Analytics và Sarbanes-Oxley
Quản lý việc tuân thủ SOX bằng các công cụ BI tự phục vụ như Qlik, Tableau và PowerBI
Năm tới SOX sẽ đủ tuổi để mua bia ở Texas. Nó được ra đời từ “Đạo luật Cải cách Kế toán Công ty Đại chúng và Bảo vệ Nhà đầu tư”, sau đó được gọi một cách trìu mến bằng tên của các thượng nghị sĩ đã tài trợ cho dự luật, Đạo luật Sarbanes-Oxley năm 2002. Sarbanes-Oxley là con đẻ của Đạo luật Chứng khoán năm 1933 với mục đích chính là bảo vệ các nhà đầu tư khỏi gian lận bằng cách cung cấp sự minh bạch về tài chính doanh nghiệp. Là con cháu của đạo luật đó, Sarbanes-Oxley củng cố các mục tiêu đó và cố gắng thúc đẩy trách nhiệm giải trình thông qua các thực tiễn kinh doanh tốt. Nhưng, giống như nhiều người trẻ tuổi khác, chúng tôi vẫn đang cố gắng tìm ra điều đó. Hai mươi năm trôi qua, các công ty vẫn đang cố gắng tìm ra tác động cụ thể của đạo luật đối với họ, cũng như cách tốt nhất để tăng cường tính minh bạch trong công nghệ và hệ thống của họ để hỗ trợ tuân thủ.
Ai chịu trách nhiệm?
Trái ngược với suy nghĩ của nhiều người, Sarbanes-Oxley không chỉ áp dụng cho các tổ chức tài chính, hoặc chỉ cho bộ phận tài chính. Mục tiêu của nó là cung cấp sự minh bạch hơn cho tất cả dữ liệu tổ chức và các quy trình liên quan. Về mặt kỹ thuật, Sarbanes-Oxley chỉ áp dụng cho các tập đoàn giao dịch công khai, nhưng các yêu cầu của nó phù hợp với bất kỳ doanh nghiệp hoạt động tốt nào. Đạo luật quy định Giám đốc điều hành và Giám đốc tài chính phải chịu trách nhiệm cá nhân về dữ liệu được trình bày. Các cán bộ này lần lượt dựa vào CIO, CDO và CSO để đảm bảo rằng hệ thống dữ liệu được bảo mật, có tính toàn vẹn và có thể cung cấp thông tin cần thiết để chứng minh sự tuân thủ. Gần đây, việc kiểm soát và tuân thủ đã trở thành một thách thức nhiều hơn đối với các CIO và các đồng nghiệp của họ. Nhiều tổ chức đang rời bỏ doanh nghiệp truyền thống, các hệ thống Phân tích và Kinh doanh do CNTT quản lý. Thay vào đó, họ đang áp dụng các công cụ tự phục vụ do doanh nghiệp dẫn đầu như Qlik, Tableau và PowerBI. Những công cụ này, theo thiết kế, không được quản lý tập trung.
Thay Đổi Cách Quản Lý
Một trong những yêu cầu quan trọng để tuân thủ Đạo luật là xác định các biện pháp kiểm soát tại chỗ và cách các thay đổi trong dữ liệu hoặc ứng dụng phải được ghi lại một cách có hệ thống. Nói cách khác, kỷ luật Quản lý sự thay đổi. Bảo mật, truy cập dữ liệu và phần mềm cần được giám sát, cũng như xem hệ thống CNTT có hoạt động không bình thường hay không. Việc tuân thủ không chỉ phụ thuộc vào việc xác định các chính sách và quy trình để bảo vệ môi trường mà còn phải thực sự thực hiện và cuối cùng có thể chứng minh rằng việc đó đã được thực hiện. Cũng giống như chuỗi hành vi theo dõi bằng chứng của cảnh sát, việc tuân thủ Sarbanes-Oxley chỉ mạnh như mắt xích yếu nhất của nó.
Liên kết yếu
Là một nhà truyền bá phân tích, tôi thấy đau lòng khi nói điều này, nhưng mối liên kết yếu nhất trong việc tuân thủ Sarbanes-Oxley thường là Analytics hoặc Business Intelligence. Các nhà lãnh đạo trong Analytics tự phục vụ được đề cập ở trên –Qlik, Tableau và PowerBI - Phân tích và báo cáo ngày nay nhiều hơn thường được thực hiện trong các bộ phận kinh doanh hơn là trong CNTT. Điều này càng đúng với các công cụ Analytics như Qlik, Tableau và PowerBI, những công cụ đã hoàn thiện mô hình BI tự phục vụ. Hầu hết tiền chi cho việc tuân thủ đã tập trung vào hệ thống tài chính và kế toán. Gần đây, các công ty đã mở rộng việc chuẩn bị kiểm toán cho các bộ phận khác. Những gì họ phát hiện ra là các chương trình Quản lý Thay đổi CNTT chính thức đã không bao gồm các cơ sở dữ liệu hoặc kho / siêu thị dữ liệu với cùng mức độ nghiêm ngặt được sử dụng cho các ứng dụng và hệ thống. Khu vực tuân thủ các chính sách và thủ tục của Quản lý thay đổi nằm trong Kiểm soát chung và được nhóm với các chính sách và thủ tục CNTT khác về kiểm tra, khắc phục thảm họa, sao lưu, phục hồi và bảo mật.
