Het ‘in control’ zijn van alle beheersingsaspecten rondom een ERP-systeem is van belang om effectief en efficiënt gebruik te kunnen maken van deze systemen. In de praktijk blijkt het lastig te zijn om de relevante aspecten op een gestructureerde wijze inzichtelijk te maken. Toch is dit van belang, aangezien de zwakste schakel juist de sterkte van het geheel bepaalt. In dit artikel wordt, naast een beschrijving van de relevante beheersingsaspecten, een aantal handreikingen gedaan om deze aspecten op een gestructureerde wijze inzichtelijk te maken. Praktijkcasussen geven voorbeelden van de toegevoegde waarde van een dergelijk onderzoek in de praktijk.
Inleiding
Voor grote en middelgrote organisaties worden geïntegreerde ERP-systemen reeds enige tijd ingezet voor het ondersteunen van de bedrijfsprocessen. Uit ervaring van KPMG Information Risk Management is gebleken, dat organisaties op een aantal beheersingsgebieden nog tekortkomingen hebben of ervaren en bezig zijn om hun ERP-systeem verder te beheersen. Organisaties lopen hierdoor risico waar het gaat om een betrouwbaar, efficiënt en effectief gebruik van het ERP-systeem. Hierbij kan gedacht worden aan onvoldoende managementinformatie, onjuiste MRP (Material Resource Planning)-aansturing, onjuiste matching van inkooporder/goederenontvangst/factuurontvangst, dubbel betalen van facturen, etc.
In dit artikel wordt een handreiking gegeven voor het in kaart brengen van de mate van ‘in control’ zijn van organisaties en ERP-systemen. Hiervoor wordt gebruikgemaakt van de door KPMG Information Risk Management ontwikkelde ‘in control’ maturity grid. Daarnaast wordt ingegaan op de manier waarop organisaties deze maturity grid kunnen gebruiken om de mate van ‘in control’-volwassenheid verder te verhogen.
Praktijkervaring in beheersing van ERP-systemen
In de inleiding is reeds aangegeven dat de tekortkomingen die bestaan rondom de beheersing van ERP-systemen risico’s voor de organisatie met zich mee zullen brengen. Veel van deze tekortkomingen kunnen ontstaan tijdens en vlak na het implementatieproject. Vaak zijn zij het gevolg van tijdsdruk, complexiteit, onvoldoende nadruk op beheersing, organisatieverandering, onduidelijkheden in verantwoordelijkheden, etc. tijdens de implementatie ([Meul01]). Om een samenvattend beeld te geven van de specifieke risico’s die aanwezig zijn in een ERP-omgeving na een implementatie is hieronder een aantal van de belangrijkste aandachtspunten beschreven.
Onjuiste of onvolledige stamgegevens
Een juiste werking van een ERP-systeem staat of valt met juiste en volledige stamgegevens. Hierbij kan gedacht worden aan leveranciersstam, artikelstam, stuklijsten, etc. De complexiteit van stamgegevens wordt vaak onderschat, wat ook gedurende het implementatietraject tot uitdrukking komt in de conversie van deze gegevens uit de legacy systemen naar het ERP-systeem. Wat veel nieuwe gebruikers van ERP-systemen niet weten, is dat voor een juiste aansturing van de productie of verkoop meer dan vijftig velden per artikel ingevuld moeten worden. Deze gegevens dienen door meerdere personen en afdelingen (verkoop, productie, administratie, inkoop, etc.) aangeleverd te worden, waardoor definitie, eenduidigheid en afstemming cruciaal zijn. Onvolledige of onjuiste stamgegevens zullen negatieve gevolgen hebben voor het functioneren van de MRP-run, het kunnen matchen van inkoopfacturen, het factureren, etc. Een juiste en volledige conversie, en een goed opgezet en werkend beheer en controle van stamgegevens zijn dus noodzakelijke randvoorwaarden voor het ‘in control’ zijn van de processen.
