Datamining: wat doet uw bedrijf met haar schat aan data?

Geplaatst op 12 juli 2011 door Johan van den Brink

Bedrijven verzamelen steeds meer data. Zoveel zelfs dat sommige bedrijven tegen het probleem van Big Data aanlopen: zoveel data dat het niet meer eenvoudig in een database past en ook moeilijk geanalyseerd kan worden. Financiële data, productiedata, data over klanten, data over de concurrentie en nog veel meer. Het analyseren van deze data is erg veel werk, waardoor er keuzes gemaakt moeten worden. Daarnaast is de menselijke capaciteit om verbanden te vinden in data beperkt.

Gelukkig helpt de informatietechnologie met een oplossing: datamining. Hierbij helpt de computer u met het vinden van verbanden in data en het doen van voorspellingen op basis van verzamelde data. Vroeger was dit exclusief voorbehouden aan research & development (denk bijvoorbeeld aan het analyseren van het menselijk genoom en bijbehorende ziekten) en aan marketing & sales. Deze laatsten houden zich veel met de klant bezig. Datamining heeft het mogelijk gemaakt om uit te vinden welke artikelen een klant bijvoorbeeld vaak samen koopt. Een bekend voorbeeld is het verband tussen bier en luiers. Blijkbaar moeten deze artikelen door de vader des huizes met de auto gehaald. Een aanbieding bij 1 van deze 2 producten trekt dus klanten naar de winkel. Beide artikelen tegelijk in de aanbieding doen is zonde. Ook een webwinkel als bol.com profiteert enorm van datamining door bij elk boek aan te geven: “mensen die dit boek kochten, kochten ook de volgende 3 boeken”.

Een aansprekend voorbeeld voor u als financial is misschien wel fraudedetectie: alle transacties in systemen kunnen worden geclusterd naar soort. Transacties die niet op andere transacties lijken worden zichtbaar gemaakt en kunnen beoordeeld worden. Menig fraudeur is op deze wijze gepakt en ook creditcardmaatschappijen maken hier handig gebruik van.

Moraal van dit verhaal is dat datamining geen ‘luxeproduct’ meer is en langzaamaan ook nuttig kan worden voor de wat minder grote bedrijven of het MKB. Het is wel belangrijk dat u zich hierbij laat adviseren, want datamining is zeker niet gemakkelijk. Als het onjuist wordt toegepast trekt u al snel de verkeerde conclusies en dat moet uiteraard voorkomen worden.

Succes met het uitgraven van uw schatten!

Gepost in Reporting | Plaats een reactie

KPI’s in uw organisatie

Geplaatst op 16 juni 2011 door Johan van den Brink

Als u start met een nieuw reporting / BI –project dan is de kans groot dat het projectteam op een gegeven moment bij u komt om te brainstormen over Key Performance Indicatoren (KPI’s). Dat blijkt vaak best lastig te zijn, ik heb al vaak meegemaakt dat de financials ‘alles’ wilden hebben om dat vervolgens zelf te gaan analyseren met Excel. Helaas voor deze financials is ‘alles’ niet het juiste antwoord op de vraag wat u voor informatiebehoefte heeft. Daarom zullen we in deze blog aandacht besteden aan het definiëren van KPI’s.

Wat zijn KPI’s eigenlijk?
Wat denkt u: is ‘nettowinst’ een KPI? Veel financials, accountants en consultants geven een verkeerd antwoord, ze weten eigenlijk niet precies wat KPI’s zijn. Als je ze vraagt naar een KPI dan komen ze vaak met KRI’s, RI’s of PI’s op de proppen. Daarom eerst een goede uitleg van het onderscheid:
1. Key result indicators (KRI’s) geven een indicatie of je op de juiste weg bent en zijn vaak het gevolg van meerdere onderliggende oorzaken. Ze zijn vooral geschikt voor het hogere management en worden meestal maandelijks gerapporteerd. Voorbeeld: resultaat voor belastingen.
2. Performance indicators (PI’s) zijn vaak niet-financieel en meten onderliggende factoren. Deze indicators horen thuis op de dashboards van het middenkader. Bijvoorbeeld: aantal te late leveringen. PI’s zijn toekomstgericht.
3. Result indicators (RI’s) zijn de financiële equivalent van PI’s, ze zijn echter gericht op het verleden. Bijvoorbeeld: bezetting van hotelkamers.
4. Key performance indicators (KPI’s) zijn performance indicators (zie punt 2) die het meest kritisch zijn voor het succes van de onderneming nu en in de toekomst. Dit zijn dus de indicators waarop gestuurd moet worden. Het woordje ‘key’ dwingt echter keuzes af. Een vuistregel is: ongeveer 10 KPI’s per onderneming.

Eigenschappen van KPI’s
1. Niet-financieel.
2. Worden zeer frequent gemeten, bijvoorbeeld dagelijks of wekelijks.
3. Het senior management neemt contact op met verantwoordelijke managers naar aanleiding van een afwijking in een KPI.
4. Het moet duidelijk zijn welke actie van medewerkers wordt verwacht als de KPI onder een bepaalde norm komt.
5. Er moet 1 persoon kunnen worden aangewezen die verantwoordelijk is voor de afwijking ten opzichte van de norm.
6. De impact op de organisatie van een KPI die onder de norm zit moet significant zijn.
7. Ze leiden niet tot disfunctioneel gedrag (gedrag dat de organisatie benadeelt, maar wel zorgt voor verbetering van de KPI).

