Analytics va Sarbanes-Oxley

Qlik, Tableau va PowerBI kabi oʻz-oʻziga xizmat qiluvchi BI vositalari bilan SOX muvofiqligini boshqarish

Kelgusi yil SOX Texasda pivo sotib olish uchun etarlicha eski bo'ladi. U "Davlat kompaniyasining buxgalteriya hisobini isloh qilish va investorlarni himoya qilish to'g'risida" gi qonundan kelib chiqqan holda, keyinchalik qonun loyihasiga homiylik qilgan senatorlarning ismlari bilan mashhur bo'lib, 2002 yil Sarbanes-Oksli qonuni asosida yaratilgan. Sarbanes-Oxley 1933 yilgi Qimmatli qog'ozlar to'g'risidagi qonunning avlodi bo'lib, uning asosiy maqsadi korporativ moliyaning shaffofligini ta'minlash orqali investorlarni firibgarlikdan himoya qilish edi. Ushbu harakatning avlodi sifatida Sarbanes-Oksli ushbu maqsadlarni mustahkamladi va yaxshi biznes amaliyotlari orqali javobgarlikni oshirishga harakat qildi. Ammo, ko‘plab yoshlar singari, biz ham buni tushunishga harakat qilyapmiz. Yigirma yil o'tgan bo'lsa-da, kompaniyalar hali ham qonunning ular uchun qanday ta'sir ko'rsatishini, shuningdek, muvofiqlikni qo'llab-quvvatlash uchun texnologiya va tizimlarida oshkoralikni oshirishning eng yaxshi usullarini aniqlashga harakat qilmoqdalar.

Kim javobgar?

Ommabop e'tiqoddan farqli o'laroq, Sarbanes-Oxley nafaqat moliyaviy institutlarga, balki faqat moliya bo'limiga tegishli. Uning maqsadi barcha tashkiliy ma'lumotlar va tegishli jarayonlarning shaffofligini ta'minlashdir. Texnik jihatdan, Sarbanes-Oxley faqat ochiq sotiladigan korporatsiyalar uchun amal qiladi, ammo uning talablari har qanday yaxshi boshqariladigan biznes uchun mos keladi. Qonun bosh direktor va moliyaviy direktorni shaxsan javobgarlikka tortadi taqdim etilgan ma'lumotlar. Bu ofitserlar, o'z navbatida, ma'lumotlar tizimlari xavfsizligini, yaxlitligini va muvofiqlikni isbotlash uchun zarur bo'lgan ma'lumotlarni taqdim eta olishlarini ta'minlash uchun CIO, CDO va CSOga tayanadilar. So'nggi paytlarda nazorat va muvofiqlik CIO va ularning tengdoshlari uchun ko'proq muammoga aylandi. Ko'pgina tashkilotlar an'anaviy korporativ, IT tomonidan boshqariladigan Analytics va Business Intelligence tizimlaridan uzoqlashmoqda. Buning o'rniga ular Qlik, Tableau va PowerBI kabi biznes yo'nalishi bo'yicha o'z-o'ziga xizmat ko'rsatish vositalarini qo'llashmoqda. Ushbu vositalar, dizaynga ko'ra, markazdan boshqarilmaydi.

O'zgarishni boshqarish

Qonunga rioya qilish bo'yicha asosiy talablardan biri joriy nazoratni va ma'lumotlar yoki ilovalardagi o'zgarishlarni tizimli ravishda qanday qayd etish kerakligini aniqlashdir. Boshqacha qilib aytganda, o'zgarishlarni boshqarish intizomi. Xavfsizlik, ma'lumotlar va dasturiy ta'minotga kirish, shuningdek, IT tizimlarining to'g'ri ishlamayotganligini kuzatish kerak. Muvofiqlik nafaqat atrof-muhitni muhofaza qilish siyosati va jarayonlarini belgilashga, balki uni amalda bajarishga va oxir-oqibat bu amalga oshirilganligini isbotlashga bog'liq. Politsiya dalillar zanjiri kabi, Sarbanes-Oksliga rioya qilish uning eng zaif bo'g'ini kabi kuchli.  

Zaif havola

Analitik xushxabarchi sifatida, buni aytish menga og'riqli, lekin Sarbanes-Oksley muvofiqligidagi eng zaif bo'g'in ko'pincha Analytics yoki Business Intelligence hisoblanadi. Yuqorida aytib o'tilgan o'z-o'ziga xizmat qiluvchi Analytics yetakchilari - Qlik, Tableau va PowerBI - Bugungi kunda tahlil qilish va hisobot berish ko'proq odatda IT-ga qaraganda biznes bo'limlarida amalga oshiriladi. Bu o'z-o'ziga xizmat ko'rsatish BI modelini takomillashtirgan Qlik, Tableau va PowerBI kabi Analytics vositalariga ko'proq taalluqlidir. Muvofiqlik uchun sarflangan mablag'larning aksariyati moliyaviy va buxgalteriya tizimlariga qaratilgan. Yaqinda kompaniyalar auditga tayyorgarlikni boshqa bo'limlarga to'g'ri ravishda kengaytirdilar. Ular aniqlagan narsa shundaki, rasmiy IT o'zgarishlarini boshqarish dasturlari ma'lumotlar bazalari yoki ma'lumotlar omborlari/martslarni ilovalar va tizimlar uchun qo'llaniladigan qat'iylik bilan qamrab ololmagan.  Oʻzgarishlarni boshqarish siyosati va tartib-qoidalariga muvofiqlik sohasi Umumiy nazorat boʻlimiga kiradi va boshqa IT siyosatlari va sinov, falokatni tiklash, zaxiralash, tiklash va xavfsizlik tartib-qoidalari bilan birlashtirilgan.

