I N F O R M AT I E M A N A G E M E N T
Merijn van der Zalm en Johan van den Bosch zijn senior adviseur bij Verdonck, Klooster & Associates,
[email protected] en
[email protected].
H o e de R i j k sgebouw endiens t s a men me t a f ne mer s zorg t vo or k loppende
nr 7/8 augustus 2007
Van accountantsproof naar bedrijfsvoeringsproof
30
Overheden gaan steeds meer gegevens digitaal uitwisselen: met marktpartijen en met elkaar. Informatie wordt daarmee een product waarop de overheid als afnemer ook politiekinhoudelijk en financieel moet kunnen vertrouwen. Het normeren van de kwaliteit van gegevens en het maken van formele afspraken is dan een must. Het toepassen van de principes van quality assurance biedt samenwerkende overheidspartijen een kader en een kans om met de beheersing van de gegevenskwaliteit vertrouwen te scheppen en te behouden. Aan de hand van een casus van de Rijksgebouwendienst leest u hoe controllers de randvoorwaarden kunnen scheppen voor het verminderen van administratieve lasten van gegevenscontroles. MERIJN VAN DER ZALM EN JOHAN VAN DEN BOSCH
De Rijksgebouwendienst werkt binnen de rijksoverheid als een shared service center voor huisvesting. Haar klanten zijn de dertien departementen, met daarbinnen een aantal contractpartners, afhankelijk van de departementale organisatie. Met de stelselwijziging van 1999 werd elk departement zelf verantwoordelijk voor de huisvesting en kon beter gaan sturen op kosten en kwaliteit. We zien daarbij de nadruk verschuiven van de operationele uitvoering naar sturing en verantwoording in lijn met de beleidsdoelstellingen. Hierdoor neemt de rol van controllers aan de klantzijde sterk toe en zij hebben daarvoor steeds meer operationeleen managementinformatie van de Rijksgebouwendienst nodig. De dienst streeft er op verzoek van haar klanten naar,
deze gegevens meer in digitale vorm, dus langs elektronische weg aan te leveren. Deze gegevenslevering is één van de digitale diensten die de Rijksgebouwendienst ontwikkelt binnen ‘MijnRgd.nl’, waarbij wordt voortgebouwd op informatie uit de primaire processen, zie ook figuur 1. In de periode 2005-2006 zijn verschillende informatieanalyses van de uitwisseling tussen Rijksgebouwendienst en de klant Dienst Justitiële Inrichtingen (DJI) gedaan. Hieruit bleek dat de administratieve last van de klant DJI en de leverancier Rijksgebouwendienst kan worden verminderd door het bulksgewijs aanleveren van gegevens in digitale vorm. Daarnaast leveren de digitale vorm en werkwijze
FOTO: DE BEELDREDAKTIE / PETER STRELITSKI
gege vens
Toler a nt ie va n de a f nemer
Digitaal proces
Webloket
Gegevenslevering
Extract
Klanten Services Telefoon, brief, gesprek,
Huisvesting
etc.
Bronsystemen
Traditionele proces
Accountantsproof?
Adviezen
Beleid Frontoffice
baten op op het gebied van realtime beleidsinformatie en efficiency (voorkomen van foutherstel door verschil tussen aannames en realiteit van latere leveringen). Er bestonden echter geen afspraken tussen beide organisaties over de kwaliteit van de uit te wisselen gegevens. Die onzekerheid over de kwaliteit bleek voor de controllers van DJI vanuit verantwoordingsoptiek een obstakel om de betreffende gegevens direct via een systeem-systeem koppeling te gaan gebruiken (zie kader).
Producten en diensten
Productieprocessen (backoffice)
Figuur 1. Rijksgebouwendienst bouwt voort op informatie uit de primaire processen.
