&
FINANCE
CONTROL
Informatiemanagement
Nuttig gebr uik van big data
NIEUWE GENERATIE RISICOMANAGEMENT Is er een nieuw tijdperk aangebroken voor risicomanagement? Is de tijd van tijdrovende maandelijkse steekproeven om de terechte autorisatie van facturen vast te stellen voorbij? De auteurs denken van wel. Zij ontwikkelden een instrument, F(igures)-Actual, dat feiten zichtbaar maakt. Het geeft inzicht in de (fraude)-risico’s die een organisatie loopt en waarmee de integriteit en betrouwbaarheid van de stuur- en verantwoordingsinformatie kunnen worden bewaakt. Een nieuwe generatie risicomanagement heeft zich aangediend. DOOR JÖRGEN PEERIK EN PIETER DE BOER
H
et begrip big data heeft de afgelopen jaren sterk aan bekendheid gewonnen. De hoeveelheid data die wordt opgeslagen groeit enorm en is door de voortschrijdende ontwikkelingen in de techniek veel toegankelijker geworden. In de praktijk worden deze data echter nauwelijks op een effectieve wijze verwerkt. Bijna alle bij ons bekende organisaties zijn niet of onvoldoende bekend met welke data binnen de eigen organisatie digitaal worden verzameld. Laat staan dat van deze data betrouwbare stuur- en verantwoordingsinformatie gemaakt wordt die de werking van de interne beheersing
De kans dat binnen uw organisatie fraude plaatsvindt is vele malen groter dan de kans dat u de loterij wint zichtbaar maakt en (fraude)risicofactoren in kaart brengt. Omdat uit recent onderzoek (Huizer en Van Nes, 2011) blijkt dat de tools en de markt er in 2010 nog niet klaar voor waren, zagen wij een goede aanleiding om een onderzoek te starten, dat uiteindelijk leidde tot de ontwikkeling van F-Actual. Het moment dat de werking van het intern risicobeheersingssysteem digitaal kan worden vastgesteld is volgens ons aangebroken. De technologie is inmiddels verbeterd en het doordachte ontwerp van F-Actual doet de rest. De resultaten van F-Actual worden bijvoorbeeld gepresenteerd in een
24
|
dashboardomgeving. Hierdoor blijven de feitelijke data opgeslagen in de operationele bron. Bij het selecteren en rubriceren van de gegevens wordt hierdoor een veel lichtere ITperformance gevraagd. Alleen de relevante gegevens worden naar voren gehaald. In dit artikel nemen wij u mee in het onderzoek dat tot de ontwikkeling van F-Actual heeft geleid. Na een inleiding in actueel risicomanagement en een uiteenzetting van de aanleiding voor het onderzoek bespreken we hoe risicomanagement zich tot de ontwikkeling en resultaten van F-Actual verhoudt en wat tijdens het onderzoek aan bod is gekomen. Risicomanagement: waar staan we? De titel van dit artikel geeft al aan dat een nieuwe generatie risicomanagement is geboren. Maar wat is risicomanagement nu eigenlijk? En welke generaties risicomanagement kennen we? Hierna staan we kort bij deze vragen stil. De definitie van Committee of Sponsoring Organizations of the Treadway Commission (COSO) van risicomanagement is: ‘Ondernemingsrisicomanagement is een proces dat bewerkstelligd wordt door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico’s te beheren zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen.’
DECEMBER 2012
&
FINANCE
Deze definitie vormt de basis voor ons onderzoek. Ze is het uitgangspunt voor de opzet en het bestaan van risicomanagement in een organisatie. Vervolgens dient de werking van risicomanagement te worden getoetst. Kijkend naar de ontwikkeling van risicomanagement kunnen we de volgende generaties onderscheiden: I. een eenvoudige vorm, waarbij de risico’s en beheersmaatregelen worden vastgelegd in Excel en waarbij periodiek als een soort accountantscontrole testwerkzaamheden worden uitgevoerd om de werking van de beheersmaatregelen vast te stellen.; II. een upgrade van deze eerste stap is die waarbij het proces van het testen van de beheersmaatregelen wordt ondersteund door auditsoftware. Een voordeel van deze software is bijvoorbeeld dat deze helpt om integraal testwerkzaamheden uit te voeren en vast te leggen; III. een vervolgstap is de vorm waarbij de output van een proces wordt gebruikt om een uitspraak te doen over de risicobeheersing in dat proces. Een lage debiteurenstand zegt bijvoorbeeld iets over de beheersing van het aanmaningenproces. In deze stap is een deel van het risicomanagement geautomatiseerd. In deze fase is voor het eerst stuuren verantwoordingsinformatie en risicomanagement geïncorporeerd. De betrouwbaarheid van de gebruikte data wordt hierbij niet direct gecontroleerd; IV. de (momenteel) meest geavanceerde vorm is de fase waarbij software helpt om de bekende en onbekende risico’s in kaart te brengen en te toetsen op de betrouwbaarheid van de stuur- en verantwoordingsinformatie. In dit artikel beschrijven we de laatste, geavanceerde vorm. Aanleiding Organisaties zijn verantwoordelijk voor het afdekken van de volgende aspecten uit hoofde van ‘goed’ risicomanagement: ~ betrouwbaarheid van stuur- en verantwoordingsinformatie; ~ aandacht voor frauderisicofactoren; ~ een efficiënte inrichting van risicomanagement. Deze drie aspecten hebben geresulteerd in een ontwikkelingsproject waarin de mogelijkheden voor het verkrijgen van relevante stuur- en verantwoordingsinformatie vanuit big data zijn onderzocht. Cruciaal hierbij was de samenwerking tussen een branche-, fraude- en IT-specialist, die uiteindelijk resulteerde in de methodologie F-Actual. Hierna gaan we verder in op deze aspecten van goed risicomanagement. DECEMBER 2012
CONTROL
Betrouwbaarheid informatie Het management van bedrijven neemt voortdurend (strategische) beslissingen op basis van de beschikbare stuur- en verantwoordingsinformatie. Doordat bedrijven steeds groter worden en complexere processen kennen neemt de roep om ‘betrouwbaarheid’ van data (lees: stuur- en verantwoordingsinformatie) sterk toe. Hierbij zijn ook de verwerking en presentatie van data belangrijk. In een eerdere aflevering van dit tijdschrift schreef Van Veen-Dirks hierover: ‘Veel informatie leidt bijna nooit tot echte transparantie.’ Tijdens een netwerkbijeenkomst kunt u eens de volgende vraag aan een van de aanwezige directieleden van een bedrijf stellen: komt het in uw organisatie voor dat de aan u geleverde managementinformatie onjuist of onvolledig blijkt? Het antwoord zal in de meeste gevallen ‘ja’ blijken. Betrouwbaar-
F-Actual is een early-warningsysteem heid van informatie is een probleem binnen organisaties. Een herkenbaar voorbeeld uit de praktijk is die van onjuiste fileinformatie, waardoor achteraf blijkt dat u ten onrechte een bepaalde route heeft gekozen. Aandacht risicofactoren fraude In het verlengde van eerdergenoemde betrouwbaarheidsvraagstuk was het voor het onderzoek een belangrijke incentive hoe frauderisicofactoren beter (preventief) herkend kunnen worden. In het licht van ‘goede’ risicobeheersing speelt bij forensische dienstverlening vaak de vraag hoe de geconstateerde fraude voorkomen had kunnen worden. Bij de beantwoording van deze vraag blijkt dat binnen veel bedrijven niet gericht wordt gestuurd op frauderisicofactoren of dat het onderwerp fraude eigenlijk taboe is. Een veelgehoorde misvatting is dat fraude binnen het eigen bedrijf niet voorkomt. Onderzoek geeft aan dat gemiddeld 5 procent van de jaaromzet verdwijnt door fraude (ACFE, 2012). De kans dat binnen uw organisatie fraude plaatsvindt is vele malen groter dan de kans dat u de loterij wint. De overeenkomst tussen de eerdergenoemde betrouwbaarheids- en fraudevraagstukken is dat de oorzaak van afwijkingen veelal te maken heeft met de factor ‘gelegenheid’ (zie figuur 1). Is er in het proces en de hiervan geregistreerde data geen gelegenheid om informatie te manipuleren, dan is de kans op fraude veel kleiner. Een reden temeer om frauderisicofactoren een belangrijk onderdeel van het onderzoek te
|
25
W W W. F I N A N C E - C O N T R O L . N L
&
FINANCE
Afbakening Het onderzoek voor de ontwikkeling van F-Actual is uitgevoerd in de woningcorporatiebranche. Aanleiding hiervoor was de uiteenlopende problematiek in de betreffende sector, de diversiteit aan complexe processen, zoals onderhoud, projectontwikkeling, verhuur, enzovoort en de stakeholder- en politiekgevoelige omgeving. Verder werken we als specialisten in de woningcorporatiesector en zijn we bekend met veel risico’s binnen deze branche.
De fraudedriehoek maakt fraudeoorzaken en gelegenheidsstructuren zichtbaar GELEGENHEID Checks & Balances Interne controle Risicomanagement
GEDRAG MEDEWERKERS RATIONALISATIE / CULTUUR Voorbeeldgedrag Managementstijl Houding t.a.v. integriteit
CONTROL
DRUK / PRESTATIES Behalen targets Prestatiebeloning Persoonlijke druk
Figuur 1 Fraudedriehoek, BDO Consultants B.V.
maken. In het artikel van Pieter Stel (2012) in dit tijdschrift heeft u al kunnen lezen dat de analyse van big data bruikbaar is voor fraudedetectie en –preventie. Wij onderschrijven zijn conclusie. Risicomanagement efficiënt inrichten Risicomanagement wordt in de praktijk gezien als een kostenpost die weinig directe toegevoegde waarde heeft. Vaak wordt gedacht dat risicomanagement veel tijd van medewer-
‘Betrouwbaarheid van financiële stuur- en verantwoordingsinformatie is voor mij cruciaal’ kers opslokt, het naast de reguliere processen moet plaatsvinden en niet zichtbaar bijdraagt aan de betrouwbaarheid en integriteit van data. De uitdaging is om risicomanagement effectief in te richten. Doelstelling onderzoek Het onderzoek voor de ontwikkeling van F-Actual startte met de volgende doelstelling: het ontwikkelen van een methodiek voor het herkennen, inventariseren en afbakenen van patronen uit datawarehouses om vervolgens kritische (fraude) indicatoren (KFI) te kunnen bepalen, zwaktes (risico’s) in de processen te onderkennen en als uitkomst hiervan de betrouwbaarheid van de systeeminformatie te verbeteren. De methodiek dient naast bekende indicatoren ook onbekende indicatoren te onderkennen.
26
|
Stichting Woonplus Schiedam, een middelgrote woningcorporatie, stelde een back-upbestand met big data beschikbaar voor het onderzoek. Aniel Ramawadh, Manager Financiën en Control van de corporatie, gaf aan graag aan het onderzoek mee te werken. ‘Betrouwbaarheid van financiële stuur- en verantwoordingsinformatie is voor mij cruciaal. Vanuit de gedachten dat Woonplus hier alleen beter van kon worden heb ik BDO de gelegenheid gegeven om F-Actual te ontwikkelen door onze data beschikbaar te stellen.’ Binnen afzienbare termijn volgt een brede uitrol van F-Actual waarbij wij ons naast de woningcorporaties ook richten op diverse andere branches zoals zorg en overheid. Stappenplan en randvoorwaarden In het onderzoek stonden de volgende drie zeer belangrijke zaken centraal. Ten eerste moest worden bepaald met welke methodiek de data omgezet kunnen worden naar stuur- en verantwoordingsinformatie. Hierbij ging het bijvoorbeeld om het in kaart brengen van de relationele verbanden, de onderzoeksmethodieken en de statistische methoden. Vervolgens maakten we onderscheid tussen bekende en onbekende risico’s. Bij bekende risico’s kunt u bijvoorbeeld denken aan het betalen van niet-geautoriseerde facturen. Bij onbekende risico’s aan een uitkomst vanuit een statistische methode waaruit blijkt dat er bijvoorbeeld veel transacties met eenzelfde bedrag plaatsvinden. Een belangrijke vervolgvraag was met welke tools (software en hardware) de gekozen methode efficiënt uitgevoerd kon worden. Om het zoeken naar onbekende risico’s mogelijk te maken was er een tool nodig die afwijkingen ten opzichte van wetmatigheden in getallen kon ontdekken. Een ander selectiecriterium voor de tool was dat deze los van de bestaande automatiseringspakketten in de organisatie in staat zou moeten zijn om alle data uit het datawarehouse op te halen. Deze uitgangspunten leidden tot het formuleren van de volgende vragen: ~ Welke data worden er door bedrijven digitaal verzameld? ~ Welke tools kunnen we gebruiken voor het ‘masseren’ van ruwe data tot analyseerbare data? ~ Welke statistische methoden zijn beschikbaar voor het onderzoek?
DECEMBER 2012
&
FINANCE
~ Welke bekende risico’s voor woningcorporaties kunnen vastgesteld worden? ~ Welke onbekende risico’s kunnen we definiëren? ~ Welke tools zijn bruikbaar om de statistische methoden op de data te kunnen uitvoeren? ~ Welke tools zijn te gebruiken bij het zoeken naar bekende risico’s? Onderzoek Verzamel data Om data te kunnen onderzoeken is het van belang om te weten welke data binnen een onderneming worden vastgelegd. Als uitgangspunt is de binnen de corporatiebranche ontwikkelde IT-Referentiearchitectuur CORA (CORA Referentiearchitectuur Woningcorporaties v1.0 – NetwIT) gebruikt. Om vervolgens een beeld te krijgen van het te verwachten data‘landschap’ brachten we dit in beeld door veldonderzoek en diepte-interviews met bij corporaties werkzame IT-auditors. Onderzoek ruwe data Van Woonplus is een volledige SQL-back-up ontvangen. Deze is teruggelezen in een SQL-serveromgeving, waarna de data geanalyseerd konden worden met diverse tools. In het onderzoek is eerst rechtstreeks in de database gekeken naar welke data beschikbaar waren (welke tabellen zijn gevuld en wat de inhoud daarvan is) en of deze aansloten bij het in de eerste stap in kaart gebrachte datalandschap. Er bleek sprake van een goede ‘fit’. De verwachte data waren ook daadwerkelijk beschikbaar. Met deze werkwijze, waarbij een back-upbestand wordt gebruikt, is gewaarborgd dat alle vastgelegde data ook bij het onderzoek betrokken worden. Naast de financiële data zijn ook de logistieke data (bijvoorbeeld de onderhoudsadministratie) beschikbaar, zodat deze in het onderzoek naar de bekende en de onbekende risico’s meegenomen kan worden. Statistische methoden Om patronen en uitschieters uit een dataset te halen dient gebruik gemaakt te worden van statistische methoden. Van Dale beschrijft statistiek als de methode of wetenschap van het waarnemen van verschijnselen en van het weergeven van de uitkomsten in getallen en figuren. Een bekende statistische methode is de Benfords Law (Benford, 1938). Deze wet beschrijft de logaritmische kansverdeling van het begincijfer van getallen in grote dataverzamelingen. Zo zijn nog tal van andere statistische methoden beschikbaar. Na een voorselectie van dertig methoden zijn de belangrijkste, waaronder Benfords Law, correlatie, chi square en regressie meegenomen in de ontwikkeling van F-Actual. DECEMBER 2012
CONTROL
Bekende risico’s corporaties Door te sparren met voor corporaties werkzame accountants, IT-auditors, consultants en controllers is een lijst met bekende risico’s opgesteld. De via data-analyse te identificeren risico’s zijn door het onderzoeksteam vertaald in concrete formules die in de analysetool verwerkt worden. Onbekende risico’s De onbekende risico’s zijn, zoals het begrip al zegt, niet vooraf te definiëren. Wat wel definieerbaar is zijn de gebieden waarbinnen gezocht kan worden naar onbekende risico’s. Bij fraude zijn dit vaak gebieden die te maken hebben met de geld- of goederenstromen en waarbij de hoogte van de bedragen of het aantal goederen onvoorspelbaarder is (denk hierbij bijvoorbeeld aan mutatieonderhoud). Binnen het onderzoek zijn dwarsdoorsnedes en vergelijkingen gemaakt die specifiek ge-
Gebruik van (BI-)software helpt risicomanagement zich te ontwikkelen tot een nieuwe generatie richt zijn op deze onderkende gebieden. Een simpel maar concreet voorbeeld is de inkoopomvang van één bepaalde leverancier in relatie tot het geheel. Tools statistische methoden/bekende risico’s In het onderzoek is gezocht naar tools die de statistische methoden bevatten en ook bekende risico’s kunnen onderzoeken. In het onderzoek zijn vijftien tools gedocumenteerd. Resultaten F-Actual presenteert haar resultaten in een dashboardomgeving, waarin op een eenvoudige wijze, met drill-downmogelijkheden, bekende en onbekende risico’s in kaart gebracht worden (zie figuur 2). Risico’s die bij F-Actual naar voren komen geven inzicht in de opzet, het bestaan en de werking van processen. F-Actual kan bijvoorbeeld de volgende risico’s inzichtelijk maken: ~ aansluitingen tussen het grootboek en de subadministraties; ~ kwaliteit van de vastgelegde stamgegevens, zoals crediteurenstambestand; ~ werking van functiescheiding tussen verschillende functionarissen waaronder de autorisatieprocedure voor diensten; ~ inzicht in of voldaan is aan autorisatiebevoegdheden bij inkopen;
|
27
W W W. F I N A N C E - C O N T R O L . N L
&
FINANCE
CONTROL
Figuur 2 Voorbeeld resultatenoverzicht F-Actual-dashboard
~ inzicht in de boekingsgang van het boeken van kosten op projecten; ~ inzicht in de spreiding van leveranciers; ~ handmatige boekingen in reguliere dagboeken, zoals debiteuren en crediteuren; ~ afwijkende totaalbedragen van boekingen tussen vergelijkbare clusters, projecten en eenheden; ~ boekingen die in het weekend en gedurende vakantiedagen zijn gemaakt; ~ tijdig indienen van loon- en omzetbelastingaangiften. Omdat F-Actual de hiervoor genoemde zaken zichtbaar maakt, geeft het dashboard inzicht in de opzet, het bestaan en de werking van processen, de betrouwbaarheid van stuur- en verantwoordingsinformatie en fraudegevoelige gebieden. Ramawadh is in ieder geval positief: ‘De eerste resultaten zijn veelbelovend. Op onze zoektocht naar een continue verbetering in werkwijzen en interne beheersing gaat F-Actual ons zeker helpen.’ Nieuwe generatie risicomanagement Gebruik van (business-intelligence) software helpt risicomanagement zich te ontwikkelen tot een nieuwe generatie. De komende jaren zal de techniek zich steeds verder blijven
28
|
ontwikkelen. Daarnaast zullen organisaties steeds meer data vastleggen, waaruit potentieel nog meer stuur- en verantwoordingsinformatie gehaald kan worden. F-Actual werkt bij risicomanagement als een early-warningsysteem. In vergelijking met de traditionele aanpak van risicomanagement heeft F-Actual de volgende kenmerken: ~ gericht op het voorkomen van risico’s, het benutten van kansen en tijdig bijsturen; ~ continue risico-informatie gebaseerd op risico-indicatoren; ~ optimale afstemming tussen kosten van beheersingsmaatregelen en risico’s; ~ maximaal gebruik maken van systeemcontroles; ~ risicomanagement als onderdeel van integraal management, waaronder beter inzicht in stuur- en verantwoordingsinformatie en beheersing van processen; ~ ongebruikelijke transacties komen naar voren die kunnen duiden op mogelijke fraude (reduceren schade) en indicaties geven voor vervolgonderzoek; ~ tijdige managementinformatie over risico’s, als onderdeel van de reguliere planning- & controlcyclus. Conclusie We stellen dat F-Actual bijdraagt aan de nieuwe generatie risicomanagement, waarin de kennis vanuit (fraude)risicoma-
