Finns det ett hål i din Sox? (Compliance)

by John BoyerAugusti 2, 2022Revision, BI/Analytics0 kommentarer

Analytics och Sarbanes-Oxley

Hantera SOX-efterlevnad med självbetjänings-BI-verktyg som Qlik, Tableau och PowerBI

Nästa år kommer SOX att vara tillräckligt gammal för att köpa öl i Texas. Det föddes ur "Public Company Accounting Reform and Investor Protection Act", som därefter var kärleksfullt känd under namnen på senatorerna som sponsrade lagförslaget, Sarbanes-Oxley Act från 2002. Sarbanes Oxley Sarbanes-Oxley var avkomma till Securities Act från 1933 vars främsta syfte var att skydda investerare från bedrägerier genom att ge insyn i företagens ekonomi. Som den handlingens avkomma förstärkte Sarbanes-Oxley dessa mål och försökte främja ansvarsskyldighet genom god affärspraxis. Men, som många unga vuxna, försöker vi fortfarande ta reda på det. Tjugo år senare försöker företag fortfarande ta reda på vad lagen har för konsekvenser för dem specifikt, samt hur man bäst bygger ökad transparens i sin teknik och system för att stödja efterlevnad.

Vem är ansvarig?

I motsats till vad många tror, gäller Sarbanes-Oxley inte bara för finansiella institutioner, eller bara för finansavdelningen. Dess mål är att ge större insyn i all organisationsdata och relaterade processer. Tekniskt sett gäller Sarbanes-Oxley endast för börsnoterade företag, men dess krav är bra för alla välskötta företag. Lagen gör VD och CFO personligen ansvariga för data presenteras. Dessa tjänstemän förlitar sig i sin tur på CIO, CDO och CSO för att säkerställa att datasystemen är säkra, har integritet och kan tillhandahålla information som är nödvändig för att bevisa efterlevnad. På senare tid har kontroll och efterlevnad blivit mer av en utmaning för CIO:er och deras kollegor. Många organisationer går bort från traditionella företags-, IT-hanterade Analytics- och Business Intelligence-system. Istället använder de företagsbaserade självbetjäningsverktyg som Qlik, Tableau och PowerBI. Dessa verktyg, genom design, hanteras inte centralt.

Change Management

Ett av de viktigaste kraven för efterlevnad av lagen är att definiera vilka kontroller som finns och hur förändringar i data eller applikationer systematiskt ska registreras. Med andra ord, disciplinen Change Management. Säkerhet, data och mjukvaruåtkomst måste övervakas, liksom om IT-systemen inte fungerar korrekt. Efterlevnad beror inte bara på att definiera policyer och processer för att skydda miljön, utan också att faktiskt göra det och i slutändan kunna bevisa att det har gjorts. Precis som polisens beviskedja är efterlevnaden av Sarbanes-Oxley bara lika stark som dess svagaste länk.

Den svaga länken

Som analytikerevangelist gör det ont att säga detta, men den svagaste länken i Sarbanes-Oxley-efterlevnad är ofta Analytics eller Business Intelligence. Ledarna inom självbetjäningsanalys som nämns ovan – Qlik, Tableau och PowerBI – Analys och rapportering idag är mer görs vanligtvis inom branschavdelningar än inom IT. Detta gäller ännu mer för Analytics-verktyg som Qlik, Tableau och PowerBI som har fulländat självbetjänings-BI-modellen. De flesta pengar som spenderats på efterlevnad har fokuserat på ekonomi- och redovisningssystem. På senare tid har företag med rätta utökat revisionsförberedelserna till andra avdelningar. Vad de fann var att formella IT Change Management-program hade misslyckats med att omfatta databaser eller datalager/marts med samma stränghet som används för applikationer och system. Området Change Management policyer och procedurer för efterlevnad faller under General Controls och är grupperat med andra IT-policyer och procedurer för testning, katastrofåterställning, säkerhetskopiering och återställning och säkerhet.

Av de många steg som krävs för att följa en revision är en av de saker som oftast förbises att: "Håll ett aktivitetsspår med realtidsrevision, inklusive vem, vad, var och när av all operatörsaktivitet och infrastrukturförändringar, särskilt sådana som kan vara olämpliga eller skadliga.” Oavsett om ändringen är till systeminställningar, en mjukvaruapplikation eller själva data, måste en post upprätthållas som innehåller åtminstone följande element:

Vem begärde ändringen
När ändringen genomfördes
Vad förändringen är – en beskrivning
Vem godkände förändringen

Att registrera denna information om ändringar i rapporter och instrumentpaneler i dina Analytics- och Business Intelligence-system är lika viktigt. Oavsett var analys- och BI-verktyget befinner sig på kontinuumet av kontroll – vilda västern, självbetjäning eller centralt hanterad; om kalkylblad (rysning), Tableau/Qlik/Power BI eller Cognos Analytics – för att följa Sarbanes-Oxley måste du registrera denna grundläggande information. Revisorn bryr sig inte om du använder penna och papper eller ett automatiserat system för att dokumentera att dina kontrollprocesser följs. Jag medger att om du använder kalkylblad som din "analys"-mjukvara för att fatta affärsbeslut, kanske du också använder kalkylblad för att registrera förändringshanteringen.

