7 Discussie en reflectie
7.2 Reflectie
Ik ben verheugd dat het onderzoek heeft geleid tot een relevant en betrouwbaar volwassenheidsmodel voor ERP-systemen en dat het volgens de geïnterviewde experts een bruikbaar en toepasbaar meetinstrument is voor de praktijk.
Over ERP-systemen is veel geschreven. Met name over implementaties en beheersing. Uit de literatuur blijkt dat het beheersen van een ERP-systeem, in de praktijk, vaak een lastige opgave is. Mijn zoektocht voor het vaststellen welke kenmerken, risico’s en beheersaspecten van toepassing zijn voor de operationele beheersing van een ERP-systeem was een interessante maar ook een lastige opgave. Interessant was de zoektocht naar welke factoren een rol spelen in het beheersen van een ERP-systeem en vervolgens een volwassenheidsmodel te ontwikkelen zoals ik die voor ogen had.
Mijn zoektocht heeft veel tijd gekost vanwege de grote hoeveelheid literatuur die over dit onderwerp voorhanden is en die ik ten behoeve van dit onderzoek heb bestudeerd. In de literatuur wordt veelal ingegaan op de afzonderlijke onderdelen van een ERP-systeem waardoor het verkrijgen van een overall beeld over relevante risico’s, beheersaspecten en normen lastig is. Ik had de duur van de zoektocht kunnen verkorten door in een vooronderzoek met materiedeskundigen (die geen deel uitmaken van de validerende experts) verkennende gespreken te voeren om daarmee het literatuuronderzoek meer richting te geven. Ik had sneller inzicht kunnen verkrijgen over de relevante risico’s en beheersaspecten.
Ik had graag weging aangebracht aan de normen, aan de hand van de mate waarin zij leiden tot een doelmatige en doeltreffende procesgang. Hiermee zouden zowel het management die de normen
implementeert als de IAD die er additionele zekerheid over verstrekt prioriteiten kunnen stellen. Ondanks verwoede pogingen is het mij helaas niet gelukt om de genoemde aspecten in het onderzoek te betrekken. Ik had dit bij de start van dit onderzoek wel voor ogen, maar kwam gaande weg het onderzoek tot de conclusie dat het op betrouwbare wijze toekennen van wegingsfactoren zeer veel tijd in beslag zou nemen. Daarmee zou het onderzoek niet meer passen in de toegestane omvang van deze afstudeeropdracht.
39
Literatuurlijst
Becker, J., Knackstedt, R. en Poppelbuss, J., Developing Maturity Models for IT Management – A Procedure Model and its Application, Business & Information Systems Engineering, 2009.
Bellino C., Wells J., Hunt S., en Horwath C. Global Technology Audit Guide (GTAG) 8, IPPF – Practice Guide. Auditing Application Controls, 2007.
Bijl, G., Daae L. en Lof M., Compact, In Control? Walk Along, 2010, Vol. 3, blz. 33.
Bruijn, S. de en Troquay T., Procesbeschrijving leidt niet vanzelf tot procesgericht werken, z.j.. Cannegieter. J.J. en Solingen R. van, De Kleine CMMi, SDU uitgeverij, Den Haag, 2006. Crijns, Ruiterman, Aardewijn, Man de, Nora, Ketens de Baas, z.j., blz. 38.
Crosby P.B., Quality is free: the art of making quality certain, McGraw-Hill, 1979. Debets W., Hoe KPI’s bepalen voor de organisatie, 2014.
Driessen, A., & Molenkamp, A., Internal Auditing: Een managementkundige benadering, Kluwer, 2008.
Flood R.L., Complexity: a definition by construction of a conceptual framework, systems research, 1987, vol. 4, no. 3, blz. 177-185.
Goedertier, S. en Vanthienen J., Business Inzicht, Bedrijfsprocessen voor conforme en flexibele bedrijfsprocessen, z.j.. Govers, M.J.G., Met ERP-systemen op weg naar moderne bureaucratieën? Proefschrift, Katholieke Universiteit
Nijmegen, 2003.
