Business Intelligence: Beheers en deel

1 Inleiding

1.1 Afkortingen

AIS     : Accounting Information Systems
AO-IB  : Administratieve Organisatie – Interne Beheersing
BI       : Business Intelligence
BIV     : Bestuurlijke Informatie Voorziening
BPMS  : Business Process Management Systeem
BSC    : Balanced Scorecard
CG      : Corporate Governance
COSO  : The Committee of Sponsoring Organizations of the Treadway Commission
DAX    : Data Analysis Expressions
ERM    : Enterprise Risk Management
P&C    : Planning & Control
RM     : Risicomanagement
SOx    : Sarbanes Oxley Act
SSBI   : Self Service Business Intelligence
SWOT : Stength, Weakness, Opportunities, Threats
TQM    : Total Quality Management

1.2 Probleemstelling

Ik heb in een eerder stadium geconcludeerd om BI primair als communicatietool te gebruiken. Dit wijkt af van hoe in het algemeen tegen dit IT-product wordt aangekeken. Toch ben ik van mening dat een belangrijk succes kan worden behaald in die richting. Mensen opereren vaak vanuit de eigen positie, terwijl het ontwikkelen van een integraal perspectief, ook op het gebied van BI, leidt tot meer samenhang en betere prestaties.

Om mij technisch verder te bekwamen in Power BI heb ik een drietal boeken gekocht:

1. Russo & Ferrari: The definitive guide to DAX (2015, 1^e druk).
2. Alligton: Learn to write DAX (2016, 1^e druk).
3. Vlootman & Rozema: Handboek Power Pivot (2016, 1^e druk).

Het eerste boek kan worden gezien als hét theoretisch referentiekader. Los daarvan bewees Alberto Ferrari tijdens zijn presentatie over ‘Time Intelligence’, de materie met voldoende leuke praktijkvoorbeelden tot leven te brengen (1000G). Het derde boek, waarop ik werd gewezen door Rob Jouvenaar waarvoor dank, is toegankelijker omdat het in het Nederlands is geschreven. Naast een gedegen theoretische basis, worden tevens diverse onderwerpen op een praktische wijze belicht. Over de werking van Power BI wordt in § 6.10 Vernieuwen is de volgende tekst geschreven:

“De optie Vernieuwen ververst de actieve tabel. De import van de gegevens wordt opnieuw uitgevoerd, waarna de gegevens in de tabel worden vervangen. De optie Alles Vervangen doet dit proces voor alle importverbindingen die in het Power Pivot-model aanwezig zijn.

Power Pivot werkt met verbindingen naar externe bronnen. Power Pivot heeft geen open verbinding met de bronnen, maar legt wanneer je vernieuwt opnieuw de gevraagde verbinding. Daarbij worden de opgeslagen metagegevens, zoals namen van tabellen en kolommen vergeleken met de metagegevens van de bron. De metagegevens aan de kant van Power Pivot worden automatisch met het bestand opgeslagen en zijn voor de gebruiker niet aan te passen. Dat heeft consequenties als bijvoorbeeld namen aan de bronkant worden gewijzigd. Power Pivot zal dan het gehele proces van vernieuwing afbreken. Je kunt dan wel de overige tabellen, per tabel, vernieuwen. Werkt vernieuwen niet meer, dan valt er niets anders te doen dan de tabel in zijn geheel te verwijderen en vervolgens de tabel opnieuw te importeren.

Vernieuwen heeft als resultaat dat de tabel wordt vervangen. Gebruikelijk na een vernieuwing is dat het aantal rijen is gewijzigd. De aanpassing in de database worden immers gereflecteerd in de geïmporteerde tabel. Doordat het bereik van de berekeningen gericht is op de kolom of een tabel, hoeven berekeningen na de vernieuwing niet aangepast te worden.”

Bij mij gingen alarmbellen rinkelen toen ik dit las. Ik ben in mijn carrière tegen vaak tegen problemen met betrekking tot koppelingen tussen systemen aangelopen. Dat gaat terug tot 1995 toen ik de directeur van Nationale Nederlanden en een accountant van Deloitte wees op een ‘gat’ in de IT-structuur tussen het assurantiesysteem en het financiële systeem en gaat door tot een paar jaar geleden. Ik heb toen een oplossing geboden voor het probleem dat de aansluiting van volledigheid van omzetbepaling ontbrak, als gevolg van het ontbreken van de juiste toepassing van de uitgangspunten met betrekking tot AIS bij een grote partij in de branche.

De knelpunten bij veel organisaties in het kunnen leggen van verbanden, het zekerstellen van volledigheid en het kunnen uitvoeren van audit trails op gegevensstromen zijn genoegzaam bekend. Aangezien ik een relatief nieuwe Power BI-gebruiker ben, trad ik in contact met de Power BI-groep en legde ik dit probleem voor. Wederom zeer bruikbare van diverse ‘peers’ ontvangen en tevens waardevolle input gekregen van één van de twee schrijvers van het boek, Michiel Rozema; waarvoor aan allen dank. Het heeft er alle schijn van dat in Power BI niet automatisch een unieke controlewaarde wordt gegeven aan een ingelezen record. Tevens worden reeds ingelezen gegevens overschreven. Om dit te ondervangen, dient via het programmeren van Code in de programmeertaal ‘M’ per datamodel een aanvullend controlesysteem te worden opgebouwd. Wat niet in de dialoog met de anderen naar voren kwam is hoe de volledigheid van de informatiestromen als geheel binnen Power BI, via een volledige Audit Trail, kon worden geborgd. Het argument van SSBI is binnen die context lijkt niet relevant.

De noodzaak van die unieke identificatie in een systeem is evident. In een financieel systeem is sprake van een structuur waarin de waarden op die wijze traceerbaar zijn. Er ontstaat m.i. een probleem wanneer waarden worden ingelezen van bronnen waar die structuur ontbreekt en binnen het systeem die waarden, ingeval van een iteratief informatiseringproces, dus niet op volledigheid en integriteit te toetsen zijn.

In de Nederlandse Corporate Governance Code (NCGC) uit 2008 wordt in § 3 gesproken over de functie Interne Audit. Het is duidelijk dat door het ontbreken van essentiële instrumenten het invullen van deze rol ernstig wordt bemoeilijkt. De positie van de externe accountant is niet te benijden, want er zullen vele interne beheersmaatregelen moeten worden gedefinieerd en uitgevoerd om hem te overtuigen dat de informatiesystemen een getrouw beeld van de werkelijkheid geven? Ook commercieel kan dat tot vraagtekens leiden, door de arbeidsintensiteit om tot een waardeoordeel te komen. In § 5 van de NCGC komt de Financiële verslaglegging aan de orde. Het behoeft geen betoog dat ook op dat gebied een Bestuur van een organisatie in haar rol kan worden gecompromitteerd als gevolg van de ‘gaten’ die ontstaan wanneer toereikende interne beheersmaatregelen ontbreken.

Op basis van bovenstaande probleemstelling, ga ik in deze blog nader in op het verkennen van de samenhang tussen AIS, vroeger bekend onder de naam BIV en BI en waar mogelijk specifiek op Microsoft Power BI. Ik beoog daarmee niet volledig te zijn, voor zover dat al mogelijk is, maar eerder om bij te dragen aan de door mij noodzakelijk geachte dialoog tussen professionals uit meerdere vakgebieden. Voor AIS maak ik mede gebruik van het theoretische kader zoals dat in de volgende boeken is geformuleerd:

1. Vaassen c.s.: Hoofdlijnen Bestuurlijke Informatie Voorziening (2007, 5e Druk)
   [VMB].
2. Jans c.s.: Grondslagen AO (2007, 20e druk). [JA]
3. Romney & Steinbart: Accounting Information Systems (2005, 10^e druk). [RS]

Mocht bij de schema’s of andere verwijzingen niet specifiek iets zijn vermeld, dan slaat deze informatie terug op de bovengenoemde bronnen. Volgens mij leidt de confrontatie tussen bovengenoemde theorie en mijn huidige ervaring met Power BI op deelgebieden tot de conclusie dat er nog kritieke obstakels zijn te overwinnen om aan te sluiten bij compliance inzake CG en AIS. Wellicht dat geformuleerde bottlenecks als gevolg van de doorontwikkeling van dit systeem of een tekort van kennis zijn achterhaald. Ik nodig iedereen uit om te reageren Het doel van het verder bijdragen aan het ontwikkelen van Power BI blijft wat mij betreft leidend.