Ik hoop dat u een aantal handvatten hebt gekregen om niet in de valkuilen te stappen waar anderen voor u al in gestapt zijn.

Gepost in Geen categorie | Plaats een reactie

Spreadsheet Risk Management

Geplaatst op 2 mei 2011 door Johan van den Brink

In 2010 vierde Microsoft de 25e verjaardag van Excel. De eerste 10 jaar was Excel vooral een handige vervanger van de 14-kolomsvellen of de telmachine. Vanaf 1995 tot 2000 is Excel echter een stuk krachtiger geworden en de gebruikers hebben steeds meer IT-kennis gekregen. Hierdoor is een achterstand ontstaan in de interne beheersing rondom Excel spreadsheets en deze achterstand is nooit meer helemaal ingelopen, hoewel er met de hype rond SOx in de periode 2004-2006 veel meer aandacht is gekomen voor de risico’s van spreadsheets. Grote banken huurden zeer specialistische auditors in voor complexe rekenmodellen en de grote accountantskantoren begonnen over de risico’s te publiceren. Is uw organisatie nog niet doordrongen van de risico’s? Dan kunt u met de handvatten, die u in dit artikel aangereikt krijgt, een begin maken met het opzetten van Spreadsheet Risk Management (SRM) in uw bedrijf. Ik probeer een antwoord te geven op de basisvragen zoals:

  • Welke rol spelen de verschillende afdelingen en functionarissen bij SRM?
  • Hoe zet u SRM op?
  • Hoe rapporteert u over SRM?

Rol van afdelingen en functionarissen bij SRM

SRM begint bovenaan in de organisatie bij de bestuurders. Een van de bestuurders moet het project “sponsoren”. De bestuurder moet de overige projectleden rugdekking geven als er weerstand is in de organisatie en het SRM-beleid vormgeven. Hierin wordt onder andere bepaald welk restrisico (risico dat overblijft na genomen maatregelen) de bestuurders acceptabel vinden en wat er van de organisatie wordt verwacht om dit restrisico te bereiken.

Projectteam
Vervolgens zal er een projectteam moeten worden opgezet. Afhankelijk van de grootte van de organisatie zullen daar waarschijnlijk de volgende functionarissen in opgenomen worden:

  • IT (verantwoordelijke voor het IT-beheer).
  • Eigenaren van de belangrijkste spreadsheets uit de business.
  • Compliance officer.
  • (Operational) Risk Manager.
  • Internal Audit.
  • Finance en Control (eindverantwoordelijke voor de managementrapportage).
  • Bestuurder (sponsor).

Zij zullen de vragen van de bestuurders moeten beantwoorden. De bestuurders zullen onder meer willen weten waar ze risico’s lopen, waaruit de risico’s bestaan en of ze significant zijn.

Verantwoordelijkheden
Een lastig probleem bij spreadsheets is de vraag wie er verantwoordelijk is voor het spreadsheet en de bijbehorende risico’s. De IT-afdeling legt dit vaak bij de business neer, terwijl de business naar IT wijst. In elk geval zou IT verantwoordelijk moeten zijn voor de continuïteit van de operationele systemen, back-ups en veiligheid. Zij kunnen bijvoorbeeld enkele beveiligde mappen aanmaken waar bedrijfskritische spreadsheets opgeslagen kunnen worden. De business kan dan zijn verantwoording nemen voor de inhoud van het spreadsheet.

Eigenaren van spreadsheets zijn verantwoordelijk voor het identificeren en beoordelen van de risico’s die bestaan in hun spreadsheets. Zij moeten hiervoor de benodigde richtlijnen, tools en eventuele training ontvangen.

Compliance weet aan welke externe regelgeving de onderneming zich moet houden. Op basis daarvan adviseren zij hoe de risico’s op non-compliance verminderd kunnen worden.

De Risk Manager draagt er zorg voor dat de nieuwe beheersmaatregelen binnen het bestaande risicomanagement worden geïntegreerd zodat overlappende maatregelen worden voorkomen. Inmiddels zijn er diverse consultancybureaus en softwareleveranciers, die zich op het zogeheten GRC (Governance, Risk, Compliance) richten. Met hun technieken en tools kunnen organisaties in 1 keer compliance organiseren aan regelgeving van meerdere landen en op meerdere vakgebieden.

Internal Audit kan helpen bij het beoordelen van de beheersmaatregelen. Daarnaast kunnen zij analyseren wat er nog verbeterd dient te worden en er voor zorgen dat hier aandacht voor is van de directie.

Finance en Control is vaak als inhoudsdeskundige aanwezig. Hun rapportageproces bevat vaak de meest gevoelige informatie, waardoor fouten daar de grootste gevolgen hebben. Bijvoorbeeld een fout in de jaarrekening of de kwartaalrapportage. Ook kunnen zij verantwoordelijkheden van compliance, risk management en internal audit overnemen als het bedrijf te klein is om al deze functies afzonderlijk in huis te hebben.

De bestuurder is verantwoordelijk voor het creëren van draagvlak in de organisatie. Daarnaast moet hij het overzicht bewaren, zodat er geen papieren tijger ontstaat waar uiteindelijk niemand meer iets mee doet.

Hoe zet u SRM op?

