在許多組織中，通過采用數據分析，各個級別的用戶都能夠發現見解，并改進他們用于履行日常職能的信息。對于部署 Tableau 的公司來說，一個直接的好處在于，人們能夠快速開發并訪問揭示了深刻見解的報告，從而回答業務問題。自助式分析在運營方面具有巨大的價值，但隨著越來越多的組織使用 Tableau 生成財務報告，需要從《薩班斯-奧克斯利法案》(SOX) 審計要求的角度審查 Tableau 的使用。

對于審計專業人員，這種從傳統報告方法到強大數據分析平臺的轉變帶來了獨特的挑戰。您的任務是確保使用 Tableau 生成的財務報告符合公司 SOX 控制環境的要求，并且為組織使用 Tableau 制定了重要注意事項。繼續閱讀下文中的建議，了解如何將 Tableau 報告成功納入 SOX 范圍（特別是如何確保使用合規的源數據來制作 Tableau 可視化），以及如何開始應對將 Tableau 報告納入正式變更管理流程的挑戰。

1

有關財務源數據的 SOX 合規注意事項

在評估 Tableau 可視化時，最重要的注意事項是，確定從何處拉取源數據以及如何控制該流程。以下是圍繞源數據提出的問題：

它是否來源于范圍內的 SOX 系統？

數據是否來源于范圍外的系統？

或者源數據是否同時來源于這兩種系統？

通過 Tableau 可輕松將來自多個不同源的數據聚合、聯接和混合到一個輸出中，因此有必要確保為每個報告明確關鍵的 SOX 報告屬性。您還需要確定與這些關鍵屬性相關的所有數據源自何處。

如果數據源提供的所有運營信息均非開展關鍵控制過程或實質性過程所依賴的信息，就可能適合忽略這些信息以遵循 SOX。如果源系統提供了關鍵信息，但尚未確定為范圍內的信息，則審計和合規專業人員應調查：為什么會出現這種情況；有沒有相應的手動過程來使源數據達到要求，如果有的話，都有哪些。

此外，請考慮如何生成或呈現源數據，以將其引入 Tableau 中來生成關鍵報告。即使源系統已經在 SOX 的范圍內，也可能需要額外的步驟以確保在源系統和 Tableau 之間完整準確地傳輸信息。要確定是否需要這樣做，請考慮以下問題：是否要生成一個預制報告或自定義報告，然后為可視化提供源? 系統和 Tableau 之間是否存在復雜的接口？在連接到 Tableau 之前，數據是否從第三方系統移動到本地或云數據倉庫？

對數據的評估不僅要在原始源進行，還要在整個集成和暫存區域階段持續進行。

2

為 SOX Tableau 報告設立變更管理控制措施的三個步驟

在財務報告過程中使用可視化時，要驗證關鍵報告是否完整和準確，需要在組織中建立變更管理的概念。以下是根據我們的觀察，對采用 Tableau 進行變更管理的有效步驟：

1) 評估變更管理環境

如果要確保使用 Tableau 構建的財務報告始終保持可靠，第一步是確定關鍵 SOX 報告是否受變更管理流程和控制措施的約束。如果尚未設立變更管理流程，請與業務合作伙伴和 IT 部門合作設計并建立一個流程，驗證對關鍵 Tableau 可視化進行更改時，這些更改是不是以受控方式得到了測試、批準和處理。如果已經設立變更管理流程，請確認擁有 Tableau 財務報告的團隊了解此流程的要求，并且可以將關鍵財務可視化納入此流程。這將是確保報告符合 SOX 要求的重要一步。

2)定制針對 Tableau 的流程

從變更管理的角度來看，避免在所有報告中應用籠統的方法非常重要。與使用預制或自定義的系統報告相比，使用 Tableau 生成財務報告存在不同的難題，因此首先要確定可視化中有哪些需要符合 SOX 要求的關鍵部分。

請注意，報告在共享和使用之前的測試和批準方式各不相同，具體取決于您所在公司的 Tableau 環境以及數據可視化的復雜性。

由于用戶可以輕松地更新或編輯可視化，這通常會導致更高的更改頻率。如果確定了可視化中需要符合 SOX 要求的關鍵部分，則有可能僅對這些關鍵部分應用正式的變更管理過程，從而減輕總體負擔。

3) 確保為持續控制提供支持

在為關鍵的 Tableau 可視化定制了有效的變更管理流程后，需要確保以下兩點：這些控制措施繼續運作；在新的 Tableau 可視化進入范圍內以及現有報告可能不再需要符合 SOX 要求的情況下，團隊之間能夠做好溝通。

如果您針對 Tableau 可視化的財務源數據應用這些注意事項并采取上述步驟進行變更管理，您能夠做出更充分的準備，以便將 Tableau 報告納入 SOX 范圍中，并且可以更順利地從傳統工具轉換到強大的數據分析平臺，從而為整個組織提供更大的價值。