Project Auditing. Handvatten voor de internal auditor. Instituut van Internal Auditors Nederland

Project Auditing Handvatten voor de internal auditor

Instituut van Internal Auditors Nederland

Voorwoord In de wandelgangen spreekt men weleens over de resultaten van (IT-)projecten: twee keer duurder dan budget, twee keer langer dan gepland, 50% van de verwachte functionaliteit. Ieder jaar weer moeten ondernemingen en de overheid melden, dat vele miljoenen zijn besteed aan projecten, die niets opleveren. Uitgaande van deze ervaringen valt voor het management veel te verdienen met het tijdig ingrijpen en bijsturen van projecten en programma’s. Daarom is IIA Nederland blij met de handvatten die de CPP-werkgroep ‘Auditen van Projecten’ heeft verzameld.

Werkgroepleden Drs. L.S.W. Boogers RA CIA (Heineken) Drs. P.A. Hartog CIA (ACS) Drs. S.C.J. Huibers EMIA RO (Heineken) Drs. P.B.N. Michel RE (De Goudse Verzekeringen) Drs. ing. A.A.H.M. van der Nat MIM RC (Rabobank) Drs. N.F. Verburg-Siebrasse EMIA RO (VvAA) D.D.J. Webbers EMIA RO (Friesland Bank)

Een Internal Audit Afdeling heeft vaak meerdere rollen. Naast de assurancerol wordt ook de adviesrol algemeen erkend als een noodzakelijke taak. Juist bij projecten en programma’s heeft het management behoefte aan een diagnose van de startende en lopende projecten: bestaat er redelijke zekerheid dat het beoogde resultaat wordt bereikt of loop ik (te) grote risico’s? Vanuit het vaktechnisch perspectief is van belang welke rollen een Internal Audit Afdeling wel en niet kan vervullen. Ook de omgevingsfactoren zijn van belang bij het bepalen van de positie en toegevoegde waarde van een audit of advies. Van meer praktische aard is het overzicht van de verschillende instrumenten die op de markt zijn. Op een gestandaardiseerde wijze worden de karakteristieken weergegeven. Uitermate handig als oriëntatie bij de keuze, welk instrument in een specifieke situatie het meest passend is. Een combinatie van theoretische onderbouwing met praktische aanwijzingen levert de leden van IIA een toegevoegde waarde op tot het uitoefenen van het Internal Audit vak op een voor het management aansprekende wijze. Het bestuur ondersteunt ten volle dat hiermee een aanzet is gegeven, maar dat het aan de beroepsgroep is om tot een verdere verdieping te komen en nodigt leden hiertoe gaarne uit.

Drs. S.J.J. Weisz RO CIA CCSA, voorzitter IIA Nederland 2

3

Inhoudsopgave Voorwoord................................................................................................................................. 3 Inhoudsopgave........................................................................................................................... 5 1 Inleiding ................................................................................................................................. 6 1.1 Aanleiding en doel............................................................................................................... 6 1.2 Onderzoeksvragen............................................................................................................... 6 1.3 Samenvatting resultaten....................................................................................................... 7 2 Rol van de auditor................................................................................................................. 10 3 Context ............................................................................................................................... 14 3.1 Het belang van de context................................................................................................. 14 3.2 Context factoren................................................................................................................ 14 4 De instrumenten, een overzicht............................................................................................. 18 4.1 Tools voor bepaling soort project-audit – Praktijkvoorbeeld................................................ 18 4.2 Tools voor beoordeling governance projecten..................................................................... 18 4.2.1 Reguliere Control-modellen............................................................................................. 18 4.2.2 Projectmanagementmethoden........................................................................................ 18 4.2.3 Management van de verandering, zachte aspecten......................................................... 18 4.3 Tools voor beoordeling managementproducten................................................................. 19 4.4 De instrumenten vergeleken............................................................................................... 19 5 Handreikingen voor verdere studie........................................................................................ 22 5.1 Literatuur over de rol van de auditor.................................................................................. 22 5.2 Literatuur over context van project audits........................................................................... 22 5.3 Literatuur over modellen.................................................................................................... 22 Bijlage 1 Insteekkaarten............................................................................................................ 24 Bijlage 2 Overzicht methoden – producten............................................................................... 46

4

5

1

Inleiding

1.1 Aanleiding en doel Zoals ook genoemd in de Position Paper Update 20081 van het Instituut van Internal Auditors (IIA), besteden internal audit functies (IAF) meer en meer aandacht aan de beheersing van projecten en programma’s. Juist daar liggen immers vaak ook grote risico’s voor de organisatie. Met het beoordelen daarvan vergroot de IAF haar toegevoegde waarde. De rol van de internal auditor wordt echter niet verder uitgewerkt. Dit was voor de Commissie Professional Practices (PPC) aanleiding om een werkgroep te starten op dit onderwerp. Doel van de werkgroep was het geven van handvatten aan internal auditors voor het auditen van projecten. Het ging daarbij niet zozeer om de ontwikkeling van nieuwe theorieën of modellen, maar om het beschikbaar stellen van direct bruikbare handvatten. De werkgroep heeft zich zodoende vooral gericht op het verzamelen van ‘Good practices’, modellen waarmee in de praktijk al enige (goede) ervaring is opgedaan of waar in de literatuur vaak naar wordt verwezen. Wij merken op dat we niet hebben getracht volledig te zijn, maar om een gevulde toolkit te creëren die auditors op weg kan helpen. In de notitie zijn zogenaamde insteekkaarten van diverse modellen en instrumenten opgenomen. Naar de instrumenten zelf wordt via links op internet verwezen. Zo vindt u altijd de laatste versie van dit instrument. Instrumenten die niet openbaar zijn,

maar wel beschikbaar zijn gesteld door de betreffende organisaties, kunnen worden gedownload via de website van IIA. Voor u ligt het resultaat van de werkgroep. Dit resultaat wordt op twee manieren beschikbaar gesteld, enerzijds in de vorm van een brochure, anderzijds als download via de website van het IIA.

Auditen van projecten Tools

Rol IAF

Tevens is binnen de LinkedIn-groep van het IIA een nieuwe subgroep IIA Project Auditing gecreëerd. Wij willen daarmee een forum bieden voor vragen en discussies over het auditen van projecten. Daarbij hopen we dat de leden eigen ervaringen en ‘Good practices’ willen delen. Mogelijkerwijs dat dan na verloop van tijd een bijgewerkte versie van dit boekje kan worden uitgebracht.

1.2 Onderzoeksvragen De centrale vraagstelling voor de werkgroep was: Op welke wijze kan de IAF invulling geven aan het auditen van projecten en programma’s? Dit is uitgewerkt in de volgende deelvragen: 1.Wat is de mogelijke rol van de IAF in projecten? 2. Wat zijn de factoren (de context) die bepalend zijn voor de invulling van project auditing? 3. Wat zijn praktische instrumenten en werkwijzen die worden gehanteerd?

1 - Het Instituut van Internal Auditors Nederland, De Internal Auditor in Nederland, Position Paper Update 2008, Naarden, 2008.

6

Context

Figuur 1. Scope van het onderzoek

De onderzoeksvragen zijn beantwoord op basis van literatuuronderzoek en een inventarisatie van toepassingen in de praktijk.

1.3 Samenvatting resultaten In de volgende hoofdstukken worden de antwoorden op de drie deelvragen beschreven: • Hoofdstuk 2: De rol van de auditor • Hoofdstuk 3: De context van de project audits • Hoofdstuk 4: Overzicht van de instrumenten • Hoofdstuk 5: Handreikingen voor verdere studie • Bijlage 1: Insteekkaarten van de instrumenten • Bijlage 2: Overzicht methoden en producten

De antwoorden op de drie deelvragen worden hieronder kort toegelicht. Tevens is aangegeven voor welke afbakening is gekozen omdat de beheersing van projecten en het auditen ervan een breed terrein bestrijkt.

Deelvraag 1: Rol van de auditor In dit hoofdstuk worden mogelijke rollen beschreven en verdeeld in drie soorten: 1) De natuurlijke rollen van de auditor, die betrekking hebben op de assurance rol 2) Gelegitimeerde rollen met randvoorwaarden, die betrekking hebben op de advies- of participerende rol 3) Rollen die niet passen bij de IAF. In dit onderzoek wordt de aandacht vooral gericht op de assurance rol. De wijze waarop de consulting rol wordt ingevuld blijft buiten beschouwing. Enige in dit rapport beschreven modellen zijn te gebruiken als hulpmiddel om te adviseren betreffende een effectieve opzet van kwaliteit- en risicobeheersing. De assurance rol kan uitgevoerd worden vanuit twee verschillende opdrachtgevers: • Als QA2 (onder de stuurgroep), met de stuurgroep als de opdrachtgever van de audits • Als een van het project geheel onafhankelijke audit, in opdracht van de directie of raad van bestuur. De instrumenten die in deze notitie worden beschreven, zijn in beide situaties bruikbaar. De assurance rol wordt als volgt nader afgebakend: • Beheersbaarheid: er wordt vooral gekeken naar projecten en niet naar het auditen van programma’s3 • Projectresultaten: er wordt alleen ingegaan op de ‘managementproducten.’ • Deliverables: Deze zijn algemeen van aard

2 - Onder QA (Quality Assurance of Project assurance in Prince2-terminologie) wordt in dit onderzoek verstaan de rol die, namens en ten behoeve van de Stuurgroep, verzekert dat het project op een correcte manier wordt uitgevoerd. Dit wordt onderscheiden van de Quality Control (QC) rol die de projectleider ondersteunt in de dagelijkse beheersing van het project. 3 - Projecten en programma’s zijn beide tijdelijke samenwerkingsverbanden, waarbij een project verantwoordelijk is voor het realiseren van een duidelijk, vooraf gedefinieerd product of resultaat, terwijl een programma verantwoordelijk is voor de realisatie van een deel van de strategische doelen van de organisatie.

7

1 en komen in alle projecten voor. Dit in tegenstelling tot de projectspecifieke ‘specialistische’ producten die we niet als zodanig behandelen). Deelvraag 2: Context van de audits Er zijn vele soorten project audits te onderscheiden. De gewenste invulling van een project audit (qua onderzoeksvraag, afbakening, te hanteren normenkader en wijze van onderzoek) is afhankelijk van diverse factoren. Wij hebben dit de context genoemd. Factoren die in dit kader worden beschreven, zijn: • Wie is de opdrachtgever? Projectleider, stuurgroep, directie/raad van bestuur • Wat is het moment van de audit? Voor start, tijdens uitvoering, na afloop • Wat is de soort audit vraag? Preventief of curatief (al problemen geconstateerd) • Wat is de zwaarte van het project? Omvang, reikwijdte en risico’s van het project • Wat is de impact van project? Organisatie, systemen, processen, mensen • Wat is de impact van de verandering (vanuit oogpunt van de medewerkers)? Alleen wijziging bediening systeem respectievelijk wijziging van taken, vaardigheden en houding In de beschrijving van de diverse instrumenten wordt steeds aangegeven in welke context

8

deze instrumenten meer of minder goed bruikbaar zijn. Deelvraag 3: Instrumenten In dit hoofdstuk worden diverse praktische instrumenten en modellen beschreven. De modellen hebben zoals aangegeven vooral betrekking op het auditen van projecten. Ze zijn onafhankelijk van de aard van het project, dus op alle soorten projecten toe te passen. De modellen zijn als volgt ingedeeld: 1. Model ten behoeve van de bepaling van de inhoud en zwaarte van de project audit; 2. Model voor het beoordelen van de governance of beheersing van projecten. Bij deze modellen wordt tevens aangegeven in welke mate aandacht wordt besteed aan de ‘zachte’ aspecten van beheersing, zoals het verandermanagement, de samenwerking binnen het projectteam en de stijl van de verandermanager. 3. Model voor het beoordelen van producten; Hierbij wordt vooral ingegaan op de (in Prince2-terminologie) zgn. ‘management - producten’, zoals het projectplan en voortgangsrapportages, die in elk project voorkomen. Specialistische ofwel inhoudelijke producten zijn specifiek per project en blijven hier zodoende buiten beschouwing. Buiten beschouwing blijven verder modellen met betrekking tot: • De wijze van selectie van de te auditen projecten. Het startpunt in dit onderzoek is de

ontvangen opdracht (of verzoek) voor een project audit; • De wijze van rapportage.