Inventarisatie
Nadat duidelijk is wat de bestuurders verwachten kan worden begonnen met de inventarisatie van de aanwezige spreadsheets. Er zijn tools beschikbaar om bij dit proces te ondersteunen. Daarnaast kan aan de hand van procesbeschrijvingen en toelichting door gebruikers bepaald worden waar spreadsheets worden gebruikt in de organisatie. Probeer zo ook spreadsheets te vinden die niet op het netwerk staan, maar op harde schijven van PC’s en laptops of USB-sticks.

Impactanalyse
Per spreadsheet wordt bepaald wat de gevolgen zijn voor de organisatie. Organisaties willen dat het liefst kwantificeren in euro’s, maar dat lukt lang niet altijd. Daarom wordt er dan uitgeweken naar een kwalitatieve analyse, waarbij de spreadsheets zo goed mogelijk worden ingedeeld naar het gevolg dat een fout in een spreadsheet heeft voor de organisatie. Let op: Het gaat hierbij niet alleen om fouten in het spreadsheet, maar ook de gevolgen als een spreadsheet verloren gaat of niet tijdig kan worden opgesteld!

  • Hoog: De continuïteit van de organisatie is in gevaar of wet- en regelgeving wordt overtreden.
  • Middel: Er kan een behoorlijk verlies ontstaan of er kan gevoelige informatie openbaar komen.
  • Laag: Er worden geen belangrijke beslissingen genomen op basis van deze spreadsheets, hoewel fouten wel vervelende gevolgen kunnen hebben.

Waarschijnlijkheidsanalyse
Zodra deze indeling is gemaakt, kan per spreadsheet worden gekeken naar de waarschijnlijkheid dat er fouten ontstaan in het spreadsheet of dat deze niet tijdig kan worden opgesteld. Met uw boerenverstand kunt u dit rijtje waarschijnlijk gemakkelijk opstellen, maar voor de volledigheid geef ik het toch even:

  • Bestandsgrootte.
  • Hoeveelheid data.
  • Het aantal unieke formules dat is gebruikt en de complexiteit daarvan.
  • Aantal links tussen onderdelen van het spreadsheet en spreadsheets onderling.
  • Hoeveelheid VBA-code en macro’s.

Van een aantal van deze risicofactoren is wetenschappelijk vastgesteld door o.a. Panko dat er een directe link is tussen deze factoren en het voorkomen van fouten. Naast deze objectieve factoren zijn er nog een aantal meer subjectieve, waardoor de spreadsheets toch door het menselijk oog beoordeeld moeten worden. Een goede hulp is de checklist waarnaar in het vorige artikel is verwezen. Denk hierbij o.a. aan opzet en design van het spreadsheet. Als er veel spreadsheets zijn dan kunnen aan de hand van de mutatiedatum eerst de spreadsheets met de meest recente mutatiedatum gecontroleerd worden. Vergeet hierbij niet dat sommige bedrijfskritische spreadsheets maar één keer per jaar worden gebruikt.

Ik heb zelf deze analyse voor een bouwbedrijf gedaan, de uitkomsten zijn te zien in grafiek1. De x-as geeft de impact weer en de y-as de waarschijnlijkheid. De spreadsheets waar het meeste aandacht naar uit zou moeten gaan, staan in de rechterbovenhoek (blauw omcirkeld).

Issuelijst
De huidige situatie is nu als een soort nulmeting vastgelegd. Omdat ook bekend is waar de bestuurders naar toe willen kun je een zogeheten gap-analyse doen. Waar zitten de verschillen tussen het uiteindelijke doel en de huidige stand van zaken. Door beheersmaatregelen zal dit gat uiteindelijk verdwijnen. Per beheersmaatregel moet de afweging worden gemaakt tussen kosten en resultaten. Ook moet de natuurlijke vrijheid, die aan het gebruik van spreadsheets is verbonden, nooit te veel ingeperkt worden. Zo ontstaat een issuelijst die de basis is van de periodieke rapportage om de bestuurders op de hoogte te houden van de voortgang van het project. Er komt nu een soort cyclus opgang zoals te zien is in afbeelding1. Tip: spreadsheetmanagementtools kunnen de belangrijkste risico’s snel reduceren door o.a. versiebeheer, toegangscontrole (soms zelfs tot delen van een spreadsheet) en een audittrail aan te bieden.

Afbeelding 1:
Spreadsheet Risk Management Cyclus

 

Spreadsheets met ineffectieve beheersmaatregelen
Als uit de issuelijst blijkt dat een bepaalde bedrijfskritische spreadsheet omgeven is door ineffectieve beheersmaatregelen dan kan rapportage op basis van deze spreadsheet niet worden vertrouwd. Het verdient dan aanbeveling om het spreadsheet uitgebreid te testen zodat toch zekerheid kan worden verkregen omtrent de juiste werking van het spreadsheet. Dit testen kan gebeuren door specialisten, al dan niet met de hulp van tools. Internal audit zal de beheersmaatregelen periodiek blijven testen, maar SRM blijft de verantwoordelijkheid van de afdelingsmanager. Let op: een test waarbij alle beheersmaatregelen effectief blijken te zijn betekent niet dat u het spreadsheet 100% kunt vertrouwen, maar wel dat het risico op fouten significant verlaagd is!

