Аналітика та Сарбейнса-Окслі

Керування відповідністю SOX за допомогою інструментів самообслуговування BI, таких як Qlik, Tableau і PowerBI

Наступного року SOX буде достатньо дорослим, щоб купувати пиво в Техасі. Він виник із Закону Сарбейнса-Окслі 2002 року про реформу бухгалтерського обліку державних компаній і захист інвесторів, який згодом відомий за іменами сенаторів, які виступили авторами законопроекту. Закон Сарбейнса-Окслі був породженням Закону про цінні папери 1933 року, головною метою якого був захист інвесторів від шахрайства шляхом забезпечення прозорості корпоративних фінансів. Будучи нащадком цього акту, Сарбейнз-Окслі посилив ці цілі та намагався сприяти підзвітності через належну ділову практику. Але, як і багато молодих людей, ми все ще намагаємося це зрозуміти. Через двадцять років компанії все ще намагаються з’ясувати, які наслідки має цей закон для них конкретно, а також як найкраще створити підвищену прозорість у своїх технологіях і системах для підтримки відповідності.

Хто відповідальний?

Всупереч поширеній думці, Сарбейнса-Окслі не застосовують лише до фінансових установ чи лише до фінансового відділу. Його мета — забезпечити більшу прозорість усіх організаційних даних і пов’язаних процесів. Технічно Сарбейнса-Окслі застосовують лише до публічних корпорацій, але його вимоги є обґрунтованими для будь-якого добре керованого бізнесу. Закон покладає на генерального директора та фінансового директора особисту відповідальність за представлені дані. Ці співробітники, у свою чергу, покладаються на ІТ-директора, CDO та CSO, щоб переконатися, що системи даних є безпечними, мають цілісність і здатні надавати інформацію, необхідну для підтвердження відповідності. Останнім часом контроль і відповідність стали більш складним завданням для ІТ-директорів та їхніх колег. Багато організацій відходять від традиційних корпоративних систем аналітики та бізнес-аналітики, керованих ІТ. Натомість вони впроваджують інструменти самообслуговування, які керуються бізнесом, як Qlik, Tableau та PowerBI. За своєю конструкцією ці інструменти не керуються централізовано.

Управління змінами

Однією з ключових вимог для дотримання Закону є визначення засобів контролю та того, як систематично реєструвати зміни в даних або додатках. Іншими словами, дисципліна «Управління змінами». Потрібно контролювати безпеку, доступ до даних і програмного забезпечення, а також перевіряти, чи ІТ-системи не функціонують належним чином. Відповідність залежить не лише від визначення політики та процесів для захисту навколишнього середовища, а й від того, чи дійсно це потрібно зробити, і зрештою мати змогу довести, що це було зроблено. Подібно до поліцейського ланцюга зберігання доказів, дотримання закону Сарбейнса-Окслі є настільки ж сильним, як і його найслабша ланка.  

Слабка ланка

Як проповіднику аналітики, мені боляче це говорити, але найслабшою ланкою в дотриманні вимог Сарбейнса-Окслі часто є аналітика або бізнес-аналітика. Згадані вище лідери аналітики самообслуговування – Qlik, Tableau та PowerBI – сьогодні аналіз і звітність – це більше зазвичай виконується в бізнес-департаментах, ніж в ІТ. Ще більшою мірою це стосується таких інструментів Analytics, як Qlik, Tableau та PowerBI, які вдосконалили модель самообслуговування BI. Більшість грошей, витрачених на відповідність, зосереджено на фінансових і бухгалтерських системах. Зовсім недавно компанії справедливо розширили підготовку до аудиту на інші відділи. Вони виявили, що офіційні програми управління змінами в ІТ не змогли охопити бази даних або сховища даних/вітринки з тією ж суворістю, що використовується для програм і систем.  Область дотримання політик і процедур керування змінами підпадає під загальний контроль і згрупована з іншими ІТ-політиками та процедурами тестування, аварійного відновлення, резервного копіювання, відновлення та безпеки.

З багатьох кроків, необхідних для дотримання вимог аудиту, одна з речей, яку найчастіше забувають, це: «Слідкуйте за діяльністю за допомогою аудиту в реальному часі, включно з інформацією про те, хто, що, де та коли виконує всі дії оператора і зміни в інфраструктурі, особливо ті, які можуть бути невідповідними або зловмисними».  Незалежно від того, чи змінюються параметри системи, програмне забезпечення чи самі дані, необхідно підтримувати запис, який містить принаймні такі елементи:

• Хто подав запит на зміни
• Коли було виконано зміну
• У чому полягає зміна – опис
• Хто погодив зміни

Запис цієї інформації про зміни у звітах і інформаційних панелях у ваших системах Analytics і Business Intelligence не менш важливий. Незалежно від того, де знаходиться інструмент аналітики та бізнес-аналізації на континуумі контролю – Дикий Захід, самообслуговування чи централізоване управління; чи електронні таблиці (здригатися), Tableau/Qlik/Power BI або Cognos Analytics – щоб відповідати Сарбейнсу-Окслі, вам потрібно буде записувати цю базову інформацію. Аудитору байдуже, використовуєте ви ручку та папір чи автоматизовану систему для документування того, що ваші процеси контролю дотримуються. Я визнаю, що якщо ви використовуєте електронні таблиці як «аналітичне» програмне забезпечення для прийняття бізнес-рішень, ви також можете використовувати електронні таблиці для запису управління змінами.  

Однак є хороші шанси, що якщо ви вже інвестували в аналітичну систему, як-от PowerBI або інші, вам слід шукати способи автоматизувати запис змін у вашій системі бізнес-аналітики та звітності. Незважаючи на те, що готові інструменти аналітики, як-от Tableau, Qlik, PowerBI, готові до роботи, вони не врахували можливості легкого звітування про керування змінами, яке можна перевірити. Роби своє домашнє завдання. Знайдіть спосіб автоматизувати документування змін у вашому аналітичному середовищі. Ще краще, будьте готові представити аудитору не просто журнал змін у вашій системі, але й те, що зміни відповідають затвердженим внутрішнім політикам і процесам.

Володіючи здатністю: 

1) продемонструйте, що у вас є надійна внутрішня політика, 

2) що ваші задокументовані процеси їх підтримують, і 

3) що фактична практика може бути підтверджена 

порадує будь-якого аудитора. І всі знають, що якщо аудитор щасливий, то всі щасливі.

Багато компаній скаржаться на додаткові витрати на відповідність, а вартість відповідності стандартам SOX може бути високою. «Ці витрати є більш значними для невеликих фірм, для більш складних фірм і для фірм із нижчими можливостями зростання».  Ціна за недотримання вимог може бути ще вищою.

Ризик невідповідності

Сарбейнз-Окслі притягує генеральних директорів і директорів до відповідальності та карається до 500,000 5 доларів США та XNUMX роками в'язниці. Уряд часто не погоджується на незнання чи некомпетентність. Якби я був генеральним директором, я б хотів, щоб моя команда змогла довести, що ми дотримувалися найкращих практик і знали, хто здійснив кожну транзакцію. 

Ще одне. Я сказав, що Сарбейнз-Окслі призначений для публічних компаній. Це правда, але подумайте про те, як відсутність внутрішнього контролю та документації може завадити вам, якщо ви коли-небудь захочете зробити публічну пропозицію.