Onvoldoende beheersing van de (administratieve) processen
Als aanvulling op het vorige punt is van belang, dat de (administratieve) processen op voldoende wijze beheerst en gemonitord worden. Veelal zijn organisaties en implementatiepartners niet op de hoogte van de standaard-controlelijsten of -foutenrapportages binnen het ERP-systeem. Daarnaast komt het ook voor dat het onduidelijk is wie welke procescontroles uitvoert en wie bij problemen hieraan opvolging dient te geven. Hierdoor treden er snel vervuiling of onjuiste gegevensstromen op, wat invloed heeft op de juistheid van de geïntegreerde procesflows. Indien organisaties bijvoorbeeld openstaande inkooporders die niet meer tot levering zullen leiden niet opschonen (in de zin van corrigeren of verwijderen), zal dit onherroepelijk effect hebben op de betrouwbaarheid van de MRP-run. Geen actie ondernemen naar aanleiding van een foutenrapportage omtrent ‘niet-verwerkte automatische goederenbewegingen’ kan leiden tot afwijkingen tussen de fysieke en de administratieve voorraad. Als laatste voorbeeld noemen we nog de signaallijst van ‘mogelijk dubbel ingevoerde inkoopfacturen’. Het niet nauwkeurig opvolgen hiervan kan mogelijk leiden tot dubbele betalingen. Een juiste beheersing en goed opgezette monitoring van de processen is essentieel voor het ‘in control’ zijn van de ERP-processen.
Onjuiste of onvolledige managementinformatie
Een juiste en volledige verwerking van de (administratieve) processen en hierdoor een juiste en volledige vulling van de database, zorgt ook voor betrouwbare managementinformatie. Echter, alleen betrouwbare managementinformatie is niet voldoende. Het management wil managementrapportages gebruiken voor de ondersteuning van de besluitvormingsprocessen. Veelal zijn de standaardrapportages in de ERP-systemen niet toereikend of niet ingericht, waardoor organisaties terugvallen op hun oude wijze van rapporteren (vaak met ondersteuning van spreadsheetprogrammatuur).
Onvoldoende omschakeling van een afdelingsgeoriënteerde naar een procesgeoriënteerde werkwijze
Een geïntegreerde ERP-omgeving vervangt de afdelingssystemen, waardoor afdelingen als inkoop, verkoop, financiële administratie, projecten en productie direct worden geconfronteerd met elkaars gegevensverwerking (en onzorgvuldigheden!). Daarnaast zal er ook een verschuiving van benodigde kennis plaatsvinden. Gegevens zullen zoveel mogelijk aan het begin van de procesflows ingevoerd dienen te worden. De medewerkers moeten dan wel kunnen beschikken over deze gegevens en kennis. Geïntegreerde procesbenadering en de verschuiving van benodigde kennis leiden tot een andere wijze van aansturing en cultuur. Indien een organisatie vast blijft houden aan de afdelingsgeoriënteerde werkwijze, kan een onbeheerste situatie ontstaan en zullen de processen niet voldoende efficiënt en effectief uitgevoerd kunnen worden.
Onvoldoende beheersing van de technische infrastructuur
Een betrouwbare en continue gegevensverwerking staat of valt met een juiste beheersing van de technische infrastructuur. Hierbij dient inzicht te worden verkregen in beheersingsgebieden rondom general IT controls, zoals security management, continuity management, capacity management, change management en incident management. Ook indien er sprake is van een gedeeltelijke of volledige uitbesteding van het technisch en/of functioneel beheer, dient er voldoende beheersing te zijn in de vorm van service level agreements (SLA). Vaak zijn SLA’s niet volledig, bijvoorbeeld doordat security management hierin ontbreekt. Tevens zijn veelal verschillende SLA’s met betrekking tot dezelfde service provider aanwezig binnen de organisatie, waardoor de beheersbaarheid van de SLA’s afneemt. Daarnaast wordt door de service provider vaak beperkt gerapporteerd en verantwoording afgelegd over de uitgevoerde dienstverlening, waardoor er weinig inzicht bestaat in de performance van de service provider.
Waarom en wanneer is ‘in control’ nodig?
