De problematiek die ik in dit artikel behandel is tweeledig:



Vergelijkbare documenten
De SYSQA dienst auditing. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Projectmanagement De rol van een stuurgroep

Aanpak projectaudits

Checklist risicofactoren IT-projecten

Inhoud. 1. Doelstelling 2. Hoofdlijnen systeemconcept 3. Assurance object 4. Inrichting assurance 5. Meetpunten zekerheid 6. Zekerheid of schijn?

Optimaliseren afsluiten rapportage proces: juist nu!

Kwaliteitssysteem datamanagement. Meetbaar Beter

Bijlage 9. UNI REB GD. Releasebeleid

Rapport van bevindingen Rapport bij Financieel Verslag Uitvoeringstaken 2015 van het Zorginstituut Nederland

Praktijkplein Titel: Toepassing: Koppeling met het Operational Excellence Framework: Implementatiemethodieken: ontwerpen en ontwikkelen.

Actuele ontwikkelingen in IT en IT-audit

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S

Tweede Kamer der Staten-Generaal

Voor een volledig overzicht van de uitspraken van mijn ambtsvoorganger verwijs ik naar bijlage 1.

WHITE PAPER. Business Solutions

Kwaliteitssysteem datamanagement. Meetbaar Beter

ERP Implementatie in de praktijk

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

Projectmatig betekent: op de wijze van een project. Je moet dus eerst weten wat een project is. Een eenvoudige definitie van project is:

Opvolging aanbevelingen 2017

Projectmatig 2 - werken voor lokale overheden

Onderzoeksopzet De Poort van Limburg gemeente Weert

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Voorstel aan college van Burgemeester en Wethouders

Ministerie van Algemene Zaken (III)

Doelmatigheidsonderzoek Externe geldstromen

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Onderzoek naar digitale dienstverlening van de gemeente Hoogeveen

Het is goed mogelijk dat deze aanpak niet aansluit bij de werkwijze of situatie in uw onderneming. Graag maken we voor u een voorstel op maat.

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Preactor Case Study. Historie. Missie & Strategie

Whitepaper implementatie workflow in een organisatie

het project "Informatie- en communicatietechnologie (ICT) in het onderwijs" in 2002

Handleiding uitvoering ICT-beveiligingsassessment

Het plan van aanpak, een hele klus

Voorbeeldformulier RAW

Nadat je projectvoorstel goedgekeurd is, kun je je projectvoorstel uitwerken in een projectplan.

Programma van eisen voor de Europese aanbesteding van Accountancydiensten.

DControleerbaarheid en kwaliteit

Inhoud. In het kort. Het vermogensplanningsproces in vogelvlucht. Persoonlijke planning en begeleiding van uw vermogen. Uw wens is ons startpunt

Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

B&W-Aanbiedingsformulier

Inlichtingenbureau Voortgangsrapportage April Realisatie van het Sectorloket-systeem

Vernieuwing VMS ICT oplossing v0.1

Tweede Kamer der Staten-Generaal

Opleidingsgebied ICT. Niveau Beginnend *zie omschrijving beoordelingscriteria Gevorderd* Bekwaam* Werkproces(sen) Beoordeling* 1 e 2 e eind

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

GOVERNANCE, RISK & COMPLIANCE WHITEPAPER

$ - $ ( / - / 5 mei ( & ) 8 & / - / Nadere uitwerking aanpak accountantscontrole 2009

Routekaart naar Monaco Standaard voor Implementatie, Projectmanagement en Uitvoering

De kaderstellende rol van de raad bij complexe projecten

BIJLAGE 4 Selectiecriteria met een gewogen karakter Perceel Switching

HOE DE KANS OP EEN SUCCESVOLLE ERP- IMPLEMENTATIE TE VERGROTEN

Afbeelding: TriamFloat Effectmetingsmodel

Managementinformatiesysteem

Project Management. Hfst 1: Het project:

Assurancerapport Monitoringsplan PPS Rijkskantoor de Knoop Utrecht definitief

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Projectplan. Informatie arrangementen als app. s-hertogenbosch, 6 december 2011

Energiemanagement Actieplan

Kracht door samenwerking. VDL Industrial Modules

Rapport van bevindingen Test Monitoringsysteem Rijksgebouw De Knoop in Utrecht 2017

Implementatieplan Doorontwikkelen BRON vavo. vavo inwinnen. Versie 0.9, 20 maart Implementatieplan Doorontwikkelen BRON vavo 1

Doel van het invoeringsplan is te beschrijven welke handelingen dienen te worden verricht om een applicatie te implementeren.

