تجزیات اور سربینز آکسلی
سیلف سروس BI ٹولز جیسے Qlik، Tableau اور PowerBI کے ساتھ SOX کی تعمیل کا انتظام
اگلے سال SOX ٹیکساس میں بیئر خریدنے کے لیے کافی پرانا ہو جائے گا۔ اس کا جنم "پبلک کمپنی اکاؤنٹنگ ریفارم اینڈ انویسٹر پروٹیکشن ایکٹ" سے ہوا، جس کے بعد اس بل کو سپانسر کرنے والے سینیٹرز کے ناموں سے پیار سے جانا جاتا ہے، سربینز آکسلے ایکٹ 2002۔ 
Sarbanes-Oxley 1933 کے سیکیورٹیز ایکٹ کی اولاد تھی جس کا بنیادی مقصد کارپوریٹ مالیات میں شفافیت فراہم کرکے سرمایہ کاروں کو دھوکہ دہی سے بچانا تھا۔ اس ایکٹ کی اولاد کے طور پر، سربینز آکسلے نے ان مقاصد کو تقویت دی اور اچھے کاروباری طریقوں کے ذریعے احتساب کو فروغ دینے کی کوشش کی۔ لیکن، بہت سے نوجوان بالغوں کی طرح، ہم اب بھی اس کا پتہ لگانے کی کوشش کر رہے ہیں۔ بیس سال گزرنے کے بعد، کمپنیاں اب بھی یہ جاننے کی کوشش کر رہی ہیں کہ اس ایکٹ کے ان کے لیے خاص طور پر کیا اثرات ہیں، ساتھ ہی، تعمیل کو سپورٹ کرنے کے لیے اپنی ٹیکنالوجی اور سسٹمز میں شفافیت کو کس طرح بہتر بنایا جائے۔
کون ذمہ دار ہے؟
عام خیال کے برعکس، Sarbanes-Oxley کا اطلاق صرف مالیاتی اداروں پر نہیں ہوتا، یا صرف فنانس ڈیپارٹمنٹ پر ہوتا ہے۔ اس کا مقصد تمام تنظیمی ڈیٹا اور متعلقہ عمل میں زیادہ شفافیت فراہم کرنا ہے۔ تکنیکی طور پر، Sarbanes-Oxley صرف عوامی طور پر تجارت کرنے والی کارپوریشنوں پر لاگو ہوتا ہے، لیکن اس کی ضروریات کسی بھی اچھی طرح سے چلنے والے کاروبار کے لیے درست ہیں۔ ایکٹ سی ای او اور سی ایف او کو ذاتی طور پر جوابدہ بناتا ہے۔ 
ڈیٹا پیش کیا. یہ افسران بدلے میں، CIO، CDO اور CSO پر اس بات کو یقینی بنانے کے لیے انحصار کرتے ہیں کہ ڈیٹا سسٹم محفوظ ہیں، ان میں دیانت داری ہے اور وہ تعمیل ثابت کرنے کے لیے ضروری معلومات فراہم کرنے کے قابل ہیں۔ حال ہی میں، کنٹرول اور تعمیل CIOs اور ان کے ساتھیوں کے لیے ایک چیلنج بن گیا ہے۔ بہت سی تنظیمیں روایتی انٹرپرائز، IT کے زیر انتظام تجزیات اور بزنس انٹیلی جنس سسٹمز سے دور ہو رہی ہیں۔ اس کے بجائے، وہ لائن آف بزنس کی قیادت میں سیلف سروس ٹولز جیسے Qlik، Tableau اور PowerBI کو اپنا رہے ہیں۔ یہ ٹولز، ڈیزائن کے لحاظ سے، مرکزی طور پر منظم نہیں ہوتے ہیں۔
تبدیلی کے انتظام