Per instrument is een korte ‘Insteekkaart’ opgenomen. De details per insteekkaart zijn opgenomen in bijlage 1.

Naam instrument/model Auteur(s), jaartal

De oorspronkelijke auteur(s) en publicatie

Doel instrument/model

Wat kun je er mee? Met welk doel is het model door de auteurs ontwikkeld? De modellen zijn als volgt ingedeeld: • t.b.v. bepaling inhoud project audit • t.b.v. beoordeling projectmanagement • t.b.v. beoordeling van de deliverable

Object van onderzoek

Wat wordt onderzocht?

Korte omschrijving instrument/model

Een korte beschrijving van de opzet en uitgangspunten van het model

Normatief of beschrijvend model

Model heeft wel/geen norm in zich voor wat adequaat is (en wat de auditor dus als norm zou kunnen gebruiken)

Toepassingsmogelijkheid Gebruik in praktijk

Toelichting voor het gebruik van het model door de auditor, zoals: • Wat kan de auditor er mee in de praktijk; wat kan er (wel en niet) mee worden onderzocht? • In welke situaties is het bruikbaar?

Context: toepassing passend bij …

De omstandigheden waarbij het model goed toepasbaar is. De volgende contextfactoren zijn onderscheiden: • De rol van de opdrachtgever • Het moment van uitvoeren (fase project) • De soort audit vraag • De zwaarte: omvang, reikwijdte en risico’s van project • De impact van de verandering

Beschikbaarheid van nadere informatie

Welke bronnen zijn er om nadere informatie krijgen? Bijvoorbeeld op websites, in literatuur in termen van toelichtingen, instrumenten en opleidingen.

9

2 Rol van de auditor part

naar analogie van de basisrollen in een ‘Position Statement’ van het Institute of Internal Auditors over risicomanagement5. Op basis daarvan zijn de rollen van de internal auditor in projecten ingedeeld naar vier categorieën (tabel 1&2 en figuur 1):

ols

en

t

sie

pa rtn er

er av ico ris

n

le

pa

Pr

oa cti ev eQ

A-

o n tr ie c

Project coördin atie

ume ntat

Doc

Be

nce

O

g

na

Ma

m

Imple

t-review

ltaten

ording resu

Verantwo

QA-programma-review

n

inge

loss

n op

re ente

’s

ico

ris

l

em

an

v en

n ro

ag

oj

pr

es

oc

pr

t ec

Gee

ura

er en train

an

en

g eg

pl

t

Ass

Coach

am

en

4 - Referaat Amsterdam Business School, Universiteit van Amsterdam, Executive Master of Internal Auditing, juli 2008. De volledige originele Engelstalige versie is opgenomen door Kluwer in haar online toegankelijke database, http://financebase. kluwerfinancieelmanagement.nl. Een artikel is gepubliceerd in ‘Finance en Control’, versie 5, oktober 2009, Kluwer 2009 en Audit Magazine nummer 1, maart 2010. 5 - ‘The role of internal audit in enterprise-wide risk management, IIA UK/Ireland, 2004

m

em

Rollen die de internal auditor niet zou mogen vervullen

m

rend

ag

ten

rol

e

ra

an

-liv

sulta

QA-projec

jk)

og

b o rd

pr

tm

Gelegitimeerde rol van de Participerende rollen die even- internal auditor met randvoorwaarden eens onder voorbehoud (met randvoorwaarden) kunnen worden vervuld

ec

go

ct re

oj

na

s

AssurAnce

Tabel 1 Type rollen van de internal auditor in projecten (Huibers 2008/2010).

10

proje

vie

Natuurlijke rol van de internal auditor

Adviserende rollen zijn zogenaamde gelegitimeerde rollen die kunnen worden vervuld met randvoorwaarden

Rol die de auditor niet kan vervullen in projecten, maar is voorbehouden aan het management: bijvoorbeeld het bepalen van de risico-aversie (risk appetite) of het actief managen van deze projectrisico’s

QA-

ws

li de ou nh

4) Geen rol

vie

ad

pr

A-

s

3) Participerende rol

Natuurlijke rol van de internal auditor

vie

2) Adviserende rol

Bijvoorbeeld project reviews, milestone reviews en post golive reviews. Dit is de natuurlijke traditionele rol van de internal auditor

r (i eu vis Ad

Q

ad

A-

1) Assurance rol

Categorieën van rollen gebaseerd op IIA Postion Paper (IIA, 2004)

k Klan

v

Ad

Re

Type project rollen (Huibers, 2008/2009)

ies

Proactieve expertise rol

icipe

Q

Dit hoofdstuk is in belangrijke mate gebaseerd op het referaat ‘The role(s) of the Internal Auditor in Projects’ van Sam Huibers4. In zijn referaat over de rol van de internal auditor in projecten categoriseert hij de rollen van de internal auditor in projecten in vier soorten rollen. Dit

Verantwoording project

Gelegitimeerde rol van de internal auditor met randvoorwaarden

Geen rol voor internal auditor

Advies/ pArticiperend

Figuur 1 Rollen van de internal auditor in projecten (Huibers, 2008/2009/2010): de natuurlijke rol, de adviserende en participerende rollen die onder voorbehoud kunnen worden vervuld, en de rol die de internal auditor niet mag vervullen.

Deze rollen worden in figuur 1 en tabel 2 nader uitgewerkt. De meest belangrijke randvoorwaarde om de onafhankelijkheid van de internal auditor te waarborgen is dat hij geen managementverantwoordelijkheid neemt. Dit geldt voor alle onderdelen van het project: vanaf het moment van het initiëren van het project, het bepalen van de risico aversie van het project tot aan het implementeren van de resultaten in de bestaande organisatie6. Een belangrijk uitgangspunt is dat het management uiteindelijk primair verantwoordelijk is voor een project, in de hoedanigheid van projectsponsor, stuurgroep en/of proceseigenaar.

Taken kunnen worden gedelegeerd aan een projectmanager die binnen de overeengekomen doelstellingen en tijdslijnen, met de beschikbaar gestelde middelen (zoals budget en mankracht), verantwoording aflegt aan de opdrachtgever c.q. stuurgroep. In het zogenaamde Line of defense-model wordt de eerste lijn aangeduid als First line of defense. Het lijnmanagement en projectmanager zijn daarbij in de eerste plaats verantwoordelijk voor het treffen van adequate beheersmaatregelen, zoals het invullen van de Quality Assurance rol in de projectinrichting met de daarbij behorende processen.

6 - In het referaat van Huibers (2008/2009) is tevens een raamwerk opgenomen met uitgebreide richtlijnen en randvoorwaarden bij verschillende rollen en toelichting op de rollen die niet door de internal auditor uitgevoerd mogen worden.

11

2 Opgemerkt wordt dat de assurance rol vanuit verschillende opdrachtgevers kan worden ingevuld. Bijvoorbeeld: • Als quality assurance, onder de stuurgroep, waarbij de stuurgroep de opdrachtgever van

de audits is • Als een, geheel van het project onafhankelijke audit, in opdracht van de directie of raad van bestuur.

Type projectrollen

Voorbeelden van projectrollen

Omschrijving

Assurance rol

QA-programma/ projectreviews

Reviews in verschillende fases van het project o.a. • Initiele projectfase • Project mijlpalen • Moment voor go-live (business readiness-review) • Na go-live (post implementation-reviews)

QA-projectresultaten (deliverables)

Review op de kwaliteit en documentatie van de projectresultaten (deliverables)

Review na go-live

Oordeel over de effectiviteit van de integratie van de projectresultaten (bijvoorbeeld internal control design) in de organisatie.

Aviserende rol

Participerende rol

QA-adviseur voor Advies aan projectmanagement met betrekking tot programma- en pro- projectinrichting en risicomanagementmethodologie jectmanagement Advies (inhoudelijk)

Optreden als adviseur in een afgebakende rol door het beantwoorden van vragen en het aandragen van mogelijke alternatieven zonder directe betrokkenheid te hebben in de besluitvorming en/of realisatie

Klankbordrol

Het stellen van vragen ter reflectie

Coach/trainer

Het optreden in een coachende rol en faciliteren van trainingen met betrekking tot specifieke competentie gebieden van de auditor zoals risicomanagement.

Proactieve expertise rol

Beschikken over specifieke kennis bijvoorbeeld op het gebied van beheersingsmaatregelen en IT-beveiliging. Deze kennis actief inbrengen door alternatieve oplossingen aan te dragen en het formuleren van aanbevelingen.

Project/ procescoördinatie

Coördinatie van van projectmatige activiteiten

Documentatie van beheersmaatregelen

Ondersteunen van documentatie van beheersmaatregelen.

Proactieve QA-partnerrol

QA-partner die niet alleen helpt risico’s te identificeren, maar deze ook vertaalt in concrete businessissues met bijhorende aanbevelingen.

Tabel 2 De rollen van de internal auditor in projecten (Huibers 2008/2009) projecten (Huibers 2008/2009).

12

13

3

Context

3.1 Het belang van de context

3.2 Context factoren

Wanneer een auditor start met een project audit moet hij bepalen op welke wijze de audit wordt ingevuld. Op dat moment bepaalt de auditor in overleg met de opdrachtgever onder meer de onderzoeksvraag, de aandachtsgebieden, het te hanteren normenkader en de wijze waarop het onderzoek wordt uitgevoerd.

De opdrachtgever De opdrachtgever van een project audit is degene die de onderzoeksvraag stelt aan de auditor en heeft daarom grote invloed op de invulling van de project audit. De opdrachtgever bepaalt de precieze onderzoeksvragen en beslist formeel over de afbakening en het normenkader.

Er zijn verschillende soorten projecten en daarmee ook vele soorten project audits. Een project staat niet op zichzelf, maar speelt zich af binnen een bepaalde context. De toe te passen technieken en tools bij een project zijn afhankelijk van het project type en de omgeving7. Ook een project audit staat niet op zichzelf en kent een context die de invulling van de audit en de toe te passen technieken en tools bepaalt. Deze context wordt deels gevormd door de audit vraag en deels door het te beoordelen project. Dit hoofdstuk beschrijft de factoren, de context, die de invulling van een project audit kunnen beïnvloeden. Deze zijn: 1) De opdrachtgever 2) Het moment van audit 3) De soort audit vraag 4) De zwaarte van het project: omvang, reikwijdte en risico’s 5) De impact van de verandering.