Hof de Vriendschap Oordeel deelnemers en bewoners

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

Plan van aanpak implementatie WMO-dienstverlening gemeente Drimmelen

Resultaten verantwoordingsonderzoek De Koning (I) Rapport bij het jaarverslag

Succesvol implementeren

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol. Datum: dd-mm-jj

Nationale Controllersdag juni Financial Control Framework Van data naar rapportage

Prince2 audit. Kwaliteitsmaatregel met rendement

De notitie verantwoording Wet Werk en Bijstand 2004 geeft hiervoor de kaders weer.

Plan van aanpak Portfolio

Tweede Kamer der Staten-Generaal

Planning & Control. Inleiding. Inhoudsopgave

Oordelen van en door RE s

III I li Dili 1 \ till iiiiiiiii HI

In control? Walk Along!

Stappenplan nieuwe Dorpsschool

COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

1. Is de standaard duidelijk over de werkzaamheden die mogen worden uitgevoerd.? Zo nee, graag toelichten waarom niet.

Deelprojectplan. Bestuurlijke Informatie Voorziening

BESTUURSOPDRACHT MAJEURPROJECT VOORTGEZET ONDERWIJS Gemeenteraad

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

Grip op fiscale risico s

Rekenkamercommissie. Onderzoeksplan proces- kwaliteit majeure projecten. gemeente Best

Meer Control met minder Instrumentarium?

De organisatorische (trein)reis naar een Shared Service Center bij de Nederlandse Spoorwegen

Ministerie van Financiën De staatssecretaris, de heer ir. E.D. Wiebes MBA Postbus EE Den Haag

Functieprofiel Projectleider Functieprofiel titel Functiecode 00

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE ICT FUNCTIONEEL (INFORMATIE) BEHEERDER VERSIE 1 MEI 2012

Inleiding 1. Opdrachtaanvaarding 2 t/m 7. Planning en uitvoering professionele dienst 8 t/m 12. Dossier 13 t/m 16. Rapportage 17 t/m 20

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Inhoudsopgave. Bewust willen en kunnen 4. Performance Support 5. Informele organisatie 5. Waarom is het zo moeilijk? 6

RAPPORT AD/2005/ Inzake de negende voortgangsrapportage Structuur Uitvoering Werk en Inkomen. Auditdienst

Transcriptie:

