Wordt er veel gebruik gemaakt van spreadsheets in uw organisatie? Wist u dat spreadsheets de oorzaak kunnen zijn van fatale rekenfouten? Wie controleert belangrijke spreadsheets op fouten in uw organisatie?

De kracht van spreadsheets ligt in hun gebruiksgemak en flexibiliteit. Ze geven de mogelijkheid om simpel te beginnen en vervolgens van steeds geavanceerdere features gebruik te maken, zoals pivot tables, buttons met geautomatiseerde acties en verwijzingen naar externe gegevensbronnen. Door een complexe spreadsheet op te tuigen voor bedrijfsautomatisering kan de IT-afdeling omzeild worden. En zo ontstaat een loslopende spreadsheet.

Maar spreadsheets zijn ook notoir foutgevoelig. Een onhandig uitgevoerde bewerking kan tot ernstige fouten leiden in de vele berekeningen die onder water worden uitgevoerd. Onderzoek heeft uitgewezen dat zo’n 50 procent van in omloop zijnde spreadsheets serieuze fouten bevat. Dit kan leiden tot zeer vervelende missers, zoals foutieve financiële rapportages. Denk aan een te lage offerte voor een verzekeringspremie of een verkeerde termijnprijs voor gas of licht.

Het wijdverbreide gebruik van spreadsheets, gecombineerd met hun foutgevoeligheid, betekent dat het noodzakelijk is om spreadsheets mee te nemen in risicomanagement. Maar er zijn te weinig organisaties die serieus werk maken van spreadsheet risk management. Terwijl IT-systemen onderworpen worden aan een strak QA-proces blijven spreadsheets buiten schot met alle risico’s van dien.

Voor financiële rapportages – bij uitstek het domein van spreadsheets – kan gekeken worden naar de Sarbanes Oxley Act (SOX). Sectie 404 van SOX vereist namelijk dat er afdoende interne controle structuur en procedures voor financiële rapportages worden vastgesteld en dat de effectiviteit daarvan met regelmaat wordt vastgesteld.

Maar welke interne controlestructuur en procedures zijn geschikt voor het beheersen van spreadsheetrisico’s? Ten eerste is het zaak om een inventarisatie te maken van de in gebruik zijnde spreadsheets en om deze te classificeren in termen van hoe belangrijk ze zijn voor de organisatie. Niet alle spreadsheets zijn even belangrijk, het gaat erom de belangrijkste te vinden.

Ten tweede moeten de spreadsheetgebruikers gemobiliseerd worden om fouten op te sporen in belangrijke spreadsheets. Denk hierbij aan het vaststellen van peer-review procedures, niet alleen voor nieuwe spreadsheets, maar met name voor elke structurele verandering die op een spreadsheet wordt doorgevoerd.

Ten slotte moet met ondersteuning van automatische analysetools vastgesteld worden welke spreadsheets te risicovol zijn om in hun huidige vorm te blijven gebruiken. Deze spreadsheets kunnen dan geherstructureerd worden of herontwikkeld worden door systeemontwerpers als een gewoon IT-systeem.

Bij al deze maatregelen moet een zekere pragmatiek aan de dag gelegd worden. Het grote aantal spreadsheets dat in de meeste organisaties in omloop is vereist focus op die spreadsheets die het meest belangrijk zijn. De peer-reviewing procedures moeten uitvoerbaar zijn voor gewone spreadsheetgebruikers. Het gemak waarmee spreadsheets kunnen worden aangepast moet niet teniet gedaan worden door formele kwaliteitsprocedures. De risicoanalyse op complexe spreadsheets met behulp van analysetools moet gecentraliseerd worden uitgevoerd.

Spreadsheetgebruikers laten zich niet graag aan banden leggen. Toch is het noodzakelijk om serieus werk te maken van spreadsheet risk management. Met een pragmatische methode zoals hierboven geschetst kan per direct begonnen worden. De jacht op loslopende spreadsheets is geopend!

Prof. dr. ir. Joost Visser, Hoofd Research Software Improvement Group en deeltijd hoogleraar Radboud Universiteit Nijmegen