IT auditing bij splitsing in de energiesector

IT auditing bij splitsing in de energiesector

Naam:

Robbert van der Pol MSc Business Administration, Erasmus Universiteit Rotterdam

Bedrijfscoach: Danny Suykerbuyk MSc Informatics & Economics, Erasmus Universiteit Rotterdam EMITA, CISSP en Manager Deloitte Risk Services

Datum:

april 2012

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector

Inhoud 1. Inleiding

4

1.1 Aanleiding

4

1.2 Doelstelling

4

1.3 Scope

5

1.4 Aannames

5

1.5 Onderzoeksvragen

5

1.6 Indeling referaat

6

2. Literatuuronderzoek

8

2.1 Energiemarkt in Nederland

9

2.1.1 Impact wet- en regelgeving: elektriciteitswet, gaswet en wet onafhankelijke netbeheer

11

2.1.2 Impact wet- en regelgeving: invoering van Chinese Walls

11

2.2 Bedrijfsprocessen binnen de energiesector met betrekking tot facturatie

12

2.2.1 Aansluitingsregister

12

2.2.2 Meetregister

12

2.2.3 Meetdatacollectie

12

2.2.4 Contractregister

13

2.2.5 Factureren vanuit wettelijk perspectief

13

2.2.6 Rol van facturatie binnen het bedrijf

15

2.2.7 Specifieke opbrengsten verantwoording bij netwerken leveringsbedrijven

17

2.3 Methodes voor het analyseren en beheersen van risico‟s

18

2.3.1 Corporate governance

18

2.3.2 IT governance

18

2.3.3 COSO model

19

2.4 Inrichten en aanpassen van proces, applicatieve en general IT controls

21

2.4.1 Business Process Analysis (BPA) model

21

2.4.2 Betrouwbaarheid van de financiële informatieverzorging

22

2.5 Beheersbaarheid van programma‟s en projecten

23

2.5.1 MSP Methode

23

2.5.2 PRINCE II Methode

23

2.6 Samenvatting literatuurstudie 3. Case studies: bevindingen en analyses 3.1 Inleiding

26 27 27 2

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector 3.2 Aanpak case study onderzoek

27

3.3 Case studies: bevindingen en analyses voor het leveringsbedrijf

27

3.3.1 Identificatie risico gebieden voor het facturingsproces

27

3.3.2 Methodes voor het analyseren van risico’s op het facturingsproces

29

3.3.3 Proces, applicatieve en general IT controls in het facturingsproces

30

3.3.4 Beheersing risico’s welke samenhangen met het facturingsproces in het kader van splitsing van netwerken leveringsbedrijf voor, gedurende en na het splitsingstraject 33 3.4 Case studies: bevindingen en analyses van het netwerkbedrijf

34

3.4.1 Identificatie risico gebieden voor het facturingsproces

34

3.4.2 Methodes voor het analyseren van risico’s op het facturingsproces

34

3.4.3 Proces, applicatieve en general IT Controls in het facturingsproces

34

3.4.4 Beheersing risico’s welke samenhangen met het facturingsproces in het kader van splitsing van netwerken leveringsbedrijf voor, gedurende en na het splitsingstraject 37 3.5 Synthese bevindingen en analyses tussen het leveringsbedrijf en het netwerkbedrijf 4. Case studies: conclusies

37 39

4.1 Case studies: conclusies van het leveringsbedrijf

39

4.2 Case studies: conclusies van het netwerkbedrijf

41

5. Synthese

43

6. Centrale vraagstelling en beantwoording

48

7. Reflectie en epiloog

50

7.1 Reflectie

50

7.2 Epiloog

50

8. Bijlage

52

8.1 Literatuuroverzicht: boeken, journals, websites

52

8.2 Opgestelde vragenlijst ten behoeve van het uitvoeren van interviews voor de case studies

54

3


1. Inleiding 1.1 Aanleiding De energie sector is een sector welke in grote mate afhankelijk is van IT. De inkoop, distributie, registratie en de uiteindelijke facturatie van energie is een zeer complex proces waarbij vele verschillende informatiesystemen van verschillende partijen van elkaar afhankelijk zijn. Voor de facturatie van een energierekening worden zowel de kosten van het meten van het verbruik van energie, het transport van energie en het verbruik van energie in rekening gebracht bij de klant. De registratie van deze componenten vindt plaats in verschillende informatiesystemen van verschillende partijen. Sinds 2006 is de Wet Onafhankelijk Netbeheer (WON), ook wel de splitsingswet genoemd, aangenomen. Deze wet houdt in dat energiebedrijven op grond van deze wet uiterlijk op 1 januari 2011 hun netwerkbedrijven hadden moeten gesplitst van de productie- en leveringstak. Deze wet is in het leven geroepen om meer concurrentie op de energiemarkt te creëren, de machtspositie van energiebedrijven te doorbreken en het veilig stellen van kritieke infrastructuur. Tegen deze WON bestond grote weerstand van de energiebedrijven. Essent, DELTA en Eneco hebben een rechtszaak tegen de Nederlandse staat aangespannen. In eerste instantie gaf de rechter de Staat gelijk, maar in hoger beroep heeft het Gerechtshof te „s-Gravenhage op 22 juni 2010 anders besloten. Het Hof bepaalde dat de splitsingswet die de bedrijven verplicht tot volledige afsplitsing van hun netwerkbedrijf in strijd is met het Europees recht. Dit alles heeft niet te min tot gevolg gehad dat bijna alle energiebedrijven in Nederland ondertussen, niet afwachtend op het uiteindelijke besluit, hun bedrijven hebben opgesplitst in een energieproductie, leverings- en netwerkbedrijf. Bij het splitsen van de verschillende bedrijfsonderdelen van het energiebedrijf zijn ook de bedrijfsprocessen en de onderliggende informatie systemen gesplitst. Informatie systemen en proces ketens welke eerder gedeeld werden door verschillende bedrijven binnen het energiebedrijf zijn nu vaak volledig gesplitst. Deze opgesplitste bedrijven zijn echter nog steeds afhankelijk van elkaar met betrekking tot de uitvoering van de bedrijfsprocessen.

1.2 Doelstelling In dit referaat is beschreven op welke wijze een energiebedrijf ervoor gezorgd heeft om de risico‟s welke samenhangen met het splitsingstraject te beheersen. Er is in het bijzonder bestudeerd hoe de risico‟s welke samenhangen met het factureren van klanten en leveranciers in het kader van de splitsing in kaart zijn gebracht en getracht zijn te beheersen. De keuze voor het facturingsproces is gekozen op basis van de relevantie ten aanzien van de jaarrekening controle. Bij de jaarrekeningcontrole dienen de processen die gerelateerd zijn aan de facturatie expliciet te worden getoetst door een externe accountant. In het geval van een splitsingstraject is het van belang voor de accountant om vast te stellen er geen additionele risico‟s zijn ontstaan ten gevolge van deze splitsing voor de betrouwbaarheid van de jaarrekening. Door de splitsing zijn immers meerdere bedrijven afhankelijke geworden van elkaars informatie systemen en de betrouwbaarheid van deze informatie in de informatie systemen. De bedrijven zullen dus moeten waarborgen dat uiteindelijk de factuur, welke naar de klant gaat, een juiste/volledig factuur is. Tevens moet worden gewaarborgd dat alle klanten tijdig gefactureerd worden. Dit referaat brengt in kaart welke beheersmaatregelen de verschillende bedrijven hebben genomen om de betrouwbaarheid van hun eigen en de aansluiting met elkaars processen met betrekking tot de facturatie te waarborgen. 4


1.3 Scope In dit referaat zijn de risico‟s op programma- en project niveau behandeld. Ook zijn risico‟s in kaart gebracht op proces-, applicatieen infrastructureel niveau en de totstandkoming hiervan. Deze risico‟s zijn in de mate van relevantie van het facturingsproces bepaald. Voor het onderzoek is gekozen om een energiebedrijf welke opereert in de Nederlandse markt te bestuderen. De liberalisering van de Nederlandse energiemarkt is in gang gezet door de introductie van Europese regelgeving en richtlijnen. Verschillende landen in Europa hebben deze regelgeving en richtlijnen zelf vertaald naar eigen specifieke nationale wetgeving. Om te borgen dat het onderzoek voldoende diepgang heeft en voldoende relevantie biedt aan de Register IT Auditor gemeenschap is gekozen om een energiebedrijf in de Nederlandse context (bijv. wet- en regelgeving) als onderzoeksobject te nemen. Verder is in dit referaat gekozen om onder de term “energie” de elektriciteit en gas te beschouwen. De toelevering van “water” is in dit referaat buiten beschouwing gelaten aangezien de toelevering van “water” gefactureerd wordt door een apart bedrijf dan het energiebedrijf welke bestudeerd is in de case study.

1.4 Aannames In dit referaat is gekozen voor het facturingsproces als onderzoeksobject aangezien dit een groot materiaal belang vertegenwoordigd op de jaarrekening van het netwerken leveringsbedrijf.

1.5 Onderzoeksvragen Het doel van het referaat is om inzicht te bieden op welke manier netwerken leveringsbedrijven de sturing en de risicobeheersing hebben ingericht voor de splitsing van het facturatiesysteem en bijbehorende processen. Dit leidt tot de volgende centrale vraagstelling: Centrale vraagstelling: Centrale vraagstelling: Welke beheersmaatregelen dienen te worden ingericht bij ontvlechting van een facturatiesysteem in de situatie van een splitsing van het netwerken leveringsbedrijf en hoe worden deze beheersmaatregelen gemonitord? Onder beheersmaatregelen verstaan wij maatregelen op programma- en project niveau, maar ook op proces-, applicatieen infrastructureel niveau. Business verantwoordelijken kunnen mogelijk in hun aanpak van de splitsing tot de conclusie komen dat bepaalde stappen in het facturatieproces efficiënter en effectiever kunnen worden ingericht in een nieuw informatie systeem. Wanneer bepaald wordt dat de processen dienen te worden heringericht, kan dit mogelijk leiden tot andere of additionele risico‟s. Om deze risico‟s te beheersen dienen additionele controles te worden ingericht op proces-, applicatieen infrastructureel-niveau te worden genomen. Dit leidt tot de volgende deelvraag: Deelvraag 1.1: Welke risicogebieden dienen te worden geïdentificeerd in het kader van ontvlechting van het facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector? Om risicogebieden vervolgens te analyseren en evalueren zijn er methodes beschikbaar. Dit leidt tot de volgende deelvraag:

5

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector Deelvraag 1.2: Welke methodes worden er gebruikt bij het analyseren en evalueren van risico’s van het facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector?

Op basis van de geëvalueerde risico‟s kan vervolgens worden bepaald welke specifieke functionele applicatieve en general IT controls dienen te worden ingericht ten behoeve van het waarborgen van een juiste, volledig en tijdige facturatie. Bij het uitvoeren van functionele controles dient men te denken aan procedures, werkwijzen of controles die worden uitgevoerd door de medewerkers ten behoeve van de facturatie. Onder applicatieve controles worden controles verstaan welke binnen de informatie systemen aanwezig zijn. De general IT controls zijn maatregelen die ingericht zijn in de IT beheersomgeving. Een voorbeeld van een methode is BPA (Business Process Analysis) welke bedrijven helpt om op efficiënte wijze de in het bedrijfsproces én in het informatie systeem getroffen beheersmaatregelen ten behoeve van de betrouwbaarheid, effectiviteit en/of efficiëntie vast te stellen, te beoordelen en te implementeren. Dit leidt tot de volgende deelvraag: Deelvraag 1.3: Welke proces, applicatie en general IT controls dienen te worden ingericht en aangepast bij de ontvlechting van facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector? Tenslotte is de vraag hoe de risico‟s welke gedurende het splitsingsproject ontstaan worden gemonitord en daarmee worden geïdentificeerd, geanalyseerd en geëvalueerd. Gedurende een splitsingsproject kunnen additionele risico‟s van zowel binnen de organisatie als buiten de organisatie ontstaan. Dit leidt tot de laatste deelvraag: Deelvraag 1.4: Hoe worden risico’s welke samenhangen met het facturingsproces voor, gedurende en na de splitsing van een netwerken leveringsbedrijf in de energiesector gemonitord?

1.6 Indeling referaat Om de centrale vraagstelling en de deelvragen te beantwoorden is de volgende indeling van het referaat opgesteld welke ook weergegeven is in figuur 1.1.

6


1. Inleiding

2. Literatuuronderzoek

3. Case studies: bevindingen en analyses 4. Case studies: conclusies 5. Synthese: integrale conclusies 6. Centrale vraagstelling en beantwoording

7. Reflectie en epiloog

Figuur 1.1 Indeling referaat In hoofdstuk 1 wordt de aanleiding voor het referaat beschreven. Hierin zijn tevens de doelstelling, de scope (afbakening), de aannames en de onderzoeksvragen weergegeven. Vervolgens is in hoofdstuk 2 een overzicht gegeven van de literatuur welke samenhangt met de onderzoeksvragen. In hoofdstuk 3 worden de resultaten van de case studies beschreven. Voor het onderzoek is een case study methode gebruikt om een dieper inzicht te krijgen in de problematiek welke samenhangt met de onderzoeksvragen. Voor de case study selectie zijn de volgende selectie criteria gehanteerd:  

Het dient een netwerken leveringsbedrijf te zijn waarbij een grootschalige systeemwijziging voor de facturatie wordt uitgevoerd met ongeveer een doorlooptijd van +/- 6 tot 12 maanden. Het dient een netwerken leveringsbedrijf te zijn waarbij een systeemwijziging ten grondslag aan het facturatieproces impact heeft op business units en gerelateerde bedrijfsprocessen.

Het case study onderzoek is kwalitatief van aard. Op basis van deze kwalitatieve onderzoeksmethode is inzichtelijk gemaakt wat de onderlinge relaties zijn tussen de theorie en de praktijk. Tevens zijn in dit hoofdstuk de bevindingen en analyses beschreven welke voortkomen uit het case study onderzoek. Voor het case study onderzoek is zowel de impact van de splitsing voor het facturatieproces van het leveringsbedrijf als voor het netwerkbedrijf geanalyseerd. In hoofdstuk 4 worden de conclusies, welke zijn getrokken uit de case studies voor het leveringsbedrijf en het netwerkbedrijf, behandeld. In hoofdstuk 5 “Synthese: integrale conclusies” worden de overeenkomsten tussen de conclusies voor het leveringsbedrijf en het netwerkbedrijf behandeld. In hoofdstuk 6 wordt de beantwoording van de centrale vraagstelling van dit referaat gegeven. In hoofdstuk 7 wordt de reflectie gegeven over het uitgevoerde onderzoek voor dit referaat. Daarnaast wordt in dit hoofdstuk de epiloog beschreven waarin de onderzoeker een zelfreflectie geeft op de uitvoering van het onderzoek. 7


2. Literatuuronderzoek In deze sectie wordt de literatuur behandeld welke relevant is voor het beantwoorden van de centrale vraagstelling en de verschillende deelvragen. In paragraaf 2.1 wordt de noodzaak van het splitsen van het netwerken het leveringsbedrijf binnen de energiesector beschreven. Er zal een overzicht worden gegeven hoe de energiemarkt is ingeregeld. Er zal hierbij worden ingegaan op de ontwikkeling van het liberaliseren van de energiemarkt en de onderliggende factoren. Er zal tevens een overzicht worden gegeven welke spelers er actief zijn op de energiemarkt en wat ieders verantwoordelijkheid binnen deze energiemarkt is. Daarnaast zal de Elektriciteits- en Gaswet en de Wet Onafhankelijk Netbeheer (WON) worden behandeld en wordt bepaald welke impact deze regelgeving heeft gehad op het organiseren van de bedrijfsprocessen gerelateerd aan de facturatie van het netwerken leveringsbedrijf in de energiemarkt. Tevens zal er worden behandeld wat de impact van de WON is op het IT landschap van het netwerken leveringsbedrijf. Hierin wordt o.a. de invoering van de “Chinese Walls” behandeld. Vervolgens zal in paragraaf 2.2 de literatuur worden behandeld welke antwoord geeft op deelvraag 1.1. Deze deelvraag luidt als volgt: Deelvraag 1.1: Welke risicogebieden dienen te worden geïdentificeerd in het kader van ontvlechting van het facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector? In deze paragraaf zijn de risicogebieden welke samenhangen met de facturatie van netwerken leveringsbedrijven aan groot- en kleinverbruikers uiteengezet. Allereerst wordt inzicht gegeven in de onderliggende bedrijfsprocessen welke noodzakelijk zijn voor het factureren van klanten in de energiesector. Hierbij worden de processen rondom het beheer van aansluitregister, meetregister, data collectie en validatie behandeld. Daarnaast worden de wettelijke regels beschreven welke gelden voor het factureren van klanten van netwerken leveringsbedrijven. Tenslotte zal de rol van facturatie binnen het bedrijf en de specifieke controles met betrekking tot opbrengsten verantwoording bij netwerken leveringsbedrijven worden behandeld. In paragraaf 2.3 wordt de literatuur behandeld welke van toepassing is op de beantwoording van deelvraag 1.2. Deze deelvraag luidt als volgt: Deelvraag 1.2: Welke methodes worden er gebruikt bij het analyseren en evalueren van risico’s van het facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector?