Artikel Ervaringen van een auditor bij implementaties van ERP-systemen Ko van de Sande Veranderingen treden op in de techniek, in de managementstijlen maar ook in het vertrouwen dat het brede publiek, waaronder opdrachtgevers en gecontroleerden, in auditors heeft. De vraag wordt gesteld op welke wijze de (IT-)auditor behoort te opereren om voldoende toegevoegde waarde te leveren voor opdrachtgever en management in een veranderende omgeving. Als projectleider bij de Auditdienst Financiën heb ik leiding gegeven aan een audit op de implementatie van het Enterprise Resource Planning (ERP)-softwarepakket SAP-Payroll bij het ministerie van Financiën. Mijn praktische ervaringen met deze audit wil ik delen met andere auditors. De rode draad is: auditor blijf bij je leest en lever een vakkundige inbreng. Zorg er verder voor dat er meer dan tot nu toe sprake is van een continue betrokkenheid. Drs. J.H.A. van de Sande RE RA is als projectleider audits werkzaam bij de Auditdienst van het Ministerie van Financiën en hij is docent bij de Rijksacademie. Dit artikel is op persoonlijke titel geschreven. Inleiding De problematiek die ik in dit artikel behandel is tweeledig: enerzijds komt de vraag aan de orde op welke wijze de auditor toegevoegde waarde kan leveren bij implementaties van ERP-systemen en anderzijds ga ik in op de wijze waarop de audit hiertoe ingericht behoort te worden en de bijbehorende attitude van de auditor. In het volgende hoofdstuk wordt kort iets gezegd over de trend die waarneembaar is binnen de rijksoverheid om steeds vaker voor ERP-systemen te kiezen en de gevolgen die dat heeft voor het ontwikkel- en implementatietraject. Dan volgt een algemene beschrijving van het project bij het ministerie van Financiën. Vervolgens wordt beschreven op welke wijze de auditdienst haar werkzaamheden heeft ingericht. Een apart hoofdstuk wordt gewijd aan de ervaringen die zijn opgedaan bij dit project. Daarin wordt onderscheid gemaakt tussen het perspectief van de auditor en het perspectief van de leden van de projectorganisatie. Tot slot wordt onder de kop Conclusies beschreven wat naar mijn mening noodzakelijk is voor een auditor om toegevoegde waarde te kunnen leveren voor de opdrachtgever bij implementaties van ERPsystemen. ERP-systemen in opkomst Na een periode waarin voorzichtig en met vallen en opstaan is getracht ERP-systemen te implementeren, is nu een omslag bereikt. Steeds vaker gaan organisaties over tot het vervangen van de zelfgebouwde en legacy-systemen door ERP-systemen. Ook de overheid begeeft zich steeds meer op deze weg. Het ministerie van Defensie implementeert een ERP-systeem voor haar logistieke en materiële processen. Vrijwel de gehele rijksoverheid neemt deel aan de ontwikkelingen om een shared service center in te richten voor salaris- en personele processen (het project P-Direkt). Het ministerie van Financiën, inclusief de Belastingdienst, heeft SAP-Payroll geïmplementeerd voor haar salarisverwerking. Een gevolg van de keuze voor ERP-systemen is dat de ontwikkel- en implementatieprojecten een andere invulling kennen dan bij de traditionele ontwikkeling van geautomatiseerde systemen. Bij de traditionele aanpak worden in de vorm van een watervalmethode via globaal ontwerp en detail ontwerp veelal vanuit het niets nieuwe systemen en processen ontwikkeld en geïmplementeerd. Dit waren vaak langlopende, complexe en daardoor risicovolle projecten. De implementatie van ERP-systemen kent ook een project- 22 de EDP-Auditor nummer 1 2006

