Project Assurance

Executive Master of Internal Auditing

Project assurance Zekerheid Comment by Mocking (Open): titeltechnisch zou jouw referaat wel eens alleen kunnen gaan over assurance van projecten en niet van programma’s en portfolio’s aangezien je later een onderverdeling maakt naar portfolio assurance, programma assurance etc. Kijk hier even naar.Zekerheid geven op het behalen van organisatiedoelen door mangement door middel van proejcten

afstudeerThesis

Begeleider: M.C. Wolters RE CISA

Versie: 0.43

4 juli 2010

WMG Mocking

Jan van Walréstraat 10

2032XN Haarlem

M: 06 1234 2847

E: wouter@mocking.net

S: 6020301

Disclaimer

Deze thesis is geschreven ter afsluiting van de studie Executive Master of Internal Auditing aan de Amsterdam Business School van de Universiteit van Amsterdam.

© Copyright 2010 - alle rechten zijn voorbehouden. De inhoud van deze thesis mag niet worden gebruikt voor publicatie of verspreiding in welke vorm dan ook zonder voorafgaande schriftelijke toestemming van de auteur.

I Managementsamenvatting

Nog toe te voegen[footnoteRef:1] [1: In bijlage A is een verklarende woordenlijst opgenomen]

II Voorwoord

Deze scriptie is geschreven in het kader van het afstuderen aan de Executive Master of Internal Audit (EMIA) aan de Business School van de Universiteit van Amsterdam (UvA). (The path to success is to take massive, determined actions Anthony Robbins)

Mijn keuze voor het onderwerp komt voort uit mijn interesse voor verandertrajecten en projecten binnen bedrijven. In mijn huidige werk zie ik vaak dat organisaties strategische veranderingen in een projectvorm doorvoeren. Vaak halen projecten de voorafgestelde doelstellingen deels of soms helemaal niet. Dit riep bij mij de vraag op hoe de internal audit functie een bijdrage kan leveren in het kader van beheersing. Om antwoord te geven op deze vraag is de validatie in de praktijk een belangrijk onderdeel geweest. Daarom waardeer ik de bereidheid van de drie geïnterviewden om hun gedachten en meningen te delen en mijn bevindingen te valideren en te verrijking.

Ik ben mijn mentor Dhr K. Wolters erg dankbaar voor het optreden als klankbord enzijn flexibiliteit om tijd vrij te maken om feedback te geven op mijn thesis.

Ook dank ik mijn scriptievrienden waarmee ik vele avonden samen heb gezeten om op en buiten kantoor aan de scriptie te werken.

Deze thesis is niet alleen de afsluiting van de afstudeerfase maar ook de afsluiting van een periode van twee jaar. Ik wil iedereen in mijn directe omgeving bedanken voor de steun tijdens deze twee jaar. Ich möchte auch mein Nachbar in einer Entfernung drückten ihre Unterstützung danken.

Als laatste dank ik mijn vrouw, die mij altijd gesteund heeft.

Wouter Mocking

Haarlem, 27 juli 2010

III Inhoudsopgave

DisclaimerII

I ManagementsamenvattingIII

II VoorwoordIV

III InhoudsopgaveV

1Inleiding1

2Onderzoeksontwerp2

2.1Aanleiding2

2.2Doelstelling2

2.3Onderzoeksvraag2

2.4Relevantie voor het vakgebied3

2.5Onderzoeksstrategie3

2.6Onderzoeksopzet5

2.7Onderzoeksmateriaal5

2.8Producten5

3Projectmanagement en project assurance6

3.1Ontstaan projectmanagement6

3.2Huidige stand van zaken Projectmanagement7

3.3Project assurance9

3.4Rollen binnen projecten10

3.5Samenvatting13

4Hoe kan de pa-rol een portfolio, programma en project auditen?14

4.1Project planningsproces14

4.2Niveau van audit15

4.3Normenkader17

4.4Samenvatting18

5Belang van Competentiemanagement19

5.1Opdeling van IAF medewerkers19

5.2Competenties en verschuiving van competenties19

5.3Externen22

5.4Samenvatting22

6Samenvatting literatuur23

7Uitwerking praktijk24

7.1Inleiding24

7.2Methodiek24

7.3Inleiding tot bedrijven24

7.4Op welk niveau binnen portfolio-, programma- en projectmanagement voert de Interal audit Functie project assurance uit?24

