Volwassenheidsmodel voor ERP-systemen : een onderzoek naar een model voor het vaststellen, door de Internal Audit Function, van de mate van het beheersen van een ERP-systeem : de weg naar optimale beheersing

(1)

1

Volwassenheidsmodel voor ERP-systemen

Een onderzoek naar een model voor het vaststellen, door de Internal Audit Function, van de mate van het beheersen van een ERP-systeem.

De weg naar optimale beheersing

Universiteit van Amsterdam

Programma: Executive Internal Auditing Programme Student: Frank Nillesen

Studentnummer: 10682260 Datum: 1 juli 2016

(2)

2

Voorwoord

Deze scriptie maakt onderdeel uit van het Executive Internal Auditing Programme aan de Universiteit van Amsterdam. De doelstelling van deze scriptie is enerzijds het verkrijgen van kennis en vaardigheden in het uitvoeren van een goed onderzoek en anderzijds het diepgaand behandelen van een relevant onderwerp binnen het vakgebied Operational Auditing.

In mijn dagelijkse praktijk als auditor ben ik in aanraking gekomen met ERP-systemen (Enterprise Resource Planning). In mijn organisatie is een ERP-systeem geïmplementeerd en is sinds enkele jaren in productie. Na de implementatie werd duidelijk dat een ERP-systeem complex van aard en veelomvattend is, daar het grote delen van de bedrijfsvoering van een organisatie automatiseert en diep ingrijpt in de processen van de organisatie. Het is evident dat de complexiteit en veelomvattendheid invloed heeft op het beheersen van het systeem. Enkele jaren na de implementatie is de noodzaak ontstaan om een

doorontwikkeling te laten plaatsvinden voor het verbeteren van de beheersing in en rondom het ERP-systeem en de processen verder aan te passen aan het ERP-ERP-systeem.

Mijn veronderstelling hierbij was dat meerdere organisaties dit ondervinden. Dit heeft mij ertoe aangezet een model te ontwikkelen waarmee vastgesteld kan worden in welke mate een ERP-systeem wordt beheerst en welke aspecten van de beheersing kunnen worden verbeterd om tot een hoger niveau van beheersing te geraken. Voor de Internal Audit Function kan het model een uitstekend hulpmiddel zijn voor het signaleren en adviseren over de mate van beheersing van een ERP-systeem aan het senior management en het bestuur van een organisatie.

Voor het tot stand komen van mijn scriptie ben ik uitstekend begeleid door Björn Walrave waarvoor ik hem dank zeg. Verder dank ik de geïnterviewde experts voor hun kritische bijdragen. De interviews hebben dit onderzoek en mijn kennis verrijkt. Ik dank Onno Colenbrander voor het mee- en tegenlezen en zijn kritische opmerkingen.

Tot slot dank ik mijn dierbare vrouw Yvonne en dochters Josha en Mayla voor hun steun en vertrouwen die ze mij hebben gegeven waardoor het voor mij mogelijk was deze opleiding te volgen en daarmee een langdurige wens in vervulling te laten gaan.

(3)

3

Samenvatting

In dit onderzoek is een volwassenheidsmodel voor ERP-systemen ontwikkeld die de Internal Audit Function (IAF) kan helpen de mate van het beheersen van een ERP-systeem vast te stellen alsmede inzicht te geven in welke activiteiten benodigd zijn voor het verbeteren van de beheersing. Een

volwassenheidsmodel bestaat uit een aantal volwassenheidsniveaus en vertegenwoordigd een verwachte of gewenste ontwikkelroute van meestal organisaties of processen. In dit onderzoek is een beproefd

volwassenheidsmodel gebruikt als raamwerk voor het onderscheiden van de volwassenheidsniveaus. De aanleiding voor het ontwikkelen van het model is de veronderstelling dat een ERP-systeem een complex systeem is. Na het implementeren van een ERP-systeem ontstaat veelal de noodzaak om een

doorontwikkeling te laten plaatsvinden voor het verbeteren van de beheersing en de processen verder aan te passen aan het ERP-systeem.

In dit onderzoek zijn de operationele risico’s van een ERP-systeem onderkend en zijn beheersaspecten benoemd voor het mitigeren van deze risico’s. De benoemde beheersaspecten zijn:

 Procesgeoriënteerde werkwijze;  Technische infrastructuur;

 Interne control aspecten workflows;  Masterdata;

 Autorisaties;

 Managementinformatie.

De geïdentificeerde beheersaspecten kunnen niet worden toegekend aan een volwassenheidsniveau, het abstractieniveau is daarvoor te hoog. Voor het kunnen uitdrukken van de mate van volwassenheid zijn per beheersaspect normen ontwikkeld. Deze normen vormen de bouwstenen van het model. Hierbij is

onderscheid gemaakt tussen generieke en specifieke normen. De generieke normen zijn van toepassing voor elk beheersaspect en de specifieke normen zijn van toepassing voor uitsluitend één beheersaspect. Vervolgens zijn de normen toegekend aan een volwassenheidsniveau en ontstaat inzicht in welke mate een organisatie haar ERP-systeem beheerst.

In welke mate een organisatie haar ERP-systeem kan en wil beheersen is een besluit die door het senior management en of bestuur gemaakt dient te worden. De mate waarin risico’s worden gemitigeerd is afhankelijk van de risicobereidheid, uitvoerigheid van risicoanalyses en de doelmatigheid/doeltreffendheid van de controls binnen het ERP-systeem. In het maken van de genoemde afwegingen heeft de IAF een voorname rol. Het is immers een van de taken van de IAF de organisatie te helpen in het realiseren van haar doelstellingen.Het volwassenheidsmodel kan daarbij ondersteuning bieden. Daarbij dient rekening te worden gehouden met de aard van de organisatie, de dekkingsgraad van het aantal geïmplementeerde modules, de mate van integratie van de functionaliteiten van het ERP-systeem en de mate van integratie met andere bedrijfsprocessen en andere applicatiesystemen.

Het volwassenheidsmodel is gevalideerd door experts die beschikken over expertise op het domein van ERP-systemen. In de validatie zijn de onderkende risico’s, de relevante beheersaspecten, de ontwikkelde normen en de toekenning van de normen aan de volwassenheidsniveaus betrokken. Uit de validatie volgen geen aanpassingen aan de gehanteerde aspecten. Wel heeft de validatie geleid tot aanpassingsvoorstellen van een aantal normen. De aanpassingsvoorstellen zijn integraal teruggelegd aan de experts. Een aanpassing in het volwassenheidsmodel is doorgevoerd indien drie van de vijf experts overeenstemming hebben bereikt.

De experts hebben unaniem bevestigd dat het onderzoek een in de praktijk toepasbaar meetinstrument heeft opgeleverd waarmee periodiek of continue de mate van beheersing van een ERP-systeem kan worden vastgesteld.

(4)

4 Inhoud Voorwoord ... 2 Samenvatting ... 3 1. Inleiding ... 6 1.1 Inleiding ... 6 1.2 Doelstelling en onderzoeksvraag ... 7 1.2.1 Doelstelling ... 7 1.2.2 Onderzoeksvraag ... 7

1.2.3 Afbakening van het onderzoek ... 7

1.3 Conceptueel onderzoeksmodel ... 8

1.4 Leeswijzer... 8

2. Methodiek ... 9

2.1 Betrouwbaarheid en validiteit van het onderzoek... 9

2.2 Onderzoeksmethode ... 9

3 Theoretisch kader ERP-systemen ... 10

3.1 Kenmerken van een ERP-systeem ... 10

3.2 Operationele risico’s ERP-systemen ... 11

3.3 Beheersaspecten van een ERP-systeem ... 13

3.3.1 Generieke normen voor de beheersaspecten van een ERP-systeem ... 13

3.3.2 Beheersaspect procesgeoriënteerde werkwijze ... 13

3.3.3 Beheersaspect technische infrastructuur ... 14

3.3.4 Beheersaspect interne control aspecten workflows ... 15

3.3.5 Beheersaspect masterdata ... 16

3.3.6 Beheersaspect autorisaties ... 17

3.3.7 Beheersaspect managementinformatie ... 18

3.4 Keuze volwassenheidsmodel ... 19

4 Het toekennen van de beheersaspecten in een volwassenheidsmodel... 20

4.1 Beschrijving en toepassing Capacity Maturity Model integrated ... 20

4.2 Onderlinge afhankelijkheid volwassenheidsniveaus beheersaspecten ... 21

4.3 Toekennen beheersaspecten in Capacity Maturity Model integrated ... 21

4.3.1 Volwassenheidsmodel procesgeoriënteerde werkwijze ... 22

4.3.2 Volwassenheidsmodel technische infrastructuur ... 23

4.3.3 Volwassenheidsmodel interne control aspecten workflows ... 24

4.3.4 Volwassenheidsmodel masterdata ... 25

4.3.5 Volwassenheidsmodel autorisaties ... 26

4.3.6 Volwassenheidsmodel managementinformatie ... 27

5 Validatie volwassenheidsmodel en definitief model ... 28

(5)