fasering van globaal ontwerp naar detail ontwerp. Het grote verschil is dat bij ERP-systemen binnen een vaste en bewezen systeemstructuur de specifieke instellingen behorende bij die organisatie worden ingericht. Als randvoorwaarde geldt, dat zoveel mogelijk de standaard inrichting van het ERP-systeem wordt gekozen om te voorkomen dat veel maatwerk binnen het ERP-systeem gerealiseerd moet worden. Salarissysteem bij het ministerie van Financiën en de opzet van het project Landschap van personeels- en salarisprocessen Bij het ministerie van Financiën zijn ruim 30.000 medewerkers werkzaam. Het ministerie van Financiën omvat het kerndepartement in Den Haag en de Belastingdienst. De Belastingdienst is een organisatie met een groot aantal vestigingen verspreid over Nederland. Het ministerie van Financiën heeft enige jaren geleden allereerst voor de personele processen van het kerndepartement en de Belastingdienst het ERP-systeem SAP-HR ingevoerd. De salarisverwerking was op dat moment ondergebracht in een samenwerkingsverband, Informatievoorziening Overheidspersoneel (IVOP). Dit samenwerkingsverband van een groot aantal overheidsinstellingen maakte gebruik van het salarisverwerkend systeem IPA. Per 1 januari 2004 is bij het ministerie van Financiën ook voor de salarisprocessen een ERP-systeem geïmplementeerd, namelijk SAP-Payroll. De geautomatiseerde verwerking van SAP-Payroll vindt plaats bij het automatiseringscentrum van de Belastingdienst (Belasting dienst Centrum voor ICT, B/ CICT). Sinds begin 2005 werkt Financiën voor de salarisverwerking samen met de departementen van Economische Zaken, Onderwijs, Cultuur en Wetenschappen en Verkeer en Waterstaat. Deze vier departementen hebben een samenwerkings verband, het Facilitair Salariscentrum (FSC), opgericht waarin de salarisprocessen worden uitgevoerd door het ERP-systeem SAP-Payroll. Vanuit mijn functie als projectleider bij de auditdienst van het ministerie van Financiën was ik betrokken bij de twee hierboven vermelde implementaties van SAP-Payroll. De ervaringen van deze audits zijn in dit artikel beschreven. Een onderscheid tussen beide implementatieprojecten of audits wordt hierbij niet meer gemaakt. Hierna wordt daarom gesproken over het project of de audit. Het project Het project had als doelstelling het inrichten en implementeren van SAP-Payroll en het voorbereiden van de organisaties op de veranderingen van deze implementatie. Het project had haar fasering ontleend aan de implementatiemethodiek Accelerated SAP (ASAP). Het project kende de volgende fasering (tussen haken is de overeenkomstige fase van de ASAP-methodiek aangegeven): 1. Projectvoorbereiding (Project Preparation); 2. Ontwerp (Business Blue Print); 3. Realisatie (Realization); 4. Testen (Realization); 5. Voorbereiding invoering (Final Preparation); 6. Veranderingsmanagement (Final Preparation); 7. Activering en nazorg (Go Life & Support). Beide projecten hadden een geplande doorlooptijd van ongeveer anderhalf jaar. Projectorganisatie De projectorganisatie werd, naast het projectmanagement en de stuurgroep, gekenmerkt door een drietal werkgroepen. De werkgroep Proces had tot doel het ontwerp van de gewenste (salaris)processen te beschrijven en de diverse producten van de werkgroep Systeem en Beheer te beoordelen. De werkgroep Systeem en Beheer configureerde het ERP-systeem SAP-Payroll en richtte de toekomstige proces- Figuur 1 schematische weergave projectorganisatie. 23 de EDP-Auditor nummer 1 2006