Allereerst zal de rol van governance worden behandeld in het beheersbaar houden van bedrijfsprocessen in de energiesector. Hierbij wordt een onderscheid gemaakt tussen corporate governance en IT governance. Vervolgens wordt dieper ingegaan op interne beheersings aspecten. Middels het COSO-framework worden de verschillende aspecten van internal control belicht. In paragraaf 2.4 wordt de literatuur behandeld welke van toepassing is op de beantwoording van deelvraag 1.3. Deze deelvraag luidt als volgt: 8


Deelvraag 1.3: Welke proces, applicatie en general IT controls dienen te worden ingericht en aangepast bij het ontvlechten van facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector?

In deze paragraaf wordt de theorie over BPA (Business Process Analysis) uiteengezet. BPA helpt bedrijven om op efficiënte wijze de in het bedrijfsproces én in het informatie systeem getroffen beheersmaatregelen ten behoeve van de betrouwbaarheid, effectiviteit en/of efficiëntie vast te stellen, te beoordelen en te implementeren. In paragraaf 2.5 wordt de literatuur behandeld welke van toepassing is voor de beantwoording van deelvraag 1.4. Deze deelvraag luidt als volgt: Deelvraag 1.4: Hoe worden risico’s welke samenhangen met het facturingsproces voor, gedurende en na de splitsing van een netwerken leveringsbedrijf in de energiesector gemonitord?

In deze paragraaf worden de methodes behandeld welke beschikbaar zijn om de risico‟s welke samenhangen met de splitsing van het facturatieproces, zowel op programma- als op projectniveau, te beheersen.

2.1 Energiemarkt in Nederland In deze sectie wordt de noodzaak van het splitsen van het netwerken het leveringsbedrijf binnen de energiesector beschreven. Rond 1990 bestond de Nederlandse energiemarkt vooral uit een aantal grootschalige nutsbedrijven. Deze bedrijven hadden een monopolie op zowel het produceren, transporteren en het leveren van energie aan de klanten (Stuart 2004). De gehele waardeketen was in handen van deze nutsbedrijven. In 1998 is middels een Europese richtlijn 92/96/EC en het aannemen van de Elektriciteitswet 1998 een aanzet gegeven tot het liberaliseren van de energiemarkt. Het historische verticale geïntegreerde energiebedrijf zou onder deze richtlijn moeten worden opgedeeld in een commercieel leveringsgedeelte en het netwerkbedrijf. Deze splitsing geldt niet alleen voor de operationele processen maar ook voor de ondersteunende processen zoals o.a. IT, HR en financiën (Energy Valley 2005). Het resultaat is dat heden ten dagen het energiebedrijf in Nederland in vier aparte ketenonderdelen is opgedeeld: productie van energie, handel in energie, transport en metering van energie. De eerste stap in de energieketen is de productie van elektriciteit en exploratie en winning van gas. Dit kan gebeuren middels o.a. kolen- en gascentrales of windmolens. Vervolgens wordt de energie welke geproduceerd is verhandeld (“trading”) op de beurs. Voor Nederland gebeurt dit via APXENDEX waar vraag en aanbod van elektriciteit en gas samenkomen. Daarna wordt de elektriciteit en gas gedistribueerd via het transportnetwerk naar de klanten. Dit wordt uitgeoefend door de netbeheerder welke verantwoordelijk is voor het functioneren van het transportnetwerk binnen een bepaalde regio. Het leveringsbedrijf is verantwoordelijk voor het inkopen van de juiste hoeveelheid energie voor zijn klanten. Tevens is het leveringsbedrijf het eerste afspreekpunt nog vaak voor de klant. Het 9

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector leveringsbedrijf stelt de factuur op welke naar de klant wordt gestuurd voor de afgenomen energie in het geval het leveranciersmodel wordt gehanteerd voor de wijze van facturatie. Het meetbedrijf is verantwoordelijk in de keten voor het plaatsen en het onderhouden van energiemeters bij de klant. Tevens zorgt het meetbedrijf ervoor dat energiemeters worden uitgelezen en dat deze informatie terecht komt bij de netbeheerders. Kleinverbruikers dienen hun meter standen jaarlijks door te geven aan het meetbedrijf. Eéns in de 3 jaar wordt de meterstand door het meetbedrijf ter plekke bij de kleinverbruiker opgenomen (NMa, 2005). Voor grootverbruikers worden elke maand automatisch de meterstanden uitgelezen op afstand middel telemetrisch meters. Dit gebeurt elke 15 minuten middels telemetrie. Daarnaast zijn er ook zogenaamde programmaverantwoordelijken welke verantwoordelijk zijn voor het in balans houden van in- en verkoopvolumes van elektriciteit en gas aanwezig in de energiemarkt. Zij dienen ervoor te zorgen dat op elk moment van de dag het aanbod en vraag van elektriciteit en gas in balans is en dat er geen overbelasting wordt gecreëerd op het netwerk. De onderlinge transactiestromen (informatie, geld en goederen) tussen de verschillende partijen in de energiesector zijn weergegeven door Prof. Dr. J. Strikwerda (Energy Valley, 2005) in het onderstaande schema.

Figuur 2.1 Structuur van transacties in energiesector (Energy Valley, 2005) Voor de splitsingswet waren veel energiebedrijven zo ingericht dat ze ieder van deze stappen in de keten beheersten. Zij hadden dus een monopolie positie in Nederland binnen de energiesector. De splitsingswet heeft ervoor gezorgd dat deze zogenaamde verticale integratie niet meer mogelijk was voor energiebedrijven. De consumenten van energie hebben tot op heden nog geen vrije keuze tot het kiezen van hun netwerkbedrijf. Dit komt omdat het netwerk waarover energie wordt geleverd in handen is de netwerkbedrijven. De monopolie positie van het netwerkbedrijf is binnen de energiesector ondanks de liberalisering van de energiemarkt in stand gebleven. De splitsingswet heeft ervoor gezorgd dat de zelfstandige bedrijven binnen de sector onderling sterker afhankelijk van elkaar zijn geworden ten aan zien van de betrouwbaarheid van de processen (Lof, 2005). De energieleverancier en de netbeheerder zijn gedwongen samen te werken met elkaar met 10

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector betrekking tot de uitwisselingen van gegevens welke noodzakelijk zijn voor het factureren van de klant.

2.1.1 Impact wet- en regelgeving: elektriciteitswet, gaswet en wet onafhankelijke netbeheer De Europese Unie heeft middels regelgeving en richtlijnen erop aangedrongen dat er binnen Europa een grote interne markt zou ontstaan voor de opwekking, het transporteren en het leveren van energie. Vervolgens zijn in verschillende Europese landen, waaronder Nederland, liberaliseringsinitiatieven uitgevoerd waaronder de Elektriciteits- en Gaswet in Nederland. Deze wetten hadden als doelstelling om meer concurrentie te creëren voor de productie en levering van energie binnen Nederland (EnergieNed, 2011). Het liberaliseren van de energiesector is in drie fases gegaan. In 1998 zijn allereest de grootverbruikers van energie (voornamelijk bedrijven) in staat gesteld om te veranderen (ook wel “switchen” genoemd) van leverancier. Vervolgens is in 2002 de middelzakelijke markt hiervoor geopend en in 2004 konden kleinverbruikers (voornamelijk huishoudens) switchen van leverancier (Hofman, 2005). Door deze maatregelen tot het liberaliseren van energiemarkt in Nederland is er een grote consolidatie slag ontstaan in Nederland. De Wet Onafhankelijk Netbeheer (WON), ook wel de splitsingswet genoemd, is een Nederlandse wet die in aanvulling op de Elektriciteitswet 1998 en de Gaswet nadere regels voorschrijft over onafhankelijk netbeheer. De wet is op 21 november 2006 aangenomen en bevat drie hoofdelementen:   

de overdracht van het beheer van de hoogspanningsnetten met een spanningsniveau 110-150 kV aan TenneT; creatie van zogenaamde “vette netbeheerders” die tevens over de economische eigendom van het net beschikken; invoering van het groepsverbod. Dit groepsverbod houdt in dat het beheer en eigendom van energienetwerken en de levering van energie (gas en elektriciteit) via netwerken per 1 januari 2011 moeten zijn ondergebracht bij aparte bedrijven.

De eerste twee elementen zijn per 16 januari 2007 in werking getreden. De WON bepaalt dat beheer en eigendom van energienetwerken (o.a. hoogspanningsnet) en levering van energie (aardgas en elektriciteit) via deze netwerken per 1 januari 2011 moeten zijn ondergebracht bij aparte onderneming. Tegen deze WON bestond grote weerstand van de energiebedrijven. Essent, DELTA en Eneco hebben een rechtszaak tegen de Nederlandse staat hierover aangespannen. In eerste instantie gaf de rechter de Staat gelijk, maar in hoger beroep heeft het Gerechtshof te „s-Gravenhage op 22 juni 2010 anders besloten. Het Hof bepaalde dat de splitsingswet die de bedrijven verplicht tot volledige afsplitsing van hun netwerkbedrijf in strijd is met het Europees recht.

2.1.2 Impact wet- en regelgeving: invoering van Chinese Walls In de Elektriciteit- en Gaswet is vastgelegd dat een netwerkbedrijf geen enkel lid van de groepsmaatschappij mag bevoordelen en de gegevens van de netbeheerder uitsluiten voor het werk van en voor de netbeheerder zelf gebruikt mogen worden. Binnen de groepsmaatschappij, waar vaak het leveringsbedrijf en het netwerkbedrijf deel vanuit maken, worden de netbeheerstaken en leveringsactiviteiten deels binnen dezelfde organisatie uitgevoerd. Om dit binnen de wet- en regelgeving mogelijk te maken, zijn maatregelen noodzakelijk om de vereiste scheiding van 11

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector klantgegevens te waarborgen. Deze maatregelen worden “Chinese Walls” genoemd. Deze Chinese Walls maatregelen hebben tot doel de scheiding te waarborgen van regulatorische en niet regulatorische activiteiten, en daaraan gerelateerde gegevens, in de informatiestromen die door zowel het netwerk- als het leveranciersbedrijf gebruikt worden. Vaak worden er binnen de groepsmaatschappij klantensystemen gebruikt die zowel voor het netwerkbedrijf als het leveringsbedrijf toegankelijk zijn. De Chinese Wall inrichting bij zowel het netwerkbedrijf als het leveringsbedrijf dient ervoor te zorgen dat informatie van klanten niet onterecht kunnen worden misbruikt voor commerciële doeleinden. Hierbij valt bijvoorbeeld te denken dat een leveringsbedrijf gegevens van een netwerkbedrijf klant onbevoegd kan inzien en daaruit zijn commerciële voordeel kan halen. Bijvoorbeeld, een klant betaalt zijn transportkosten aan het netwerkbedrijf maar heeft een ander leveringsbedrijf dan het leveringsbedrijf van de groepsmaatschappij. Wanneer het leveringsbedrijf van de groepsmaatschappij nog toegang heeft tot klantgegevens van deze klant, is het mogelijk dat deze, op basis van het verbruik van de klant, een zeer gericht aanbod doet aan de klant. Toezicht op de naleving van Chinese Walls wordt uitgevoerd door de Nederlandse Mededingings Autoriteit (NMa).

2.2 Bedrijfsprocessen binnen de energiesector met betrekking tot facturatie In deze sectie wordt de literatuur behandeld welke antwoord geeft op deelvraag 1.1: Deelvraag 1.1: Welke risicogebieden dienen te worden geïdentificeerd in het kader van ontvlechting van het facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector? In deze sectie wordt inzicht verschaft in de risicogebieden welke samenhangen met de facturatie van netwerken leveringsbedrijven aan groot- en kleinverbruikers. Tevens worden in deze sectie de verschillende bedrijfsprocessen behandeld welke als basis dienen voor het creëren van factuur welke uiteindelijk wordt opgesteld en naar de klant wordt verstuurd. Allereerst wordt er beschrijving gegeven van de verschillende informatiebronnen en -processen die van belang zijn bij het juist en volledig factureren van klanten.

2.2.1 Aansluitingsregister Iedere afnemer van energie is aangesloten op het transportnetwerk. De gegevens met betrekking tot deze aansluiting worden beheerd in een zogenaamd aansluitregister. Dit gebeurd aan de hand van een EAN-code. Aan deze EAN-code zijn de NAW gegevens van de klant gekoppeld en de meetverantwoordelijk en leverancier van de energie.

2.2.2 Meetregister In het meetregister wordt de registratie beheerd door de meetverantwoordelijk van de meters welke zijn geplaats van de klant. Hierin worden ook de EAN-code van de aansluiting vermeld. Per aansluiting is aangegeven hoeveel meters op deze specifieke aansluiting zijn geïnstalleerd. Het is namelijk mogelijk dat op een aansluiting meerdere meters zijn aangesloten (denk bijvoorbeeld aan een bedrijfspand waar meerdere bedrijven gevestigd zijn).

2.2.3 Meetdatacollectie Het meetbedrijf is verantwoordelijk voor het uitlezen, valideren en verder verwerken van de meetgegevens van de meters. Het meetbedrijf bepaalt allereerst welke meters dienen te worden 12

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector uitgelezen. Het opnemen van de meterstanden kan aan de hand van handmatige opnames of op basis van uitlezen op afstand (telemetrie). De wijze waarop meterdata wordt is bepaald aan de hand van type energieverbruiker. Kleinverbruikers (voornamelijk huishoudens) dienen 1 keer per jaar de meterstand door te geven aan het leveranciersbedrijf. Bij gebrek aan een meterstand wordt een schattig gehanteerd. Eens per drie jaren dient de meetverantwoordelijk de meterstand op te nemen. Grootverbruikers hebben een aansluiting met een digitale meter welke uitgelezen kan worden op afstand door het meetbedrijf. Om de 15 minuten registreren deze meters het verbruik en eenmaal per dag worden uitgelezen door het meetbedrijf. Vervolgens worden de meterstanden gevalideerd door het meetbedrijf aan de hand van vooraf opgestelde validatieregels welke binnen de meetregistratie applicaties zijn ingesteld. Deze validatie regels valideren of een verbruik van een klant in lijn is de afname welke verwacht kan worden van de klant met een betreffend verbruikersprofiel. Wanneer de meetdata niet valide blijkt te zijn dan wordt deze gevalideerd en eventueel gecorrigeerd door het meetbedrijf. Wanneer de evaluatie van de meterstanden is afgerond worden deze meterstanden doorgestuurd naar de netbeheerders, programma verantwoordelijken en leveringsbedrijven. In 2005, na het liberaliseren van de energiemarkt, is onderzoek verricht door de NMa (2005) m.b.t. de verwerking van meetgegevens tussen de netbeheerder en de leverancier waarbij de volgende bevindingen zijn geconstateerd: 





verschillen in registers: de gegevens welke worden uitgewisseld komen uit verschillende bronsystemen (aansluitregister, meetdataregister en contractregister) welke beheerd worden door verschillende bedrijven. Hierdoor komt het voor dat de gegevens niet altijd op elkaar aansluiten. het vastgestelde verbruik is onjuist of niet plausibel: leveranciers ontvangen niet altijd een juist vastgesteld verbruik van de netbeheerders. Het komt voor dat meerdere vastgestelde verbruiken van een klant worden ontvangen van dezelfde periode, waarbij het voor de leverancier niet duidelijk is op basis van welk verbruik de factuur dient te worden opgemaakt. Tevens komt het voor dat verbruiksperiodes niet aansluiten op de gegevens van de leverancier. dynamiek in de processen: klanten van leveringsbedrijven schakelen relatief vaker over naar andere leveringsbedrijven. Hierdoor is de kans groter dat in de periode dat de jaarafrekening wordt opgesteld de klant zich in een switchproces (klant gaat over naar een andere leverancier) bevindt.

2.2.4 Contractregister In het contractregister worden o.a. gegevens met betrekking tot het gehanteerde capaciteitstarief opgeslagen van de klanten. Daarnaast worden contractgegevens opgeslagen van de klant (zoals o.a. NAW-gegevens).

2.2.5 Factureren vanuit wettelijk perspectief De NMa houdt toezicht op de energiesector aangezien er niet in alle delen van de markt sprake is van concurrentie. In Nederland is het vanaf 2004 voor bedrijven en particulieren mogelijk om zelf te bepalen bij welk bedrijf men elektriciteit of gas afneemt. Het echter niet mogelijk nog om zelf te bepalen welk bedrijf de elektriciteit of gas transporteert. Om zorg te dragen dat er een redelijke prijs wordt gehanteerd door de netwerkbedrijven houdt de NMa hierop toezicht.

13

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector De NMa beoordeelt tevens of de factuur begrijpelijk genoeg is opgesteld voor de klant. Hier is echter geen wettelijke verplichting over opgesteld. Er is wel een richtlijn “Energierekening voor consumenten 2010” opgesteld met als doel dat de consument zijn energierekening beter kan begrijpen en om de energierekening voor de consument beter controleerbaar te maken (NMa, 2010). Op basis van deze richtlijn dient een beknopte energierekening te bestaan uit de volgende informatie:

a. b. c. d. e.

