Risico’s bij ERP
SYSQA B.V. Almere
Datum Status Versie Opgesteld door
: 6 mei 2013 : Definitief : 2.0 :
Organisatie Titel
SYSQA B.V. Risico’s bij ERP
Pagina Versie Datum
2 van 13 2.0 06-05-2013
Inhoudsopgave 1
Inleiding ................................................................................. 3
2
Stakeholdermanagement en gebruikersinteractie ................... 4 2.1 2.2
3
Leverancier ............................................................................. 6 3.1 3.2
4
Risico’s & maatregelen ........................................................................ 10 Tip ................................................................................................... 10
Test ....................................................................................... 11 7.1 7.2
8
Risico’s & maatregelen ......................................................................... 8 Tip .................................................................................................... 9
Systeem ................................................................................ 10 6.1 6.2
7
Risico’s & maatregelen ......................................................................... 7 Tip .................................................................................................... 7
Projectmanagement ................................................................ 8 5.1 5.2
6
Risico’s & Maatregelen ......................................................................... 6 Tip .................................................................................................... 6
Beveiliging .............................................................................. 7 4.1 4.2
5
Risico’s & maatregelen ......................................................................... 4 Tips ................................................................................................... 5
Risico’s & maatregelen ........................................................................ 11 Tip ................................................................................................... 11
Beheer................................................................................... 12 8.1 8.2
Almere
Risico’s & maatregelen ........................................................................ 12 Tip ................................................................................................... 13
Almere © 2013
Proud of it
Pagina 2 van 13
Organisatie Titel
SYSQA B.V. Risico’s bij ERP
Pagina Versie Datum
3 van 13 2.0 06-05-2013
1 Inleiding Het implementeren van een ERP pakket brengt diverse risico’s en maatregelen met zich mee. Voordat maatregelen worden genomen dienen de risico´s te worden geïdentificeerd. In dit document wordt de volgende formule gehanteerd: Productrisico = faalkans * schade, waarbij faalkans = foutkans * frequentie van gebruik. Door het inzichtelijk maken van de risico’s en de gevolgen te onderkennen kunnen weloverwogen beslissingen worden genomen over de te nemen maatregelen en de kosten hiervan. Dit document heeft als doel inzichtelijk te maken wat de specifieke risico’s van een ERP implementatie vormen. Naast de risico’s worden ook mogelijke maatregelen kort beschreven. Niet alle risico’s zullen bij iedere ERP implementatie relevant zijn. Een implementatie bij een kleine onderneming heeft andere aandachtspunten dan een grote multinational. De risico’s zijn gegroepeerd naar risicogebieden. Per risico gebied zijn ook tips en verwijzingen naar ervaringen binnen SYSQA gegeven. De risico’s die benoemd zijn in dit document vormen geen uitputtende lijst van risico’s, de belangrijkste en meest voorkomende zijn terug te vinden in dit document. De waardes van faalkans en schade zijn gebaseerd op ervaringsgegevens van trajecten die bij verschillende opdrachtgevers zijn uitgevoerd door medewerkers van SYSQA.
Almere
Almere © 2013
Proud of it
Pagina 3 van 13
Organisatie Titel
SYSQA B.V.SYSQA Risico’s bij ERP
Pagina Versie Datum
4 van 13 1.0 25-04-13
2 Stakeholdermanagement en gebruikersinteractie 2.1 Risico’s & maatregelen Nummer
Risico
Kans
Schade
SMG-1
De inrichting wordt bekeken vanuit de mogelijkheden van het pakket en ICT, hierdoor worden business doelstellingen, de organisatie en processen te weinig belicht.
Groot
Gemiddeld
Geïmplementeerde processen sluiten niet aan op de werkelijke bedrijfsprocessen.
Zeer groot
SMG-2
SMG-3
De gebruikte modules sluiten niet aan op bestaande systemen en ongewijzigde processen waardoor bedrijfsprocessen vastlopen.
Maatregel -
Zeer groot
-
Groot
Groot
-
-
SMG-4
De beschrijving van de huidige processen is niet toereikend om de nieuwe inrichting goed te kunnen bepalen.