sen voor beheer en onderhoud in. De werkgroep Verandermanagement diende zorg te dragen voor de voorbereiding van de organisatie en de gebruikers op de invoering van het nieuwe systeem. De nadruk bij deze werkgroep lag op communicatie, voorlichting, opleiding, begeleiding en nazorg. De opdracht en de aanpak van de auditdienst Opdracht en object van de audit De opdrachtgever en tevens voorzitter van de Stuurgroep Salarisverwerking had de auditdienst verzocht een door lopende audit op de werkzaamheden in het project uit te voeren. In haar motivatie gaf de stuurgroep aan dat in plaats van toezicht en beoordelingen op momentopnames er behoefte was aan een vorm van permanent toezicht op de voortgang van het project. Als belangrijkste reden gaf de stuurgroep aan dat mogelijke fouten of vertragingen in de salarisverwerking een groot bedrijfsrisico met zich mee zouden brengen. In haar opdrachtbevestiging had de auditdienst een tweedeling gemaakt in de objecten van de audit. Het betrof de projectorganisatie (projectaudit) en daarnaast alle producten die door de projectorganisatie worden vervaardigd om te komen tot het realiseren en implementeren van het nieuwe salarissysteem (productaudit). De doelstelling voor de projectaudit was gedefinieerd als: Het op onafhankelijke wijze onderzoeken of de inrichting en de beheersing van het project voldoende waarborgen biedt om de beoogde doelstellingen van het project binnen de gestelde randvoorwaarden te kunnen bereiken. De doelstelling van de productaudit luidde: Het op onafhankelijke wijze onderzoeken of het project leidt tot een betrouwbaar, beheersbaar en controleerbaar salarisproces. Aanpak van de audit Op grond van ervaringen met andere ingrijpende automatiserings- en veranderingsprocessen was er voor gekozen om de audit aan te sturen door een kernteam van auditors afkomstig van de diverse disciplines. In het kernteam waren een IT-auditor, een operational auditor en een financial auditor opgenomen. De IT-auditor richtte zich voornamelijk op de beoordeling van de automatiseringsproducten. De operational auditor had als aandachtsgebied de inrichting en beheersing van het project. De financial auditor beoordeelde de producten inhoudelijk en had daarbij aandacht voor de consequenties voor de toekomstige accountantscontrole. Op de momenten dat dit noodzakelijk was, werd aanvullende capaciteit en deskundigheid ingezet. Het permanent auditen, voortdurend de vinger aan de pols houden, bestond uit de volgende hoofdactiviteiten. Op regelmatige momenten (gemiddeld om de vier weken) werden interviews gehouden met de diverse projectverantwoordelijken (projectleiding en werkgroepvoorzitters). Op deze wijze werd bereikt dat de auditors inzicht hadden in de diverse ontwikkelingen van het project. Niet alleen de voortgang van de oplevering van producten, maar ook de onderlinge communicatie en onderlinge verhoudingen binnen de projectorganisatie waren onderwerp van gesprek. De diverse producten van het project werden reeds tijdens de totstandkoming beoordeeld. Door betrokkenheid tijdens de totstandkoming van de producten was er tijd beschikbaar voor de auditors om met projectleden inhoudelijke discussies te voeren en elkaars standpunten te verduidelijken. Op deze wijze werd verder bereikt dat de volgens de auditors noodzakelijke aanvullingen tijdig meegenomen konden worden in de producten. Van de diverse projectactiviteiten, zoals testen, schaduwdraaien en conversie werd zowel de voorgenomen inrichting (de opzet) als de uitvoering (de werking) tijdig beoordeeld. Concreet betekende dit dat de bevindingen ten aanzien van de opzet van een projectactiviteit voor aanvang van de activiteit aan het project waren gerapporteerd. De bevindingen ten aanzien van de uitvoering van een projectactiviteit werden kort na de start van deze activiteit gerapporteerd. Op deze wijze was er gelegenheid voor het project om tijdens de uitvoering eventuele verbeteringen door te voeren. Ervaringen In dit hoofdstuk beschrijf ik de ervaringen opgedaan bij dit project. Bij de ervaringen vanuit auditperspectief richt ik mij op de aanpak van de audit, de objecten van de audit, de bezetting van het auditteam, de gehanteerde normatiek en de wijze van rapporteren. De ervaringen die ik optekende vanuit de projectorganisatie richten zich op de attitude van de auditors en de rapportagevorm. Ervaringen vanuit auditperspectief Aanpak van de audit Bij de acceptatie van de opdracht hebben binnen de auditdienst uitgebreide discussies plaatsgevonden over de vraag of het gewenst is dat de auditor een permanente betrokkenheid heeft bij het project. In de gebruikelijke aanpak van een audit van bijvoorbeeld automatiseringsprojecten vinden de beoordelingsactiviteiten veelal plaats op het moment dat eindproducten door de projectorganisatie worden aangeboden en kort voor de formele rapportagemomenten. De auditor is dan niet permanent betrokken bij het project. In de discussie over de aanpak van de audit kwam het aspect van het collisiegevaar duidelijk naar voren. Onder collisiegevaar wordt verstaan: het risico van de auditor of auditdienst dat de adviesactiviteiten tijdens het project botsen met de latere controleactiviteiten. Door de permanente en intensieve betrokkenheid van de auditor zou dit risico kunnen optreden. Dit risico werd met name gezien doordat beoordelingen plaatsvonden van tussentijdse producten en omdat in een vroegtijdig stadium werd meegedacht over de inrichting (opzet) van projectacti- 24 de EDP-Auditor nummer 1 2006