5

5.1.1 Zijn alle operationele risico’s, voor een ERP-systeem, onderkend in tabel één? ... 29

5.1.2 Zijn de relevante beheersaspecten als gevolg van de onderkende risico’s juist en volledig benoemd? ... 29

5.1.3 Zijn de generieke normen juist en volledig benoemd? ... 29

5.1.4 Zijn de specifieke normen per beheersaspect juist en volledig benoemd? ... 29

5.1.5 Zijn de generieke normen juist geplot in het volwassenheidsmodel? ... 29

5.1.6 Zijn de specifieke normen juist geplot in het volwassenheidsmodel? ... 29

5.1.7 Is het volwassenheidsmodel toepasbaar in de praktijk? ... 29

5.2 Aanpassing en analyse definitief volwassenheidsmodel ... 30

6 Conclusie en aanbevelingen IAF... 35

6.1 Conclusie ... 35

6.1.1 Welke beheersaspecten van een ERP-systeem moet de IAF toetsen volgens de literatuur? 35 6.1.2 Welk volwassenheidsmodel is beschikbaar dat als basis kan fungeren voor dit onderzoek? ... ... 35

6.1.3 Op welke wijze kunnen de beheersaspecten worden toegekend aan het volwassenheidsmodel? ... 35

6.1.4 In hoeverre wordt de categorisering van beheersaspecten alsmede de onderkende niveaus van volwassenheid, die worden gehanteerd in ontwikkelde volwassenheidsmodel, herkend door experts? ... 35

6.2 Aanbevelingen voor de IAF ... 36

7 Discussie en reflectie ... 37

7.1 Discussie ... 37

7.1.1 Betrouwbaarheid en validiteit van het onderzoek ... 37

7.1.2 Nieuwe inzichten ... 37

7.1.3 Beperking van het onderzoek. ... 37

7.1.4 Vervolgonderzoek ... 38

7.2 Reflectie ... 38

Literatuurlijst ... 39

Figuren en tabellen in het onderzoek ... 41

Begripsbepaling ... 42

Bijlage 1. Tabellen toewijzen normen aan volwassenheidsniveaus ... 43

Bijlage 2. Vragenlijst voor interview met de experts ... 48

(6)

6

1. Inleiding

1.1 Inleiding

ERP-systemen zijn ontstaan in de jaren tachtig. Er bestond een sterke behoefte de vele bestaande

afzonderlijke informatiesystemen te integreren tot een informatiesysteem. Initiatieven werden ontplooid om een geïntegreerd systeem te ontwikkelen waarin meerdere functionele toepassingen waren ondergebracht en een database deelden. Een ERP-systeem maakt het mogelijk de logistieke, administratieve en financiële bedrijfsprocessen bij elkaar te brengen tot één informatie- en managementsysteem. Vreeke en Roest (2010) stellen dat steeds meer organisaties de voordelen zagen van het implementeren van ERP-systemen om organisaties een volledig geïntegreerde oplossing van bedrijfsvoeringprocessen te bieden. Bijl, Daae & Lof (2010) geven aan dat een ERP-systeem tot doel heeft om de productiviteit te maximaliseren, kosten te beheersen en de service aan klanten te verbeteren. Het onderbrengen van afzonderlijke applicaties in een volledig geïntegreerd systeem is niet eenvoudig. Strikwerda (2008) stelt dat het (doen) realiseren van juiste en betrouwbare informatiesystemen en –voorzieningen (zowel de managementinformatie ten behoeve van de business control als AO//IC ten behoeve van de bescherming van de waarden van de onderneming en de jaarrekening) voor menig bestuurder een kopzorg is. Roath (2014) merkt op dat het opkomen van nieuwe markten, snelle veranderingen in de informatietechnologie, privacy, cybersecurity, veranderende behoeften van klanten, wijzigingen in wetgeving en hoge verwachtingen van investeerders nieuwe onzekerheden, complexiteit en risico’s met zich meebrengen. Verder stelt Roath (2014) dat de IAF zich de vraag zou moeten stellen of we als organisatie denken over IT, beveiliging en privacy zoals we over de business denken. ERP-systemen wordt hierbij als voorbeeld genoemd. ERP-oplossingen geven volgens Hoeffnagel (2014) een zeer rijke functionaliteit met vergaande mogelijkheden tot klant specifieke aanpassingen. De databases bevatten vele duizenden tabellen, ontworpen met aandacht voor het vermijden van redundantie, het verzekeren van veiligheid, het toelaten van grote aantallen gebruikers, enzovoort. Daarnaast kan gekozen worden uit een flink aantal besturingsmethoden en –technieken en kunnen eenvoudig naar wens datavelden worden toegevoegd of aangepast in een reeds geïmplementeerd systeem.

Uit de aangehaalde artikelen kan opgemaakt worden dat ERP-systemen complex van aard zijn. Het adequaat beheersen van een dergelijk complex systeem vormt een grote uitdaging voor een organisatie. Er is een tal van voorbeelden te noemen waarbij ERP-systemen niet of niet voldoende uit de verf zijn

gekomen. Een eclatant voorbeeld is het ontwikkelde automatiseringssysteem Speer dat al jaren behoort tot een van de hoofdpijndossiers van het ministerie van Defensie. Het doel was alle financiële, logistieke en materiële informatie op te slaan en te automatiseren. Het project is gestart in 2004 en had in 2009 klaar moeten zijn. Elf jaar na de start zijn nog steeds niet alle beoogde onderdelen geïmplementeerd en werken de onderdelen die af zijn vaak niet goed genoeg.

Voor het beheersen van een ERP-systeem moet volgens Groen (2006) een adequaat stelsel van interne controlemaatregelen zijn getroffen. Hierbij dient aangetekend te worden dat niet alle organisaties dezelfde behoeften hebben in de mate waarin zij een ERP-systeem willen beheersen. Dit is onder meer afhankelijk van de aard van de organisatie, het aantal geïmplementeerde modules van een ERP-systeem en de mate van integratie van een ERP-systeem in een organisatie. De strategie en doelstellingen van een organisatie vormen het uitgangspunt voor het veranderen en beheersen van processen (Obers en Achterberg, 2014). De gedachte daarbij is dat het beheersen van processen als het ware ‘ingebouwd’ wordt in de processen en technieken die aansluiten bij de strategie en doelstellingen van de organisatie. Welk niveau van beheersing wordt nagestreefd is een afweging die belegd is bij het senior management en of bestuur. Een van de afwegingen zijn de kosten die verbonden zijn aan het treffen van beheersmaatregelen voor het mitigeren van risico’s.

Voor het verkrijgen van het inzicht in welke mate een ERP-systeem wordt beheerst kan een

volwassenheids-model een hulpmiddel zijn. Het doel van een dergelijk model is door middel van een indeling in volwassenheids-niveaus inzicht te verkrijgen op welk volwassenheidsniveau een organisatie zich bevindt alsmede welke activiteiten nodig zijn voor het groeien naar een hoger volwassenheidsniveau. Het vaststellen van de mate van beheersing van een ERP-systeem en het begeleiden van een organisatie naar een hoger volwassenheidsniveau, is een activiteit die bij uitstek is weggelegd voor de IAF. Het is immers een van de taken van de IAF de organisatie te helpen in het realiseren van haar doelstellingen. De standaarden (Performance Standards, IIA) gaan hier nader op in en geven aan dat de IAF potentiele risico’s aangaande de operationele activiteiten en de informatiesystemen van de organisatie evalueren op het gebied

(7)

7

van betrouwbaarheid en integriteit van de financiële en de operationele informatie, doeltreffendheid en doelmatigheid van de operationele activiteiten, bescherming van de activa en naleving van wetten, regelgeving en contracten. Verder geven de standaarden aan dat de IAF de organisatie ondersteunt bij het handhaven van doeltreffende interne beheersmaatregelen, door de doeltreffendheid en doelmatigheid daarvan te evalueren en een voortdurende verbetering te stimuleren. Een volwassenheidsmodel levert een goede bijdrage voor een IAF voor het periodiek of continue beoordelen van de beheersing van een ERP-systeem.

1.2 Doelstelling en onderzoeksvraag

1.2.1 Doelstelling

Het doel van dit onderzoek is het ontwikkelen van een model waarmee de volwassenheid van de beheersing in en rondom een ERP-systeem kan worden vastgesteld.

De relevantie van dit onderzoek is gelegen in het feit dat het een bijdrage levert aan de kennis over de beheersing van een ERP-systeem. Het onderzoek is ook maatschappelijk relevant, daar het te ontwikkelen model door IAF’s kan worden gebruikt om het volwassenheidsniveau van ERP-systemen vast te stellen en het organisaties daardoor beter in staat stelt doelstellingen te behalen.

1.2.2 Onderzoeksvraag

Om te voldoen aan de doelstelling van het onderzoek is de onderstaande onderzoeksvraag geformuleerd: Hoe ziet een model eruit waarmee de IAF kan toetsen in hoeverre bij een organisatie sprake is van volwassenheid als het gaat om de beheersing van een ERP-systeem?

Om de onderzoeksvraag te beantwoorden zijn de volgende deelvragen geformuleerd: 1. Welke beheersaspecten van een ERP-systeem zijn van belang?

1.1 Welke risico’s worden onderkend bij een ERP-systeem?

1.2 Welke beheersmaatregelen zijn nodig om de juiste en volledige werking van een ERP-systeem te garanderen?

2. Welk volwassenheidsmodel is beschikbaar dat als basis kan fungeren voor dit onderzoek? 3. Op welke wijze kunnen de beheersaspecten worden toegekend aan het volwassenheidsmodel? 4. In hoeverre wordt de categorisering van beheersaspecten alsmede de onderkende niveaus van

volwassenheid, die worden gehanteerd in ontwikkelde volwassenheidsmodel, herkend door experts?