In een ‘in control’-onderzoek wordt de mate van (interne) beheersing op alle van belang zijnde beheersingsaspecten in kaart gebracht. Uitvoering van een dergelijk onderzoek kan op verschillende momenten binnen de levenscyclus van het ERP-systeem worden uitgevoerd (zie figuur 1). Afhankelijk van de fase waarin de organisatie zich bevindt zullen één of meer aandachtsgebieden nadrukkelijker de aandacht krijgen. We geven een korte toelichting.
Figuur 1. Kwaliteit van de informatie en organisatie. (Naar: American SAP User Group.)
De eerste maanden nadat een ERP-systeem in gebruik is genomen, zijn kritiek voor het slagen van de implementatie en het beheerst omgaan met dit systeem. Bij uitvoering van een ‘in control’-onderzoek direct na implementatie van het ERP-systeem wordt aandacht geschonken aan alle noodzakelijke maatregelen die op dat moment van belang zijn. Dit betekent dat de door het ERP-systeem ondersteunde processen in voldoende mate worden beheerst en de stuurinformatie van de gewenste kwaliteit is. Denk hierbij aan het gebruik en de opvolging van de juiste controle- en signaleringslijsten, die direct na ‘go live’ gemonitord moeten worden om knelpunten te identificeren en aan te pakken (bijvoorbeeld geparkeerde documenten, openstaande inkooporders, niet-gefactureerde leveringen).
Indien de applicatie al wat langer bij de organisatie in gebruik is, zal stabilisatie binnen de organisatie met betrekking tot verantwoordelijkheden en gebruik van het pakket over het algemeen hebben plaatsgevonden. Een ‘in control’-onderzoek richt zich op het geheel van beheersingsmaatregelen en zal juist in deze situatie (waarin de meeste elementaire verantwoordelijkheden reeds zijn belegd) aantonen welke verantwoordelijkheden en beheersingsmaatregelen ontbreken of juist op een andere manier effectiever kunnen worden ingevuld.
Na verloop van jaren zullen processen, procedures en verantwoordelijkheden met betrekking tot het ERP-systeem als het ware in de organisatie zijn ‘ingeslepen’. Externe ontwikkelingen of wijzigingen in processen hebben veelal niet of slechts beperkt geleid tot ingebruikname van nieuwe functionaliteit van het pakket. In deze fase kan een ‘in control’-onderzoek juist worden gebruikt om duidelijk in beeld te krijgen welke functionaliteit van het ERP-systeem door de huidige organisatie nog niet of slechts in beperkte mate wordt gebruikt.
Wat is ‘in control’?
De term ‘in control’ wordt vaak geassocieerd met betrouwbaarheid. Echter, zoals ook reeds beschreven is in de alinea over de praktijkervaringen inzake de beheersing van ERP-systemen, is ‘in control’ meer dan alleen een juiste, volledige en geautoriseerde gegevensverwerking. Ook de mate van betrokkenheid van proceseigenaren en eindgebruikers in besluitvormingsprocessen, de hoogte van de met het ERP-systeem gepaard gaande kosten, de mate waarin de aangeboden functionaliteit wordt gebruikt, etc. zijn onderwerpen voor het ‘in control’ zijn van het ERP-systeem. Met andere woorden, het ‘in control’ zijn van het ERP-systeem betekent dat de processen en IT betrouwbaar, effectief en efficiënt worden uitgevoerd. Vooral de termen effectief en efficiënt spreken erg aan bij het management van organisaties.