viteiten zoals testen, schaduwdraaien en con versie. De auditor zou door deze directe betrokkenheid onvoldoende afstand bewaren tot het project, waardoor zijn onafhankelijkheid in het geding kon komen. Het risico was aanwezig dat de auditor deel zou gaan uit maken van de kwaliteitsbeheersing van het project en daardoor zijn taak als onafhankelijke toetser niet adequaat zou kunnen uitvoeren. De rol van de auditor ging verder dan die van een klankbord op hoofdlijnen Mede op grond van de wens van de opdrachtgever is bewust gekozen voor een permanente betrokkenheid van de auditor in dit project. Hierbij speelde ook een rol dat organisatiebreed het management de wens had uitgesproken dat de auditdienst een grotere betrokkenheid bij automatiseringsen veranderingsprojecten aan de dag zou gaan leggen. Hoewel de auditors een grote mate van betrokkenheid aan de dag legden, hebben zij in de uitvoering van de werkzaamheden wel de noodzakelijke afstand weten te bewaren. Door tijdige aandacht voor deze problematiek vanuit het kernteam van de audit en het management van de auditdienst is bereikt dat de beoordelingen op voldoende onafhankelijke wijze werden uitgevoerd. Objecten van de audit Zoals eerder aangegeven kende de audit twee objecten: het project en de producten. In de voorbereiding van de audit was de vraag aan de orde of er sprake diende te zijn van een strikte scheiding tussen deze twee auditobjecten in zowel de uitvoering van de audit als in de rapportage. In de discussie werd geopperd dat de werkzaamheden voor de twee verschillende objecten door verschillende auditteams uitgevoerd dienden te worden en dat de bevindingen onderling niet uitgewisseld mochten worden. Uit oogpunt van het belang van de opdrachtgever is gekozen om waar mogelijk de scheiding tussen de auditobjecten project en producten te laten varen. De opdrachtgever was immers geïnteresseerd in alle aspecten die van belang zijn voor het welslagen van het project. Het maakte de opdrachtgever niet uit onder welk auditobject een bevinding formeel viel; zijn belang lag erin dat hij tijdig werd geïnformeerd over alle mogelijke risico s die het welslagen van het project konden belemmeren. De bezetting van het auditteam De audit stond onder leiding van een beperkt kernteam met daarin een IT-auditor, een operational auditor en een financial auditor. Het kernteam was verantwoordelijk voor alle aspecten van de audit, zowel die van de project audit als die van de productaudit. Bij alle interviews en besprekingen was minimaal één van de leden van het kernteam aanwezig. Daarnaast was steeds één van de leden van het kernteam betrokken bij de beoordelingen van de afzonderlijke (tussen)producten. Door deze aanpak waren de auditors van het kernteam steeds op de hoogte van alle ontwikkelingen in het project en de stand van zaken van de diverse producten en activiteiten. Door deze kennis was het mogelijk om in de interviews en de gesprekken met het projectmanagement inhoudelijk in te gaan op diverse ontwikkelingen en een breed palet van projectaspecten te behandelen. De rol van de auditor ging hierdoor verder dan die van een klankbord op hoofdlijnen. In de reguliere aanpak kan de auditor vaak op een beperkt aantal aspecten van het project (de zojuist beoordeelde producten) diepgaander meepraten en blijft de verdere bijdrage veelal beperkt tot de hoofdlijnen en het in algemene zin aangeven van risico s. In de loop van het project nam mede hierdoor het wederzijds vertrouwen toe en verliep de communicatie met de projectorganisatie steeds beter. De gehanteerde normatiek De te hanteren normen waren na afstemming met de opdrachtgever in de opdrachtbevestiging vastgelegd. Bij de beoordeling van de producten werd de normatiek als leidraad en denkkader gehanteerd en minder als richtlijnen die persé opgevolgd dienen te worden. Doordat geen uitgebreide en gedetailleerde normen werden gehanteerd, maar een denkkader met kwalitatieve doelstellingen, kon beter worden gecommuniceerd met het project. Het hanteren van een denkkader gaf het project de ruimte om binnen haar mogelijkheden naar oplossingen te zoeken om de doelstellingen en uitgangspunten te realiseren. Rapportage In de audit was het streven om de actualiteit van het project zo veel mogelijk te volgen. De bevindingen van de audit werden zoveel mogelijk direct in de interviews aan de projectorganisatie teruggekoppeld. De snelle terug koppeling van bevindingen in de interviews met de project organisatie werd door het projectmanagement op prijs gesteld. De mondelinge toelichting die in de interviews werd gegeven en de regelmatige discussies over de bevindingen droegen 25 de EDP-Auditor nummer 1 2006