7.5Wie binnen de IAF voert de project assurance rol uit?26

7.6Welke aspecten tellen mee voor de keuze om een medewerker van de IAF de project assurance rol te laten vervullen?27

7.7Samenvatting praktijk28

8Conclusie en aanbevelingen29

8.1Hoe vraag29

8.2Wie binnen de IAF komt volgens de theorie in aanmerking voor de pa-rol31

8.3Aanbevelingen32

8.4Vervolgonderzoek32

Appendix I Literatuurlijst33

Appendix II Verklarende woordenlijst35

Appendix III Casus Protocol36

Project assurance binnen de Internal Audit Department

Chapter: I Managementsamenvatting

2

I Managementsamenvatting

III

1. Inleiding

Projects are about delivering change.

(Cleland, 1999)

Het citaat geeft weer dat elk project een drijfveer heeft; verandering. Deze verandering komt tot stand door een tijdelijke organisatie die een uniek en van te voren bepaald eindresultaat wil behalen binnen een vastgestelde tijd met vastgelegde middelen (Prince2, 2005).

Projecten maken een groot onderdeel uit van het dagelijkse leven. In de media komen ze meestal in het nieuws als projecten van grote aard niet slagen, zoals de Noord-Zuid lijn in Amsterdam en de SAP-implementatie bij de Free-Record-Shop. Projecten van het kaliber Noord-Zuid-lijn komen niet vaak voor bij bedrijven. Enterprise Resource Planning-implementaties, zoals SAP, daarentegen wel.

Daarnaast zijn er nog voorbeelden te noemen van projecten die binnen bedrijven uitgevoerd worden, aanbestedingsprojecten, kostenreductieprojecten, HR-projecten. Onderzoek wijst uit dat veel projecten binnen bedrijven deels of zelfs helemaal falen. Het gaat dan vaak om het falen op een van de volgende onderdelen van de bovenstaande definitie vanuit Prince2: budgetten die overschreden worden, deadlines die niet gehaald worden of doelen die deels of zelfs helemaal niet gehaald worden.

Een van de oplossingen om grip te krijgen op projecten is het inrichten van de project assurance rol (pa-rol). Ik kom vanuit mijn werk bij Deloitte bij veel klanten en vaak zie ik dat project assurance onderbelicht is bij Internal Audit Functies (IAF). In mijn ogen is project assurance voor de IAF een uitbreiding van het dienstenportfolio en wordt dit momenteel slechts beperkt toegepast. Door deze observatie vanuit het veld is mijn belangstelling naar dit onderwerp gewekt.

Daarnaast valt mij op dat de literatuur over projectmanagement zich veelal beperkt tot ICT-projecten. Deze tendens zie ik ook terug bij de IAF’s, waar in veel gevallen de IT-auditor de pa- rol vervult.

Ik merk daarom op dat door het gebrek van een echte onafhankelijke pa-rol, er in veel projecten onvoldoende sturing is op risico’s en op het mitigeren hiervan gedurende het project.