5. Welke conclusie en aanbevelingen volgen uit het onderzoek voor de IAF?

1.2.3 Afbakening van het onderzoek

Binnen het managen van informatiesystemen zijn drie hoofdonderdelen te onderscheiden: mensen,

processen en technieken (Leon, 2008). Dit onderzoek gaat in op het beheersen van processen in en rondom een ERP-systeem. De onderdelen mensen en technieken maken geen deel uit van dit onderzoek. Evenmin valt de inrichting van een ERP-systeem binnen de scope van dit onderzoek. Met inrichting wordt bedoeld het instellen/parameteriseren van een ERP-systeem.

(8)

8

1.3 Conceptueel onderzoeksmodel

Een onderzoeksmodel is een schematische weergave van het doel van het onderzoek en de stappen die gezet moeten worden om dit doel te bereiken (Verschuren & Doorewaard, 2007). Onderstaand is het onderzoeksmodel voor dit onderzoek visueel weergegeven.

Bronnen (a) Criteria (b) Resultaten (c) Model (d) Analyse (e)

Figuur 1: Onderzoekmodel van het afstudeeronderzoek

Het onderdeel theorie ERP-systemen geeft de theorie weer (a) die betrekking heeft op risico’s en

beheersing van een ERP-systeem. De relevante beheersaspecten (b) vormen de bouwstenen voor het model (c). Vervolgens wordt het model gevalideerd door experts op het gebied van ERP-systemen (d). Tot slot worden aan de uitkomsten van het onderzoek conclusies verbonden en volgen daaruit aanbevelingen voor de IAF (e).

1.4 Leeswijzer

In het tweede hoofdstuk wordt de betrouwbaarheid en de validiteit ter waarborging van het kwalitatief goed uitvoeren van het onderzoek uiteengezet alsmede de gehanteerde onderzoeksmethode.

Hoofdstuk drie beschrijft het theoretisch kader en gaat in op de kenmerken, complexiteit, de risico’s en beheersing van een ERP-systeem waarmee een organisatie wordt geconfronteerd alsmede welk

volwassenheidsmodel als basis voor dit onderzoek kan fungeren.

Hoofdstuk vier beschrijft op welke wijze de beheersaspecten worden toegekend aan de

volwassenheidsniveaus. Daarnaast wordt in dit hoofdstuk beschreven welk beheersaspect op welke plaats is toegekend in het volwassenheidsmodel.

In hoofdstuk vijf zijn de uitkomsten van de validatie door de experts van de categorisering van de beheersaspecten, alsmede de onderkende niveaus van volwassenheid, die worden gehanteerd in het

ontwikkelde volwassenheidsmodel, weergegeven. Daarnaast wordt in dit hoofdstuk een analyse gegeven op het model en is het definitieve model opgenomen.

In hoofdstuk zes volgen de conclusies en aanbevelingen uit het onderzoek. Tenslotte volgt in hoofdstuk zeven een discussie en reflectie.

Theorie ERP-systemen

Criteria theorie Bouwstenen modelsysteem Conclusie en aanbevelingen Validatie experts Model vaststelling beheersing

(9)

9

2. Methodiek

In dit hoofdstuk wordt de betrouwbaarheid en de validiteit ter waarborging van het kwalitatief goed uitvoeren van het onderzoek uiteengezet alsmede de gehanteerde onderzoeksmethode.

2.1 Betrouwbaarheid en validiteit van het onderzoek

Het type onderzoek dat wordt uitgevoerd is kwalitatief van aard. Voor het uitvoeren van kwalitatief goed onderzoek moet worden voldaan aan een tweetal criteria, deze betreffen betrouwbaarheid en validiteit. Het begrip betrouwbaarheid behelst de nauwkeurigheid en zorgvuldigheid in de wijze van werken. Het begrip validiteit behelst dat de verzamelde gegevens en resultaten de onderzochte werkelijkheid weerspiegelen (Migchelbrink, 2009). Swanborn geeft in zijn werk (1994) aan dat onder het begrip validiteit wordt verstaan de mate waar in een onderzoek vrij is van fouten, de mate waarin conclusies te generaliseren zijn en de ‘intepretatie-exclusiviteit’ van een onderzoek.

Voor het voldoen aan het betrouwbaarheidscriterium is van belang dat het onderzoek herhaalbaar is. In het onderzoek wordt verwezen naar de gebruikte bronnen. De verwijzing maakt de relatie tussen de gegevens en de interpretatie zichtbaar waardoor deze controleerbaar en bekritiseerbaar worden (Zwieten en Willems, 2004). De gebruikte bronnen voor het inventariseren van de kenmerken, risico’s en beheersaspecten van een ERP-systeem zijn verschillend van aard. De betrouwbaarheid van het onderzoek is verhoogd door het toepassen van de bronnentriangulatie. Waarborg in dit onderzoek is dat de kwaliteitsaspecten, zoals deze gelden in de informatievoorziening, breed gedragen zijn. Definities met betrekking tot beschikbaarheid, exclusiviteit, integriteit, controleerbaarheid, doelmatigheid en doeltreffendheid zijn helder gedefinieerd en vormen de bouwstenen voor het vaststellen van de mate van beheersing. Voor het voldoen aan het

validatiecriterium is het volwassenheidsmodel tot stand gekomen door het model meerdere malen te reconstrueren en daardoor te laten evolueren. Daarnaast hebben de experts voor het valideren van het volwassenheidsmodel geen onderlinge relatie/contacten waardoor er geen onderlinge beïnvloeding plaatsvindt en de betrouwbaarheid van het onderzoek toeneemt. De uitkomsten van de interviews worden teruggelegd aan alle experts ter voorkoming van vertekeningen in het onderzoek.

2.2 Onderzoeksmethode

Het onderzoek vangt aan met een literatuuronderzoek. De bestaande literatuur wordt aangewend om kennis te verkrijgen van de kenmerken, risico’s en beheersaspecten van een ERP-systeem. Deze kennis wordt gebruikt om normen te inventariseren waaraan de beheersaspecten moeten voldoen en wordt een keuze gemaakt voor een volwassenheidsmodel dat kan fungeren als raamwerk voor het onderscheiden van de volwassenheidsniveaus. Criteria voor de keuze van het volwassenheidsmodel is dat per

volwassenheidsniveau de mate van beheersing moet worden kunnen uitgedrukt op het gebied van informatiesystemen. Daarna worden de geïnventariseerde normen toegekend aan de

volwassenheidsniveaus. De wijze waarop de normen aan de volwassenheidsniveaus worden toegekend vindt plaats aan de hand van de gehanteerde definities in het gekozen volwassenheidsmodel. Het toekennen van de normen is zichtbaar gemaakt in het onderzoek.

Tot slot wordt het volwassenheidsmodel door experts gevalideerd. De experts hebben gemeenschappelijk dat zij allen uitgebreide kennis en ervaringen hebben op het domein van ERP-systemen. Bij het selecteren van de experts is nadruk gelegd op de voornaamste beheersaspecten van een ERP-systeem. Dit leidt tot het selecteren van experts met als specialisatie de technische infrastructuur, data (transactie- en masterdata), processen in en rondom ERP-systemen en op het gebied van het auditen van ERP-systemen. De uitkomsten van de semigestructureerde interviews resulteren in een definitief model teneinde een model op te leveren dat bruikbaar is in de praktijk. Voor het interviewen van de experts worden vragen geformuleerd die gericht zijn op de juistheid en volledigheid van de benoemde risico’s, de normen per beheersaspect, het toekennen van de normen van de onderscheiden niveaus in het volwassenheidsmodel en de toepasbaarheid van het model. Een aanpassing in het volwassenheidsmodel wordt doorgevoerd nadat consensus is bereikt tussen de experts. Indien geen consensus wordt bereikt wordt de aanpassing doorgevoerd indien drie van de vijf experts overeenstemming bereiken. Indien geen overeenstemming werd bereikt is de voorgestelde aanpassing niet verwerkt. Doorgevoerde aanpassingen zijn transparant verwerkt.

(10)

10

3 Theoretisch kader ERP-systemen

Dit hoofdstuk behandelt de beheersaspecten van een ERP-systeem die vallen onder het toetsingskader van de IAF. Tevens behandelt dit hoofdstuk welk volwassenheidsmodel als raamwerk voor dit onderzoek kan fungeren. Het stramien van dit hoofdstuk is als volgt vormgegeven:

Figuur 2: Schematisch aanpak theoretisch kader ERP-systemen

3.1 Kenmerken van een ERP-systeem

Er zijn veel auteurs die definities hebben geformuleerd over ERP-systemen (Gable et al.1998). De definities stemmen grotendeels overeen. De variaties in de definities liggen voornamelijk in het benadrukken van een van de kenmerken van een ERP-systeem. Een vooraanstaand onderzoeks- en

adviesbureau op het gebied van informatietechnologie The Gartner Group (www.gartner.com) heeft de drie voornaamste kenmerken van een ERP-systeem als volgt benoemd:

 Een ERP-systeem is multifunctioneel. Een ERP-systeem bestrijkt een breed spectrum. ERP-systemen gaan zowel over de financiële resultaten, als over de productieplanning als de verkoop als over human resource management etc.;

 Een ERP-systeem is een geïntegreerd systeem. Hiermee wordt bedoeld dat als een van de functies binnen het ERP-systeem wijzigt dat de informatie in alle gerelateerde functies eveneens onmiddellijk worden aangepast;

 Een ERP-systeem is modulair opgebouwd. Een organisatie kan kiezen hoeveel en welke modules zij gaat gebruiken.