1.3 Gebied van verkenning

Ik wil in het vervolg van mijn verkenning ingaan op de probleemstelling in relatie tot het strategische besluitvormingsproces om over te gaan op BI. Dit kan op projectmatige basis met een projectmatrix zoals bijvoorbeeld worden uitgevoerd:

Schema 01.03.01: Project control matrix

Waar nodig kunnen nog tussenfasen in het project worden ingebouwd. Ter afbakening van de scope hanteer ik de volgende uitgangspunten:

• Een Accounting Information System (AIS) is een systeem dat gegevens verzamelt, vastlegt, bewaart, en verwerkt om informatie te leveren aan beslissers. [RS]
• Bestuurlijke Informatie Voorziening (BIV) zijn alle activiteiten met betrekking tot het systematisch verzamelen, vastleggen en verwerken van gegevens, gericht op het verstrekken van informatie ten behoeve van het besturen-in-engere zin (kiezen uit alternatieve mogelijkheden), het doen functioneren en het beheersen van een huishouding en ten behoeve van de verantwoordingen die daarover moeten worden afgelegd. [VMB]
• AIS wordt beschouwd als de meer IT-gerichte variant van BIV. [VMB]
• BI is het geheel van informatievoorziening ten behoeve van het sturen van een onderneming, zowel intern als extern [Van Dijk c.s.: Management informatie, 1998]
• Administratieve organisatie omvat het hele complex van organisatorische maatregelen dat direct of indirect betrekking heeft op de goede werking van de bestuurlijke informatievoorziening. [VMB]

Het is aan te raden om de kenmerken van Power BI voor strategische en operationele doelen in een matrix vast te leggen. Het MIS-Framework van Gorry en Scott Morton is daar een handig hulpmiddel voor. Onderdelen die daarin naar voren kunnen komen zijn: communicatie-entiteit, herkomst van gegevens, scope, informatieniveau, wederkerigheid, periodiciteit enzovoort.

De vastgestelde definities komen terug in de systeemcomponenten van het informatiesysteem waar Power BI een onderdeel van uitmaakt. Wanneer bijvoorbeeld gegevens worden binnengehaald van het internet, vervolgens worden bewerkt in een DataWareHouse en daarna worden ververst in Power BI, dan geldt vanuit het onderstaande schema telkens een bewerkingsslag; er zijn meerdere feedbackloops.

Schema 01.03.02: Systeemcomponenten van een informatiesysteem (Bron VMB)

In schema 01.03.03 zijn de gerealiseerde randvoorwaarden en uitvoeringsprotocollen verzameld onder ‘procedures’. De meeste mensen relateren dat aan technische zaken. Dat is zeker een belangrijk aspect van ‘compliance’, binnen interne beheersing.

Belangrijker vind ik echter het betere begrip van de gevolgen van het eigen handelen ten opzichte van anderen als basis, om in een breder verband met elkaar te willen en kunnen communiceren. Een goede sociale cohesie is noodzakelijk om complexe systemen zoals Power BI in te kunnen bedden in elke organisatie. Het zomaar verkeerd veranderen van een tabel in een bronsysteem kan verstrekkende gevolgen hebben, verder in het proces in Power BI, zoals later uit een voorbeeld zal blijken. Daar ligt voor de HRM-functie een vitale richtinggevende, en waar nodig sturende rol in onderdeel 9 van de projectmatrix in schema 01.03.01.

Schema 01.03.03: Grondpatroon van informatievoorziening (Bron VMB)

De bijdrage aan de opbouw van het grondpatroon van de informatievoorziening met betrekking tot Power BI vangt aan tijdens het maken van een strategische keuze over BI via een goed uitgewerkt BI-plan. De zaken die m.i. op het gebied van de interne bedrijfsprocessen in deelgebieden in de projectmatrix in ieder geval zijn uitgewerkt zijn:

1. Vaststelling van de ondersteuning van BI aan welke strategische doelen.
2. Vaststelling van regels (soft en hard) met betrekking tot de werking van Business Intelligence en specifiek voor Power BI.
3. Vaststelling van de communicatiestructuur en de te onderscheiden communicatie-entiteiten.
4. Vaststelling welke dashboards, rapporten, werkmappen en gegevensverzamelingen per communicatie-entiteit worden verlangd.
5. Vaststelling op hoofdlijnen per informatie-element, welke rij-contexten, selectie(query)-contexten en welke filtercontexten moeten worden ingezet om te kunnen komen tot de gewenste output.
6. Vaststelling van risico’s inzake Business Intelligence en voorstel risk-appetite en beheersmaatregelen.
7. Vaststelling bestaand Business Process Management Systeem (BPMS) met vigerende processchema’s. Vaststelling in welk procesdeel, welk BI-(beheers)element moet worden opgenomen. Tevens is hierin opgenomen of nieuwe processen in het BPMS moeten worden geïmplementeerd.
8. Vaststelling van de beheersstructuur van Power-BI. Dit is één van de huidige probleemstellingen.

2 BI en strategische besluitvorming

2.1 IT en de mens

In een periode waar sprake is van steeds verder doorgevoerde automatisering en robotisering, bepalen andere factoren het succes van een onderneming dan kortgeleden het geval was. Wanneer ik mensen zoals Robbert Dijkgraaf mag geloven, is het op korte termijn gedaan met het productieve leven van mensen. Wat mij vaak opvalt is dat binnen die context relatief weinig aandacht wordt besteed aan de gevolgen van een tekort aan beheersing in die wereld van artificial intelligence. In het programma Tegenlicht is aandacht besteed aan het crashen van een beurs. Hierna kon niemand een logische verklaring geven voor de oorzaken, laat staan dat een oplossing werd geboden om het in de toekomst te voorkomen. Dit is maar één van de vele voorbeelden. Toch wordt het debat gedomineerd door mensen die voorstaan dat alle problemen en uitdagingen met technologische ontwikkeling zijn op te lossen. Regelmatig geeft de praktijk een ander beeld.

In 1999 ontstond, onder meer bij accountants, de gedachte om te werken aan een standaard voor de ontsluiting van informatie uit financiële systemen. XBRL bood, door standaardisatie in de vorm van een taxonomie, de mogelijkheid om grote efficiencywinsten te behalen. Een buitenstaander zou denken dat iedereen dit initiatief direct zou omarmen en dat de implementatie binnen circa drie jaar zou zijn gerealiseerd. De praktijk bleek toch weerbarstiger. Pas sinds de afgelopen jaren begint SBR – de Nederlandse equivalent van XBRL – langzaam maar zeker door te dringen in alle geledingen van onze maatschappij. De kritiek die thans vaak wordt gehoord, is dat er te veel taxonomieën zijn, waardoor de standaardisatie in het gedrang komt. Over circa twee jaar is het twee decennia geleden dat het eerste model van XBRL werd gepresenteerd. Ook conservatieve belangen blijken van invloed te zijn op het succes van een technologische ontwikkeling.

Feit is dat automatisering heeft geleid tot een snellere beschikbaarheid van data, zowel binnen als buiten de organisatie. Vanuit ‘control’ mag ik misschien kritisch aankijken tegen de huidige versie van Power BI, maar vanuit een breder perspectief, is het gebruik van BI wat mij betreft een ‘never ending love affair’. De winsten die kunnen worden behaald zijn legio, zoals bijvoorbeeld veel minder verbruik van natuurlijke bronnen, meer samenhang en daardoor begrip en bovenal de mogelijkheid van het behalen van grote strategische voordelen bij een beter inzicht in toekomstige ontwikkeling dan anderen hebben. Ik denk bijvoorbeeld aan de intelligentie van Google. In ieder geval stimuleert het mij om nog beter gestructureerd en meer diepgaand na te denken over informatie. Wanneer ik weet bij te dragen aan de opbouw van een dashboard waaraan meerdere disciplines hebben bijgedragen en begrijpen wat nodig is voor effectieve en veilige besluitvorming, ben ik al een beetje in mijn opzet geslaagd.

