Skip to main content
Download pdf
choose dutch variant article

Themes

Business & IT Value

Contents

Alex van der Harst internal link N.M. Scheps internal link M.A.P. op het Veld internal link

Data-analytics

Publication 2014/2

Rondetafel Internal Audit Diensten

De mogelijkheden van data-analytics lijken tegenwoordig alleen nog te worden beperkt door de grenzen van onze fantasie. Daar waar een tiental jaar geleden de rekenkracht van servers, desktops en laptops nog onvoldoende was, hebben wij vandaag de dag een ruim arsenaal tot onze beschikking voor ‘number crunching’. De vraag die hierbij rijst is of wij qua data-analytics deze technologische ontwikkelingen hebben bijgehouden, en dat wij derhalve alle mogelijkheden gebruiken die tot onze beschikking staan, of dat wij feitelijk een hoop mogelijkheden laten liggen.

Deze en andere vragen werden op 17 maart 2014 tijdens een rondetafel bij KPMG besproken met Internal Audit Diensten (hierna:  IAD’s). De doelstelling van deze rondetafel was het delen van ontwikkelingen, ervaringen en kennis binnen IAD’s onderling en tussen de IAD’s en KPMG. Deze rondetafels worden periodiek georganiseerd door KPMG waarbij bij elke editie een specifiek en actueel onderwerp aan de orde komt. Onder de deelnemers waren afgevaardigden van onder andere Shell, Rabobank, KLM, Heineken, Ahold, Vopak, Hal Investments, ING, VU MC en Jumbo.

Dit artikel gaat in op onderwerpen die tijdens deze rondetafel zijn besproken, waaronder de toepasbaarheid van data-analytics binnen IAD’s, de groeistadia en uitdagingen bij het ontwikkelen van data-analytics capabilities en de ervaring van een multinational met de inrichting van een data-analytics omgeving.

Data-analytics – toegevoegde waarde

Data-analytics kan in een breed scala van activiteiten worden toegepast. Tijdens de rondetafel zijn voorbeelden besproken om data-analytics toe te passen voor IAD’s op het gebied van groei, kosten, risicomanagement en IT-beheer. Hierbij kan gedacht worden aan compliance van operating units in emerging markets of performance van shared service centers. Daarnaast zijn in de rondetafel de volgende gebieden besproken om data-analytics in te zetten binnen IAD’s:

  • Data-analytics kan worden ingezet om een risicoassessment uit te voeren en de auditplanning te bepalen. Denk hierbij bijvoorbeeld aan het selecteren van financiële transacties die allemaal net onder de grens liggen voor een aanvullende goedkeuring.
  • Data-analytics voorziet in een grotere dekkingsgraad van de onderzoekspopulatie, waarbij volledige populaties kunnen worden beoordeeld. Daar waar voorheen steekproeven of deelwaarnemingen werden uitgevoerd op een populatie om vast te stellen dat een en ander binnen de afgesproken normen valt, kan nu door middel van eenvoudige selecties de gehele populatie worden gecontroleerd, bijvoorbeeld of alle transacties door de juiste personen zijn goedgekeurd.
  • Data-analytics kan afwijkende transacties identificeren, waardoor gerichter follow-up kan plaatsvinden. Denk bijvoorbeeld aan het vinden van afwijkingen van de toleranties die voor een three-way-match zijn gesteld.
  • Data-analytics biedt de mogelijkheid om meerdere bronnen met elkaar te combineren, waardoor nieuwe en/of procesoverstijgende inzichten ontstaan. Zo kunnen bijvoorbeeld knelpunten in de productie op de ene locatie worden verholpen als blijkt dat de machine-uren op de andere locatie beneden de norm zijn.
  • Door gebruik van data-analytics kunnen trends (sneller) inzichtelijk worden gemaakt. Als auditor kun je soms door de bomen het bos niet meer zien als gevolg van de grote hoeveelheid data. Data-analytics kan helpen om structuren en trends inzichtelijk te maken zodat risicogebieden sneller kunnen worden geïdentificeerd. Een trend kan bijvoorbeeld zijn dat er steeds meer wachtwoordresets worden aangevraagd, waarbij de vraag kan worden gesteld of dat te maken heeft met het aanscherpen van de complexiteitseisen die eerder in de organisatie zijn doorgevoerd.

C-2014-2-Veld2-01

Figuur 1. Volwassenheidsfasen van het gebruik en de inzet van data-analytics.