Richtlijn energierekening voor consumenten 2010: informatie elementen van beknopte energierekening De gegevens van de leverancier (naam en contactgegevens voor vragen). De naam van de contractant, factuuradres, leveringsadres en EAN-code(s) van de aansluiting(en). Datum en nummer van de energierekening. De periode waarop de energierekening betrekking heeft. De begin- en eindstanden van de meters, de opnamedata, de wijze van opname van de meterstanden, het verbruik van elektriciteit en gas en, indien van toepassing, de hoeveelheid teruggeleverde elektriciteit.

f.

De geleverde producten en de totaal bedragen per geleverd product. Hierbij wordt ten minste onderscheid gemaakt naar: - elektriciteit (exclusief de verschuldigde energiebelasting) - gas (exclusief de verschuldigde energiebelasting) - vastrecht levering - verschuldigde energiebelasting op elektriciteit - verschuldigde energiebelasting op gas - wettelijk verplichte vermindering van de energiebelasting en netwerkkosten g. Het totale factuurbedrag van de energierekening. h. Het totaal van de in rekening gebrachte termijnbedragen. i. Het per saldo te betalen/ontvangen bedrag. j. Het BTW saldo (alleen verplicht voor zakelijke, BTW plichtige klanten). k. Het nieuwe termijnbedrag. l. Het algemeen storingsnummer. m. De NAW gegevens van de netbeheerder. n. De vermelding dat de leverancier op aanvraag een uitgebreide energierekening beschikbaar stelt met daarin een specificatie over de opbouw van de energiekosten en het verbruik. Figuur 2.2: informatie elementen beknopte energierekening (NMa, 2010) In de beginperiode van de splitsing zijn er veel administratieve problemen en fouten gemaakt door de energiebedrijven met betrekking tot het factureren van klanten (Energy Valley, 2005). Klanten kregen te laat of onjuiste facturen van verschillende energiebedrijven. Tevens waren vooral de kleinverbruikers het vaak niet eens met geschatte of berekende meterstand. Het proces om vervolgens de meterstanden te corrigeren en de factuur corrigeren is een erg intensief administratief proces welke een lange doorlooptijd vergt. Dit is ook o.a. opgemerkt door de NMa welke vervolgens een onderzoek heeft laten uitvoeren en verbeteringseisen heeft opgelegd aan de Nederlandse energiebedrijven (NMa, 2005). De NMa concludeert dat de uitwisseling van (meet)gegevens tussen de netbeheerders en leveranciers één van 14

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector de belangrijkste oorzaken is geweest van de problemen in administratieve processen rondom de facturatie. De Nederlandse energiemarkt staat niet alleen in haar problemen in deze. In veel andere landen (zoals Verenigde Staten, Zweden en Duitsland) bleken deze effecten zeker in de eerste fase van marktliberalisering ook te spelen (Energy Valley, 2005).

2.2.6 Rol van facturatie binnen het bedrijf Voor de administratieve functie is het vastleggen van de werkelijkheid één van de belangrijkste taken (Starreveld, 2002). De administratieve functie dient te waarborgen dat wat wordt geregistreerd overeenkomstig is aan de werkelijkheid. De taken van de administratieve functie zijn als volgt weer te geven:   



het inrichten van het financiële informatie systeem, inclusief de hiermee verband houdende procedures. het uitvaardigen van regels en richtlijnen voor het voeren van de administratie. het uitvoeren van administratieve en controlerende taken. Dit betreft het vastleggen van gegevens over het bedrijfsgebeuren. Tevens dient de administratieve functie maatregelen te nemen en handelingen te verrichten waardoor mutaties betrouwbaar worden verwerkt. het opstellen van verslaggeving. Dit betreft de tot stand koming van verslagen over de gang van zaken in de organisatie, waarvoor basis gegevens veelal in de administratie kunnen worden gevonden.

Het informatieverwerkingsproces welke wordt uitgevoerd door de administratie functie kan worden gepositioneerd in de waardekringloop (Starreveld, 2004) in de figuur hieronder:

Inkopen

Voorraden

Verkopen

Schulden

Verzamelen, verwerken, controleren, rapporteren

Vorderingen

Betalen

Geld

Innen

Figuur 2.3: Plaats van het informatieverzoringsproces in de waardekringloop (Starreveld, 2002) Met betrekking tot de methoden van facturatie kunnen in hoofdlijnen de volgende typen worden onderscheiden: 

Voorfacturatie 15

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector 

Nafacturatie

Van voorfacturatie is sprake wanneer aan de hand van de ontvangen orders de facturen worden vervaardigd. In een aantal gevallen kan het zijn dat de factuur pas kan worden opgesteld nadat goederen of dienst zijn vervaardigd aan de klanten. In de praktijk wordt soms een systeem van nafacturatie toegepast zonder dat dit voortvloeit uit de in het voorgaande aangegeven aard van de goederen of diensten maar alleen om tot een snellere uitlevering van de diensten te kunnen komen. Er zijn echt wel een aantal nadelen van nafacturatie in tegenstelling tot voorfacturatie. Bij voorfacturatie is een preventie control in de procedures ingebouwd met betrekking tot de volledigheid van de facturen van alle uitgaande leveringen. Bij nafacturatie dient, bijvoorbeeld door middel van nummercontrole, vastgesteld te worden dat alle verzonden goederen aan de afnemers in rekening worden gebracht. De registratie van de vordering vormt tevens ook een onderdeel van de administratieve functie binnen een bedrijf. De fase van het waardekringloopproces waarin vorderingen zich bevinden kan als volgt worden weergegeven (Starreveld, 2004).

Verkopen

Vorderingen

Ontvangsten

Figuur 2.4: Deel van de waardekringloop – vorderingen – in een bedrijf (Starreveld, 2004) De werkzaamheden van de debiteurenadministratie kunnen als volgt worden omschreven:      

het vastleggen van de vorderingen aan de hand van de uitgaande facturen. de incasso van vorderingen. het registeren van de binnenkomende betalingen betreffende de betreffende vorderingen. het manen van achterstallige debiteuren. (het voorbereiden van) de afboeking van oninbare vorderingen. het uit handen geven van vorderingen (gerechtelijke incasso).

16

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector Voor het vastleggen van een debiteurenadministratie worden twee soorten gegevens onderscheiden: het debiteurenstambestand en het debiteurenmutatie bestand. In het debiteurenstambestand worden vaste gegevens zoals ondermeer NAW, debiteur categorie, kredietlimiet, eventuele kortingspercentages en bankrekeningnummer vastgelegd. In het debiteurenmutatie bestand worden variabele gegevens vastgelegd zoals factuurdatum, bedrag en nummer. Een aantal geautomatiseerde controles zijn mogelijk binnen een geautomatiseerde debiteurenadministratie zoals:    

controletotalen tussen bestanden aansluiten. bestaanbaarheidscontroles (debiteurennaam, nummer etc.). “aflettering” van betaalde factuurbedragen. specifieke historische overzichten (ouderdoms en bruto marge analyses etc.)

2.2.7 Specifieke opbrengsten verantwoording bij netwerken leveringsbedrijven Zowel netwerk- als leveringsbedrijven hebben met elkaar gemeen dat de “levering van de prestaties” aan afnemers geschiedt via vaste leidingen (Starreveld, 2008). Het “product” dat de afnemer ontvangt draagt in sterke mate het karakter van een dienst die genoten wordt via het aangesloten zijn op een netwerk, waar vervolgens meer of minder gebruik van wordt gemaakt. Het uitgangspunt voor de opbrengsten verantwoording is daardoor bij dit soort bedrijven te vinden in het leidingen- en aansluitingenplan. De aansluitingen worden vastgelegd in een geautomatiseerd aansluitingenbestand (aansluitregister) welke de grondslag vormt voor de facturatie van de afgenomen diensten. De controle van de volledigheid van de facturatie van periodieke vaste vergoedingen vindt plaats via geautomatiseerde controletotalen. Tegenwoordig worden slechts een of enkele malen per jaar de standen opgenomen voor de gas- en elektriciteitsmeter. Ondertussen sturen de netwerken leveringsbedrijven voorschotnota‟s naar de afnemers. Deze voorschotnota‟s worden geraamd op basis van het standaard jaarverbruik (SJV) welke o.a. gebaseerd is op het verbruik in het voorgaande jaar. Jaarlijks vindt er een jaar notaverrekening plaats waarbij een verrekening plaatsvindt van de voorschotnota‟s welke zijn vervaardigd en het daadwerkelijke verbruik van de afnemer. Voor de juistheid en de volledigheid van deze nota‟s wordt gebruik gemaakt van een combinatie van controletotalen (ook wel standenregisters genoemd). Het is namelijk mogelijk dat bij het vaststellen van de meterstanden vergissingen of fouten worden gemaakt (zeker als de aangeslotene zelf de meterstanden opgeeft). Om vast te stellen dat de standen juist worden doorgegeven wordt het berekende verbruik getoetst aan het verbruik van voorgaande jaren en dat van soortgelijke afnemers. Indien het netwerk- of leveringsbedrijf twijfelt over de doorgegeven meterstand van de klant kan men ervoor kiezen om de meteropname zelf uit te voeren. Een totaalcontrole op het verantwoorde verbruik en geproduceerde hoeveelheden energie kan slechts over langere perioden en zeer globaal worden uitgeoefend. Dit komt doordat niet alle meters tegelijk kunnen worden opgenomen en dat tijdens het transport van energie zogenaamde “verliezen” en “winsten” kunnen optreden. Elektriciteitsverlies kan optreden aangezien elektriciteit verloren gaat tijdens het transport (afhankelijk van het gehanteerde voltage tijdens het transport). Bij het transport van gas kan er zogenaamde “netwinst” ontstaan aangezien gas uitzet tijdens het transport.

17


2.3 Methodes voor het analyseren en beheersen van risico‟s In deze sectie wordt de literatuur behandeld welke antwoord geeft op deelvraag 1.2: Deelvraag 1.2: Welke methodes worden er gebruikt bij het analyseren en evalueren van risico’s van het facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector?

Allereerst zal de rol van governance worden behandeld in het kader van de beheersing van de bedrijfsprocessen in de energiesector. Hierbij wordt een onderscheid gemaakt tussen corporate governance and IT governance. Vervolgens zal dieper worden ingegaan op de interne beheersingsaspecten middels uitleg van het COSO-raamwerk.

2.3.1 Corporate governance Om ervoor te zorgen dat bedrijven op effectieve, efficiënte en verantwoorde geleid worden, evenals het afleggen van verantwoording over het gevoerde beleid richting belanghebbenden, is het noodzakelijk dat een goede governance structuur is ingeregeld. Corporate governance houdt per definitie in dat procedures en processen zijn ingeregeld waardoor een bedrijf bestuurd en gecontroleerd kan worden. De corporate governance structuur specificeert de rechten en verantwoordelijkheden van de verschillende partijen binnen de organisatie (zoals leden van de raad van commissarissen/bestuur, managers, aandeelhouders en andere stakeholders) en bevat regels en procedures voor het uitvoeren van besluiten (European Central Bank, 2004). Tevens kan effectief geïmplementeerde corporate governance ervoor zorgen dat de kwaliteit van de financiële verslaggeving wordt verbeterd (Cohen et al., 2004 en Jiang et al., 2008).

2.3.2 IT governance Omdat de rol van IT steeds groter wordt binnen de bedrijfsprocessen is de vraag hoe IT beter kan worden opgenomen in corporate governance structuren. IT governance kan van een aantal verschillende perspectieven worden bekeken. Van Grembergen (2002) geeft aan dat leiderschap, structuur en processen noodzakelijk zijn om de afstemming tussen de business en IT te bewerkstellingen. Dit is nodig om te waarborgen dat informatie systemen de bedrijfsdoelstellingen ondersteunen (IT Governance Institute, 2006). Keynes-Pearce (2002) geeft aan dat er drie dimensies zijn voor IT governance welke als volgt kunnen worden samengevat:   

structuur-georiënteerd proces-georiënteerd menselijk-georiënteerd

Structuur georiënteerde dimensie van IT governance beschrijft hoe de IT functie is georganiseerd binnen een bedrijf. Dit kan aan de hand van een gecentraliseerde, decentraliseerde of een federale manier. Daarnaast is er ook de mogelijkheid voor de instelling van een IT strategie commitee welke op een hoger niveau toezicht houdt dat IT bijdraagt aan de realisatie van de bedrijfsdoelstellingen. Daarnaast is er de proces-georiënteerde dimensie van IT governance. Deze dimensie beschrijft op welke manier IT processen de bedrijfsprocessen ondersteunen. Een goede afstemming tussen IT en de business zorgt ervoor dat IT projecten ook worden afgestemd op de strategische doelen van de 18

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector organisatie en op de juiste wijze worden gefinancierd en geprioriteerd. Om ervoor te zorgen dat bedrijven een goede balans houden tussen IT en business dienen zowel technische als business maatstaven te worden ingericht (van Grembergen 2005). Technische maatstaven kunnen bijvoorbeeld IT “downtime” of toegangsproblemen tot informatie systemen zijn en een business maatstaaf kan bijvoorbeeld klanttevredenheid zijn. De structuur en proces dimensie van IT governance hebben tot nu toe de meeste aandacht gekregen in de literatuur (van Grembergen 2005). IT governance heeft ook leiderschap nodig om ervoor te zorgen dat IT in staat is de bedrijfsdoelstellingen te halen (IT Governance Institute, 2006). Weill en Ross (2004) benadrukken ook dat toewijding en support van hoger management noodzakelijk is voor succesvolle uitoefening van IT. Wanneer senior management betrokken raakt binnen de besluitvorming rondom IT, veranderd dit ook de cultuur binnen het bedrijf. Het is echter wel noodzakelijk dat senior management voldoende kennis en inzicht heeft in IT governance om een bepalende rol te spelen. Onderzoeken hebben vaak tot nu toe uit gewezen dat kennis en betrokkenheid over IT governance niet altijd aanwezig is bij hoger management (Brown and Gant, 2005). De drie verschillende dimensies van IT governance zijn ook weergegeven door Ko en Fink (2010) in het volgende model:

Figuur 2.5 Complimentary en collaborative model van IT governance (Ko en Fink, 2010)

2.3.3 COSO model COSO-raamwerk (The Committee of Sponsoring Organizations of the Treadway Commission, 1992) is een risico management model welke de relaties identificeert tussen de bedrijfsrisico‟s en het interne beheersing systeem. Het COSO-raamwerk kan helpen bij het in kaart brengen van risico‟s welke invloed kunnen hebben het facturatieproces en hoe deze kunnen worden beheerst. Interne beheersing middels het COSO-raamwerk is gericht op het waarborgen dat de volgende doelstellingen worden bereikt:   

bereiken van de strategische doelstellingen (Strategic). effectiviteit en efficiëntie van bedrijfsprocessen (Operations). betrouwbaarheid van de (financiële) informatieverzorging (Reporting). 19

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector 

naleving van relevante wet- en regelgeving (Compliance).

Voor het behalen van deze doelstellingen dienen, volgens COSO, een aantal controle componenten te worden ingericht welke als volgt zijn:        

interne omgeving (de risicobereidheid van een organisatie wordt hierin gedefinieerd, ook wel risk appetite genoemd). bepaling van controledoelstellingen (objective setting). identificatie van de gebeurtenissen (kansen/risico's die een positieve of negatieve invloed kunnen hebben op het behalen van de doelstellingen). de risico-inschatting of de beoordeling van de geïdentificeerde risico‟s (waarschijnlijkheid dat risico zich zal voordoen en de gevolgen indien het zich voordoet). de risicobeheersingsmaatregelen (risk response) - (risico‟s elimineren, aanvaarden, delen of verminderen). controleactiviteiten (bijv. hoe wordt functiescheiding gewaarborgd) informatie en communicatie (hoe verloopt de informatie en communicatie binnen de beheersomgeving) Monitoring (hoe worden de risico‟s periodiek gemonitord door de organisatie).

Tenslotte zijn er vier verschillende organisatorische niveaus waarbinnen deze controles kunnen worden ingericht welke als volgt zijn:    

entiteitsniveau. divisieniveau. business-unitniveau. subsidiair-niveau.

Al deze elementen kunnen worden weergegeven in de onderstaande COSO-kubus.

Figuur 2.6 COSO model (The Committee of Sponsoring Organizations of the Treadway Commission,1992)

20


2.4 Inrichten en aanpassen van proces, applicatieve en general IT controls In deze sectie wordt de literatuur worden behandeld welke antwoord zal gegeven op deelvraag 1.3: Deelvraag 1.3: Welke proces, applicatie en general IT controls dienen te worden ingericht bij het ontvlechten van facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector?

In deze sectie wordt de theorie behandeld van BPA (Business Process Analysis). Dit is een methode welke kan worden gebruikt bij het identificeren en valideren van bestaande beheersmaatregelen in een bedrijfsproces. Verder worden de beheersmaatregelen voor informatie systemen, general IT controls en application controls, behandeld.