In BI zal m.i. op termijn steeds meer worden gewerkt met standaard templates waardoor mensen steeds minder zelf hoeven te bouwen. Op dat vlak ligt thans nog veel werk bij het Bestuur, het management en de gebruiker zelf. De invloed van de mens is nog steeds doorslaggevend. Juist de factor mens wil ik hier extra belichten. Het artikel van Etienne Jager & Werner Bruggeman biedt bij het strategisch proces hulpmiddelen die aansluiten op het door mij gepropageerde uitgangspunt dat de zachte kant van de strategievorming moeten zijn geborgd. De genoemde vijf stappen zijn prima in te bedden in het strategie vormingsproces voor Power BI. Wie is bijvoorbeeld de dominante coalitie? Hoe wordt gerealiseerd dat de hele organisatie emotioneel eigenaar wordt van Power BI? Tevens wordt in het artikel van Ewald Breunesse en Michiel de Vries aandacht aan dit onderwerp besteed. De figuur van strategische control lemniscaat geeft in dit verband aanvullende inzichten. Breed gedragen strategische veranderingen is niet iets wat je erbij doet. Ik zie het als een structureel itererend proces waarbij de hele organisatie wordt uitgedaagd om binnen de eigen werkingssfeer, invloed uit te oefenen op de strategische keuzes en de operationele vormgeving. Dit geldt ook voor Power BI. Dit systeem verdient niet alleen een kritische beoordeling maar zeker ook de strategische sponsoring om het tot een succes te maken. Het implementeren van een BI-systeem zonder dat de mensen het willen is m.i. zinloos.

2.2 Strategische IT-modellen

Goede uitleg van de werking van een strategische IT-model in relatie tot het toekomstig gebruik van Power BI, zal hoogstwaarschijnlijk de drempel van weerstand verlagen. Door het accent op de voordelen van de organisatie én de gebruiker te richten, wordt tevens bijgedragen aan de snelle adaptie van Power BI. Op Corporate niveau betreft dit met name de concurrentievoordelen die met Power BI kunnen worden behaald via de verbetering van kerncompetenties en dus de continuïteitsversterking van de organisatie als ook de eigen employability. Meer individueel gericht denk ik specifiek aan zaken als: wie is het beste in staat om de inhoud en de vorm van de grafieken en tabellen te bepalen? Wie beoordeelt wat voor soort contexten moeten worden gehanteerd, enzovoort? Daarenboven draagt een persoonlijke overtuiging van een medewerker, om te willen bijdragen aan bestaande en nieuwe waardevolle doelstellingen met betrekking tot BI, ook bij aan de collectieve kracht van Power BI.

Het lijkt mij verstandig om aan te sluiten bij de algemene bedrijfsvoering middels het gebruik van succesvolle modellen voor het ontwikkelen van een IT-strategie. Twee veel gebruikte modellen zijn: het ‘Strategic Alignment Model van Henderson en Venkatraman en het ‘Generic Framework for Information Management’ van Maes.

Schema 02.02.01: Modellen ontwikkelen IT-strategie

Elke model dat echter aansluit bij de rest van de gebruikte modellen in de organisatie en bijdraagt aan het succes van het behalen van de strategische en operationele doelen van BI kan van toepassing zijn.

2.3 SWOT-analyse

Sinds de introductie van Power BI zijn in de media diverse publicaties verschenen. Ik heb voor mijn verkenning onder meer de volgende doorgenomen: PC Magazine, Yurbi, Softwareadvice, Financesonline, Computerworld, CRMsearch en Skillsmatter. Daarnaast heb ik mijn eigen bevindingen ook verwerkt in de onderstaande matrix. Voor elke organisatie kan de invloedsfactor van een van de onderdelen lichter of zwaarder wegen. Dientengevolge heb ik geen confrontatiematrix opgesteld. Het voordeel met dit instrument is dat snel inzicht wordt verkregen waar kansen en bedreigingen liggen.

Schema 02.03.01: SWOT-analyse

2.4 Benchmarking

Gedurende het strategisch besluitvormingsproces wordt vaak gebruik gemaakt van benchmarking. Binnen Power BI bestaat de mogelijk om gegevens te koppelen aan internetpagina’s. Op die wijze kan gebruikt worden gemaakt van benchmarks. Niets is echter zo vluchtig als de inhoud op het internet. Een voorbeeld is Wikipedia. Wikipedia maakt gebruikt van een streng protocol met betrekking tot de vastlegging van gegevens. Het voordeel hiervan is dat de koppeling tussen Wikipedia en Power BI in stand blijft tijdens het verversen. De inhoud kan echter volledig anders zijn dan bij de vorige handeling van verversen zijn. Er ontstaat een nieuwe realiteit ten opzichte van de vorige, terwijl die, bij het ontbreken van de feedbackloop, niet door het Bestuur wordt gepercipieerd. Deze ruimte voor het kunnen leveren van verkeerde informatie, ook als dat niet moedwillig is, beschouw ik ook voor strategische besluitvorming als een aanzienlijk te mitigeren risico zowel in de strategische besluitvorming als in het reguliere informatiseringsproces.

Automatisering is er om de mens te helpen! Daarom behoort, mede in het kader van het kunnen uitvoeren van een audit trail binnen Power BI, een unieke controlewaarde per record te worden gegenereerd. Bij het opnieuw verversen wordt op basis van de BETA-formule – later ga ik dieper op in op deze formule – vastgesteld wat de toe te kennen controlewaarde is. Deze functionaliteit hoort m.i. standaard ingebouwd te zijn in elk BI-systeem, in plaats van dat het apart dient te worden geprogrammeerd.

Wat tevens gedurende de fase van initiatief naar haalbaarheid voor een BI-systeem kan worden meegenomen, is het instellen van toereikende beheerinstrumenten waarmee de prestaties van de diverse AIS, waaronder bijvoorbeeld Power BI, kan worden getoetst en bijgestuurd. Ik plaats dat bewust in een breder perspectief omdat diverse systemen met elkaar moeten kunnen communiceren inzake monitoring.

Omdat specifieke kennis van BI binnen veel organisaties ontbreekt, wordt regelmatig aan dit onderdeel in deze fase te weinig aandacht besteed. Ik zou zo vroeg mogelijk gebruik maken van specifieke kennis van onder meer BI-specialisten om via een volwassenheidsscan te beoordelen of beoogde strategische BI-doelen haalbaar zijn en instrumenten kunnen worden geïmplementeerd in bestaande managementsystemen of dat ook daar aanvullende investeringen nodig zijn om de werking van onder meer Power BI goed te kunnen monitoren. Goede kennis en begrip van de meetwaarden van de best practices en het kunnen overzien, vooral op bestuurlijk niveau, van de gevolgen van de eigen aspiraties om die standaard te halen is naar mijn overtuiging een kritieke succesfactor.

Heel concreet is het voorbeeld dat in een BPMS een dimensie van op te leveren output bestaat die is gekoppeld met Power BI, als ook strategische KPI’s over de werking van Power BI zelf. Hiermee kan, wanneer systemen bij zijn, heel snel inzicht worden verkregen in de prestaties op beide onderdelen.

3 BI en beheersing

3.1 Soft controls

De ontwikkeling in de automatisering van de afgelopen 30 jaar heeft verstrekkende sociale gevolgen gehad. Veel jonge mensen kijken je bijvoorbeeld niet meer direct aan, maar kijken naar het beeldscherm van hun telefoon, immers is de continu stroom aan informatie in apps, iets waar zij van jongs af aan, aan gewend zijn geraakt om te verwerken. Waar we in het privédomein nog maar heel kort de effecten van social-media kunnen meten, speelt dat in de zakelijke omgeving al langer.