Risicomanagement is mensenwerk
Als SRM niet gaat leven bij uw personeel dan zal het niet lukken om een acceptabel restrisico te behalen. Daarom is het nodig om de invoering van SRM te omgeven met trainingen en workshops om zo de bewustwording te verhogen. Vooral managers hebben vaak veel andere verantwoordelijkheden en het is belangrijk om SRM bij hen op de radar te krijgen. Ook de spreadsheetgebruikers zelf moeten weten welk effect ze zelf kunnen hebben op de risico’s. Dit kan onder andere door self assessments, waarbij ze zelf de risico’s, de beheersmaatregelen en het restrisico van hun eigen spreadsheet periodiek beoordelen en ondertekend rapporteren. Deze self assessments zijn een ideale methode om de kosten van SRM binnen de perken te houden. Als SRM voor uw organisatie van essentieel belang is dan kan ook worden overwogen om het mee te laten wegen bij de evaluatie van het personeel.

Aansluiten bij een industriestandaard
Voor grotere organisaties kan het lonen om aan te sluiten bij een industriestandaard. Aangezien spreadsheetontwikkeling erg op applicatieontwikkeling lijkt, verdient het aanbeveling om te kijken naar overlap met frameworks zoals CobiT (www.isaca.org). Dergelijke frameworks hebben standaard oplossingen voor diverse onderdelen van SRM, van toegangsbeheer tot versiebeheer en van het beheersen van het ontwikkelproces tot onafhankelijk testen van spreadsheets.

Risicorapportage SRM

Het doel van deze risicorapportage is: het verkrijgen van inzicht in de risico’s die de organisatie loopt op verschillende deelgebieden van SRM. Essentieel is dat hierbij detailinformatie per afdeling kan worden getoond, zodat de verantwoordelijke afdelingsmanagers ook inzicht hebben in hun risico’s en daardoor verantwoording kunnen nemen. Meestal wordt de rapportage gevuld met zogeheten Key Risk Indicators (KRI), maar hiervoor is nog geen best practice ontwikkeld. Daarom een aantal handreikingen voor een goede rapportage. Het is belangrijk dat de KRI’s een plekje krijgen op het dashboard van de afdelingsmanagers omdat hiermee wordt aangegeven dat het net zo belangrijk is als andere stuurinformatie. Meestal worden enkele KRI’s getoond, voorbeelden zijn:

  • Aantal spreadsheets waarbij fouten grote gevolgen hebben voor de organisatie.
  • Aantal spreadsheets waarbij de kans op fouten groot is.
  • Aantal actieplannen.
  • Aantal actieplannen dat niet tijdig is afgerond.
  • Totale risico van alle spreadsheets opgeteld.
  • Totale restrisico van alle spreadsheets opgeteld.

Bij toenemende risico’s op een bepaalde afdeling kan de betreffende manager worden gevraagd om extra beheersmaatregelen te nemen om de risico’s weer binnen de acceptabele bandbreedte te krijgen.

Toegift: 6 aanwijzingen dat een spreadsheet beter vervangen kan worden door een applicatie:

1.       Het spreadsheet bevat vooral data, die weer in andere spreadsheets wordt gebruikt.
2.       Er is heel veel VBA (macro’s) nodig om het doel te bereiken.
3.       Er zijn veel (gelijktijdige) gebruikers.
4.       Er is maar 1 spreadsheetgoeroe die alle spreadsheets beheert.
5.       Het spreadsheet loopt vaak vast of is erg traag met berekeningen.
6.       Het spreadsheet wordt gebruikt als een koppeling tussen 2 systemen.

 

 

 

 

Gepost in Data risk | 2 Reacties

Risico’s van spreadsheets zoals Excel

Geplaatst op 2 mei 2011 door Johan van den Brink

Spreadsheets zijn overal. Als je eens een zoekopdracht doet op je netwerk dan vind je er vaak vele duizenden. Spreadsheets worden veel gebruikt in rapportageprocessen, maar soms groeien ze uit tot bedrijfskritische applicaties en daar zijn ze nooit voor gemaakt. Daarvoor zijn er andere applicaties, maar die zijn vaak te duur of het duurt te lang voordat ze geïmplementeerd zijn. Soms vereist de hevige concurrentie dat u niet kunt wachten op een nieuw systeem. Deze en nog vele andere redenen zorgen ervoor dat spreadsheets nooit zullen verdwijnen.
Doordat ze steeds meer mogelijkheden bieden en de gebruikers die mogelijkheden ook steeds beter weten te benutten worden de risico’s echter steeds groter. Daarom klinkt de roep om Spreadsheet Risk Management. In dit artikel worden een aantal oplossingen besproken voor typische problemen bij het gebruik van spreadsheets.

Versiebeheer

Stel u mailt uw spreadsheet naar 10 anderen. Heeft u er dan weleens bij stil gestaan dat er dan ook 10 versies zijn ontstaan? Het kan voorkomen dat verschillende ontvangers de spreadsheet aanpassen, waardoor het heel erg moeilijk wordt om alle wijzigingen weer in 1 spreadsheet te verwerken. Maar dat is niet het enige: het kan ook gebeuren dat er plotseling weer een oude versie opduikt die wordt gebruikt voor belangrijke beslissingen.
Als een spreadsheet wordt afgedrukt ontstaat er weer een versie. Vandaar dat het afdrukken van de bestandsnaam en de afdrukdatum en –tijd zo belangrijk zijn. Zo kun je altijd achterhalen waar de gegevens op gebaseerd waren.
Onder dit kopje wil ik ook het archiveringsbeleid noemen. In de organisaties waar ik geweest ben komt het heel vaak voor dat de rapportage van de vorige maand wordt gebruikt als basis voor de rapportage van de huidige maand. Dan gebeurt het nog weleens dat per ongeluk de rapportage van de vorige maand wordt overschreven. Veel rapportages moeten uit het oogpunt van compliance (o.a. Belastingdienst) vaak lang worden bewaard. Het overschrijven of verwijderen van rapportages zorgt voor non-compliance en levert problemen op. Als u met Excel werkt loont het de moeite om eens naar Sharepoint te kijken. Een eenvoudige versie is gratis te downloaden (WSS 3.0).

