Tableau でのビジュアライゼーションにおける SOX 関連の考慮事項

多くの組織において、データ分析を採用することは、インサイトを発見して日々の業務に使用する情報を改善できるように、あらゆるレベルのユーザーに力を与えることになります。Tableau を導入した企業がすぐに得られるは、ビジネスに関する質問に答えられるインサイトに溢れるレポートをユーザーが迅速に作成 (およびアクセス) できることです。セルフサービス分析はオペレーションにきわめて大きな価値をもたらします。ただし、より多くの組織が Tableau を使用して財務レポートを作成するようになるにつれて、サーベンス・オクスリー法 (SOX) に基づく監査要件の視点から Tableau の使用を見直す必要があります。

従来のレポート方法から強力なデータ分析プラットフォームの使用に移行すると、監査のプロフェッショナルは独自の課題に直面します。監査のプロフェッショナルは、Tableau で作成される財務レポートが会社の SOX コントロール環境に準拠していることを確認する必要があります。また、組織で Tableau を使用するための重要な考慮事項もあります。SOX スコープに Tableau レポートを統合する方法 (特に Tableau でのビジュアライゼーション用のソースデータの準拠) について、および正規化された変更管理プロセスに Tableau レポートを統合するという課題への取り組みを開始する方法についての推奨事項をお読みください。

Tableau Viz の評価の際の重要な考慮事項は、ソースデータをどこから持ってくるか、およびそのプロセスをどのようにコントロールするかを決めることです。以下は、ソースデータに関して問う必要がある質問です。

• ソースデータはスコープ内の SOX システムからのデータですか?
• スコープ外のシステムからのデータですか?
• または、その組み合わせですか?

Tableau では、多数の異なるソースからのデータを簡単に 1 つの出力に集約、結合、ブレンドできます。そのため、SOX レポートの主要な属性を各レポートで明確に特定できるようにしておく必要があります。また、それらの主要な属性に関するすべてのデータが、どのソースから来ているかを判断する必要もあります。

データソースが、主要なコントロールまたは重要な手順の実施に関して、信頼できない情報を提供しているだけの場合、SOX 準拠の目的のためにはそのソースを無視することが適切なこともあります。ソースシステムが主要な情報を提供しているもののスコープ内として認識されない場合、監査およびコンプライアンスのプロフェッショナルはなぜそうなっているのか、およびソースデータを把握するためにどのような手動の手順が策定されているか (存在している場合) を調査する必要があります。

さらに、そのソースデータがどのように生成または提示され、重要なレポートの作成のために Tableau に取り込まれているかについて考える必要があります。ソースシステムがすでに SOX のスコープ内である場合でも、ソースシステムと Tableau 間での情報の完全かつ正確な転送を把握するために、追加手順が必要になる場合があります。これが必要かどうかを知るためには、既定またはカスタムのレポートが生成されて Viz のソースとなっているかどうかを確認します。システムと Tableau 間に複雑なインターフェイスがありますか? データは、Tableau から接続される前にサードパーティシステムからローカルまたはクラウドデータウェアハウスに移動していますか?

データは、オリジナルのソースのみ評価するのではなく、統合およびステージング領域のフェーズでも継続的に評価する必要があります。

Viz が財務レポートのプロセスで使用される場合に、主要なレポートが完全で正確であることを検証するには、組織で変更管理の概念を確立する必要があります。Tableau の使用に関して、変更管理に効果的であることが確認されている手順は以下のとおりです。

1. 変更管理環境を評価する。Tableau で作成する財務レポートを長期的に信頼できるものにするためには、主要な SOX レポートが変更管理プロセスおよびコントロールの対象であることを判断するのが最初のステップとなります。変更管理プロセスをまだ確立していない場合は、ビジネスパートナーや IT と連携して、主要な Tableau Viz に変更が追加されたときに、管理された方法でその変更をテスト、承認、処理する検証プロセスを設計し、実行を開始します。すでに変更管理プロセスが策定されている場合は、Tableau 財務レポートを所有するチームがそのプロセスの要件を把握していること、および主要な財務 Viz をそのプロセスの下に管理できることを確認します。これは、レポートが SOX に準拠していることを確認するための重要なステップです。
2. Tableau 向けにプロセスを調整する。変更管理の観点から重要なのは、すべてのレポートに一律のアプローチを適用しないようにすることです。Tableau を使用して財務レポートを生成すると、既定またはカスタマイズされたシステムによるレポートを使用するのとは異なる課題がもたらされます。そのため、ビジュアライゼーションの主要な SOX コンポーネントを特定することから始めます。

   共有および使用する前のレポートのテストおよび承認方法は、会社の Tableau 環境とデータビジュアライゼーションの複雑さによって変わることに注意してください。

   ユーザーが Viz を更新または編集することは簡単なため、変更は頻繁に行われます。Viz の主要な SOX コンポーネントを特定したら、正式化された変更管理手順をそれらの主要コンポーネントに限定することで、全体の負荷を削減できます。

3. 継続的なコントロールがサポートされるようにします。主要な Tableau Viz が効果的な変更管理プロセスの対象となった後は、新たな Tableau ビジュアライゼーションがスコープ内に含まれることで既存のレポートが SOX に準拠しなくなる可能性があるため、これらのコントロールが継続的に機能することと、チーム間のコミュニケーションが行われることが重要です。

Tableau ビジュアライゼーションの財務ソースデータに関する考慮事項を適用し、変更管理に関して上記の手順を実行すると、Tableau レポートを SOX スコープに統合する準備が整います。そして、従来のツールから、全体としてさらに優れた価値を組織に提供する堅牢なデータ分析プラットフォームへとよりスムーズに移行できます。

SOX 監査要件に準拠しながら、強力な分析を柔軟かつ管理されたプラットフォームで提供する方法を知るには、Tableau 財務分析ソリューションページにアクセスしてください。