De bovengenoemde kenmerken van een ERP-systeem hebben een grote impact op een organisatie. De reden hiervan is dat een ERP-systeem ingrijpt in de integratie van verschillende bedrijfsprocessen en daardoor diep in de organisatie doordringt. Integratie gaat verder dan alleen de functionaliteit die een ERP-systeem biedt. Integratie is ook noodzakelijk met andere bedrijfsprocessen en mogelijk andere

applicatiesystemen die door een organisatie wordt gebruikt. Tevens is integratie afhankelijk van de

dekkingsgraad van het aantal processen dat wordt ondersteund door het ERP-systeem en in hoeverre sprake is van handmatige of automatische koppelingen met het ERP-systeem (Veld en Waldenmaier, 2003). De uitdaging voor een organisatie is om met een multifunctioneel, modulair en geïntegreerd informatiesysteem de bedrijfsvoering continue te beheersen.

Hoe meer modules zijn geïmplementeerd hoe complexer het ERP-systeem wordt. Naarmate het aantal modules toeneemt moeten er meer parameters worden ingesteld om de modules te laten samenwerken (Ragowsky et al. 2002). De instellingen van de parameters dienen consistent te zijn en dwingt tot een hogere mate van standaardisering. Als gevolg hiervan dient de organisatie zich aan te passen aan de standaarden van het ERP-systeem (Ragowsky et al. 2002).

IT-systemen worden steeds ingewikkelder als gevolg van een steeds complexer wordende wereld (Nuijten & van Twist 2014). Ook geven zij aan dat bij een hoge mate van complexiteit, naast de bekende

kwaliteitsaspecten, aanpasbaarheid en flexibiliteit van groter belang worden. Vreeke en Roest (2010) stellen dat het management er zich bewust van moet zijn welke processen wel of niet te standaardiseren. Het standaardiseren van processen is niet zonder risico’s. Indien processen die de organisatie

onderscheidend en competitief maken worden gestandaardiseerd zou de concurrentiekracht kunnen afnemen. Dit soort processen hebben flexibiliteit en een grote mate van aanpasbaarheid nodig. Govers (2003) geeft aan dat om een ERP-systeem operationeel te krijgen de ingezette flexibiliseringsstrategie bevroren dient te worden en de bureaucratische kenmerken zoals centralisatie, formalisatie en

standaardisatie op subtiele wijze toenemen. (Complexe) kenmerken

ERP-systeem

Risico’s ERP-systeem Beheersaspecten ERP-systeem

Generieke normen beheersaspecten

Specifieke normen per beheersaspect

(11)

11

Het begrip complexiteit, in relatie tot informatievoorziening, is volgens Flood (1987) in een drietal dimensies te onderscheiden:

 Het aantal elementen,

 het aantal mogelijke relaties, en

 de mogelijke toestanden van die relaties.

De drie genoemde dimensies zijn binnen een ERP-systeem in grote getalen aanwezig. In paragraaf 3.3 beheersaspecten van een systeem wordt nader ingegaan op de complexe elementen van een ERP-systeem.

3.2 Operationele risico’s ERP-systemen

Voor het beheersen van een informatiesysteem is volgens Bellino et al. (2007) een succesvol risicomanagement nodig. Een dergelijk management is afhankelijk van:

 De risicobereidheid of tolerantie van de organisatie;

 De uitvoerigheid van de risicoanalyse gerelateerd aan de applicatie;  De door het informatiesysteem beïnvloede bedrijfsprocessen;  De doelmatigheid van de controls binnen de applicatie;  De doeltreffendheid van de controls binnen de applicatie.

Een belangrijk onderdeel van risicomanagement is het uitvoeren van een risicoanalyse. Onder een risicoanalyse wordt volgens Rutkens, Tushuizen en Bouthoorn (2004) verstaan: “het systematisch beoordelen van de schade voor de organisatie als gevolg van het optreden van een bedreiging voor de organisatie en de waarschijnlijkheid dat een dergelijk risico zich voordoet". Bedreigingen voor ERP-systemen kunnen gevolgen hebben voor de kwaliteitsaspecten van de informatie (zie voor de

kwaliteitsaspecten paragraaf 2.1). Alle kwaliteitsaspecten vallen onder het beheersen van een ERP-systeem en zijn onderwerp van onderzoek voor de IAF.

Zoals aangegeven in de inleiding is de mate van beheersing van een ERP-systeem een aangelegenheid die belegd is bij het senior management en of bestuur. Onderdeel hiervan is het bepalen van de risicobereidheid en de uitvoerigheid van de risicoanalyse gerelateerd aan een ERP-systeem. Wanneer dat door het senior management en of bestuur is vastgesteld kan uitvoering worden gegeven aan het beheersen van een ERP-systeem.

Informatiesystemen brengen risico’s met zich mee welke inherent zijn aan de eigenschappen van de technologie, de configuratie van het systeem, het managen van het systeem en het gebruik van het systeem (Bellino et al. 2007). Deze risico’s kunnen een negatief effect hebben op de financiële of operationele data als deze niet toereikend worden gemitigeerd. Dit resulteert bij veel organisaties in het gebruiken van een mix van geautomatiseerde en handmatige controls voor het managen van risico’s. Bij gebruik van geautomatiseerde processen bestaat volgens Vreeke en Roest (2010) het risico dat in onvoldoende mate bewaakt wordt of de interne control aspecten voldoende zijn verankerd in de processen en dat de interne controlemaatregelen voldoende geoptimaliseerd zijn. Zoals aangegeven in paragraaf 3.1 kenmerkt een ERP-systeem zich doordat een ERP-systeem ingrijpt in de integratie van verschillende bedrijfsprocessen. Het aantal operationele modules bepaalt de mate waarin een organisatie haar bedrijfsprocessen dient aan te passen aan het systeem. De Bruijn en Troquay (z.j.) geven aan dat als een organisatie, in een ERP-omgeving, vast blijft houden aan de afdelingsgeoriënteerde werkwijze, er een onbeheerste situatie kan ontstaan en dat de bedrijfsprocessen onvoldoende efficiënt en effectief uitgevoerd zouden kunnen worden. Kloosterman en Snoeker (2013) geven aan dat gebruikers werken met zowel IT-processen als met IT-data. Hierin schuilt een risico dat ongeautoriseerde gebruikers door middel van IT-processen data kan

raadplegen, toevoegen, verwijderen en of muteren. Tevens bestaat het risico dat ongewilde mutaties in de software leiden tot onjuiste werking van de software en leidt tot onjuiste verwerking van transactiedata. Met betrekking tot data is onderscheid te maken tussen transactiedata die in ERP-systeem middels workflows worden verwerkt en de vaste data (masterdata) voor het mogelijk maken dat de workflows werken. Voorhout, Staaij en Swartjes (2013)geven aan dat het juist en volledig beheren van masterdata van groot belang is voor een juiste bedrijfsvoering. Inconsistente masterdata leidt tot extra kosten of leidt tot verlies die niet direct in geld kan worden uitgedrukt, zoals bijvoorbeeld ontevreden klanten.

(12)

12

Roest en Rooij (2008) geven aan functiescheiding een basisvoorwaarden is voor een adequate besturing en beheersing van een organisatie. Autorisaties in het systeem is de manier om functiescheiding strikt in te richten. Het is lastig om een goede inrichting te realiseren waarbij een volledige scheiding bestaat tussen de handelingen, kijkrechten en de verschillende afdelingen. Vaak worden de autorisaties geregeld op basis van onvolledige informatie en met onvoldoende aandacht.

Panman, van Grinsven en Mennen (2013) geven aan dat vele onderzoeken laten zien dat het op orde hebben van de interne beheersing in een organisatie cruciaal is voor de betrouwbaarheid van de gegevens respectievelijk van managementinformatie. Onbetrouwbare managementinformatie leidt tot onjuiste besluitvormingsprocessen en onjuiste monitoring van de beheersing van het ERP-systeem. Daarbij dient ook rekening te worden gehouden met het feit dat de managementinformatie op een betrouwbare wijze tot stand komt.

In de onderstaande tabel zijn de geïnventariseerde risico’s, het gevolg van de risico’s, beheersaspecten voor het mitigeren van risico’s, de daarmee verband houdende kwaliteitsaspecten en de bronnen weergegeven.

Tabel 1: Onderkende operationele risico’s ERP-systeem

Risico Gevolg Beheersaspect Kwaliteitsaspect Bron

Vast blijven houden aan afdelingsgeoriënteerde werkwijze waardoor bedrijfsprocessen niet voldoende doelmatig en doeltreffend worden uitgevoerd en waardoor een onbeheerste situatie kan ontstaan.

Ontstaan van een onbeheerste situatie en het leiden tot onjuiste producten en of dienstverlening naar klanten.

Procesgeoriënteerde werkwijze invoeren, die aangepast is aan de gedefinieerde processen in een ERP-systeem. Controleerbaarheid, doelmatigheid en doeltreffendheid De Bruijn en Troquay.

Onvoldoende beheersing van technische infrastructuur leidt tot ongeautoriseerde en ongewilde wijzingen in it-processen en it-data.

Ongewilde mutaties in software kunnen leiden tot verstoringen in de bedrijfsprocessen. Onrechtmatig verlaten van data en middelen van de organisatie.

De geautomatiseerde infrastructuur adequaat inrichten opdat geen ongewilde mutaties in software plaatsvinden. Beschikbaarheid, exclusiviteit en integriteit Kloosterman en Snoeker.

Onvoldoende verankering van interne control-aspecten in het ontwerpen van de processen leidt tot fouten in de

verwerking van transactiedata.