Concreet kan dat worden vertaald in een aantal voorwaarden waaraan een ‘in control’-organisatie dient te voldoen:
- beperkte dubbele registraties buiten ERP (efficiënt en effectief gebruik van het ERP-systeem);
- een beperkt aantal fouten in de vaste gegevens (betrouwbare uitvoering van processen);
- geen grote achterstanden in (dagelijkse) ERP-activiteiten (efficiënte en betrouwbare uitvoering van processen). Dit komt tot uiting onder andere in de aard en omvang van gebruikte tussenrekeningen, het aantal openstaande inkooporders, etc.;
- het structureel gebruikmaken van controlerapporten (effectief en betrouwbaar gebruik van het ERP-systeem). Dit komt onder andere tot uiting door verschillende personen verantwoordelijk te stellen voor gebruik en opvolging van controlerapporten, bijvoorbeeld omtrent geparkeerde documenten of afgebroken boekingen;
- organisatorische functiescheiding vertaald naar autorisaties in het ERP-systeem (betrouwbare uitvoering van processen);
- acceptabele managementinformatie vanuit ERP (effectief gebruik van het ERP-systeem). Managementinformatie dient te voldoen aan de verwachtingen van het management omtrent inhoud, tijdigheid en mate van detail;
- organisatie en cultuur gericht op processen (efficiënt en effectief gebruik van het ERP-systeem door de eindgebruikers en het management);
- een gelijke hoogte van de IT/ERP-kosten ten opzichte van vergelijkbare organisaties (efficiënt gebruik en beheer van het ERP-systeem);
- volwassen afspraken met externe service provider (betrouwbare gegevensverwerking). Dit komt tot uitdrukking in een professionele SLA waarin verantwoordelijkheden eenduidig zijn beschreven en afspraken zijn gemaakt over de manier waarop de service provider zich verantwoordt.
In de volgende paragraaf wordt vanuit een theoretisch kader verdere concrete invulling gegeven aan de term ‘in control’.
‘In control’-aspecten
De mate van ‘in control’ zijn van een organisatie wordt in een ‘in control’-onderzoek op een vijftal samenhangende gebieden in kaart gebracht, waardoor een goed beeld wordt verkregen omtrent het ‘in control’ zijn van de organisatie door middel van ondersteuning door het ERP-systeem.
Deze vijf aspecten zijn afgeleid van het door Nolan Norton gedefinieerde model om de status van de gebruikers- en automatiseringsorganisatie binnen een organisatie in beeld te brengen (zie figuur 2). De vijf aspecten dienen in balans te zijn. Indien bijvoorbeeld het aandachtsgebied Mensen & Cultuur achterblijft, zal dit een negatieve invloed kunnen hebben op overige aandachtsgebieden als Processen en IT-kosten.
Figuur 2. Aspecten van de gebruikers- en automatiseringsorganisatie. (Bron: Nolan Norton.)
Voor het in kaart brengen van het ‘in control’ zijn van de organisatie wordt hieronder per aandachtsgebied een nadere toelichting gegeven.
Management & Organisatie
Managementinformatie
In het aspect managementinformatie wordt de mate van ondersteuning ten behoeve van de besluitvorming door het management aan de hand van gegenereerde managementinformatie beoordeeld. Aandachtspunten hierbij zijn de diepgang en frequentie van managementinformatie, de tijdigheid van managementinformatie, het gebruik van relevante KPI’s, inzicht in toekomstgerichte informatie, etc.
Per hoofdproces (finance, verkoop, inkoop, productie, logistiek) dient tijdens het onderzoek inzicht te ontstaan omtrent de status van de aanwezige managementinformatie op de volgende gebieden:
- aansluiting managementinformatie op bedrijfsstrategie, inclusief eenduidig gedefinieerde KPI’s;
- opzet en structuur managementinformatie (is de managementinformatie toegankelijk, heeft zij voldoende diepgang, ondersteunt de informatie de managers werkelijk in hun besluitvorming, worden alle relevante KPI’s gerapporteerd, etc.);
- dekkingsgraad managementinformatie uit het ERP-systeem (komt de gebruikte informatie rechtstreeks uit het ERP-systeem, of komt deze uit add-on systemen);
- efficiënte wijze van genereren van managementinformatie (vergelijk drilldown-functionaliteit in een business warehouse-applicatie in tegenstelling tot het verzamelen en bewerken in spreadsheettoepassingen);
- follow-up vervolgacties (worden acties uitgezet naar aanleiding van signaleringen uit de gerapporteerde managementinformatie).
Structuur (AO/IC) beheerorganisatie
Het aspect structuur (AO/IC) beheerorganisatie geeft aan hoe efficiënt en effectief in hoofdlijnen de organisatie is ingericht om structureel te monitoren dat het ERP-systeem op een juiste manier wordt gebruikt. Van onderstaande aandachtspunten zal duidelijk moeten worden in hoeverre uitvoering en monitoring op een juiste wijze zijn geregeld.