Sinds de introductie van de Personal Computer en netwerken zijn we mondiaal in een IT-achtbaan gestapt waar we nog lang niet uit zijn. Is bij iedereen wel het stoeltje goed vastgeklikt? Want wanneer je op je kop hangt en je het gevoel hebt dat je op elk moment uit het stoeltje kunt vallen, dan gaat het waarschijnlijk niet helemaal zoals gewenst. Voldoende mensen herkennen zich denk ik in deze metafoor. Over de overheid komt steeds meer naar buiten, dat aanzienlijke maatschappelijke waarde verloren is gegaan door mislukte IT-projecten, zoals bij de politie. Wat daaruit is gebleken is dat een gezonde balans tussen daadkracht van de leiding en draagkracht/draagvlak van de organisatie en de afstemming tussen beide moet hebben ontbroken; de CG was niet toereikend ingebed.

Om meerdere redenen vertrek ik vanuit CG. Ten eerste zijn er diverse toets kaders waaraan goed bestuur moet voldoen. Voorts bestaan er diverse instrumenten, waaronder het in 2004 geïntroduceerde COSO-ERM-model waarmee CG kan worden vormgegeven en waarmee een accountant kan toetsen of een getrouw beeld van de werkelijkheid kan worden bepaald en dus een goedkeurende verklaring voor een jaarrekening kan worden afgegeven.

Schema 03.01.01: van het COSO-model naar het COSO-ERM

Tenslotte wordt op basis van goede CG steeds beter en sneller met stakeholders gecommuniceerd. Er zijn vele modellen ontwikkeld waarin onder meer de zachte kant van de omgeving is verwerkt en als hulpmiddel kunnen worden ingezet. Ik denk hierbij onder meer aan TQM, BSC, Management Control -Simons, Belbin en tenslotte het reeds gememoreerde COSO-ERM-model.

CG bestaat uit twee pijlers, te weten risicomanagement en interne beheersing (internal control). Ik zou voor de invulling van soft controls daarom kiezen voor het gebruik van het model COSO-ERM in combinatie met specifieke modellen zoals onder meer Belbin voor bijvoorbeeld teamleren. Deze modellen kunnen op diverse momenten in de planning en control cyclus als instrument worden ingezet om te toetsen of wordt voldaan aan de strategische en operationele verwachtingen.

Tenslotte wordt op basis van CG steeds beter en sneller met stakeholders gecommuniceerd. Er zijn vele modellen ontwikkeld waarin de zachte kant van de omgeving een prominente rol speelt en hierin als hulpmiddel kunnen worden ingezet. Ik denk hierbij onder meer aan TQM, BSC, Management Control -Simons, Belbin en tenslotte het reeds gememoreerde COSO-ERM-model.

CG bestaat uit twee pijlers, te weten risicomanagement en interne beheersing (internal control). Ik zou voor de invulling van soft controls daarom kiezen voor het gebruik van het model COSO-ERM in combinatie met specifieke modellen zoals onder meer Belbin voor bijvoorbeeld teamleren. Deze modellen kunnen op diverse momenten in de planning en control cyclus als instrument worden ingezet om te toetsen of wordt voldaan aan de strategische en operationele verwachtingen.

Schema 03.01.02: Model Soft Controls in te zetten voor BI

In het geval van de implementatie van Power BI in een organisatie richt ik mij in dit kader op drie specifieke aspecten: daadkracht, draagvlak en draagkracht.

3.1.1 Daadkracht

Het bestuur van een organisatie besluit om Power BI toe te willen voegen aan haar software-systemen. In principe begint dit project met de fase ‘initiatief’ waarin deze ambitie wordt geformaliseerd. Deze besluitvorming is vaak gebaseerd op grofmazige uitgangspunten. Ik wijk daar, in het belang van het resultaat, in de project-matrix soms van af. In de volgende fase wordt de opdracht gedelegeerd aan lagere echelons in de organisatie om te onderzoeken of het kans van slagen heeft. In beide fasen vind ik daadkracht in combinatie met BI een belangrijk element om mee te nemen in de verkenning. Wanneer een organisatie net drie zware reorganisaties achter de rug heeft, is de vraag gelegitimeerd of de mensen op korte termijn, zonder steun, in staat zullen zijn om opnieuw energie te genereren voor een nieuw veranderproces bij de implementatie van Power BI. Wanneer gedwongen door de marktontwikkelingen dit niet anders kan, ontstaat er nog meer noodzaak voor een goede daadkracht. Zijn in elke fase bij alle stakeholders, waaronder het personeel, visie en doelen duidelijk en heeft de leiding van de organisatie voldoende aandacht besteed aan het absorptievermogen van de organisatie om het veranderproces van de implementatie van Power BI goed vorm te geven?

Zaken kunnen worden getoetst; ik denk daarbij onder meer aan:

• Recent onafhankelijke medewerkertevredenheidonderzoek met betrekking tot de werking van huidige en verwachte toekomstige systemen.
• Onafhankelijk onderzoek naar inzichten binnen de organisatie over de werking van BI-systemen.
• Inzicht in verrichte werkzaamheden door de leiding om de organisatie enthousiast en reeds kundig te krijgen voor de implementatie van Power BI.

Alleen al met het antwoord op deze drie vragen, ontstaat een eerste indruk of er breed gedragen weerstand bestaat of dat de juiste daadkracht door het bestuur is ingezet. Ik pleit ervoor om de HRM-functie een prominente rol te geven om noodzakelijke instrumenten in te zetten voor een verantwoordingsrapport inzake daadkracht. Middels een goed inzicht kan in diverse fasen van het veranderproject een gedegen onafhankelijke uitspraak over dit onderdeel worden gedaan.

3.1.2 Draagvlak en draagkracht

Het doel van het creëren van draagvlak voor Power BI is om de neuzen in dezelfde richting te krijgen. Het verandermanagement kan zich richten op het onderbouwen van de noodzaak, de voordelen van Power BI, het weghalen van angsten via bijvoorbeeld opleiding en op de wijze waarop de implementatie van Power BI redelijkerwijs zal worden uitgevoerd. Dit zijn mogelijke instrumenten om steun te verkrijgen voor de implementatie van Power BI.

Meer specifiek communiceert het Bestuur en de projectleiding met betrokken stakeholders en is zich bewust van de noodzaak om de verhoudingen optimaal te houden. Aan ambassadeurs, die veelal respect en draagvlak hebben, kan een prominente rol worden toegewezen. Het heeft de voorkeur om deze mensen al vroeg in het project te betrekken en hen te helpen om hun kunde van Power BI te verdiepen. Een ander aspect is om de structuur vanuit de gehele bedrijfsvoering in te richten maar de implementatie te starten met kleine projecten die succesvol worden afgerond. Al snel worden collega’s positief nieuwsgierig wanneer het eerste team vol trots de goede resultaten van hun werk met Power BI kunnen laten zien. Tevens heeft het natuurlijk proces van het maken van fouten niet direct een groot gevolg.

Waar ik ook bij stil sta, is om die draagkracht over de afdelingen heen te ontwikkelen. Juist met Power BI kun je nog veel makkelijker integrale analyses uitvoeren op diverse onderdelen. Het lijkt m.i. wenselijk om beperkende afdelingsculturen tegen te gaan, door mensen zich bewust te maken van wie informatieklanten zijn en wat zij wensen en wat nodig is in de formulering van de diverse ‘contexten’ binnen Power BI, om tot de gewenste informatie te komen. Integraal samenwerken is het devies.

Net zoals bij daadkracht, kan ook hier de adviesrol en coördinatie rol van de HRM-functie veel bijdragen aan een gedegen besluitvorming over soft controls in combinatie met Power BI.

3.2 Hard controls

In de verdere hoofdstukken worden hard controls op onderdelen nader uitgewerkt. Ook hier geldt dat de inzet van deze instrumenten afhankelijk is van de bestaande kwaliteit van de ao-ib.

4 BI en communicatie

Besluiten worden genomen in communicatie-entiteiten. Het doel in dit hoofdstuk is om bij te dragen tot het inzicht, om een structuur op te bouwen die opgenomen kan worden in de matrix voor de opzet van een BI-systeem. Ik ga daarbij uit van het reeds bestaan van een goede communicatiestructuur binnen een organisatie. Indien deze er niet is, ontbreekt naar mijn mening de basis voor informatieallocatie vanuit Power BI.