Rapportages die zich richten op hoofdzaken werden door het project beter ontvangen en leidden tot het doorvoeren van verbeteringen bij aan de motivatie binnen het project om de bevindingen van de auditors op te pakken. Het deed de auditors deugd om in hierop volgende interviews met andere projectleden te constateren dat opmerkingen geplaatst in eerdere interviews tot actie hadden geleid. Naast deze mondelinge communicatie in de interviews waren er ook de schriftelijke vormen. Dit betrof memo s met daarin de bevindingen van beoordelingen van tussen- en eindproducten. Verder waren daar de formele rapporten aan de stuurgroep waarin in hoofdlijnen de bevindingen werden gerapporteerd. De memo s van de beoordeling van tussen- en eind producten bestonden in eerste instantie uit uitgebreide en gedetailleerde opsommingen van de bevindingen. Door de omvang en de diepgang leidden deze memo s niet tot het gewenste resultaat binnen het project. De reactie was veelal een bestuurlijke. De afwikkeling van het memo werd belegd bij een van de projectleden en leidde vaak tot een formele reactie zonder dat het doel van de auditors, het verbeteren van het onderzochte product, werd bereikt. Rapportages die zich richtten op de hoofdzaken, zonder dat belangrijke items over het hoofd werden gezien, werden door het project beter ontvangen en leidden tot het doorvoeren van verbeteringen. Werkwijze van de auditor Bij de beoordeling van de producten waren de ervaringen tijdens deze audit dat indien sprake is van de implemen tatie van een ERP-systeem dit een andere benadering vraagt dan de implementatie van een systeem dat ontwikkeld wordt volgens de watervalmethode. Onder voorwaarde dat sprake is van een goede selectieprocedure van het ERP-systeem kan de auditor steunen op de wetenschap dat het ERP-systeem diverse voor de auditor belangrijke aspecten (zoals functiescheiding, controles op veldniveau en verbanden) als standaardvoorziening kent. In de selectieprocedure behoort dan wel vastgesteld te zijn dat de hierboven genoemde kwaliteitscriteria van beveiligingaspecten in voldoende mate in aanleg als standaardvoorziening aanwezig zijn. Bij systeemontwikkeling volgens de watervalmethode behoort de auditor veel aandacht te schenken aan het beoordelen of deze belangrijke aspecten wel zijn opge nomen in het (detail)ontwerp. Ervaringen vanuit projectperspectief De hieronder beschreven ervaringen zijn beperkt tot die zaken die betrekking hebben op de rol en het optreden van de auditors en de auditdienst. Andere zaken die van belang zijn voor het welslagen van een project, zoals voldoende bestuurlijke aandacht, worden hier niet behandeld. Attitude van de auditdienst Binnen de projectorganisatie was in eerste instantie, vanuit eerdere ervaringen met zowel interne als externe auditors, sprake van enige terughoudendheid in de communicatie met de auditors. De oorzaak voor deze terughoudendheid werd ingegeven door de ervaringen van leden van de projectorganisatie met auditors waarin met behulp van vragenlijsten allerlei formaliteiten werden nagelopen en doordat de auditrapportages vaak handelden over onderwerpen die reeds bekend waren en veelal reeds aangepakt waren. De projectorganisatie ervoer het als positief dat de auditors niet alleen achteraf hun commentaar leverden, maar meedachten en pro-actief tijdens het totstandkomingsproces hun opmerkingen plaatsten. Eveneens is positief gereageerd op het feit dat niet geopereerd werd met lange vragen lijsten of lijsten met aandachtspunten waaraan strikt werd vastgehouden. Het hanteren van de normatiek als denk kader en kwalitatieve doelstellingen bevorderde de samenwerking en onderlinge communicatie. Rapportage De opdrachtgever was niet geïnteresseerd in de afbakening die de auditor voor zijn onderzoek hanteert; de onderverdeling tussen projectaudit en productaudit was niet van belang. De opdrachtgever wilde tijdig geïnformeerd worden over alle aspecten die een risico konden betekenen voor zijn project. Dit betekende dat informatie over aspecten zoals het voorbereiden en de uitvoering van de organisatieverandering en de opleidingen ook van belang waren voor de opdrachtgever. Het was voor de auditor daardoor belangrijk om bepaalde disciplines, om deze aspecten te kunnen onderzoeken, in zijn auditteam op te nemen. Conclusies Het project, het projectmanagement en de projectleden, de opdrachtgevers, de toekomstige gebruikers en ook de 26 de EDP-Auditor nummer 1 2006