Niet of niet tijdig ontdekken van foutieve verwerkingen van transacties in de processen van het ERP-systeem.

Processen (Workflows) binnen het ERP-systeem zodanig ontwerpen dat interne controle-aspecten zijn verankerd in de processen. Controleerbaarheid, integriteit, doelmatigheid en doeltreffendheid Vreeke en Roest.

Onvoldoende beheren van masterdata waardoor processen gebruik maken van onjuiste en onvolledige masterdata.

Onvoldoende beheersing leidt tot extra kosten of leidt tot verlies die niet direct in geld kan worden uitgedrukt. Beschikken over masterdata management waardoor juist- en volledigheid wordt gewaarborgd van de masterdata en leidt tot efficiency in de workflows. Controleerbaarheid, integriteit, doelmatigheid en doeltreffendheid Voorhout, Staaij en Swartjes.

Onvoldoende doorvoeren van functiescheidingen kan leiden tot fraudes en onbedoelde fouten door het handelen van een medewerker.

Ongewilde mutaties in it-processen en it-data kunnen leiden tot verstoringen in de bedrijfsprocessen en kunnen leiden tot het onrechtmatig verlaten van data en middelen van de organisatie.

Ongeautoriseerde gebruikers kunnen geen data raadplegen, toevoegen, verwijderen of muteren. Er is functiescheiding doorgevoerd ter

voorkoming van fraudes en onbedoelde fouten. Controleerbaarheid, beschikbaarheid, exclusiviteit, integriteit, doelmatigheid en doeltreffendheid De Roest en de Rooij. Onvoldoende interne beheersing van een ERP-systeem leidt tot onbetrouwbare

managementinformatie/onjuiste besluitvormingsprocessen en monitoring van de werking van het ERP-systeem.

Onjuiste en onvolledige managementinformatie waardoor monitoring van de werking van het ERP-systeem niet adequaat werkt en informatie ter ondersteuning van het besluitvormingsproces onbetrouwbaar is. Beschikken over managementinformatie die aansluit op de informatiebehoeften van het management.

Vaststellen dat het tot stand komen van

managementinformatie juist, volledig en tijdig plaatsvindt. Controleerbaarheid, doelmatigheid en doeltreffendheid Panman, van Grinsven en Mennen.

(13)

13

3.3 Beheersaspecten van een ERP-systeem

Voor de interne beheersing van een ERP-systeem zijn, op basis van de uitgevoerde risicoanalyse, de volgende beheersaspecten onderscheiden: procesgeoriënteerde werkwijze, technische infrastructuur, interne control aspecten in workflows, masterdata, autorisaties en managementinformatie. De genoemde

beheersaspecten worden door praktijkervaringen in de beheersing van ERP-systemen onderschreven (Meuldijk en op het Veld 2001).

Voor het toekennen van de beheersing per beheersaspect in het volwassenheidsmodel worden normen geformuleerd. Deze normen zijn te categoriseren in generieke normen (sub paragraaf 3.3.1) en normen per beheersaspect (sub paragraaf 3.3.2 tot en met 3.3.7).

3.3.1 Generieke normen voor de beheersaspecten van een ERP-systeem

Wit en Tolsma (2009) benoemen een aantal kritieke randvoorwaarden die een bijdrage leveren aan het realiseren van doelstellingen voor het beheersen en verbeteren van bedrijfsprocessen. Zij stellen dat voor het verbeteren van de effectiviteit en efficiency van bedrijfsprocessen noodzakelijk is dat:

 Proceseigenaren zijn benoemd en verantwoordelijk zijn gemaakt voor de beheersing en verbetering van processen;

 Standaardisatie van processen op organisatieniveau is doorgevoerd;  Actuele procesbeschrijvingen formeel zijn vastgesteld en beschikbaar zijn;  Beheersmaatregelen geïmplementeerd zijn in de processen;

 Periodiek controle op werking beheersmaatregelen plaatsvindt;  Prestatie indicatoren afgeleid van bedrijfsdoelen zijn ontwikkeld;  Periodiek prestatieanalyses worden uitgevoerd;

 Periodieke evaluaties van de bedrijfsprocessen worden uitgevoerd.

In dit onderzoek wordt verstaan onder de bedrijfsprocessen de processen die door het ERP-systeem zijn geautomatiseerd.

3.3.2 Beheersaspect procesgeoriënteerde werkwijze

3.3.2.1 Beschrijving beheersaspect

Driessen en Molenkamp (2008) geven aan dat een proces gedefinieerd kan worden als een serie

doelgerichte activiteiten, waarbij invoer wordt omgezet in uitvoer. In een proces sluiten de handelingen of tussenproducten van de verschillende afdelingen in een organisatie op elkaar aan om een goed eindresultaat te verkrijgen. De onderlinge verbindingen tussen de organisatieonderdelen kunnen leiden tot spanningen en risico’s in die verbindingen (versnippering, langs elkaar heen werken, bottlenecks, verstoringen, doublures en behandelingsrisico’s enz.).

Scheepers en Schunk (2007) geven aan dat als duidelijk is hoe wordt samengewerkt, de inrichting van het operationele proces begint. Het is noodzakelijk dat de proceseigenaren inzicht hebben in de processen en dat duidelijkheid bestaat in organisatiedoelstellingen die men wil bereiken (tijd, geld en kwaliteit). Verder is het van belang dat de betrokken proceseigenaren zicht hebben op het totale proces. Een gezamenlijk beeld van het totale proces en de onderlinge verwachtingen maakt het mogelijk te komen tot effectieve en efficiënte processen. De ERP-technologie ondersteunt hierbij en verbindt de processen door middel van workflows (zie hiervoor paragraaf 3.3.4). Een effectieve invoering van een workflow is alleen mogelijk wanneer de organisatie procesgericht gaat werken (Bruin en Troquay, z.j.). Voor een procesgeoriënteerde werkwijze is het noodzakelijk dat er duidelijke procesbeschrijvingen zijn. Een procesbeschrijving geeft het gehele proces van begin tot eind op een begrijpelijke wijze weer. Aan de hand van een procesbeschrijving kunnen medewerkers zichzelf positioneren in het proces, is zichtbaar welke handelingen in het proces plaatsvinden en kunnen zij de collega’s bevragen over hun rol in het proces. Tenslotte kunnen aan de hand van de procesinrichting de lastige koppelvlakken in gezamenlijkheid en binnen hun organisatorische context (ook andere applicatiesystemen) besproken worden (Crijns, Ruiterman, Aardewijn en Man de, z.j.). De Bruijn en Troquay (z.j.) geven aan dat een procesgeoriënteerde organisatie niet alleen aandacht heeft voor de inhoud van een dienst of product maar ook voor de wijze waarop dat tot stand komt. Het proces bepaalt de mate waarin een product of dienst wordt geleverd conform doorlooptijd, kosten en kwaliteit.

(14)

14

Dezelfde auteurs geven aan dat een procesgeoriënteerde werkwijze niet vanzelf ontstaat. Bij een omschakeling van afdelingsgeoriënteerde naar procesgeoriënteerde werkwijze worden de processen (verder) geoptimaliseerd. Een veel gebruikte hulpmiddel om tot een procesgeoriënteerde werkwijze te komen is de bedrijfsprocesgeoriënteerde benadering die bekend staat als Business Proces Redesign of, wanneer nog ingrijpendere veranderingen noodzakelijk zijn, Business Process Reengineering (Noordhoff Uitgevers bv Kennismaking met bedrijfsfuncties, bedrijfsprocessen, ERP en Business Management). 3.3.2.2 Normen beheersaspect

De uitkomst van het literatuuronderzoek is dat de gegevensverwerking de kwaliteit van een dienst of product bepaald door een doelmatig en doeltreffend gedefinieerd proces en dat processen (koppelvlakken) rondom het ERP-systeem zijn gesynchroniseerd met de workflows in het ERP-systeem.

Het beheersaspect kent de onderstaande normen die van belang zijn voor het vaststellen van de mate van beheersing:

 Processen zijn beschreven waarin is opgenomen dat koppelvlakken (aansluiten van handelingen en tussenproducten) tussen de verschillende processen zijn ingeregeld;

 Processen zijn aangepast aan de workflows van het ERP-systeem als gevolg van de ingeregelde koppelvlakken en het optimaliseren van de processen (ook van andere applicatiesystemen);  Periodiek wordt vastgesteld dat de inrichting van de processen voldoen aan de doelstellingen van

de organisatie;

 Proceseigenaren hebben inzicht in het gezamenlijk beeld van het totale proces en de onderlinge verwachtingen om tot doelmatige en doeltreffende processen te komen;

 Periodiek wordt vastgesteld dat beheersmaatregelen de juiste werking van de koppelvlakken waarborgen;

 Specifieke prestatie-indicatoren zijn ontwikkeld en zijn gericht op een procesgeoriënteerde werkwijze en op de koppelvlakken tussen de processen zoals doorlooptijden handelingen;  Afwijkingen worden gemonitord ten opzichte van gedefinieerde normen;

 Processen worden aangepast als gevolg van de periodieke monitoring.

3.3.3 Beheersaspect technische infrastructuur

Het studierapport Algemene Beheersing van IT-diensten van Norea (2015) geeft aan dat de complexiteit van de hedendaagse infrastructuren zodanig groot is dat het beoordelen van systeemparameters niet meer toereikend is. De auditor zal inzicht moeten verkrijgen in de totale architectuur en de samenhang van de componenten die de infrastructuur vormen. De beheersing van de technische infrastructuur bepaalt een betrouwbare en continue gegevensverwerking. Kloosterman en Snoeker (2013) geven aan dat om een juiste beheersing van de technische infrastructuur te waarborgen en daarmee betrouwbaarheid van de gegevens af te dwingen een beschermingsschil om de IT-processen en de IT-data aanwezig dient te zijn (figuur 3). De processen en data zijn aan wijzigingen onderhevig. Behoudens functionele wijzigingen, worden

wijzigingen ook veroorzaakt door updates van systeemsoftware.

