De mens is de zwakste schakel in de rapportageketen

Een rapportageketen bestaat uit verschillende technische componenten en bewerkingen welke door menselijke actoren worden ontworpen, ingericht, aangestuurd en gecontroleerd. Met deze menselijke feilbaarheid in het achterhoofd rijst de vraag hoe de eigenaar van een rapportageketen de betrouwbaarheid van rapportages uit deze keten kan bewaken en aantonen 

 

In dit artikel worden twee praktische basisprincipes – het stellen van eisen en stellen van vragen – aangereikt voor het borgen van de betrouwbaarheid van de rapportageketen.

 

De complexiteit van rapportageketens en de risico’s die daar mee gemoeid zijn, worden steeds meer vanuit regelgeving onderkent. De aandacht voor datakwaliteit en de beheersing ervan neemt in regelgeving toe. Binnen Solvency II behandelt artikel 86f eisen ten aanzien van datakwaliteit en de beheersing ervan. 

 

Een ander voorbeeld betreft het Basel committee dat richtlijnen ten aanzien van datamanagement binnen banken heeft vastgelegd in BCBS239. Daarnaast is ook sprake van een grotere informatiebehoefte van toezichthouders van financiële instellingen en vragen zij in toenemende mate om grote hoeveelheden gegevens beschikbaar te stellen vanuit hun bronsystemen. Ook ‘corporates’ ondervinden door veranderende regelgeving zoals IFRS9 steeds meer uitdagingen bij het verstrekken van gegevens van hun bronsystemen ten behoeve van de jaarrekening.

 

Met de toenemende eisen ten aanzien van betrouwbaarheid en de verscheidenheid aan rapportageverplichtingen is het voor veel organisaties een noodzaak om de rapportageketen als een fabriek in te richten. Het doel van het fabrieksmatig inrichten van de rapportageketen is om de kwaliteit van rapportages voorspelbaar te maken, te borgen dat rapportages tijdig geleverd worden en de rapportagedruk op de organisatie te verlichten.

 

Rapportageketens kunnen zeer complex zijn. Binnen een rapportageketen worden gegevens geëxtraheerd uit de bron, gefilterd, bewerkt, gekoppeld, berekend, omgezet, geaggregeerd en gerapporteerd waarbij meerdere actoren en afdelingen aan te pas komen. Een rapportageketen is te vergelijken met een fabriek waar grote hoeveelheden grondstoffen en halffabricaten door meerdere stations worden omgezet naar een eindproduct. Tijdens elke bewerking bestaat het risico dat gegevens niet meer bruikbaar is voor volgende gebruiker en dat inefficiënties optreden.

 

Bij massaproductie is een belangrijk criterium dat de kwaliteit van grondstoffen en halffabricaten constant blijft en voldoet aan de gestelde eisen. Vertaald naar de rapportageketen moeten de gegevens zowel voor als na elke individuele bewerking betrouwbaar blijven. Belangrijk is ook dat de betrouwbaarheid van gegevens en de uiteindelijke rapportage over meerdere perioden constant blijft of zelfs verbetert.

 

In onderstaande figuur is een voorbeeld opgenomen van een veel voorkomende rapportageketen wat goed de complexiteit weergeeft van het verwerken van gegevens tot rapportages. In onze ervaring leidt deze complexiteit tot vele mogelijke risico’s.

 

Bij elke stap in de rapportageketen waarbij gegevens verwerkt en overgedragen worden, bestaat het risico dat gegevens niet betrouwbaar blijven. Als de organisatie in staat is deze risico’s te benoemen is het aantonen van de toegevoegde waarde van toezicht op de rapportageketen makkelijker.

 

Ten aanzien van de technische verwerking van gegevens in een rapportageketen zijn vele risico’s denkbaar, zoals het handmatig bewerken bij het opstellen en verwerken van gegevens welke de kans op fouten in de aan te leveren gegevens vergroot.

 

Risico’s in een rapportageketen bestaan niet enkel uit risico’s die voortkomen vanuit de techniek. Ook bij de overdracht van gegevens tussen actoren in een rapportageketen zijn specifieke risico’s aanwezig doordat de samenwerking niet optimaal is, bijvoorbeeld doordat de aanleverende partij andere waarde hecht aan betrouwbare gegevens. Met alle mogelijke risico’s in een rapportageketen is de vraag hoe de betrouwbaarheid van rapportageketens geborgd kan worden.