bestuurders zijn het meeste gebaat bij een integrale auditaanpak gericht op alle aspecten die van invloed kunnen zijn op de ontwikkeling en implementatie van het nieuwe systeem en de uiteindelijke werking van de nieuwe processen in de organisatie. Niet alleen de implementatie, maar ook de acceptatie door de gebruikers en de inbedding in de processen van de organisatie dient aandacht vanuit het project te krijgen. De projectactiviteiten zoals communicatie, voorlichting en opleiding van de toekomstige gebruikers zijn zeker zo belangrijk als de specifieke auditaspecten zoals interne controle, beveiliging, autorisaties en logging voor het uiteindelijk welslagen van de implementatie en dus het project. Naar mijn mening heeft een organisatie uiteindelijk een groter profijt van de audit als ook de project risico s en de operationele aspecten van de uiteindelijke implementatie meegenomen worden in de audit. De auditors en het project behoren immers een gemeenschappelijk doel te hebben: het implementeren van goed functionerende processen en systemen. Om al deze projectaspecten te kunnen bestrijken, is inzet van diverse disciplines noodzakelijk. Hierbij dient gedacht te worden aan operational auditors, IT-auditors en financial auditors. Integrale aandacht door de auditor geeft de opdrachtgever een completer inzicht van de projectrisico s. Om de door de organisatie gewenste toegevoegde waarde bij veelal omvangrijke implementatie-projecten te kunnen leveren, is een pro-actieve en ook flexibele attitude van auditors vereist. Dit is noodzakelijk om snel te kunnen reageren op ontwikkelingen in het project. Hiervoor is het vereist dat een snelle terugkoppeling van bevindingen wordt gegeven. Het wachten met rapporteren van bevindingen tot de formeel overeengekomen rapportagemomenten getuigt van een weinig pro-actieve houding en biedt onvoldoende toegevoegde waarde voor de projectorganisatie en de opdrachtgever. Het verdient de voorkeur om regelmatig, reeds in de interviews met de projectorganisatie, de bevindingen te rapporteren. Deze pro-actieve houding en participatie (meedenkrol) werden door de project verantwoordelijken en ook door de opdrachtgever zeer gewaardeerd. Het door de auditor vasthouden aan de veelal standaardlijsten met kwaliteitseisen en normen werkt belemmerend in de communicatie met de projectorganisatie. Het is van belang dat de auditor in overleg met de projectorganisatie komt tot een aanvaardbare set van kwaliteitseisen waarvan de projectorganisatie het belang onderkent dat het nieuwe systeem met haar processen hieraan dient te voldoen. Op deze wijze gaan kwaliteitseisen pas leven voor een projectorganisatie. Bij zijn optreden behoort de auditor duidelijk zijn eigen positie en verantwoordelijkheid in de gaten te houden en niet op te treden als onderdeel van het project zelf. Er zijn voldoende mogelijkheden om met behoud van de onafhankelijke positie de eigen verantwoordelijkheid als auditor te nemen. Op deze wijze treedt de auditor meer op als (echte en kritische) partner voor de projectorganisatie: in woord en gebaar tijdens het project en niet alleen achteraf als het product er ligt of als het systeem al (bijna) is geïmplementeerd. Door de (op)komst van ERP-systemen zou de aanpak en de benadering van de auditors dienen te wijzigen. Bij systeemontwikkeling volgens de watervalmethode gaat de auditor met veel aandacht voor volledigheid in de (detail)ontwerpen na of de voor de auditor van belang zijnde kwaliteitsaspecten wel in voldoende mate zijn beschreven. Immers hetgeen niet is beschreven in de ontwerpen wordt zeker niet opgenomen in het te ontwikkelen geautomatiseerde systeem. Bij ERP-systemen kan de auditor, onder voorwaarden, steunen op de wetenschap dat het ERP-systeem diverse voor de auditor belangrijke kwaliteitsaspecten als standaardvoorziening kent. Naar mijn mening verschuift de aandacht van de auditor zich van de ontwerpfase naar de selectieprocedure van het toekomstige ERP-systeem en naar de fase van acceptatietesten, waarbij in een langdurige testfase in de vorm van een iteratief proces tot een kwalitatief goed product gekomen kan worden. Het is dan niet meer noodzakelijk dat de beschrijvingen van de ontwerpen alle voor ons auditors van belang zijnde kwaliteitscriteria uitputtend bevat. Slotwoord In de inleiding heb ik vraag gesteld op welke wijze de auditor toegevoegde waarde kan leveren bij implementaties van ERP-systemen en anderzijds op welke wijze de audit hiertoe ingericht behoort te worden en welke attitude van de auditor hierbij hoort. Terugblikkend kom ik tot de (te verwachten) constatering dat mijn ervaringen niet alleen beperkt zijn tot auditopdrachten voor implementaties van ERP-systemen. De geschetste ervaringen kennen een bredere toepassing: zij gelden ook voor opdrachten die wij als auditors verwerven voor het auditen van automatiseringsprojecten en organisatieveranderingen.ik hoop dat ik op deze wijze een bijdrage heb geleverd aan de verdere ontwikkeling van ons vakgebied waarbij wij als auditors meer en meer te maken zullen krijgen met ERP-systemen. Daarnaast krijgen wij naar mijn mening in toenemende mate te maken met opdracht gevers die van de auditors een grotere en continue betrokkenheid verwachten. Ik ben benieuwd naar ervaringen van andere auditors op dit gebied. 27 de EDP-Auditor nummer 1 2006

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback