Interviewverslagen met teruglegging - Volwassenheidsmodel voor ERP-systemen : een onderzoek naa

Betreft: validatie volwassenheidsmodel ERP-systemen Datum interview: 22 april 2016

1. Algemeen

In het algemene deel van het interview is de geïnterviewde bedankt voor deelname aan het onderzoek, is het doel van het onderzoek toegelicht, aangegeven wat er met de resultaten van het onderzoek gebeurt en dat het

interviewverslag wordt teruggelegd ter goedkeuring. Er wordt voor het interview 1 tot 1,5 uur uitgetrokken.

2. Contextvragen

Marco werkt voor de gemeente Amsterdam bij het organisatieonderdeel Resultaat Verantwoordelijke Eenheid ICT. De CIO office maakt daar deel van uit. Marco heeft de functie van Chief Information Security Officer (CISO).De expertises van Marco liggen op het domein van informatiebeveiliging en het auditen van ERP- systemen en is hij daarin 25 jaar werkzaam.

3. Deelvragen

 Zijn alle operationele risico’s, voor een ERP-systeem, onderkend in tabel 1? Alle operationele risico’s zijn volgens Marco onderkend voor een ERP-systeem.

 Zijn de relevante beheersaspecten als gevolg van de onderkende risico’s juist en volledig benoemd? De zes benoemde relevante beheersaspecten zijn juist en volledig benoemd en bevatten alle onderdelen van een ERP-systeem. In overweging kan worden genomen om bij het beheersaspect technische infrastructuur onderscheid aan te brengen in de verschillende soorten beheer, te weten functioneel beheer, applicatiebeheer, technisch applicatiebeheer en technisch beheer.

 Zijn de generieke benoemde normen juist en volledig benoemd?

Marco geeft aan dat de gedefinieerde normen, de normen zijn van de onderzoeker voortkomend uit de literatuurstudie en dat dit explicieter mag worden opgenomen in de scriptie. De normen zijn juist en volledig benoemd.

 Zijn de specifieke normen per beheersaspect juist en volledig benoemd?

 Zijn de generieke normen juist geplot in het volwassenheidsmodel? De generieke normen zijn juist geplot in het volwassenheidsmodel.  Zijn de specifieke normen juist geplot in het volwassenheidsmodel?

Marco geeft aan dat bij volwassenheidsniveau 5 bij de specifieke normen meer nadruk kan worden gelegd dat het gaat om permanente verbeteringen (kwaliteitscirkels). Dit heeft invloed op de voorliggende volwassenheidsniveaus (3 en 4). Aanpassingen in de processen kunnen daar dan al worden opgepakt.

 Is het volwassenheidsmodel toepasbaar in de praktijk?

Marco geeft aan dat het volwassenheidsmodel zeker toepasbaar in de praktijk en kunnen een goede bijdrage leveren voor het verbeteren van de beheersing bij een groot aantal organisaties. Marco is nieuwsgierig in welk volwassenheidsniveau de gemeente Amsterdam zich bevindt.

 Heeft u nog aanvullingen/aanbevelingen of zijn er nog ontbrekende aspecten niet benoemd tijdens dit interview die u nog wilt aanhalen m.b.t. dit afstudeeronderzoek?

Marco geeft in overweging om bij volwassenheidsniveau 1 Initieel aan te geven dat het gaat om het borgen dat het proces juist verloopt in plaats van aan te geven dat het niet voldoet aan de eisen die daaraan gesteld worden.

 Heeft u bezwaar tegen dat uw naam als geïnterviewde wordt opgenomen in het onderzoek? Marco heeft geen bezwaar dat zijn naam wordt opgenomen in het onderzoek.

Het verslag is per email op 3 mei door Marco geaccordeerd en voorzien van enkele aanpassingen. Op 20 mei heeft Marco de aanpassingsvoorstellen van de andere experts voorzien van zijn commentaar.

51 Interviewverslag: Bas de Wit

Betreft: validatie volwassenheidsmodel ERP-systemen Datum interview: 29 april 2016

1. Algemeen

interviewverslag wordt teruggelegd ter goedkeuring. Er wordt voor het interview 1 uur uitgetrokken.

2. Contextvragen

Bas werkt voor de gemeente Rotterdam bij Concern Auditing.Bas bekleedt de functie van auditor en voert de titel RE. De expertises van Bas zijn onder meer IT-governance, informatiebeveiliging en programma audits. Bas heeft circa 9 jaar ervaring op deze onderdelen.

3. Deelvragen

 Zijn alle operationele risico’s, voor een ERP-systeem, onderkend in tabel 1?