Autorisatie

Een van de lastigste uitdagingen in Excel is het beheren van de toegang tot het document. Om te voorkomen dat gegevens zonder toestemming ingezien of gewijzigd worden zal het spreadsheet een toegangsbeveiliging moeten hebben. De werkblad- en macrobeveiliging zijn echter eenvoudig te kraken. Daarom zouden alle spreadsheets met gevoelige informatie gecompileerd moeten worden. Met een applicatie, die relatief goedkoop via internet verkrijgbaar is, wordt de spreadsheet omgezet in een uitvoerbaar (.EXE) bestand. De toegangsbeveiliging is ineens een stuk moeilijker te kraken en de formules en macro’s in de spreadsheet zijn niet meer te lezen. Ook dat laatste kan voor sommige bedrijven erg belangrijk zijn: onlangs hoorde ik nog over een conflict tussen 2 partijen omdat de ene partij enkele tonnen had geïnvesteerd in een geavanceerd Excelprogramma, dat onmiddellijk werd gekraakt door de eerste partij waar het geïmplementeerd werd. U kunt bijvoorbeeld ook denken aan het bewaren van bedrijfsgeheimen zoals een receptuur. Zoiets wilt u liever niet met de concurrent delen, toch?

Projectmanagement

Ik ben een aantal keren ingehuurd om een spreadsheet op maat te maken voor een organisatie. Ik verbaasde me elke keer weer over het feit dat er geen afweging was gemaakt tussen bestaande software en het zelf ontwikkelen van een spreadsheet. Eigenlijk is deze afweging niets minder dan een make- or buybeslissing. Toch gingen de meeste organisaties zonder nadenken voor een spreadsheet vanwege de flexibiliteit, waarbij ze de nadelen eigenlijk vrij gemakkelijk terzijde schoven.
Het wordt nog erger als een interne medewerker wordt gevraagd om een spreadsheet te bouwen. In de meeste organisaties worden de loonkosten van deze medewerker gezien als kosten die toch al  gemaakt worden. Daarom wegen ze minder zwaar dan zogeheten out-of-pocket kosten bij de inhuur van een derde partij. Het gevolg is dat de interne medewerker een vrijwel onbeperkt budget heeft om het gevraagde spreadsheet te maken en bij te schaven, terwijl een Excelexpert waarschijnlijk een betere spreadsheet oplevert tegen lagere kosten.

Bovengenoemde zaken kunnen worden voorkomen door onderscheid te maken tussen een prototype, een spreadsheet voor eigen gebruik en een spreadsheet voor gebruik door meerdere medewerkers.

  • prototype: Excel wordt gebruikt om te beoordelen of de gevraagde functionaliteit in een spreadsheet gebouwd kan worden. Er wordt een klein urenbudget beschikbaar gesteld en het resultaat wordt beoordeeld door de eindgebruikers, ondersteund door een technisch expert. Afhankelijk van het resultaat kan er nu ook gekozen worden om te investeren in een bestaande applicatie.
  • eigen gebruik: Spreadsheets voor eigen gebruik kunnen buiten het projectmanagement vallen. Op het moment dat meer gebruikers interesse tonen moet de spreadsheet worden beoordeeld door de verwachte eindgebruikers. Bij complexe spreadsheets verdient het ook aanbeveling om deze te laten controleren door een expert. Bij bedrijfskritische spreadsheets is een audit aan te raden. Dit wordt besproken onder het kopje ‘Testen’.
  • spreadsheet voor gebruik door meerdere medewerkers: Voor een dergelijke spreadsheet gelden veel hogere eisen. Een van de zwaktes van Excel is juist het (gelijktijdig) gebruik van het spreadsheet door meerdere medewerkers. Let hier dus goed op bij de keuze voor Excel. Behandel dit traject als een project met een urenbudget, testfases tussendoor en een evaluatie achteraf. Raadpleeg de checklist om bekende risico’s te vermijden.

Testen

De meeste financiële medewerkers zijn al gauw de ‘Excelgoeroe’ binnen hun onderneming. Dat komt omdat het erg moeilijk is om te bepalen op welk niveau iemand werkt binnen Excel. Bij een bekend Amerikaans consultancybureau waren de consultants erg overtuigd van hun eigen kunnen in Excel. Daarom werd hen gevraagd om een examen (Microsoft Certified Application Specialist) af te leggen. De meeste consultants dachten dat varkentje wel even te wassen en groot was dan ook de teleurstelling toen bleek dat nog niet de helft van hen het examen had gehaald! De reden is vaak dat Excelkennis on the job wordt opgebouwd en dus scheef is. Van het ene onderwerp weet men veel en van het andere niet (zie grafiek 1). Wees dan ook altijd kritisch als iemand zichzelf expert noemt, dit leidt namelijk tot overmoedigheid. Ik hoorde pas nog iemand zeggen: “Ik test mijn spreadsheets nooit, ik weet gewoon dat ik kwaliteit lever”. Des te meer een reden om te testen dus! Hoe test je een spreadsheet nu?