Figuur 3: Schil rondom processen en data. Bron Studierapport Algemene Beheersing van IT-diensten (Norea Platform).

(15)

15

De beheersmaatregelen rondom de technische infrastructuur, zoals aangegeven door Kloosterman en Snoeker (2013), worden aangeduid als general IT-controls. De auteurs geven aan dat er verschillende vormen van general IT-controls bestaan. Er zijn general IT-controls voor het beschermen van de technische IT-infrastructuur. Hiermee wordt bedoeld: maatregelen voor ontwerp van de IT-infrastructuur, fysieke en logische toegangsbeveiliging tot de infrastructuur, monitoring op naleving en signalering afwijkingen en changemanagement op ontwerp en toegang. Daarnaast zijn er general controls voor het beschermen van IT-processen. Hiermee wordt bedoeld: maatregelen voor ontwerp van functionele IT-processen, het ontwerp van de logische toegangsbeheersing binnen de IT-processen, -monitoring van wijzigingen en het definiëren van de IT-processen en de application controls in samenhang met de handmatige processen en controles (zie hiervoor verder paragraaf 3.3.4). Tot slot zijn er general controls voor het beschermen van de IT-data. Hiermee wordt bedoeld: het ontwerp van de data architectuur, logische toegangsbeheersing tot data, monitoring van wijzigingen van data-architectuur en logische toegangsverlening en changemanagement bij toevoegingen of veranderingen buiten de reguliere applicaties om.

3.3.3.2 Normen beheersaspect

De uitkomst van het literatuuronderzoek is dat gegevens betrouwbaar dienen te blijven, dat het ERP-systeem beschikbaar is en dat de vertrouwelijkheid van de gegevens is gewaarborgd.

 Wijzigingen in de technische infrastructuur worden middels een vastgesteld proces verwerkt;  Beheersmaatregelen (general IT-controls) zijn verankerd in de technische infrastructuur;  Periodiek wordt vastgesteld dat de inrichting van de technische infrastructuur voldoet aan de

doelstellingen van de organisatie;

 De eisen waaraan de technische infrastructuur dienen te voldoen zijn eenduidig gedefinieerd;  Periodiek wordt het stelsel van beheersmaatregelen voor het beschermen van de technische

IT-structuur beoordeeld;

 Periodiek wordt van het stelsel van beheersmaatregelen voor het beschermen van IT-processen beoordeeld;

 Periodiek wordt het stelsel van beheersmaatregelen voor het beschermen van de IT-data beoordeeld;

 Specifieke prestatie-indicatoren worden ontwikkeld en zijn gericht op de integere werking van het ERP-systeem;

 Periodiek worden afwijkingen ten opzichte van de gedefinieerde normen gemonitord;  Processen worden aangepast als gevolg van de periodieke monitoring.

3.3.4 Beheersaspect interne control aspecten workflows

De strategie en doelstellingen van een organisatie vormen het uitgangspunt voor het veranderen en beheersen van processen (Obers en Achterberg, 2014). Voor het beheersen van processen zijn beheersmaatregelen noodzakelijk. Deze dienen voor het waarborgen dat de processen betrouwbaar verlopen. In een ERP-systeem zijn, afhankelijk van het aantal geïmplementeerde modules en de inrichting daarvan, processen geautomatiseerd in zogenaamde workflows. In de workflows zijn application controls opgenomen. Daarnaast dienen er user controls te zijn gedefinieerd. Application controls hebben tot doel het waarborgen van de betrouwbaarheid van de verwerking door de applicatie. User controls hebben tot doel betrouwbare brongegevens te genereren ten behoeve van de invoer in de informatiesystemen, actie te ondernemen op basis van gegevens en signalen uit het ERP-systeem en de bediening van het ERP-systeem zoveel mogelijk te vereenvoudigen (Groen, 2006). De literatuur geeft aan dat er verschillende typen van application controls bestaan (Bellino et al. 2007): invoer controls, verwerking controls, uitvoer controls, integriteitscontrols en een audittrail. De definities van deze controls zijn weergegeven bij het onderdeel begripsbepaling.

Zoals in paragraaf 3.1 aangegeven speelt het aanpassen en standaardiseren van processen en data een grote rol binnen organisaties. Wanneer een grote mate van standaardisatie is bereikt, is het mogelijk door middel van tooling vast te stellen of de activiteiten binnen de workflows verlopen zoals vooraf bedacht. Vreeke en

(16)

16

Roest (2010) geven aan dat deze tools allemaal het kenmerk hebben dat zij, op basis van vooraf

gedefinieerde normen, afwijkingen kunnen constateren en rapporteren. Stoplichtrapporten laten dan exact zien of functiescheidingen worden doorbroken, of leveringen te lang openstaan, of tussenrekeningen oplopen, of betalingskortingen wel worden gerealiseerd etc.

De uitkomst van het literatuuronderzoek leidt tot workflows die gericht zijn op dat alle activiteiten binnen de workflows juist, volledig en tijdig verlopen.

Het beheersaspect kent de onderstaande specifieke normen die van belang zijn voor het vaststellen van de mate van beheersing:

 Wijzigingen in de workflows worden middels een vastgesteld proces verwerkt;  Beheersmaatregelen (user en application controls) zijn verankerd in de workflows;  Periodiek wordt vastgesteld dat de inrichting van de workflows overeenstemt met de

bedrijfsprocessen van de organisatie;

 De eisen waaraan de workflows dienen te voldoen zijn eenduidig gedefinieerd;

 Specifieke prestatie-indicatoren voor workflows zijn ontwikkeld en zijn gericht op de werking van de onderscheiden application controls en op de werking van de user controls;

 Periodiek worden de afwijkingen in de werking van de interne control aspecten in de workflows ten opzichte van de gedefinieerde normen gemonitord;

 De werking van de interne control aspecten in de workflows worden aangepast in de workflows als gevolg van de periodieke monitoring.

3.3.5 Beheersaspect masterdata

Het juist werken van een ERP-systeem valt en staat met juiste en volledige masterdata. Hierbij kan gedacht worden aan leveranciersgegevens, klantgegevens, stuklijsten, boekingssleutels en afschrijvingstermijnen. Van Unen et al. (2012) stelt dat het onderhouden van masterdata complex is. Voor het aansturen van de productie of verkoop bestaan bijvoorbeeld vaak meer dan vijftig velden die ingevuld dienen te worden. Deze gegevens worden door meerdere organisatieonderdelen verzameld en ingevoerd. In een organisatie waarin meerdere processen gebruik maken van dezelfde masterdata is van belang dat eenduidigheid (definitie en afstemming) bestaat over wat onder masterdata wordt verstaan. Unen et al. (2012) geven verder aan dat het vaak voorkomt dat de verantwoordelijkheden over de masterdata over meerdere organisatieonderdelen zijn verdeeld. Een veel voorkomend probleem is dat masterdata door verschillende onderdelen op verschillende wijze wordt gebruikt (Voorhout, Staaij en Swartjes, 2013).

Voorhout, Staaij en Swartjes (2013)geven een dat de tendens van de laatste jaren is dat na

procesoptimalisatie ook de masterdata wordt geoptimaliseerd. Zij geven daarnaast aan dat er een groeiende bewustwording is dat met name ERP-processen, maar in feite voor alle geautomatiseerde processen, juiste en accurate brondata voor transactionele processen randvoorwaardelijk is. Dezelfde auteurs geven aan dat managementinformatie binnen bedrijven afhankelijk is van diezelfde brondata. Ook stellen externe toezichthouders steeds vaker harde eisen aan verplichte rapportages. Het juist en volledig beheren van masterdata is van groot belang voor een juiste bedrijfsvoering. Voor het managen van masterdata dient een organisatie te beschikken over management. Loshin (2009) geeft aan dat

masterdata-management ondersteuning biedt voor stakeholders, bedrijfsapplicaties, informatie masterdata-management methoden en data management tools voor het implementeren van beleid, procedures, diensten en infrastructuur ter ondersteuning van het verzamelen, integreren en gedeeld gebruik maken van accurate, tijdige, consistente en volledige masterdata. Het doel van masterdata-management is om alle verschillende records van klanten, producten, leveranciers, etc. af te stemmen in een enkel gecontroleerd hoofdbestand (de masterdata) van waaruit vervolgens alle werknemers en applicaties moeten gaan werken (Voorhout, Staaij en Swartjes, 2013). Wanneer een bedrijf niet beschikt over een solide masterdata-management fundering, krijgt het onvoldoende inzicht in de eigen organisatie.

De uitkomst van het literatuuronderzoek leidt tot masterdata die juist en volledig is en gericht is op het voorkomen van verstoringen in de bedrijfsprocessen.