Klein
Zeer groot
-
-
-
Almere
Almere © 2013
Proud of it
Maak business doelstellingen inzichtelijk. Laat (pot.) leverancier een case uitvoeren om aan te tonen dat de business doelen haalbaar zijn. Inventariseer of een andere werkwijze beter aansluit bij de organisatie en processen. Indien de werkwijze wordt gewijzigd, houdt rekening met de impact op de business case. Blijf de voortgang toetsen aan de businesscase. Communiceer verwachte veranderingen, luister naar reacties. Laat (key) users meedenken bij het inrichten van de processen. Licht keuze toe. Blijf de voortgang toetsen aan de businesscase. Stel tijdig vast welke protocollen worden gebruikt voor het uitwisselen van data en of aansluiting / communicatie met andere systemen mogelijk is. Bepaal de impact die het gebruik van het ERP systeem op het systeemlandschap heeft. Bepaal waar de aanpassingen gemaakt gaan worden om de interface werkend op te leveren. Inventariseer de huidige processen alvorens een nieuw pakket te kiezen, zorg bij de keuze van een nieuw pakket dat deze de gewenste processen goed kan uitvoeren. Controleer of dit aansluit bij het nieuwe pakket, pas processen aan waar nodig. (eventueel door proefdraaien met een uitgewerkte casus) Begin met de inrichting zodra processen duidelijk zijn.
Pagina 4 van 13
Organisatie Titel
SYSQA B.V.SYSQA Risico’s bij ERP
Pagina Versie Datum
Nummer
Risico
Kans
SMG-5
Als eenmaal een pakket geselecteerd Groot is, is de neiging om alle behoeftes door de functionaliteit van het pakket op te lossen. Misschien zijn er betere oplossingen buiten het pakket.
Schade Klein
Maatregel -
SMG-6
Door buiten het standaard pakket om maatwerk toe te willen voegen, bestaat de kans dat dit complex, kostbaarder dan verwacht in aanschaf maar ook in beheer blijkt te zijn.
Groot
Groot
-
Aandacht voor de procesverandering, of aanvullende oplossingen als rapportagetools of BI- software. Kritisch blijven op rationele argumenten van bepaalde keuzes door stakeholders de keuzes voor te leggen en te laten beoordelen. Inventariseer welke oplossingen mogelijk zijn en wat de impact (tijd/geld/kwaliteit) van de oplossingen zijn. Leg de keuze voor aan de stakeholders. Onderzoek of het mogelijk is de processen aan te passen of een ander pakket te kiezen. Bij de keuze voor maatwerk, nadenken over de beheer consequenties, van bijvoorbeeld patches en servicepacks, onderhoud op maatwerk, afhankelijkheid van maatwerkleverancier.
2.2 Tips
Tijd besteed aan goed opgestelde en complete requirements zal zich later in het proces terug verdienen. Belang benadrukken van het valideren van de business case (als wijzigingen in het project nodig zijn).
Almere
Almere © 2013
Proud of it
5 van 13 1.0 25-04-13
Pagina 5 van 13
Organisatie Titel
SYSQA B.V.SYSQA Risico’s bij ERP
Pagina Versie Datum
6 van 13 1.0 25-04-13
3 Leverancier 3.1 Risico’s & Maatregelen Nummer Risico
Kans
Schade
L-1
De gebruikte modules sluiten niet aan op bestaande systemen en ongewijzigde processen waardoor bedrijfsprocessen vastlopen.
Groot
Groot
Geen transparantie bij leveranciersselectie, waardoor de pakketkeuze niet is geoptimaliseerd.
Groot
L-2
L-3
Maatregel -
-
Groot
De oplossingen van de leveranciers Gemiddeld Groot sluiten niet aan op de wensen, waardoor de bedrijfsprocessen niet of niet optimaal worden ondersteund.
-
-
Stel tijdig vast welke protocollen worden gebruikt voor het uitwisselen van data en of aansluiting / communicatie met andere systemen mogelijk is. Vraag de leverancier naar bestaande interfaces en mogelijkheden. Laat een proof of concept uitvoeren om aan te tonen of het gekozen pakket de bedrijfsdoelstellingen ondersteunt. Laat de beslissing door alle of een gedelegeerd gedeelte van de stakeholders nemen. Indien geen andere leveranciers / pakketten beschikbaar zijn, onderzoek welke additionele aanpassingen uitgevoerd moeten worden op de geboden oplossingen. Bepaal bij additionele aanpassingen de invloed op de businesscase. Inventariseer (per leverancier) hoe goed de requirements aansluiten op de oplossingen die aangeboden worden.
3.2 Tip Werk een case uit op basis van de eigen processen, vraag de potentiële leverancier om een demo op basis van deze case.