 

De vergelijking van de rapportageketen met een fabrieksproces laat zien dat kwaliteit voortdurende controle nodig is om de betrouwbaarheid en tijdigheid van rapportages te garanderen. De basis voor een goede controle betreft het opstellen van de norm en het meten ervan; dus stel eisen en stel vragen.

 

Met een ontwerp worden verwachtingen tussen actoren expliciet gemaakt. Het ontbreken van een ontwerp verhoogt de kans dat het werkelijke resultaat afwijkt van het beoogde resultaat van de gebruiker. Een rapportageketen bestaat uit vele actoren, applicaties en overdrachtsmomenten. Op elk van deze koppelvlakken kunnen problemen ontstaan ten aanzien van een betrouwbare verwerking, interpretatie en verantwoordelijkheid omtrent gegevens.

 

Elke ontvanger in de rapportageketen zal eisen moeten stellen aan de aan hun geleverde gegevens. Zonder eisen zal de betrouwbaarheid en relevantie van de aangeleverde gegevens en de verwerking ervan onvoorspelbaar zijn. Deze eisen kunnen betrekking hebben op data-integriteit of informatie-integriteit.

 

Data-integriteit heeft betrekking op de technische eigenschappen van gegevens en eisen ten aanzien van volledigheid, juistheid en formaat en precisie. Het meten van data-integriteit is relatief eenvoudig door middel van zogenaamde business rules. Business rules beschrijven de technische eisen waaraan gegevens moeten voldoen, zoals attribuut x is altijd gevuld of de waarde van attribuut y bevindt zich tussen waarde a en b.

 

Idealiter zou de leverende partij bij de aanlevering een overzicht kunnen verschaffen van de resultaten van de business rules om de impact op een tijdige verwerking binnen de informatieketen verder te beperken. Door het tijdig analyseren van de business rules van de ontvangende partij kan de aanleverende partij ook voor de aanlevering mogelijke issues onderkennen en daarop eerder actie ondernemen.

 

Het concept van informatie-integriteit beschrijft de mate van relevantie van gegevens. Zonder relevantie hebben betrouwbare gegevens geen toegevoegde waarde. Vanuit semantisch oogpunt kunnen de onderstaande (zachtere) eisen worden gesteld aan gegevens ten aanzien van relevantie:

 

– Wat is de definitie van een gevraagd gegeven en zijn zij relevant voor de ontvangende partij?

– Welke assumpties en beperkingen zitten inherent in de data?

– Hoe actueel moeten gegevens zijn?

– Hoeveel achterstanden in de verwerking mag een aanleverende partij hebben voordat de gegevens worden aangeleverd?

– Zijn de gegevens vrijgegeven door de (gedelegeerde) gegevenseigenaar?

 

In de praktijk zijn de bovenstaande eisen voor data en informatie integriteit vaak weinig expliciet gemaakt. Voor de interpretatie en het verder gebruik van de gegevens binnen de rapportageketen zijn deze eisen zeer relevant voor de toegevoegde waarde van een rapportage.

 

Het enkel stellen van eisen is niet genoeg om de betrouwbaarheid van een rapportageketen te borgen. Zonder controle of de aangeleverde gegevens voldoen aan de gestelde eisen, zullen de gestelde eisen weinig voorspellende waarde hebben. De ontvanger zal dan ook de aangeleverde gegevens moeten controleren voordat de aanlevering geaccepteerd kan worden.

 

Het komt te vaak voor dat een ontvanger aanneemt dat de aangeleverde gegevens betrouwbaar zijn. Met als gevolg dat zij te weinig vragen stelt ten aanzien van de betrouwbaarheid van de aangeleverde gegevens. Hiervoor zijn 3 redenen aan te wijzen: (1) ontvangers geven aan dat het stellen van vragen tijd kost en deze tijd niet hebben, (2) ontvangers vertrouwen willen uitstralen naar de leverancier van de gegevens en (3) de ontvanger stelt dat het de verantwoordelijkheid is van de leverancier om betrouwbare en relevante gegevens te leveren en dat daarom controle niet nodig is.

 

 

—

Externe verslaggeving voor de Samenstelpraktijk | 6 PE
Hoe gaat u om met de inrichting en publicatie van jaarrekeningen voor micro-ondernemingen? Ontdek wat nieuwe RJ-richtlijnen betekenen voor uw samenstelpraktijk. Meld u direct aan.