2.4.1 Business Process Analysis (BPA) model Business Process Analysis (BPA) is een methode welke bedrijven helpt om op efficiënte wijze de in het bedrijfsproces én in het informatie systeem getroffen beheersmaatregelen ten behoeve van de betrouwbaarheid, effectiviteit en/of efficiëntie vast te stellen, te beoordelen en te implementeren (Koedijk, 2000). Met behulp van dit model is het dus mogelijk om te inventariseren welke proces, applicatie en general IT controls dienen te worden ingericht dan wel aangepast bij het ontvlechten van het facturatiesysteem. Door middel van deze methode wordt inzicht verkregen in de functionaliteit van systemen en de wijze waarop de systemen de bedrijfsprocessen ondersteunen. Ook worden hierbij de beheersmaatregelen in de bedrijfsprocessen en in de informatie systemen geïnventariseerd. Vervolgens wordt beoordeeld of de bedrijfsrisico‟s door de getroffen maatregelen effectief en efficiënt worden beheerst. Een BPA-onderzoek richt zich vooral op de betrouwbaarheid van de processen, en hun ondersteunende systemen en de efficiency van de getroffen beheersmaatregelen. Ook als BPA wordt uitgevoerd ter ondersteuning van de jaarrekeningcontrole kan in samenspraak met de accountant de reikwijdte van het onderzoek worden beperkt tot de meest kritieke processen. Binnen BPA worden naast opdrachtformulering en rapportage de volgende fasen onderscheiden:     

Strategic Analysis Documentation Risk Assessment Identify Controls Assess Residual Risk

Strategic Analysis In deze fase wordt informatie ingewonnen over het bedrijf en de markt waarin het bedrijf opereert om te bepalen wat het belang is van het te onderzoeken bedrijfsproces en het geautomatiseerde proces ondersteunende informatie systeem. Er wordt aandacht geschonken om de bedrijfsdoelstellingen en de

21

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector daaraan gerelateerde risico‟s, de kritieke succesfactoren en de key performance indicators van het te onderzoeken bedrijfsproces in kaart te brengen.

Documentation De kern van BPA is de documentatie fase. Hierin dient een helder beeld te worden gevormd van het bedrijfsproces en de ondersteunende informatie systemen. Hierbij worden de verschillende proces stappen onderkend en wordt vervolgens bepaald welke functionaliteit van het systeem deze proces stappen ondersteunt en op welke wijze dit wordt gedaan. De uitkomsten van deze inventarisatie worden vastgelegd in een schema waarin aangegeven wordt wat een BPA-subproces of activiteit doet, door wie het wordt uitgevoerd, welke belangrijke gegevens door wie worden ingevoerd of uit andere bestanden worden overgenomen en welke informatie door het systeem wordt geproduceerd. Risk Assessment In deze fase zal worden geïnventariseerd wat de relatie is wat de relatie is tussen de geïnventariseerde activiteiten en de bedrijfsrisico‟s. Er dient per bedrijfsproces vastgesteld te worden welke bedrijfsrisico‟s er kunnen ontstaan. Identify Control Door middel van interviews, documentatie inspectie en waarneming wordt vervolgens bepaald welke getroffen beheersmaatregelen zijn aangetroffen in het bedrijfsproces. Deze beheersmaatregelen kunnen zowel geprogrammeerde als gebruikerscontroles zijn. Assess Residual Risk Bij de evaluatie van de beheersmaatregelen wordt, afhankelijk van de aard van de opdracht, beoordeeld of zij toereikend, effectief en/of efficiënt zijn om de gedefinieerde bedrijfsrisico‟s te beheersen. Indien de getroffen maatregelen als onvoldoende worden gekwalificeerd, worden aanbevelingen ter verbetering geformuleerd. Uiteraard wordt ook aangegeven wanneer op basis van de risicoanalyse teveel beheersmaatregelen worden uitgevoerd.

2.4.2 Betrouwbaarheid van de financiële informatieverzorging Een netwerk- of leveringsbedrijf zal ervoor moeten zorgen dat risico‟s in de financiële processen worden beheerst door het implementeren van interne beheersmaatregelen. Deze interne beheersmaatregelen kunnen door het systeem worden uitgevoerd (zogenaamde geautomatiseerde beheersmaatregelen) of door mensen (zogenaamde handmatige beheersmaatregelen). Tevens kunnen interne beheersmaatregelen preventief of detectief van aard zijn (Starreveld 2002). De organisatie kan er zelf voorkiezen welke combinatie van interne beheersmaatregelen zijn implementeren om risico‟s af te dekken. Dit hangt ook samen met de mate waarin een organisatie afhankelijk is van IT. Voor interne beheersmaatregelen binnen informatie systemen wordt de volgende onderverdeling gehanteerd: 

general IT controls: dit zijn algemene ICT maatregelen die worden getroffen voor o.a. toegang tot systemen, het wijzigen van systemen en het uitvoeren van beheersmaatregelen 22




met betrekking tot de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie systemen te waarborgen application controls: dit zijn controles welke in de applicatie zijn ingericht ten behoeve van het ondersteunen/faciliteren van een bedrijfsproces.

2.5 Beheersbaarheid van programma‟s en projecten In deze sectie wordt de literatuur behandeld welke antwoord geeft op deelvraag 1.4: Deelvraag 1.4: Hoe worden risico’s welke samenhangen met het facturingsproces voor, gedurende en na de splitsing van een netwerken leveringsbedrijf in de energiesector gemonitord?

In deze paragraaf worden de methodes behandeld welke beschikbaar zijn om de risico‟s welke samenhangen met de splitsing van het facturatieproces, zowel op programma- als op projectniveau, te beheersen. Allereerst wordt de “Managing Succesful Programmes” (MSP) behandeld welke ontwikkeld is ten behoeve van het beheersen van programma‟s. Daarna wordt de PRINCE II methode behandeld worden behandeld om inzicht en grip te krijgen in de verschillende fasen en de rollen van verantwoordelijken binnen een project om op deze manier de beheersing van het project te vergroten. 2.5.1 MSP Methode MSP methode is ontwikkeld door de Office of Government in de UK. MSP Is ontwikkeld voor het managen van programma's (Hof, 2011). De MSP methode maakt gebruikt van de volgende stappen in het proces om ervoor te zorgen dat de organisatie succesvol het project opzet, doorloopt en afsluit: 1. Identifying a programme: gedurende deze fase wordt een programma mandaat besloten tussen alle stakeholders. Ook wordt een document opgesteld waarin het doel van het programma wordt opgenomen. 2. Defining a programme: gedurende deze fase wordt de business case opgesteld. Hierin moeten de volgende elementen terugkomen:  Blueprint ontwikkelen: welke competenties zijn vereist voor de uitvoering van het programma.  Project dossier: wat zijn de geplande kosten, de doorloop van het programma en de resultaten welke het programma dient te gaan opleveren.  Validatie van de geplande resultaten: een analyse dien te worden gemaakt van de geschatte resultaten.  Governance benodigdheden: hoe zijn de organisatorische verantwoordelijkheden belegd binnen de organisatie. 3. Managing the tranches: het managen van de verschillende deelstappen in het programma. 4. Managing the capability: de programma manager is verantwoordelijk voor het coördineren van de verschillende projecten binnen het programma. 5. Realizing the benefits: de business change manager heeft de verantwoordelijk om de resultaten van de verschillende projecten te integreren in het programma. 6. Closing the programme: deze stap dient te waarborgen dat de werkzaamheden van ieder deel van het programma wordt afgerond en dat vervolgacties zijn gedefinieerd om te zorgen dat resultaten van het programma van blijvende aard zijn. 2.5.2 PRINCE II Methode De PRINCEII methode kan worden gebruikt om inzicht te krijgen in de verschillende fasen en de rollen van verantwoordelijken in een project om op deze manier de beheersing van het project te vergroten (van Onna, 2010). De PRINCE II methode is ontwikkeld door een Britse semioverheidsorganisatie genaamd “Office of Goverment Commerce”. 23

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector PRINCE II is opvolger van methode PRINCE welke in de jaren tachtig werd ontwikkeld voor het managen van ICT-projecten. De methode is ontwikkeld op basis van zogenaamde “best-practices'' vanuit de praktijk. Deze zijn vervolgens gebundeld en gevormd tot een methode. De PRINCE II methode is gebaseerd op de volgende zeven principes: 1. Voortdurende business rechtvaardiging: het project dient in alle fase van de doorloop gevalideerd en goedgekeurd te worden door de business verantwoordelijken. 2. Leren van ervaringen: vooraf, gedurende en na het project zullen deelnemers aan het projecten lessen die zij geleerd hebben moeten delen en inzichtelijk kunnen maken voor buitenstaanders. Er dient gestreefd te worden dat er binnen het project continu ruimte blijft voor verbeteringen. 3. Gedefinieerde rollen en verantwoordelijken: het project kan alleen slagen wanneer duidelijk is voor iedereen wat zij of haar rol en verantwoordelijkheid is binnen het project. 4. Manage per fase: er dient op gestructureerde wijze informatie te worden doorgegeven aan de stuurgroep zodat deze de mogelijkheid heeft tot bijsturing. Om dit te bewerkstelligen dient het project te worden opgeknipt in verschillende fases waarin informatie wordt geleverd aan de stuurgroep. 5. Manage by exception: verantwoordelijkheden dienen zoveel mogelijk te worden belegd bij diegenen die het werk uitvoeren. Wanneer er toleranties op een bepaald niveau worden overschreven dient door hoger management te worden ingegrepen. Op deze manier wordt geprobeerd de effectiviteit en efficiëntie van het project te waarborgen. 6. Productgericht: de nadruk wordt gelegd binnen PRINCE II op het product dat moet worden opgeleverd. De kwaliteitseisen die aan het product worden gesteld zijn leidend. 7. Aanpassen aan de projectomgeving: de PRINCE II methode biedt de mogelijkheid om de project methode aan te passen aan de dynamische omgeving waarin het project zich bevindt. Naast de zeven basis principes die worden gehanteerd bij PRINCE II worden ook de volgende deelprocessen gedefinieerd: 1. Starting up a project (SU): in deze fase wordt het project voorbereid. In deze fase wordt ook de business case opgesteld op hoofdlijnen en het project team benoemd. Tenslotte wordt ook de project aanpak voorgesteld. 2. Initiating a Project (IP): in deze fase worden de beoogde resultaten, plannen, taken en verantwoordelijkheden vastgelegd. Dit resulteert vervolgens in een Project Initiation Documentation (PID). Ook wordt in deze fase de volgende zaken opgesteld:  Risk management strategy  Quality management strategy  Configuration management strategy  Communication managment strategy  Project plan  Project controls  Verfijnen business case 3. Directing a project (DP): in deze fase stuurt het project team het project aan. 4. Controlling stage: in deze fase worden werkzaamheden toegewezen, werkzaamheden gemonitord, omgegaan met issues en gerapporteerd aan de stuurgroep over de voortgang van het project. 5. Managing a stage boundary: dit proces beschrijft op welke wijze de project manager de stuurgroep van informatie voorziet. 6. Managing product delivery: dit proces beschrijft de link tussen de project manager en de teammanager. 24

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector 7. Closing a project: dit proces waarborgt dat er een acceptatie moment van het project plaatsvindt en dat het project op basis van vooraf opgestelde doelstellingen wordt geëvalueerd. Tenslotte benadrukt PRINCE II dat er zeven thema's zijn waar de project manager gedurende de uitvoering van zijn project continue rekening mee moet houden. Dit zijn de volgende thema's:  

    

Business case: niet eenmalig maar voortdurend zou de vraag moeten worden gesteld “waarom voeren wij dit project uit?” Wanneer een fase is afgerond dient de business case opnieuw te worden beoordeeld. Organization: in dit thema gaat het vooral over “wie” de werkzaamheden uitvoert. Zoals eerder gezegd kunnen verantwoordelijken verschillende belangen hebben bij de uitvoering van het project. PRINCE II hanteert de volgende drie projectbelangen:  Organisatiebelang: het project zou in behoefte van de organisatie moeten voorzien. Binnen de stuurgroep wordt dit belang vertegenwoordigd door de “Executive”.  Gebruikersbelang: product dat een project oplevert zal gebruikt worden door mensen. Zij zullen dan ook aan het product eisen stellen. Binnen de stuurgroep wordt dit belang vertegenwoordig door de “Senior User”.  Leveranciersbelang: voor het doorvoeren van systeem wijzigingen is vaak specialistische kennis nodig. Daarom zullen ook leveranciers hun eisen en voorwaardes willen stellen binnen het project. Binnen de stuurgroep wordt dit belang vertegenwoordig door de “Senior Supplier”. Plans: het opstellen en aanpassen van plannen zal voortdurend worden uitgevoerd tijdens het project. Progress: om voortgang te meten van het project zijn verschillende methodes beschikbaar. Risk: het uitvoeren van grootschalige projecten brengt risico's met zich mee. Binnen het project dient voortdurend oog te zijn van de beheersing van mogelijke risico's. Quality: gedurende het project dient voortdurend het opleverde product getoetst te worden aan de vooraf opgestelde kwaliteitseisen. Change: gedurende het project wordt voorgestelde wijzigingen beoordeeld en geprioriteerd.

Zowel de processtappen, de zeven thema's als de zeven principes van PRINCE II kunnen worden weergegeven in onderstaande figuur.

25


Figuur 2.7: PRINCE II Model (van Onna, 2010)

2.6 Samenvatting literatuurstudie In dit hoofdstuk is opsomming gegeven van de literatuur welke ter ondersteuning heeft geboden bij het beantwoorden van de centrale vraagstelling en deelvragen van het referaat. Allereerst is in paragraaf 2.1 een historisch overzicht gegeven van de energiemarkt in Nederland en de ontwikkeling naar een liberale energiemarkt door de jaren heen. Vervolgens is de regel- en wetgeving behandeld welke ten grondslag heeft gelegen van de splitsingen binnen de Nederlandse energiebedrijven. In paragraaf 2.2 zijn de verschillende bedrijfsprocessen weergegeven welke ter grondslag liggen bij het facturatieproces binnen de energiesector. Vervolgens zijn de methodes en frameworks voor het analyseren en beheersen van risico‟s weergeven zoals corporate governance, IT governance, COSO model in paragraaf 2.3. In paragraaf 2.4 zijn de verschillende proces-, applicatieve- en general IT controls beschreven welke mogelijk dienen te worden aangepast of ingericht in het geval van een inrichting of splitsing van een facturatieproces. In paragraaf 2.5. zijn verschillende methodes behandeld hoe risico‟s binnen projecten en programma‟s kunnen worden beheerst. In het volgend hoofdstuk wordt ingegaan op de resultaten van de uitgevoerde case studies onderzoeken.

26


3. Case studies: bevindingen en analyses 3.1 Inleiding Voor het beantwoorden voor de centrale vraagstelling en de deelvragen is gekozen om twee case study onderzoeken uit te voeren. De case study onderzoeken zijn uitgevoerd bij een leveringsbedrijf en het netwerkbedrijf van hetzelfde energiebedrijf. Op verzoek van de het energiebedrijf wordt de naam van het energiebedrijf niet benoemd in dit referaat. Allereerst wordt in hoofdstuk 3.2 de aanpak van de uitvoering van het case study onderzoeken beschreven. Vervolgens wordt in hoofdstuk 3.3 bevindingen en analyses op deelvragen behandeld voor het leveringsbedrijf. In hoofdstuk 3.4. worden de bevindingen en analyses op de deelvragen behandeld voor het netwerkbedrijf. De overeenkomsten tussen de bevindingen en analyses van het leveringsbedrijf en het netwerkbedrijf worden beschreven in hoofdstuk 3.5.

3.2 Aanpak case study onderzoek Voor de uitvoering van de case study onderzoeken zijn de onderstaande personen geïnterviewd vanuit het leveringsbedrijf, het netwerkbedrijf en Deloitte Risk Services: Functie Manager Projectbureau Sectorontwikkelingen

Bedrijf Leveringsbedrijf

Hoofd Facturatie Manager Informatie Management Hoofd Facturatie Manager Deloitte Risk Services, expert m.b.t. het adviseren van organisaties van splitsingen van informatiesystemen

Leveringsbedrijf Netwerkbedrijf Netwerkbedrijf Deloitte Risk Services

Tabel 3.1: overzicht van geïnterviewde personen vanuit het leveringsbedrijf, het netwerkbedrijf en Deloitte Risk Services Gedurende het interview is gebruik gemaakt van een vooropgestelde vragenlijst welke gebaseerd is op het literatuuronderzoek (hoofdstuk 2). Deze vragenlijst is bijgevoegd in bijlage 8.1.

3.3 Case studies: bevindingen en analyses voor het leveringsbedrijf In paragraaf 3.3.1 t/m 3.3.4 worden de bevindingen en analyses behandeld van de deelvragen van dit referaat voor het leveringsbedrijf.