(17)

17

 Wijzigingen in de masterdata worden middels een vastgesteld proces verwerkt;

 Beheersmaatregelen (zoals vaststellen juistheid wijzigen stamgegevens) zijn verankerd in het proces van het tot stand komen van de masterdata en het bewaken van de juist- en volledigheid van de masterdata;

 De masterdata is consistent en eenduidig gedefinieerd;  De masterdata is in een hoofdbestand opgenomen;  De verantwoordelijkheden over de masterdata zijn belegd;

 Specifieke prestatie-indicatoren zijn ontwikkeld en zijn gericht op de werking van het proces en op de juist- en volledigheid van de masterdata;

 Periodiek worden afwijkingen ten opzichte van de gedefinieerde masterdata gemonitord;  Het aanpassen van de masterdata processen als gevolg van de periodieke monitoring.

3.3.6 Beheersaspect autorisaties

Het verlenen van toegang tot een ERP-systeem is voor een organisatie van groot belang. Immers informatie behoort tegenwoordig tot een van de meest waardevolle bezittingen van een organisatie (Hermans, Ham en Hart, 2007). Toegang tot een ERP-systeem dient goed geregeld te zijn. Onbevoegden dienen geen toegang te hebben tot het systeem. Het is voor organisaties een grote uitdaging om bij een complex ERP-systeem de autorisaties op orde te krijgen en te houden. Ook speelt wet- en regelgeving hierin een rol ten aanzien van privacy en integriteit van data. Hiertoe dient een proces te worden ingericht waarmee aantoonbaar wordt voldaan aan de vereisten.

Het autoriseren binnen een ERP-systeem kan vanuit twee uitgangspunten worden benaderd. De eerste is dat niets is toegestaan tenzij een gebruiker hiervoor geautoriseerd is. De tweede is dat alles is toegestaan tenzij expliciet bepaald is dat iets niet is toegestaan. Het eerste uitgangspunt is betrouwbaarder dan het tweede uitgangspunt omdat voor het verkrijgen van toegang actief vooraf bepaald wordt welke activiteiten worden toegestaan en niet bij vergissing autorisaties zijn verleend voor activiteiten die afgeschermd behoren te zijn. Hierin ligt een fundamentele keuze voor het senior management/bestuur. Binnen een ERP-systeem moet toegang worden verleend aan functionarissen voor het uitvoeren van taken. Voor het beheren van

autorisaties dient direct inzicht te bestaan welke autorisatie benodigd is voor welke taak (Vreeke en Roest, 2010). Het doel hiervan is het om een functionaris een beperkt aantal schakels in het proces te laten uitvoeren en het verkrijgen van wederzijds controlerende personen met tegengestelde belangen (Groen, 2006). Een aantal bij elkaar behorende taken kunnen in een rol (autorisatiegroepen) worden ondergebracht. De autorisatiegroepen zijn gekoppeld aan autorisatie-objecten die bepalen welke activiteiten gebruikers mogen uitvoeren voor welke processen of gegevens binnen een ERP-systeem. Voor het autorisatieproces dient in haar procesbeschrijvingen het aanvragen, het aanmaken, het activeren, het intrekken, het schorsen en het doorvoeren van wijzigingen in de rollen als gevolg van wijzigen organisatiestructuur, wet- en regelgeving of IT-omgeving te bevatten (Hermans, Ham en Hart, 2007). Elke wijziging moet vooraf worden gevalideerd door een daartoe bevoegd functionaris.

Incidenten in het autorisatieproces en ongeautoriseerde wijzigingen in de autorisatie dienen te worden vastgelegd en te worden geanalyseerd. Zoals aangegeven in sub paragraaf 3.3.3 dient monitoring plaats te vinden op wijzigingen van data-architectuur, wijziging logische toegangsverlening en bij toevoegingen en veranderingen buiten de reguliere applicaties om.

De uitkomst van het literatuuronderzoek leidt tot autorisaties die gericht zijn op het voorkomen

ongeautoriseerde toegang tot een ERP-systeem, functionarissen een beperkt aantal schakels in het proces kunnen uitvoeren en het verkrijgen van wederzijds controlerende functionarissen met tegengestelde belangen.

(18)

18

 Wijzigingen autorisaties worden middels een vastgesteld proces verwerkt;

 Beheersmaatregelen (zoals vaststellen dat de juiste autorisaties zijn verleend en gekoppeld zijn aan de juiste taken) zijn verankerd in het proces van autoriseren;

 Eenduidig definiëren van de eisen waaraan de autorisaties dienen te voldoen volgens de organisatie (alles staat open of dicht tenzij);

 Periodiek wordt de werking van beheersmaatregelen in het proces van autoriseren beoordeeld;  Ontwikkelen van specifieke prestatie-indicatoren en zijn gericht op het vaststellen van

incidenten in het autorisatieproces en het vaststellen van niet gebruikte autorisaties;  Periodiek worden afwijkingen ten opzichte van de gedefinieerde autorisatiegroepen/rollen

gemonitord;

 Het aanpassen van het proces autorisaties als gevolg van de periodieke monitoring.

3.3.7 Beheersaspect managementinformatie

ERP-systemen zijn vanwege haar integrale karakter in staat managementinformatie te generen. De

informatie reikt immers verder dan een module of een proces. Deze informatie kan worden ontsloten omdat de data in één database wordt verzameld. Managementinformatie ondersteunt het management over winstgevendheid van haar bedrijfsactiviteiten en over efficiency en effectiviteit van haar bedrijfsprocessen. Een publicatie van Innervate (2009) hanteert voor managementinformatie de volgende definitie:

“Managementinformatie is consistente, relevante en betrouwbare informatie ten behoeve van sturing van processen op operationeel niveau, het bewaken van de aanwending van bedrijfsmiddelen en budgetten op tactisch niveau en het bewaken van de koers van de totale organisatie op strategisch niveau.”

De complexiteit van effectieve managementinformatie is dat de managementinformatie gerelateerd moet zijn aan de strategie van de onderneming. De strategie is aan verandering onderhevig terwijl de

managementinformatie uit de centrale database tot in een bepaalde mate gestandaardiseerd is. In paragraaf 3.1 is uiteengezet dat het management zich bewust dient te zijn van in welke mate processen worden gestandaardiseerd die de organisatie onderscheidend en competitief maken. Het management is voor het succesvol beheersen van een ERP-systeem het meeste baat bij standaard bedrijfsprocessen (Vreeke en Roest, 2010). De betrouwbaarheid van de managementinformatie is afhankelijk van een juiste en volledige verwerking van de processen en een juiste en volledige vulling van de database. Voor het monitoren of de geleverde prestaties in lijn liggen met de operationele doelstellingen en het kunnen verbeteren van de werking van de processen worden Kritisch Prestatie Indicatoren (KPI’s) gebruikt (Hoed, 2013). KPI’s zijn meetmethoden om de organisatiedoelstellingen te kwantificeren. Een KPI kan frequent worden gemonitord om vast te stellen of de doelstellingen worden behaald door bijvoorbeeld dashboards. Indien afwijkingen ontstaan is de organisatie in staat om bij te sturen in de processen. Per beheersaspect dienen KPI’s te worden ontwikkeld (Debets, 2014).

De uitkomst van het literatuuronderzoek leidt tot het op betrouwbare wijze tot stand komen van

managementinformatie. De managementinformatie bevat informatie die noodzakelijk is voor een efficiënte en effectieve bedrijfsvoering en het ondersteunen van besluitvormingsprocessen.

(19)

19

 Wijzigingen in managementinformatie worden middels een vastgesteld proces verwerkt;  Beheersmaatregelen (zoals vaststellen dat alle relevante informatie wordt uitgevraagd) zijn

verankerd in het tot stand komen van managementinformatie;

 Periodiek vaststellen dat de managementinformatie voldoet aan de informatiebehoeften van het management;

 Eenduidig definiëren van het tot stand komen van managementinformatie;

 Periodiek monitoren van afwijkingen ten opzichte van vooraf gedefinieerde normen voor het tot stand komen van managementinformatie;

 Het aanpassen van managementinformatie processen als gevolg van de periodieke monitoring.

3.4 Keuze volwassenheidsmodel

Een volwassenheidsmodel bestaat uit een aantal volwassenheidsniveaus voor een bepaald type organisatie of processen. Het vertegenwoordigt een verwachte en gewenste ontwikkelroute in afzonderlijke fasen (Becker et al., 2009). In 1979 werd het eerste volwassenheidsmodel ontwikkeld door Crosby (1979) die voorzag in diverse stadia van volwassenheid. Sindsdien zijn veel verschillende volwassenheidsmodellen ontwikkeld voor een tal van disciplines. Het meest bekende volwassenheidsmodel is het Capability Maturity Model (Hansen et al., 2004) ontwikkeld door een vooraanstaand bureau op het gebied van automatisering, het Software Engineering Institute (SEI). De meeste hedendaagse modellen zijn afgeleid van dit model. In de jaren negentig zijn meerdere CMM’s ontwikkeld voor onder meer beveiliging van systemen, personeelsmanagement, aansturen van toeleveranciers etc. Ter voorkoming van wildgroei is het Capability Maturity Model integrated (CMMi) ontwikkeld. CMMi-modellen zijneen verzameling van best practices ter verbetering van processen.

In dit onderzoek is gekozen voor het CMMi-model vanwege zijn wereldwijde bekendheid, het CMMi breed gedragen wordt binnen het domein van informatiesystemen, andere modellen hiervan zijn afgeleid en het CMMi een model is voor het stapsgewijs en structureel verbeteren van processen binnen organisaties (Cannegieter en Solingen, 2006).

(20)

20

4 Het toekennen van de beheersaspecten in een

volwassenheidsmodel

Dit hoofdstuk beschrijft op welke wijze de beheersaspecten worden toegekend aan de volwassenheids-niveaus. Daarnaast wordt aangegeven welk beheersaspect op welke plaats is toegekend in het model.