ایکٹ کی تعمیل کے لیے کلیدی تقاضوں میں سے ایک یہ ہے کہ جگہ پر موجود کنٹرولز کی وضاحت کی جائے اور ڈیٹا یا ایپلی کیشنز میں ہونے والی تبدیلیوں کو منظم طریقے سے کیسے ریکارڈ کیا جانا چاہیے۔ دوسرے لفظوں میں، تبدیلی کے انتظام کا نظم و ضبط۔ سیکورٹی، ڈیٹا اور سافٹ ویئر تک رسائی کی نگرانی کرنے کی ضرورت ہے، ساتھ ہی، آیا آئی ٹی سسٹم ٹھیک سے کام نہیں کررہے ہیں۔ تعمیل کا انحصار صرف ماحولیات کے تحفظ کے لیے پالیسیوں اور عمل کی وضاحت کرنے پر نہیں ہے، بلکہ حقیقت میں اسے کرنے اور بالآخر یہ ثابت کرنے کے قابل ہونے پر بھی ہے کہ یہ ہو چکا ہے۔ بالکل اسی طرح جیسے پولیس شواہد کی تحویل کی زنجیر، سربینز آکسلے کی تعمیل اس کی کمزور ترین کڑی کی طرح ہی مضبوط ہے۔
کمزور لنک
ایک تجزیاتی مبشر کے طور پر، یہ کہنا مجھے تکلیف دیتا ہے، لیکن Sarbanes-Oxley کی تعمیل میں سب سے کمزور کڑی اکثر تجزیات یا بزنس انٹیلی جنس ہوتی ہے۔ مندرجہ بالا سیلف سرو اینالیٹکس میں لیڈرز - کیلک، ٹیبلو اور پاور بی آئی - آج تجزیہ اور رپورٹنگ زیادہ ہے 
عام طور پر IT کے مقابلے لائن آف بزنس ڈیپارٹمنٹس میں کیا جاتا ہے۔ یہ Qlik، Tableau اور PowerBI جیسے تجزیاتی ٹولز کے بارے میں اور بھی سچ ہے جنہوں نے سیلف سروس BI ماڈل کو مکمل کیا ہے۔ تعمیل پر خرچ ہونے والی زیادہ تر رقم مالیاتی اور اکاؤنٹنگ سسٹم پر مرکوز ہے۔ ابھی حال ہی میں، کمپنیوں نے آڈٹ کی تیاری کو دوسرے محکموں تک بڑھایا ہے۔ انہوں نے جو پایا وہ یہ تھا کہ رسمی آئی ٹی چینج مینجمنٹ پروگرام ڈیٹا بیس یا ڈیٹا گوداموں/مارٹس کو شامل کرنے میں ناکام رہے ہیں جس میں ایپلی کیشنز اور سسٹمز کے لیے استعمال کیا جاتا ہے۔ تبدیلی کے انتظام کی پالیسیوں اور طریقہ کار کی تعمیل کا علاقہ جنرل کنٹرول کے تحت آتا ہے اور اسے دیگر IT پالیسیوں اور جانچ، ڈیزاسٹر ریکوری، بیک اپ، اور ریکوری اور سیکیورٹی کے طریقہ کار کے ساتھ گروپ کیا جاتا ہے۔
آڈٹ کی تعمیل کرنے کے لیے درکار بہت سے اقدامات میں سے، اکثر نظر انداز کی جانے والی چیزوں میں سے ایک یہ ہے:ریئل ٹائم آڈیٹنگ کے ساتھ ایک سرگرمی ٹریل رکھیں، بشمول آپریٹر کی تمام سرگرمیاں کون، کیا، کہاں اور کب اور بنیادی ڈھانچے میں تبدیلیاں، خاص طور پر وہ جو نامناسب یا بدنیتی پر مبنی ہو سکتی ہیں۔ چاہے تبدیلی سسٹم کی ترتیبات میں ہو، سافٹ ویئر ایپلیکیشن، یا خود ڈیٹا، ایک ریکارڈ کو برقرار رکھا جانا چاہیے جس میں کم از کم درج ذیل عناصر شامل ہوں:
- جس نے تبدیلی کی درخواست کی۔
- جب تبدیلی کی گئی۔
- تبدیلی کیا ہے - ایک تفصیل
- جس نے تبدیلی کی منظوری دی۔
آپ کے تجزیات اور کاروباری انٹیلی جنس سسٹم میں رپورٹس اور ڈیش بورڈز میں ہونے والی تبدیلیوں کے بارے میں اس معلومات کو ریکارڈ کرنا اتنا ہی اہم ہے۔ اس بات سے قطع نظر کہ تجزیات اور BI ٹول کنٹرول کے تسلسل پر ہے - وائلڈ ویسٹ، سیلف سروس، یا مرکزی طور پر منظم؛ چاہے اسپریڈشیٹ (کپکپی)، Tableau/Qlik/Power BI، یا Cognos Analytics – Sarbanes-Oxley کی تعمیل کرنے کے لیے، آپ کو یہ بنیادی معلومات ریکارڈ کرنے کی ضرورت ہوگی۔ آڈیٹر کو اس بات کی کوئی پرواہ نہیں ہے کہ آیا آپ قلم اور کاغذ یا کوئی خودکار نظام استعمال کر رہے ہیں تاکہ یہ دستاویز کیا جا سکے کہ آپ کے کنٹرول کے عمل کی پیروی کی جا رہی ہے۔ میں تسلیم کرتا ہوں کہ اگر آپ کاروباری فیصلے کرنے کے لیے اسپریڈ شیٹس کو اپنے "تجزیاتی" سافٹ ویئر کے طور پر استعمال کر رہے ہیں، تو ہو سکتا ہے کہ آپ تبدیلی کے انتظام کو ریکارڈ کرنے کے لیے اسپریڈ شیٹس بھی استعمال کر رہے ہوں۔
تاہم، امکانات اچھے ہیں کہ اگر آپ نے پہلے ہی پاور بی آئی، یا دیگر جیسے تجزیاتی نظام میں سرمایہ کاری کر رکھی ہے، تو آپ کو اپنی کاروباری ذہانت اور رپورٹنگ سسٹم میں ہونے والی تبدیلیوں کو خودکار طریقے سے ریکارڈ کرنے کے طریقے تلاش کرنے چاہئیں۔ جتنے بھی اچھے ہیں، باہر کے تجزیاتی ٹولز جیسے ٹیبلاؤ، کیلک، پاور بی آئی نے آسان، قابل سماعت تبدیلی کے انتظام کی رپورٹنگ کو شامل کرنے کو نظر انداز کر دیا ہے۔ اپنا ہومورک کرو. اپنے تجزیاتی ماحول میں تبدیلیوں کی دستاویزات کو خودکار کرنے کا طریقہ تلاش کریں۔ اس سے بھی بہتر، کسی آڈیٹر کے سامنے پیش کرنے کے لیے تیار رہیں، نہ صرف اپنے سسٹم میں ہونے والی تبدیلیوں کا ایک لاگ بلکہ یہ کہ تبدیلیاں منظور شدہ داخلی پالیسیوں اور عمل کے مطابق ہوں۔
قابلیت کا حامل:
1) ظاہر کریں کہ آپ کے پاس ٹھوس داخلی پالیسیاں ہیں،
2) کہ آپ کے دستاویزی عمل ان کی حمایت کرتے ہیں، اور
3) کہ اصل مشق کی تصدیق کی جا سکتی ہے۔
کسی بھی آڈیٹر کو خوش کر دے گا۔ اور، ہر کوئی جانتا ہے کہ اگر آڈیٹر خوش ہے، تو سب خوش ہیں۔
بہت سی کمپنیاں تعمیل کے اضافی اخراجات کے بارے میں شکایت کرتی ہیں، اور SOX معیارات کی تعمیل کی قیمت زیادہ ہو سکتی ہے۔ "یہ اخراجات چھوٹی فرموں کے لیے، زیادہ پیچیدہ فرموں کے لیے، اور کم ترقی کے مواقع والی فرموں کے لیے زیادہ اہم ہیں۔" عدم تعمیل کی قیمت اس سے بھی زیادہ ہو سکتی ہے۔
عدم تعمیل کا خطرہ
Sarbanes-Oxley نے CEOs اور ڈائریکٹرز کو جوابدہ اور $500,000 تک سزا اور 5 سال قید کی سزا دی ہے۔ حکومت اکثر لاعلمی یا نااہلی کی درخواست قبول نہیں کرتی۔ اگر میں سی ای او ہوتا، تو میں یقینی طور پر چاہتا ہوں کہ میری ٹیم یہ ثابت کر سکے کہ ہم نے بہترین طریقوں پر عمل کیا ہے اور ہم جانتے ہیں کہ ہر لین دین کس نے کیا ہے۔
ایک اور بات. میں نے کہا کہ Sarbanes-Oxley عوامی طور پر تجارت کرنے والی کمپنیوں کے لیے ہے۔ یہ سچ ہے، لیکن غور کریں کہ اگر آپ کبھی عوامی پیشکش کرنا چاہتے ہیں تو اندرونی کنٹرول کی کمی اور دستاویزات کی کمی آپ کو کیسے روک سکتی ہے۔