In de praktijk zijn diverse opdrachtgevers te onderscheiden: • De stuurgroep: de audit wordt dan veelal binnen het kader van de quality assurance uitgevoerd • De directie of de raad van bestuur van de organisatie waar het project wordt uitgevoerd. In dat geval wordt de audit geheel onafhankelijk van het project uitgevoerd • De projectleider zelf: in dit geval is sprake van een audit op verzoek, waarbij opdrachtgever en auditee hetzelfde object zijn. Over het algemeen is de projectleider niet de opdrachtgever voor een project audit. Het kan echter incidenteel voorkomen dat een projectleider een verzoek indient voor een project audit, bijvoorbeeld op moment dat hij een lopend project overneemt. Het moment van audit Een project audit kan worden uitgevoerd op verschillende momenten in een project. Elke fase kent verschillende onderzoeksvragen en aandachtsgebieden.

Een project audit kan op de volgende momenten worden uitgevoerd: • Tijdens de voorbereidingsfase, maar voor de start van de feitelijke uitvoering Nadat het project is opgestart, waarbij de projectorganisatie is ingericht en een projectopdracht is geformuleerd, start een fase waarin de fundering voor het project wordt neergelegd (in Prince2 wordt deze fase omschreven als de initiatiefase). Deze fase start met de projectopdracht en eindigt met de vastlegging van het (globale) plan van aanpak: in Prince2 het Project Initation Document (PID) genoemd. Doordat deze audits plaatsvinden voorafgaande aan de feitelijke uitvoering van het project kan, indien nodig, in een vroegtijdig stadium worden bijgestuurd.

Mogelijke audits zijn bijvoorbeeld: - Toetsing van de kwaliteit van het projectmanagement, ofwel van de beheersing van het project. Dit is soortgelijk als in de vorige fase, maar nu kan ook de werking worden beoordeeld. Dit is vooral gericht op de waarborgen voor de oplevering van de projectresultaten binnen de gewenste tijd, kwaliteit en kosten - Beoordeling van de kwaliteit en onderlinge samenhang van de diverse projectmanagementproducten, zoals faseplannen, testplannen en implementatieplannen - Beoordeling van de kwaliteit van (de totstandkoming van) specialistische deliverables. Zoals aangegeven valt dat buiten het kader van deze werkgroep.

Mogelijke audits zijn bijvoorbeeld: - Toetsing van de gehele projectopzet ter waarborging dat het project adequaat zal verlopen. Hierbij wordt gekeken naar de kwaliteit van de business case, de opzet van de projectorganisatie en de beoogde werkwijze - Meer specifieke toetsen, bijvoorbeeld of de projectdoelstellingen in lijn zijn met de ondernemingsdoelstellingen of van de kwaliteit van de risicoanalyse.

• Bij de oplevering van het project Dit is het moment dat alle activiteiten uit de uitvoeringsfase zo goed als afgerond zijn. Er kan behoefte bestaan bij de opdrachtgever aan additionele zekerheid voordat de projectresultaten worden overgedragen aan de lijnorganisatie en het project zogenaamd live gaat. De auditor kan dan een audit uitvoeren om aanvullende zekerheid te geven of het project voldoende maatregelen heeft getroffen om de beoogde resultaten te realiseren conform de geformuleerde acceptatiecriteria (bijvoorbeeld overdracht aan de staande organisatie). Daarnaast kan ook worden vastgesteld of er geen onnodige en/of onverwachte risico’s worden gelopen bij het live gaan van het project.

• Tijdens de uitvoering van het project Uiteindelijk moet wat in de vorige fase bedacht is, ook gerealiseerd worden. Pas in deze fase worden producten (deliverables) daadwerkelijk gerealiseerd.

7 - Office of Government Commerce (2004) Managing Successful Projects with Prince2, p.8

14

15

3 • Na afronding van het project Het project eindigt op het moment dat de opdrachtgever het projectresultaat en het nazorgprogramma heeft geaccepteerd. Idealiter is een project vaak nog gedurende een beperkte tijd beschikbaar voor het oplossen van problemen en het ondersteunen van de beheerorganisatie. Mogelijke audits zijn bijvoorbeeld: - Beoordeling van de deliverables om vast te stellen of de projectorganisatie de afgesproken deliverables conform de eisen (acceptatiecriteria, functioneel ontwerp) heeft opgeleverd en er décharge kan worden verleend; - Beoordeling van het projectmanagement, om het project te evalueren. Hierbij kan gekeken worden welke beheersingsmaatregelen van het project wel en niet goed hebben gefunctioneerd. Ook kan bij een evaluatie die enige tijd na de Go-live datum van het project wordt uitgevoerd, worden vastgesteld of de projectdoelstellingen en de business case zijn behaald. Op basis hiervan kunnen aanbevelingen worden geformuleerd voor toekomstige projecten en wordt de ‘lerende organisatie’ gefaciliteerd. Daarbij wordt opgemerkt dat veel projectmanagementmethodieken een dergelijke evaluatie binnen hun standaarden kennen. Zodoende zou een dergelijke evaluatie ook door het project zelf al kunnen zijn uitgevoerd. Soort audit vraag Wij maken een onderscheid tussen preventieve en curatieve audits.

• Preventief Een audit om vooraf (preventief) vast te stellen of de organisatie onacceptabele risico’s loopt ten aanzien van de doorlooptijd, kwaliteit en budget van het project • Curatief Het auditverzoek wordt ingediend, omdat men het vermoeden heeft of zich al bewust is van een probleem ten aanzien van de beheersing of resultaten van het project (curatief). De opdrachtgever wil dan additionele zekerheid, of de vermoedens juist zijn of dat de ideeën over de oorza(a)k(en) juist zijn en/ of een voorgestelde oplossing inderdaad effectief is.8

omvang van het project en/of hoe meer (inherente) risico’s het project met zich meebrengt, hoe hoger de noodzaak wordt voor een uitgebreidere/meer omvangrijke project audit.

Elk type auditverzoek vraagt een andere onderzoeksvraag, aandachtsgebieden en wijze van uitvoering. Daarbij geldt dat preventieve onderzoeken, zeker als deze bij de start van het project al zijn gedefinieerd, over het algemeen minder bedreigend zijn voor de auditees.

Bij het bepalen van de risico’s van het project kan (niet limitatief) worden gedacht aan de volgende gebieden: - Reputatie; - Wet- en regelgeving - Beleid en aansturing - Bekendheid met de technologie/ methode - Infrastructuur - Impact op processen en continuering van operaties - Cultuurverandering binnen een organisatie.

Zwaarte: omvang, reikwijdte en risico’s De omvang, de reikwijdte en de risico’s van het project bepalen het belang van het project en, in het verlengde daarvan, het belang van een project audit. In beginsel dient de omvang en diepgang van de audit (ofwel de kosten) te zijn afgestemd op het belang van het project. Ter ondersteuning van de bepaling van de zwaarte van de audit kan een auditor gebruikmaken van een risicoanalyse van het project, die al dan niet al beschikbaar is. Hoe groter de

Bij het bepalen van de omvang en de reikwijdte van het project kan (niet limitatief) worden gedacht aan: - Investeringskosten - Aantal beoogde gebruikers - Aantal betrokken afdelingen en medewerkers bij het project - Aantal betrokken externen bij het project - Relatie tot strategische doelstellingen - Change management aspecten.

Daarnaast kunnen specifieke projectrisico’s het wenselijk maken om aan additionele aspecten aandacht te besteden. Hierbij kan bijvoorbeeld worden gedacht aan risico’s samenhangend met outsourcing (audit van de contractafspraken) of een project dat voornamelijk wordt bezet door externe medewerkers, zodat het risico

bestaat dat de organisatie essentiële projecten materiekennis verliest. Impact van de verandering Projecten zijn gericht op het bewerkstelligen van een verandering. Zo kan een verandering gericht zijn op de (inrichting van de) organisatie, processen of systemen. Uiteindelijk heeft elke verandering invloed op de mensen die de nieuwe organisatie moeten ‘effectueren’. De invloed van deze veranderingen beïnvloedt de mate waarin de medewerkers moeten mee veranderen. Afhankelijk van de impact van de verandering is het veranderingsmanagement (gericht op de acceptatie door de medewerkers en het managen van weerstand) en het auditen hiervan minder of meer belangrijk. Voor het bepalen van de impact van de verandering (vanuit het perspectief van de medewerker) kan de volgende indeling worden gehanteerd: • Alleen een wijziging van de ‘knoppen’ ofwel de bediening van een geautomatiseerd systeem • Een wijziging van functionaliteiten en/ of werkwijze die de medewerkers moeten uitvoeren • Een wijziging in de organisatie en taakverdeling waarvoor nieuwe vaardigheden moeten worden aangeleerd • Een verandering van de houding waarmee de medewerkers hun werk moeten uitvoeren.

8 - Designing an effective Operational audit, Otten, J., Hartog, P. en Babeliowsky, A.

16

17

4 De instrumenten, een overzicht Hieronder wordt een overzicht gegeven van de verzamelde instrumenten. Zoals in de inleiding is aangegeven is dit geen limitatief overzicht van te gebruiken instrumenten, maar biedt het de auditor een basis toolkit voor het uitvoeren van project audits. De beschrijvingen zelf, ofwel de insteekkaarten, zijn opgenomen in de bijlage. De instrumenten zijn als volgt ingedeeld: 1) Tools t.b.v. de bepaling van de inhoud en zwaarte van de project audit 2) Tools voor het beoordelen van de governance of beheersing van projecten 3) Tools voor het beoordelen van deliverables (managementproducten). Na de beschrijving van de modellen, is in paragraaf 4.4 een overzicht opgenomen waarin de instrumenten worden samengevat en globaal met elkaar worden vergeleken.

4.1 Tools voor bepaling soort project audit – Praktijkvoorbeeld De internal audit afdeling van Friesland Bank heeft een pragmatische tool in Excel ontwikkeld om te kunnen bepalen welke projecten uit de projectenportefeuille onderwerp van audit kunnen zijn bij een gegeven (uren)budget. Het instrument dient te worden aangepast naar de lokale situatie.

4.2 Tools voor beoordeling governance projecten Hierbij wordt een onderscheid gemaakt tussen:

18

1) ‘Reguliere’ control-modellen, te weten modellen die niet specifiek zijn ontwikkeld voor de beheersing van projecten, maar daarvoor wel kunnen worden gebruikt 2) Veel gebruikte projectmanagementmethoden 3) Modellen gericht op het managen van veranderingen ofwel van de ‘Change-component’, met een focus op de soft controls.

ringsbereidheid • Teamrollen (Belbin) • Groepsontwikkeling (Tuckman) • Veranderen in vijf kleuren (De Caluwé) • Het belang van soft controls (Kaptein) • Nationaal onderzoek verandermanagement (NOVM, Mastenbroek).

4.2.1 Reguliere Control-modellen

Projecten leveren diverse zogeheten managementproducten (deliverables) op, deliverables die noodzakelijk zijn om het project te managen en kwaliteit te waarborgen. In bijlage 2 wordt voor vier gangbare methoden (Prince2, PMBOK, Gateway, DSDM) ingegaan op welke wijze deze producten hierin zijn terug te vinden. Daarnaast hebben wij voor sommige producten methodes genoemd die specifiek voor de beoordeling van deze deliverables gebruikt

• Levers of Control (Simons) • Instituut Nederlandse Kwaliteit (INK) • 7 S’en model (McKinsey) • Causaal model van organisatorische prestatie en verandering (uitbreiding op het 7 S’en model door Burke-Litwin) • Business Process Re-engineering (BPR).

4.2.2 Projectmanagementmethoden

4.3 Tools voor beoordeling managementproducten

kunnen worden. Met behulp van dit overzicht kan de auditor vervolgens een referentiekader formuleren waaraan de deliverable dient te voldoen.

