你的襪子有洞嗎? (遵守)

by 2022 年 8 月 2 日審計, 商業智能/分析0評論

分析和薩班斯-奧克斯利法案

使用 Qlik、Tableau 和 PowerBI 等自助式 BI 工具管理 SOX 合規性

 

明年,SOX 將大到可以在德克薩斯州購買啤酒。 它起源於“公共公司會計改革和投資者保護法”,此後以發起該法案的參議員的名字而被親切地稱為 2002 年的薩班斯-奧克斯利法案。 薩班斯法案 薩班斯-奧克斯利法案是 1933 年《證券法》的產物,其主要目的是通過提供公司財務透明度來保護投資者免受欺詐。 作為該法案的產物,薩班斯-奧克斯利法案強化了這些目標,並試圖通過良好的商業實踐來促進問責制。 但是,像許多年輕人一樣,我們仍在努力解決這個問題。 二十年過去了,公司仍在試圖弄清楚該法案對他們的具體影響,以及如何最好地提高其技術和系統的透明度以支持合規性。

 

誰是負責的人?

 

與普遍看法相反,薩班斯-奧克斯利法案不僅適用於金融機構,也不僅僅適用於財務部門。 其目標是為所有組織數據和相關流程提供更大的透明度。 從技術上講,Sarbanes-Oxley 僅適用於上市公司,但它的要求對於任何經營良好的企業來說都是合理的。 該法案規定首席執行官和首席財務官個人對 呈現的數據。 反過來,這些官員依靠 CIO、CDO 和 CSO 來確保數據系統是安全的、具有完整性並能夠提供證明合規性所需的信息。 最近,控制和合規對 CIO 和他們的同事來說已經成為一個更大的挑戰。 許多組織正在遠離傳統的企業、IT 管理的分析和商業智能係統。 相反,他們正在採用以業務線為主導的自助服務工具,例如 Qlik、Tableau 和 PowerBI。 根據設計,這些工具不是集中管理的。

 

变更管理

 

遵守該法案的關鍵要求之一是定義適當的控制以及如何系統地記錄數據或應用程序的變化。 換句話說,變革管理的學科。 需要監控安全、數據和軟件訪問,以及 IT 系統是否運行不正常。 合規性不僅取決於定義保護環境的政策和流程,還取決於實際執行並最終能夠證明它已經完成。 就像警方的證據監管鏈一樣,遵守薩班斯-奧克斯利法案的強度取決於其最薄弱的環節。  

 

薄弱環節

 

作為一名分析傳播者,這樣說讓我很痛苦,但 Sarbanes-Oxley 合規性中最薄弱的環節通常是分析或商業智能。 上面提到的自助分析領域的領導者——Qlik、Tableau 和 PowerBI——今天的分析和報告更多 通常在業務線部門而不是在 IT 部門中完成。 Qlik、Tableau 和 PowerBI 等分析工具更是如此,它們完善了自助式 BI 模型。 花在合規上的大部分資金都集中在財務和會計系統上。 最近,公司正確地將審計準備擴展到其他部門。 他們發現,正式的 IT 變更管理程序未能以與應用程序和系統相同的嚴格性包含數據庫或數據倉庫/集市。  變更管理政策和程序合規領域屬於一般控制,並與測試、災難恢復、備份、恢復和安全的其他 IT 政策和程序組合在一起。

 

在遵守審計要求的眾多步驟中,最常被忽視的一件事是:“通過實時審計跟踪活動跟踪,包括所有操作員活動的人員、內容、地點和時間 和基礎設施變化,尤其是那些可能不恰當或惡意的變化。”  無論更改是針對系統設置、軟件應用程序還是數據本身,都必須保留一份記錄,其中至少包含以下元素:

  • 誰要求更改
  • 執行更改的時間
  • 變化是什麼——描述
  • 誰批准了更改

 

在您的分析和商業智能係統中記錄有關報告和儀表板更改的信息同樣重要。 無論分析和 BI 工具處於連續控制的哪個位置——狂野西部、自助服務或集中管理; 是否電子表格(不寒而栗)、Tableau/Qlik/Power BI 或 Cognos Analytics——要遵守 Sarbanes-Oxley,您需要記錄這些基本信息。 審核員不在乎您是使用紙筆還是自動化系統來記錄您的控制流程是否得到遵循。 我承認,如果您使用電子表格作為“分析”軟件來製定業務決策,那麼您可能還會使用電子表格來記錄變更管理。  

 

但是,如果您已經投資了 PowerBI 或其他分析系統,那麼很有可能您應該尋找在商業智能和報告系統中自動記錄更改的方法。 與 Tableau、Qlik、PowerBI 等開箱即用的分析工具一樣好,它們忽略了包含簡單、可審計的變更管理報告。 做你的作業。 找到一種方法來自動記錄分析環境的更改。 更好的是,準備好向審核員展示,不僅僅是系統更改日誌,而且更改符合批准的內部政策和流程。

 

有能力: 

1)證明你有可靠的內部政策, 

2) 你的文檔化流程支持它們,並且 

3) 可以確認實際操作 

會讓任何審計員高興。 而且,每個人都知道,如果審核員高興,每個人都會高興。

 

許多公司抱怨合規成本增加,而遵守 SOX 標準的成本可能很高。 “這些成本對於較小的公司、更複雜的公司以及增長機會較低的公司來說更為重要。”  不合規的成本可能更高。

 

不合規風險

 

Sarbanes-Oxley 要求 CEO 和董事承擔責任,最高可處以 500,000 美元和 5 年監禁。 政府通常不會接受無知或無能的辯解。 如果我是 CEO,我肯定希望我的團隊能夠證明我們遵守了最佳實踐,並且我們知道誰執行了每筆交易。 

 

還有一件事。 我說薩班斯-奧克斯利法案是針對上市公司的。 確實如此,但如果您想進行公開募股,請考慮缺乏內部控制和缺乏文件可能會如何阻礙您。