- Business proces controls:
- opzet, bestaan en werking signaleringslijsten;
- naleving gebruikerscontrols/procedures;
- periodieke controles/maandafsluiting;
- overkoepelende controles/KPI’s;
- optimalisatie werkwijze.
- Infrastructural security controls:
- monitor SLA securityaspecten.
- Application security controls:
- accordatie autorisatiematrices;
- accordatie changes;
- testen changes;
- accordatie procedures en werkinstructies.
- IT operational controls:
- acceptatie wijzigingen door gebruikersorganisatie;
- incidentafhandeling;
- opleidingen;
- training on the job;
- actieve monitoring kennis gebruikers;
- monitor SLA-rapportages.
- Data conversion controls:
- acceptatie door gebruikersorganisatie.
- Data interface controls:
- monitoring werking van de interfaces.
Infrastructuur & Beheerorganisatie
Beveiliging en beheer van de technische infrastructuur zijn een integraal onderdeel van de te nemen beheersingsmaatregelen. Bij dit aspect moet onderscheid worden gemaakt tussen de situatie waarin een eigen rekencentrum in gebruik is en de situatie waarbij sprake is van outsourcing aan een externe partij.
Outsourcing service provider
In dit aspect wordt de mate van aansturing van de centrale verwerkingsorganisatie aan de hand van SLA’s beoordeeld (functioneel beheer, algemene computercontroles, technische infrastructuur, etc.). In kaart wordt gebracht in hoeverre in de SLA en de servicerapportage van de provider onder meer de volgende beheersingsgebieden voldoende zijn meegenomen (bijvoorbeeld met behulp van het ITIL-raamwerk):
- change management;
- security management;
- availability management;
- incident management.
Indien een third-partymededeling vanuit de service provider aanwezig is, kunnen de uitkomsten hiervan in dit onderzoek worden betrokken.
Eigen rekencentrum
Indien de organisatie een eigen rekencentrum heeft is de aansturing van de beheerprocessen binnen het rekencentrum van belang. Hiertoe dienen dezelfde aspecten als hierboven genoemd in kaart te worden gebracht. Dit kan echter niet plaatsvinden aan de hand van SLA’s; hiervoor moet een (beperkt) rekencentrumonderzoek worden uitgevoerd, gefocust op operationele beheersingsmaatregelen en inrichting van de technische infrastructuur binnen de eigen organisatie.
Mensen & Cultuur
In dit aspect wordt beoordeeld in hoeverre de houding en het gedrag van directie/management/gebruikers veranderd zijn van een afdelingsgeoriënteerde werkwijze naar een procesgeoriënteerde werkwijze. Hiervoor moet inzicht worden verkregen in de volgende groeiprocessen:
- Middelen (ondersteuning). Van belang zijnde onderwerpen: is er een coördinerende informatiemanager aangesteld, worden kosten doorbelast, worden opportunities waargenomen door applicatiebeheerders, etc.;
- Management & Organisatie (verantwoordelijkheden, beheerinstrumentarium). Van belang zijnde onderwerpen: zijn verantwoordelijkheden juist en volledig belegd, is er een informatieplan waarin de projecten zijn gedefinieerd, etc.;
- Mensen & Cultuur (betrokkenheid, houding). Van belang zijnde onderwerpen: worden gebruikers betrokken bij het uitvoeren van tests, kunnen eindgebruikers wijzigingen voordragen, zijn verantwoordelijkheden van andere afdelingen bekend, etc.;
- Processen (focus). Van belang zijnde onderwerpen: worden gegevens gemeenschappelijk gebruikt, zijn procedures (bijvoorbeeld maandafsluitingsprocedure) afdelingsoverstijgend uitgewerkt, etc.
Hierbij kan gebruik worden gemaakt van een enquête, die uitgezet wordt bij eindgebruikers en applicatiebeheerders.
Processen
Het aspect Processen is onderverdeeld in een drietal onderliggende aspecten.
