你的袜子有洞吗？（遵守）

by 约翰·博耶2022 年 8 月 2 日审计, 商业智能/分析0评论

分析和萨班斯-奥克斯利法案

使用 Qlik、Tableau 和 PowerBI 等自助式 BI 工具管理 SOX 合规性

明年，SOX 将大到可以在德克萨斯州购买啤酒。它起源于“公共公司会计改革和投资者保护法”，此后以发起该法案的参议员的名字而被亲切地称为 2002 年的萨班斯-奥克斯利法案。萨班斯法案萨班斯-奥克斯利法案是 1933 年《证券法》的产物，其主要目的是通过提供公司财务透明度来保护投资者免受欺诈。作为该法案的产物，萨班斯-奥克斯利法案强化了这些目标，并试图通过良好的商业实践来促进问责制。但是，像许多年轻人一样，我们仍在努力解决这个问题。二十年过去了，公司仍在试图弄清楚该法案对他们的具体影响，以及如何最好地提高其技术和系统的透明度以支持合规性。

谁负责？

与普遍看法相反，萨班斯-奥克斯利法案不仅适用于金融机构，也不仅仅适用于财务部门。其目标是为所有组织数据和相关流程提供更大的透明度。从技术上讲，Sarbanes-Oxley 仅适用于上市公司，但它的要求对于任何经营良好的企业来说都是合理的。该法案规定首席执行官和首席财务官个人对呈现的数据。反过来，这些官员依靠 CIO、CDO 和 CSO 来确保数据系统是安全的、具有完整性并能够提供证明合规性所需的信息。最近，控制和合规对 CIO 和他们的同事来说已经成为一个更大的挑战。许多组织正在远离传统的企业、IT 管理的分析和商业智能系统。相反，他们正在采用以业务线为主导的自助服务工具，例如 Qlik、Tableau 和 PowerBI。根据设计，这些工具不是集中管理的。

变更管理

遵守该法案的关键要求之一是定义适当的控制以及如何系统地记录数据或应用程序的变化。换句话说，变革管理的学科。需要监控安全、数据和软件访问，以及 IT 系统是否运行不正常。合规性不仅取决于定义保护环境的政策和流程，还取决于实际执行并最终能够证明它已经完成。就像警方的证据监管链一样，遵守萨班斯-奥克斯利法案的强度取决于其最薄弱的环节。

薄弱环节

作为一名分析传播者，这样说让我很痛苦，但 Sarbanes-Oxley 合规性中最薄弱的环节通常是分析或商业智能。上面提到的自助分析领域的领导者——Qlik、Tableau 和 PowerBI——今天的分析和报告更多通常在业务线部门而不是在 IT 部门中完成。 Qlik、Tableau 和 PowerBI 等分析工具更是如此，它们完善了自助式 BI 模型。花在合规上的大部分资金都集中在财务和会计系统上。最近，公司正确地将审计准备扩展到其他部门。他们发现，正式的 IT 变更管理程序未能以与应用程序和系统相同的严格性包含数据库或数据仓库/集市。变更管理政策和程序合规领域属于一般控制，并与测试、灾难恢复、备份、恢复和安全的其他 IT 政策和程序组合在一起。

在遵守审计要求的众多步骤中，最常被忽视的一件事是：“通过实时审计跟踪活动跟踪，包括所有操作员活动的人员、内容、地点和时间 和基础设施变化，尤其是那些可能不恰当或恶意的变化。” 无论更改是针对系统设置、软件应用程序还是数据本身，都必须保留一份记录，其中至少包含以下元素：

谁要求更改
执行更改的时间
变化是什么——描述
谁批准了更改

在您的分析和商业智能系统中记录有关报告和仪表板更改的信息同样重要。无论分析和 BI 工具处于连续控制的哪个位置——狂野西部、自助服务或集中管理；是否电子表格（不寒而栗)、Tableau/Qlik/Power BI 或 Cognos Analytics——要遵守 Sarbanes-Oxley，您需要记录这些基本信息。审核员不在乎您是使用纸笔还是自动化系统来记录您的控制流程是否得到遵循。我承认，如果您使用电子表格作为“分析”软件来制定业务决策，那么您可能还会使用电子表格来记录变更管理。

但是，如果您已经投资了 PowerBI 或其他分析系统，那么很有可能您应该寻找在商业智能和报告系统中自动记录更改的方法。与 Tableau、Qlik、PowerBI 等开箱即用的分析工具一样好，它们忽略了包含简单、可审计的变更管理报告。做你的作业。找到一种方法来自动记录分析环境的更改。更好的是，准备好向审核员展示，不仅仅是系统更改日志，而且更改符合批准的内部政策和流程。

有能力：

1）证明你有可靠的内部政策，

2) 你的文档化流程支持它们，并且

3) 可以确认实际操作

会让任何审计员高兴。而且，每个人都知道，如果审核员高兴，每个人都会高兴。

许多公司抱怨合规成本增加，而遵守 SOX 标准的成本可能很高。 “这些成本对于较小的公司、更复杂的公司以及增长机会较低的公司来说更为重要。” 不合规的成本可能更高。