4.4 De instrumenten vergeleken In onderstaand overzicht worden de verzamelde instrumenten samengevat en globaal met elkaar vergeleken. Voor de onderscheiden contextfactoren is aangeven wanneer een model meer of minder goed bruikbaar is. Omdat de meeste modellen voor alle contextomstandigheden goed bruikbaar zijn, wordt in de tabel aangegeven indien een model bepaalde beperkingen kent voor wat betreft de omstandigheden of juist bijzondere omstandigheden kent waarin het model goed te gebruiken is. Voor de omschrijving van de beperkingen of bijzondere omstandigheden wordt verwezen naar de betreffende bijlage.

De onderstaande methoden voor projectmanagement worden gebruikt door organisaties in en buiten Nederland. Zij hebben erkenning gekregen als methoden waarmee projecten effectief en efficiënt zijn uit te voeren. • Balanced Change Card (BCC) • Prince2 • PMBOK • Projectmatig Creëren • Gateway

4.2.3 Management van de verandering, zachte aspecten • Management of Change (MOC) • DINAMO voor teams, Diagnose verande-

19

4

model

Rol opdrachtgever

Fase in project

Audit vraag

Zwaarte project

Impact verandering

Bijlage

Context PMBoK Gateway

1.1 X

Integriteit Soft Controls Managing Organisational Change

X

X

X

1.2

X

X

1.3

X

X

X

1.4

X

X

X

1.5

X

1.6

X X

DINAMO voor teams Projectmatig Creëren

X

Capability Maturity Model Integration

1.7

Prince2 Teamrollen

X

X

INK

X

1.8

X

X

1.9

X

X

1.10

Balanced Change Card

1.11

Groepsontwikkeling Sponsorship – Man. of change

X X

X

X

X

1.12

X

X

X

1.13

Factoren invloed op project succes

X

Levers of Control

X

X

1.15

Competing Values Framework

X

X

1.16

7-S Model

X

X

1.17

Causaal model van org. prestatie

X

X

1.18

Business Process Re-engineering

X

X

Veranderen in vijf kleuren

X

X

1.14

X

X

1.19

X

1.20

Tabel 3 Samenvatting verzamelde instrumenten

20

21

5 Handreikingen voor verdere studie Voor elk van de verzamelde instrumenten is op de steekkaart de betreffende literatuur (zowel de bron van het model als nadere toelichting daarover) opgenomen. In dit hoofdstuk zijn verwijzingen naar meer uitgebreide of achterliggende literatuur opgenomen. Al deze literatuur is openbaar beschikbaar. Ook deze verwijzingen zijn ingedeeld naar de in dit onderzoek gehanteerde onderzoeksvragen: 1) Rol van de auditor 2) Context van project audit 3) Instrumenten

5.1 Literatuur over de rol van de auditor Rol auditor algemeen • Het Instituut van Internal Auditors Nederland, De Internal Auditor in Nederland, Position Paper Update 2008, Naarden, 2008 • The Institute of Internal Auditors, The Professional Practices Framework, The IIA Research Foundation, 2009 • The Institute of Internal Auditors, position paper The Role of Internal Audit in Enterprise-wide Risk Management, www.theiia.org, 2004 • Molenkamp, A., ‘Internal Audit professie bewijst haar bestaansrecht’, Finance & Control, april 2005. Rol auditor in projecten • Huibers, S.C.J. , The role(s) of the Internal Auditor in Projects, referaat Amsterdam Business School, Universiteit van Amster-

22

dam, Executive Master of Internal Auditing, juli 2008. Online toegankelijk in database; http://financebase.kluwerfinancieelmanagement.nl/, Kluwer 2009. • Huibers, S.C.J. , ‘Rol van de internal auditor in veranderingsprojecten’, Finance en Control, versie 5, oktober 2009, Kluwer 2009 • Huibers, S.C.J. , ‘Proactiviteit en onafhankelijkheid van de auditor in projecten: contradictio in terminis?’ , Audit Magazine, nummer 1 maart 2010, Instituut voor Internal Auditors in Nederland, VM Uitgevers, 2010 • Cleton, H. en Hartog, P.A., Positionering en rol van de IAD bij kwaliteitsborging van ICTprogramma’s en projecten, Auditing.nl.

5.2 Literatuur over context van project audits • Aken, T.G.C. van, De weg naar projectsucces – eerder via werkstijl dan via instrumenten, Lemma BV, Utrecht, 1996.

5.3 Literatuur over modellen Bepaling soort audit • Cleton, H. en Hartog, P.A., PQA, Proactive Quality Assurance, Audit Magazine en auditing.nl. Reguliere control-modellen • www.ink.nl • www.coso.org Projectmanagement • Baardman, E, e.a., Wegwijzer voor methoden bij projectmanagement, Van Haren Pu-

blishing, 20069 • http://www.prince2.com/ • www.prince2.org.uk en www.ogc.gov.uk • www.ipma.ch • www.icmci.org • Babeliowsky, A. en Hartog, P.A., Het auditen van projecten programmamanagement, Auditing.nl • Parker, M. Benson, R.J. & Trainor, H.E. (1988) Information Economics: Linking Business Performance to Information Technology, Prentice Hall, 1988 • International Project Management Association (IPMA) Competence Baseline: http:// www.ipma.ch/publication/Pages/ICB-IPMACompetenceBaseline.aspx

Technology Environment • IT Governance Institute: The Risk IT Framework, Enterprise Risk: Identify, Govern and Manage IT Risk, The Risk IT Framework Exposure Draf • IT Governance Institute: Enterprise Value: Governance of IT investments, The Val IT Framework 2.0 • http://www.sei.cmu.edu/cmmi: Capability Maturity Model Integration (CMMI) • IT Governance Institute: CobIT 4.1 • http://www.itilfoundation.org: Information Technology Infrastructure Library (ITIL)

Veranderingsmanagement • www.managementsite.nl • www.12manage.com • Mastenbroek, Nationaal Onderzoek Veranderingsmanagement • Hans Vermaak: Veranderkunde in zeven vragen, Holland Management Review Beoordeling deliverables in systeemontwikkelingsprojecten • The Institute of Internal Auditors: Global Technology Audit Guide (GTAG)12: Auditing IT Projects • Ernst & Young: Program Risk, The internal audit blind spot • Information Systems Audit and Control Foundation: Project Management, Skill and Knowledge Requirements in an Information

9 - In dit boek worden de tien meest gebruikte methoden van projectmanagement vergeleken; de belangrijkste (algemene) Project Management-methoden zijn in de insteekkaarten opgenomen.

23

Bijlage 1.1 PMBoK

Bijlage 1 Insteekkaarten In deze bijlage worden de onderzochte instrumenten kort weergegeven per karakteristiek. Er is niet gestreefd naar volledigheid maar ge-

24

tracht om vaak gebruikte instrumenten in een overzicht weer te geven. Het vormt hierdoor een basis toolkit voor de auditor.

Naam instrument/model

PMBoK

Auteur(s), jaartal

Project Management Institute Inc., 1987


Internationaal erkende projectmanagementmethode. Binnen een organisatie kan men deze methode op alle projecten toepassen. Het is een methode die de toepassing van kennis, vaardigheden, hulpmiddelen en technieken behandelt om projectdoelstellingen te realiseren.


Projectmanagement


PMBoK staat voor de Project Management Body of Knowledge. Het is een geregistreerd handelsmerk in de USA van het Project Management Institute Inc. In Nederland zijn voor deze methode opleidingen en trainingen beschikbaar.


Normatief

Toepassingsmogelijkheid / Gebruik in praktijk

Binnen de PMBoK zijn drie elementen onderscheiden: • processen (initiatie, planning, controlling, executie en afronding) • aandachtsgebieden (bijvoorbeeld integratiemanagement, risicomanagement, project kwaliteitsmanagement) • technieken De PMBoK Gids beschrijftt een Project levenscyclus, 5 procesgroepen en negen kennisgebieden van de projectmanagement professie.


• O pdrachtgever: methode kan worden toegepast voor alle opdrachtgevers (stuurgroep, bestuur, projectleider) gaat zowel in op organisatiefactoren en project-inrichtingsaspecten. • Moment van audit: gehele levenscyslus van project wordt onderkend. • Soort audit vraag: kan dienen als raamwerk voor verschillende typen audits (assurance, projectopzet et cetera). • Zwaarte van het project: toepassing is voor ieder project relevant onafhankelijk van de aard van het project. • Impact van de verandering: de methode is generiek en te gebruiken onafhankelijk van de impact van verandering.


www.pmi.org

25

Bijlage 1.2 Gateway


Gateway


Integriteit en het belang van soft controls

Auteur(s), jaartal

Office of Government Commerce (OGC), 2004

Auteur(s), jaartal

Kaptein, M., 1998


Beoordeling van projectmanagement en (eind) producten. De Gateway review methodiek kan zowel worden gebruikt voor de beoordeling van het projectmanagement en voor de beoordeling van producten uit het project


Een model en aanpak aanreiken om risicocultuur te meten en verbeteren


Risicocultuur


Soft-risk controls zijn de niet-tastbare gedragsbeïnvloedende factoren in een organisatie die van belang zijn voor het realiseren van de doelen van de organisatie en de eisen en verwachtingen van externen.


Normatief Model > diagnose-instrument


Uit wetenschappelijk onderzoek onder 150 daadwerkelijke integriteitsbreuken blijken acht niet-tastbare gedragsbeïnvloedende factoren (primaire soft controls) van belang te zijn. Deze factoren zijn generiek en kunnen per organisatie worden aangevuld met organisatiespecifieke elementen. Het geheel vormt het fundament van de organisatie (Kaptein, 1998). De acht niet-tastbare gedragsbeïnvloedende factoren, de zgn. primaire soft controls, zijn: 1) Helderheid 2) Voorbeeldgedrag 3) Betrokkenheid 4) Uitvoerbaarheid 5) Transparantie 6) Bespreekbaarheid 7) Aanspreekbaarheid 8) Handhaving De perceptie van de primaire soft controls bepalen in grote mate het menselijk gedrag en de effectiviteit van de secundaire soft controls en hard controls. Het instrumentarium waarmee de randvoorwaarden worden geschapen, vormt de secundaire soft controls van een organisatie.


• De rol van de opdrachtgever: kan bij alle soorten opdrachtgevers; • Het moment van de audit: tijdens de uitvoering (beoordeling projectorganisatie) en na implementatie van het project (evaluatie van de verandering); • De soort auditvraag: preventief en curatief; • Zwaarte van het project: een dergelijk onderzoek zal over het algemeen alleen toegevoegde waarde hebben bij een groot project; • Impact van de verandering: met name bij veranderingen die gericht zijn op verandering van menselijk gedrag en cultuur.


Kaptein, M. (1998) Ethics Management: Auditing and developing the ethical content of organizations, Dordrecht: Kluwer Academic Publishers.


Projectmanagement


Gateway™ is een succesvolle review methode van het Engelse Office of Government Commerce (OGC ) voor de overheid. Een Gateway review onderzoekt een programma of project op cruciale beslismomenten om vast te stellen of het met succes door kan naar de volgende fase. Gateway reviews zijn gebaseerd op bewezen review technieken. Een Gateway review levert effectief voordelen op en leidt tot beter voorspelbare kosten en de beoogde projectresultaten. Het Gateway proces kan worden toegepast op verschillende soorten projecten, maar is vooral geschikt voor veranderingstrajecten.