Dekkingsgraad processen
De dekkingsgraad geeft aan in welke mate de processen worden ondersteund door het ERP-systeem en in hoeverre gebruik wordt gemaakt van specifieke add-on systemen. Inzicht dient te worden verkregen in de volgende onderwerpen:
- Wat is de mate van afdekking van processen met het ERP-systeem?
- Wat is de mate van dubbele registratie in het ERP-systeem of overige systemen?
- In hoeverre worden de handmatige dan wel automatische koppelingen beheerst?
- In hoeverre worden proactief mogelijke ERP-opportunities gespot?
Administratieve organisatie/interne controle
Dit aspect geeft de mate van operationele beheersing van de bedrijfsprocessen aan de hand van de opzet van interne maatregelen in het ERP-systeem aan (AO/IC waarborgt integriteit van gegevens, waardoor management-informatie betrouwbaar is). Inzicht dient te worden verkregen in de volgende onderwerpen:
- Wat is de huidige status van de processen (vervuiling, achterstand dagelijkse activiteiten, inrichting van applicatiecontroles, gebruik van verplichte velden, etc.)?
- In hoeverre worden de processen gemonitord en eventueel opgevolgd met behulp van controle en signaleringsrapportages in het ERP-systeem?
Autorisaties gebruikers
Dit aspect beoordeelt de mate van functiescheiding (structuur van de gekozen autorisatieopzet, mate van differentiatie binnen afdelingen, etc.) en afscherming van kritische ERP-bevoegdheden. Inzicht dient te worden verkregen in de volgende onderwerpen:
- de beveiliging van het productiesysteem;
- de kwaliteit van de opzet en structuur van het autorisatieconcept;
- de kwaliteit van de documentatie van het autorisatieconcept;
- de mate van functiescheiding waar het gaat om kritieke combinaties van transacties in het ERP-systeem;
- de kwaliteit van de opzet van de autorisatie- en gebruikersbeheerorganisatie;
- de mate van de kwaliteit van de identificatie en authenticatie van gebruikers;
- de mate van beveiliging van (kritieke) maatwerktransacties.
IT-kosten
Binnen dit aspect worden de resources inzichtelijk gemaakt die beschikbaar zijn voor de beheerorganisatie met focus op het ERP-systeem. Relevante indicatoren zijn bijvoorbeeld het IT-budget met/zonder afschrijvingen, kosten van uitbesteding, verdeling IT-kosten naar kostencomponenten (hardware, software, personeel, externe diensten, communicatie, overig), aantal licenties/werkplekken en aantal applicatiebeheerders. Hierdoor kunnen van belang zijnde ratio’s worden bepaald en vergeleken met gemiddelden van organisaties in dezelfde industrie (benchmark). Binnen eenzelfde organisatie kan op deze wijze tevens een benchmark op divisieniveau plaatsvinden.
Voorbeelden van ratio’s zijn:
- IT-kosten per medewerker;
- IT-kosten per ERP-licentie;
- aantal gebruikers per applicatiebeheerder.
De ‘in control’ maturity grid
De maturity grid is een methode om de volwassenheid van de beheersingsaspecten in kaart te brengen. Hierbij wordt gebruikgemaakt van kwalificaties die de mate van volwassenheid aangeven:
- Immature. Er is absoluut geen aandacht voor het onderdeel en het onderdeel heeft grote tekortkomingen.
- Start-up. Het onderdeel heeft slechts beperkte en ongestructureerde aandacht en het onderdeel heeft nog te veel tekortkomingen.
- Active. De meest kritieke onderwerpen zijn opgepakt en het onderdeel heeft het merendeel onder controle.
- Pro-active. Het onderdeel is geheel opgepakt en de meeste onderwerpen zijn onder controle, beperkte optimalisatie is nog noodzakelijk.
- Top Class. Het onderdeel dient als schoolvoorbeeld.