Binnen elke communicatie-entiteit is een functionaris verantwoordelijk voor de besluitvorming waartoe dit orgaan is bevoegd. In het BI-rapport wordt een matrix opgenomen waarin per entiteit is vastgelegd welke informatie-onderdelen uit Power BI, zie volgende §, aan hen met welke frequentie moeten worden opgeleverd. Hiermee wordt de ‘root’ van de AIS voor Power BI opgebouwd.

Schema 04.04.01: Mogelijke structuur van communicatie-entiteiten

Per communicatie-entiteit is het aan te raden om vast te leggen wie de doelgroepen zijn, welke communicatiemiddelen door wie op welk moment worden gebruikt enzovoort. Het spreekt voor zich dat elke actie van een communicatie-entiteit onderdeel uitmaakt van een proces. Voor elk input- en outputwaarde dat van doen heeft met het informatie-element van de communicatie-entiteit in relatie tot Power BI, wordt in het BPMS een dimensie communicatie-entiteit en BI-informatie-element ingericht. Op basis van deze indeling kan specifiek inzicht worden verkregen in welke processen welke communicatie-entiteiten, welke informatie-elementen met welke input en output nodig hebben. In de database van deze proces-elementen worden de diverse normen, en andere eisen gekoppeld.

5 Dashboards, rapporten , werkmappen en gegevensverzamelingen (databases)

In het Handboek Power Pivot van Vlootman en Rozema wordt de onderstaande structuur van Power BI beschreven. Daarbij moet worden aangetekend dat Power BI een product is dat sterk in ontwikkeling is en de functionaliteit in de komende tijd door Microsoft ongetwijfeld verder zal worden uitgebreid:

• Power BI Service is het cloud platform op powerbi.com.
• Power BI Desktop is het system waarmee BI-oplossingen worden gemaakt.
• Power BI Apps is het systeem waarmee op devices de dashboards en rapporten kunnen worden benaderd.

Via Service kunnen Power BI-oplossingen worden gedeeld met anderen via onder meer dashboards. In feite komt het erop neer dat iedereen in de cloud zit op een website van Microsoft. In Service kunnen de oplossingen uit Desktop worden geladen. Elke oplossing kan bestaan uit de objecten dashboard, rapporten, werkmappen en gegevenssets (= verzamelde databases = datamodel in Desktop).

Voor het bouwen van een oplossing in Power BI heb je inzicht nodig in het verband tussen de organisatie en informatie. Onderstaand is een voorbeeld van zo een structuur:

Schema 05.05.01: Verband organisatie en informatie (bron VMB)

De onderdelen van bovenstaande schema zullen terugkomen in de uitwerking van een BPMS. De matrix voor de inrichting van het Power BI-systeem kan thans als volgt worden opgebouwd:

• Communicatie-entiteit.
• Gewenst informatie-element (een informatie-element op een pagina van een rapport in Desktop of direct in Service).
• Proces
• Procesonderdeel (hierin zitten organisatieonderdelen verwerkt).
• Interne informatie of externe informatie.
• Informatiefunctie
• Dashboard (uitgangspunt is één dashboard per proces).
• Wertkmap
• Gegevens set = Datamodel).
• Databases (dit zijn zowel de brondatabases als eventueel verdere verwerking in DWH).

Het laatste onderdeel is voor het leesgemak samengevat onder de naam databases. In de operationele uitwerking ligt het voor de hand om dit per mutatieslag te splitsen, omdat via het gebruik van de BETA-formules: beginwaarde toestandsgrootheid (B) -/- eindwaarde toestandsgrootheid € + toename voorraad binnen toestandsgrootheid (T) = afname voorraad binnen toestandsgrootheid de verbanden kunnen worden gelegd. Dit is binnen Power BI minstens evenzo belangrijk op het moment dat gebruik wordt gemaakt van ‘metingen’ waarmee aanpassingen op de gekoppelde waarden worden berekend om uiteindelijk te kunnen komen tot de gewenste waarde in het informatie-element. Uiteindelijk kan elke rij in een database worden beschouwd als een record dat vanaf de brondatabase tot uiteindelijk in Power BI te volgen en te toetsen is. Feitelijk krijgt het telkens een nieuwe status mee na elke overgang. Op dit moment is daar binnen Power BI geen sprake van omdat de bestaande rijen worden overschreven. Hierdoor kan de BETA-formule niet worden toegepast.

6 BI en het vaststellen op hoofdlijnen van contexten per informatie-element

Nadat de noodzakelijke beheersingsmaatregelen zijn geborgd, is het aan te bevelen, indien mogelijk, de contexten van de visualisaties in het stadium van initiatief naar haalbaarheid al te beschrijven. Een visualisatie in Power BI is de uitkomst van de vastgestelde definitie – output en datamodel – en alle tussenstappen die tot het gewenste resultaat leiden. Dat geheel van berekenen wordt in Power BI de context genoemd. Deze context wordt in drie onderdelen onderscheiden:

1. Rijcontext
2. Selectiecontext (querycontext).
3. Filtercontext

Een rij-context betekent dat in een tabel de berekening over een rij gaat. Per rij wordt een unieke waarde van die kolom berekend. In Power BI kan gebruik worden gemaakt van deze berekeningen.

In een draaitabel in Excel kunnen op diverse niveaus filters worden ingebracht door rij-labels, kolom-labels en slicers. In Power BI heet deze manier van berekenen de selectiecontext (querycontext).

De berekeningsmethode van beide bovenstaande contexten kan deels of volledig worden overruled door middel van het schrijven van DAX-Code. Dit is de filtercontext. Dit is een ijzersterke functie binnen Power BI maar het vereist ook een gedegen kennis van DAX en het kunnen overzien van de gevolgen van het schrijven van Code. Het risico van verkeerd gebruik van de filtercontext kan hoog zijn. Het kan daardoor redelijk snel op gespannen voet komen te staan met het SSBI-concept, zoals ook uit het volgende artikel in de Computable blijkt.

Het is daarom aan te bevelen om per informatie-element, de diverse in te zetten contexten te beschrijven en waar nodig normerend te specificeren. Voordat uiteindelijk een omgeving in Power BI gebouwd kan worden, behoort het toetsingskader waar de contexten essentieel onderdeel van uitmaken, vastgesteld te zijn. Anders kan de controlerende rol niet worden uitgevoerd. Dat deze controlerende rol in de vorm van een gesloten geautomatiseerd proces in de programmatuur van Power BI wordt uitgevoerd, ligt uit oogpunt van efficiency voor de hand. Ontbreekt dit alles, dan wordt m.i. een interne auditor en een controlerende accountant opgezadeld met een extreem grote hoeveelheid te controleren informatie-onderdelen.

7 BI en RM

7.1 Algemeen

RM is een van de pijlers van CG. Mede ingegeven door schandalen en SOx heeft de ontwikkeling van RM na het jaar 2002 een enorme vlucht vooruit, bij beursgenoteerde ondernemingen, genomen. Minstens evenzo belangrijk was de ontwikkeling van het COSO-model. In eerste instantie bij de eerste publicatie in 1992 was het meer een instrument voor interne beheersing, maar bij de publicatie van de COSO-ERM-variant in 2004 werd RM als prominent onderdeel in het model opgenomen. Vanaf die datum heeft de implementatie veel moeite gekost bij grote organisaties maar de algemene teneur was, dat CFO’s per saldo duidelijk aanwijsbare voordelen hebben gehaald uit het ontwikkelen van risicomanagement.

Wat ik medio 2011 heb onderkend was dat RM-systemen vooral heel duur waren en het dus vaak niet was weggelegd voor MKB-bedrijven. Ik heb medio 2012 een studie naar dit managementgebied gedaan en ik heb indertijd uiteindelijk twee instrumenten ontwikkeld. Het eerste instrument ging uit van de structuur van het COSO-ERM-model. Per onderdeel werd inzicht verkregen in de strategische risicopositie. Op basis van deze analyse konden prioriteiten worden gesteld in het maken van beleid. Inmiddels heb ik dit instrument doorontwikkeld naar een oplossing in Power BI (zie: www.simbula.org).

