Auto provisioning eisen aan een HRM systeem

Auto provisioning eisen aan een HRM systeem

Door: Tjeerd Seinen

Afgelopen 26 mei heb ik een workshop gegeven op het Identity & Access Management congres van Heliview. De workshop bestond uit een casestudy van de implementatie van UMRA bij Stichting Talant. De casestudy werd kundig gepresenteerd door Geert Huiting.

Het tweede deel van de workshop bestond uit een interactieve sessie waarbij ikzelf verder in ben gegaan op verschillende aandachtsgebieden op het gebied van Identity Management. In deze blog wil ik graag 1 van de onderwerpen graag beschrijven omdat mede hiervoor veel aandacht bestond bij de deelnemers van de workshop.

Interessant aandachtsgebied was “Welke eisen gelden aan een HRM systeem voor succesvolle implementatie van een auto provisioning koppeling.” Voorbeelden van Nederlandse HRM systemen zijn: Beaufort (RAET), PIMS (Centric), AFAS Profit (AFAS), Perman (ADP), PMS (LogicaCMG), Exact, etc. maar ook internationale systemen: SAP HR, PeopleSoft, etc.

Wat is een auto provisioning koppeling met een HRM systeem?
Deze koppeling zorgt ervoor dat iedere wijziging in het HRM systeem gedetecteerd wordt, en vervolgens wordt doorgevoerd in het netwerk. Bijvoorbeeld: een medewerker komt nieuw indienst van een organisatie en wordt door de afdeling PZ in het HRM systeem (bijv. Beaufort) ingevoerd. Het HRM systeem bevat NAW-gegevens van de medewerker maar ook indienstdatum, contracttype, salaris, etc. Bij de detectie door de koppeling wordt een user account aangemaakt in het netwerk zodat de nieuwe medewerker op de eerste werkdag kan inloggen, emailen, en toegang heeft tot afdelingsmappen en applicaties. Zelfde type mutaties kunnen doorgevoerd worden bij functie-, afdeling- en locatiewijzigingen. Uiteindelijk kan een account ook “ontmanteld” worden, dit heet zogenaamd: “de-provisioning”.

Eisen aan een HRM systeem
Wat zijn nu de eisen aan een HRM system om auto provisioning goed te laten functioneren? Het is duidelijk dat het opzetten van auto provisioning veel voordelen biedt voor de afdeling ICT: het gehele user account beheer proces wordt nagenoeg automatisch uitgevoerd op basis van een uitermate correcte bron. De bron bevat tenslotte salarisgegevens en wordt onderhouden door de PZ afdeling die administratief goed georganiseerd zijn.

Door deze voordelen worden vaak de volgende eisen door de afdeling ICT over het hoofd gezien:

Tijdigheid
Een user account moet op de eerste werkdag van een medewerker aangemaakt en beschikbaar zijn. Dit is vaak de eerste dag van de maand. Voor een HRM systeem geldt vaak dat een medewerker “pas” wordt opgevoerd op de 15de van de maand, vlak voor de salarisrun. Indien het laatste het geval is, is het van belang dat de procedures/werkwijze op de afdeling PZ worden aangepast voordat een koppeling geïmplementeerd wordt. Wellicht ten overvloede: het aanpassen van een werkwijze op de afdeling PZ ten behoeve van een efficiëntieverbetering op de afdeling ICT leidt zeer waarschijnlijk tot weerstand op de afdeling PZ.

Volledigheid
Voor alle user accounts in het netwerk dient een contract aanwezig te zijn in het HRM systeem. Dit is heel vaak niet het geval voor uitzendkrachten en freelancers. Dit type medewerker wordt doorgaans niet in het HRM systeem opgeslagen omdat hiervoor geen wettelijke verplichting is en ook geen salarisbetaling voor gedaan hoeft te worden. Interessant detail is overigens dat deze groep van medewerkers vaak voor de meeste mutaties zorgen in het netwerk. Het komt zelden voor dat uitzendkrachten en freelancers t.b.v. de koppeling alsnog opgenomen worden in het HRM systeem. Directe noodzaak ontbreekt en doorlooptijd om een tijdelijke medewerker geregistreerd te krijgen in het HRM systeem is doorgaans veel te lang.

Ten aanzien van tijdelijke krachten moet dus een alternatief geïmplementeerd worden. Wij adviseren vaak om een elektronisch (web portaal) formulier aan te bieden aan de (assistent)managers zodat de afdelingen zelf een user account van een tijdelijke medewerker kunnen beheren.

