การวิเคราะห์และ Sarbanes-Oxley
การจัดการการปฏิบัติตาม SOX ด้วยเครื่องมือ BI แบบบริการตนเอง เช่น Qlik, Tableau และ PowerBI
ปีหน้า SOX จะโตพอที่จะซื้อเบียร์ในเท็กซัส มันถือกำเนิดจาก "พระราชบัญญัติการปฏิรูปการบัญชีของบริษัทมหาชนและการคุ้มครองผู้ลงทุน" ซึ่งต่อมาเป็นที่รู้จักอย่างสนิทสนมโดยชื่อของสมาชิกวุฒิสภาที่สนับสนุนร่างกฎหมายดังกล่าว พระราชบัญญัติ Sarbanes-Oxley Act ปี 2002 Sarbanes-Oxley เป็นลูกหลานของพระราชบัญญัติหลักทรัพย์ปี 1933 ซึ่งมีวัตถุประสงค์หลักเพื่อปกป้องนักลงทุนจากการฉ้อโกงโดยให้ความโปร่งใสในด้านการเงินขององค์กร ในฐานะที่เป็นลูกหลานของการกระทำนั้น Sarbanes-Oxley ได้เสริมเป้าหมายเหล่านั้นและพยายามส่งเสริมความรับผิดชอบผ่านการดำเนินธุรกิจที่ดี แต่เช่นเดียวกับคนหนุ่มสาวหลายๆ คน เรายังคงพยายามคิดออก ยี่สิบปีผ่านไป บริษัทต่างๆ ยังคงพยายามค้นหาว่าการกระทำดังกล่าวมีนัยยะอะไรสำหรับพวกเขาโดยเฉพาะ ตลอดจนวิธีที่ดีที่สุดในการสร้างความโปร่งใสที่เพิ่มขึ้นในเทคโนโลยีและระบบของตนเพื่อรองรับการปฏิบัติตามข้อกำหนด
ใครเป็นผู้รับผิดชอบ
ตรงกันข้ามกับความเชื่อที่นิยม Sarbanes-Oxley ไม่ได้ใช้เฉพาะกับสถาบันการเงิน หรือเฉพาะกับแผนกการเงินเท่านั้น เป้าหมายของมันคือเพื่อให้เกิดความโปร่งใสมากขึ้นในข้อมูลองค์กรและกระบวนการที่เกี่ยวข้องทั้งหมด ในทางเทคนิค Sarbanes-Oxley ใช้เฉพาะกับบริษัทที่ซื้อขายในตลาดหลักทรัพย์เท่านั้น แต่ข้อกำหนดของ Sarbanes-Oxley นั้นเหมาะสมสำหรับธุรกิจที่ดำเนินกิจการมาอย่างดี พระราชบัญญัติทำให้ CEO และ CFO รับผิดชอบต่อ ข้อมูลที่นำเสนอ เจ้าหน้าที่เหล่านี้พึ่งพา CIO, CDO และ CSO เพื่อให้แน่ใจว่าระบบข้อมูลมีความปลอดภัย มีความสมบูรณ์ และสามารถให้ข้อมูลที่จำเป็นในการพิสูจน์การปฏิบัติตาม เมื่อเร็ว ๆ นี้ การควบคุมและการปฏิบัติตามข้อกำหนดได้กลายเป็นความท้าทายมากขึ้นสำหรับ CIO และเพื่อนร่วมงานของพวกเขา หลายองค์กรกำลังย้ายออกจากองค์กรแบบเดิม ระบบ IT-Managed Analytics และระบบ Business Intelligence พวกเขากำลังใช้เครื่องมือบริการตนเองที่นำโดยสายงานธุรกิจแทน เช่น Qlik, Tableau และ PowerBI โดยการออกแบบเครื่องมือเหล่านี้ไม่ได้รับการจัดการจากส่วนกลาง
การบริหารการเปลี่ยนแปลง