Bas geeft aan dat alle relevante risico’s zijn benoemd. (Ik kan me voorstellen vanuit jouw optiek dat je niet de financiële risico’s benoemt: vaak vliegen de beheerskosten van dit soort systemen uit de pan)  Zijn de relevante beheersaspecten als gevolg van de onderkende risico’s juist en volledig benoemd?

Bas geeft aan dat alle relevante beheersaspecten zijn benoemd in het onderzoek  Zijn de generieke benoemde normen juist en volledig benoemd?

De generieke niveaus geven veelal hetzelfde aan maar dat is op zich akkoord.  Zijn de specifieke normen per beheersaspect juist en volledig benoemd?

Beheersaspect procesgeoriënteerde werkwijze: de koppelvlakken zijn benoemd met de bijbehorende proceseigenaren.

Beheersaspect technische infrastructuur: bij dit beheersaspect zou nader ingegaan kunnen worden op dataclassificatie. Welke waarde geef je aan data. Zo zijn er verschillende risiconiveaus te benoemen als het bijvoorbeeld gaat om persoonsgegevens.

Beheersaspect interne control aspecten workflows: akkoord. Beheersaspect masterdata: akkoord.

Beheersaspect autorisaties: akkoord

Beheersaspect managementinformatie: bij dit beheersaspect is het aan te bevelen om compliance en rechtmatigheid te benadrukken

De specifieke normen zijn juist geplot in het volwassenheidsmodel.  Is het volwassenheidsmodel toepasbaar in de praktijk?

Je kunt het model van twee kanten bezien. CMMi geldt voor informatievoorziening / it beheer in het algemeen. Je kunt het CMMi model gebruiken om naar een hoger volwassenheidsniveau te komen of je kunt het model uit het onderzoek gebruiken. Het ontwikkelde model uit het onderzoek zal zijn waarde nog moeten bewijzen en dat zal zich moeten uitwijzen als het model in de praktijk wordt gebruikt.

4 Afsluitende vragen

 Heeft u nog aanvullingen/aanbevelingen of zijn er nog ontbrekende aspecten niet benoemd tijdens dit interview die u nog wilt aanhalen m.b.t. dit afstudeeronderzoek?

Bas mist de relatie naar de klant toe. Het model belicht niet de effectiviteit van het systeem. De toegevoegde waarde voor de klant wordt in de scriptie niet of in onvoldoende mate belicht. Alhoewel dit beheersmatig indirect wordt gedekt door het eerst blok.

 Heeft u bezwaar tegen dat uw naam als geïnterviewde wordt opgenomen in het onderzoek? Bas heeft geen bezwaar dat zijn naam wordt vermeld in het onderzoek.

Het verslag is per email op 2 mei door Bas geaccordeerd en voorzien van enkele aanpassingen. Op 17 mei heeft Bas de aanpassingsvoorstellen van de andere experts voorzien van zijn commentaar.

53 Interviewverslag: John de Laet

Betreft: validatie volwassenheidsmodel ERP-systemen Datum interview: 29 april 2016

1. Algemeen

interviewverslag wordt teruggelegd ter goedkeuring. Er wordt voor het interview 1 uur uitgetrokken.

2. Contextvragen

John werkt voor de organisatie Mediq. Mediq levert medische hulpmiddelen aan zorgprofessionals. Het hoofdkantoor is gevestigd in Utrecht. Mediq is opgericht in 1899 en heeft 7.100 medewerkers. John bekleedt de functies van IT demand specialist en ERP-beheerder. De eerste functie omvat het adviseren van de organisatie op het gebied van informatievoorziening. De tweede functie omvat het beheersen van het ERP-systeem. John zijn expertise ligt op het gebied beheren van ERP-systemen in brede zin. De opgebouwde ervaring op het gebied van ERP-systemen bestrijkt een periode van 23 jaar. Hij begon als programmeur en ontwikkelde zich naar ERP- beheerder.

3. Deelvragen

 Zijn alle operationele risico’s, voor een ERP-systeem, onderkend in tabel 1? Alle operationele risico’s voor een ERP-systeem zijn volgens John onderkend.

 Zijn de relevante beheersaspecten als gevolg van de onderkende risico’s juist en volledig benoemd? De zes benoemde relevante beheersaspecten zijn juist en volledig benoemd en bevatten alle onderdelen van een ERP-systeem. In overweging kan worden genomen om bij de processen aan te geven dat deze raadpleegbaar moeten blijven. Daarvoor is nodig dat de procesbeschrijvingen worden onderhouden en dat overdrachtsmomenten tussen medewerkers zorgvuldig plaats dienen te vinden. Dit is nu impliciet opgenomen in het verslag maar zou explicieter kunnen worden aangegeven.

