Van Haren Publishing:
platform voor kennis en content
World Leading Publis Best Practices and M V a n H a r e n P u b l i s h i n g B . V. projectie01.indb 12 Adv 420x297_management boeken.indd 1
Hogeweg 14-02-13 15:09
Van Haren Publishing biedt informatie van hoge kwaliteit standaarden en best practices die essentieel zijn voor een succesvolle organisatie, beheer en ontwikkeling binnen de overheid, het bedrijfsleven, lijnorganisaties, en/of projecten. Het zijn de boeken van Van Haren Publishing die eenvoudig inzicht geven in complexe materie en helpen bij examens. Alle boeken zijn leverbaar via de boekhandel en via www.vanharen.net
Management boeken Deze boeken vind je door in de search engine op www.vanharen.net de ISBN-nummers in te geven.
Bestel nu onalrienn.nee!t www.vanh
› ISBN 9789087536107
€ 23.85
› ISBN 9789087536688
€ 23.85
› ISBN 9789087536398
€ 42.34
› ISBN 9789087534981
€ 26.50
› ISBN 9789087534974
€ 26.50
ublisher of Standards, d Methods
geweg 39-F projectie01.indb 13
5301 LJ
Zaltbommel
www.vanharen.net
T: + 3 1 ( 0 ) 4 1 8 5 7 7 0 4 0
E:
[email protected] 14-02-13 14-01-13 15:09 17:24
Hoe borgen succesvolle managers de oplevering van een project?
Acceptatiecriteria bij het eind van een project In de eindfase van een project vindt in de stuurgroep de go live bespreking plaats. De stuurgroepleden proberen zich een beeld te vormen of het project alles heeft opgeleverd en dan kunnen de projectresultaten in de productieomgeving gezet worden. Vraag is hoe doen ze dat? Meestal levert de projectmanager een lijst van projectresultaten en steekproefsgewijs wordt nagegaan of bij een projectresultaat de juiste partijen zijn betrokken. Maar hoe kan de stuurgroep vaststellen dat de projectresultaten getest zijn, dat alle relevante stakeholders betrokken zijn en dat alle meegegeven normenkaders toegepast zijn op de projectresultaten? Na de decharge van het project hopen de stuurgroepleden dat de set van projectresultaten volledig is geweest, want anders volgt er onverwacht meerwerk. Op deze verassing zitten de stuurgroepleden niet te wachten.
I
n dit artikel wordt uiteengezet hoe de resultaten (output van een project) te relateren zijn aan de eisen (input) meegegeven aan een project. De requirements worden gerelateerd aan de normenkaders en drijfveren van het project. Bij de output van het project wordt aangegeven wie erbij betrokken was en welke testen en controles hebben plaatsgevonden. De testen en controles linken we aan de requirements. Hierdoor maken we het transparant welke normenkaders en drijfveren van toepassing en wie advies of goedkeuring heeft verleend inzake de projectresultaten. Zie ook de onderdelen in
auteurs Mathias Feyen
figuur 1. Als dit overzicht geboden wordt, kan de stuurgroep beter onderbouwd, tot acceptatie overgaan.
Aanleiding In de eindfase van een project wordt toestemming gevraagd aan de stuurgroep om live te mogen gaan met de projectresultaten. Als stuurgroeplid probeert u zich een beeld te vormen van het project en/of het daadwerkelijk in productie kan gaan. Naast uw intuïtie heeft u behoefte aan feiten en bewijsmateriaal die uw oordeel staven. Vaak wordt het acceptatiecriterium gehanteerd
Hilco Tappel (hilco.
(
[email protected])
[email protected])
is werkzaam als
is werkzaam als senior
zelfstandig consultant.
projectmanager/ consultant bij
Figuur 1 Overzicht van input en output m.b.t. projectresultaten
ConQuaestor.
