Ga naar het hele artikel
Download
Report
Transcript Ga naar het hele artikel
IT-audit en het internet
Bestandsanalyse in combinatie met
Business Intelligence:
een verkenning op internet
Myrna Bensink
In deze – nog jonge – rubriek
worden internetsites besproken die
nuttig kunnen zijn voor IT-auditors.
De rubriekstitel (IT-audit en het
internet) biedt ruimte om daar op
verschillende manieren invulling
aan te geven. In mijn bijdrage
laat ik aan de hand van een
praktijkcase zien hoe ik internet
heb gebruikt om de mogelijkheden
te verkennen om bestandsanalyseprogrammatuur te gebruiken
in combinatie met Business
Intelligence. Met behulp hiervan
kon ik bepalen hoe deze combinatie optimaal in te zetten
binnen de opdrachtuitvoering.
Drs. M. Bensink CISA volgt momenteel de
postdoctorale opleiding IT-Auditing aan
de Erasmus Universiteit Rotterdam en is
inmiddels vier jaar werkzaam als IT-Auditor
bij TBM AudIT.
E
en grootschalige reorganisatie
bij een klant was van grote
invloed op diens bedrijfsprocessen en
daarmee op de informatievoorziening.
Standaardprogrammatuur werd vervangen door een maatwerkpakket en
dit werd gevolgd door een aanhoudende stroom van nieuwe versies en
patches. Tussentijds werd zelfs een
geheel nieuw datamodel geïntroduceerd. Dit traject ging gepaard met
de nodige conversieproblemen en
gegevensverlies, omdat delen van
bestanden onbedoeld niet mee
werden geconverteerd. Zowel de
implementatie- als de conversietrajecten waren niet erg succesvol.
Door verkeerde beslissingen tijdens
de conversie kon achteraf de kwaliteit
van de gegevensbestanden niet
gewaarborgd worden. De organisatie
was echter sterk afhankelijk van een
goede informatievoorziening voor
het aansturen van haar operationele
bedrijfsprocessen. De gegevensbestanden waren op enig moment zodanig
vervuild, dat de organisatie niet meer
op de informatievoorziening kon vertrouwen. Bruikbare operationele
(management)informatie en het verkrijgen van correcte aansluitingen,
zoals tussen de projectenadministratie
en de financiële administratie, leverden dagelijks problemen op.
De informatie in de systemen was
geen juiste weerspiegeling meer van
de werkelijkheid.
Bestandsanalyse en Business
Intelligence
De organisatie besloot dit probleem
rigoureus aan te pakken. Het was
onder andere mijn taak de gegevens38 | de EDP-Auditor nummer 3 | 2006
bestanden opnieuw op te bouwen
vanuit de bronbestanden zodat er
weer een aansluiting zou zijn met
de werkelijkheid. Daarnaast was het
de bedoeling managementinformatie
te leveren zolang de geautomatiseerde
informatievoorziening hiertoe nog
ontoereikend was.
De gegevens bleken uit meerdere
databases te moeten worden gehaald,
deels ook van niet meer operationele
toepassingen. Het ging hierbij om
grote hoeveelheden data. In feite
moest een geheel nieuwe gegevensset
worden opgebouwd uit deze verschillende bronnen om de gegevensintegriteit te kunnen herstellen. Doublures moesten worden geëlimineerd
en ontbrekende gegevens uit andere
bronnen aangevuld. De aldus ontstane reconstructie moest vervolgens
weer worden geverifieerd en gevalideerd met de werkelijkheid. Hierbij
moet bijvoorbeeld gedacht worden
aan een controle of de voorraad die
verantwoord was in het systeem ook
daadwerkelijk aanwezig was in de
magazijnen. Een steekproefsgewijze
aanpak was hierbij niet bruikbaar
aangezien er een volledig nieuwe
gegevensset was opgebouwd.
Om die reden werd deze controleslag
integraal uitgevoerd.
Mede omdat de gegevens uit verschillende bronnen kwamen, was
vereist dat wij konden beschikken
over een adequate audit-trail. Het
aantonen van de aansluiting tussen
de bestanden was een belangrijk
acceptatieaspect voor de opdrachtgever en de externe accountant. Terwijl
er nog sprake was van het ontbreken
van functionaliteit in de reguliere
informatievoorziening, bestond al
wel de behoefte bij de opdrachtgever
om bepaalde inzichten periodiek te
kunnen gebruiken. Daarom werd een
rapportagefunctionaliteit gecreëerd
als tijdelijke oplossing, tot het
moment dat deze informatie via de
reguliere informatievoorziening toegankelijk werd. Hieraan werd vorm
gegeven door middel van gerichte
bestandsanalyse en rapportage via
een separate tool met uitgebreide
grafische presentatiefaciliteiten.
