Analitik ve Sarbanes-Oxley
Qlik, Tableau ve PowerBI gibi self servis BI araçlarıyla SOX uyumluluğunu yönetme
Gelecek yıl SOX, Teksas'ta bira alacak kadar büyüyecek. 2002 tarihli Sarbanes-Oxley Yasası, tasarıyı destekleyen senatörlerin isimleriyle daha sonra sevgiyle anılacak olan “Kamu Şirketi Muhasebe Reformu ve Yatırımcıyı Koruma Yasası”ndan doğdu. 
Sarbanes-Oxley, temel amacı kurumsal finansmana şeffaflık sağlayarak yatırımcıları dolandırıcılıktan korumak olan 1933 Menkul Kıymetler Yasası'nın çocuğuydu. Bu yasanın ürünü olarak, Sarbanes-Oxley bu amaçları pekiştirdi ve iyi iş uygulamaları yoluyla hesap verebilirliği teşvik etmeye çalıştı. Ancak birçok genç yetişkin gibi biz de hala bunu çözmeye çalışıyoruz. Yirmi yıl sonra, şirketler hala yasanın özellikle kendileri için ne gibi etkileri olduğunu ve uyumluluğu desteklemek için teknolojilerine ve sistemlerine artan şeffaflığı en iyi nasıl inşa edeceklerini anlamaya çalışıyorlar.
Sorumlu kim?
Sanılanın aksine Sarbanes-Oxley sadece finans kurumları veya sadece finans departmanı için geçerli değildir. Amacı, tüm kurumsal verilere ve ilgili süreçlere daha fazla şeffaflık sağlamaktır. Teknik olarak, Sarbanes-Oxley yalnızca halka açık şirketler için geçerlidir, ancak gereksinimleri iyi yönetilen herhangi bir işletme için geçerlidir. Kanun, CEO'yu ve CFO'yu kişisel olarak sorumlu kılmaktadır. 
sunulan veriler. Bu görevliler, veri sistemlerinin güvenli olduğundan, bütünlük içinde olduğundan ve uyumluluğu kanıtlamak için gerekli bilgileri sağlayabildiğinden emin olmak için sırasıyla CIO, CDO ve CSO'ya güvenir. Son zamanlarda, kontrol ve uyum, CIO'lar ve meslektaşları için daha büyük bir zorluk haline geldi. Birçok kuruluş geleneksel kurumsal, BT tarafından yönetilen Analitik ve İş Zekası sistemlerinden uzaklaşıyor. Bunun yerine Qlik, Tableau ve PowerBI gibi iş kolu liderliğindeki self servis araçları benimsiyorlar. Bu araçlar, tasarım gereği, merkezi olarak yönetilmez.
Değişim Yönetimi
Kanuna uyum için temel gerekliliklerden biri, yerinde kontrollerin tanımlanması ve verilerdeki veya uygulamalardaki değişikliklerin sistematik olarak nasıl kaydedilmesi gerektiğidir. Başka bir deyişle, Değişim Yönetimi disiplini. Güvenlik, veri ve yazılım erişiminin yanı sıra BT sistemlerinin düzgün çalışıp çalışmadığının da izlenmesi gerekir. Uyum, yalnızca çevreyi korumaya yönelik politikaları ve süreçleri tanımlamaya değil, aynı zamanda bunu gerçekten yapmaya ve nihayetinde yapıldığını kanıtlamaya da bağlıdır. Polisin gözaltı zincirindeki delilleri gibi, Sarbanes-Oxley'e uymak da en zayıf halkası kadar güçlüdür.
Zayıf bağlantı
Bir analitik müjdecisi olarak bunu söylemek bana acı veriyor, ancak Sarbanes-Oxley uyumluluğundaki en zayıf halka genellikle Analitik veya İş Zekasıdır. Yukarıda bahsedilen self servis Analytics liderleri –Qlik, Tableau ve PowerBI – Analiz ve raporlama bugün daha fazla 
BT'den ziyade iş kolu departmanlarında yaygın olarak yapılır. Bu, self servis BI modelini mükemmelleştiren Qlik, Tableau ve PowerBI gibi Analytics araçları için daha da doğrudur. Uyum için harcanan paranın çoğu finans ve muhasebe sistemlerine odaklanmıştır. Daha yakın zamanlarda, şirketler denetim hazırlığını haklı olarak diğer departmanlara genişletti. Buldukları şey, resmi BT Değişiklik Yönetimi programlarının, uygulamalar ve sistemler için kullanılan aynı titizlikle veritabanlarını veya veri ambarlarını/martları kapsamadığıydı. Değişiklik Yönetimi ilkeleri ve prosedürleri uyumluluk alanı, Genel Kontroller kapsamına girer ve diğer BT politikaları ve test, olağanüstü durum kurtarma, yedekleme ve kurtarma ve güvenlik prosedürleriyle birlikte gruplanır.