Overheidsorganisaties verkrijgen zekerheid over de kwaliteit van de bedrijfsvoering van rijksdiensten met de jaarlijkse controle door de departementale accountantsdienst van het leverende departement. Deze controleert opzet, bestaan en werking van de administratieve organisatie. Uit de goedkeurende verklaring van de accountant kan echter niet zonder meer worden afgeleid dat alle gegevens die deze organisatie levert ook van voldoende kwaliteit zijn: 1. het betreft vaak slechts dat deel van de gegevensset van
nr 7/8 augustus 2007
De kwaliteit van gegevens in het kader van uitwisseling betreft meestal de juistheid, tijdigheid, actualiteit en volledigheid ervan. De initiële verwachting van samenwerkingspartners is vaak dat de kwaliteit van geleverde gegevens ‘goed’ of ‘100 procent’ moet zijn. Dit is in een zakelijke relatie bijna altijd onrealistisch (want onbetaalbaar). Het gaat er juist om in welke mate de genoemde kwaliteitsaspecten voldoen aan de eisen van de afnemers. Pas na een gezamenlijke operationalisering van afspraken (bijvoorbeeld één procent onjuiste postcodes is toegestaan, gegeven X is uiterlijk vijf werkdagen voor de eerste van de volgende maand beschikbaar, en dergelijke) is er sprake van ‘kwaliteit’. We noemen dit ook wel de controletolerantie van de afnemer.
31
nr 7/8 augustus 2007
een organisatie dat ten grondslag ligt aan de jaarrekening. Andere belangen zoals de juistheid van beleidsinformatie vallen daar niet noodzakelijk binnen, voor DJI bijvoorbeeld de kosten per m2 gevangenis-celruimte; 2. de steekproef uit de gekozen gegevensset van de organisatie kan een hele andere zijn dan degene die een specifieke klant zou nemen uit een specifieke uit te wisselen gegevensset; 3. de controletoleranties van de afnemer (zijn auditor) kunnen anders zijn dan die van de gegevensleverancier. Het recht op het behouden van eigen controle-toleranties kan de afnemer van gegevens niet worden ontzegd (in de praktijk heeft dit een sterke samenhang met de eerste twee punten).
32
Om vertrouwen te krijgen in de gegevenskwaliteit wil de klant weten wat de kwaliteit van zijn specifieke gegevens is, hij kan dan gericht bijsturen. De eenvoudigste oplossing zou zijn om meer audits uit te voeren, zodat de gevraagde kwaliteit sneller transparant gemaakt kan worden. Hiertegen bestaat echter een aantal belangrijke bezwaren: – de departementale accountantsdienst heeft onvoldoende resources voor het uitvoeren van deze audits en externe auditors zijn relatief duur. Een toename van die controles zou de ‘controlebelasting’ van de keten vergroten en de potentiële efficiencywinst van digitalisering in het gehele
huisvestingsstelsel teniet doen; – de Rijksgebouwendienst werkt nu voor een flink aantal gegevens met een online inkijkvoorziening met selectie- en downloadmogelijkheid. Bij continue gegevensafname wil de klant bij elk gebruik zeker zijn van de kwaliteit van de afgenomen gegevens en verwacht hij dat de verstreken tijd sinds de laatste controle per gegeven klein is. De traditionele ‘oplossing’ voor het borgen van kwaliteit aan de klantkant is het stuksgewijs controleren en invoeren van gegevens in de eigen systemen. Deze systemen worden periodiek gecontroleerd door de eigen controller en de eigen accountant, waarbij fouten achteraf aan het licht komen. Deze werkwijze voldoet niet aan de eisen van realtime gebruik voor beleidsformulering, verkorting van de doorlooptijd van gegevensleveringen (foutherstel achteraf) en eisen van efficiëntie (mensuren x tarief). Hoe zou dit beter kunnen? Van accountantsproof naar bedrijfsvoeringsproof
Het bereiken van een hoger, ‘gegevensspecifieker’, realtime kwaliteitsniveau bij gelijkblijvende of lagere kosten kan alleen bereikt worden door de gegevenscontrole een permanent(er) onderdeel te maken van de uitvoeringsprocessen. De controle-inspanningen verschuiven dan van afnemer naar leverancier (horizontaal) en van auditor naar controller (ver-