Groen, P., Informatiebeveiliging, Application controls in een breed perspectief, 2006.
Hansen B., Rose J. and Tjornehoj G., International Journal of Information, Prescription, description, reflection: the shape of the software process improvement field, 2004, Vol. 24, blz. 457–472.
Hermans, J. A. M., Ham D.B. van en Hart J. ter, Compact, In control ten aanzien van uw autorisatie management, 2007, Vol 2, blz. 24.
Hoed, T. den , Handboek managementmodellen, ISBN 978 90 8753 747 0, 2013, 2013, blz. 468. Hoeffnagel W., ERP-complexiteit kun je niet verminderen, wel handig verbergen, BI platform, 2014. Innervate, Loop voor op uw concurrenten en neem slim uw managementbeslissingen, 2009.
Jenkins, B., Cooke P. en Quest P., An audit approach to computers, ISBN 1-85355-229-1, 1992. Klein, J. de., Wat Is Master Data Management, z.j.
Kloosterman, H. en Snoeker R.., De IT auditor, Informatietechnologie en interne beheersing (deel 1), 2013, Vol. 2. blz. 11.
Leon, A., Enterprise Resource Systems second edition, ISBN 978-0-07-065680-2, 2008, blz. 46. Loshin D., Master data management, ISBN 978-0-12-374225-4, 2009, blz. 9.
Meuldijk, A. M. en Veld M.A.P. op het, Compact, Betere beheersing van ERP-projecten door Quality Assurance, 2001, Vol.6.
40
Nagel, R. en Nieuwenhuis W., Masterdatamanagement implementatie zonder ERP, 2015. Nuijten, A. en Twist M. van, IT-Complexiteit en beheersing, ISBN 978-90-567-7147-8, 2014.
Obers, G. en Achterberg K., Grip op processen in organisaties, ISBN 978 90 8753 688 6, 2014, blz. 48.
Panman N., Grinsven J. van en Mennen M., Controllers magazine, Interne beheersing en financiële data, 2013, Blz. 18 Ragowsky A., Somers T., Enterprise resource planning, Journal of Management Information Systems, 2002, vol. 19
issue 1, blz. 11-15.
Roath, D. Internal Audit Should Play a Bigger Role in IT, 2014
Roest G. de en Rooij M. de, Afweging tussen businessflexibiliteit en control via functiescheiding, 2008
Rutkens E.P., Bouthoorn H. en Tushuizen L.P.F.,, Compact, Risicoanalyse gemakkelijk gemaakt, 2004, vol 1, blz. 25 Scheepers, J. en Schunck L., 8 bouwstenen voor succesvolle ketenregie in de praktijk, 2007.
Strikwerda, J., Van Unitmanagement Naar Multidimensionale Organisaties. ISBN 978 90 232 4352 6, van Gorkum, 2008, 2nd ed, blz. 205.
Swanborn, P.G., Methoden van Sociaal-Wetenschappelijk Onderzoek, Boom, 2005.
Unen, K.J. van, Gooij A de, Swartjes S en Staaij A. van der., Compact, Master Data Management Do’s & Don’ts, 2012, blz. 58.
Veld, M.A.P. op het en Waldenmaier P.C.V., Compact, ‘In Control’ Maturity Grid ERP, 2003, Vol. 1, blz. 23. Verschuren, P. en Doorewaard H., Het ontwerpen van een onderzoek, ISBN 90-5189-886-X, Lemma, 2003. Voorhout, M.A., Staaij A.J. van der en Swartjes S., Compact, Masterdatamanagement: Van Frustratie Tot
Totaalaanpak, 2013, vol 3, blz. 5.
Vreeke A. en Roest G. de, Meer standaardisatie door en met ERP, Norea, 2010, blz. 2.
Wit D. de en Tolsma J., Effectief procesmanagement, ISBN 978 90 5972 290 3, 2009, blz. 155.