Model heeft geen norm in zich voor wat adequaat is (en de auditor dus als norm zou kunnen gebruiken)


Een Gateway review is een doorlichting van een programma of project op een belangrijk beslismoment. Een onafhankelijk team van ervaren mensen voert de Gateway review uit. Tijdens de looptijd van een project kunnen vijf verschillende Gateway reviews worden uitgevoerd: 1) Zakelijke rechtvaardiging (Gateway 1) 2) Verwerving- cq. veranderstrategie (Gateway 2) 3) Investeringsbeslissing (Gateway 3) 4) Gereedheid voor dienstverlening (Gateway 4) 5) Evaluatie van de behaalde resultaten (Gateway 5) Aanvullend bestaat er voor programma’s een Gateway 0 review die ingaat op de ‘strategische beoordeling’. Welke Gateway review aan de orde is, wordt bepaald door de fase in de projectcyclus waarin het project of programma verkeert. Voor een maximale toegevoegde waarde moet een eerste Gateway review vroegtijdig in de projectcyclus worden uitgevoerd.



26

Bijlage 1.3 Integriteit en het belang van soft controls

• Opdrachtgever: Projectleider • Moment: tijdens uitvoering • Soort audit vraag: preventief • Zwaarte (omvang, reikwijdte, risico’s): risico’s • Impact (organisatie, systemen, processen, mensen): alle genoemde aspecten kunnen worden meegenomen in een Gateway review • Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): het Gateway model is minder sterk op het gebied van houding http://www.ogc.gov.uk/what_is_ogc_gateway_review.asp http://www.hec.nl/home/actueel/thema-s/gateway-review/1163

27

Bijlage 1.4 Managing Organizational Change (MOC)

Bijlage 1.5 DINAMO voor Teams


Managing Organizational Change (MOC)


DINAMO voor Teams

Auteur(s), jaartal

Voor MOC of verandermanagement zijn veel vragenlijsten beschikbaar. Deze zijn echter veelal bureaugebonden of slechts tegen een financiële bijdrage te gebruiken. Zij hebben hun achtergrond vaak in Kurt Lewin’s Change Management model van ‘unfreeze-transition-refreeze’.

Auteur(s), jaartal

E. Metselaar en A. Cozijnsen, Van weerstand naar veranderingsbereidheid, 2005


Verkrijgen van inzicht in de motivatie en drijfveren die samen het draagvlak voor de verandering vormen. Ontwikkeld om verandermanagers vervolgens de beste strategie te laten kiezen om de veranderingsbereidheid te vergroten. Veranderingsbereidheid is een positieve kijk op weerstand.


Projectbesturing – de veranderingsbereidheid van de bij een project of verandering betrokken medewerkers. DINAMO voor Teams is bedoeld voor een kleinschalige, snelle inschatting van de veranderbereidheid van een team.


Beoordelen van diverse risicofactoren c.q. voorwaarden voor het realiseren van organisatieveranderingen. Deze factoren zijn te zien als onderdeel van het project management.


Projectmanagement voor wat betreft het verandermanagement (het verkrijgen van voldoende deskundigheid, vaardigheden en committent voor de nieuwe situatie).


MOC staat voor het managen van organisatieveranderingen, zoals oorspronkelijk (jaren ’50) is beschreven door Kurt Lewin. Hij zag verandering als proces van unfreeze-transition-refreeze. Om dit succesvol te doorlopen dient een aantal factoren aanwezig te zijn (ofwel risico’s te worden weggenomen). Het gaat hierbij om Sponsorship, Change agent, Weerstand, Cultuur, Verandergeschiedenis en Verandervermogen. In de vragenlijsten wordt steeds aan de hand van een aantal vragen gemeten in hoeverre de randvoorwaarden adequaat zijn ingevuld, veelal leidend tot een bepaalde score.


DINAMO10 veronderstelt dat de veranderingsbereidheid wordt bepaald door drie vragen: 1) Willen de betrokkenen veranderen? 2) Moeten de betrokkenen veranderen? 3) Kunnen de betrokkenen veranderen? Het model is gebaseerd op ‘Ajzen’s model van gepland gedrag’. DINAMO is geschikt voor afname onder grote groepen. De DINAMO-vragenlijsten zijn alleen commercieel verkrijgbaar bij Academic Consultancy Services, onder de naam ‘DVB’ (Diagnose Veranderbereidheid).


Normatief. De vragenlijsten brengen de risicofactoren in kaart: een hoog risico komt overeen met een ongewenste situatie.


Normatief - De vragenlijsten beschrijven de gewenste situatie c.q. de bepalende factoren van veranderingsbereidheid.


Deze vragenlijsten zijn vooral bruikbaar in een nadere analyse van de diverse factoren. De algemene projectmanagementmethodieken nemen dit globaal mee. Deze vragenlijsten zouden bijvoorbeeld gebruikt kunnen worden bij de analyse van bestaande problemen en oorzaken hiervan in de projectbesturing.


Deze vragenlijst is vooral bruikbaar in een nadere analyse van de risico’s op dan wel oorzaken van aanwezige weerstand of gebrek aan veranderingsbereidheid. De algemene projectmanagementmethodieken nemen dit niet of slechts globaal mee.


• Opdrachtgever: let op dat met deze vragenlijsten mogelijk de opdrachtgever zelf wordt beoordeeld. • Moment van audit: De vragenlijst kan op diverse momenten worden toegepast, vanaf de start (inrichting) van het project. • Soort audit vraag: voornamelijk indien problemen al zijn geconstateerd omdat het een diepgaande analyse kan betreffen van de aspecten van projectbesturing. • Zwaarte van het project: De toegevoegde waarde is voornamelijk grote projecten. • Impact van de verandering: Vooral bij veranderingen met grote impact (veranderingen van competenties of houding van medewerkers) is MOC belangrijk.


• Opdrachtgever: kan bij alle soorten opdrachtgevers. • Moment van audit: de vragenlijst kan op diverse momenten worden toegepast. • Soort audit vraag: vooral gebruikt als al problemen zijn geconstateerd of preventief bij projecten met een grote impact op de betrokken medewerkers. • Zwaarte van het project: voornamelijk bij grote projecten. • Impact van de verandering: n.v.t.


• E. Metselaar en A. Cozijnsen: Van weerstand naar veranderingsbereidheid, :2005 • Academic Consultancy Services (www.acs-nederland.nl)


Bij veel commerciële bureaus, eenvoudig te vinden via Google op zoekwoorden als ‘Sponsorship’ en ‘Change agent assessment’.

10 - Onderstaande tekst is mede ontleend aan de brochure DVB van Academic Consultancy Services.

28

29

Bijlage 1.6 Projectmatig Creëren


Projectmatig Creëren


CMMI (Capability Maturity Model Integration)

Auteur(s), jaartal

Jo Bos & Ernst Harting, Projectmatig Creëren 2.0, Scriptum, 2006

Auteur(s), jaartal

Software Engineering Institute, Carnegie Mellon University, 2000/2002


Het ondersteunen van projectleiders bij het inrichten en managen van projecten.


Beoordeling projectmanagement

Projectmanagement


Projectmanagement

Object van onderzoek Korte omschrijving instrument/model

Het model onderscheidt vier kanten of krachten: • ZIJ: de omgeving • IK: het leiderschap • WIJ: het team, de samenwerking • HET: de structuur. De vier krachten betreffen zowel de harde als zachte aspecten van projectmanagement. Veel aandacht wordt gericht op de zachte aspecten: Projectmatig creëren biedt een wezenlijk andere, vernieuwende kijk op projectmanagement. Voor succesvolle projecten is immers meer nodig dan strakke sturing, goede planning en strikte budgetbewaking. De sleutel tot projectsucces ligt in het genereren en aanspreken van energie, betrokkenheid en creativiteit, waardoor juist met minder coördinatie, meer complexe projecten kunnen worden gerealiseerd. Daarom begint projectmatig creëren bij de betrokkenheid en de inspiratie van mensen, die vervolgens samen een passende structuur ontwikkelen, in plaats van de structuur als uitgangspunt te nemen waarnaar de mensen zich maar hebben te voegen. ‘Projectmatig creëren’ is meer dan een verzameling projectmanagementtechnieken. Het is een andere visie op werk en op het werken in projecten.”


Capability Maturity Model Integration (CMMI) is een aanpak voor procesverbetering die organisaties de essentiële elementen biedt voor een efficiënte procesinrichting. Het CMMI kan worden toegepast om projectmatig procesverbeteringen te introduceren in een afdeling of een gehele organisatie. CMMI onderscheidt hierbij vijf niveaus van volwassenheid; Systems Engineering, Software Engineering, Integrated Process and Product Development en Suppliers Sourcing.


• Referentiemodel voor een assessment • Verbetermodel • Procesmodel • CMMI: Raamwerk voor assessment van de volwassenheid van een software / systeemontwikkeling organisatie en raamwerk voor verbetering van het proces


Het CMMI ondersteunt organisaties met: • integratie van traditioneel gescheiden organisatiefuncties • definitie van proces verbeteringsdoelen en -prioriteiten • levering van richtlijnen voor kwaliteitsprocessen • het bieden van een referentiepunt voor het beoordelen van uw huidige processen. De vijf niveaus van volwassenheid binnen CMMI zijn als volgt: 1) Initieel: De chaotische en ad hocfase. Er gebeurt iets goed, maar duidelijk is allerminst waarom het gebeurt 2) Managed: Beslissingen worden binnen de organisatie genomen op basis van ervaring en methodes, maar dit verschilt per project 3) Gedefinieerd: Binnen dit niveau zijn de belangrijkste processen gedefinieerd voor de organisatie 4) Kwantitatief Managed: Hierbij wordt de kwaliteit van het ontwikkelproces tussentijds gemeten, zodat het tussentijds kan worden bijgestuurd 5) Optimizing: Het niveau van de processen is optimaal met slechts incidentele aanpassingen


• Opdrachtgever: RvB/directie of stuurgroep of projectleider • Moment van audit: tijdens voorbereidingsfase, tijdens de uitvoering, bij oplevering of na afronding van het project • Soort audit vraag: preventief of curatief • Zwaarte van project: relatie tot strategische doelstellingen, aantal betrokkenen (omvang en reikwijdte) en processen en continuering van operaties, borgen kennis (risico’s) • Impact van verandering: wijziging knoppen, verandering van functionaliteiten, wijziging in organisatie en verandering van houding


• http://www.sei.cmu.edu/cmmi/ • http://en.wikipedia.org/wiki/Capability_Maturity_Model_Integration


Beschrijvend model; het model is een visie, uitgewerkt in vele instrumenten, maar bevat geen uitgewerkt normenkader.


In de praktijk wordt het model vooral gebruikt om projecten vorm te geven (als inrichtingsinstrument). De auditor dient een vertaling te maken naar een concreet normenkader.


• Opdrachtgever: let op dat met deze vragenlijsten mogelijk de opdrachtgever zelf wordt beoordeeld. • Moment van audit: de vragenlijst kan op diverse momenten worden toegepast, bij voorkeur bij de start (inrichting) van het project. • Soort audit vraag: zowel preventief als curatief te gebruiken. • Zwaarte van het project: model is voor alle projecten te gebruiken, maar vooral bij grotere projecten c.q. die projecten waarbij ook de verandercomponent belangrijk is. • Impact van de verandering: model is voor alle projecten te gebruiken, maar vanwege de expliciete IK- en ZIJ-kanten vooral bij projecten met een grote impact.