Almere
Almere © 2013
Proud of it
Pagina 6 van 13
Organisatie Titel
SYSQA B.V.SYSQA Risico’s bij ERP
Pagina Versie Datum
7 van 13 1.0 25-04-13
4 Beveiliging 4.1 Risico’s & maatregelen Nummer
Risico
Kans
Schade
BV-1
ERP-systemen zijn gevoelig voor Gemiddeld Zeer groot fraude en diefstal, alle informatie staat in een systeem.
Maatregel -
BV-2
Te veel of verkeerde rechten bij een gebruiker kan leiden tot lekken van gevoelige informatie.
Groot
Gemiddeld
-
BV-3
Kans op misbruik van toegangsrechten Gemiddeld Groot
-
Stel een autorisatie matrix op voor alle functies die relatie hebben met het ERP pakket. Stel procedures voor het gebruik op die passen bij het gekozen pakket. Zorg dat de procedures binnen de eigen organisatie geborgd zijn en indien nodig worden geoptimaliseerd. Regel het beheer en onderhoud van het systeem. Maak medewerkers bewust van hun toegangsrechten en de gevolgen van het afgeven van hun wachtwoord aan derden. Maak inzichtelijk welke functionaris welke autorisaties nodig heeft voor zijn werkzaamheden. Geef niet meer rechten dan noodzakelijk is in het systeem. Zorg dat de autorisatiematrix is getoetst door de stakeholders. Stel een autorisatie matrix op voor alle functies die een relatie hebben met het ERP pakket. Maak medewerkers bewust van hun toegangsrechten en de gevolgen van het afgeven van hun wachtwoord aan derden.
4.2 Tip
Stel in de requirements vast welke rollen welke autorisaties nodig hebben, laat deze combinatie van rollen en autorisaties testen door gebruik te maken van de semantische testontwerptechniek en breidt deze uit door het toepassen van de procescyclustest. Laat de leverancier een demo verzorgen op basis van een autorisatiematrix om inzichtelijk te krijgen of de beveiliging van het pakket aan de gestelde eisen voldoet.
Almere
Almere © 2013
Proud of it
Pagina 7 van 13
Organisatie Titel
SYSQA B.V.SYSQA Risico’s bij ERP
Pagina Versie Datum
8 van 13 1.0 25-04-13
5 Projectmanagement 5.1 Risico’s & maatregelen Nummer
Risico
Kans
Schade
PM-1
Implementatie wordt teveel vanuit de theorie benaderd waardoor de kans bestaat dat de inrichting niet aansluit bij de werkelijke processen en wensen van de business.
Gemiddeld Groot
PM-2
Bij ontbreken van management klein commitment bestaat de kans dat het management bij weerstand of tegenvallers (binnen of buiten het project), beslissingen neemt welke ten koste van het ERP project gaan.
zeer groot
Maatregel Betrek gebruikers en opdrachtgever bij de implementatie door hen een bijdrage aan de inrichting te laten leveren door de voorgestelde inrichting te laten reviewen en later in het project te laten testen.
-
-
PM-3
PM-4
Almere
De kans dat niet de juiste resources Gemiddeld Gemiddeld op het juiste moment beschikbaar zijn, kan leiden tot vertragingen in het project of het niet bereiken van juiste kwaliteit en acceptatie van de implementatie.
-
De juiste belanghebbenden zijn niet benaderd waardoor een deel van de eisen niet duidelijk is of zelfs afwezig is. Dit brengt de voortgang en eventueel het hele project in gevaar.
-
Almere © 2013
Proud of it
Gemiddeld Groot
-
Overtuig je van het management commitment aan het project. Indien er onvoldoende management commitment is, probeer voor alles het management commitment te verkrijgen. Indien dat niet werkt, laat de opdrachtgever het risico accepteren. Indien de opdrachtgever het risico niet accepteert, geef het project terug aan de opdrachtgever. Maak vooraf duidelijk aan de organisatie welke resources je op welk moment nodig hebt. Maak vooraf concreet wat de consequenties zijn indien deze resources niet tijdig beschikbaar zijn. Indien het risico een feit is, maak helder wat dat op dat moment betekent voor het project bij de opdrachtgever. Maak een stakeholderanalyse. Verifieer de belanghebbende analyse met de opdrachtgever
Pagina 8 van 13
Organisatie Titel
SYSQA B.V.SYSQA Risico’s bij ERP
Pagina Versie Datum
Nummer
Risico
PM-5
Tijdens de ingebruikname van het Gemiddeld Gemiddeld pakket gaan ook medewerkers werken met het pakket die niet betrokken waren bij de implementatie. Indien zij niet goed geïnstrueerd zijn, is er de mogelijkheid dat zij het pakket niet correct gebruiken wat leidt tot fouten.