De ‘in control’-onderdelen worden in deze maturity grid uitgezet, waardoor de ‘in control’ maturity grid ontstaat. In figuur 3 is een voorbeeld van een dergelijk grid weergegeven. Op basis van een onderzoek zoals reeds beschreven kan de ‘in control’-volwassenheid worden ingevuld. Het plotten van de resultaten in de maturity grid dient gebaseerd te zijn op een normenkader. Dit normenkader geeft een nadere invulling van de voorwaarden per kwalificatie in de ‘in control’ maturity grid. Een voorbeeld van een normenkader voor de dekkingsgraad is weergegeven in tabel 1.
Figuur 3. De ‘in control’ maturity grid. [Klik hier voor grotere afbeelding]
Tabel 1. Voorbeeld van een normenkader voor de dekkingsgraad. [Klik hier voor grotere afbeelding]
Voordat een oordeel kan worden gegeven of de organisatie voldoende ‘in control’ is, geeft het management aan wat de minimaal te halen norm is voor de organisatie. Het is de rol van de EDP-auditor om te bepalen of deze aangegeven norm (wil de organisatie bijvoorbeeld minimaal Active, Pro-active of Top Class scoren) inhoudelijk ook aansluit bij de beleving van het management. Tevens dient een beoordeling plaats te vinden of de verschillende aspecten in evenwicht met elkaar zijn (de zwakste schakel in de keten bepaalt immers de sterkte). Indien blijkt dat de score onder de minimaal te behalen norm zoals gesteld door het management ligt, kunnen acties in een stappenplan worden gedefinieerd om voor de betreffende onderdelen verbeteringen te realiseren. Door in de maturity grid het gewenste niveau aan te geven, wordt duidelijk hoe ver de organisatie van dat niveau per aandachtsgebied nog verwijderd is (figuur 4).
Figuur 4. Voorbeeld verhogen ‘in control’-volwassenheid.
‘In control’ maturity grid in de praktijk
Praktijkcasus handelsbedrijf
Een handelsbedrijf maakt sinds een jaar gebruik van SAP voor het ondersteunen van inkoop, productie, verkoop en de financiële processen. De verantwoordelijkheid voor het beheersen van deze processen is echter nog niet duidelijk ingericht. Enkele controlelijsten worden incidenteel uitgevoerd door de gebruikersorganisatie of applicatiebeheerders. Deze controles zijn echter niet volledig en duidelijk gedefinieerd, waardoor veel vervuiling in het systeem aanwezig is, zoals openstaande aanvragen tot bestellingen die niet meer relevant zijn. Hierdoor is de MRP-run niet meer betrouwbaar (voorstellen worden handmatig overruled) en gebruikt de organisatie feitelijk de oude wijze van inkopen. Verder is het nog niet duidelijk wie welke activiteiten uit dient te voeren. Zo zijn er geen procedures en is niet duidelijk wie verantwoordelijk is voor het artikelbeheer. Als gevolg hiervan zijn ook de autorisaties zeer ‘open’ ingericht, waardoor veel gebruikers toegang hebben tot kritieke transacties zoals artikelbeheer. De organisatie scoorde in de ‘in control’ maturity grid op een aantal onderdelen Immature of Start-up. Het management daarentegen wilde binnen twee jaar na de SAP-implementatie minimaal Active scoren, waardoor enkele concrete oplossingen geïmplementeerd dienen te worden om de volwassenheid binnen een jaar op de onderdelen die een onvoldoende scoren, te verhogen.
Praktijkcasus productiebedrijf consumentenproducten
Sinds een viertal jaren maakt een productiebedrijf gebruik van SAP. De eindgebruikers en applicatiebeheerders hebben reeds veel kennis van het systeem opgedaan en de organisatie spreekt zelf van een ‘gecontroleerde’ omgeving. Enkele kritieke controlelijsten zijn echter niet bekend of worden niet structureel gebruikt bij deze organisatie. Bij een ‘in control’-scan is gebleken dat enkele controlerapporten niet gebruikt worden, terwijl zij wel veel mogelijke problemen kunnen signaleren. Onder andere de lijst ‘mogelijk dubbel ingevoerde facturen’ werd niet gebruikt of periodiek gecontroleerd. Na een meer gedetailleerd onderzoek van deze lijst kwam een dubbel ingevoerde én betaalde factuur van E15.000 aan het licht. Het bleek dat de factuur per ongeluk door twee verschillende medewerkers van de crediteurenadministratie was ingeboekt. De organisatie heeft deze en nog andere kritieke rapportages opgenomen in de maandafsluitingsprocedure en de procedures op de crediteurenafdeling verder aangescherpt. De rapportages dienen nu maandelijks gecheckt en afgetekend te worden om de organisatie en processen zodoende verder ‘in control’ te brengen.