30

Bijlage 1.7 CMMI (Capability Maturity Model Integration)

• www.projectmatigcreeren.nl • www.kernconsult.nl

31

Bijlage 1.8 PRINCE2 (Projecten in controlled environments, versie 2)


PRINCE2 (Projecten in controlled environments, versie 2)


Teamrollen

Auteur(s), jaartal

OGC (Office of Government Commerce), 1989

Auteur(s), jaartal

Dr. Raymond Meredith Belbin (1981, 1993)






Projectmanagement



Gestructureerde methode voor het inrichten en besturen van een project. Het model bestaat uit acht processen en acht componenten.

Projectmanagement, met de nadruk op de samenstelling van de projectgroep of stuurgroep. Het model kan echter ook gehanteerd worden bij de samenstelling van audit teams.


Een team is een groep mensen (hoogstens twaalf) die op een gecoördineerde manier samenwerken aan een gemeenschappelijk doel. Een teamrol is een gedragspatroon dat kenmerkend is voor communicatie tussen teamleden. Iedere teamrol heeft een karakteristieke waarde voor het team en kent zijn nut en beperkingen. In principe zijn de diverse rollen complementair. Ze vullen elkaar niet alleen aan, maar kunnen ook botsen en rivaliseren. Belbin onderscheidt in zijn oorspronkelijke model acht kenmerkende teamrollen: Brononderzoeker, Bedrijfsman, Groepswerker, Plant, Voorzitter, Vormer, Monitor en Zorgdrager. Belbin (1993) beschrijft in zijn tweede boek dat zes factoren ten grondslag liggen aan teamrolgedrag. Deze factoren zijn Persoonlijkheid, Mentale vaardigheden, Huidige waarden en motivatie, Gedwongen situaties en Ervaring en Rol leren.


Het model heeft geen norm in zich voor wat adequaat is (en de auditor dus als norm zou kunnen gebruiken). Het is aan de auditor om te bepalen of een projectteam fit for the job is, gezien de inherente risico’s die samenhangen met het project.


De mogelijkheid bestaat om leden van een projectteam een vragenlijst in te laten vullen, gebaseerd op het model van Belbin. Zodoende wordt duidelijk welke rollen wel en welke niet aanwezig zijn in het team en waar mogelijk knelpunten ontstaan.


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider • Moment: tijdens uitvoering, na afloop (evaluatie/leerpunten rapportage) • Soort audit vraag: curatief • Zwaarte (omvang, reikwijdte, risico’s): De omvang, het belang en de risico’s van een project stellen eisen aan de samenstelling van de projecten stuurgroep. In deze groepen dienen volgens de theorie van Belbin verschillende soorten rollen aanwezig te zijn. • Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): vaardigheden/attitude.


• http://www.leren.nl/cursus/professionele-vaardigheden/teamrollen/ • http://www.trainersvannu.nl/samenvatting-belbin.php • http://www.123test.nl/belbin/ • http://www.12manage.com/methods_belbin_team_roles_nl.html


Het model heeft een norm in zich voor wat nodig is (en de auditor dus als norm zou kunnen gebruiken).


Prince2 is een projectmanagementmethode gebaseerd op een procesgerichte aanpak. De methode is geschikt voor alle type projecten en kan naar behoefte worden aangepast in schaalgrootte van de toepassing van de processen, technieken en componenten. De processen worden gedefinieerd aan de hand van de te behalen doelstelling. Deze doelstelling wordt aangegeven in het realiseren van producten en het uitvoeren van activiteiten. De acht processen zijn: 1) Opstellen van een plan 2) Dirigeren van een project 3) Managen van productoplevering 4) Opstarten van een project 5) Initiëren van een project 6) Beheersen van een fase 7) Managen van faseovergangen 8) Afsluiten van een project De acht componenten zijn: 1) Plannen 2) Beheersen 3) Business case 4) Risicomanagement 5) Kwaliteit 6) Configuratiebeheer 7) Wijzigingsbeheer 8) Organisatie



32

Bijlage 1.9 Teamrollen

• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider • Moment van audit: tijdens voorbereidingsfase, tijdens de uitvoering, bij oplevering of na afronding van het project • Soort auditvraag: preventief of curatief • Zwaarte van project: investeringskosten, relaties tot strategische doelstellingen (omvang en reikwijdte) en borgen kennis (risico’s) • Impact van verandering: verandering van functionaliteiten, wijziging in organisatie • http://www.prince2.com/ • http://www.ogc.gov.uk/index.asp

33

Bijlage 1.10 INK


INK


Balanced Change Card

Auteur(s), jaartal

EFQM (European Foundation for Quality Management)

Auteur(s), jaartal

Koster & Bouman, 1997


Beoordeling (eind)producten




(Eind)product, mits dit een herinrichting van een organisatie is


Projectinrichting/projectmanagement


Op kwaliteit gericht diagnosemodel, bestaande uit vijf organisatiegebieden en vier resultaatgebieden. Voortdurend verbeteren is de brandstof waarop een organisatie draait. Het model is dan ook oorspronkelijk ontworpen voor het toekennen van de Europese Kwaliteitsprijs. In het INK-managementmodel is de motor voor verandering de zogenaamde Plan-Do-Check-Act-cirkel van Deming.


Integraal, dynamisch raamwerk voor het gebalanceerd vormgeven van de veranderorganisatie en het evalueren daarvan. Het model geeft enerzijds inzicht in het palet van benodigde maatregelen om het veranderingsproces vorm te geven. Anderzijds geeft het een overzicht van het verloop van het veranderingsproces op basis van een aantal essentiële beoordelingscriteria.


Het model heeft geen norm in zich voor wat adequaat is (en de auditor dus als norm zou kunnen gebruiken). Door diverse organisatiedeskundigen en consultants is het oorspronkelijke model wel uitgebreid met absolute normen.


Model heeft geen norm in zich voor wat adequaat is (en de auditor dus als norm zou kunnen gebruiken).


Zie artikel ‘Het auditen van projecten programmamanagement’ (Babeliowsky & Hartog, www.auditing.nl, 2009).


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider • Moment: voor start, tijdens en na afloop • Soort audit vraag: preventief en curatief (bij evaluatie/leerpunten rapportage) • Zwaarte (omvang, reikwijdte, risico’s): n.v.t. • Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): de Balanced Change Card raakt alle aspecten genoemd onder deze contextfactor.


• http://www.wimbouman.com/pdf/De Balanced Change Card (nl) 97-13.pdf


INK kan helpen om de (veranderde) organisatie in kaart te brengen en kan hiermee als hulpmiddel dienen om deze producten te toetsen.


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider • Moment: voor start, tijdens uitvoering, na afloop. • Soort audit vraag: preventief, curatief. • Zwaarte (omvang, reikwijdte, risico’s): omvang/reikwijdte. • Impact (organisatie, systemen, processen, mensen): vooral op processen. • Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): als gevolg van focus op processen met name hanteerbaar voor taken en vaardigheden.


34

Bijlage 1.11 Balanced Change Card

• http://www.managementsite.nl/478/performance management/inkmodel-zinsbegoocheling.html • http://www.12manage.com/methods_efqm_nl.html

35

Bijlage 1.12 Groepsontwikkeling

36

Bijlage 1.13 Sponsorship - Management of Change


Groepsontwikkeling


Sponsorship - Management of Change

Auteur(s), jaartal

Tuckman, 1965/1977

Auteur(s), jaartal



Diversen. De vragenlijsten zijn veelal bureaugebonden of slechts tegen een financiële bijdrage te gebruiken


Ontwikkeling teams/groepen



Het model bestaat uit de volgende vijf ontwikkelingsfasen die (kleine) groepen doorlopen om optimaal te kunnen presteren: Forming (vormen), Storming (stormen), Norming (normeren), Performing (presteren) en Adjourning (uiteen gaan). Volgens Tuckman dienen teams alle fasen te doorlopen om als team te groeien en daardoor de uitdagingen onder ogen te zien, de problemen aan te pakken, oplossingen te vinden, werk te plannen en resultaten te leveren.

Beoordeling van de kwaliteit van het sponsorship, als belangrijke voorwaarde voor het realiseren van projecten/veranderingen in organisaties ofwel als onderdeel van het projectmanagement.


Projectbesturing – kwaliteit van de sponsor (zijnde de directie en/ of Stuurgroep).


Er zijn diverse modellen / vragenlijsten aan de hand waarmee het sponsorship kan worden ‘gemeten’ en beoordeeld. De diverse taken en rollen van de sponsor worden aan de hand van een aantal vragen doorgenomen. Overigens zijn er, naast het sponsorship, ook andere vragenlijsten beschikbaar met betrekking tot andere voorwaarden voor het realiseren van veranderingen, bijv. de veranderingsbereidheid en de kwaliteit van de verandermanager (change agent). Deze worden op dezelfde wijze toegepast. De vragenlijsten zijn gebaseerd op de theorie van management of change.


Normatief De vragenlijsten beschrijven de gewenste situatie c.q. wat adequaat sponsorship is.


Deze vragenlijsten zijn vooral bruikbaar in een nadere analyse van het sponsorship. De algemene projectmanagementmethodieken nemen dit globaal mee. Deze vragenlijsten zouden aldus bijvoorbeeld kunnen worden gebruikt: • In een analyse van bestaande problemen in de projectbesturing. • In een analyse van de oorzaken van problemen in de projectbesturing.


• Opdrachtgever: let op dat met deze vragenlijsten mogelijk de opdrachtgever zelf wordt beoordeeld. • Moment van audit: de vragenlijst kan op diverse momenten worden toegepast, vanaf de uitvoering. • Soort audit vraag: omdat het een diepgaande analyse van één van de aspecten van projectbesturing is, zal het vooral gebruikt worden als al problemen zijn geconstateerd. • Zwaarte van het project: een dergelijk onderzoek zal over het algemeen alleen toegevoegde waarde hebben bij een groot project. • Impact van de verandering: vooral bij veranderingen met grote impact (veranderingen van competenties of houding van medewerkers) is sponsorship essentieel.


De beschikbaarheid is verbonden aan de auteurs.


Het model heeft geen norm in zich voor wat adequaat is (en de auditor dus als norm zou kunnen gebruiken)


Te gebruiken als een maturity-model voor het effectief functioneren van groepen (projectteams) en het analyseren van gedrag van teams. Volgens Tuckman zal een team nooit goed presteren zolang het geen gezamenlijke conflicten heeft doorgemaakt en er geen gedragsnormen zijn vastgesteld. Vanuit de beschrijving van de fasen zijn zogeheten referentiekaders af te leiden, die kunnen worden gebruikt om te bepalen in welke fase het team zich bevindt. Naast de wijze waarop teamleden opereren zijn ook uitspraken te doen over de rol van de leiding (projectleider) van het team. • Forming: fase van initiatie van het projectteam. • Storming: Meerdere ideeën concurreren vaak hevig met elkaa om meegenomen te worden in het projectteam. • Norming: Vastleggen van regels, waarden, gedrag, methoden en hulpmiddelen worden vastgelegd. • Performing: De inter-persoonlijke structuur wordt het hulpmiddel van de taakactiviteiten. De rollen worden flexibel en functioneel en de groepsenergie wordt gekanaliseerd binnen de taken. • Adjourning: De taken worden voltooid en het team wordt ontbonden.


