Auditierung von Salesforce: Das Setup-Audit-Protokoll und die Feldverlaufsnachverfolgung

Out-of-the-box kann Salesforce Ihnen viele der Informationen liefern, die Sie benötigen, um ein SOX audit zu bestehen. Es gibt jedoch Lücken, und der Prozess kann frustrierend und zeitaufwändig sein. Bevor Sie beginnen, ist es wichtig zu verstehen, was Sie in Ihrer Org bereits tun können — und was nicht.

In diesem Beitrag werfen wir einen Blick auf zwei der wichtigsten Salesforce-Tools für die Vorbereitung von SOX audit prep — das Setup Audit Trail und Field History Tracking.

SOX-Compliance: Was gehört zum Geltungsbereich

Bevor wir uns den spezifischen Tools widmen, die Salesforce für die Audit-Vorbereitung bietet, ist es sinnvoll zu überprüfen, was genau Prüfer sehen möchten. Leider gibt es dafür keine klare Antwort; erst in den letzten Jahren haben Prüfer begonnen, Salesforce genauer zu betrachten, und jeder bringt ein unterschiedliches Maß an Vertrautheit mit der Plattform mit.

Mit diesem Vorbehalt sehen wir eine Konzentration auf drei Dinge und wie sie die Umsatzerkennung potenziell beeinflussen können:

• Zugriff: Ihre Richtlinien bezüglich Bereitstellung, Passwörtern, Multi-Faktor-Authentifizierung und Änderungen an Benutzern, Profilen und Berechtigungssätzen.
• Metadaten-/Konfigurationsänderungen: Wie Ihre Teams Änderungsanfragen überprüfen und genehmigen und wie diese Genehmigungen mit den tatsächlichen Änderungen im System abgeglichen werden.
• Änderungen an Konfigurationsdaten: Wie Sie Konfigurationsänderungen an kritischen Objekten verfolgen, die an Einnahmen gebunden sind (üblicherweise in den CPQ- und Billing-Apps)

Das Setup Audit Trail

Warum es uns gefällt

Salesforce’s Setup Audit Trail ist einfach und unkompliziert — er protokolliert Änderungen an einer Vielzahl von Änderungstypen und sammelt sie in einer exportierbaren Datei, die zeigt, was geändert wurde, wer die Änderung vorgenommen hat und wann sie durchgeführt wurde. Es verfolgt Änderungen an allem, von Unternehmens- und Währungsinformationen bis hin zu Profil- und Berechtigungssatzdetails — schauen Sie im Salesforce Security Guide nach der vollständigen Liste.

Sobald Sie Ihren Bericht erstellt haben, können Sie die Daten nach Typ filtern und sich auf die Änderungen konzentrieren, die für Ihre Auditoren am wichtigsten sind.

Wo es verfügbar ist

Salesforce Classic und Lightning Experience; Contact Manager, Essentials, Group, Professional, Enterprise, Performance, Unlimited, Developer und Database.com Editionen

Wo es zu kurz kommt

Das Setup Audit Trail bietet Ihnen eine recht umfangreiche Menge an Informationen, speichert diese Daten jedoch nur für 180 Tage. Das bedeutet, dass alle Änderungen, die Ihre Prüfer über diesen Zeitraum hinaus einsehen möchten, nicht erhältlich wären. Dies führt dazu, dass Teams die Daten woanders speichern – was oft Fragen zur Genauigkeit von den Prüfern aufwirft.

Das andere große Problem mit dem Setup Audit Trail ist, dass es zwar die Änderungen anzeigt, die in Ihrer Organisation vorgenommen wurden, aber nicht, ob sie überprüft oder genehmigt wurden – entscheidende Details für Prüfer, die sehen möchten, dass sensible Änderungen einem angemessenen Prozess gefolgt sind.

Infolgedessen müssen Salesforce-Teams den Audit Trail manuell mit den relevanten Anfragen und Genehmigungen abgleichen (die sich in einem externen Ticket-System wie Jira, in einer E-Mail, in einem gemeinsamen Dokument usw. befinden können). Es ist ein äußerst zeitaufwändiger Prozess, der erhebliche Ressourcen im Vorfeld einer Prüfung erfordert.

Was noch?

Die Setup-Audit-Trail leistet gute Arbeit bei der Erfassung von Konfigurationsänderungen, aber es entgehen ihr dennoch einige Dinge. Zum Beispiel kann sie nicht verfolgen:

• Änderungen der benutzerdefinierten Listenansicht
• Änderungen an Berichtstypen oder Filterkriterien
• Erstellung eines neuen Berichts

Letztendlich sind dies nicht unbedingt große Lücken, aber wenn Ihre Prüfer sie sehen möchten, müssen Sie sich auf etwas anderes als den Setup Audit Trail verlassen.

Verfolgung der Feldhistorie

Warum es uns gefällt

Mit Field History Tracking können Sie einzelne Felder in einem Standard- oder benutzerdefinierten Objekt auswählen und automatisch alle Änderungen darin verfolgen.

Sobald Sie bestimmte Felder zur Überwachung ausgewählt haben, wird ein Protokoll aller Änderungen zur Historie in der zugehörigen Liste hinzugefügt, das Datum und Uhrzeit der Änderung, wer sie vorgenommen hat und andere wichtige Details erfasst. Und sofern Sie das Field Audit Trail Add-on nicht erwerben, werden diese Informationen nur 18 Monate lang über Ihre Org gespeichert und bis zu 24 Monate, wenn Sie sie über die API exportieren.

Wo es verfügbar ist

Salesforce Classic (nicht in allen Organisationen verfügbar), Lightning Experience und die Salesforce-App; Contact Manager, Essentials, Group, Professional, Enterprise, Performance, Unlimited, Developer und Database.com Editionen (Standardobjekte sind in Database.com nicht verfügbar)

Wo es zu kurz kommt

Ähnlich wie beim Setup Audit Trail sind die durch das Field History Tracking gesammelten Daten sowohl zu umfangreich als auch nicht ausreichend. Sie erhalten viele Informationen, aber nur bis zu einem gewissen Punkt – maximal 20 Felder können pro Objekt ausgewählt werden, und es werden nur Daten für 18 Monate (24 Monate über die API) gesammelt.

Außerdem zeichnet Field History Tracking nur Änderungen auf, die ab dem Zeitpunkt der Aktivierung erfolgen — was ein Problem sein kann, wenn Sie sich nicht im Voraus die Zeit nehmen, um zu bestimmen, was im Rahmen liegt.

Was noch?

Die Nachverfolgung der Feldhistorie ist nicht in allen Orgs oder allen Objekten verfügbar. Zusätzlich:

• Wenn ein Feld mehr als 255 Zeichen hat, werden alte und neue Werte nicht aufgezeichnet
• Änderungen an Zeitfeldern werden ebenfalls nicht verfolgt

Das Fazit

Es ist durchaus möglich, eine SOX-Prüfung mit den integrierten Tools von Salesforce zu bestehen. Aber abhängig von den Erwartungen Ihrer Prüfer kann der Prozess schwieriger und zeitaufwändiger sein, als es sein müsste. Die Erwartungen und Anforderungen der Prüfer an die Salesforce-Plattform steigen ebenfalls. Immer mehr zeigt sich, dass zusätzliche Tools erforderlich sind.

Wir haben Netwrix Strongpoint entwickelt, um die Lücken zu schließen, die durch Field History Tracking und das Setup Audit Trail hinterlassen wurden. Unsere Produkte bieten einen umfassenden Satz von compliance tools, die Änderungen an Benutzerzugriffen, Metadaten und umsatzbezogenen Konfigurationsdaten in einem detaillierten, unveränderlichen Protokoll verfolgen und berichten. Wir haben auch Integrationen für wichtige Ticketingsysteme entwickelt, um die Abstimmung unserer Protokolle mit den ursprünglichen Änderungsanfragen, bei denen die Änderungen begannen, zu automatisieren. Wir bieten Ihnen mehrere Werkzeuge zur Arbeit mit diesen Daten und zur Erstellung von prüfungsfertigen Berichten, die Ihre Kosten und Ihren Stresspegel erheblich reduzieren werden.