14
IPMA Projectie Magazine | 01-2013
projectie01.indb 14
14-02-13 15:09
van ‘go live kan, als <x% van alle testen status open hebben en er geen showstopper meer bij zit’. Maar welke zekerheid geeft dit acceptatiecriterium? Weet u nu zeker dat alle normenkaders zijn meegenomen met de projectresultaten? Bijvoorbeeld in ons project bij een klantorganisatie, werd pas laat duidelijk dat een logical access report opgeleverd diende te worden als gevolg van toepassen van interne normenkader over security. Dit projectresultaat zou niet op het netvlies staan, als er niet nauwkeurig naar de normenkaders was gekeken. Hoe weet u dat de juiste mensen gekeken hebben naar een projectresultaat? Bijvoorbeeld bij de opgeleverde autorisatiematrix keek de stuurgroep met name naar het advies van de adviserende experts, mede omdat het echt doorgronden van een autorisatiematrix niet eenvoudig is. Vraag aan de projectmanager om inzicht te verschaffen in het voortbrengingsproces van de output, de projectresultaten. Vraag aan de projectmanager inzichtelijk te maken welke eisen zijn meegenomen en in welk resultaat deze terugkomen. Tussen de input en de output van een project is voor de eenvoud in figuur 1 alleen requirements en testen en controles geplaatst. In de projectpraktijk zitten er nog veel meer zaken tussen, maar in essentie komt het toch neer op deze onderdelen. Bij het bespreken van de projectresultaten in de stuurgroep, wordt gepleit om acceptatiecriteria te hanteren die het wie en het wat bestrijken. Reden: de stuurgroepleden kijken niet alleen naar de projectresultaten, maar gaan ook af op het advies van derden om te besluiten of de projectresultaten voldoen aan de verwachtingen.
Normenkaders. Bij de start van een project zou snel duidelijk moeten zijn welke interne en externe normenkaders meegegeven worden aan dat project. Bijvoorbeeld bij een compliance project zal rekening worden gehouden met de externe normenkaders. Een project dient echter ook vaak te voldoen aan interne normenkaders van bijvoorbeeld architectuur, security, IT beheer, IT change, processen, waarderingssystemen, et cetera. Waarom wordt er zo veel nadruk gelegd op het toepassen van normenkaders? De IT beheerorganisatie heeft bijvoorbeeld veel ervaring met onvolledige projectresultaten die in beheerfase tot extra werk hebben geleid. Om dat te voorkomen heeft zij haar interne normenkader opgesteld en laten goedkeuren door senior management. Om de scope van het project goed te managen, dient in het projectplan vermeld te staan welke normenkaders van toepassing zijn in het project. Andere redenen kunnen business drijfveren zijn. Dit betreft de drijfveren om een project op te starten. Bijvoorbeeld het voldoen aan een bepaalde wetgeving of het efficiënter maken van een bepaald proces. Deze business drijfveren worden gecombineerd met de normenkaders, die aan het project worden opgelegd die worden uitgewerkt in requirements.
waarbij alle stakeholders betrokken zijn. Hieronder volgen twee voorbeelden van requirements. Voorbeeld één. Er is gebruik gemaakt van een applicatie die buiten de eigen organisatie beheerd wordt. Voor cloud computing geldt een intern normenkader waarbij in het contract met de leverancier vastgelegd moet zijn, dat een toezichthouder onderzoek ter plaatse bij de cloud-service leverancier kan doen. Deze eis (requirement) zal leiden tot een output resultaat in de vorm van een clausule in de overeenkomst met de leverancier. Voorbeeld twee. Uit interne normenkader over confidentialiteit integriteit en beschikbaarheid is de requirement afgeleid dat alle toegangsrechten van de applicatie op maandbasis moeten worden gerapporteerd aan en gereviewed door de eigenaar van die applicatie. Deze requirement heeft impact op het maandproces van access management. De requirements leiden tot onder andere functionele - en procesontwerpen, die vervolgens gerealiseerd, getest of gecontroleerd worden. Om te valideren of de