Trong số nhiều bước cần thiết để tuân thủ đánh giá, một trong những điều thường bị bỏ qua nhất là: “Theo dõi hoạt động với kiểm tra thời gian thực, bao gồm ai, cái gì, ở đâu và khi nào của tất cả hoạt động của nhà điều hành và những thay đổi về cơ sở hạ tầng, đặc biệt là những thay đổi có thể không phù hợp hoặc độc hại ”. Cho dù thay đổi là cài đặt hệ thống, ứng dụng phần mềm hay bản thân dữ liệu, thì bản ghi phải được duy trì, trong đó có tối thiểu các yếu tố sau:
- Ai đã yêu cầu thay đổi
- Khi thay đổi được thực hiện
- Thay đổi là gì - mô tả
- Ai đã phê duyệt thay đổi
Việc ghi lại thông tin này về những thay đổi đối với báo cáo và trang tổng quan trong hệ thống Analytics và Business Intelligence của bạn cũng quan trọng không kém. Bất kể nơi nào mà công cụ Analytics và BI được kiểm soát liên tục - Miền Tây hoang dã, tự phục vụ hoặc được quản lý tập trung; liệu bảng tính (rùng mình), Tableau / Qlik / Power BI hoặc Cognos Analytics - để tuân thủ Sarbanes-Oxley, bạn sẽ cần ghi lại thông tin cơ bản này. Kiểm toán viên không quan tâm đến việc bạn đang sử dụng giấy bút hay hệ thống tự động để ghi lại rằng các quy trình kiểm soát của bạn đang được tuân thủ. Tôi thừa nhận rằng nếu bạn đang sử dụng bảng tính làm phần mềm "phân tích" để đưa ra các quyết định kinh doanh, thì bạn cũng có thể đang sử dụng bảng tính để ghi lại việc quản lý thay đổi.
Tuy nhiên, rất có thể nếu bạn đã đầu tư vào một hệ thống phân tích như PowerBI hoặc những hệ thống khác, bạn nên tìm cách tự động ghi lại những thay đổi trong hệ thống báo cáo và thông minh kinh doanh của mình. Các công cụ phân tích như Tableau, Qlik, PowerBI đều tốt như vậy. Làm bài tập về nhà đi. Tìm cách tự động hóa tài liệu về các thay đổi đối với môi trường phân tích của bạn. Tốt hơn nữa, hãy chuẩn bị để trình bày với kiểm toán viên, không chỉ nhật ký các thay đổi đối với hệ thống của bạn, mà các thay đổi đó tuân theo các chính sách và quy trình nội bộ đã được phê duyệt.
Có khả năng:
1) chứng minh rằng bạn có các chính sách nội bộ vững chắc,
2) các quy trình được lập thành văn bản của bạn có hỗ trợ chúng không, và
3) thực hành thực tế có thể được xác nhận
sẽ làm hài lòng bất kỳ kiểm toán viên nào. Và, mọi người đều biết rằng nếu kiểm toán viên hạnh phúc thì mọi người cũng hạnh phúc.
Nhiều công ty phàn nàn về chi phí tuân thủ tăng thêm và chi phí tuân thủ các tiêu chuẩn SOX có thể cao. "Những chi phí này có ý nghĩa hơn đối với các công ty nhỏ hơn, đối với các công ty phức tạp hơn và đối với các công ty có cơ hội tăng trưởng thấp hơn." Chi phí cho việc không tuân thủ có thể còn cao hơn.
Rủi ro không tuân thủ
Sarbanes-Oxley bắt các CEO và giám đốc phải chịu trách nhiệm và bị phạt tới 500,000 USD và 5 năm tù. Chính phủ thường không chấp nhận lời cầu xin của sự thiếu hiểu biết hoặc kém năng lực. Nếu tôi là Giám đốc điều hành, tôi chắc chắn sẽ muốn nhóm của mình có thể chứng minh rằng chúng tôi đã tuân thủ các phương pháp hay nhất và chúng tôi biết ai đã thực hiện mọi giao dịch.
Một điều nữa. Tôi đã nói rằng Sarbanes-Oxley dành cho các công ty giao dịch công khai. Điều đó đúng, nhưng hãy xem xét việc thiếu kiểm soát nội bộ và thiếu tài liệu có thể cản trở bạn như thế nào nếu bạn muốn chào bán công khai.