  • waarschijnlijkheidscontroles: beoordeel de resultaten van het spreadsheet aan de hand van het verwachte resultaat;
  • testen van de gebruikte intelligentie: zowel voor de besturing van het spreadsheet als voor de berekeningen is intelligentie nodig. De intelligentie voor de besturing kan worden vastgesteld door alle functies een aantal keren te testen. Bij berekeningen dient de complete berekening van broncel tot doelcellen te worden nagelopen. Daarnaast verdient het aanbeveling om alle gebruikte formules te identificeren en onder elkaar te zetten met daarachter het aantal keren dat ze gebruikt worden. Uit onderzoek van Panko, een expert op het gebied van menselijke fouten, is namelijk gebleken dat er een verband bestaat tussen het aantal unieke formules en het aantal fouten dat wordt aangetroffen;
  • vaststellen of het design het inzicht ten goede komt: voor het begrip van de gebruiker is het belangrijk dat duidelijk is welk doel elke cel dient. Ook is het handig als hij van linksboven naar rechtsonder kan werken en als cellen met hetzelfde doel (input-verwerking-output) gegroepeerd worden;
  • regressietest: na elke aanpassing van het spreadsheet moet worden gecontroleerd of alle functies nog steeds naar behoren werken. Hiermee wordt voorkomen dat een aanpassing, die op zich goed werkt, verderop problemen veroorzaakt;
  • afhankelijkheden in kaart brengen: per spreadsheet moet duidelijk zijn hoe de cellen afhankelijk zijn van elkaar. Breng vooral ook de relatie met andere spreadsheets in kaart;
  • aansluiten met het bronsysteem: probeer een aansluiting te maken met het bronsysteem. Dit kan achteraf, maar ook door met controletotalen te werken bij een export. Zo kan worden vastgesteld dat de data uit het bronsysteem volledig en juist is overgenomen;
  • als laatste een hulpje bij al dit werk: een spreadsheet audit tool. Deze zijn vaak relatief goedkoop en gemakkelijk onder de knie te krijgen. Ze kunnen verschillende bovengenoemde taken automatiseren, maar bijvoorbeeld ook alle spreadsheets op het netwerk in kaart brengen. Sommige tools kunnen daarbij zelfs verschillende versies van hetzelfde spreadsheet vinden.

Wat kan Nimda voor u doen?

Bent u na het lezen van dit artikel onder de indruk geraakt van de risico’s die Excel binnen uw onderneming kan veroorzaken? Neem dan contact op met Nimda om de risico’s binnen uw onderneming in kaart te brengen en te verhelpen.

 

 

 

Gepost in Data risk | Plaats een reactie

Qlikview Ajax client opmaak aanpassen

Geplaatst op 10 maart 2011 door Johan van den Brink

Soms zien bepaalde onderdelen van Qlikview er bij gebruik van de Ajax client totaal niet uit in de browser, zoals in dit voorbeeld de Searchbox.

QV-lelijkesearchbox

 

Je kunt hier normaalgesproken niets aan veranderen omdat de Searchbox er in de Qlikview applicatie wel prima uitziet. Als laatste redmiddel kun je de CSS van de Ajax client aanpassen. Deze client gebruikt Qlikview om zijn functionaliteit binnen de browser aa te kunnen bieden.

Het CSS-bestand kun je vinden in de folder:

[DRIVE]:\Program Files\QlikView\Server\QvClients\QvAjaxZfc\htc\

Voor dit specifieke voorbeeld zie je dat de eigenschap background-color op white staat.

 

.SearchObject .content

{
background-color:white;
}
Aanpassen naar grijs kan op de volgende manier:

.SearchObject .content

{
background-color:#F8F8F8; //grijs
}

en levert dit beeld op:

QV-searchbox verbeterd

Gepost in TechTalk | Plaats een reactie

Checklist spreadsheetrisico

Geplaatst op 8 januari 2011 door Johan van den Brink

Hier vind u  de checklist, behorende bij de artikelen in Tijdschrift Administratie en Tijdschrift Controlling.
Checklist spreadsheetrisico
Wilt u graag informatie blijven ontvangen over dit onderwerp dan kunt u dit in een e-mail aan info@nimda.nl laten weten.

Gepost in Data risk | Plaats een reactie

Risk Reporting

Geplaatst op 14 december 2010 door Johan van den Brink

In de afgelopen columns hebben we een aantal risicogebeurtenissen belicht. Soms heb ik daarbij aangegeven dat de gebeurtenis wellicht voorkomen had kunnen worden met goed risicomanagement. Het is daarbij erg belangrijk dat de rapportages van managers een sectie bevatten voor risicomanagement. In deze sectie zouden een aantal risico-indicatoren moeten worden opgenomen, die iets zeggen over de afdeling of de processen waar de manager verantwoordelijk voor is. Zo kan de manager proberen om risicogebeurtenissen of de schadelijke effecten daarvan te vermijden. Ook krijgt hij meer gevoel bij het risicoprofiel van zijn organisatie-eenheid.