-
Bij processen die voorheen op papier Groot stonden en voorheen niet door een IT systeem werden ondersteund is het mogelijk dat praktijkproblemen die onzichtbaar werden opgelost nu ineens tot problemen leiden.
-
PM-6
PM-7
PM-8
Kans
Schade
Maatregel
Gemiddeld
-
-
Zorg voor goede werkinstructies Laat de werkinstructies testen door medewerkers met hetzelfde kennis niveau Zorg voor adequate training van de medewerkers. Zorg dat de medewerkers weten bij welke collega (betrokken bij implementatie) ze terecht kunnen voor vragen over het pakket. Voer vooraf een virtuele test uit met gebruikers, indien de organisatie zich daarvoor leent (volwassen genoeg is). Laat de procesbeschrijving reviewen door zowel gebruikers als testers. Zorg voor een goede procescyclus test, zeker indien de automatiseringsgraad van het bedrijf laag is.
Kans bestaat door vanuit de Gemiddeld Gemiddeld Denk vanuit het doel. Parameters zijn een middel het doel te parameters te denken het pakket aan bereiken. te passen het doel niet wordt bereikt en er teveel wordt aangepast met de kans op fouten. Structuur van het project ontbreekt Groot Groot Pas structuur toe in het projectmanagement. waardoor waardevolle stappen worden overgeslagen.
5.2 Tip Maak gebruik van projectmanagement methodiek zoals PRINCE II of PMBOK
Almere
9 van 13 1.0 25-04-13
Almere © 2013
Proud of it
Pagina 9 van 13
Organisatie Titel
SYSQA B.V.SYSQA Risico’s bij ERP
Pagina Versie Datum
10 van 13 1.0 25-04-13
6 Systeem 6.1 Risico’s & maatregelen Nummer
Risico
Kans
Schade
S-1
Het kopiëren van data uit het oude systeem zonder conversie zorgt dat redundante data in het nieuwe systeem terechtkomt.
groot
Groot
S-2
S-3
S-4
Indien de parameterisering niet goed doordacht wordt, kan dit leiden tot het niet beschikbaar komen van gewenste functionaliteit of zelfs tot niet werkende processen. De gebruikte modules sluiten niet aan op bestaande systemen en ongewijzigde processen waardoor bedrijfsprocessen vastlopen.
Maatregel -
Gemiddeld Groot
-
Gemiddeld Groot
-
De performance van het systeem blijft Groot achter bij de wensen van de organisatie waardoor bedrijfsprocessen niet of niet tijdig kunnen worden uitgevoerd.
Groot
-
Zet vooraf een goede conversiematrix op en onderhoud deze. Laat de conversiematrix reviewen door verschillende partijen, variërend van gebruiker, ontwerper tot tester. Beperk de beschikbaarheid van data tijdens de migratie. Voer controles uit op de data-integriteit. Voer controles uit op de dataconsistentie. Leg de instellingen en gemaakte keuzes vast. Test de instellingen en gemaakte keuzes. Pas niet teveel instellingen in één keer aan Test de interfaces op bestaande systemen samen met de bestaande systemen. Voer een procescyclustest uit waarvan ook de bestaande systemen en processen deel uit maken. Leg vooraf de performance eisen vast in non functional requirements. Maak deze requirements specifiek genoeg zodat in een vroeg stadium reed performance getest kan worden. Betrek een performance specialist bij de inrichting van het systeem betrek een database specialist bij de inrichting van de database.
6.2 Tip Bij performance of beschikbaarheidproblemen van het ERP pakket is het aan te raden naast de programmatuur ook de database-inrichting en de inrichting van de applicatieserver te beoordelen.
Almere
Almere © 2013
Proud of it
Pagina 10 van 13
Organisatie Titel
SYSQA B.V.SYSQA Risico’s bij ERP
Pagina Versie Datum
11 van 13 1.0 25-04-13
7 Test 7.1 Risico’s & maatregelen Nummer Risico T-1
Kans
Schade
De kans bestaat dat tijdens de test van Gemiddeld Groot een ERP pakket de verkeerde strategie gekozen wordt en met beperkte testdekking wordt getest. Dit kan leiden tot kwaliteitsproblemen welke in productie pas aan het licht komen.
Maatregel -
T-2
De kans bestaat dat extra testinspanning nodig is indien een implementatieprobleem moet worden opgelost oor de ERP softwareleverancier.
