Še ena stvar. Rekel sem, da je Sarbanes-Oxley za družbe, ki kotirajo na borzi. To je res, vendar pomislite, kako bi vas lahko pomanjkanje notranjih kontrol in dokumentacije oviralo, če bi kdaj želeli narediti javno ponudbo.  

Obremenitev Več