3.3.1 Identificatie risico gebieden voor het facturingsproces In deze sectie wordt antwoord gegeven op deelvraag 1.1 welke als volgt luidt: Deelvraag 1.1: Welke risicogebieden dienen te worden geïdentificeerd in het kader van ontvlechting van het facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector? Sinds de aankondiging van de overheid m.b.t. splitsing van het netwerken leveringsbedrijf heeft het energiebedrijf een stuurgroep en een klankbordgroep ingericht om de risicogebieden in kaart te brengen voor het leveringsbedrijf en het netwerkbedrijf voor deze splitsing. Deze stuurgroep is in 2008 opgericht binnen het energiebedrijf en bestond uit de volgende medewerkers:

27

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector      

COO (voorzitter) Hoofdjurist Controller Divisie directeur infrastructuur Directeur netwerkbedrijf Adviseur

Door deze stuurgroep zijn de volgende vier grote risicogebieden met betrekking tot de splitsing voor het energiebedrijf gedefinieerd:    

Financieel Juridisch Organisatorisch Informatie technisch

Voor de uitwerking van deze risicogebieden is advies ingewonnen door het energiebedrijf van een strategisch advies bureau en de huisaccountant van het energiebedrijf. Voor het risicogebied “informatie technisch” is voornamelijk de mogelijke financiële impact van het aanpassen van de informatievoorzieningen geanalyseerd door de stuurgroep in deze eerste fase. Deze kosten waren in eerste instantie relatief laag geschat door de stuurgroep. De werkelijk gemaakte kosten zijn uiteindelijk hoger uitgevallen. Vervolgens is ook een zogenaamde “klankbord groep” ingesteld door het energiebedrijf welke als taak had om de vier grote risicogebieden (financieel, juridisch, organisatorisch en informatie technisch) te vertalen naar mogelijke gevolgen op business unit niveau. Deze klantbord groep kwam minimaal maandelijks bijeen en de volgende medewerkers namen deel aan deze groep:         

Adviseur Medewerker Strategie (voorzitter) HRM consultant Controller medewerker netwerkbedrijf IT manager netwerkbedrijf IT manager leveringsbedrijf Communicatie adviseur Jurist en juridisch adviseurs Treasury medewerker

In juni 2009 heeft het energiebedrijf een splitsingsplan opgeleverd conform een template welke destijds werd voorgeschreven door de Nationale Mededingings Autoriteit (NMa) en de Energiekamer. Dit plan beschrijft de wijze waarop het energiebedrijf juridisch, economisch en organisatorisch gesplitst diende te worden. Aan het splitsingsplan heeft de NMa relatief beperkte eisen gesteld met betrekking tot de inrichting van het facturatiesproces na de splitsing. De NMa gaf aan dat energiebedrijven het leveranciersmodel mochten hanteren. Het energiebedrijf heeft dit dan ook toegepast.

28

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector De NMa eiste wel dat de kosten welke samenhingen met de splitsing niet mochten worden door berekend aan de klanten van het leveringsbedrijf en het nieuwe netwerkbedrijf. Om dit vast te stellen diende het energiebedrijf op maandelijkse basis rapportages aanleveren aan de NMa over de prijsontwikkeling. Op deze manier hield de NMa toezicht dat de kosten welke samenhingen met de splitsing niet werden doorbelast aan de klanten. De volledige splitsing waarin het netwerkbedrijf juridisch, financieel en organisatorisch is gesplitst van het leveringsbedrijf was op 1 januari 2011 voltooid.

3.3.2 Methodes voor het analyseren van risico’s op het facturingsproces In deze sectie wordt antwoord gegeven op deelvraag 1.2 welke als volgt luidt: Deelvraag 1.2: Welke methodes worden er gebruikt bij het analyseren en evalueren van risico’s van het facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector? De identificatie van risico gebieden door de stuurgroep en tevens de klankboord groep is niet aan de hand verricht van een specifiek methode. Deze risico identificatie is “on the fly” uitgevoerd waarbij geen expliciete schriftelijke risico afweging plaats heeft gevonden. De risicogebieden werden tijdens de overlegmomenten gezamenlijk bepaald. In september 2009 heeft het energiebedrijf besloten om het splitsing plan te “vertalen” naar de mogelijke impact op de business units van het energiebedrijf. Deze verantwoordelijkheid werd belegd bij de stuurgroep “Splitsing”. Deze stuurgroep bestond uit de volgende medewerkers:       

COO (voorzitter) Directeur netwerkbedrijf Directeur infrastructuur Strategiemedewerker Manager Projectbureau sectorontwikkelingen Hoofdjurist HRM directeur

Binnen de stuurgroep “Splitsing” is gekozen om voor het risicogebied “informatie technisch” verder onder te voordelen in de volgende systemen:    

Financiële systemen Assets management Kantoor automatisering Facturatie en meterbeheer

Voor de IT-systemen van facturatie is besloten door de stuurgroep om deze in zijn geheel op te splitsen tussen het leveringsbedrijf en het netwerkbedrijf. Het leveringsbedrijf zou blijven factureren via haar huidige facturatie systeem “Customer Care en Billing (CC&B)”. De beslissing voor dit besluit is niet gebaseerd op een onderbouwde business case maar is in overleg met de stuurgroep “on the fly” gemaakt. In deze periode (2009) is tevens het besluit genomen door het leveringsbedrijf om het Shared Service Center (SSC) op te heffen. Het SSC voerde voor de splitsing de facturatie uit voor zowel het netwerk29

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector als het leveranciersbedrijf. Dit besluit is genomen op bedrijfs tactische redenen en heeft niet zozeer te maken gehad met het splitsingverzoek van de NMa. Om de volledige splitsing door te voeren is door de stuurgroep besloten om de vier deelgebieden van “informatie technisch” (Financiële systemen, Assets management, Kantoor Automatisering en Facturatie en Meterbeheer) middels afzonderlijke projecten door de desbetreffende business units zelfstandig te laten uitvoeren in deelprojecten. Hierbij werd aan de divisie eigenaren van zowel het leveringsbedrijf als het netwerkbedrijf aangeven per welke datum de nieuwe systemen / aanpassingen in het bedrijfsproces gereed moesten zijn. Voor de uitvoering van de verschillende deelprojecten hadden de divisiehoofden veel zeggenschap.

3.3.3 Proces, applicatieve en general IT controls in het facturingsproces In deze sectie wordt antwoord gegeven op deelvraag 1.3 welke als volgt luidt: Deelvraag 1.3: Welke proces, applicatie en general IT controls dienen te worden ingericht en aangepast bij de ontvlechting van facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector? Voor de facturatie voor het leveringsbedrijf zijn zowel proces, applicatieve en general IT controles in verschillende systemen en processen gewijzigd en/of ingericht. Voor het analyseren om te bepalen welke proces, applicatie en general IT controls dienden te worden aangepast of ingericht is geen methode gebruikt door het leveringsbedrijf. Hieronder is een overzicht van de wijzigingen welke zijn o.a. zijn doorgevoerd op proces-, applicatieen general IT niveau. Proces controle aanpassingen De volgende proces controle aanpassingen dienden te worden aangepast en ingericht voor het leveringsbedrijf. Valideren van eventstanden Voor de splitsing was het netwerkbedrijf verantwoordelijk voor het valideren van de zogenaamde event standen. Dit zijn gegevens met betrekking tot een leveranciersswitch (het veranderen van leverancier) of het in of uithuizen van nieuwe klanten op een aansluiting. Per 1 januari 2011 is deze verantwoordelijkheid belegd bij de facturatie afdeling van het leveringsbedrijf. Wanneer bijvoorbeeld een nieuwe klant op een aansluiting werd geregistreerd dient het de facturatie afdeling van het leveringsbedrijf tegenwoordig zelf te valideren of de doorgegeven meter stand valide is. Valideren van de maandelijkse betalingsbatch van netbeheerders Gedurende de splitsing heeft het leveringsbedrijf ervoor gekozen om voor het overgrote deel van haar klanten te facturen via het leveranciersmodel. Op deze manier ontvangt de klant één factuur met daarop zowel de aansluitkosten, transportkosten en leveringskosten. Het overgrote deel van de klanten van het leveringsbedrijf zijn aangesloten bij netbeheerder (welke deel uitmaakt van het energiebedrijf). Elke maand ontvangt facturatie afdeling van het leveringsbedrijf een betalingsbestand van het netwerkbedrijf waarop per aansluiting het bedrag dat 30

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector dient te worden factureert. Deze gegevens worden vervolgens gecontroleerd in de gegevens welke het leveringsbedrijf in CC&B tot zijn beschikking heeft. Hierbij wordt specifiek controleert of de juiste capaciteitscode en bijbehorende tarieven worden gehanteerd door de netbeheerder (juistheidcontrole). Vervolgens wordt deze betaling bestand betaald door het leveringsbedrijf en worden de kosten verrekend aan haar klanten.

Opstellen en monitoren van afspraken tussen het leveringsbedrijf en het netwerkbedrijf omtrent gedeelte processen van facturatie Als gevolg van de splitsing moesten er ook nog tussen het leveringsbedrijf en het netwerkbedrijf afspraken worden gemaakt hoe men diende om te gaan met o.a. de volgende processen welke voorheen alleen door het leveringsbedrijf werden uitgevoerd:   

factureren van storingscompensaties; uitfaseren van af- en heraansluitkosten; bepalen op welke wijze uitstaande vorderingen bij klanten werden verdeeld en afgeboekt.

Applicatie controle aanpassingen De volgende applicatieve controle aanpassing diende te worden aangepast en ingericht voor het leveringsbedrijf. Aanpassen van Detect-IF controles Als gevolg van de splitsing dienden de controles m.b.t. de uitvalrapportages te worden aangepast. Middels een aparte applicatie genaamd “Detect-IF” werd voor de splitsing voorheen inzichtelijk gemaakt welke aansluitingen of meetgegevens niet volledige waren overgekomen vanuit MECOMS in CC&B. Deze controle rapportages voorzag de afdeling facturatie van het leveringsbedrijf een goed inzicht in welke specifieke gegevens handmatig moesten worden opgezocht in MECOMS en worden verwerkt in CC&B. Aangezien het voor het voor medewerkers van het leveringsbedrijf na de splitsing niet meer was toegestaan om toegang te hebben tot MECOMS (i.v.m. invoering Chinese Walls) werd het belangrijker om tijdig te inventariseren of voor de komende maandfacturatie mogelijke aansluit- of meetgegevens niet volledig zouden worden aangeleverd. Wanneer informatie immers ontbrak dienden medewerkers van de facturatie afdeling een officiële aanvraag te doen bij het netwerkbedrijf voor het aanleveren van aanvullende informatie. Hierbij moest rekening worden gehouden met additionele doorlooptijd van de verzoeken. Het leveringsbedrijf heeft deze controle rapportage dus aangepast. Via de Detect-IF controle rapportages wordt nu via GEN (het onafhankelijk registratie systeem welke gebruikt wordt voor de uitwisseling van het externe berichten verkeer) gecontroleerd of aansluiten meetgegevens volledig worden overgezet. Deze controle is belangrijker geworden omdat het leveringsbedrijf geen toegang heeft tot MECOMS om eventuele uitval zelf op te lossen. Dit loopt nu via een specifiek afgesproken marktconform proces waarbij nogmaals aan de netbeheerder wordt gevraagd (automatisch via berichtenverkeer) op bepaalde aansluiten meetgegevens nogmaals te verzenden. Deze aanpassing heeft in het begin voor de medewerkers van de facturatie afdeling van het leveringsbedrijf tot onduidelijkheden geleid. Voor medewerkers was in eerste instantie niet duidelijk hoe men met ontbrekende meterstanden en meetgegevens dienden om te gaan. 31


General IT Controls aanpassingen De volgende general IT controls aanpassingen dienden te worden aangepast of te worden ingericht voor het leveringsbedrijf. Controle op dataconversie van gegevens vanuit SAP CRM en CC&B naar MAX Binnen SAP CRM werden voor de splitsing de contractgegevens van de klanten beheerd voor het leveringsbedrijf. In CC&B werden voor de splitsing de klant informatie, meetgegevens en factuurregistratie van bewaard. Als gevolg van de splitsing dienden een deel deze gegevens uit deze systemen worden verwijderd en worden overgezet naar het nieuwe facturatie systeem van het netwerkbedrijf (MAX). Daarnaast diende het leveringsbedrijf ervoor te zorgen dat contracten van de netbeheerder in SAP CRM werden gestopt om te waarborgen dat klanten mogelijk niet dubbel werden gefactureerd. Voor dataconversie en -migratie van CC&B en SAP CRM naar MAX heeft het energiebedrijf Deloitte Risk Services gevraagd om als onafhankelijke derde een Quality Assurance beoordeling uit te voeren betreffende de volgende kwaliteitsaspecten: juistheid, volledigheid en controleerbaarheid van de geconverteerde data. Op deze manier kreeg de stuurgroep redelijke mate van zekerheid dat de dataconversie- en migratie op een juiste manier was verlopen. Controle op dataconversie van gegevens uit MECOMS naar ISEM (meetregister voor water en warmte) In het kader van splitsing netbeheerder en leverancier was het tevens noodzakelijk een nieuwe applicatie ISEM in te richten. Binnen deze applicatie zijn o.a. aansluitgegevens en meetgegevens van warmte en water ondergebracht. Deze gegevens werden voorheen in MECOMS opgeslagen maar na de splitsing zijn deze gegevens gesplitst en via een data migratie overgezet naar ISEM. Het energiebedrijf heeft Deloitte Risk Services ook hiervoor gevraagd om een Quality Assurance beoordeling uit te voeren op de juistheid, volledigheid en controleerbaarheid van dataconversie en migratie van MECOMS naar ISEM. Waarborgen van een centrale aansturing naar de IT leveranciers van leveringsbedrijf Halverwege 2010 realiseerde de stuurgroep “Splitsing” zich dat een aantal zelfstandige projecten beter bestuurd en gecoördineerd konden worden onder een specifiek programma management aangezien er vele afhankelijkheden bestonden tussen de afzonderlijke projecten. Een centrale aansturing was noodzakelijk omdat er naar aanleiding van niet afgestemde planningen en scopeafspraken vele discussies tussen projecten in het kader van facturatie en meterbeheer ontstonden. Hierbij ontstond het probleem dat verschillende externe IT leveranciers van het leveringsbedrijf afzonderlijk door de verschillende project managers werden benaderd. Dit leidde bij de externe IT leveranciers tot verwarring. Het was voor de IT leveranciers lastig te bepalen welke projecten prioriteit hadden. Daarnaast werden bepaalde project groepen “verrast” door de externe IT leverancier wanneer een bepaalde update van een applicatie werd doorgevoerd. Hierdoor ontstond vaak vertraging in de oplevering van verschillende deelprojecten.

32

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector Ook het projectbeheer vanuit de IT leverancier werd niet voldoende goed uitgevoerd. Dit aspect werd tevens niet voldoende afgedekt in de contracten welke waren afgesloten tussen de IT leveranciers en het leveringsbedrijf.

Inzichtelijk maken van het IT landschap met de bijbehorende interfaces tussen informatiesystemen en het toekennen van eigenaarschap aan zowel de informatie systemen als de interfaces Vooral de verschillende interfaces tussen de verschillen informatiesystemen zorgden ervoor dat de divisies van het energiebedrijf met elkaar samen dienden te werken om tot een goed algemeen resultaat te komen voor de splitsing. Gedurende de splitsing kwam de stuurgroep erachter dat de verantwoordelijk van het beheer van de interfaces met verschillende applicaties onvoldoende helder was gedefinieerd. Afdelingshoofden waren het niet eens over wie verantwoordelijk en aansprakelijk was voor de aanlevering van bepaalde data voor de interfaces. Waarborgen dat de testomgeving een juist weerspiegeling is van de productieomgeving waarbij rekening gehouden wordt met aangrenzende informatie systemen Naarmate de splitsing vorderde werd het duidelijk voor de stuurgroep dat het testen van aanpassingen van interfaces niet volledig kon worden uitgevoerd. In de testomgevingen van de verschillende applicaties was het zeer beperkt mogelijk een om goede afspiegeling te creëren van de productieomgeving. Het IT landschap bestond uit dermate complexe interfaces dat een realistische testomgeving lastig was na te bootsen. Eindgebruikers konden daardoor niet alle scenario‟s met betrekking tot het facturingsproces doorlopen.

3.3.4 Beheersing risico’s welke samenhangen met het facturingsproces in het kader van splitsing van netwerken leveringsbedrijf voor, gedurende en na het splitsingstraject In deze sectie wordt antwoord gegeven op deelvraag 1.4 welke als volgt luidt: Deelvraag 1.4: Hoe worden risico’s welke samenhangen met het facturingsproces voor, gedurende en na de splitsing van een netwerken leveringsbedrijf in de energiesector gemonitord? Halverwege 2010 realiseerde de stuurgroep “Splitsing” zich dat de zelfstandige projecten beter geleid konden worden onder één programma management aangezien er vele afhankelijkheden bestonden tussen de afzonderlijke projecten. Vooral de verschillende interfaces tussen de verschillen informatiesystemen zorgden ervoor dat divisies met elkaar samen dienden te werken om tot een goed algemeen resultaat te komen. Op dat moment zijn de verschillende projecten onder één programma gesteld waarbij leiding werd gegeven door manager Projectbureau sectorontwikkelingen. Risico management van het gehele splitsingstraject is beperkt ingeregeld, in het bijzonder voor het informatie voorzieningsgedeelte. Risico management werd pas actief ingeregeld toen de verschillende projecten werden ondergebracht in één programma voor informatievoorziening in 2010. Op dat moment kreeg de splitsing stuurgroep ook meer mandaat in de vorm van budgetbeheersing van verschillende projecten van het energiebedrijf. Voorheen had de stuurgroep meer een coördineerde rol dan een sturende en besluitvormende rol. Binnen de individuele projecten werd wel door middel van periodieke monitoring, analyses en rapportering naar de stuurgroep inzichtelijk maakt welke risico‟s er bestonden op project niveau. Deze 33

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector analyses en rapporteringen verschillende onderling erg van kwaliteit. Daarnaast werden deze analyses onvoldoende door vertaald naar risico‟s op programma niveau. Op deze manier was het niet inzichtelijk dat mogelijke risico‟s binnen de projecten invloed konden hebben op het behalen van de doelstellingen van het splitsingsprogramma.

