Wanneer je ERP verandert, moeten je controles volgen

Integreer controles van bij de start voor vlottere implementatiedoelstellingen en een sterkere compliance positie

Neem contact op met onze expert
Mensen die naar schermen kijken
Elke ERP-transformatie brengt een fundamentele spanning met zich mee. Het projectteam focust zich op het opleveren van nieuwe functionaliteiten, het migreren van data en het halen van go-live deadlines. Tegelijk moeten de controles ter bescherming van de financiële rapportage, functiescheiding en audit trails worden ontworpen, getest en gedocumenteerd – vaak door mensen die geen deel uitmaken van het kernprojectteam. 

Dat spanningsveld verklaart waarom zoveel organisaties pas na de go-live compliance hiaten ontdekken. Op dat moment zijn de herstelkosten het hoogst en kijken toezichthouders meteen scherp mee. 

Het goede nieuws is dat bovenstaand scenario perfect te vermijden is. 

Wat afwachten je organisatie écht kost

ERP-systemen zijn in wezen controle-omgevingen. De manier waarop transacties behandeld worden, wie wat mag goedkeuren, hoe uitzonderingen worden gedocumenteerd en welke gegevensvelden verplicht zijn: al deze configuraties bepalen of je controles effectief functioneren zoals bedoeld. 

Wanneer controlevereisten pas laat in het project aan bod komen, worden projectteams geconfronteerd met moeilijke keuzes. Toegangsbeperkingen achteraf inbouwen in een systeem dat al volgens andere uitgangspunten is opgezet, zorgt voor complicaties. Auditlogging toevoegen nadat de datastructuren zijn vastgelegd, leidt vaak tot onvolledige dekking. En compenserende controles (manuele workarounds om hiaten op te vangen) blijven doorgaans veel langer bestaan dan oorspronkelijk gepland. 

De economische realiteit is duidelijk. Een controlehiaat aanpakken tijdens de fase van vereisten en het ontwerp vraagt vooral documentatie- en configuratiebeslissingen. Datzelfde probleem oplossen na de go-live kost veel meer moeite: wijzigingsverzoeken, regressietests en extra training. Ook komt er vaak een periode met een verhoogd auditrisico bij kijken terwijl oplossingen worden geïmplementeerd. 

Een 7-fasenaanpak voor het opbouwen van controles

Controles moeten doorheen elke fase worden verweven. Het verzekeren dat compliance aspecten worden behandeld op het moment waarop ze het eenvoudigst (en minst kostelijk) zijn, staat centraal in de 7-fasenaanpak van BDO.

1
Initiatie en planning van het project

Een doeltreffende integratie van controles start met duidelijk ownership vast te stellen. Een afzonderlijke controlestroom, die rapporteert aan zowel de projectgovernance als audit, creëert de nodige verantwoordelijkheden die anders tussen teams dreigen te verdwijnen. Deze stroom omvat doorgaans interne audit, SOX-verantwoordelijken, compliance specialisten, IT-security en business process owners die begrijpen hoe controles in de praktijk functioneren. 

Het eerste inhoudelijke resultaat is een impactanalyse van de controles: bestaande controles in kaart brengen ten opzichte van de beoogde ERP-processen en bepalen van wat rechtstreeks kan worden overgenomen, wat opnieuw moet worden ontworpen en wat volledig nieuw is. 

2
Vereisten en ontwerp

In deze fase worden controlevereisten vertaald naar functionele specificaties. Abstracte vereisten zoals adequate functiescheiding worden omgezet in concreet systeemgedrag: specifieke drempels voor goedkeuringen, duidelijk gedefinieerde rolcombinaties die conflicten veroorzaken, en verplichte velden die ervoor zorgen dat audit trails de vereiste informatie vastleggen. 

Functiescheiding verdient hier bijzondere aandacht. Rolontwerp in moderne ERP-systemen is complex, en conflicten die tijdens het ontwerp nog theoretisch lijken, worden in productie reële risico’s. Het vooraf definiëren van een functiescheiding-matrix voorkomt het pijnlijke proces van het terugdraaien van toegangen nadat gebruikers al actief zijn in het systeem. 

3
Configuratie en ontwikkeling

Deze fase vereist een gedisciplineerde wijzigingscontrole voor alles wat controles beïnvloedt. Versiebeheer, degelijke basisdocumentatie en een duidelijke koppeling tussen wijzigingstickets en controlevereisten dragen stuk voor stuk bij aan de audit trail die auditors uiteindelijk zullen beoordelen. 