gerealiseerde projectresultaten voldoen aan de eisen, zal het project testen of controles uitvoeren. Het is van belang dat de test- en controlescenario’s gekoppeld worden aan de requirements. Zo kan geborgd worden dat alle requirements worden meegenomen en gekoppeld aan projectresultaten. Zie figuur 1 voor de relatie. Een requirement zonder test- of controlescenario vereist dus tekst en uitleg. Dit geldt natuurlijk ook voor een projectresultaat zonder test- of controlecasus. Via deze aanpak kunnen stuurgroepleden daadwerkelijk vaststellen dat alles getest en gecontroleerd is. Hieronder volgen voorbeelden van een testcase en een controlecase. Testcase voorbeeld. Een intern normenkader betreft continuïteit. Hieruit is een requirement afgeleid dat ‘de applicatie X met al haar productiedata binnen 48 uur beschikbaar dient te zijn voor de gebruikers in het uitwijkcentrum na optreden calamiteit’. De testcase is een uitwijktest en die leidt tot een gedocumenteerde bewijslast. Het projectresultaat is dat applicatie X ook is meegenomen bij de bedrijfsbrede uitwijk. Controlecase voorbeeld. Het projectresultaat is een procesontwerp. Er wordt gecontroleerd of procesontwerp conform de interne normenkaders is opgesteld. De reviewer kijkt naar zaken zoals ‘is duidelijk welke applicatie wordt gebruikt bij welke processtap’, ‘is het risico goed beschreven en staat de uitwerking daarvan in applicatie control of operationele control goed uitgewerkt in de procesdocumentatie’. De reviewfindings moeten opgepakt en verwerkt worden in een nieuwe versie van dat procesontwerp. Vanuit project standpunt vereist deze aanpak een administratie die de relaties tussen requirements - testen/controles en projectresultaten inzichtelijk maakt. Door gebruik te maken van deze administratie, is de projectmanager in staat om aan te geven welke projectresultaten afdoende getest en gecontroleerd zijn en aan welke nog gewerkt wordt. Doordat het aantal test- en controlecases vaak omvangrijk zijn, is het raadzaam deze te groeperen en ordenen.
Voortbrengingsproces van een project (requirements, testen en controleren)
De output van een project (projectresultaten, hun status en de bespreking er van in stuurgroep)
Requirements. Uit de normenkaders en business drijfveren worden requirements afgeleid. Een requirement is een eis of behoefte, die bijdraagt aan de doelstellingen van de organisatie op strategisch (waarom?), tactisch (wat?) of operationeel niveau (hoe?). De Requirement staat voor het beheerst veranderen van product, proces, organisatie of systeem welke duidelijk, consistent, ondubbelzinnig en testbaar beschreven wordt en
Een gemiddeld project levert tientallen projectresultaten op. Zie figuur 2 met een subset van genummerde projectresultaten uit een project bij een klantorganisatie. De projectmanager dient te borgen dat de eigenaar de projectresultaten goedkeurt. In vele gevallen zal de eigenaar een advies willen hebben van een expert alvorens het projectresultaat goed te keuren. Stel de lijnmanager van afdeling X is eigenaar van
Input van een project (normenkaders en business drijfveren)
>
01-2013 | IPMA Projectie Magazine
projectie01.indb 15
15 14-02-13 15:09
Sign off control reports
3,19
31-7-2012
Bestaande processen review (22 stuks)
4,1
29-8-2012
Intern, process assurance &
Nieuwe processen (3 stuks)
4,2
7/9/2012
x X
x
Lijnmanager IT beheer
x
x x
verandering
x
Lijnmanager IT
x
Intern, operationale risico’s Intern, process assurance
X
Lijn expert architectuur
X
Lijn expert kwaliteit
x
10/1/2012
Lijn expert testen
6/9/2012
2,4
Lijn expert risico’s
2,1
Lijn expert security
Valuation manual review Organisatie manual over xxx
Lijn expert performance
Intern, valuation manual Extern, xxx regelgeving
Werkgroep processen
Wanneer
Werkgroep waarderingsvraagstukken
nr
Project executive
Projectresultaat
Project adviesgroep
Normenkaders
Project stuurgroep
Beslissen (X) of adviseren (x)
x
X
x
X
x
x
x