3.4 Case studies: bevindingen en analyses van het netwerkbedrijf In dit hoofdstuk zijn de bevindingen en analyses beschreven voor het netwerkbedrijf. In paragraaf 3.4.1 t/m 3.4.4 worden de bevindingen en analyses behandeld van de deelvragen van dit referaat.

3.4.1 Identificatie risico gebieden voor het facturingsproces In deze sectie wordt antwoord gegeven op deelvraag 1.1 welke als volgt luidt: Deelvraag 1.1: Welke risicogebieden dienen te worden geïdentificeerd in het kader van ontvlechting van het facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector? De risicogebieden welke werden geïdentificeerd in het kader van splitsing van het facturatie systeem komen overeen met de risicogebieden welke zijn geïdentificeerd door het energiebedrijf. Het is immers zo dat het netwerkbedrijf in de aanloop van de splitsing juridisch onderdeel was van het energiebedrijf. De directeur van het toenmalig netwerkbedrijf heeft deelgenomen in de stuurgroep “Splitsing” waarbij de risico gebieden financieel, juridisch, organisatorisch en informatie technisch werden gedefinieerd en geanalyseerd. Daarnaast hebben de controller van het netwerkbedrijf en de IT manager van het netwerkbedrijf deelgenomen in de klankgroep “Splitsing” welke tot doel had om de mogelijke gevolgen van de splitsing te definiëren en te analyseren.

3.4.2 Methodes voor het analyseren van risico’s op het facturingsproces In deze sectie wordt antwoord gegeven op deelvraag 1.2 welke als volgt luidt Deelvraag 1.2: Welke methodes worden er gebruikt bij het analyseren en evalueren van risico’s van het facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector? In zowel de stuurgroep als de klankgroep zijn er geen specifieke methodes of frameworks gebruikt voor het analyseren van risico‟s m.b.t. tot het facturatieproces. De risico analyses zijn “on the fly” uitgevoerd door middel van samenspraak binnen de stuurgroep en klankgroep. In de stuurgroep “Splitsing” is bepaald dat het netwerkbedrijf een nieuw facturatie systeem zou gaan inrichten als gevolg van de splitsing. Van deze specifieke keuze is echter geen business case opgesteld door de stuurgroep “Splitsing”. De keuze hiervoor is gemaakt omdat het netwerkbedrijf in de toekomst zou willen overgaan op een nieuw ERP systeem. Daarom was het gewenst om niet het bestaande facturatie systeem van het energiebedrijf te blijven gebruiken maar te kiezen voor een nieuw facturatie systeem (MAX). De informatie afkomstig uit het bestaande informatie systemen van het leveringsbedrijf is later middels een dataconversie overgezet in dit nieuwe facturatie systeem.

3.4.3 Proces, applicatieve en general IT Controls in het facturingsproces In deze sectie wordt antwoord gegeven op deelvraag 1.3 welke als volgt luidt:

34


Deelvraag 1.3: Welke proces, applicatie en general IT controls dienen te worden ingericht en aangepast bij de ontvlechting van facturatiesysteem in het geval van een splitsing van een netwerken leveringsbedrijf in de energiesector? Voor de facturatie voor het netwerkbedrijf zijn zowel proces, applicatieve en general IT controles in verschillende systemen en processen aangepast en/of ingericht. Voor het analyseren welke proces, applicatie en general IT controls dienden te worden aangepast of ingericht is geen methode gebruikt door het netwerkbedrijf. Hieronder is overzicht gegeven welke controls zijn aangepast en/of ingericht. Proces controle aanpassingen De volgende proces controle aanpassingen dienden te worden aangepast en ingericht voor het netwerkbedrijf. Het tijdig opstellen en implementeren van werkinstructies voor het facturatieproces door, en voor, medewerkers Het netwerkbedrijf besteedde voor de splitsing haar activiteiten uit met betrekking tot facturatie aan het Shared Service Center (SSC) binnen het energiebedrijf. Dit ging in het bijzonder om de processen met betrekking tot afhandelen van klantcontacten, de intake van storingen en het factureren van klanten. Deze uitbestede activiteiten werden vanaf 2011 zelfstandig uitgevoerd door het netwerkbedrijf. Dit heeft onder andere toe geleid dat het netwerkbedrijf van ongeveer 100 medewerkers in 2009 in 2010 doorgegroeid is tot 128 medewerkers (124 fte). Begin 2011 werden de medewerkers welke voorheen werkzaam waren voor het SSC overgenomen de facturatie afdeling van het netwerkbedrijf. Door het hoofd van de facturatie afdeling van het netwerkbedrijf zijn werkinstructies opgesteld. Medewerkers van de facturatieafdeling waren getraind om met het nieuwe systeem te gaan werken. Ondanks dat er werkinstructies waren opgesteld werden deze niet altijd volledig en op de juiste manier uitgevoerd. Dit leidde zeker in het begin tot problemen met de tijdigheid van de facturatie. Dit heeft in enkele gevallen geleid tot het niet tijdig opleveren van de betalingsbatch van het netwerkbedrijf aan het leveringsbedrijf. Hierdoor is bij het netwerkbedrijf een renteverlies ontstaan. Inrichten van proces controles met betrekking tot volledigheid van de facturatie op basis van informatie voortkomend uit het kadaster Als gevolg van de splitsing en het opheffen van de SSC kwam meer verantwoordelijkheid te liggen voor het volledig factureren en incasseren bij de facturatie afdeling van het netwerkbedrijf. Op het moment dat de verantwoordelijkheid van het facturatieproces terug werd belegd binnen de organisatie van het netwerkbedrijf was er ook ruimte voor de facturatieafdeling om aanvullende controles in te richten om de volledigheid van de facturatie te beter te waarborgen. Door middel van de inrichting van controles door netwerkbedrijf op basis van informatie uit het kadaster kon worden nagegaan wie de juridische eigenaar was van een bepaalde aansluiting en zodoende kon de juiste persoon worden gefactureerd. Deze controle werd niet uitgevoerd door het SSC. Opstellen en afstemmen van procesafspraken met het leveringsbedrijf met betrekking tot switchen van klanten en openstaande vorderingen van klanten Met betrekking tot de facturatie moesten een aantal afspraken worden gemaakt tussen het netwerkbedrijf en het leveringsbedrijf. De volgende afspraken zijn gemaakt: 35

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector  

bepalen op welke wijze uitstaande vorderingen bij klanten werden verdeeld en afgeboekt tussen het netwerkbedrijf en het leveringsbedrijf. klanten welke geswitched waren van het leveringsbedrijf en welke het netbeheerdersmodel als facturatie model hanteerde, kregen in februari 2011 een brief vanuit het netwerkbedrijf waarin uitgelegd werd dat zijn per maart door het netwerkbedrijf direct zouden worden gefactureerd.

Het netwerkbedrijf en het leveringsbedrijf hebben vervolgens in zogenaamde business transitieprojecten de bovenstaande processen geanalyseerd en voor deze processen afspraken gemaakt.

Applicatieve controle aanpassingen De volgende applicatieve controle aanpassingen dienden te worden aangepast en ingericht voor het netwerkbedrijf. Volledigheids- en juistheidscontroles met betrekking tot dataoverdracht tussen MECOMS en MAX Na verschillende doorgevoerde aanpassingen in MECOMS in het kader van de splitsing kwam het voor dat gegevens t.b.v. de facturatie uit MECOMS niet aangesloten konden worden met de gegevens het facturatie systeem (MAX). Bijvoorbeeld verschillende aansluitdata, verschillende meters (wel of geen meter). Deze gegevens (uitvalgegevens) dienen handmatig te worden opgevoerd door afdeling registerbeheer. Deze specifieke uitvalrapportages dienden te worden aangepast na de splitsing door het netwerkbedrijf. General IT controls aanpassingen De volgende general IT controls aanpassingen dienden te worden aangepast en ingericht voor het netwerkbedrijf. Controle op dataconversie van gegevens uit SAP CRM en CC&B naar MAX Binnen SAP CRM werden voor de splitsing de contractgegevens van de klanten beheerd. In CC&B werden voor de splitsing de klant informatie, meetgegevens en factuurregistratie van o.a. ook de netbeheerder bewaard. Middels de splitsing dienden deze gegevens uit deze systemen worden verwijderd en worden overgezet naar het nieuwe facturatie systeem van het netwerkbedrijf (MAX). Daarnaast diende het leveringsbedrijf ervoor zorgen dat contracten van de het netwerkbedrijf in SAP CRM werden geblokkeerd om te waarborgen dat klanten mogelijk niet dubbel werden gefactureerd. Voor dataconversie en -migratie van CC&B en SAP CRM naar MAX heeft het energiebedrijf Deloitte Risk Services gevraagd om als onafhankelijke derde een Quality Assurance beoordeling uit te voeren betreffende de volgende kwaliteitsaspecten: juistheid, volledigheid en controleerbaarheid van de geconverteerde data. Eigenaarschap van data in de systemen m.b.t. facturatie ging pas leven binnen de organisaties van netwerkbedrijf en leveringsbedrijf naarmate de live gang voor het nieuwe facturatie systeem dichter bij kwam. Mede door het toeziend oog door een 3e partij op de datamigratie tussen de systemen werd data-eigenaarschap aangescherpt. 36


Aanpassen autorisaties MECOMS (aansluitregister, meterregister en meetregister) Voor de splitsing was het mogelijk voor medewerkers van de facturatie afdeling van het leveringsbedrijf om voor ontbrekende meterstanden in CC&B direct MECOMS te raadplegen. Na de splitsing werd dit niet meer toegestaan. Het werd derhalve dus noodzakelijk om toegang van medewerkers van het energiebedrijf leveringsbedrijf in te trekken voor MECOMS en de interfaces met andere applicaties van het leveringsbedrijf volledig te ontvlechten. Dit intrekken van de autorisaties was de verantwoordelijkheid van het netwerkbedrijf. Niet volledig opstellen van mogelijke testscenario’s voor het facturatiesysteem Gedurende de testfase van het nieuwe applicatie MAX zijn vooraf opgestelde scenario‟s opgesteld en getest door eindgebruikers van het netwerkbedrijf. Na de live gang van MAX (maart 2011) werd geconstateerd dat een aantal aansluitingen niet kon worden gefactureerd. Dit werd veroorzaakt door het feit dat indien de ingangsdatum van een aansluiting afwijkt van de ingangsdatum van de meter het niet mogelijk is om binnen MAX een transportfactuur te genereren. In de vooraf opgestelde testscenario‟s voor het testen van de het nieuwe facturatiesysteem voor dit specifieke scenario geen rekening gehouden vooraf gehouden. Inmiddels is een request for change (RFC) ingediend bij de leverancier van MAX om dit specifieke scenario aan te passen in MAX.

3.4.4 Beheersing risico’s welke samenhangen met het facturingsproces in het kader van splitsing van netwerken leveringsbedrijf voor, gedurende en na het splitsingstraject In deze sectie wordt antwoord gegeven op deelvraag 1.4 welke als volgt luidt: Deelvraag 1.4: Hoe worden risico’s welke samenhangen met het facturingsproces voor, gedurende en na de splitsing van een netwerken leveringsbedrijf in de energiesector gemonitord? De risico‟s die samenhangen met het migratieproject van informatie voorziening zijn in eerste instantie niet scherp gedefinieerd binnen de stuurgroep en klankgroep “Splitsing”. In de latere fase van de splitsing zijn deze risico‟s beter in kaart gebracht. Dit kwam name door het feit dat de stuurgroep “Splitsing” besloot om een aantal zelfstandig geleide projectgroepen te gaan leiden onder één verantwoordelijk programma management. Op deze manier konden risico‟s welke project overstijgend waren beter inzichtelijk gemaakt worden en vervolgens kon er beter op worden geacteerd.

3.5 Synthese bevindingen en analyses tussen het leveringsbedrijf en het netwerkbedrijf In deze sectie zijn de overeenkomsten tussen de bevindingen en analyses van het leveringsbedrijf en het netwerkbedrijf beschreven. Allereerst zijn dezelfde risicogebieden geïdentificeerd door het leveringsbedrijf en het netwerkbedrijf in het kader van splitsing van het facturatiesysteem van netwerken leveringsbedrijf in de energiesector. Dit komt omdat in de stuurgroep “Splitsing”, waarin de eerste identificatie van risico‟s werd uitgevoerd, afgevaardigden vanuit het leveringsbedrijf en het netwerkbedrijf aanwezig waren. In deze stuurgroep zijn de verschillende risicogebieden (financieel, juridisch, organisatorisch en informatie technisch) vastgesteld. 37

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector Daarnaast zijn geen verschillen op te merken in de aanpak welke is gebruikt bij het identificeren en beheersen van risico‟s. Voor zowel het leveringsbedrijf als het netwerkbedrijf zijn geen specifieke methodes gebruikt. Risico‟s zijn “on the fly” geïdentificeerd. Tegen het einde van het splitsingsproject is wel vanuit het energiebedrijf risicoregister opgesteld en vanaf dat moment periodiek bijgehouden. De manier waarop beide bedrijven hebben vastgesteld of controles dienden te worden aangepast of heringericht verschilt niet onderling. Beide bedrijven hebben geen gebruik gemaakt van bestaande methodes maar hebben dit in overleg met de verantwoordelijke afdelingen bepaald. De proces, applicatieve en general IT controls aanpassingen zijn wel verschillend van aard tussen het leveringsbedrijf en het netwerkbedrijf. Het leveringsbedrijf heeft besloten om het bestaande facturatiesysteem te behouden en deze te ontvlechten. Het netwerkbedrijf heeft gekozen om een nieuw facturatiesysteem te gaan inrichten. De keuze voor het in stand houden van een bestaand facturatiesysteem of het inrichten van een nieuw facturatiesysteem heeft invloed op gehad op het type controles welke dienden te worden aangepast. Medewerkers van de facturatieafdeling van het leveringsbedrijf dienden werkzaamheden omtrent het valideren van eventstanden en het valideren van de juistheid van de maandelijkse betaalbatch vanuit het netwerkbedrijf uit te voeren. Daarnaast moest de uitvalcontrole “Detect-IF” worden aangepast aangezien de onderliggende informatie systemen werden gewijzigd. Voor het netwerkbedrijf was het van belang om de werkinstructies voor het facturatieproces tijdig op te stellen en te implementeren in de nieuwe organisatie. Voor het netwerkbedrijf was het facturatieproces namelijk een nieuw bedrijfsproces welke voorheen werd uitgevoerd binnen het SSC van het energiebedrijf. Daarnaast dienden autorisaties in MECOMS (aansluitregister, meterregister en meetregister) te worden aangepast voor medewerker van het leveringsbedrijf in het kader van Chinese Walls.

38


4. Case studies: conclusies Dit hoofdstuk behandelt de conclusies van de case studies. Allereerst zijn de conclusies vanuit het leveringsbedrijf beschreven waarbij antwoord is gegeven op de centrale vraagstelling en de deelvragen. Vervolgens zijn de conclusies vanuit het netwerkbedrijf beschreven waarbij antwoord is gegeven op de centrale vraagstelling en de deelvragen.

4.1 Case studies: conclusies van het leveringsbedrijf Risicogebieden identificatie De risico identificatie m.b.t. de splitsing is uitgevoerd door de stuurgroep splitsing van het energiebedrijf. Deze stuurgroep heeft de risico‟s welke samenhingen met de splitsing onderverdeeld in vier grote deelgebieden (financieel, juridisch, organisatorisch en informatie technisch). In de eerste fase van de splitsing is voornamelijk aandacht gegeven aan juridisch en economische risico‟s ten gevolge van de splitsing. De informatie technische risico‟s zijn, achteraf gezien, te globaal uitgewerkt en hebben onvoldoende aandacht gekregen in deze fase. Tevens is geen onderbouwde business case door het energiebedrijf opgesteld welke als grondslag kon dienen voor het gehele splitsingsprogramma. In een latere fase van het splitsing project zijn de risico‟s welke samenhingen met de aanpassingen van de informatie systemen dieper uitgewerkt en werden deze strenger gemonitord. Tevens werden de risico‟s welke project overstijgend waren geïdentificeerd en werd daarop door de stuurgroep geacteerd (indien dit nodig was). Methodes bij het analyseren en evalueren van risico’s op facturingsproces Voor het analyseren en evalueren van risico‟s op het facturingsproces kunnen verschillende methodes worden gebruikt. Het COSO-model kan een goede basis geven voor het analyseren en evalueren van risico‟s binnen de beheersorganisatie. Gedurende het splitsingsproject is er geen gebruik gemaakt van bestaande methodes voor het analyseren van risico‟s welke samenhingen met de splitsing. Risico‟s zijn in zowel de stuurgroep “Splitsing” als de klankbordgroepen “on the fly” gedefinieerd en geanalyseerd. Proces, applicatieve en general IT controls inrichting met betrekking tot facturingsproces Voor het inventariseren, evalueren of proces, applicatieve en general IT controls dienen te worden aangepast of te worden heringericht kan gebruik worden gemaakt van de BPA methode. De BPA methode helpt bedrijven om op efficiënte wijze de in het bedrijfsproces én in het informatie systeem getroffen beheersmaatregelen ten behoeve van de betrouwbaarheid, effectiviteit en/of efficiëntie vast te stellen, te beoordelen en te implementeren. Het leveringsbedrijf heeft voor het inventariseren en evalueren van bestaande controls geen specifieke methode gebruikt. Men heeft op basis van gezamenlijk overleg met de betrokken afdelingen geïnventariseerd of bestaande controls dienden te worden aangepast of te worden heringericht. De volgende proces controles zijn ingericht en/of aangepast bij de splitsing van het facturatie systeem: 

valideren van eventstanden (switches, verhuizingen en opzeggingen) door facturatie afdeling van het leveringsbedrijf (werd voorheen gedaan door de het netwerkbedrijf).