4.1 Beschrijving en toepassing Capacity Maturity Model integrated

Het CMMi beschrijft de weg waarlangs organisaties tot procesverbetering kunnen komen. Het CMMI faciliteert in de mogelijkheid om de volwassenheid van de processen uit te drukken endraagt bij aan het verbeteren van de bedrijfsresultaten in termen van hogere kwaliteit, lagere kosten, kortere doorlooptijden en een hogere voorspelbaarheid. Het model bestaat uit vijf volwassenheidsniveaus: Initieel, Beheerst, Gedefinieerd, Kwantitatief beheerst en Optimaliserend. Het laagste niveau beschrijft een niet

gedocumenteerd proces en het hoogste niveau beschrijft een proces over optimalisatie en een continue verbetering. Het CMMi model is veel omvattend. Voor dit onderzoek voert het te ver om het hele model toe te passen. Inperking van de scope is noodzakelijk omdat het uitvoeren van het gehele CMMi-model niet past binnen de gestelde kaders van het onderzoek (zowel in tijd als in omvang). De wijze waarop het CMMi kan worden geïmplementeerd en de procesgebieden van CMMi zijn te omvangrijk om toe te passen in dit onderzoek. Vanwege de inperking wordt van het CMMi-model de gedefinieerde volwassenheidsniveaus, zoals in tabel twee vermeld, de aangegeven verbetervolgorde en het onderscheid in generieke en specifieke normen gebruikt. Het model spreekt van processen per volwassenheidsniveau. De normen zijn op zich zelf geen processen maar maken deel uit van een proces en dienen, in dit onderzoek, als zodanig te worden beschouwd voor het toekennen in het volwassenheidsmodel. Het CMMi bepaalt niet de volgorde voor het verbeteren van de processen. Echter is het wenselijk dat een model een richting aangeeft in de volgorde waarin de veranderingen moeten worden doorgevoerd. Het SEI geeft aan dat, net als bij elk framework, CMMi niet een snelle oplossing biedt maar dat het verbeteren van de beheersing eerder maanden of zelf jaren in beslag neemt. Dit is mede afhankelijk van de omvang en complexiteit van de organisatie. In figuur vier zijn de proces verbeterstappen schematisch weergegeven.

Figuur 4: De verbetervolgorde van CMMi (bron De kleine CMMi)

In tabel twee zijn de vijf volwassenheidsniveaus van het CMMi weergegeven met een omschrijving per niveau.

Tabel 2: Volwassenheidsniveaus (bron De kleine CMMi)

Volwassenheidsniveau Omschrijving

Volwassenheidsniveau 1: Initieel Op het laagste volwassenheidsniveau worden aan de processen geen eisen gesteld. De processen hebben weinig structuur en verlopen veelal chaotisch. Processen worden niet of niet geheel uitgevoerd conform de normen van volwassenheidsniveau twee. Het succes is voor een belangrijk deel afhankelijk van individuen.

Volwassenheidsniveau 2: Beheerst Op het tweede volwassenheidsniveau is de basisbeheersing van de processen en projecten ingericht. Voorspelbaarheid en beheersbaarheid staat centraal en voldoet aan de normen behorende bij volwassenheidsniveau twee.

Volwassenheidsniveau 3: Gedefinieerd Op het derde volwassenheidsniveau worden de processen organisatie breed gedefinieerd en onderhouden. Het volwassenheidsniveau richt zich op het standaardiseren van de processen. Het volwassenheidsniveau voldoet aan de normen behorende bij volwassenheidsniveau twee en drie.

Volwassenheidsniveau 4: Kwantitatief beheerst

Op het vierde volwassenheidsniveau worden processen bestuurd op basis van kwantitatieve gegevens en het stellen van meetbare kwantitatieve verbeterdoelen. Het volwassenheidsniveau voldoet aan de normen behorende bij volwassenheidsniveau twee, drie en vier.

Volwassenheidsniveau 5: Optimaliserend Op het vijfde volwassenheidsniveau richt de organisatie zich op het continue verbeteren en optimaliseren van processen. Het volwassenheidsniveau voldoet aan de normen behorende bij volwassenheidsniveau twee, drie, vier en vijf.

Continue verbetering Voorspelbaar proces Standaard proces Gedisciplineerd proces

(21)

21

4.2 Onderlinge afhankelijkheid volwassenheidsniveaus beheersaspecten

Eén van de kenmerken van een ERP-systeem is het integrale karakter. Wijzigingen in een van de functies wijzigt informatie in alle gerelateerde functies (paragraaf 3.1). Het integrale karakter manifesteert zich ook bij de geïdentificeerde beheersaspecten. De beheeraspecten kunnen vanwege het integrale karakter niet onafhankelijk van elkaar worden gezien. Onderstaand is een aantal afhankelijkheden weergegeven. Het beschermen van de IT-data en IT-processen is randvoorwaardelijk voor het juist en volledig laten verlopen van de workflows. Immers de general IT-controls, application controls en user controls zijn complementair aan elkaar. Wanneer de masterdata onjuist en onvolledig is zal dit de werking van de workflows verstoren. Als voorbeeld kan genoemd worden dat onjuiste crediteuren-, debiteuren- en

projectstamgegevens leiden tot onjuiste facturatie. Ook zal de werking van de workflows worden verstoord wanneer de verleende autorisaties aan functionarissen onjuist zijn en een functionaris een te groot aantal schakels in het proces kan uitvoeren, waardoor beoogde tegengestelde belangen niet worden afgedwongen. Het niet of in onvoldoende mate beheersen van de voornoemde beheersaspecten kan leiden tot onjuiste en of onvolledige managementinformatie waardoor besluitvormingsprocessen niet worden ondersteund. Dit kan mogelijk tot schade leiden voor een organisatie. Gesteld kan worden dat de onderlinge afhankelijkheid van de beheersaspecten invloed heeft op het volwassenheidsniveau voor het beheersen van een ERP-systeem. Wanneer volwassenheidsniveaus van beheersaspecten niet overeenstemmen, is het

volwassenheidsniveau van een ERP-systeem niet hoger dan het beheersaspect met het laagste volwassenheidsniveau.

4.3 Toekennen beheersaspecten in Capacity Maturity Model integrated

In deze paragraaf zijn de generieke en specifieke normen per beheersaspect toegekend in het volwassenheidsmodel. Per beheersaspect is in bijlage twee inzichtelijk gemaakt welke generieke en specifieke normen aan een volwassenheidsniveau zijn toegekend. Leidend voor het toekennen van de normen aan een volwassenheidsniveau zijn de definities in tabel twee. Onderstaand zijn de

(22)

22

4.3.1 Volwassenheidsmodel procesgeoriënteerde werkwijze

Het beheersaspect procesgeoriënteerde werkwijze is gericht om een doelmatig en doeltreffend proces te definiëren en dat processen rondom het systeem zijn gesynchroniseerd met de workflows in het ERP-systeem.

Volwassenheidsniveau Normen

Volwassenheidsniveau 1: Initieel De wijze waarop de organisatie haar werkwijze heeft ingericht is niet of niet geheel proces georiënteerd en wordt de kwaliteit van een dienst of product niet bepaald door een doelmatig en doeltreffend gedefinieerd proces. De inrichting van de processen (organisatorisch) rondom het ERP-systeem zijn niet of niet geheel gesynchroniseerd met de workflows in het ERP-systeem.

Er zijn geen eenduidige processen te onderkennen. Volwassenheidsniveau 2: Beheerst Generiek:

Proceseigenaren zijn benoemd en zijn verantwoordelijk voor de beheersing en verbetering van processen.

Actuele procesbeschrijvingen beschikbaar zijn en formeel vastgesteld zijn. Beheersmaatregelen geïmplementeerd zijn in de processen.

Specifiek:

Processen zijn beschreven waarin is opgenomen dat koppelvlakken (aansluiten van handelingen en tussenproducten) tussen de verschillende processen zijn ingeregeld.

Processen zijn aangepast aan de workflows van het ERP-systeem als gevolg van ingeregelde koppelvlakken en het optimaliseren van processen (ook van andere applicatiesystemen).

\

Volwassenheidsniveau 3: Gedefinieerd Generiek:

Standaardisatie van processen op organisatieniveau is doorgevoerd. Periodieke controle op werking beheersmaatregelen vindt plaats.

Specifiek:

Periodiek wordt vastgesteld dat de inrichting van de processen voldoen aan de doelstellingen van de organisatie.

Proceseigenaren hebben inzicht in het gezamenlijk beeld van het totale proces en de onderlinge verwachtingen om tot doelmatige en doeltreffende processen te komen.

Periodiek wordt vastgesteld dat beheersmaatregelen de juiste werking van de koppelvlakken waarborgen.

Volwassenheidsniveau 4: Kwantitatief beheerst

Generiek:

Prestatie-indicatoren afgeleid van bedrijfsdoelen zijn ontwikkeld. Periodieke prestatieanalyses worden uitgevoerd.

Specifiek:

Specifieke prestatie-indicatoren zijn ontwikkeld en zijn gericht op een procesgeoriënteerde werkwijze en op de koppelvlakken tussen de processen zoals doorlooptijden van handelingen.

Afwijkingen worden gemonitord ten opzichte van gedefinieerde normen. Volwassenheidsniveau 5:

Optimaliserend

Generiek:

Periodieke evaluaties van de bedrijfsprocessen worden uitgevoerd.

Specifiek:

Processen worden aangepast als gevolg van periodieke monitoring.