Naast het probleem rondom de tijdelijke medewerkers speelt volledigheid van informatie in het PZ-systeem ook op het gebied van: 1) vulling BSN nummer (voorheen SOFI nummer). Het BSN nummer is noodzakelijk om een unieke identificatie te maken tussen de medewerker in het PZ-systeem en het user account in het netwerk. Het komt voor dat het BSN niet 100% aanwezig is voor alle medewerkers in het PZ-systeem. Soms is het nummer 12 ingevuld om de 11-proef te omzeilen. 2) het bijhouden van de relatie tussen medewerker :: afdeling :: manager. De relatie tussen medewerker en afdeling is vaak wel aanwezig maar de releatie tussen afdeling en manager ontbreekt nog wel eens. Met de volledig relatie medewerker :: afdeling :: manager is het mogelijk om allerlei handelingen met user accounts volledig naar de manager te automatiseren, bijvoorbeeld: melding nieuwe medewerker in dienst naar de manager, melding en afhandelen medewerker uitdienst (ontmantelen user account), informeren manager of user accounts en rechten/applicaties voor de medewerkers die op de afdeling werkzaam zijn, etc.

Correctheid
Medewerkers maken zich doorgaans minder druk om een incorrecte naamgeving op de salarisstrook dan een incorrecte naamgeving in de displaynaam van de emaillijst. Een incorrecte opgave (bijvoorbeeld meisjesnaam i.p.v. partnernaam) in de emaillijst leidt direct tot verzoek tot wijziging door de medewerker. Dit betekent dat correcte vastlegging meer van belang wordt dan strikt noodzakelijk is voor de standaard registratie in het HRM systeem. Denk hierbij aan: functienaam, afdeling, voorkeursnaamgeving, spelling van de naam., etc.

Bereidwilligheid
Door het plaatsen van een koppeling worden de eisen hoger (zie punten hierboven) aan de registratie van een medewerker in het HRM systeem. Meestal beseft de PZ afdeling dit niet direct maar een (klein) deel van de meldingen van de ICT helpdesk verplaatsen zich van de helpdesk naar de afdeling PZ. De reden van een foutief gespeld emailadres van een medewerker is niet het gevolg van een foutieve invoer door de afdeling ICT maar een foutieve invoer in het HRM systeem. Door de automatische koppeling moet de correctie doorgevoerd worden in het HRM systeem en moet de medewerker dus contact opnemen met de afdeling PZ i.p.v. de helpdesk.

Wellicht zijn deze punten stof tot overweging in het proces om een koppeling aan te brengen. Let op dat dit een algemene opsomming is en dat er veel specifieke situaties per organisatie kunnen zijn die weer anders opgelost kunnen worden.

Laat me weten als je meer wilt weten over dit onderwerp. Je kan me bereiken bij Tools4ever per telefoon 035 – 543 27 35 of per email [email protected].

Koppelingen van Tools4ever
Om een implementatie snel en kostenefficiënt te realiseren is het van belang dat de leverancier van de identity management oplossing een groot aantal out-of-the-box koppelingen beschikbaar heeft. Tools4ever is een van oorsprong Nederlands softwarebedrijf en heeft een groot aan koppelingen direct beschikbaar voor de Nederlandse markt. Zie Koppelingen Beaufort, AFAS, SAP HCM, Active Directory, Exchange, TopDESK, PlanON, Ultimo voor een overzicht van de koppelingen.

Tjeerd Seinen

Geschreven door:
Tjeerd Seinen

Tjeerd Seinen is Identity Management Expert & co-founder van Tools4ever. Hij beschikt over zowel een technische als commerciële achtergrond en is daardoor in staat om kansen in de markt om te zetten in functionaliteiten voor producten en consultancy diensten.

Anderen bekeken ook

De vooroordelen van Single Sign On

De vooroordelen van Single Sign On

29 november 2011

RBAC: sleutelrol, beheer en evolutie

RBAC: sleutelrol, beheer en evolutie

15 maart 2011

SAP koppeling met Active Directory

SAP koppeling met Active Directory

06 september 2012

Single Sign On met terminal emulatie (VAX64, AS/400, Linux, SSH)

Single Sign On met terminal emulatie (VAX64, AS/400, Linux, SSH)

14 oktober 2010

User- en toegangsbeheer in cloud applicaties: een uitdaging

User- en toegangsbeheer in cloud applicaties: een uitdaging

04 september 2012