39

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector  

valideren van de juistheid van de maandelijkse betaalbatch welke aangeleverd wordt door de netbeheerder. opstellen en monitoren van afspraken over gedeelde processen voor facturatie met het netwerkbedrijf.

Verder zijn de volgende applicatieve controle is ingericht en aangepast bij de splitsing van het facturatie systeem: 

aanpassen en valideren van Detect-IF controles (uitvalrapportages).

De volgende general IT controls zijn ingericht en/of aangepast bij de splitsing van het facturatie systeem:    



controle op de dataconversie van gegevens vanuit SAP CRM en CC&B naar MAX. controle op de dataconversie van gegevens uit MECOMS naar ISEM (meetregister voor water en warmte). waarborgen van een centrale aansturing naar de IT leveranciers vanuit het energiebedrijf inzichtelijk maken van het IT landschap met de bijbehorende interfaces tussen informatiesystemen en het toekennen van eigenaarschap aan zowel de informatie systemen als de interfaces. waarborgen dat de testomgeving een juist weerspiegeling is van de productieomgeving waarbij rekening gehouden wordt met aangrenzende informatie systemen.

Beheersing van risico’s op het facturingsproces voor, gedurende en na de splitsing van het netwerken leveringsbedrijf Voor het monitoren van risico‟s binnen een programma kan gebruik worden gemaakt van de MSP methode. Voor het monitoren van risico‟s binnen de individuele projecten kan gebruik worden gemaakt van de PRINCE II methode. Voor, gedurende en na het splitsingsproject is door het energiebedrijf zeer beperkt gebruikt gemaakt van methodes om de risico‟s te monitoren. Het monitoren van de risico‟s in gedurende de eerste fase van het splitsingsproject dan ook onvoldoende opgezet. Het project management was voor de splitsing ook te dun opgezet waarbij het project management een coördinerende rol kreeg toegewezen. Het was voor de stuurgroep daarom moeilijk om te bepalen en eventueel te acteren wanneer risico‟s binnen de individuele projecten te groot en onbeheersbaar dreigden te worden. Het mandaat van de stuurgroep werd in de latere fase van het project dan ook verbreed met budgettaire bevoegdheid over de verschillende deelprojecten. Op deze manier veranderde de rol de stuurgroep van “coördinerend” naar “sturend”. Daarnaast is gedurende het splitsingsproject een verbreding van de scope opgetreden. Het project met betrekking tot “insourcing” van de SSC-activiteiten (waaronder facturatie) werd binnen de scope van het splitingstraject getrokken. De risico‟s welke samenhingen hiermee zorgde ervoor dat het managen van het algehele splitsingstraject complexer werd.

40


4.2 Case studies: conclusies van het netwerkbedrijf Risicogebieden identificatie De risico identificatie m.b.t. de splitsing is uitgevoerd door de stuurgroep splitsing van het energiebedrijf. Deze stuurgroep heeft de risico‟s welke samenhingen met de splitsing onderverdeeld in vier grote deelgebieden (financieel, juridisch, organisatorisch en informatie technisch). Methodes bij het analyseren en evalueren van risico’s op het facturingsproces Net zoals bij het leveringsbedrijf is ook bij het netwerkbedrijf geen gebruik gemaakt van methodes en/of frameworks bij het analyseren en evalueren van risico‟s met betrekking tot het facturingsproces. Voor het analyseren en evalueren van risico‟s op het facturingsproces kunnen verschillende methodes worden gebruikt. Het COSO-model kan een goede basis geven voor het analyseren en evalueren van risico‟s binnen de beheersorganisatie. Gedurende het splitsingsproject is er geen gebruik gemaakt van bestaande methodes voor het analyseren van risico‟s welke samenhingen met de splitsing. Risico‟s zijn in zowel de stuurgroep als de “Splitsing” als de klankbordgroepen “on the fly” gedefinieerd en geanalyseerd. Proces, applicatieve en general IT controls inrichting met betrekking op het facturingsproces Voor het inventariseren, evalueren of proces, applicatieve en general IT controls dienen te worden aangepast of te worden heringericht kan gebruik worden gemaakt van de BPA methode. De BPA methode helpt bedrijven om op efficiënte wijze de in het bedrijfsproces én in het informatie systeem getroffen beheersmaatregelen ten behoeve van de betrouwbaarheid, effectiviteit en/of efficiëntie vast te stellen, te beoordelen en te implementeren. Het netwerkbedrijf heeft voor het inventariseren en evalueren van bestaande controls geen specifieke methode gebruikt. Men heeft op basis van gezamenlijk overleg met de betrokken afdelingen geïnventariseerd of bestaande controls dienden te worden aangepast of te worden heringericht. De volgende proces controles zijn ingericht en/of aangepast voor het facturatieproces:   

het tijdig opstellen en implementeren van werkinstructies voor het facturatieproces door, en voor, medewerkers. inrichten van proces controles met betrekking tot volledigheid van de facturatie op basis van informatie voortkomend uit het kadaster. opstellen en afstemmen van procesafspraken met het leveringsbedrijf met betrekking tot switchen van klanten en openstaande vorderingen van klanten.

Verder is de volgende applicatieve controle ingericht en aangepast voor het facturatieproces: 

volledigheids- en juistheidscontroles met betrekking tot dataoverdracht tussen MECOMS en MAX.

De volgende general IT controls zijn ingericht en/of aangepast voor het facturatieproces:   

aanpassen van autorisaties MECOMS (aansluitregister, meterregister en meetregister) in het kader van Chinese Walls. waarborgen van het volledig opstellen van mogelijke testscenario‟s voor het facturatiesysteem. controle op de dataconversie van gegevens vanuit SAP CRM en CC&B naar MAX. 41

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector Beheersing van risico’s op het facturingsproces voor, gedurende en na de splitsing van het netwerken leveringsbedrijf Voor het monitoren van risico‟s binnen een programma kan gebruik worden gemaakt van de MSP methode. Voor het monitoren van risico‟s binnen de individuele projecten kan gebruik worden gemaakt van de PRINCE II methode. Voor, gedurende en na het splitsingsproject is door het netwerkbedrijf zeer beperkt gebruikt gemaakt van methodes om de risico‟s te monitoren. De risico‟s die samenhangen met het migratieproject van informatie voorziening zijn in eerste instantie niet scherp gedefinieerd binnen de stuurgroep en klankgroep “Splitsing. In de latere fase van de splitsing zijn deze risico‟s beter in kaart gebracht. Dit kwam name door het feit dat de stuurgroep “Splitsing” besloot om een aantal zelfstandig geleide projectgroepen te gaan leiden onder één verantwoordelijk programma management. Op deze manier konden risico‟s welke project overstijgend waren beter inzichtelijk gemaakt worden en vervolgens kon er beter op worden geacteerd.

42


5. Synthese In het onderstaand overzicht is een tabel een overzicht gegeven van de beantwoording van de centrale vraagstelling en de deelvragen van dit referaat voor zowel het leveringsbedrijf als het netwerkbedrijf.

Integrale conclusies van het leveringsbedrijf en het netwerkbedrijf #

Vraagstelling en deelvragen

Beantwoording vraagstelling en deelvragen voor het leveringsbedrijf

1

Centrale vraagstelling: Welke beheersmaatregelen dienen te worden ingericht bij splitsing van facturatiesysteem in de situatie van splitsing van het netwerken leveringsbedrijven en hoe worden deze beheersmaatregelen gemonitord?

De volgende beheersmaatregelen dienen te worden ingericht:

Beantwoording vraagstelling en deelvragen voor het netwerkbedrijf De additionele beheersmaatregelen dienen te worden ingericht:

RISICO MANAGEMENT Belangrijke beheersmaatregelen - adequate risicoanalyse/beheersing gedurende het gehele programma waarbij gebruik wordt gemaakt van frameworks/methodes voor de risico identificatie en beheersing. - adequate risicoanalyse/beheersing binnen de individuele projecten met voldoende communicatie richting programma niveau.

RISICO MANAGEMENT Belangrijke beheersmaatregelen - adequate risicoanalyse/beheersing gedurende het gehele programma waarbij gebruik wordt gemaakt van frameworks/methodes voor de risico identificatie en beheersing. - adequate risicoanalyse/beheersing binnen de individuele projecten met voldoende communicatie richting programma niveau.

BESLUITVORMING Belangrijke beheersmaatregelen - duidelijk mandaat voor de stuurgroep van de splitsing met adequate budgettaire verantwoordelijkheden zodat tijdig juiste besluiten genomen kunnen worden die rekening houden met de centrale en individuele belangen van de projecten - waarborg dat de implementatie van de beheersmaatregelen helder zijn belegd waarbij duidelijk is vastgelegd wie de beheersmaatregelen uitvoert, hoe deze worden uitgevoerd, wanneer deze worden uitgevoerd en hoe de resultaten van deze beheersmaatregelen worden vastgelegd.

BESLUITVORMING Belangrijke beheersmaatregelen - duidelijk mandaat voor de stuurgroep van de splitsing met adequate budgettaire verantwoordelijkheden zodat tijdig juiste besluiten genomen kunnen worden die rekening houden met de centrale en individuele belangen van de projecten - waarborg dat de implementatie van de beheersmaatregelen helder zijn belegd waarbij duidelijk is vastgelegd wie de beheersmaatregelen uitvoert, hoe deze worden uitgevoerd, wanneer deze worden uitgevoerd en hoe de resultaten van deze beheersmaatregelen worden vastgelegd.

ORGANISATIE EN OMGEVING TRANSFORMATIE Implementatie van de beheersmaatregelen - zorg voor voldoende tijd/aandacht voor transitiemanagement en betrokkenheid van de toekomstige lijnfunctionarissen

ORGANISATIE EN OMGEVING TRANSFORMATIE Implementatie van de beheersmaatregelen - zorg voor voldoende tijd/aandacht voor transitiemanagement en betrokkenheid van de 43

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector - borg de tijdige implementatie van de beheersomgeving, hierbij dient rekening gehouden te worden met wijzigingen binnen de business en wijzigingen binnen de IT organisatie - waarborg dat de implementatie van de beheersmaatregelen helder zijn belegd waarbij duidelijk is vastgelegd wie de beheersmaatregelen uitvoert, hoe deze worden uitgevoerd, wanneer deze worden uitgevoerd en hoe deze resultaten van deze beheersmaatregelen worden vastgelegd.

-

-

toekomstige lijnfunctionarissen borg de tijdige implementatie van de beheersomgeving, hierbij dient rekening gehouden te worden met wijzigingen binnen de business en wijzigingen binnen de IT organisatie waarborg dat de implementatie van de beheersmaatregelen helder zijn belegd waarbij duidelijk is vastgelegd wie de beheersmaatregelen uitvoert, hoe deze worden uitgevoerd, wanneer deze worden uitgevoerd en hoe deze resultaten van deze beheersmaatregelen worden vastgelegd.

1.1 Deelvraag 1.1: Welke risicogebieden worden geïdentificeerd in het kader van splitsing van het facturatiesysteem van netwerken leveringsbedrijf in de energiesector?

RISICO IDENTIFICATIE

RISICO IDENTIFICATIE

De risicogebieden welke door het leveringsbedrijf zijn geïdentificeerd zijn:

De risicogebieden welke door het netwerkbedrijf zijn geïdentificeerd zijn:

- financieel; - juridisch; - organisatorisch; - informatie technisch.

- financieel; - juridisch; - organisatorisch; - informatie technisch.

1.2 Deelvraag 1.2: Welke methodes worden er gebruikt bij het analyseren en evalueren van risico‟s op het facturingsproces in de situatie van splitsing van het netwerken leveringsbedrijf in de energiesector?

METHODES/FRAMEWORKS ANALYSEREN EN BEHEERSEN RISICO’S

METHODES/FRAMEWORKS ANALYSEREN EN BEHEERSEN RISICO’S

Zowel bij het leveringsbedrijf als bij het netwerkbedrijf is er gedurende het splitsingsproject geen gebruik gemaakt van bestaande methodes of frameworks voor het analyseren van risico‟s welke samenhing met de splitsing. Risico‟s zijn in zowel de stuurgroep SPLITSING als de klankbordgroepen “on the fly” beschreven.

Zowel bij het leveringsbedrijf als bij het netwerkbedrijf is er gedurende het splitsingsproject geen gebruik gemaakt van bestaande methodes of frameworks voor het analyseren van risico‟s welke samenhing met de splitsing. Risico‟s zijn in zowel de stuurgroep SPLITSING als de klankbordgroepen “on the fly” beschreven.

44

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector 1.3 Deelvraag 1.3: Welke proces, applicatieve en general IT controls dienen te worden ingericht en aangepast bij het ontvlechten van facturatiesysteem in de situatie van splitsing van het netwerken leveringsbedrijf in de energiesector?

PROCES CONTROLE AANPASSINGEN

PROCES CONTROLE AANPASSINGEN

De volgende proces controles zijn ingericht/en of aangepast:

De volgende proces controles zijn ingericht/en of aangepast:

1) valideren van eventstanden (switches, verhuizingen en opzeggingen) door facturatie afdeling van het leveringsbedrijf (werd voorheen gedaan door de netbeheerder). 2) valideren van de juistheid maandelijkse betaalbatch welke aangeleverd wordt door de het netwerkbedrijf. 3) opstellen en monitoren van afspraken over gedeelde processen voor facturatie met het netwerkbedrijf.

1) het tijdig opstellen en implementeren van werkinstructies voor het facturatieproces door, en voor medewerkers. 2) inrichten van proces controles met betrekking tot volledigheid van de facturatie op basis van informatie voortkomend uit het kadaster. 3) opstellen en afstemmen van procesafspraken met het leveringsbedrijf met betrekking tot switchen van klanten en openstaande vorderingen van klanten.

APPLICATIEVE CONTROLE AANPASSINGEN

APPLICATIEVE CONTROLE AANPASSINGEN

De volgende applicatieve controls is aangepast:

De volgende applicatieve controle is aangepast:

1) valideren van Detect-IF controles (uitvalrapportages).

1) volledigheids- en juistheidscontroles met betrekking tot dataoverdracht tussen MECOMS en MAX.

GENERAL IT CONTROLS AANPASSINGEN

GENERAL IT CONTROLS AANPASSINGEN

De volgende general IT controls zijn ingericht en/of aangepast: 1) controle op de dataconversie van gegevens vanuit SAP CRM en CC&B naar MAX. 2) controle op de dataconversie van gegevens uit MECOMS naar ISEM (meetregister voor water en warmte). 3) waarborgen van een centrale aansturing naar de IT leveranciers vanuit het leveringsbedrijf. 4) inzichtelijk maken van het IT landschap met de bijbehorende interfaces tussen informatiesystemen en het toekennen van eigenaarschap

De volgende general IT controls zijn ingericht en/of aangepast: 1) aanpassen van autorisaties MECOMS (aansluitregister, meterregister en meetregister) in het kader van Chinese Walls. 2) volledig opstellen van mogelijke testscenario‟s voor het facturatiesysteem. 3) controle op de dataconversie van gegevens vanuit SAP CRM en CC&B naar MAX.

45

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector aan zowel de informatie systemen als de interfaces. 5) waarborgen dat de testomgeving een juiste weerspiegeling is van de productieomgeving waarbij rekening gehouden wordt met aan grenzende informatie systemen.

46

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector 1.4 Deelvraag 1.4: Hoe worden risico‟s welke samenhangen met het facturingsproces voor, gedurende en na de splitsing van een netwerken leveringsbedrijf in de energiesector gemonitord?

BEHEERSEN VAN RISICO’S

BEHEERSEN VAN RISICO’S

Het is belangrijk om risico‟s welke samen hangenhangen met het facturatieproces, voor, gedurende en na de splitsing te monitoren aan de hand van gestructureerde methodes. Methodes zoals MSP en/of PRINCE II kunnen hiervoor mogelijk goed worden gebruikt.