Praktijkcasus productiebedrijf
Binnen een productiebedrijf zijn voor meerdere operating companies ‘in control’-onderzoeken uitgevoerd. Binnen deze organisatie was het betreffende ERP-pakket reeds geruime tijd in bedrijf. Het uiteindelijke doel was om in beeld te brengen in hoeverre de diverse operating companies ‘in control’ zijn en met elkaar te benchmarken zijn. Het uitvoeren van een ‘in control’-scan binnen meerdere operating companies van één organisatie levert een duidelijke meerwaarde voor het management van de organisatie. Zo werd uit de resultaten van deze ‘in control’-scans duidelijk op welke gebieden effectief samengewerkt kan worden door de diverse operating companies (bijvoorbeeld doordat soortgelijke projecten binnen verschillende operating companies werden/worden uitgevoerd). Tevens werd inzichtelijk welke ‘best practices’ voor hergebruik in de organisatie beschikbaar gesteld konden worden. Door deze overkoepelende inzichten konden per operating company op een aantal punten aanzienlijke ‘quick wins’ worden gerealiseerd ten behoeve van het ‘in control’ zijn van de organisatie als geheel.
Conclusie
In dit artikel is een toelichting gegeven op de ‘in control’ maturity grid, waarbij concreet is aangegeven hoe organisaties het ‘in control’ zijn van hun ERP-systeem en -organisatie op een gestructureerde wijze in kaart kunnen brengen. Van belang is om de beheersing op alle relevante gebieden samenhangend in beeld te brengen, hetgeen voor de organisatie impliceert dat zij een evenwichtige score op de verschillende aspecten moet nastreven. De zwakste schakel in de maturity grid is immers bepalend voor het overall niveau van ‘in control’. Een toelichting op de meest relevante aspecten per aandachtsgebied is in dit artikel gegeven. Een vooraf opgesteld normenkader wordt gebruikt om de resultaten per aandachtsgebied in te schalen.
Nadat het management van de organisatie het gewenste niveau heeft aangegeven, kan per aandachtsgebied een stappenplan worden opgezet om naar het gewenste niveau toe te groeien. Aandachtsgebieden die het meest achterblijven bij het gewenste niveau zullen hierbij veelal een hogere prioriteit (moeten) krijgen.
In de praktijkcasussen zijn enkele voorbeelden genoemd waarbij toepassing van de ‘in control’ maturity grid concreet tot verbeteringen heeft geleid (met name daar waar voorheen verantwoordelijkheden ontbraken of signaleringslijsten niet werden gebruikt).
De ‘in control’ maturity grid wordt in dit artikel gepresenteerd als een momentopname. Procesbeheersing is één van de aandachtsgebieden hierbij. In de procesindustrie is continue procesbeheersing echter common business. Voor een real-time en continue monitoring van het proces wordt gebruikgemaakt van ‘in control’-dashboards. De verwachting is echter dat ook voor logistieke en administratieve processen (binnen een ERP-systeem) in de toekomst meer gebruik zal worden gemaakt van zogenaamde ‘in control’-dashboards ([Brou02]).
Literatuur
[Brou02] P.P. Brouwers, Ontwikkelingen met betrekking tot ‘in control dashboards’ en de invloed op auditing, Compact 2002/4.
[Brou02] P.P. Brouwers, Optimalisatie Business Process Controls SAP R/3, KPMG IRM Seminar Maximise your SAP benefits, 10 oktober 2002.
[Meul01] M. Meuldijk en M. op het Veld, Betere beheersing van ERP-projecten door Quality Assurance, Compact 2001/6.