Analytics at Sarbanes-Oxley
Pamamahala sa pagsunod sa SOX sa mga self-service na BI tool tulad ng Qlik, Tableau at PowerBI
Sa susunod na taon, sapat na ang edad ng SOX para bumili ng beer sa Texas. Ito ay isinilang sa "Public Company Accounting Reform and Investor Protection Act", na mas kilala pagkatapos noon sa mga pangalan ng mga senador na nag-sponsor ng panukalang batas, ang Sarbanes-Oxley Act of 2002. 
Si Sarbanes-Oxley ay ang supling ng Securities Act of 1933 na ang pangunahing layunin ay protektahan ang mga namumuhunan mula sa panloloko sa pamamagitan ng pagbibigay ng transparency sa corporate finances. Bilang supling ng batas na iyon, pinalakas ni Sarbanes-Oxley ang mga layuning iyon at sinubukang isulong ang pananagutan sa pamamagitan ng magagandang kasanayan sa negosyo. Ngunit, tulad ng maraming mga young adult, sinusubukan pa rin naming malaman ito. Dalawampung taon na ang lumipas, sinusubukan pa rin ng mga kumpanya na alamin kung ano ang partikular na implikasyon ng pagkilos para sa kanila, gayundin, kung paano pinakamahusay na bumuo ng mas mataas na transparency sa kanilang teknolohiya at mga system upang suportahan ang pagsunod.
Sino ang may pananagutan?
Taliwas sa popular na paniniwala, ang Sarbanes-Oxley ay hindi nalalapat lamang sa mga institusyong pampinansyal, o sa departamento ng pananalapi lamang. Ang layunin nito ay magbigay ng higit na transparency sa lahat ng data ng organisasyon at mga kaugnay na proseso. Sa teknikal, ang Sarbanes-Oxley ay nalalapat lamang sa mga pampublikong kinakalakal na korporasyon, ngunit ang mga kinakailangan nito ay mabuti para sa anumang mahusay na pinamamahalaang negosyo. Ginagawa ng Batas na personal na pananagutan ang CEO at CFO para sa 
ipinakitang datos. Ang mga opisyal na ito ay umaasa, sa turn, sa CIO, CDO at CSO upang matiyak na ang mga sistema ng data ay ligtas, may integridad at makakapagbigay ng impormasyong kinakailangan upang patunayan ang pagsunod. Kamakailan, ang kontrol at pagsunod ay naging higit na hamon para sa mga CIO at sa kanilang mga kapantay. Maraming organisasyon ang lumalayo sa tradisyunal na enterprise, mga sistema ng Analytics na pinamamahalaan ng IT at Business Intelligence. Sa halip, gumagamit sila ng line-of-business-led self-service tool tulad ng Qlik, Tableau at PowerBI. Ang mga tool na ito, sa pamamagitan ng disenyo, ay hindi pinamamahalaan sa gitna.
Baguhin ang Management
Ang isa sa mga pangunahing kinakailangan para sa pagsunod sa Batas ay ang tukuyin ang mga kontrol sa lugar at kung paano dapat sistematikong itala ang mga pagbabago sa data o mga application. Sa madaling salita, ang disiplina ng Change Management. Kailangang subaybayan ang seguridad, pag-access ng data at software, gayundin, kung hindi gumagana nang maayos ang mga IT system. Ang pagsunod ay nakadepende hindi lamang sa pagtukoy sa mga patakaran at proseso upang pangalagaan ang kapaligiran, kundi pati na rin sa aktwal na gawin ito at sa huli ay mapapatunayan na ito ay nagawa na. Tulad ng chain of custody ng ebidensya ng pulisya, ang pagsunod sa Sarbanes-Oxley ay kasing lakas lamang ng pinakamahina nitong link.
Ang Mahina Link
Bilang isang analytics evangelist, masakit sa akin na sabihin ito, ngunit ang pinakamahinang link sa pagsunod sa Sarbanes-Oxley ay madalas na Analytics o Business Intelligence. Ang mga pinuno sa self-serve Analytics na binanggit sa itaas –Qlik, Tableau at PowerBI – Ang pagsusuri at pag-uulat ngayon ay higit pa 
karaniwang ginagawa sa mga line-of-business department kaysa sa IT. Ito ay mas totoo sa mga tool ng Analytics tulad ng Qlik, Tableau at PowerBI na naging perpekto sa self-service na modelo ng BI. Karamihan sa pera na ginugol sa pagsunod ay nakatuon sa mga sistema ng pananalapi at accounting. Kamakailan lamang, ang mga kumpanya ay wastong pinalawak ang paghahanda sa pag-audit sa ibang mga departamento. Ang nalaman nila ay nabigo ang mga pormal na programa sa Pamamahala ng Pagbabago ng IT na sumaklaw sa mga database o data warehouse/mart na may parehong higpit na ginamit para sa mga application at system. Ang mga patakaran at pamamaraan sa Pamamahala ng Pagbabago na bahagi ng pagsunod ay napapailalim sa Mga Pangkalahatang Kontrol at pinagsama-sama sa iba pang mga patakaran at pamamaraan ng IT ng pagsubok, pagbawi sa sakuna, pag-backup, at pagbawi at seguridad.