ข้อกำหนดหลักประการหนึ่งสำหรับการปฏิบัติตามพระราชบัญญัติคือการกำหนดการควบคุมในสถานที่และวิธีบันทึกการเปลี่ยนแปลงข้อมูลหรือแอปพลิเคชันอย่างเป็นระบบ กล่าวอีกนัยหนึ่งคือวินัยในการจัดการการเปลี่ยนแปลง ต้องมีการตรวจสอบความปลอดภัย ข้อมูล และการเข้าถึงซอฟต์แวร์ รวมถึงระบบไอทีทำงานไม่ถูกต้องหรือไม่ การปฏิบัติตามข้อกำหนดไม่ได้ขึ้นอยู่กับการกำหนดนโยบายและกระบวนการเพื่อปกป้องสิ่งแวดล้อมเท่านั้น แต่ยังต้องดำเนินการจริงและในที่สุดก็สามารถพิสูจน์ได้ว่าได้ทำไปแล้ว เช่นเดียวกับหลักฐานการจับกุมของตำรวจ การปฏิบัติตาม Sarbanes-Oxley นั้นแข็งแกร่งพอ ๆ กับจุดอ่อนที่สุด
ลิงค์ที่อ่อนแอ
ในฐานะผู้เผยแพร่การวิเคราะห์ ฉันรู้สึกเจ็บปวดที่ต้องพูดแบบนี้ แต่จุดอ่อนที่สุดในการปฏิบัติตามกฎระเบียบ Sarbanes-Oxley มักจะเป็น Analytics หรือ Business Intelligence ผู้นำในการวิเคราะห์แบบบริการตนเองที่กล่าวถึงข้างต้น –Qlik, Tableau และ PowerBI – การวิเคราะห์และการรายงานในปัจจุบันมีมากกว่านั้น โดยทั่วไปจะทำในแผนกสายงานธุรกิจมากกว่าในแผนกไอที สิ่งนี้เป็นจริงมากขึ้นสำหรับเครื่องมือ Analytics เช่น Qlik, Tableau และ PowerBI ซึ่งทำให้โมเดล BI แบบบริการตนเองสมบูรณ์แบบ เงินส่วนใหญ่ที่ใช้ไปกับการปฏิบัติตามกฎระเบียบมุ่งเน้นไปที่ระบบการเงินและการบัญชี ไม่นานมานี้ บริษัทต่างๆ ได้ขยายการเตรียมการตรวจสอบไปยังแผนกอื่นๆ อย่างเหมาะสม สิ่งที่พวกเขาพบคือโปรแกรม IT Change Management อย่างเป็นทางการล้มเหลวในการรวมฐานข้อมูลหรือคลังข้อมูล/มาร์ทที่มีความเข้มงวดเดียวกันกับที่ใช้สำหรับแอปพลิเคชันและระบบ นโยบายและขั้นตอนการจัดการการเปลี่ยนแปลงของการปฏิบัติตามข้อกำหนดอยู่ภายใต้การควบคุมทั่วไป และจัดกลุ่มกับนโยบายและขั้นตอนด้านไอทีอื่น ๆ ในการทดสอบ การกู้คืนจากภัยพิบัติ การสำรองข้อมูล และการกู้คืนและการรักษาความปลอดภัย
จากหลายขั้นตอนที่จำเป็นในการปฏิบัติตามการตรวจสอบ สิ่งหนึ่งที่มักถูกมองข้ามมากที่สุดคือ: “ติดตามเส้นทางกิจกรรมด้วยการตรวจสอบแบบเรียลไทม์ รวมถึงใคร อะไร ที่ไหน และเมื่อใดของกิจกรรมของผู้ปฏิบัติงานทั้งหมด และการเปลี่ยนแปลงโครงสร้างพื้นฐาน โดยเฉพาะที่อาจไม่เหมาะสมหรือเป็นอันตราย” ไม่ว่าการเปลี่ยนแปลงจะเป็นการตั้งค่าระบบ แอพพลิเคชั่นซอฟต์แวร์ หรือตัวข้อมูลเองก็ตาม เร็กคอร์ดต้องได้รับการบำรุงรักษาซึ่งมีองค์ประกอบอย่างน้อยดังต่อไปนี้:
- ที่ร้องขอการเปลี่ยนแปลง
- เมื่อมีการเปลี่ยนแปลง
- การเปลี่ยนแปลงคืออะไร – คำอธิบาย
- ใครอนุมัติการเปลี่ยนแปลง