Het is belangrijk om risico‟s welke samen hangenhangen met het facturatieproces, voor, gedurende en na de splitsing te monitoren aan de hand van gestructureerde methodes. Methodes zoals MSP en/of PRINCE II kunnen hiervoor mogelijk goed worden gebruikt.

Het monitoren van de risico‟s in gedurende de eerste fase van het splitsingsproject onvoldoende opgezet.

Het monitoren van de risico‟s in gedurende de eerste fase van het splitsingsproject onvoldoende opgezet.

In de latere fase van de splitsing zijn deze risico‟s beter in kaart gebracht. Dit kwam name door het feit dat de stuurgroep “Splitsing” besloot om een aantal zelfstandig geleide projectgroepen te gaan leiden onder één verantwoordelijk programma management. Het mandaat van de stuurgroep werd in de latere fase van het project dan ook verbreed met budgettaire bevoegdheid over de verschillende deelprojecten. Op deze manier veranderde de rol de stuurgroep van “coördinerend” naar “sturend".

In de latere fase van de splitsing zijn deze risico‟s beter in kaart gebracht. Dit kwam name door het feit dat de stuurgroep “Splitsing” besloot om een aantal zelfstandig geleide projectgroepen te gaan leiden onder één verantwoordelijk programma management. Het mandaat van de stuurgroep werd in de latere fase van het project dan ook verbreed met budgettaire bevoegdheid over de verschillende deelprojecten. Op deze manier veranderde de rol de stuurgroep van “coördinerend” naar “sturend".

47


6. Centrale vraagstelling en beantwoording In deze sectie wordt antwoord gegeven op de centrale vraagstelling welke als volgt luidt: Central vraagstelling: Welke beheersmaatregelen dienen te worden ingericht bij splitsing van facturatiesysteem in de situatie van splitsing van het netwerken leveringsbedrijven en hoe worden deze beheersmaatregelen gemonitord? Op basis van de beantwoording van de deelvragen vanuit het perspectief van het leveringsbedrijf en het netwerkbedrijf kan worden gesteld dat beheersmaatregelen dienen te worden ingericht bij de splitsing van een facturatie systeem. Hieronder worden de verschillende beheersmaatregelen beschreven welke dienen te worden ingericht en hoe deze kunnen gemonitord. Adequate risicoanalyse/beheersing Bij de identificatie van mogelijk risico‟s als gevolg van de splitsing is door de stuurgroep en de klankbordgroepen geen gebruik gemaakt van frameworks of methodes maar zijn risico‟s zogenaamd “on the fly” gedefinieerd. Methodes, zoals BPA of het COSO raamwerk, hadden mogelijk wel als basis kunnen dienen voor het identificeren van mogelijk risico‟s. Als gevolg van het ontbreken van een gehanteerde methode is het risico gebied “informatie technisch” in de begin fase van het splitsingsproject niet voldoende uitgewerkt en onvoldoende onder de aandacht gekomen van de stuurgroep. Dit heeft er mede toe geleid dat de kosten welke in eerste instantie waren begroot voor informatie technisch aanmerkelijk hoger zijn uitgekomen dan begroot. Wanneer er een gestructureerde risico identificatie aan de hand van een framework of methode in de begin fase van de splitsingstraject was uitgevoerd door de stuurgroep op het onderdeel “informatie technisch” was het mogelijk eerder duidelijk geworden dat het splitsen van een IT landschap een zeer complex en risicovol proces was. Met behulp van een structurele risico analyse was er mogelijk tevens ontdekt dat door de splitsing bestaande informatie systemen (waaronder het facturatie systeem) ontvlochten dienden te worden en dat nieuwe aanpassingen getest dienden te worden in aparte testomgevingen. Op het moment dat eindgebruikers de nieuwe facturatie systemen moesten gaan testen kwam pas het probleem naar voren dat het beheer van o.a. interfaces niet duidelijk was belegd en dat de testomgevingen geen goede weerspiegeling gaven van de productie omgevingen. Tevens was mogelijk eerder naar voren gekomen dat een centrale aansturing van de IT leveranciers vanuit programma- en projectteams van het leveringsbedrijf gewenst was. Het is daarom noodzakelijk om adequate risicoanalyse/beheersing gedurende het gehele programma door te voeren waarbij gebruik wordt gemaakt van frameworks/methodes voor de risico identificatie en beheersing. Daarnaast is het van belang om de communicatie zowel binnen de individuele projecten als wel tussen de projecten en het programma te waarborgen. Structurele en heldere besluitvorming voor alle betrokkenen Het is duidelijk geworden dat een goede governance structuur en risico beheersing gedurende de opzet van het splitsingstraject van cruciaal belang is voor het verdere verloop van het splitsingstraject. In eerste instantie is project management van het splitsingsproject te dun opgezet. Risico management werd pas actief ingeregeld toen de verschillende projecten werden ondergebracht in een programma voor informatie voorziening in 2010. Toen waren de risico‟s al bijna issues voor het energiebedrijf. 48

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector Daarna werd pas besloten om de splitsings stuurgroep een sterker mandaat te geven in de vorm van budgetbeheersing van verschillende projecten. Daarom is het van belang om een duidelijk mandaat voor stuurgroep van de splitsing met adequate budgettaire verantwoordelijkheden bijtijds te implementeren zodat tijdig juiste besluiten genomen kunnen worden die rekening houden met de centrale en individuele belangen van de projecten. Daarnaast dient de implementatie van de beheersmaatregelen helder zijn belegd waarbij duidelijk is vastgelegd wie de beheersmaatregelen uitvoert, hoe deze worden uitgevoerd, wanneer deze worden uitgevoerd en hoe de resultaten van deze beheersmaatregelen worden vastgelegd. Implementatie en monitoring van de beheersmaatregelen Voor het monitoren van de beheersmaatregelen en de risico‟s binnen het splitsingsprogramma en de individuele projecten welke deel uit maken van het splitsingsprogrmama, is belangrijk dit uit te voeren aan de hand van een gestructureerde methode. De MSP methode en de PRINCE II methode kunnen goed worden gebruikt door bedrijven om risico‟s voor, gedurende en het splitsingsproject adequaat te beheersen. Zowel het leveringsbedrijf als het netwerkbedrijf hebben in zeer beperkte mate gebruik gemaakt van beide methodes gedurende het splitsingsproject.

49


7. Reflectie en epiloog In deze sectie wordt gereflecteerde op de uitkomsten van het onderzoek. Daarnaast worden ook de beperkingen van het onderzoek behandeld en verdere suggesties besproken voor mogelijk verder onderzoek. Tenslotte wordt in de epiloog nog een dankwoord uitgesproken naar de personen welke geholpen hebben bij de totstandkoming van dit referaat.

7.1 Reflectie In dit referaat is duidelijk naar voren gekomen op welke wijze een netwerken leveringsbedrijf omgegaan met het ontvlechten van een facturatieproces in het kader van een splitsing. Wat opvalt, is dat er voor, gedurende en na het splitsingsproces zeer beperkt gebruik is gemaakt van reeds bestaande methodes voor het definiëren, analyseren van risico‟s en het valideren van bestaande en nog te implementeren controls ten behoeve van het facturingsproces. De verschillende keuzes zijn door zowel het leveringsbedrijf als het netwerkbedrijf gemaakt op basis van gezamenlijk overleg met de betreffende afdelingen. Daarnaast val het op dat in de eerste fase van het splitsingsproject er door de stuurgroep “Spitsing” besloten is om aan de eis van de NMa om het netwerken leveringsbedrijf te splitsing. Tot op heden (2012) is er geen wettelijke grondslag voor het splitsen van het netwerken leveringsbedrijf. Het valt daarom op dat de mogelijkheid om niet te voldoen aan de splitsingseisen van de NMa voor het energiebedrijf niet is onderzocht. Er had mogelijk expliciet de keuze kunnen worden gemaakt door het energiebedrijf niet te voldoen aan deze eisen van de NMa en mogelijk sancties welke hieruit zouden kunnen voortvloeien “te accepteren”. Beperkingen onderzoek en suggesties voor verder onderzoek In dit referaat is het splitsingsproces, vanuit het perspectief van het facturatieproces, beschreven voor één netwerkbedrijf en één leveringsbedrijf. Op basis van de resultaten van het referaat kan worden gesteld dat de zelfde aanpak is gekozen door zowel het leveringsbedrijf als het netwerkbedrijf voor de aanpak van de splitsing aangezien deze bedrijven onderdeel uitmaakte van het energiebedrijf Dit hoeft niet te betekenen dat andere netwerken leveringsbedrijven ook een gezamenlijke aanpak hebben gekozen. Het is denkbaar dat bij andere energiebedrijven er mogelijk wel afzonderlijke risico analyses hebben uitgevoerd voor zowel het netwerk- als het leveringsbedrijf. Daarnaast is het mogelijk dat andere netwerken leveringsbedrijven wel specifieke methodes hebben gebruikt gedurende het splitsingsproject om de risico‟s te analyseren en te beheersen. Het is daarom interessant om een dergelijk vervolgonderzoek uit te voeren bij andere Nederlandse netwerken leveringsbedrijven. Tevens is het ook interessant om dit onderzoek voor bedrijven binnen andere industrieën uit te voeren welke onderhevig zijn aan dergelijke wet- en regelgeving.

7.2 Epiloog Ter afsluiting van mijn studie EDP-auditing aan de Vrije Universiteit Amsterdam heb ik een referaat geschreven over IT auditing bij splitsing in de energiesector. Vanuit de Vrije Universiteit is de heer Rene Matthijsse aangewezen als mijn afstudeerbegeleider. Ik wil hem graag bedanken voor het beoordelen van de tussenresultaten van mijn uiteindelijk referaat en het bewaken van het voortgangsproces.

50

Referaat Robbert van der Pol - IT auditing bij splitsing in de energiesector Verder wil ik vanuit mijn werkgever, Deloitte Risk Services, mijn afstudeer coach Danny Suykerbuyk (EMITA, CISSP en Manager Deloitte Risk Services) bedanken. In het bijzonder zijn specifieke inhoudelijke sectorkennis over de energiesector heeft een zeer grote bijdrage geleverd aan het resultaat van dit referaat. Tenslotte wil ik de medewerkers van het leveringsbedrijf en het netwerkbedrijf bedanken voor het delen van hun waardevolle ervaringen met betrekking tot de splitsing. Robbert van der Pol (MSc. Business Administration, Strategic Management, Erasmus Universiteit, Rotterdam) Amsterdam, april 2012

51


8. Bijlage 8.1 Literatuuroverzicht: boeken, journals, websites 

Brown, A.E. and Grant, G.G. (2005), „„Framing the frameworks: a review of IT governance research‟‟, Communications of the Association for Information Systems, Vol. 15, pp. 696-712.



Cleton, H. (2011), “Programmamanagement”, werkcollege gedurende het 3e jaar van de IT Audit opleiding van de Vrije Universiteit, 10 oktober 2011.



Cohen, J.R., Krishnamoorthy, G. and Wright, A.M. (2004), „„The corporate governance mosaic and financial reporting quality‟‟, Journal of Accounting literature, Vol. 23, pp. 87-152.



De Jong, J., et al. (2005), Dertig Jaar Nederlands Energiebeleid: van Bonzen, Polders en Markten naar Brussel zonder Koolstof. Den Haag: Clingendael International Energy Programme.



EnergieNed (2011), Position Paper Evaluatie Elektriciteits- en Gaswet.



Energy Valley (2005). Van waardeketen naar waardenetwerk: oplossingen voor de organisatie van de Nederlandse energiemarkt, Groningen (rapport geschreven in opdracht van de Directie Energiemarkt van het Ministerie van Economische Zaken)



European Central Bank (2004), Annual Report: 2004, ECB, Frankfurt, Glossary.



Fijneman, R., Lindgreen, E.R. & Veltman, P. (2005). Grondslagen IT-auditing. 1e druk. Den Haag: SDU Uitgevers BV.



Hof, R. (2011), De kleine MSP: een methodiek voor programmamanagement; het bereiken van strategische doelen, 3e druk,



Hofman, P.L. (2005). Energie Clearing House, een megaproject voor de energiesector, Compact 2005, nr.4., pp. 25 – 35.



IT Governance Institute (2003), „„Board briefing on IT governance‟‟, 2nd ed., available at: www.isaca.org/Content/ContentGroups?ITGI3?Re3sources1/Board_Briefing_on_IT_Goverance/2 6904_Board_Briefing_final.pdf (accessed 18 January 2007).



IT Governance Institute (2006), „„Enterprise value: governance of IT investments, the Val IT framework‟‟available at: www.isaca.org/AMTemplate.cfm?Section¼Deliverables&Template ¼ Content Management/ ContentDisplay.cfm&ContentID ¼ 24259.



Jiang, W., Lee, P. and Anandarajan, A. (2008), „„The association between corporate governance and earnings quality: further evidence using the Gov-Score‟‟, Advances in Accounting, Vol. 24, pp. 191-201.



Keynes-Pearce, S. (2002), „„Rethinking IT governance in the eWorld‟‟, paper presented at the 6th Pacific Asia Conference, Tokyo.



Ko, D. en Fink, D (2010), information technology governance: an evaluation of the theorypractice gap Source: Corporate Governance Volume: 10 Issue: 5 2010.

52




Koedijk, M.J.A., Business Process Analysis, Compact KPMG, 2002.



Lof, K.M. (2005). De implementatie van een Internal Control Framework. Een spannendeaangelegenheid. Compact 2005, nr.4., pp. 35 – 43.



NMa, (2005), Onderzoek en advies administratieve processen, Den Haag



Beantwoording veelgestelde vragen, beantwoord door de NMA omtrent de energie markt http://www.NMa.nl/vraag_en_antwoord/energie/default.aspx



Uitleg omtrent facturatieproces tussen netwerken leveringsbedrijven http://www.NMa.nl/vraag_en_antwoord/energie/energierekening/default.aspx



Starreveld, R.W., et al. (2002). Bestuurlijke informatieverzorging. Deel 1: Algemene grondslagen. 5e druk. Groningen: Wolters-Noordhoff.



Starreveld, R.W., et al. (2008). Bestuurlijke informatieverzorging. Typologie van de bedrijfshuishoudingen 5e druk. Groningen: Wolters-Noordhoff.



Starreveld, R.W., et al. (2004). Bestuurlijke informatieverzorging. Bestuurlijke informatieverzorging, fasen van de waardekringloop 5e druk. Groningen: Wolters-Noordhoff.



Stuart, J. (2004). Galvanisatie van de elektriciteitssector: de borging van publieke belangen bijde liberalisering en privatisering van de elektriciteitssector in Nederland. Rotterdam: Erasmus Universiteit.



The Committee of Sponsoring Organizations of the Treadway Commission (1992), Internal Control – Integrated Framework. 1e druk. Jersey City: American Institute of Certified Public Accountants.



van Grembergen, W. (2002), „„Introduction to the Minitack IT governance and its mechanisms‟‟,Proceedings of the the 35th Hawaii International Conference on Systems Sciences, Big Island, HI, 7-10 January.



van Grembergen, W. and de Haes, S. (2005), „„Measuring and improving IT governance through the Balanced Scorecard‟‟, ISACA Journal, Vol. 2.



van Onna (2010), “De kleine Prince II”, Academic Service 2007.



Weill, P. and Ross, J. (2004a), IT Governance: How Top Performers Manage IT Decision Rights for Superior Results, Harvard Business Press, Boston, MA.



Yin, R. K. (1994). Case study research: design and methods. Sage Publications.

53


8.2 Opgestelde vragenlijst ten behoeve van het uitvoeren van interviews voor de case studies Hieronder is een overzicht van de vragen welke zijn gehanteerd bij het interviewen van medewerkers van leveringsbedrijf en het netwerkbedrijf. 1. Welke beheersmaatregelen dienen te worden ingericht bij splitsing van facturatiesysteem in situatie van splitsing van netwerken leveringsbedrijven en hoe worden deze beheersmaatregelen gemonitord 2. Welke risicogebieden dienen te worden geïdentificeerd in het kader van splitsing van het facturatiesysteem van netwerken leveringsbedrijf? 3. Welke methodes en/of frameworks worden er gebruikt bij het analyseren en evalueren van risico’s op het facturingsproces t.g.v. splitsing van netwerken leveringsbedrijf? 4. Welke functionele en applicatie controls dienen te worden ingericht bij het ontvlechten van facturatiesysteem in de situatie van splitsing van netwerken leveringsbedrijf? a. Hoe is vastgesteld dat bestaande controls dienen te worden gewijzigd? b. Hoe is vastgesteld welke functionele en applicatie controls dienen te worden ingericht in het nieuwe facturatiesysteem? c. Hoe zijn deze controles gevalideerd? d. Zijn er afspraken vastgesteld tussen het leveringsbedrijf en het netwerkbedrijf omtrent het facturatieproces (van specifiek belang bij het leveranciersmodel)? e. Zijn er afspraken vastgesteld om de controles op GTIC-niveau en SLA-niveau te waarborgen? 5. Hoe worden risico’s welke samenhangen met het facturingsproces in het kader van splitsing van netwerken leveringsbedrijf gemonitord gedurende het splitsingstraject?

54

IT auditing bij splitsing in de energiesector

Recommend Documents