Sa maraming hakbang na kinakailangan para makasunod sa isang pag-audit, isa sa mga bagay na kadalasang hindi napapansin ay ang: “Panatilihin ang isang trail ng aktibidad na may real-time na pag-audit, kabilang ang sino, ano, saan at kailan ng lahat ng aktibidad ng operator at mga pagbabago sa imprastraktura, lalo na ang mga maaaring hindi naaangkop o nakakapinsala." Kung ang pagbabago ay sa mga setting ng system, isang software application, o data mismo, dapat na panatilihin ang isang talaan na naglalaman, hindi bababa sa mga sumusunod na elemento:
- Sino ang humiling ng pagbabago
- Nang isagawa ang pagbabago
- Ano ang pagbabago - isang paglalarawan
- Sino ang nag-apruba ng pagbabago
Ang pagtatala ng impormasyong ito tungkol sa mga pagbabago sa mga ulat at dashboard sa iyong Analytics at Business Intelligence system ay kasinghalaga rin. Saan man ang tool ng Analytics at BI ay nasa continuum ng kontrol – ang Wild West, self-service, o centrally managed; kung ang mga spreadsheet (panginginig), Tableau/Qlik/Power BI, o Cognos Analytics – upang makasunod sa Sarbanes-Oxley, kakailanganin mong i-record ang pangunahing impormasyong ito. Walang pakialam ang auditor kung gumagamit ka ng panulat at papel o isang automated system para idokumento na sinusunod ang iyong mga proseso sa pagkontrol. Aminado ako na kung gumagamit ka ng mga spreadsheet bilang iyong software na "analytics" upang gumawa ng mga pagpapasya sa negosyo, maaaring gumagamit ka rin ng mga spreadsheet upang itala ang pamamahala ng pagbabago.
Gayunpaman, malaki ang posibilidad na kung namuhunan ka na sa isang analytics system tulad ng PowerBI, o iba pa, dapat ay naghahanap ka ng mga paraan upang i-automate ang pagtatala ng mga pagbabago sa iyong business intelligence at system ng pag-uulat. Kahit gaano sila kahusay, out-of-the-box, ang mga tool sa analytics tulad ng Tableau, Qlik, PowerBI ay napabayaan na isama ang madali, naa-audit na pag-uulat sa pamamahala ng pagbabago. Gawin mo ang iyong Takdang aralin. Humanap ng paraan para i-automate ang dokumentasyon ng mga pagbabago sa iyong analytics environment. Mas mabuti pa, maging handa na ipakita sa isang auditor, hindi lamang isang log ng mga pagbabago sa iyong system, ngunit na ang mga pagbabago ay umaayon sa mga naaprubahang panloob na patakaran at proseso.
Ang pagkakaroon ng kakayahang:
1) ipakita na mayroon kang matatag na panloob na mga patakaran,
2) na sinusuportahan sila ng iyong mga dokumentadong proseso, at
3) na ang aktwal na pagsasanay ay maaaring makumpirma
magpapasaya sa sinumang auditor. At, alam ng lahat na kung masaya ang auditor, masaya ang lahat.
Maraming kumpanya ang nagrereklamo tungkol sa mga karagdagang gastos sa pagsunod, at ang halaga ng pagsunod sa mga pamantayan ng SOX ay maaaring mataas. "Ang mga gastos na ito ay mas makabuluhan para sa mas maliliit na kumpanya, para sa mas kumplikadong mga kumpanya, at para sa mga kumpanyang may mas mababang mga pagkakataon sa paglago." Ang halaga para sa hindi pagsunod ay maaaring mas mataas pa.
Ang Panganib ng Hindi Pagsunod
Pinapanagot ng Sarbanes-Oxley ang mga CEO at direktor at pinarurusahan ng hanggang $500,000 at 5 taon sa bilangguan. Hindi madalas na tinatanggap ng gobyerno ang isang pakiusap ng kamangmangan o kawalan ng kakayahan. Kung ako ay isang CEO, tiyak na gusto kong mapatunayan ng aking koponan na sumunod kami sa mga pinakamahusay na kagawian at alam namin kung sino ang nagsagawa ng bawat transaksyon.
Isa pang bagay. Sinabi ko na ang Sarbanes-Oxley ay para sa mga kumpanyang ipinagpalit sa publiko. Totoo iyon, ngunit isaalang-alang kung paano maaaring hadlangan ka ng kakulangan ng mga panloob na kontrol at kakulangan ng dokumentasyon kung gusto mong magsagawa ng pampublikong alok.