Waar het eerste instrument een top-down karakter had, was het tweede instrument vooral gericht op het mobiliseren en ontwikkelen van kritisch vermogen van de organisatie, waar mogelijke risico’s met welke gevolgen zich voor konden doen. Graag wil ik daarbij aantekenen dat in de beeldvorming van veel mensen een risico wordt gezien als een gevaar. Een risico is echter ook een kans die niet wordt benut. De SWOT-analyse is het geëigende instrument om hierin inzicht te verkrijgen.

Juist dat tweede instrument past bij het MKB. Veel mensen die operationeel gericht zijn en graag knelpunten snel willen oplossen kunnen uit de voeten met dit soort laagdrempelige hulpmiddelen. Op zich hoeft de organisatie van verzamelen, communiceren en mitigeren van gesignaleerde risico’s ook geen probleem te vormen mits sprake is van voldoende daadkracht en draagkracht. Hier komt echter een theoretische adder onder het gras vandaan. De theorie zegt namelijk dat RM op basis van ‘3 lines of defence’ wordt georganiseerd. 1: operationeel management en internal controls 2: riskmanagement, compliance en overige 3: interne en externe audits. Op zich is dit misschien een logische gedachte maar hoeveel mensen maken onderdeel uit van het operationeel management? In een MKB-organisatie zijn dat er niet zoveel op het totaal maar in een grotere organisatie in dat percentage bijna altijd nog veel lager. De managers staan vaak onder druk van andere prioriteitsstellingen dan alleen RM. In hoeverre een goede invulling van RM in relatie tot de medewerkers echt tot stand komt valt dan nog maar te bezien. Onderstaand een case uit de praktijk:

Een manager is verantwoordelijk voor een unit van ± 75 mensen. Binnen de groep van mensen is al sprake van een onthechting met zijn leiderschap, wat een groot risico op zich is. Tevens is sprake van een zwakke bestuurder die hem de hand boven het hoofd houdt, vorming van sub optimalisatie, hoog verloop van teamleiders die onder hem vallen en weinig onderling vertrouwen. De teamleider van de afdeling planning & control geeft een medewerker opdracht om een notitie te schijven over het proces van RM. De teamleider zendt de door Concern Control aan hem opgeleverde onderliggende stukken door naar de medewerker. Voordat het advies wordt opgeleverd, laat de medewerker het stuk door competente collega’s screenen. Aldus wordt het advies aan de teamleider planning & control opgeleverd met het verzoek om het te kunnen bespreken.

Enige tijd verstrijkt en een reactie van de teamleider blijft uit. De medewerker vraagt aan de teamleider of hij nog naar het document heeft gekeken: hij zou erop terugkomen. Twee weken later voltrekt zich hetzelfde ritueel. Je raadt het al: de medewerker heeft nooit meer iets van de teamleider gehoord. Wellicht had de medewerker direct naar Concern-Control kun gaan maar dat gaat gepaard met heel veel risico’s in een omgeving waar wantrouwen troef is.

De conclusie is dat de organisatie van RM niet juist is opgezet. Medewerkers hadden als eerste line of defence moesten worden gekwalificeerd en niet alleen het management. Tevens behoorde in het kader van onafhankelijkheid de bevindingen van de medewerkers primair met de staffunctie te worden gedeeld, in plaats van met de lijnfunctie. Nu werd er jaarlijks een invulexercitie gedurende de planningsfase en realisatiefase uitgevoerd door de leidinggevende van de unit. Een groot deel van de mensen werd niet gehoord maar op papier was alles in orde met risicomanagement. De accountant zet zijn handtekening er ook onder, immers was aan het proces voldaan. Hoe krijg je het voor elkaar om onderweg mensen emotioneel kwijt te raken? Doe het op deze manier!

Het is een voorbeeld dat iedereen functioneel betrokken moet worden bij RM. Daarin past niet een besluitvormingsproces over RM tussen ongeveer 5% van de mensen in de organisatie.

7.2 Power BI en RM

In § 1.3 is al het grondpatroon van informatievoorziening aan de orde geweest. Met de vergaarde kennis heb ik dit schema in relatie tot Power BI als volgt verder uitgewerkt:

Schema 07.02.01: Netwerk van controleverbanden en Power BI

Een informatie-element is op de pagina in Power BI dus een visualisatie in de vorm van een tabel of een grafiek. Zeker in een wat complexer proces van informatiebepaling, moeten vele stappen worden gezet om tot de gewenste informatie te komen.

Power BI biedt de gebruiker een hoge mate van vrijheid om het systeem naar eigen believen in te richten – denk daarbij bijvoorbeeld aan de creatie van nieuwe contexten -. Hierdoor kan, uit oogpunt van beheersing van het proces, gedurende het ontwikkeltraject een veelheid aan mogelijke knelpunten ontstaan, indien niet voldoende maatregelen zijn genomen om dit te voorkomen.

In bovenstaand schema zijn expres de diverse databases rood gearceerd. Zolang niet geborgd is dat de verbanden niet alleen kunnen worden aangetoond maar ook kunnen worden bewaard – waarover zo meer – is sprake van een groot risico. Wellicht dat het volgende voorbeeld het bestaan van dit risico verduidelijkt: Er is sprake van een brontabel Financiën. In die brontabel staat een volgnummer, een datum, een grootboekrekening, een bedrag en een kleurcode. Tevens is sprake van een brontabel van Kleuren. In deze brontabel staat een unieke kleurcode vermeld en de omschrijving van de kleur. Beide tabellen zijn ingebracht in Power BI en via een relatie is een verband tussen beide tabellen gelegd. Hiermee kan een selectiecontext worden uitgevoerd op de omzet per kleuromschrijving. Als gevolg van nog wat specifiekere analyses is tevens DAX-Code in Power-BI geschreven waarmee diverse kleuren via een vertaalslag anders worden gegroepeerd. Dit vormt de basis voor een andere dimensie. Dit is een filtercontext. De twee tabellen van periode 1 zijn:

Schema 07.02.02: Tabellen periode 2017-01

Na periode 1 worden de tabellen in Power BI ververst. De programmatuur doet zijn werk en de diverse visualisaties worden geleverd aan de vastgestelde informatieklanten. Gedurende periode 2 maakt een medewerker een fout door de omschrijving van een kleur in het bronsysteem aan te passen. Ik hoor iedereen al roepen dat de ao-ib dan beter op orde moet zijn. Dan ga ik nog een stap verder. Vele systemen worden ongeacht vermeend goed werkende ao-ib, gehackt; een ongewenste externe bron heeft de omschrijving aangepast.

Na periode 2 worden de gegevens ververst. Het moment van verversen in Power BI is kritiek want de gegevens waarover in periode 1 is besloten, worden overschreven. Uit wat is beschreven in het handboek Power Pivot en de gevoerde dialoog in de LinkedIn-groep Power-BI hieromtrent, betekent dit dat de set van data op basis waarvan in periode 1 besluitvorming heeft plaatsgevonden, daarna niet meer in Power BI in die vorm aanwezig is. De bewarende functie wordt binnen Power BI overgeslagen mits ook hiervoor uitgebreide Code is geschreven. Dit vormt op zich een aanzienlijk risico zoals in deze analyse later zal blijken.

Stel dat periode 1 de kleurentabel bestond uit drie kleuren, te weten blauw, bruin en groen. Op basis van de eerste letter van de omschrijving wordt vervolgens via DAX-Code een nieuwe dimensie aangemaakt. Op basis van die nieuwe dimensie worden nieuwe berekeningen gemaakt. In periode 1 heb je twee letters ‘B’ en ‘G’. Stel dat in periode 2 de omschrijving van Bruin onterecht is veranderd in Gifgroen. Nog steeds bestaan de twee genoemde dimensies, maar de verhoudingen in de verdere berekening zijn geheel anders. De gegevens zijn niet meer integer. De betrokkenen baseren hun keuzes op niet vergelijkbare informatie.

Schema 07.02.03: Tabellen periode 2017-02

Ook anderen hebben het ontbreken van de automatische beheersing als functionaliteit bevestigd. In de discussie is regelmatig het argument gehanteerd dat dit in een DWH moet worden opgelost. Dit is een interessante stelling. Moet een BI-systeem zodanig zijn opgezet dan, binnen het systeem alle ‘control’ activiteiten binnen dat systeem kunnen worden uitgevoerd? Een BI-systeem is m.i. een autonoom systeem met een autonome functie. Op basis van de verschafte informatie uit dit systeem kunnen zeer verstrekkende besluiten worden genomen, als ook kan informatie worden gedeeld die potentieel schadelijk kunnen zijn voor de reputatie van de organisatie. Daarom zou de kracht van elk BI-systeem, dus ook Power BI, enorm toenemen wanneer dit is ingebakken in de programmatuur van het BI-systeem. Wanneer bijvoorbeeld automatisch elke mutatie uniek wordt geïdentificeerd en indien bij het aanmaken is aangegeven dat sprake is van een iteratief proces – denk aan de maandelijkse balans en winst- en verliesrekening-, de BETA-formule van toepassing is om de integriteit van de informatie te waarborgen. Tevens zal een gradatie van importantie van het informatie-element moeten kunnen worden ingesteld om te bepalen welk type beheersmaatregelen moeten worden genomen zoals de ‘risk-appetite’. Het is logisch dat tegen een informatie-element dat alleen eenmaal per jaar voor een niet belangrijke stakeholder wordt geproduceerd, anders wordt aangekeken dat een periodieke analyse van de resultatenrekening, als onderdeel van de financiële verantwoording.

Een ander organisatorisch aspect is de controle-technische functiescheiding. Voor een analyse van de uitwerking hiervan verwijs ik u naar mijn blog op www.simbula.org, ‘safe area processing’ van 24 maart 2016.

Schema 07.02.04: Proces-elementen conform de Sensus-methode

In de inrichting van de administratieve organisatie /interne beheersing wordt vaak te weinig controle technische functiescheiding ingebracht. Voor zover mijn kennis reikt, bestaat de mogelijkheid om functies in Power BI te kunnen schalen.

Een toepasselijk voorbeeld is de derde line of defence van RM. Intern of extern bestaat in sommige gevallen de wettelijke noodzaak tot het uitvoeren van een onderzoek naar de juistheid, volledigheid en tijdigheid van bepaalde informatievoorziening aan de informatieklanten via bijvoorbeeld Power BI. Ergens is dus iemand verantwoordelijk voor de bewarende functie opdat hij/zij de gewenste informatie aan de vragende partij(en) moet kunnen opleveren. Alvorens deze functionaris in de rol kan komen, zal ervoor zorg moeten worden gedragen dat in de opzet van Power BI sprake is van de opbouw van een juist, tijdig en volledig archief waarbinnen voldoende controles zijn ingebouwd en bijvoorbeeld volledigheidscontrole is zeker gesteld. Het laatste is in verband met het vermijden van fraude of desinformatie van kritiek belang.

Hiervoor zal dus naast functiescheiding ook een netwerk van controle-verbanden in het ‘control-framework’ van Power BI moeten worden opgezet om aan deze eis te kunnen voldoen. Zeker wanneer sprake is van een dynamische ontwikkeling van het netwerk van controleverbanden – ik denk hierbij aan nieuwe DAX-Code die is gericht op de opbouw van de database om de gewenste output te kunnen aggregeren – dan zal tevens iets moeten worden geprogrammeerd om de doorloop en de verbanden aan te kunnen tonen tussen de diverse ‘contexten’. Indien dat niet wordt gedaan lijkt mij sprake van een onaanvaardbaar risico voor een Bestuur. Ingeval van een verdenking van frauduleus handelen is dat voor betrokkenen essentieel; met name voor Bestuurders is uit oogpunt van CG en assurantie in relatie tot de Wet Bestuurdersaansprakelijkheid’ noodzakelijk dat dit proces tot in de puntjes wordt beheerst, om hen op onafhankelijke basis vrij te kunnen pleiten.

Gedurende de decompositie van processen worden dus tevens dimensies van RM opgenomen in het BPMS. Dat kan op het niveau van activiteiten, output, proces, operationeel, tactisch, bestuurlijk enzovoort. Dit is mede afhankelijk van de gekozen ‘risk appetite’ en de ‘risk response’. Het bewijst het belang van het onderkennen van risico’s op het gebied van BI in een vroegtijdig stadium.

Lang niet alle organisaties hebben een stevig ontwikkeld BPMS. Dat laat echter niet onverlet om de BI-risico’s weldegelijk in een andere werkbare vorm in de documenten op te nemen.

8 BI en BPMS

8.1 BPMS en Power BI

Naast de bedrijfscultuur is het BPMS in mijn overtuiging het technische bloed, in het Besturingsmodel, dat door de aderen van de organisatie stroomt. Diverse onderdelen komen samen in de uitwerking van processen zoals besturing, RM, HRM, P&C enzovoort. Door in eerste aanleg uit te gaan van een BPMS ontstaat een kapstok waaraan de gedelegeerde activiteiten kunnen worden gehangen. In het geval van een veranderproces naar de implementatie van Power BI in een organisatie, bestaat altijd behoefte aan duidelijkheid over waar Power BI in het BPMS, bestaande processen gaat raken als mede welke nieuwe processen voor Power BI moeten worden ontworpen. Door deze benadering te kiezen wordt aangesloten bij de bedrijfsspecifieke kenmerken en hebben betrokken medewerkers eerder inzicht in de gevolgen voor hun functioneren. Dit zal ongetwijfeld met zich mee brengen dat de communicatie en het draagvlak voor een succesvolle implementatie van Power BI wordt verhoogd. Het bestaan van een goed werkend BPMS zie ik als randvoorwaarde om Power-BI goed te kunnen implementeren en aan te sluiten bij de beheersing van een bedrijfsstrategie.

8.1.1 BPM-model

Onderstaand wordt een voorbeeld van een BPM-model gegeven. Onder de hoofdgroepen, worden subgroepen via een logisch nummersysteem gerubriceerd. Per subgroep worden vervolgens de diverse processen uitgewerkt. Zoals je ziet is in het tactisch proces gekozen voor onder meer het gebruik van de gebieden van het TQM-model. Dit is arbitrair. Wellicht dat een andere indeling meer geschikt is voor een type organisatie waarop het van toepassing is.

Schema 08.02.01: Mogelijk BPM Model

8.1.2 Proces decompositie

Onderstaand geef ik voorbeeld van een mogelijke procesdecompositie waarin tevens de controle technische functiescheiding is opgenomen.

Schema 08.02.02: Proces schema

Elk informatie-element op een pagina in een Power BI-rapport wordt gemaakt voor een communicatie-entiteit. Gedurende het planningsproces wordt een matrix aangelegd met enerzijds de communicatie-entiteiten met daarin de verantwoordelijke functionaris en deelnemers en anderzijds de informatie-elementen, individueel of via een dashboard, met de definitie van de gewenste output en het ‘control-framework’ dat daarop van toepassing is. De matrix uit § 3 breid ik nu als volgt verder uit (Dm = dimensie):

• Communicatie-entiteit.
  Dm: Wijze van communiceren (Frequentie, Deelnemers enzovoort).
• Gewenst informatie-element (een informatie-element op een pagina van een rapport in Desktop of direct in Service).
  Dm: Grafiek | Tabel | Afbeelding.
  • Dm: Inzet van soorten contexten.
  • Dm: Vereist kennisniveau van betrokken functionarissen.
  • Dm: Draagvlak.
  • Dm: Draagkracht (kerncompetenties).
• Bijdrage aan strategische waarde (kan ook per groep).
  • Dm: KSF.
  • Dm: Meetwaarde.
• In te zetten interne beheersingsmaatregelen.
• Procesnummer.
  • Dm: RM.
  • Dm: Verbanden met andere processen (input/output).
• Procesonderdeel.
  • Dm: RM.
  • Dm: Controletechnische functiescheiding.
• Interne informatie of externe informatie.
• Informatiefunctie.
• Dashboard (uitgangspunt is per dashboard één proces).
• Werkmap
• Gegevens set (= Datamodel).
• Databases (dit zijn zowel de brondatabases als eventueel verdere verwerking in DWH).

De uitgewerkte matrix geeft naar mijn mening mede een goed inzicht aan de beslissers wat de effecten op deelgebieden voor de organisatie zijn. Ook dit document kan in de project-matrix worden gehangen, die op alle onderdelen aan het bestuur wordt opgeleverd. Op een zeker moment in het p&c proces kan de bovenstaande vastgestelde matrix in een procesuitwerking in een grijs vlak worden gedefinieerd voor de bepaling van het gewenste resultaat uit Power BI. Dit is de normstelling. Om hiertoe te komen is binnen het BPMS de architectuur, regelgeving, beheersingsstructuur en noodzakelijke innovatie geborgd.

Op basis van deze elementen worden de bestaande en nieuwe processen aangepast c.q. ingericht. Tijdens de uitvoering wordt op het gedefinieerde moment de gewenste output opgeleverd. Afhankelijk van de importantie en de vastgestelde beheersinstrumenten wordt een mate van controle uitgeoefend op de opgeleverde informatie in Power BI. In dit proces is dus ook sprake van een grijs vlak, zijnde de realisatie. Via een confrontatie tussen de normstelling en de realisatie wordt de juistheid, tijdigheid en volledigheid van het informatie-element getoetst alvorens de informatie wordt vrijgegeven voor de gedefinieerde communicatie-entiteit. Voorstaande is beschreven met als uitgangspunt dat functiescheiding nodig is tussen toetsing van de norm en realisatie en uiteindelijk gebruik van de informatie. Het staat iedereen vanzelfsprekend vrij om dat niet te doen.

De noodzaak voor een stevig BPMS is evident. Diverse uitvoerings- en beheersingsinstrumenten inzake BI moeten daarin kunnen worden ingesteld en gemonitord. Via deze verkenning wordt zo langzamerhand wel duidelijk dat er veel meer eisen worden gesteld aan het maken van een paar grafieken en tabellen in Power BI, dan menigeen denkt. Ik ben van mening dat de informatie in deze § extra richting biedt aan een kwalitatief hoogwaardige inrichting van BI-systemen. Het biedt in ieder geval voldoende aanknopingspunten om in diverse gremia hierover van gedachte te wisselen.

9 Bevindingen

9.1 Besturingsparadigma

Er is weinig af te dingen op het uitgangspunt van VMB, dat besturing en beheersing niet los van elkaar kunnen worden gezien:

Schema 09.01.01: Besturingsparadigma

Het Bestuur is het besturend systeem. Onder hun verantwoordelijkheid wordt besloten om Power BI in te zetten in het bestuurd systeem. Om de organisatie (het bestuurd systeem) te kunnen besturen heeft het Bestuur gerichte informatie nodig uit het informatiesysteem, hetzij direct uit die bron of rechtstreeks uit de omgeving; beide worden opgenomen in Power BI. De confrontatie tussen genormeerde en gerealiseerde waarden dienen te worden vastgelegd en gereproduceerd in het informatiesysteem; Power BI. Dit vormt de basis om verantwoording af te leggen.

Bovenstaande beschrijving heeft het karakter van een top-down benadering. Op basis van compliance is dat uitgangspunt te billijken. In het kader van een ander element van interne beheersing, te weten effectiviteit en efficiency van bedrijfsprocessen, leidt de inrichting van een MC-systeem met ook een bottum-up benadering tot het gewenste resultaat. Een hybride inrichting van Power BI zal m.i. het beste resultaat geven.

Zoals VMB tevens stellen is het besturingsparadigma ontleend aan de cybernetica uitgangspunten van onder meer Anthony:

1. Een meetinstrument dat de werkelijkheid meet, de Ist-positie (Omzet per kleurengroep). Dit is onderdeel van het informatiesysteem.
2. Een mechanisme dat de afwijkingen van een vastgesteld criterium bepaalt, de Soll-positie (Afwijking omzet per kleurengroep). Dit is eveneens onderdeel van het informatiesysteem.
3. Een instrument dat het gedrag van het bestuurd systeem aanpast als de afwijking van een vastgesteld criterium een bepaalde kritieke grens overschrijdt. Dit is onderdeel van het besturend systeem.
4. Het bestuurd systeem zelf.

De afbakening van elementen van een besturingsparadigma bepaalt waar de systeemgrenzen liggen. In de vorige hoofdstukken is uit de verkenning gebleken dat geprogrammeerde instrument voor beheersing in Power BI voor de onderdelen 1 en 2 beperkt aanwezig zijn. De gevolgen zijn dat vergaande maatregelen moeten worden genomen om die beheersing zeker te stellen. In dit geval is automatisering niet een hulpmiddel maar een belasting. Dat is jammer omdat met name in Power BI voor onderdeel 3 uitstekende instrumenten voorhanden zijn om bij te sturen.

9.2 Bevindingen

De bevindingen in relatie tot de probleemstelling hebben mij ervan overtuigd dat de volgende uitbreiding in functionaliteit in Power BI een extra kwaliteitsinjectie zou betekenen:

• Geautomatiseerde mogelijkheid in Power BI tot audit trail van alle gegevens en per visualisatie, die in Power BI zijn gebruikt.
• Automatische bewaarfunctie in Power BI, indien gekozen via een daartoe in te stellen optie, van elke visualisatie op basis waarvan tevens tot reconciliërende verantwoording kan worden gekomen.
• Schaalbaarheid van Power BI per in te stellen proces. Hiermee kan worden aangesloten bij een BPMS.
• Automatische toewijzing van kleuren in de nesting tijdens het schrijven van DAX-Code.
• Automatisch indeling van nesting niveaus. Een beetje soortgelijk zoals de nummering die wordt gebruikt bij subtotalen in Excel.

In diverse onderdelen is gebleken dat als gevolg van het ontbreken van uitgebreide interne beheersmaatregelen, de bestuurlijke verantwoordelijkheid zowel op het persoonlijk vlak als in de bedrijfsmatig sfeer onder druk kan komen te staan. Het is daarom in het belang van de bestuurder zelf, dat hij/zij de gevolgen van het implementeren van een BI-systeem goed overziet en kan afwegen. De adviserende rol van de controller en de HRM-directeur is naar mijn mening minstens even zo cruciaal als die van de IT-directeur. Het is met name de opdracht van de controller om de samenwerking tussen de diverse disciplines te bewaken. Hiervoor wordt, zoals in deze blog blijkt, in een breder verband beschouwd dan de IT-oplossing zelf. Het is bijvoorbeeld noodzakelijk om partijen te informeren over zaken als risicomanagement, de goede werking van AIS en HRM-instrument.

Het strategisch proces heeft, simplistisch gesteld, tot doel om concurrenten te verslaan waardoor de eigen positie wordt versterkt. Door de brede toepasbaarheid van Power BI kan een soort van keuzestress ontstaan wat leidt tot het verlies van focus. Juist om dat strategisch proces ook bottom-up te stimuleren, als ook het proces van SSBI  te bewaken, is een balans in tijdbesteding nodig tussen enerzijds de standaardzaken die binnen de planning en control cyclus moeten worden opgeleverd en anderzijds de ontwikkeling van innovatieve informatieproducten. Door deze visie al vanaf het begin in te bedden, krijgen de medewerkers de ruimte die nodig is om ze betrokken te houden. Het bewaken van die gezamenlijke innovatieve energie om unieke kerncompetenties op het gebied van BI te ontwikkelen beschouw ik als een kritieke succesfactor. Ik zou daar in ieder geval zeer serieus naar kijken vanaf het eerste moment van de start van het project.

De diverse verkenningen in de vorige hoofdstukken hadden naast het uitwerken van de probleemstelling tevens tot doel om een matrix op te stellen waarmee vanaf het begin een breed en goed inzicht kan worden verkregen wat de effecten zijn van het besluit om Power BI te implementeren in de organisatie. Ik heb in § 3.1 al gesteld dat het framework volledig dekkend moet zijn. Daarna kan op kleine schaal worden gestart met de ontwikkeling en implementatie van BI-informatieproducten. Ik hoop dat de matrix uit § 8.2.2 helpt bij een succesvolle werking van Power BI. Zoals al eerder gesteld heb ik niet de pretentie volledig te kunnen zijn. Daarom is elke waardevolle aanvulling welkom!