• Opdrachtgever: raad van bestuur/directie of stuurgroep • Moment van audit: tijdens of na afronding project • Soort audit vraag: curatief • Zwaarte van project: groot aantal betrokkenen (omvang) en beleid- en aansturing, cultuurverandering (risico’s) • Impact van verandering: n.v.t. (model is gericht op samenwerking en ontwikkeling binnen het project, respectievelijk van het projectteam).


• •

http://www.12manage.com/methods_tuckman_stages_team development_nl.html; http://en.wikipedia.org/wiki/Forming,_storming,_norming and_performing;

37

Bijlage 1.14 Factoren van invloed op projectsucces

38

Bijlage 1.15 Levers of Control


Factoren van invloed op projectsucces


Levers of Control

Auteur(s), jaartal

Teun van Aken, 1996

Auteur(s), jaartal

Simons, 1995


Ieder project moet uniek worden benaderd en aangepakt. Projectsucces is vooral afhankelijk van de werkstijl van een projectmanager en allerlei procedures en technieken zijn vaak alleen maar een storende factor. Instrumentgebruik is vooral intern gericht, terwijl de projectmanager zich met name extern zou moeten richten.




Projectinrichting / projectmanagement


Model bestaande uit vier hefbomen; Belief systems, Boundary systems, Diagnostic control systems, Interactive systems. Het model biedt een integrale visie op sturing en beheersing. Kernvraag: Hoe realiseer je een adequate controle in organisaties die flexibel, innovatief en creatief moeten zijn?




Elk van de geïdentificeerde ‘Systems’ kent specifieke variabelen die toegepast kunnen worden bij projectmanagement. In een audit kan vastgesteld worden in hoeverre deze variabelen adequaat zijn ingevuld. Om een organisatie beter te begrijpen adviseert Simons de volgende vragen: 1) Hebben senior managers de kernwaarden van de zaken op een zodanige manier gecommuniceerd dat mensen ze begrijpen en waar zij blij mee zijn? 2) Hebben managers duidelijk de specifieke acties en het gedrag geïdentificeerd welke niet worden toegestaan? 3) Zijn de diagnosticerende controlesystemen in orde voor het volgen van de kritieke prestatievariabelen? 4) Zijn de controlesystemen interactief en zijn zij ontworpen om leren te bevorderen? 5) Betaalt de organisatie genoeg voor traditionele interne controles?


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider. • Moment: voor start en na afloop. • Soort audit vraag: preventief. • Zwaarte (omvang, reikwijdte, risico’s): Juist omdat het model sterk op control is gericht, kan het worden toegepast om de mate van risicobeheersing binnen een project nader te onderzoeken. • Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): model is bruikbaar ongeacht de impact.


• http://www.12manage.com/methods_simons_levers_nl.html


Projectmanagement


De conclusies uit het onderzoek van Van Aken luiden: • Instrumentgebruik correleert negatief met succes • Werkstijl correleert sterk met succes • Bij doelgericht werken is weinig instrumentarium nodig voor succes • In grijpbare projecten staat veel structurering succes in de weg Bij een project worden twee soorten werkstijlen onderscheiden: 1) Doelgerichte werkstijl: Positieve bijdrage aan het projectsucces en reductie van het instrumentarium. Kenmerken zijn werkdiscipline, sturing, adequate overlegstructuren, resultaatgericht et cetera. 2) Gestructureerde werkstijl: De complexiteit van een project wordt bepaald door drie factoren: de tastbaarheid van het projectresu taat, het aantal belanghebbenden en het aantal betrokken disciplines. Kenmerken zijn zorgvuldigheid, vastgelegde procedures et cetera. De inzet van instrumenten en de diepgang van de beheersing is afhankelijk van de complexiteit van een project.


Normatief


Door de aard van de projecten vast te stellen, is het mogelijk een project te classificeren als een grijpbaar dan wel een ongrijpbaar project. Grijpbaarheid van projecten wordt gedefinieerd als de mate waarin de projectmanager invloed kan uitoefenen op zowel inhoud als verloop van een project. De mate van grijpbaarheid is volgens de volgende variabelen vast te stellen: tastbaarheid van het eindproduct, aantal belanghebbenden en aantal betrokken disciplines. Op basis van de classificatie van de mate van grijpbaarheid van het project kan men vaststellen of de werkstijl aansluit bij de aard van het project. De werkstijl is onder te verdelen in doelgericht handelen en structurerend handelen. Bij een lage grijpbaarheid kan men beter structurerend te werk gaan om een grotere kans van slagen van het project te bereiken. Doelgericht handelen levert bij elk project een positieve bijdrage succes.


• De rol van de opdrachtgever: kan bij alle soorten opdrachtgevers • Het moment van de audit: tijdens de uitvoering • De soort audit vraag: zowel preventief als curatief te gebruiken • Zwaarte van het project: een dergelijk onderzoek kan bij ieder project opnieuw worden uitgevoerd • Impact van de verandering: niet van belang voor het onderzoek.


Aken, T.G.C. van, ‘De weg naar projectsucces – Eerder via werkstijl dan via instrumenten’, Lemma BV, Utrecht, 1996.

39

Bijlage 1.16 Competing Values Framework

40

Bijlage 1.17 7-S Model


Competing Values Framework


7-S Model

Auteur(s), jaartal

Quinn, 1988

Auteur(s), jaartal

McKinsey







Analysemodel voor effectiviteit van organisaties, bestaande uit twee dimensies: organisatorische focus en organisatorische voorkeur voor structuur. Deze dimensies leiden tot vier modellen: Human Relations Model, Open Systems Model, Rational Goal Model, Internal Process Model. Het model kan ook worden gehanteerd om (project)leiderschap te analyseren. Flexibiliteit in het hanteren van leiderschapsrollen is hierbij van belang.

Ten behoeve van de beoordeling projectmanagement Het 7-S Model van McKinsey kan worden gebruikt om sturing te geven aan de project audit. De zeven managementinstrumenten zijn oorspronkelijk niet ontworpen voor veranderingstrajecten/ projecten, maar kunnen hierop wel van toepassing worden verklaard.


Projectinrichting/projectmanagement


Managementmodel dat zeven factoren beschrijft om een organisatie op een holistische en effectieve manier te organiseren. De 7 Sfactoren zijn verdeeld in drie ‘harde’ (‘Strategy’, ‘Structure’ en ‘Systems’) en vier ‘zachte’ (‘Shared values’, ‘Skills’, ‘Staff’ en ‘Style’). Op alle S-en moet tegelijkertijd worden gehandeld en alle S-en zijn met elkaar verbonden.




Bij gebruik van dit referentiemodel bij een onderzoek naar projectbeheersing gaat het erom vast te stellen of alle 7 S-en adequaat en in volgorde van prioriteit aan bod komen in de gekozen beheersstructuur van het project.


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider. • Moment van uitvoeren: tijdens uitvoering en/of na afloop • Soort audit vraag: preventief • Zwaarte (omvang, reikwijdte, risico’s): Het 7-S model kan de auditor helpen de risico’s met betrekking tot de beheersing van het project in kaart te brengen. Het geeft richting aan de risicoanalyse. • Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding). Heeft de verandering die het project moet bewerkstelligen betrekking op en/of gevolgen voor alle 7 S-en, dan is al snel sprake van een relatief forse impact van het project. De te leveren audit inspanning zal – uiteraard afhankelijk van de audit vraag – hierop afgestemd dienen te worden.


• http://nl.wikipedia.org/wiki/7S-model • http://www.12manage.com/methods_7S_nl.html • Een Praktijkgerichte benadering van Organisatie & Management, Van Dam, Marcus, derde druk 1999, ISBN 90 11 05002 9




Het concurrerende waarden model kan gebruikt worden in een organisatorische context. Het kan dienen als strategische tool om supervisie en management te ontwikkelen. Daarnaast kan het model gebruikt worden om organisaties te helpen hun bestaande en gewenste cultuur te diagnosticeren. Ook kan het model worden gebruikt om organisatorische leemtes te onderzoeken. Een andere functie van het model is dat het als leermiddel kan dienen, waarmee managers verschillende organisatorische functies en processen kunnen doorgronden. Tot slot kan het model leiden tot een beter begrip van verschillen en overeenkomsten tussen verschillende management rollen.


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider. Het model kan inzicht bieden in de positie en rol van de opdrachtgever. • Moment: voor start en tijdens uitvoering • Soort audit vraag: curatief • Zwaarte (omvang, reikwijdte, risico’s): alle genoemde aspecten van deze contextfactor kunnen in het model worden begrepen. • Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): Met name de cultuurdiagnose en mogelijkheden van het model om organisatorische leemtes te onderzoeken bieden aanknopingspunten het model te hanteren bij een grote impact van de verandering.


http://www.cw.utwente.nl/theorieenoverzicht/Theory clusters/Organizational Communication/Competing_Values_ Framework.doc/

41

Bijlage 1.19 Business Process Re-engineering (BPR)

Bijlage 1.18 Causaal model van organisatorische prestatie en verandering

42


Causaal model van organisatorische prestatie en verandering


Business Process Re-engineering (BPR)

Auteur(s), jaartal

Burke-Litwin, 1992

Auteur(s), jaartal

Hammer






Beoordeling projectmanagement Het doel van BPR is het realiseren van een hogere toegevoegde waarde voor de afnemer door middel van procesoriëntatie.


Dit model is een uitbreiding van het 7-S model: het combineert dit model met een algemene veranderingsprocestheorie. Het model maakt onderscheid tussen transformationele factoren en transactionele factoren. Transformationele verandering treedt op als reactie op de externe omgeving, welke direct de missie, strategie, het leiderschap en de cultuur van de organisatie beïnvloedt. Hierdoor worden de volgende transactionele factoren beïnvloed: structuur, systemen, managementpraktijken en het werkklimaat. Deze transformationele en transactionele factoren beïnvloeden gezamenlijk de motivatie, welke op haar beurt de prestatie beïnvloedt. Er is sprake van een feedback-lus: de organisatorische prestatie kan op directe wijze weer de externe omgeving beïnvloeden.




Dit model is wellicht het best toepasbaar als gevraagd wordt om uitspraken bij de mate van beheersing van de veranderorganisatie ‘an sich’. Is er voldoende grond (sense of urgency) voor de voorgenomen verandering? Door de organisatorische borging van de in het model opgenomen factoren te bestuderen kunnen uitspraken worden gedaan over de veranderkalender.


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider. • Moment: voor start project, na afloop • Soort audit vraag: Zoals hiervoor aangegeven leent dit model zich het beste voor een audit op de (kwaliteit van) project beheersing (preventief, indien voor start project uitgevoerd) • Zwaarte (omvang, reikwijdte, risico’s): Zie de opmerkingen bij het 7-S model. • Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, attitude): Zie de opmerkingen bij het 7-S model.


http://www.12manage.com/methods_burke_litwin_model_ nl.html

Object van onderzoek Korte omschrijving instrument/model

BPR gaat uit van fundamenteel heroverwegen en radicaal herontwerpen van organisatorische processen om drastische verandering van bestaande prestatie te bereiken wat betreft kosten, dienstverlening en snelheid. De organisatie moet worden herontworpen als een reeks processen. Davenport (1992) beschrijft een BPR-aanpak met vijf stappen: 1) Ontwikkel de bedrijfsvisie en procesdoelstellingen 2) Identificeer de bedrijfsprocessen die herontworpen moeten worden 3) Analyseer en meet bestaande processen 4) Identificeer IT-hefbomen 5) Ontwerp en bouw een prototype van het nieuwe proces




BPR kan een efficiënt model zijn om op relatief hoog niveau uitspraken te doen over projectbeheersing. De vijf stappen uit het model dienen immers allen doorlopen te worden. Het model is overigens sterk op hard controls en minder op de gedragszijde van beheersing gericht.


