有关财务源数据的 SOX 合规注意事项

在许多组织中，通过采用数据分析，各个级别的用户都能够发现见解，并改进他们用于履行日常职能的信息。对于部署 Tableau 的公司来说，一个直接的好处在于，人们能够快速开发并访问揭示了深刻见解的报告，从而回答业务问题。自助式分析在运营方面具有巨大的价值，但随着越来越多的组织使用 Tableau 生成财务报告，需要从《萨班斯-奥克斯利法案》(SOX) 审计要求的角度审查 Tableau 的使用。

对于审计专业人员，这种从传统报告方法到强大数据分析平台的转变带来了独特的挑战。您的任务是确保使用 Tableau 生成的财务报告符合公司 SOX 控制环境的要求，并且为组织使用 Tableau 制定了重要注意事项。继续阅读下文中的建议，了解如何将 Tableau 报告成功纳入 SOX 范围（特别是如何确保使用合规的源数据来制作 Tableau 可视化），以及如何开始应对将 Tableau 报告纳入正式变更管理流程的挑战。

1

有关财务源数据的 SOX 合规注意事项

在评估 Tableau 可视化时，最重要的注意事项是，确定从何处拉取源数据以及如何控制该流程。以下是围绕源数据提出的问题：

它是否来源于范围内的 SOX 系统？

数据是否来源于范围外的系统？

或者源数据是否同时来源于这两种系统？

通过 Tableau 可轻松将来自多个不同源的数据聚合、联接和混合到一个输出中，因此有必要确保为每个报告明确关键的 SOX 报告属性。您还需要确定与这些关键属性相关的所有数据源自何处。

如果数据源提供的所有运营信息均非开展关键控制过程或实质性过程所依赖的信息，就可能适合忽略这些信息以遵循 SOX。如果源系统提供了关键信息，但尚未确定为范围内的信息，则审计和合规专业人员应调查：为什么会出现这种情况；有没有相应的手动过程来使源数据达到要求，如果有的话，都有哪些。

此外，请考虑如何生成或呈现源数据，以将其引入 Tableau 中来生成关键报告。即使源系统已经在 SOX 的范围内，也可能需要额外的步骤以确保在源系统和 Tableau 之间完整准确地传输信息。要确定是否需要这样做，请考虑以下问题：是否要生成一个预制报告或自定义报告，然后为可视化提供源? 系统和 Tableau 之间是否存在复杂的接口？在连接到 Tableau 之前，数据是否从第三方系统移动到本地或云数据仓库？

对数据的评估不仅要在原始源进行，还要在整个集成和暂存区域阶段持续进行。

2

为 SOX Tableau 报告设立变更管理控制措施的三个步骤

在财务报告过程中使用可视化时，要验证关键报告是否完整和准确，需要在组织中建立变更管理的概念。以下是根据我们的观察，对采用 Tableau 进行变更管理的有效步骤：

1) 评估变更管理环境

如果要确保使用 Tableau 构建的财务报告始终保持可靠，第一步是确定关键 SOX 报告是否受变更管理流程和控制措施的约束。如果尚未设立变更管理流程，请与业务合作伙伴和 IT 部门合作设计并建立一个流程，验证对关键 Tableau 可视化进行更改时，这些更改是不是以受控方式得到了测试、批准和处理。如果已经设立变更管理流程，请确认拥有 Tableau 财务报告的团队了解此流程的要求，并且可以将关键财务可视化纳入此流程。这将是确保报告符合 SOX 要求的重要一步。

2)定制针对 Tableau 的流程

从变更管理的角度来看，避免在所有报告中应用笼统的方法非常重要。与使用预制或自定义的系统报告相比，使用 Tableau 生成财务报告存在不同的难题，因此首先要确定可视化中有哪些需要符合 SOX 要求的关键部分。

请注意，报告在共享和使用之前的测试和批准方式各不相同，具体取决于您所在公司的 Tableau 环境以及数据可视化的复杂性。

由于用户可以轻松地更新或编辑可视化，这通常会导致更高的更改频率。如果确定了可视化中需要符合 SOX 要求的关键部分，则有可能仅对这些关键部分应用正式的变更管理过程，从而减轻总体负担。

3) 确保为持续控制提供支持

在为关键的 Tableau 可视化定制了有效的变更管理流程后，需要确保以下两点：这些控制措施继续运作；在新的 Tableau 可视化进入范围内以及现有报告可能不再需要符合 SOX 要求的情况下，团队之间能够做好沟通。

如果您针对 Tableau 可视化的财务源数据应用这些注意事项并采取上述步骤进行变更管理，您能够做出更充分的准备，以便将 Tableau 报告纳入 SOX 范围中，并且可以更顺利地从传统工具转换到强大的数据分析平台，从而为整个组织提供更大的价值。