Data-analytics – volwassenheid

Het gebruik en de inzet van data-analytics binnen organisaties kent traditioneel een groeipad waarbij vanuit ad-hocanalyses verdere professionalisering plaatsvindt naar een hoger volwassenheidsniveau. Data-analytics kan bijvoorbeeld meer repetitief, structureel en geïntegreerd worden ingezet. Tijdens de rondetafel zijn de volwassenheidsfasen (zie figuur 1) besproken en werden deze door de aanwezige IAD’s ook als zodanig onderkend. De meeste IAD’s bevinden zich tussen fase 1 en 2, maar hebben als ambitie om door te groeien naar fase 3. Hierin is data-analytics volledig geïntegreerd in het internal-auditproces en levert dan ook toegevoegde waarde aan de business. Het doorgroeien naar een hoger volwassenheidsniveau is vaak complex en uitdagend, een proces waarvan de volgende factoren zijn besproken (zie ook figuur 2):

  1. Het beschikbaar maken en stellen van data voor analysedoeleinden vereist gestandaardiseerde bedrijfsprocessen, welke in de praktijk niet altijd uniform zijn. Met name als gegevens van verschillende afdelingen, locaties of landen met elkaar moeten worden vergeleken, moeten werkwijzen op elkaar zijn afgestemd, bijvoorbeeld afspraken rondom de timing van registratie van sales orders.
  2. Data-analisten dienen specifieke skills op zowel technisch, analytisch als organisatorisch vlak te bezitten. In de praktijk blijkt de combinatie van deze vaardigheden schaars te zijn.
  3. Het gestructureerd interpreteren en analyseren van data vereist een uniforme betekenis van data. Echter, door non-uniformiteit van processen en gegevensverwerking binnen bedrijfsonderdelen heeft data vaak niet dezelfde betekenis of wordt deze verschillend geïnterpreteerd. Tevens wordt uniformiteit bemoeilijkt door gebruik van diverse systemen met verschillende inrichtingen.
  4. IAD’s starten vaak met auditspecifieke data-analytics oplossingen (zoals ACL, IDEA of zelfgemaakte applicaties). Deze oplossingen werken vaak prima binnen het internal-auditproces, maar geven een uitdaging om over te dragen naar de business (eerste en tweede line of defense). Het is dus ook van belang dat de keuze van de oplossing in de toekomst aansluit bij de behoefte van de business teneinde toegevoegde waarde te kunnen leveren en daarmee commitment en buy-in te realiseren.
  5. Het uiteindelijke doel van data-analyse is om inzicht te creëren en op basis van uitkomsten te sturen op verbetering. Hiervoor is inzicht en detaillering van rapportages op diverse niveaus noodzakelijk. Het kunnen oprollen van detailuitkomsten naar een KPI-rapportage is vereist om inzichten te creëren waarop gestuurd en geacteerd kan worden.
  6. Organisaties kijken kritisch naar de hoge investeringen voor de implementatie van data-analytics capabilities. Om door te groeien naar een meer volwassen data-analytics proces dienen investeringen te worden gedaan in zowel analysetools als resources en tijd om data-analytics vorm te geven en op te zetten. Meerdere IAD’s gaven aan mee te willen liften op business intelligence-initiatieven of ERP-implementatietrajecten om stappen te maken op  data-analytics binnen de IAD.

C-2014-2-Veld2-02

Figuur 2. Uitdagingen bij de implementatie van data-analytics.

Klantcasuïstiek

Tijdens de rondetafel heeft een internal-auditmanager van een Nederlandse multinational uiteengezet hoe data-analytics wordt toegepast en welke uitdagingen men daarbij is tegengekomen. Diepgang, maar met name omvang van gegevens zijn voor deze organisatie allesbepalende factoren. De data-analytics capabilities zijn als onderdeel van de internal-auditafdeling ingericht om de audit te ondersteunen met analyses op specifieke aandachtsgebieden en het onderzoeken van volledige databestanden.

Ontwikkelen integratielaag

Eén van de uitdagingen waar men bij de inrichting tegenaan liep, was de grote verscheidenheid aan systemen, waardoor het definiëren van geïntegreerde analyses een struikelblok vormde. Enerzijds speelde de verscheidenheid aan systemen een rol, anderzijds speelde de omvang van de data een rol. De simpele extractie van data naar een tussenlaag waarop de analyses plaatsvinden, vormt alleen al door de omvang van de data een uitdaging. Bij veel organisaties wordt dit opgelost door een integratielaag te ontwikkelen, waarin data vanuit de diverse systemen wordt geïnterpreteerd en vervolgens uniform kan worden vertaald naar een rapportageomgeving. Om deze integratielaag te kunnen ontwikkelen bleek direct het belang van de volgende noodzakelijke randvoorwaarden:

  • De technische skills om de data uit diverse systemen naar de integratielaag te vertalen.
  • De proceskennis om een uniforme betekenis aan data toe te kennen. Het vereist intensieve afstemming met de business om overeenstemming over de betekenis van data te hebben. Zodra er wordt getwijfeld aan de uitkomsten van analyses worden direct het vertrouwen en de toegevoegde waarde ondermijnd.
  • Het belang van proactieve afstemming met diverse actoren. Regelmatig worden wijzigingen aan applicaties doorgevoerd die het datamodel van de integratielaag raken. Hierdoor kan data onjuist worden of onbeschikbaar raken, waardoor achteraf reparatie nodig is.
  • Door de verscheidenheid aan systemen bleek het niet mogelijk om alle systemen te integreren. Er zijn bewuste keuzes gemaakt om te starten met enkele systemen en vandaaruit verder uit te bouwen.