การบันทึกข้อมูลนี้เกี่ยวกับการเปลี่ยนแปลงในรายงานและแดชบอร์ดในระบบ Analytics และ Business Intelligence ของคุณก็มีความสำคัญเช่นเดียวกัน ไม่ว่าเครื่องมือ Analytics และ BI จะอยู่ที่ใดบนความต่อเนื่องของการควบคุม – Wild West การบริการตนเอง หรือการจัดการจากส่วนกลาง ไม่ว่าจะเป็นสเปรดชีต (ตัวสั่น), Tableau/Qlik/Power BI หรือ Cognos Analytics – เพื่อให้สอดคล้องกับ Sarbanes-Oxley คุณจะต้องบันทึกข้อมูลพื้นฐานนี้ ผู้ตรวจสอบไม่สนใจว่าคุณกำลังใช้ปากกาและกระดาษหรือระบบอัตโนมัติเพื่อบันทึกว่ากระบวนการควบคุมของคุณมีการปฏิบัติตาม ฉันยอมรับว่าหากคุณใช้สเปรดชีตเป็นซอฟต์แวร์ "การวิเคราะห์" ในการตัดสินใจทางธุรกิจ คุณอาจใช้สเปรดชีตเพื่อบันทึกการจัดการการเปลี่ยนแปลงด้วย
อย่างไรก็ตาม มีโอกาสดีที่หากคุณได้ลงทุนในระบบการวิเคราะห์เช่น PowerBI หรืออื่นๆ คุณควรมองหาวิธีที่จะบันทึกการเปลี่ยนแปลงในระบบข่าวกรองธุรกิจและระบบการรายงานของคุณโดยอัตโนมัติ เครื่องมือวิเคราะห์ที่พร้อมใช้งานทันที เช่น Tableau, Qlik, PowerBI ไม่ได้รวมการรายงานการจัดการการเปลี่ยนแปลงที่ตรวจสอบได้และง่าย ทำการบ้านของคุณ. ค้นหาวิธีทำให้เอกสารการเปลี่ยนแปลงในสภาพแวดล้อมการวิเคราะห์ของคุณเป็นแบบอัตโนมัติ ยิ่งไปกว่านั้น ให้เตรียมนำเสนอต่อผู้ตรวจสอบ ไม่ใช่แค่บันทึกการเปลี่ยนแปลงในระบบของคุณ แต่การเปลี่ยนแปลงนั้นสอดคล้องกับนโยบายและกระบวนการภายในที่ได้รับอนุมัติ
มีความสามารถใน:
1) แสดงให้เห็นว่าคุณมีนโยบายภายในที่มั่นคง
2) กระบวนการที่เป็นเอกสารของคุณสนับสนุนพวกเขาและ
3) ว่าการปฏิบัติจริงสามารถยืนยันได้
จะทำให้ผู้ตรวจสอบทุกคนมีความสุข และทุกคนรู้ดีว่าถ้าผู้ตรวจสอบบัญชีมีความสุข ทุกคนก็มีความสุข
หลายบริษัทบ่นเกี่ยวกับค่าใช้จ่ายเพิ่มเติมของการปฏิบัติตามข้อกำหนด และค่าใช้จ่ายในการปฏิบัติตามมาตรฐาน SOX อาจสูง “ค่าใช้จ่ายเหล่านี้มีความสำคัญมากกว่าสำหรับบริษัทขนาดเล็ก สำหรับบริษัทที่ซับซ้อน และสำหรับบริษัทที่มีโอกาสเติบโตต่ำกว่า” ค่าใช้จ่ายสำหรับการไม่ปฏิบัติตามอาจสูงขึ้น
ความเสี่ยงจากการไม่ปฏิบัติตามข้อกำหนด
Sarbanes-Oxley ให้ซีอีโอและกรรมการรับผิดชอบและมีโทษสูงถึง 500,000 ดอลลาร์และจำคุก 5 ปี รัฐบาลมักไม่ยอมรับข้ออ้างของความเขลาหรือไร้ความสามารถ ถ้าฉันเป็น CEO ฉันต้องการให้ทีมของฉันพิสูจน์ได้ว่าเราปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด และเรารู้ว่าใครทำธุรกรรมทุกครั้ง
อีกหนึ่งสิ่ง. ฉันบอกว่า Sarbanes-Oxley มีไว้สำหรับบริษัทที่ซื้อขายในตลาดหลักทรัพย์ นั่นเป็นความจริง แต่ให้พิจารณาว่าการขาดการควบคุมภายในและการขาดเอกสารอาจเป็นอุปสรรคต่อคุณได้อย่างไร หากคุณต้องการเสนอขายต่อสาธารณะ