Bepalen van risico-indicatoren

Voor het bepalen een effectieve risico-indicator zijn de volgende eigenschappen van belang:

  • de gebruikte data moet de juiste data zijn om het risico te meten
  • er moet een drempelwaarde worden gedefinieerd, gaat de indicator daar overheen dan moet er alarm geslagen worden
  • het alarm moet tijdig geslagen worden, zodat er nog reactietijd is
  • het moet eenvoudig te herkennen zijn dat de risico-indicator op dit moment werkzaam is (b.v. knipperende lampje op de rookmelder)
  • de kunst van het weglaten: bepaal op basis van het risicoprofiel waar de indicatoren het best ingezet kunnen worden

Met name het kunnen herkennen dat de risico-indicator nog werkzaam is levert vaak problemen op. Onlangs kwam nog aan het licht dat delen van het Tsunamiwaarschuwingssysteem bij Indonesië helemaal niet werkten omdat vissers enkele onderdelen hadden gestolen. De gevolgen hadden nog veel erger kunnen zijn dan ze nu waren. Verder is het erg belangrijk dat de indicatoren goed verdeeld zijn over de veroorzakers en de werkelijke gebeurtenissen. Naar analogie van de tsunami: de aardbeving en de tsunami. Als je de aardbeving op tijd registreert dan kun je mensen nog op tijd waarschuwen om bij de kust weg te gaan. Maar als je de tsunami ziet dan ben je meestal te laat. Toch kun je dan nog wel ingrijpen om de schade zoveel mogelijk te beperken.

In uw organisatie

Als uw organisatie al gebruik maakt van risicomanagement dan kunt u proberen om een deel van het dashboard van elke manager vrij te maken voor de risicosectie. In enkele sessies kunt u de juiste risico-indicatoren bepalen, ze implementeren en vervolgens evalueren. Maar als er nog niets met risicomanagement wordt gedaan dan verdient het de aanbeveling om eerst wat te werken aan het risicobewustzijn, de risk appetite (hoeveel risico willen we lopen?) en een risicoprofiel.

Gepost in Operational Risk | Getagged , , , | Plaats een reactie

Business Continuity Management: hoe blijven we overeind in zwaar weer?

Geplaatst op 23 november 2010 door Johan van den Brink

Via Google Insights for Search kwam ik erachter dat de vraag naar informatie over Business Continuity Management altijd sterk toeneemt aan het begin van een kalenderjaar. Blijkbaar zorgen de jaarcijfers voor een stijgende behoefte om te behouden wat je hebt. Daarom wil ik nu vast wat vertellen over BCM, dan komt u straks beslagen ten ijs.

Wat is BCM precies?
BCM is het ontwikkelen van strategieën, plannen en acties die bescherming of een alternatieve werkwijze verzorgen voor activiteiten of processen die van essentieel belang zijn voor het voortbestaan van de onderneming. Het bestaat uit 3 elementen:

  • Crisis Management: stabiliseren van de situatie en klaarmaken voor herstel;
  • Business Recovery Planning: herstellen van de essentiële bedrijfsfuncties;
  • IT Disaster Recovery: herstellen van bedrijfskritische IT-systemen, applicaties en opslag.

Wat moet ik doen om BCM te implementeren?
Uiteraard ontkomt u niet aan een stukje papierwinkel. Onder andere dient goed vastgelegd te zijn wie er verantwoordelijk is voor elk van de bovengenoemde elementen. Daarnaast kan het onderstaande lijstje als kapstok dienen:

  • Kosten/baten-analyse: kosten afwegen tegen de beperking van het risico;
  • Impactanalyse: berekening van (gevolg)schade voor het bedrijf, let hierbij goed op processen die van elkaar afhankelijk zijn;
  • Risicobeoordeling: identificeren van de bedreigingen en de gevolgen daarvan voor de organisatie;
  • Plan van aanpak opstellen;
  • Procedures beschrijven: vastleggen hoe er gereageerd moet worden en hoe de activiteiten weer hersteld moeten worden;
  • Testen;
  • Training en bewustwording: zorgen dat het bij de mensen in de hoofden komt;
  • Eventueel compliance met eisen door derden.


Hoe krijg ik mijn organisatie zover om met BCM te beginnen?
Allereerst is het belangrijk dat de organisatie voldoende omvang heeft. Voor kleine organisaties is BCM vaak te duur. De resultaten van de impactanalyse en de risicobeoordeling zorgen vaak voor voldoende ‘sense of urgency’ om BCM te gaan implementeren binnen uw organisatie. Zoals bij meer projecten is het belangrijk dat er zogeheten sponsors zijn van BCM. Meestal te vinden op directieniveau. Dit kan voorkomen dat al het werk voor niets is. Hieronder nog een tagcloud van schadesoorten ter inspiratie:

Schadesoorten voor BCM

Gepost in Geen categorie | 1 Reactie

Het belang van samenwerking met andere professionals

Geplaatst op 2 november 2010 door Johan van den Brink

Introductie
Ik heb de onverbeterlijke neiging om steeds weer nieuwe dingen op te willen pakken. Zo ben ik vanuit de accountancy in het financiële interimwereldje gerold. Ondertussen studeerde ik af op “Risicomanagement voor het MKB”. Op een gegeven moment kwam steeds vaker de vraag: Johan jij bent toch handig met Excel? Kun jij dan een rapportage voor ons maken o.b.v. meerdere bronsystemen? Nu is dat op zich wel mogelijk alleen zijn daar handigere tools voor in de vorm van Business Intelligence (BI) oplossingen. Mijn interesse was gewekt en mede door de crisis kwam ik in loondienst bij een BI-bedrijf, waar ik heel veel geleerd heb. Onlangs ben ik weer voor mezelf begonnen en heb ik mijn Microsoft SQL Server BI-certificering gehaald.
Met mijn nieuwe onderneming wil ik mijn klanten helpen op het gebied van business intelligence / managementrapportage, data integratie (al die gegevens uit verschillende systemen halen) en risicomanagement. Bij dat risicomanagement richt ik me ook zeker op het beperken van het risico op een foute rapportage. Zelf kan ik niet al deze gebieden bijhouden, vandaar dat ik 3 vormen van samenwerking ben aangegaan.