Chansen är dock god att om du redan har investerat i ett analyssystem som PowerBI eller andra, bör du leta efter sätt att automatisera registreringen av förändringarna i ditt affärsinformations- och rapporteringssystem. Så bra som de är, out-of-the-box, analysverktyg som Tableau, Qlik, PowerBI har försummat att inkludera enkel, revisionsbar förändringshanteringsrapportering. Gör dina läxor. Hitta ett sätt att automatisera dokumentationen av ändringar i din analysmiljö. Ännu bättre, var beredd att presentera för en revisor, inte bara en logg över ändringar i ditt system, utan att ändringarna överensstämmer med godkända interna policyer och processer.

Att ha förmågan att:

1) visa att du har en solid intern policy,

2) att dina dokumenterade processer stödjer dem, och

3) att faktisk praxis kan bekräftas

kommer att göra vilken revisor som helst glad. Och alla vet att om revisorn är nöjd så är alla nöjda.

Många företag klagar på de extra kostnaderna för efterlevnad, och kostnaden för att uppfylla SOX-standarder kan vara höga. "Dessa kostnader är mer betydande för mindre företag, för mer komplexa företag och för företag med lägre tillväxtmöjligheter." Kostnaden för bristande efterlevnad kan bli ännu högre.

Risken för bristande efterlevnad

Sarbanes-Oxley håller VD:ar och direktörer ansvariga och straffbara med upp till $500,000 5 och XNUMX års fängelse. Regeringen accepterar inte ofta en vädjan om okunnighet eller inkompetens. Om jag var VD skulle jag verkligen vilja att mitt team skulle kunna bevisa att vi hade följt bästa praxis och vi visste vem som hade utfört varje transaktion.

En sak till. Jag sa att Sarbanes-Oxley är för börsnoterade företag. Det är sant, men tänk på hur bristen på interna kontroller och bristen på dokumentation kan hindra dig om du någonsin ville göra ett offentligt erbjudande.

BI/Analytics Okategoriserad

Varför Microsoft Excel är det bästa analysverktyget

Varför är Excel det bästa analysverktyget?

Det är billigt och enkelt. Microsoft Excel-kalkylprogram är förmodligen redan installerat på företagsanvändarens dator. Och många användare idag har varit utsatta för Microsoft Office-programvara sedan gymnasiet eller till och med tidigare. Det här knä-jävla svaret på...

Läs mer

John Boyer | April 18, 2024 | 0

BI/Analytics Okategoriserad

Unclutter Your Insights: A Guide to Analytics Spring Cleaning

Rensa ut dina insikter En guide till Analytics Vårstädning Det nya året börjar med en smäll; Bokslutsrapporter skapas och granskas, och sedan sätter sig alla i ett konsekvent arbetsschema. När dagarna blir längre och träden och blommorna blommar...

Läs mer

Sherie Wigder | April 10, 2024 | 0

BI/Analytics Okategoriserad

NY Style vs Chicago Style Pizza: En läcker debatt

När vi tillfredsställer våra begär är det få saker som kan konkurrera med glädjen av en rykande het pizza. Debatten mellan pizza i New York-stil och Chicago-stil har väckt passionerade diskussioner i årtionden. Varje stil har sina egna unika egenskaper och hängivna fans....

Läs mer

Sherie Wigder | Mar 12, 2024 | 0

BI/Analytics Cognos Analytics

Dina användare vill ha sin frågestudio

I och med lanseringen av IBM Cognos Analytics 12 levererades den sedan länge aviserade utfasningen av Query Studio och Analysis Studio äntligen med en version av Cognos Analytics minus dessa studior. Även om detta inte borde komma som en överraskning för de flesta som är engagerade i...

Läs mer

Mike Norris | Februari 29, 2024 | 0

BI/Analytics Okategoriserad

Är Taylor Swift-effekten verklig?

Vissa kritiker menar att hon driver upp Super Bowl biljettpriser Helgens Super Bowl förväntas bli en av de tre mest sedda evenemangen i tv-historien. Förmodligen fler än förra årets rekordsiffror och kanske till och med mer än 3 års måne...

Läs mer

John Boyer | Februari 7, 2024 | 0

BI/Analytics

Analytics-kataloger – en stigande stjärna i analysens ekosystem

Inledning Som Chief Technology Officer (CTO) är jag alltid på jakt efter nya teknologier som förändrar vårt sätt att närma oss analys. En sådan teknik som fångade min uppmärksamhet under de senaste åren och som har enorma löften är Analytics...

Läs mer

Lance Hankins | Oktober 19, 2023 | 0

Ladda fler

Finns det ett hål i din Sox? (Compliance)

Analytics och Sarbanes-Oxley

Vem är ansvarig?

Change Management

Den svaga länken

Risken för bristande efterlevnad

Relaterade blogginlägg

Varför är Excel det bästa analysverktyget?

Unclutter Your Insights: A Guide to Analytics Spring Cleaning

NY Style vs Chicago Style Pizza: En läcker debatt

Dina användare vill ha sin frågestudio

Är Taylor Swift-effekten verklig?

Analytics-kataloger – en stigande stjärna i analysens ekosystem

Få en demo

Gratis mjukvara

Lösningar

Produkter

Om Oss

Resurser

Kontakta oss