operationele risico’s Intern, testbeleid
Testscenarios en -sets
5,2
31-8-2012
X
Intern, testbeleid & IT beheer
Sign off user acceptance test
5.3.1
7/9/2012
X
Intern, IT change
Handover testadministratie naar IT
5.3.2
5/9/2012
x
5,3
7/9/2012
X
x x x
X
x
x
x
change Intern, operationele risico’s &
Sign off operational & application
process assurance
controls
Extern, xxx regeling
Sign off pre verificatie/audit
5,5
15-8-2012
X
Intern, IT beheer
Service Level Agreement
6.1.1
14-9-2012
X
Intern, security
Quick scan ASP/cloud policies applicatie 6.5.2
4/2/2012
X
Intern, IT beheer & process
Business Impact Analysis inzake uitwijk
6.5.4
9/9/2012
X
Authorization matrix applicaties
6.5.7
6/9/2012
X
x x x
x x
x
x
assurance Intern, security & operationele
x
x
x
risico’s
Figuur 2 Aftekenlijst van projectresultaten
>
16
applicatie Y. Iemand moet de testscenarios en testcases behorende bij het testplan goedkeuren. Formeel is dat de lijnmanager. Deze zal zich echter graag laten adviseren door de testexpert in zijn organisatie en nagaan of de testscenario’s en testcases van goede kwaliteit zijn en conform de interne normenkader, zie projectresultaat 5.2 uit figuur 2. Nadat de testexpert een positief advies heeft gegeven over de testscenario’s en testcases, kan de eigenaar van de applicatie met een gerust gemoed de goedkeuring geven. Om deze zaken overzichtelijk te administreren kan gebruik gemaakt worden van een aftekenlijst of tolpoort. Een aftekenlijst is een lijst met alle projectresultaten, waarbij verder wordt aangegeven wie wanneer goedkeurt en wie er advies heeft gegeven. Figuur 2 is een zo’n aftekenlijst, waarbij de hoofdletter X staat voor de beslisser en de kleine letter x voor de adviseur van dat projectresultaat. De van toepassing zijnde normenkaders zijn ook toegevoegd. Zo wordt inzichtelijk gemaakt welke input heeft geleid tot welke output en welke specialist een review of advies heeft gedaan op dat projectresultaat. Gedurende de uitvoering van het project wordt de aftekenlijst steeds weer besproken met de stuurgroep, zodat de verzameling en de voortgang van de projectresultaten gevolgd kan worden. Als u als projectmanager een stuurgroepvergadering heeft met go live op de agenda, dan doen we u de volgende aanbevelingen: •T oon de lijst met alle projectresultaten. Leg uit welke normenkaders zijn gebruikt en tot welke projectresultaten ze hebben geleid. Leg uit welke expert een advies heeft gegeven bij welk goedgekeurd projectresultaat. Met behulp van de onderliggende administratie zoals in figuur 1 weergegeven, kunt u
antwoorden geven op vragen van de stuurgroepleden. De stuurgroepleden krijgen zodoende meer zekerheid dat de set van projectresultaten volledig is. Verder kunnen de stuurgroepleden vaststellen welke expert bij welk projectresultaat betrokken is geweest. • Toon lijst met alle openstaande test- en controlecases met een aanduiding of het een showstopper is ja/nee. Leg uit wanneer en door wie welke openstaande test- of controlecase zal opgepakt worden.
Conclusie Als uw project als enige acceptatiecriterium heeft ‘geen showstoppers van testcases en ten hoogste x% van alle testcases heeft status openstaand’, dan hopen wij dat u inspiratie heeft opgedaan na het lezen van dit artikel en dat u er uw voordeel mee doet. De beschreven aanpak tracht een antwoord te geven op vragen als: welke normenkaders zijn meegenomen, welke requirements zijn van toepassing, welke testen zijn uitgevoerd; wat zijn de resultaten van deze testen? De auteurs zijn van mening dat het accepteren van de projectresultaten een mix is van het wie (wie keurt goed, wie adviseert?) en het wat (welke normenkaders zijn meegegeven, in welk projectresultaat zie ik een uitwerking daarvan, welke gedetailleerde requirements zijn van toepassing, zijn alle requirements gerelateerd aan geteste of gecontroleerde uitwerkingen en welk projectresultaat betreft dat?).
IPMA Projectie Magazine | 01-2013
projectie01.indb 16
14-02-13 15:09