 Zijn de generieke benoemde normen juist en volledig benoemd? John geeft aan dat de generieke normen juist en volledig zijn benoemd.  Zijn de specifieke normen per beheersaspect juist en volledig benoemd?

De specifieke normen zijn juist en volledig benoemd. Bij het beheersaspect technische infrastructuur geeft John in overweging om aan te geven op welke wijze wijzigingen in het ERP-systeem worden doorgevoerd daar dit op velerlei wijzen kan plaatsvinden.

De specifieke normen zijn juist geplot in het volwassenheidsmodel.  Is het volwassenheidsmodel toepasbaar in de praktijk?

Het volwassenheidsmodel is bruikbaar in de praktijk, veel beheerders zullen aan dit model wat hebben. Dit geldt zeker voor beheerders die zich nog nader aan het bekwamen zijn in informatievoorziening systemen. Verder geeft John aan dat voor het toepassen van het model (het komen tot een hoger volwassenheidsniveau) het in ieder geval wenselijke dat men het management meekrijgt. Kanttekening hierbij is bijvoorbeeld dat bij het beheersaspect autorisaties de optie is aangegeven dat alles is

toegestaan tenzij expliciet bepaald is dat iets niet is toegestaan. Indien het management hiervoor kiest scoort volgens John de organisatie niet hoog in het volwassenheidsmodel. Hierbij dient er ook rekening mee te worden gehouden dat bij JD Edwards met de optie raadplegen ook data kan worden gekopieerd. In het kader van het beveiligen is dit niet wenselijk.

6 Afsluitende vragen

 Heeft u nog aanvullingen/aanbevelingen of zijn er nog ontbrekende aspecten niet benoemd tijdens dit interview die u nog wilt aanhalen m.b.t. dit afstudeeronderzoek?

In het bovenstaande zijn aanvullingen/aanbevelingen al behandeld.

 Heeft u bezwaar tegen dat uw naam als geïnterviewde wordt opgenomen in het onderzoek?

John heeft geen bezwaar dat zijn naam wordt opgenomen in het onderzoek maar geeft daarbij aan dat het aan te bevelen is dat als 1 van de geïnterviewde anoniem wenst te blijven, dat dan voor alle interviews te doen.

Het verslag is per email op 2 mei door John geaccordeerd en voorzien van enkele aanpassingen. Op 17 mei heeft John de aanpassingsvoorstellen van de andere experts voorzien van zijn commentaar.

55 Interviewverslag: Wim Kemp

Betreft: validatie volwassenheidsmodel ERP-systemen Datum interview: 3 mei 2016

1. Algemeen

interviewverslag wordt teruggelegd ter goedkeuring. Er wordt voor het interview 1 uur uitgetrokken.

2. Contextvragen

Wim werkt voor de organisatie X. Wim bekleedt de functie van informatiemanager ERP & backoffice

applications. De expertises van Wim zijn processen en data op het gebied van ERP-systemen. Wim heeft circa 4 jaar ervaring op deze onderdelen.

3. Deelvragen

 Zijn alle operationele risico’s, voor een ERP-systeem, onderkend in tabel 1?

Wim geeft aan dat in de tabel het risico dat de inrichting op bedrijfsniveau niet overeenstemt met de inrichting van het ERP-systeem niet is opgenomen. Frank geeft aan dat dit beschreven is bij het beheersaspect procesgeoriënteerde werkwijze. Mogelijk is dit onderdeel niet duidelijk genoeg. Verder zijn alle risico’s benoemd waar Wim tegen aan loopt.

 Zijn de relevante beheersaspecten als gevolg van de onderkende risico’s juist en volledig benoemd? Wim geeft aan dat werkzaamheden die binnen het ERP-systeem zouden moeten worden uitgevoerd blijven liggen waardoor het proces stagneert. Daarbij is het de vraag of er voldoende

beheersmaatregelen zijn opgenomen binnen het stelsel. Frank geeft aan dat voor stagnatie binnen de workflows kpi’s kunnen worden ontwikkeld die achterstanden monitoren en rapporteren. Of alle activiteiten worden uitgevoerd als gevolg van een workflow (buiten het ERP-systeem) vallen niet binnen de scope van het volwassenheidsmodel.

Bij het beheersaspect technische infrastructuur kan het onderscheid tussen proceseigenaren en systeemeigenaren worden aangegeven. IT ondersteunt de applicatie.

 Zijn de generieke benoemde normen juist en volledig benoemd? De generieke normen zijn juist en volledig benoemd.

 Zijn de specifieke normen per beheersaspect juist en volledig benoemd?