Hiermee was ik beland in de wereld
van Business Intelligence.
Verkenning van Business
Intelligence op internet
Het uitzoeken van een dergelijke
datachaos was een uitdaging op zich.
Bestandsanalyse vormt een belangrijk
onderdeel van mijn reguliere werk en
was voor deze opdracht een bruikbare werkwijze. Echter de combinatie
met Business Intelligence hulpmiddelen was voor mij nieuw. Door de
periodiciteit van de informatiebehoefte zitten er kenmerken van
datawarehouse in. Het internet bleek
een geschikt medium om die wereld
nader te verkennen en naar mogelijke
oplossingsrichtingen en alternatieven
te zoeken. Door op de bekende
zoeksites wat te experimenteren
met termen als bestandsanalyse,
audit-trail, business intelligence en
rapportages, wordt een scala aan
vervolgpaden aangeboden. Een
eerste logische weg ligt bij sites over
bestandsanalyseprogrammatuur.
IDEA (www.caseware-idea.com) en
ACL (www.acl.com) zijn hierbij wel
de bekendste en met name op de site
van ACL worden interessante voorbeelden behandeld. Doorzoekend op
de combinatie met datawarehouse en
rapportages belandde ik via sites als
Microstrategy (www.microstrategy.
com), Business Objects (www.businessobjects.com) en Crystal Reports
(www.businessobjects.com/products/reporting/crystalreports/
default.asp) op de site van QlikView
(www.qliktech.com). Van veel van
deze toepassingen valt met 30-dagen
versies snel vast te stellen of ze toegevoegde waarde kunnen leveren
voor de gezochte oplossingsrichting.
Dat biedt de mogelijkheid om niet
alleen op basis van successtories,
maar proefondervindelijk te bepalen
of de toepassing geschikt is voordat
tot aanschaf wordt overgegaan.
Een mogelijkheid die vóórdat het
internet beschikbaar was eigenlijk
niet bestond.
Voor een oriëntatie op de wereld van
bestandsanalyse in combinatie met
Business Intelligence vormden de
genoemde sites voor mij een prima
uitgangspunt. Door het downloaden
van proefversies van pakketten kon
ik op een gemakkelijke manier de
mogelijkheden ervan verkennen.
Door mijn ervaring met bestandsanalyse bleek ook deze voor mij
nieuwe wereld snel te doorgronden
en kon ik het uiteindelijk op een
effectieve en efficiënte manier
inzetten voor de uitvoering van de
geschetste opdracht.
Afrondend
Door (onder andere) het gebruik van
internet ben ik in staat geweest een
geschikt hulpmiddel te selecteren en
39 | de EDP-Auditor nummer 3 | 2006
in te zetten. Het probleem bij deze
klant was binnen een periode van zes
weken inzichtelijk gemaakt en van
een oplossingsrichting voorzien.
Met de door mij ingezette middelen
en de coördinatie daartussen heeft
onze opdrachtgever ook nog eens
inzicht verkregen in zijn informatiebehoeften. Dit is vervolgens benut
om te komen tot de realisatie van
een structurele oplossing. Er wordt
momenteel een datawarehouse
ingericht. Wij bewaken met onze
analyses en rapportages de bouw en
inhoudelijke kwaliteit van dit datawarehouse. Voor onze klant is de
toegevoegde waarde van onze
werkzaamheden geen discussie.
Wij leveren als IT-Auditors het
materiaal wat hij nodig heeft voor
zijn handelen en besluitvormingsprocessen. De organisatie steunt
daarbij op de door ons automatisch
opgebouwde en gedocumenteerde
audit-trail.
Ik merk dat het gebruik van dit soort
faciliteiten nog lang niet algemeen
aanvaard is bij vakgenoten. Ik nodig
de lezer dan ook uit het internet te
gebruiken om de mogelijkheden en
bruikbaarheid van bestandsanalyse en
Business Intelligence te verkennen. ■