在許多組織中，通過采用數(shù)據(jù)分析，各個(gè)級(jí)別的用戶都能夠發(fā)現(xiàn)見解，并改進(jìn)他們用于履行日常職能的信息。對(duì)于部署 Tableau 的公司來說，一個(gè)直接的好處在于，人們能夠快速開發(fā)并訪問揭示了深刻見解的報(bào)告，從而回答業(yè)務(wù)問題。自助式分析在運(yùn)營方面具有巨大的價(jià)值，但隨著越來越多的組織使用 Tableau 生成財(cái)務(wù)報(bào)告，需要從《薩班斯-奧克斯利法案》(SOX) 審計(jì)要求的角度審查 Tableau 的使用。

對(duì)于審計(jì)專業(yè)人員，這種從傳統(tǒng)報(bào)告方法到強(qiáng)大數(shù)據(jù)分析平臺(tái)的轉(zhuǎn)變帶來了獨(dú)特的挑戰(zhàn)。您的任務(wù)是確保使用 Tableau 生成的財(cái)務(wù)報(bào)告符合公司 SOX 控制環(huán)境的要求，并且為組織使用 Tableau 制定了重要注意事項(xiàng)。繼續(xù)閱讀下文中的建議，了解如何將 Tableau 報(bào)告成功納入 SOX 范圍（特別是如何確保使用合規(guī)的源數(shù)據(jù)來制作 Tableau 可視化），以及如何開始應(yīng)對(duì)將 Tableau 報(bào)告納入正式變更管理流程的挑戰(zhàn)。

1

有關(guān)財(cái)務(wù)源數(shù)據(jù)的 SOX 合規(guī)注意事項(xiàng)

在評(píng)估 Tableau 可視化時(shí)，最重要的注意事項(xiàng)是，確定從何處拉取源數(shù)據(jù)以及如何控制該流程。以下是圍繞源數(shù)據(jù)提出的問題：

它是否來源于范圍內(nèi)的 SOX 系統(tǒng)？

數(shù)據(jù)是否來源于范圍外的系統(tǒng)？

或者源數(shù)據(jù)是否同時(shí)來源于這兩種系統(tǒng)？

通過 Tableau 可輕松將來自多個(gè)不同源的數(shù)據(jù)聚合、聯(lián)接和混合到一個(gè)輸出中，因此有必要確保為每個(gè)報(bào)告明確關(guān)鍵的 SOX 報(bào)告屬性。您還需要確定與這些關(guān)鍵屬性相關(guān)的所有數(shù)據(jù)源自何處。

如果數(shù)據(jù)源提供的所有運(yùn)營信息均非開展關(guān)鍵控制過程或?qū)嵸|(zhì)性過程所依賴的信息，就可能適合忽略這些信息以遵循 SOX。如果源系統(tǒng)提供了關(guān)鍵信息，但尚未確定為范圍內(nèi)的信息，則審計(jì)和合規(guī)專業(yè)人員應(yīng)調(diào)查：為什么會(huì)出現(xiàn)這種情況；有沒有相應(yīng)的手動(dòng)過程來使源數(shù)據(jù)達(dá)到要求，如果有的話，都有哪些。

此外，請(qǐng)考慮如何生成或呈現(xiàn)源數(shù)據(jù)，以將其引入 Tableau 中來生成關(guān)鍵報(bào)告。即使源系統(tǒng)已經(jīng)在 SOX 的范圍內(nèi)，也可能需要額外的步驟以確保在源系統(tǒng)和 Tableau 之間完整準(zhǔn)確地傳輸信息。要確定是否需要這樣做，請(qǐng)考慮以下問題：是否要生成一個(gè)預(yù)制報(bào)告或自定義報(bào)告，然后為可視化提供源? 系統(tǒng)和 Tableau 之間是否存在復(fù)雜的接口？在連接到 Tableau 之前，數(shù)據(jù)是否從第三方系統(tǒng)移動(dòng)到本地或云數(shù)據(jù)倉庫？

對(duì)數(shù)據(jù)的評(píng)估不僅要在原始源進(jìn)行，還要在整個(gè)集成和暫存區(qū)域階段持續(xù)進(jìn)行。

2

為 SOX Tableau 報(bào)告設(shè)立變更管理控制措施的三個(gè)步驟

在財(cái)務(wù)報(bào)告過程中使用可視化時(shí)，要驗(yàn)證關(guān)鍵報(bào)告是否完整和準(zhǔn)確，需要在組織中建立變更管理的概念。以下是根據(jù)我們的觀察，對(duì)采用 Tableau 進(jìn)行變更管理的有效步驟：

1) 評(píng)估變更管理環(huán)境

如果要確保使用 Tableau 構(gòu)建的財(cái)務(wù)報(bào)告始終保持可靠，第一步是確定關(guān)鍵 SOX 報(bào)告是否受變更管理流程和控制措施的約束。如果尚未設(shè)立變更管理流程，請(qǐng)與業(yè)務(wù)合作伙伴和 IT 部門合作設(shè)計(jì)并建立一個(gè)流程，驗(yàn)證對(duì)關(guān)鍵 Tableau 可視化進(jìn)行更改時(shí)，這些更改是不是以受控方式得到了測(cè)試、批準(zhǔn)和處理。如果已經(jīng)設(shè)立變更管理流程，請(qǐng)確認(rèn)擁有 Tableau 財(cái)務(wù)報(bào)告的團(tuán)隊(duì)了解此流程的要求，并且可以將關(guān)鍵財(cái)務(wù)可視化納入此流程。這將是確保報(bào)告符合 SOX 要求的重要一步。

2)定制針對(duì) Tableau 的流程

從變更管理的角度來看，避免在所有報(bào)告中應(yīng)用籠統(tǒng)的方法非常重要。與使用預(yù)制或自定義的系統(tǒng)報(bào)告相比，使用 Tableau 生成財(cái)務(wù)報(bào)告存在不同的難題，因此首先要確定可視化中有哪些需要符合 SOX 要求的關(guān)鍵部分。

請(qǐng)注意，報(bào)告在共享和使用之前的測(cè)試和批準(zhǔn)方式各不相同，具體取決于您所在公司的 Tableau 環(huán)境以及數(shù)據(jù)可視化的復(fù)雜性。

由于用戶可以輕松地更新或編輯可視化，這通常會(huì)導(dǎo)致更高的更改頻率。如果確定了可視化中需要符合 SOX 要求的關(guān)鍵部分，則有可能僅對(duì)這些關(guān)鍵部分應(yīng)用正式的變更管理過程，從而減輕總體負(fù)擔(dān)。

3) 確保為持續(xù)控制提供支持

在為關(guān)鍵的 Tableau 可視化定制了有效的變更管理流程后，需要確保以下兩點(diǎn)：這些控制措施繼續(xù)運(yùn)作；在新的 Tableau 可視化進(jìn)入范圍內(nèi)以及現(xiàn)有報(bào)告可能不再需要符合 SOX 要求的情況下，團(tuán)隊(duì)之間能夠做好溝通。

如果您針對(duì) Tableau 可視化的財(cái)務(wù)源數(shù)據(jù)應(yīng)用這些注意事項(xiàng)并采取上述步驟進(jìn)行變更管理，您能夠做出更充分的準(zhǔn)備，以便將 Tableau 報(bào)告納入 SOX 范圍中，并且可以更順利地從傳統(tǒng)工具轉(zhuǎn)換到強(qiáng)大的數(shù)據(jù)分析平臺(tái)，從而為整個(gè)組織提供更大的價(jià)值。