De specifieke normen zijn juist en volledig benoemd. Wel kan in overweging worden genomen om het uitvoeren van activiteiten wat steviger in het model op te nemen.

De specifieke normen zijn juist geplot in het volwassenheidsmodel.  Is het volwassenheidsmodel toepasbaar in de praktijk?

Het model is toepasbaar in de praktijk. Het is daarbij wenselijk dat het management aangeeft welke processen in en rondom een ERP-systeem worden beschreven en onderhouden. Ditzelfde geldt voor de mate van beheersing.

4 Afsluitende vragen

 Heeft u nog aanvullingen/aanbevelingen of zijn er nog ontbrekende aspecten niet benoemd tijdens dit interview die u nog wilt aanhalen m.b.t. dit afstudeeronderzoek?

De organisatie waarvoor Wim werkt betreft de custom care business. Een belangrijke doelstelling daarin is klanttevredenheid. De business vereist dat een aantal processen flexibel dienen te blijven. De

aan deze processen ten grondslag liggende operationele systemen zijn niet ‘hard’ gekoppeld aan het ERP-systeem. Het gaat dan om kort cyclische processen met een hoge omloopsnelheid.

 Heeft u bezwaar tegen dat uw naam als geïnterviewde wordt opgenomen in het onderzoek?

Wim heeft geen bezwaar tegen de vermelding van zijn naam. Wel is het wenselijk dat de naam van de organisatie anoniem blijft.

Het verslag is telefonisch op 11 mei door Wim geaccordeerd zonder aanpassingen.

57 Interviewverslag: Hannelore Koppen

Betreft: validatie volwassenheidsmodel ERP-systemen Datum interview: 17 mei 2016

1. Algemeen

interviewverslag wordt teruggelegd ter goedkeuring. Er wordt voor het interview 1 uur uitgetrokken.

2. Contextvragen

 Bij welke organisatie bent u werkzaam?; Capgemini

 Welke functie brengt u ten uitvoer binnen de organisatie?; CoE Lead Oracle ERP Cloud, eBS & JD Edwards  Welke expertise bezit u ten aanzien van ERP-systemen?;

JD Edwards Finance consultant (functioneel processen Relatiemanagement, Grootboek, Inkoop tot Betaling, Verkoop tot ontvangst, Vaste Activa, Project management en technisch)

 Hoelang beschikt u over deze expertise? Vanaf 1999

3. Deelvragen

 Zijn alle operationele risico’s, voor een ERP-systeem, onderkend in tabel 1?

Kennis van de gebruikers ontbreekt, gedegen opleiding is van groot belang. Net zoals betrokkenheid van de medewerkers tijdens het implementeren, zgn. ambassadeurs van het nieuwe systeem

 Zijn de relevante beheersaspecten als gevolg van de onderkende risico’s juist en volledig benoemd? Akkoord wat betreft de genoemde punten

 Zijn de generieke benoemde normen juist en volledig benoemd? Akkoord wat betreft de genoemde punten

 Zijn de specifieke normen per beheersaspect juist en volledig benoemd? Akkoord wat betreft de genoemde punten

 Zijn de generieke normen juist geplot in het volwassenheidsmodel? Akkoord wat betreft de genoemde punten

 Zijn de specifieke normen juist geplot in het volwassenheidsmodel? Akkoord wat betreft de genoemde punten

 Is het volwassenheidsmodel toepasbaar in de praktijk? Ja

4 Afsluitende vragen

 Heeft u nog aanvullingen/aanbevelingen of zijn er nog ontbrekende aspecten niet benoemd tijdens dit interview die u nog wilt aanhalen m.b.t. dit afstudeeronderzoek?

 Heeft u bezwaar tegen dat uw naam als geïnterviewde wordt opgenomen in het afstudeerrapport? Nee

De vragen zijn ingevuld door Hannelore en op 17 mei gemaild.

Op 20 mei heeft Hannelore de aanpassingsvoorstellen van de van de andere experts voorzien van haar commentaar.

Hannelore geeft aan dat kennis van de gebruikers ontbreekt, gedegen opleiding van groot belang is en de betrokkenheid van de medewerkers tijdens het implementeren, zgn. ambassadeurs van het nieuwe systeem ook van belang is. Met Hannelore is besproken dat deze opmerkingen waardevol zijn maar geen deel uitmaken van dit onderzoek. Dit laatste is aangegeven in de afbakening van het onderzoek.

In document Volwassenheidsmodel voor ERP-systemen : een onderzoek naar een model voor het vaststellen, door de Internal Audit Function, van de mate van het beheersen van een ERP-systeem : de weg naar optimale beheersing (pagina 49-58)