Gemiddeld Gemiddeld
-
Gestructureerd testen, gebaseerd op business risico's en business processen. Goede scheiding tussen functionele tests en acceptatie tests. Bepaal met de implementator waar mogelijke ‘zwakke plekken’ in het ERP systeem zitten zodat op die punten de juiste testinspanning kan worden toegepast. Stem teststrategie af met de stakeholders en of opdrachtgever. Zorg voor een passende patch strategie. Zorg voor goed inzicht in de QA processen van de pakketleverancier Pas je testaanpak aan bij veranderende omstandigheden. Probeer de functionele (regressie) tests zoveel mogelijk te standaardiseren en automatiseren, na implementatie is deze grotendeels herbruikbaar.
7.2 Tip Borg dat de pakketleverancier een systeemtest uitvoert, ga dit als klant niet zelf uitvoeren maar beheer(s) de pakketleverancier.
Almere
Almere © 2013
Proud of it
Pagina 11 van 13
Organisatie Titel
SYSQA B.V.SYSQA Risico’s bij ERP
Pagina Versie Datum
12 van 13 1.0 25-04-13
8 Beheer 8.1 Risico’s & maatregelen Nummer
Risico
B-1
Automatisering van kritieke processen Groot Gemiddeld waarbij autorisatie van groot belang is, bijvoorbeeld inkoop autorisatie, betalingen autorisatie en correctie autorisaties, kan leiden tot ongewenste en ongecontroleerde transacties welke bedrijfsschade tot gevolg hebben. Na implementatie bestaat de kans dat Gemiddeld Groot de kennis waarom er voor bepaalde processen en inrichting gekozen is verwatert of verdwijnt. Hierdoor wordt het lastig dit te beheren en te onderhouden, het gevolg kan zijn dat haperende bedrijfsprocessen ontstaan.
-
In de beheerfase worden teveel parameters in een keer aangepast waardoor bedrijfsprocessen ongewenste uitkomsten krijgen.
-
B-2
B-3
Kans
Schade
Gemiddeld Gemiddeld
Maatregel
-
-
-
-
-
Almere
Almere © 2013
Proud of it
Stel een autorisatiematrix op, gebaseerd op bedrijfsrisico en op 4 of meer ogen principes. Stel controleprocedures (audits) in bij risicovolle transacties. Test deze autorisaties en controleer de procedures, neem hier ook de rainy day scenario’s in mee. Beheer de autorisatiematrix en de gebruikersautorisatie. Leg de processen en applicatie inrichting met de bij horende onderbouwing vast in documentatie. Beheer de documentatie over de processen en inrichting. Borg de kennisoverdracht in de organisatie door bijgewerkte inwerkdocumentatie.
Beheers de aanpassingen aan de ERP applicatie, pas de documentatie aan. Test de aanpassingen aan de ERP applicatie. Beheers de aanpassingen aan de bedrijfsprocessen, pas de documentatie aan of doe grote aanpassingen projectmatig en releasematig. Controleer met enige regelmaat of de processen en applicatie inrichting aansluit bij het huidige gebruik van de applicatie. Zorg voor de inrichting van een wijzigingsproces voor functioneel- en applicatiebeheer zodat wijzigingen gecontroleerd doorgevoerd worden. Spreek van tevoren af bij wie de verantwoordelijkheid voor dit proces ligt.
Pagina 12 van 13
Organisatie Titel
SYSQA B.V.SYSQA Risico’s bij ERP
Pagina Versie Datum
Nummer
Risico
Kans
Schade
B-4
Doordat archiveringsprocessen niet of Gemiddeld Groot niet goed ingericht en beheerd zijn kan de performance van het systeem afnemen of zelfs vastlopen waardoor ook de bedrijfsprocessen niet meer uitgevoerd kunnen worden.
13 van 13 1.0 25-04-13
Maatregel - Zorg dat archiveringsprocessen worden ingericht, controleer dat archiveringsprocessen stelselmatig uitgevoerd worden. - Controleer het gebruik van systeemresources regelmatig en beheers het gebruik.
8.2 Tip
Bepaal de piek- en dalmomenten in het gebruik van het systeem en stem daar het archivering-/back-upproces op af. Laat door beheer het beheer accepteren bij oplevering van het pakket. Bij goed ingericht beheer (BiSl en / of ITIL) zijn de acceptatiecriteria bekend.
Almere
Almere © 2013
Proud of it
Pagina 13 van 13