DECEMBER 2012
&
FINANCE
nagement, IT en management control als bloedverwanten samenkomen. Het eindresultaat is dat F-Actual binnen de verbeterdriehoek van betrouwbare stuur- en verantwoordingsinformatie, risicomanagement en fraudedetectie/preventie divers inzetbaar is. De methodologie is namelijk zo ontwikkeld dat de techniek (tools) gemakkelijk inzetbaar is en eenvoudig op verschillende databases kan worden toegepast. De verwachting is daarom dat een groot aantal bedrijven, zowel nationaal als internationaal, het komende jaar zal overstappen op de volgende generatie risicomanagement. F-Actual zal, omdat het grote hoeveelheden data kan onderzoeken, een grote bijdrage leveren aan fraudepreventie binnen organisaties. Ten slotte zal de betrouwbaarheid van stuur- en verantwoordingsinformatie sterk verbeteren door een meer zichtbare en geautomatiseerde risicobeheersing. Literatuur ~ ACFE (2012) ‘Report to nations’, <www.acfe.com/uploadedFiles/ACFE_Website/ Content/rttn/2012-report-to-nations.pdf>.
CONTROL
~ F. Benford (1938) ‘The Law of Anomalous Numbers’, 78 Proceedings of the American Philosphical Society, p. 551-572. ~ E.A.J. Huizer en P. van Nes (2011) Continuous Monitoring: De invloed van Continuous Monitoring op de werkwijze van de externe auditor. ~ Pieter Stel (2012) ‘Wat betekent dat eigenlijk, “big data”?’, 8 Finance & Control. ~ Paula van Veen-Dirks (2012) ‘Visualisatie management accounting informatie’, 5 Finance & Control.
Ir. Jörgen Peerik RE CISA (
[email protected]) en Pieter de Boer RA EMIA (
[email protected]) zijn werkzaam bij BDO Consultancy. F-Actual is een methodologie van BDO Risk Advisory Services. BDO Risk Advisory Services houdt zich bezig met risicomanagement, fraude- en governancevraagstukken en loopt met de ontwikkeling van F-Actual voorop in risicomanagement. Voor meer informatie, zie <www.bdo.nl/F-Actual>. Het onderzoeksteam bestond uit Martijn Hin RA (Head of Forensics & Litigation Support en betrokken als Forensisch specialist), Pieter de Boer RA EMIA (Risk Advisory Services) en ir. Jörgen Peerik RE CISA (IT Consultant).
Verbreed uw horizon!
Topexperts delen hun kennis, tips en trucs met u 7e Excel Experience Day 2012 Donderdag 13 december 2012, CineMec Ede De nieuwste ontwikkelingen Tal van toepassingen Veel tijdbesparende en verrassende tips & trucs Keuze uit 15 sessies in 3 rondes op 3 niveaus (in Office 2007/2010 Nederlandstalig) Helpdesk voor al uw vragen
3e Excel Expert Class Vrijdag 14 december 2012, Zilveren Toren Amsterdam Business Modeling Tools
www.excelexperienceday.nl Twitter mee via #excelexperience2012
DECEMBER 2012
|
29
Automatiseren van sensitiviteitsanalyses VBA: Inleiding userforms Meer inzicht met dynamische infografieken Draaitabellen: van start tot finish
U wilt excelleren? Kom naar de Excel Experience Day 2012 en/of Excel Expert Class en word beter en sneller met Excel! Bij deelname aan beide dagen profiteert u van een extra korting!
W W W. F I N A N C E - C O N T R O L . N L