Rapportageomgeving

De rapportageomgeving is opgezet met diverse analyses in de vorm van dashboards met drill-down mogelijkheden. Zodoende zijn managementrapportages met KPI’s beschikbaar gesteld die tevens de mogelijkheid bieden om op de onderliggende KPI-scores in te zoomen, alsmede op de geïdentificeerde uitzonderingen. Daarnaast zijn datasets gedefinieerd en beschikbaar gesteld om de gebruikers zelf analyses te laten uitvoeren om de support en acceptatie van de business te vergroten.

Benefits

De inrichting van de data-analytics omgeving heeft in deze klantcasus tot meerdere successen geleid:

  • Door de methodiek kan uniform over businessunits heen worden gerapporteerd. Hierdoor zijn businessunits onderling te vergelijken en te beoordelen, hetgeen performance improvement heeft gestimuleerd.
  • De beschikbaarheid van data-analytics en de kracht van de resultaten (fact-based) heeft naar toegenomen interesse en op meerdere gebieden tot de behoefte geleid om de data-analytics capabilities vanuit de business te beheren, teneinde meer ‘in control’ te zijn over de businessprocessen.
  • De data-analytics capabilities worden niet alleen ten behoeve van risicobeheersing uitgevoerd, maar hebben ook geresulteerd in performance improvement en kostenreductie van de cost of control (door gericht en remote onderzoek).
  • Vanuit auditperspectief wordt data-analytics ingezet in de auditplanning. Data-analytics wordt gericht toegepast om risicogebieden te identificeren (‘predictive area’s of risk’) en onderzoek (inclusief steekproeven) te bepalen. Deze risicogebieden worden tevens geïdentificeerd door analyses uit te voeren op een combinatie van factoren (‘truth tables’) die ongewenst zijn. Op basis daarvan worden de detailwerkzaamheden bepaald en uitgevoerd.

Uitdagingen en aandachtspunten

Tijdens de ontwikkeling van de data-analytics capabilities tot de huidige inrichting zijn de diverse actuele uitdagingen en lessons learned onderkend:

  • De skills van de resources zijn cruciaal in zowel de extractie als de vertaling, maar vooral in de interpretatie van data. Derhalve blijft de afhankelijkheid van enkele medewerkers relatief groot.
  • De data-analytics applicatie is specifiek ontwikkeld en vraagt het nodige onderhoud. Hierdoor is het een uitdaging om de opgebouwde omgeving onder te brengen bij de IT-organisatie.
  • De hoeveelheid datarecords vereist een juiste afstemming van datacapaciteit en kan beperkingen geven in tools qua performance.
  • Continue validatie van resultaten en identificeren van false positives is een belangrijk onderdeel van de werkzaamheden. De juistheid van (geïnterpreteerde) data blijft cruciaal.

Nu data-analytics zijn waarde binnen de organisatie heeft bewezen, ontstaat een discussie over de positie en ophanging van data-analytics binnen de organisatie. Diverse organisatieonderdelen willen de aanwezige capabilities verder uitbouwen. Het blijkt echter lastig om het beheer over te dragen en de benodigde skills zijn elders binnen de organisatie niet altijd aanwezig.

Samenvatting van de rondetafel

De rondetafel werd afgesloten met een korte samenvatting van de besproken onderwerpen. Hierin kwam naar voren dat ontwikkelingen in de technologie het mogelijk hebben gemaakt om op andere manieren naar data te kijken. Daar waar bijvoorbeeld jaarrekeningcontrole vanwege de omvang van de gegevens veelal steunt op beheersingsprocessen in de organisatie, wordt het nu mogelijk om weer gegevensgericht te gaan controleren. Het kan ons ook helpen om bepaalde transacties te selecteren voor nader onderzoek. Maar niet alleen in het kader van auditwerkzaamheden kan data-analytics een toegevoegde waarde leveren. Op basis van grote hoeveelheden transacties kunnen bijvoorbeeld marktverschuivingen in kaart worden gebracht, waardoor organisaties beter kunnen sturen en de performance van de organisatie kunnen verbeteren.

Door de verwerkingscapaciteit die tot onze beschikking staat, worden de grenzen bepaald door onze verbeelding. De discussies in de rondetafel en de klantcasus hebben aangetoond dat data-analytics succesvol kan worden toegepast op zeer grote hoeveelheden data, hetgeen inzichten oplevert die zonder data-analytics nooit zouden zijn onderkend. Het is echter wel zaak om de toepassing van data-analytics planmatig op te pakken teneinde ook de acceptatie binnen de organisatie te borgen. Elementen van deze planmatige aanpak zijn onder andere: klein beginnen en uitbouwen, proberen aan te haken op initiatieven binnen de business, kennis van bedrijfsprocessen en data combineren en zorg dragen voor een expliciete link met de IT-organisatie zodat data-analytics blijvend efficiënt kan worden uitgevoerd.