Do’s en don’t s bij implement a t ie Een project als dit is risicovol en kost tijd. De resultaten zullen met vallen en opstaan worden gerealiseerd. Bij implementatie moet u zich rekenschap geven van: 1 Doe een nulmeting van de gegevenskwaliteit Beelden over de kwaliteit van gegevens lopen vaak uiteen. Alleen als vooraf de kwaliteit gemeten is kunnen klant en leverancier realistische afspraken maken over de gegevenskwaliteit en een eventueel verbeterpad. 2 Start met één klant en beperkte gegevensset voor uitwisseling: – komen prioriteiten en een planning overeen op basis van huidige kwaliteit en de behoefte van één klant; – kies een zeer beperkte set van gegevens om te starten (cruciale gegevens). Voor de leverancier is het belangrijk om hierbij ook te kijken naar herbruikbaarheid voor andere klanten; – begin vanuit het huidige kwaliteitsniveau van de gekozen gegevensset en leg in de overeenkomst een groei-
pad vast en evaluatiemomenten; – maak waar mogelijk gebruik van bestaande interne controleprocessen. 3 Laat de klant meekijken met de implementatie, vertrouwen moet kunnen groeien: – een project als dit heeft pas een kans van slagen als het vertrouwen van de klant in de leverancier kan groeien. De klant moet de leverancier ruimte geven om zich te verbeteren en de leverancier moet transparant zijn, de klant als waarnemer bij de implementatie laten meekijken; – betrek van beide organisatie medewerkers uit de administratieve- en controleprocessen waar het om gaat. Zij kennen de details en de gedragenheid van de te maken afspraken wordt daardoor groter. 4 Veranker het model in de top van beide organisaties Veranker het model in zowel klant- als leveranciersorganisatie bij de hoogstverantwoordelijke voor de interne controle. Steeds vaker zijn directeuren
integraal verantwoordelijk voor zaken als rechtmatigheid, een project als dit sluit goed aan bij dit belang. Let er op dat het project breder wordt getrokken dan de gegevens die voor de jaarrekening van belang zijn. De behoeften en kostenafweging van de klant moeten leidend zijn. 5 Staar je niet blind op de business case: – de financiële kosten en baten vallen in een project als dit op verschillende momenten en zijn ook qua aard verschillend voor de klant en leverancier. Een discussie over de business case kan daarom uitermate complex worden. Het project zal niet van de grond komen als partijen alles van te voren willen regelen; – de leverancier moet dit project aanmerken als strategisch. In aanvang moet hij investeren in het kwaliteitsproces, heeft op korte termijn de kans om zijn imago te verbeteren en de klant aan zich te ‘binden’. Op termijn kan hij de kosten vertalen in de prijs van de dienstverlening en deze werkwijze aan andere klanten aanbieden.
Centrale programma Accountant ‘leverancier’ Accountant ‘klant’ Controleplan Rijksgebouwendienst Controleplan directie Audit Kwaliteitsproces
Formele audit
Opvraagbaar Auditrapport Werking Kwaliteitsproces
Controleplan klant Audit Kwaliteitsproces
Levering/Beschikbaar stellen
XY%
XY%
Rapport Gegevenskwaliteit
Kwaliteitsproces
Kwaliteitsproces
XY%
SLA/OLO Afspraken en normering Y%
XY%
Y%
X%
processtap
info/data
processtap
processtap
Terugkoppeling en afstemming klant — leverancier Figuur 2. Quality assurance model Rijksgebouwendienst
ticaal). Deze verschuivingen zorgen ervoor dat de controle dichter op de gegevensproductie zit, hetgeen nodig is vanwege de proceskennis die bij specifieke gegevenssets hoort. De kosten per controle-inspanning zullen lager zijn (lager uurtarief) dan bij (externe) audits achteraf. Het mag duidelijk zijn dat de controllers van de leverancier in deze constructie een sleutelpositie innemen. Met dergelijke verschuivingen is het dan ook beter te spreken van ‘bedrijfsvoeringsproof’ dan van accountantsproof (de jaarlijkse departementale controle blijft gewoon in stand). Deze verschuivingen hebben alleen zin als de controleinspanningen van de leverancier voor klant en auditor zodanig transparant zijn dat er voldoende vertrouwen ontstaat en blijft bestaan. Daarom moeten klant en leverancier concrete kwaliteitsafspraken maken en gezamenlijk een robuust model voor quality assurance inrichten. Het bij de Rijksgebouwendienst ontwikkelde model (figuur 2) bouwt voort op bekende elementen uit de interne controle-praktijk, kwaliteitsmanagement en ICT servicemanagement. Het model wordt van onderaf opgebouwd, dat wil zeggen beginnen met afspraken over de kwaliteit van specifieke gegevens. De basis van de controle toren moet tenslotte stevig verankerd zijn. Het model kent drie lagen: 1. De basislaag is het operationele proces waarin gegevens worden gegenereerd en uitgewisseld op basis van afspraken (o.a. kwaliteit en formaat). De kwaliteit van de uit te wisselen gegevens wordt in een ‘kleine kwaliteitscirkel’ (plan do check act) binnen het operationele proces getoetst en daarover wordt aan de klant gerapporteerd. 2. Op de tweede laag wordt op het functioneren van het operationele kwaliteitsproces in de basislaag getoetst door