Bir denetime uymak için gereken birçok adımdan en çok gözden kaçan şeylerden biri şudur: “Tüm operatör etkinliklerinin kim, ne, nerede ve ne zaman olduğu dahil olmak üzere gerçek zamanlı denetimle bir etkinlik izi tutun ve altyapı değişiklikleri, özellikle uygunsuz veya kötü niyetli olabilecekler.” Değişiklik ister sistem ayarlarında, ister bir yazılım uygulamasında veya verilerin kendisinde olsun, asgari olarak aşağıdaki unsurları içeren bir kayıt tutulmalıdır:
- Değişikliği kim istedi
- Değişiklik yapıldığında
- Değişiklik nedir – bir açıklama
- Değişikliği kim onayladı
Analitik ve İş Zekası sistemlerinizdeki raporlarda ve gösterge tablolarında yapılan değişikliklerle ilgili bu bilgileri kaydetmek de aynı derecede önemlidir. Analytics ve BI aracının kontrolün sürekliliğinde nerede olduğuna bakılmaksızın - Vahşi Batı, self servis veya merkezi olarak yönetilen; elektronik tablolar (titreme), Tableau/Qlik/Power BI veya Cognos Analytics – Sarbanes-Oxley ile uyumlu olmak için bu temel bilgileri kaydetmeniz gerekir. Denetçi, kontrol süreçlerinizin takip edildiğini belgelemek için kalem ve kağıt veya otomatik bir sistem kullanmanıza aldırmaz. İş kararları almak için "analitik" yazılımınız olarak elektronik tabloları kullanıyorsanız, değişiklik yönetimini kaydetmek için elektronik tabloları da kullanıyor olabileceğinizi kabul ediyorum.
Ancak, PowerBI veya diğerleri gibi bir analiz sistemine zaten yatırım yaptıysanız, iş zekası ve raporlama sisteminizdeki değişiklikleri kaydetmeyi otomatikleştirmenin yollarını aramanız ihtimali yüksektir. Tableau, Qlik, PowerBI gibi kullanıma hazır analiz araçları ne kadar iyi olursa olsun, kolay, denetlenebilir değişiklik yönetimi raporlamasını dahil etmeyi ihmal etti. Ödevini yap. Analitik ortamınızdaki değişikliklerin belgelerini otomatikleştirmenin bir yolunu bulun. Daha da iyisi, yalnızca sisteminizdeki değişikliklerin bir günlüğünü değil, aynı zamanda değişikliklerin onaylanmış dahili politikalara ve süreçlere uygun olduğunu bir denetçiye sunmaya hazır olun.
Şunları yapabilme yeteneğine sahip olmak:
1) sağlam iç politikalarınız olduğunu göstermek,
2) belgelenmiş süreçlerinizin bunları desteklediğini ve
3) gerçek uygulamanın doğrulanabileceği
herhangi bir denetçiyi mutlu edecektir. Ve herkes bilir ki denetçi mutluysa herkes mutludur.
Birçok şirket, ek uyumluluk maliyetlerinden şikayet eder ve SOX standartlarına uyumun maliyeti yüksek olabilir. "Bu maliyetler daha küçük firmalar, daha karmaşık firmalar ve daha düşük büyüme fırsatlarına sahip firmalar için daha önemlidir." Uyumsuzluğun maliyeti daha da yüksek olabilir.
Uyumsuzluk Riski
Sarbanes-Oxley, CEO'ları ve yöneticileri sorumlu tutuyor ve 500,000 dolara kadar ve 5 yıl hapis cezasına çarptırılabilir. Hükümet genellikle bir cehalet veya yetersizlik iddiasını kabul etmez. CEO olsaydım, kesinlikle ekibimin en iyi uygulamalara bağlı kaldığımızı ve her işlemi kimin yaptığını bildiğimizi kanıtlayabilmesini isterdim.
Bir şey daha. Sarbanes-Oxley'in halka açık şirketler için olduğunu söyledim. Bu doğru, ancak halka arz yapmak istediğinizde iç kontrol eksikliğinin ve belge eksikliğinin sizi nasıl engelleyebileceğini bir düşünün.