Auditga rioya qilish uchun zarur bo'lgan ko'plab qadamlardan eng ko'p e'tibordan chetda qoladigan narsalardan biri: "Haqiqiy vaqtda audit yordamida faoliyatni kuzatib boring, shu jumladan operatorning barcha faoliyati kim, nima, qaerda va qachon va infratuzilmadagi o'zgarishlar, ayniqsa, nomaqbul yoki zararli bo'lishi mumkin bo'lgan o'zgarishlar.  O'zgartirish tizim sozlamalarida, dasturiy ta'minot ilovasida yoki ma'lumotlarning o'zida bo'ladimi, kamida quyidagi elementlarni o'z ichiga olgan yozuv saqlanishi kerak:

• O'zgartirishni kim talab qildi
• O'zgartirish amalga oshirilganda
• O'zgarish nima - tavsif
• O'zgartirishni kim tasdiqladi

Analytics va Business Intelligence tizimlaridagi hisobotlar va asboblar panelidagi o'zgarishlar haqidagi ushbu ma'lumotlarni yozib olish ham xuddi shunday muhim. Analytics va BI vositasi nazoratning uzluksizligida qaerda bo'lishidan qat'i nazar - Yovvoyi G'arb, o'z-o'ziga xizmat ko'rsatish yoki markazdan boshqariladigan; elektron jadvallar (titrash), Tableau/Qlik/Power BI yoki Cognos Analytics – Sarbanes-Oxleyga muvofiq bo'lish uchun siz ushbu asosiy ma'lumotlarni yozib olishingiz kerak bo'ladi. Auditor sizning nazorat jarayonlaringizga rioya qilinayotganini hujjatlashtirish uchun qalam va qog'oz yoki avtomatlashtirilgan tizimdan foydalanayotganingizdan farqi yo'q. Qabul qilaman, agar siz biznes qarorlarini qabul qilish uchun elektron jadvallardan "tahlil" dasturi sifatida foydalansangiz, o'zgarishlarni boshqarishni yozib olish uchun elektron jadvallardan ham foydalanayotgan bo'lishingiz mumkin.  

Biroq, PowerBI yoki boshqalar kabi tahliliy tizimga allaqachon sarmoya kiritgan bo'lsangiz, biznes razvedkasi va hisobot tizimidagi o'zgarishlarni yozib olishni avtomatlashtirish yo'llarini izlayotgan bo'lishingiz mumkin. Qanchalik yaxshi bo'lsa ham, Tableau, Qlik, PowerBI kabi tahliliy vositalar oson, tekshiriladigan o'zgarishlarni boshqarish hisobotini kiritishni e'tiborsiz qoldirdi. Uy vazifangizni qiling. Analitik muhitingizdagi oʻzgarishlarni hujjatlashtirishni avtomatlashtirish yoʻlini toping. Bundan ham yaxshiroq, auditorga tizimingizdagi o'zgarishlar jurnalini emas, balki o'zgarishlar tasdiqlangan ichki siyosat va jarayonlarga mos kelishini taqdim etishga tayyor bo'ling.

Qobiliyatga ega bo'lish: 

1) qat'iy ichki siyosatingiz borligini ko'rsating; 

2) hujjatlashtirilgan jarayonlaringiz ularni qo'llab-quvvatlaydi va 

3) haqiqiy amaliyot tasdiqlanishi mumkin 

har qanday auditorni xursand qiladi. Va hamma biladiki, agar auditor baxtli bo'lsa, hamma baxtlidir.

Ko'pgina kompaniyalar muvofiqlik uchun qo'shimcha xarajatlar haqida shikoyat qiladilar va SOX standartlariga muvofiqlik narxi yuqori bo'lishi mumkin. "Bu xarajatlar kichikroq firmalar, murakkabroq firmalar va o'sish imkoniyatlari past bo'lgan firmalar uchun muhimroqdir."  Muvofiq bo'lmaganlik uchun narx yanada yuqori bo'lishi mumkin.

Mos kelmaslik xavfi

Sarbanes-Oksli bosh direktorlar va direktorlarni javobgarlikka tortadi va 500,000 5 dollargacha va XNUMX yil qamoq jazosi bilan jazolanadi. Hukumat ko'pincha johillik yoki qobiliyatsizlik haqidagi da'voni qabul qilmaydi. Agar men bosh direktor bo'lganimda, men, albatta, mening jamoam biz eng yaxshi amaliyotlarga rioya qilganimizni va har bir tranzaktsiyani kim amalga oshirganini bilganimizni isbotlashini istardim. 

Yana bir narsa. Men Sarbanes-Oxley ochiq kompaniyalar uchun ekanligini aytdim. Bu to'g'ri, lekin ichki nazoratning yo'qligi va hujjatlarning yo'qligi sizga qanday qilib to'sqinlik qilishi mumkinligini ko'rib chiqing, agar siz qachondir ommaviy taklif qilishni xohlasangiz.