Samen met concurrenten voor de continuïteit
Allereerst een samenwerking met Excel/Access-specialisten. Deze samenwerking is voor de buitenwereld zichtbaar onder de naam Excel123 en Access123. Door de samenwerking hopen we gemakkelijker bij grote bedrijven binnen te kunnen komen, die bij een eenpitter allerlei bezwaren opwerpen, zoals:
• Wie maakt het werk af als jij omvalt?
• Hoe is de continuïteit van deze software gewaarborgd (onderhoud e.d.)?
Hier is dus sprake van een samenwerking tussen concurrenten. Dat zagen sommigen als een nadeel en bedankten ervoor. Toch biedt het ook heel veel voordelen zoals continuïteit, kennisdeling, gezamenlijk presenteren op beurzen en het delen van de kosten.

Samen sterk tegenover een multinational
Daarnaast werk ik samen met een softwarebedrijf dat een risicomanagementtool kan leveren, een expert op het gebied van risicomanagement en een bedrijf dat de implementatie van risicomanagement binnen een bedrijf kan verzorgen. In dat rijtje zorg ik ervoor dat er goede managementrapportages over risico’s komen en dat er efficiënt gerapporteerd kan worden aan toezichthouders. Hier zie je hoe bedrijven en ZZP’ers elkaar in een samenwerkingsverband kunnen versterken en samen een product kunnen leveren waarmee we kunnen concurreren met een hele grote buitenlandse onderneming.
Uitvoerders zoeken voor je plannen
Als laatste voorbeeld nog een samenwerking, die ik gebruik om de ideeën uit de scriptie over Risicomanagement handen en voeten te geven. Ik werk samen met een expert op het gebied van risicomanagement voor het MKB en een accountantsorganisatie. De expert zorgt mede voor de inhoud en ik heb in PHP een risicoscan gemaakt waarmee de accountants naar hun klanten kunnen. Wij zouden zelf nooit genoeg tijd hebben om klanten te werven en overal scans af te nemen, maar de accountants hebben de klanten al en komen er ook regelmatig over de vloer.

Conclusie
Zo zie je dat iedereen steeds doet waar hij of zij het beste in is en tegelijk profiteert van de kennis en het netwerk van de anderen. Dat is mijns inziens wat samenwerking zo belangrijk maakt, zeker als er in de toekomst zo veel zelfstandige professionals zullen zijn in Nederland.

Gepost in Over ons | Getagged , , | 1 Reactie

Nog meer reputatieschade via social media: Youp van ‘t Hek

Geplaatst op 28 oktober 2010 door Johan van den Brink

Nu blijkt opnieuw wat social media kan doen met uw reputatie: Youp van ‘t Hek twittert over de heldesk van T-mobile en zit ‘s avonds gelijk aan tafel bij De Wereld Draait Door. Experts schatten de reputatieschade voor T-mobile in op enkele tonnen. De belangrijkste oorzaak lijkt te zijn dat callcenters tegenwoordig niet eens meer contact hebben met het bedrijf waarvoor ze werken.
Zelf heb ik ook nog een ‘gevalletje helpdeskmaffia’ meegemaakt dit jaar:
Onlangs wilde ik de aangifte inkomstenbelasting 2009 van mijn bedrijf doen. Blijkt er helemaal geen aangifte klaar te staan.
Dus bel ik de Belastingtelefoon. “Het klopt dat er geen aangifte klaar staat meneer, u bent namelijk pas vanaf 1-1-2010 ondernemer”.
Ik: “Maar ik ben al ondernemer sinds 2006”. Zij weer: “Ja dat kunt u wel zeggen maar dat staat hier niet”. Ikke: “U kunt toch zien dat ik al jaren ondernemersaangifte doe?”
Zij (na een tijdje): “Dat zie ik inderdaad, maar daar kan ik niets aan veranderen. Dan moet u schriftelijk verzoeken of wij de online aangifte klaar willen zetten”.
Schriftelijk verzoek ingediend, niks meer van gehoord natuurlijk. Toen maar eens via de speciale helpdesk voor belastingconsulenten gebeld en ja hoor: eindelijk opgelost!
Uiteindelijk moet ik nog wel flink meer rente betalen omdat ik mijn aangifte nogal laat had ingediend….. ZUCHT!

2 maatregelen om dat te verbeteren:
1. Geef helpdeskmedewerkers een budget om klachten op te lossen, dat ze b.v. kunnen inzetten om schrijnende gevallen een bloemetje te sturen of b.v. een gratis product/abonnement te geven.
2. Zorg voor een escalatiemogelijkheid: als het niet binnen het protocol van de helpdeskmedewerker opgelost kan worden moet het doorgezet kunnen worden naar het bedrijf zelf, zodat zij het kunnen oplossen.

Gepost in Operational Risk | Plaats een reactie