41
Figuren en tabellen in het onderzoek
Figuur 1: Onderzoekmodel van het afstudeeronderzoekFiguur 2: Schematische aanpak theoretisch kader ERP-systemen Figuur 3: Schil rondom IT-processen en IT-data
Figuur 4: De verbetervolgorde van CMMi
Tabel 1: Onderkende operationele risico’s ERP-systeem Tabel 2: Volwassenheidsniveaus CMMi
Tabel 3: Volwassenheidsmodel procesgeoriënteerde werkwijze Tabel 4: Volwassenheidsmodel technische infrastructuur
Tabel 5: Volwassenheidsmodel interne control aspecten workflows Tabel 6: Volwassenheidsmodel masterdata
Tabel 7: Volwassenheidsmodel autorisaties
Tabel 8: Volwassenheidsmodel managementinformatie Tabel 9: Overzicht geïnterviewde experts
Tabel 10: Aanpassing volwassenheidsmodel experts Tabel 11: Definitief volwassenheidsmodel
42
Begripsbepaling
Definitie IAF
De internal auditfunctie helpt een organisatie haar doelstellingen te realiseren door met een systematische en gedisciplineerde aanpak, de effectiviteit van de processen van risicomanagement, beheersing en governance te evalueren en te verbeteren (IIA IPPF).
Definitie beheersing
Interne beheersing is volgens Driessen en Molenkamp (2008) het gehele raamwerk van binnen de organisatie getroffen inrichtingsmaatregelen, zoals missie, doelstellingen, regelgeving, resultaatafspraken,
beheersingskaders en (informatie) systemen. Definitie ERP-systeem
Gable (1998) definieert een ERP-systeem als volgt: “ERP is a comprehensive package software solution that seeks to integrate the complete range of business processes and functions in order to present a holistic view of the business from a single information and IT architecture”.
Definitie volwassenheidsmodel
Bestaat uit een reeks volwassenheidsniveaus voor een bepaald type objecten. Het vertegenwoordigd een verwachte, gewenste of typische ontwikkelroute van deze objecten in de vorm van afzonderlijke fasen. Deze objecten omvatten meestal organisaties of processen (Becker et al. 2009).
Definitie masterdata
Masterdata betreft gegevens die sturing geven aan een proces en uniek moeten zijn binnen een organisatie: stamgegevens die worden gebruikt, gedeeld en worden opgeslagen zonder dat de aard van de data verandert (Nagel en Nieuwenhuis, 2015).
Definitie user controls
User controls worden gedefinieerd als alle handmatige interne controlemaatregelen (Jenkins et al.1992). Definitie application controls
Application controls worden gedefinieerd als alle in applicaties opgenomen geprogrammeerde controlemaatregelen (Jenkins, et al. 1992).
Definitie general controls
General controls worden aangeduid als algemene IT-beheersmaatregelen (Jenkins, et al. 1992). Definitie invoer controls
Deze controls stellen vast dat de data invoer integer is (verplichte velden, limietcontroles op aantallen en bedragen, automatische nummering) (Bellino et al. 2007).
Definitie verwerking controls
Deze controls stellen vast dat de data juist, volledig en geautoriseerd wordt verwerkt (controle technische functiescheiding in de applicatie en fiattering met behulp van de applicatie op basis van three way match) (Bellino et al. 2007).
Definitie uitvoer controls
Deze controls vergelijken de uitvoer met de invoer en gaan na of de verwerking van de data na verwerking van de data juist en volledig is verlopen (geprogrammeerde controles in de applicatie zoals formaatcontroles (datum, elfproef op bankrekeningnummers) en verbandscontroles (evenwicht in journaalposten)) (Bellino et al. 2007). Definitie integriteitscontrols
Deze controls stellen vast dat de data consistent en correct blijven (het inrichten van signaleringslijsten, verwerkingslijsten en rapportages en logging op relevante beheer- en/of gebruikersactiviteiten) (Bellino et al. 2007).
Definitie audittrail
Deze controls stellen vast dat een controle spoor aanwezig is van invoer tot uitvoer. Monitoren tevens de effectiviteit van andere controls en identificeren fouten zo dicht mogelijk tegen de bron aan (Bellino et al 2007).
43