4
Datamigratie 

Datamigratie brengt specifieke controlerisico’s met zich mee die vaak worden onderschat. Masterdata (zoals goedkeuringshiërarchieën, rekeningschema-koppelingen en historische auditvelden) hebben belangrijke controle-implicaties. Reconciliatieprocedures die bevestigen dat controle-relevante data correct werden gemigreerd (end-to-end getest van bron via staging naar doelsysteem) bieden vertrouwen dat het nieuwe systeem met een schone lei van start gaat. 

5
Testing 

Testfasen moeten naast functionele en integratietests ook expliciete controlevalidatie bevatten. Dit zijn testscripts die bevestigen dat controles werken zoals vooraf werd bepaald, inclusief negatieve testen ter verificatie dat het systeem correct verhindert wat niet is toegestaan. Testbewijsmateriaal moet duidelijk gestructureerd zijn: gekoppeld aan controle-identificaties, met metadata die laten zien wie de tests heeft uitgevoerd, wanneer en in welke omgeving. 

6
Overgang en go-live

Een overgangsplan focust vaak op dataconversie en systeembeschikbaarheid, maar de activatie van controles verdient evenveel aandacht. In het overgangsdraaiboek leg je vast wanneer elke controle actief wordt, wie verantwoordelijk is voor de verificatie, wat een rollback-trigger vormt en welke controles onmiddellijk na de go-live worden uitgevoerd. 

7
Stabilisatie na de go-live

De eerste negentig dagen vormen een periode met verhoogd controlerisico. De transactievolumes zijn reëel, de gebruikers moeten het systeem nog in de vingers krijgen en er duiken uitzonderingen op die bij het testen niet voorzien waren. Een gestructureerd verificatieplan, gericht op transacties met een hoog risico en kernreconsiliaties, helpt om problemen in een vroeg stadium op te sporen. Continue monitoring zorgt voor blijvende zekerheid en voedt het remediatieproces. 

Patronen die wijzen op een verhoogd risico 

Bepaalde projectkenmerken correleren vaak met compliance problemen na de go-live. 

Late betrokkenheid van controlespecialisten. 
Wanneer controle-experts pas tijdens user acceptance testing worden ingezet, liggen belangrijke ontwerpkeuzes al vast. Hun meerwaarde is het grootst tijdens de ontwerpfase, wanneer hun input het resultaat nog kan sturen in plaats van louter te documenteren. 

Sterke afhankelijkheid van manuele compenserende controles. 
Hoewel compenserende controles hun nut hebben, wijst een omgeving met veel manuele procedures erop dat het ERP-systeem niet de beoogde controle-automatisering levert die de investering moesten rechtvaardigen. 

Ongeorganiseerd beheer van bewijsmateriaal. 
Testdocumentatie verspreid over e-mailconversaties en persoonlijke opslaglocaties, onduidelijk versiebeheer en hiaten in de audit trail creëren risico’s, zelfs wanneer de controles op zich correct functioneren. 

Gebrek aan traceerbaarheid. 
Bij projecten zonder duidelijk verband tussen de controlevereisten en de implementatiebeslissingen is het lastig om aan te tonen dat de controles bewust en doordacht zijn ontworpen, wat leidt tot lacunes in zekerheid. 

De kansen die een transformatie biedt

Een ERP-transformatie biedt een echte kans om je controles te versterken, op voorwaarde dat die versterking gebaseerd is op een planning, niet op goed geluk. Legacy-systemen slepen vaak jaren aan workarounds en controles mee die ooit logisch waren, maar niet langer aansluiten bij de huidige realiteit. Een nieuwe implementatie maakt het mogelijk om controles te ontwerpen die zijn afgestemd op de actuele risico’s, regelgeving en operationele noden. 

De discipline die nodig is om controles te documenteren, te testen en onderbouwen tijdens de implementatie, creëert een fundament voor duurzame compliance. Dit vraagt om een investering: toegewijde mensen, expliciete governance en de bereidheid om controlevereisten even serieus te nemen als functionele vereisten. Het rendement? Vlottere audits, lagere herstelkosten en het vertrouwen dat het nieuwe systeem daadwerkelijk levert wat in de business case werd beloofd.

Controle-expertise voor je ERP-transformatie

Ons Risk Advisory team begeleidt en ondersteunt organisaties tijdens de hele ERP-levenscyclus, van de eerste impactanalyse van controles tot de verificatie na de go-live. We bieden praktische ervaring op het vlak van applicatiebeveiliging, controle-integratie en auditgereedheid voor de belangrijkste ERP-platforms. 

Plan je een transformatie, of zit je er al middenin? Overleg zeker met onze expert over hoe controles een structurele plaats krijgen in je aanpak.