middel van een formele audit, dit is de ‘grote kwaliteitscirkel’. De aan de klant gerapporteerde kwaliteit van de gegevens wordt getoetst aan de werkelijkheid. 3. Op de derde laag gaat de manier van werken die met de eerste en tweede laag is opgebouwd onderdeel uitmaken van het formele interne controleplan van de organisatie en de formele externe verantwoording. Dit is ook het moment om te bezien of naast de gewone accountantsverklaring over het jaarverslag een externe audit of third party mededeling een meerwaarde kan hebben. Het project wordt inhoudelijk gecoördineerd door de centrale Rijksgebouwendienst controleafdeling (oranje ovaal in figuur 2) en in de volgende vier hoofdstappen geïmplementeerd: 1. Sluiten van een gegevensleveringsovereenkomst De gegevens worden op basis van een overeenkomst (service level agreement/gegevensleveringsovereenkomst) met de klant digitaal aangeleverd. In de overeenkomst is zowel de definitie1 als het kwaliteitsniveau (juistheid, volledigheid en tijdigheid), per gegeven vastgelegd. In het geval van de Rijksgebouwendienst wordt deze overeenkomst gesloten door de directeur frontoffice omdat het webloket daar onderdeel van is, zie ook figuur 3. Het te leveren kwaliteitsniveau is afgestemd en vastgelegd in een interne overeenkomst met de Rijksgebouwendienst-directies die de brongegevens produceren en beheren. Onderdeel van deze overeenkomst is de levering van een periodieke rapportage over de gerealiseerde gegevenskwaliteit die de klant gebruikt om de impact op de eigen gegevensverwerking te bepalen. In sommige gevallen zal de klant niet precies weten welke kwaliteit hij nodig heeft en komt bij de start van de imple-
nr 7/8 augustus 2007
processtap
X%
33
mentatie de gewenste kwaliteit niet overeen met de kwaliteit die geleverd kan worden. In dat geval moet de overeenkomst ook een groeipad en evaluatiemomenten bevatten. Directieraad Concern-control
Frontoffice Webloket
Vastgoed
Vastgoed
Beheer
Overige (programma) directies
gegevens gegevens gegevens gegevens gegevens
nr 7/8 augustus 2007
Figuur 3. Het web-loket is onderdeel van het front-office
2. Structureel inrichten van een operationeel proces voor gegevenskwaliteit bij elke directie De uitvoering van de kwaliteitscontrole is een verantwoordelijkheid van de Rijksgebouwendienst-directie die de gegevens produceert. De resultaten van de controles op die productie worden vastgelegd in rapportages die via het frontoffice aan de klant, conform de overeenkomst, ter beschikking worden gesteld. Zo blijft de klant op de hoogte van de kwaliteit die wordt geleverd en heeft de leverancier meer mogelijkheden om tijdig bij te sturen en om bedrijfsmatige risico’s af te wegen. Het implementeren van dit pro-
ces vindt plaats met behulp van het opstellen en uitvoeren van een controleprogramma per directie (oranje ovaal in figuur 2). 3. Periodiek auditen van de werking van het proces voor gegevenskwaliteit Alleen het inrichten van een kwaliteitsproces is niet voldoende om de top van de controletoren voldoende zekerheid te bieden. Daarom moet de werking van het proces voor gegevenskwaliteit worden onderworpen aan een formele audit die de controlecyclus sluit. De audit dient vast te stellen of de rapportages over de kwaliteit van de gegevens die aan de klant zijn verstrekt overeenkomen met de werkelijkheid. Men kan kiezen voor een formele interne of externe audit. Het is raadzaam om de audit op het kwaliteitsproces te combineren met een EDP-audit op de onderliggende gegevensverwerkende systemen omdat een structureel te lage kwaliteit ook technische oorzaken kan hebben. 4. Formaliseren van het kwaliteitsproces en de periodieke audit daarop in het interne controle plan In de laatste fase weegt de concerncontroller van de Rijksgebouwendienst af of de gegevenskwaliteit voldoende op orde is gebracht en of de werking van het kwaliteitsproces voor gegevenskwaliteit kan worden aangetoond. Indien dit positief wordt bevonden kan het gehele bouwwerk onderdeel worden van het interne controleplan waar de –C accountant voor zijn beoordeling op gaat steunen.
a dve r t e nti e
34