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider. • Moment: voor start project, na afloop • Soort audit vraag: preventief • Zwaarte (omvang, reikwijdte, risico’s): De aanpak van Davenport werkt als richtsnoer voor een effectief audit ontwerp op een BPR-traject. Het borgt dat alle aandachtspunten aan bod komen. • Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): Met name de tweede stap uit het model van Davenport biedt enig inzicht in de impact van de verandering. Het menselijke aspect is onderbelicht in BPR.


• http://nl.wikipedia.org/wiki/Business_Process_Reengineering • http://www.12manage.com/methods_bpr_nl.html • Een Praktijkgerichte benadering van Organisatie & Management, Van Dam, Marcus, derde druk 1999, ISBN 90 11 05002 9

43

Bijlage 1.21 Projecten Shaker

Bijlage 1.20 Veranderen in vijf kleuren


Veranderen in vijf kleuren


Projecten Shaker

Auteur(s), jaartal

Leon de Caluwé

Auteur(s), jaartal

Internal Audit Friesland Bank


Ten behoeve van de beoordeling van de keuze voor de projectmanager, de effectiviteit van het projectmanagement en ter ondersteuning van een analyse van het verandertraject.


Vaststelling welke projecten opgenomen moeten worden in het audit plan.


Niet van toepassing


Projectmanagement



Het model van de Caluwé geeft een typering in kleuren van vijf verschillende manieren van veranderen: • Geel drukdenken: Mensen veranderen als je rekening houdt met hun (eigen) belang • Blauw drukdenken: Mensen of dingen veranderen alleen bij een duidelijk gespecificeerd resultaat vastlegt • Rood drukdenken: Mensen en organisaties veranderen bij de juiste HRM-instrumenten inzet • Groen drukdenken: Veranderen en leren als begrippen liggen dicht tegen elkaar aan • Bij wit drukdenken: Het dominante beeld is dat alles (autonoom, als vanzelf) in verandering is. Het model geeft situationele kenmerken voor de keuze en toepassing van een veranderaanpak. Daarnaast wordt het soort veranderingstraject getypeerd dat hierbij hoort.


Beschrijvend


Vaststelling of de veranderaanpak aansluit bij de context van het project. Het gaat hierbij om de vier essentiële factoren: Veranderdoelstelling, veranderomgeving, klant/opdrachtgever en projectmanager De factoren dienen van dezelfde kleur zijn om een project beheersbaar te maken. De auditor kan bij verschillen beoordelen of deze het succes van een project belemmeren.

Binnen de Friesland Bank wordt hiervoor de zogenaamde ‘Projecten Shaker’ gehanteerd. Dit is een Exceltoepassing waarmee projecten aan de hand van verschillende criteria worden ingedeeld in (punten)categorieën: • Type I projecten zijn projecten die in totaliteit >35 punten scoren op onderdelen als business -, organisatorische en technische impact, afbreukrisico, vernieuwing en/of kosten/investeringen; • Type II projecten scoren gemiddeld ≥20 punten; • Type III projecten scoren < 20 punten. Projecten met de hoogste scores worden meegenomen in het audit jaarplan. Het is van belang bij het opstellen van een dergelijke tool rekening te houden met de drivers achter de strategie van de organisatie. Afhankelijk van de door de organisatie aan elk van deze drivers toegekende waarde (gewicht) kan een selectie van die projecten plaatsvinden die hier het meeste aan tegemoet komen. Het is mogelijk een dergelijke tool uit te breiden met de verschillende rollen die een auditor bij project audits kan vervullen. Er kan bijvoorbeeld voor gekozen worden bij ‘zware’ projecten (type I) altijd de assurance rol te kiezen en bij minder zware projecten (type III) slechts een klankbordrol te vervullen.


Niet van toepassing


Om bij een omvangrijke projectenportefeuille en een beperkt auditbudget vast te kunnen stellen welke projecten door de auditor gecontroleerd moeten worden.


Niet van toepassing


Nadere informatie is te verkrijgen bij de internal audit afdeling van de Friesland Bank.



44

• De opdrachtgever: Of de veranderaanpak aansluit bij het project zal veelal in opdracht van de stuurgroep of directie gebeuren. Niet in opdracht van de projectleider zelf (die dan deels object van onderzoek is) • Het moment van audit: Bij de beoordeling van de selectie van de projectmanager, de projectaanpak en na Go-live van het project. • Soort audit vraag: Kan zowel preventief als curatief worden i gezet. • Zwaarte van het project: Voornamelijk toegevoegde waarde bij grote projecten met veel risico’s op het gebied van beleid en aan sturing. • Impact van de verandering: Vooral bij veranderingen die gericht zijn op het veranderen van gedrag van mensen. • http://www.decaluwe.nl/ • http://www.menscentraal.nl/tekst_Leon_de_Caluwe1.html

45

Bijlage 2 Overzicht Methoden - Producten In onderstaand overzicht zijn vier gangbare methoden opgenomen waarbij de producten zijn aangegeven die onderwerp van beoordeling in een project audit kunnen zijn. Deze methoden kunnen vervolgens worden gebruikt om een referentiekader te formuleren.

Methode

Product

Prince 211

PMBOK12

Gateway

DSDM13

Overig

Project charter

Review 1 Business Justification Review 1 Business Justification Review 2: Delivery Strategy Review 3 Investment Decision Review 4 readiness for service Review 5 Operations review and benefits realisation

Feasibility report Business Area definition

Parker & Benson Information economics Val IT van ISACA

Managen van scope, tijd, geld en integratie

46

Project mandaat

Project mandaat

Business case

Business case

Projectplan (inclusief planning)

Project brief PID Project plan Stage plan Product Breakdown structure + Product Flow diagram Project schedule

Projectmanagementplan / charter Scope statement en scope Managementplan Work / resource breakdown structuur Project programma Activiteitenlijst Milestone list Resource requirements Cost management plan

Review 1 Business Justification Review 2 Delivery Strategy Review 3 Investment Decision Review 4 Readiness for service

Outline plan Development plan System architecture definition Implementation plan Timebox plan

Voortgangsrapportages

Highlight reports, end stage reports, exception reports

Performance report Forecast

Review 2 Delivery Strategy Review 3 Investment Decision

Review reports

11 - How Prince2 can complement PMBOK and your PMP, Jay M Siegelaub, 2004: http://www.pmiwestchester.org/downloads/Prince2PMBOK.pdf 12 - -Comparison of Pmbok v3 vs Prince2 rel 4, http://www.goalgroup.com.au/files/goal/pdfs/Table_Comparing PMBoK V3 vs PRINCE2 rel 4.pdf 13 - Using DSDM and Prince 2 Whitepaper, DSDM Consortium, 2003

47

Bijlage 2 Overzicht Methoden - Producten

Methode

Product

Prince

PMBOK

Gateway

DSM

Communication plan

Communications management Plan

Review 2 Delivery Strategy Review 4 Readiness for service

Development plan Outline plan

PID Risk Log

Risk response plan Risk management plan Risk register

Review 1 Business Justification Review 2 Delivery Strategy Review 3 Investment Decision Review 4 Readiness for service

Risk Log

Overig

Managen van communicatie Communicatieplan Risicomanagement Risico-analyse

FIRM

Managen van kwaliteit/ Delivery management

48

Kwaliteitsplan + review documenten

Project Quality plan Issue log Quality log

Quality management plan

Review 1 Business Justification Review 2 Delivery Strategy Review 4 Readiness for service

Review records Development plan

Testplan*

Niet specifiek genoemd (deels onderdeel van Project Quality plan, verder gezien als specialisten product)

Niet specifiek genoemd (deels onderdeel van Quality management plan)

Review 4 Readiness for service Review 5 Operations review and benefits realization

Development plan

Evaluatie

Lessons learned reportEnd Project report/ Post project review plan

Review 5 Operations review and benefits realisation

Post implementation review report

Acceptatiecriteria

Acceptance criteria

Requirements

Review 2 Delivery Strategy Review 4 Readiness for service

Requirements list

Product beschrijvingen

Product descriptions/ Configurationitem records Product checklists

Quality checklists

Conversieplan*

n.v.t (gezien als specialisten producten)

Configuration management plan*

Configuration management plan

Opleidingsplan

Onderdeel van stageplan of PID

Tmap

Development plan

http://www.theiia. org/ ITAuditArchive/index.cfm?act=ITAudit. archive&fid=5495 COBIT

Review 4 Readiness for service

Development plan Review 4 Readiness for service

49

Bijlage 2 Overzicht Methoden - Producten

Methode

Product

Prince

PMBOK1

Gateway

DSM

Overig

Review 5 Operations review and benefits realisation Implementatieplan (inclusief fallback/ uitwijk)

Onderdeel van stageplan of PID

Review 2 Delivery Strategy Review 4 Readiness for service Review 5 Operations review and benefits realisation

Implementation plan User documentation

Development plan

HR Management Project structuur

Organisation structure (in PID)

Role and responsibilities descriptions Staffing management plan Project organization chart

Review 1 Business Justification Review 2 Delivery Strategy

n.v.t (gezien als specialisten producten)

Procurement management plan Risk related contractual agreements Contract statement of work

Review 1 Business Justification Review 2 Delivery Strategy Review 3 Investment Decision Review 4 Readiness for service Review 5 Operations review and benefits realisation

Inkoop management Afspraken met leveranciers*

COBIT

* Niet voor elk project even relevant, vooral van belang voor IT project

50

51

IIA Nederland

Internal Audit is een onafhankelijke, objectieve beoordelende en adviserende activiteit, ontworpen om waarde toe te voegen en de operationele processen van de organisatie te verbeteren. Het ondersteunt de organisatie bij het bereiken van haar doelstellingen door een systematische en gedisciplineerde aanpak voor het beoordelen en verbeteren van de effectiviteit van de processen op het gebied van risicomanagement, beheersing en bestuur. Het Instituut van Internal Auditors Nederland (IIA) is de grootste beroepsvereniging van internal auditors in Nederland. De missie van IIA is om het beroep internal audit in Nederland te ontwikkelen en te promoten en daarvoor internal auditors, management en andere belanghebbenden te ondersteunen bij een succesvolle invulling van de internal auditfunctie.


Praktische handvatten voor het auditen van projecten Projecten en programma’s zijn een relatief nieuw, maar belangrijk gebied voor veel internal auditors. Het management wordt meermaals geconfronteerd met budgetoverschrijdingen, doorlooptijden die langer zijn dan verwacht en een uiteindelijke functionaliteit die lager is dan verwacht. De internal auditor kan het management ondersteunen in het tijdig signaleren van risico’s en het bijsturen van projecten. Deze notitie vormt daartoe een praktische toolkit, waarmee de internal auditor zijn toegevoegde waarde kan vergroten. Uitgaande van een proactieve rol en een risicogeoriënteerde benadering wordt aandacht besteed aan: • de mogelijke rollen van de auditor • de factoren die bepalend zijn voor de gewenste invulling van de project audit • bij de project audit te gebruiken instrumenten.


IIA Nederland Postbus 5135 Gooimeer 4 - 15 1410 AC NAARDEN tel. +31 (0) 88 00 37 100 fax +31 (0) 35 694 74 27 www.iia.nl

Project Auditing. Handvatten voor de internal auditor. Instituut van Internal Auditors Nederland

Recommend Documents