Ik richt mij in mijn onderzoek op IAF’s die in meer of mindere mate invulling hebben gegeven aan de project assurance rol, aangezien ik wil vaststellen wat die rol precies inhoudt, wie binnen de IAF deze rol vervult en waarom het op die manier is ingericht. Comment by Rob van der Pol: Je richt je op het onderwerp toch? En als voortvloeisel daarvan kijk je ook in de praktijk

Onderzoeksontwerp

Verschuren en Doorewaard (1998) delen een onderzoeksopzet op in twee onderdelen, namelijk conceptueel ontwerp en onderzoekstechnisch ontwerp. In dit hoofdstuk bespreek ik beide ontwerpen. Het conceptueel ontwerp, oftewel: het wat, waarom en hoeveel er onderzocht wordt bestaat uit de doelstelling en vraagstelling. Vervolgens bespreek ik het technisch ontwerp, de onderzoeksstrategie, het onderzoeksmateriaal en de onderzoeksplanning.

Aanleiding

In het tijdperk van dynamische markten, wisselende omgevingen en toenemende globalisering veranderen veel bedrijven voortdurend hun strategie, organisatorische structuur, processen en systemen. Veel veranderingen worden ingekapseld in (grote) projecten. Tijdens de opzet, overgang en migratieperiode van deze projecten ontstaan risico’s. Risico’s op het gebied van het eindproduct, ‘is dit wel wat wij willen?’, maar ook in het proces, ‘hoe zijn wij tot een go gekomen?’. Om grip te krijgen op projecten wordt veelal een internal auditor aangesteld voor het uitvoeren van project assurance. De internal auditor heeft hiervoor verschillende inzichten en kwaliteiten nodig.

Doelstelling

De doelstelling van mijn onderzoek is:

Het in theorie vaststellen wie binnen de IAF op welke wijze de pa-rol zou moeten invullen, kijkend naar portfoliomanagement, programmamanagement en projectmanagement[footnoteRef:2] en het vaststellen hoe deze theorie zich verhoudt tot de praktijk. [2: In bijlage A is een verklarende woordenlijst opgenomen. Tevens worden de deze begrippen in de komende hoofdstukken toegelicht]

Een doel van mijn thesis is niet het ontwikkelen van een competentietabel voor de pa-rol of een normenkader ontwikkelen voor projecten. Comment by Mocking (Open): Is dit voldoende? Normen

Onderzoeksvraag

De onderzoekkwestie bevat een reeks vragen die in de thesis wordt beantwoord (Verschuren & Doorewaard, 1998). Deze vragen zijn afgeleid van de onderzoekdoelstelling.

Hoofdvraag

De doelstelling leidt mij naar de volgende hoofdvraag:

Wie binnen de IAF komt volgens de theorie in aanmerking voor de pa-rol binnen portfoliomanagement, programmamanagement en projectmanagement van een organisatie en hoe wordt deze rol in de praktijk uitgevoerd?

Deelvragen

Ik beantwoord mijn hoofdvraag door middel van een aantal deelvragen. Uit de hoofdvraag is op te merken dat mijn onderzoek tweeledig is, namelijk een theoretisch onderzoek en een praktijkgericht onderzoek. In mijn praktijkonderzoek ga ik de theorie valideren. Ik heb de volgende deelvragen opgesteld:

A Theorie

1. Hoe staan portfoliomanagement, programmamanagement en projectmanagement in relatie tot de project assurance rol?

2. Hoe kan de project assurance rol een projectportfolio, -programma en management auditen?

3. Wie binnen de IAF is geschikt om de portfoliomanagement, programmamanagement en projectmanagement audit binnen de IAF uit te voeren?

B Verificatie in de praktijk

4. Op welk niveau binnen portfoliomanagement, programmamanagement en projectmanagement voert de Internal Audit Functie project assurance uit?

5. Wie voert binnen de Internal Aaudit Functie de project assurance rol uit?

6. Welke aspecten tellen mee voor de keuze om een medewerker van de IAF de project assurance rol te laten vervullen?

n.b. In paragraaf 2.5.2. Case study ga ik verder in op de te kiezen cases.

Relevantie voor het vakgebied

Binnen organisaties behoort het uitvoeren van projecten bij de dagelijkse praktijk. Over de werking van projecten is veel geschreven, vaak zijn dit onderzoeken naar succes- of faalfactoren en gericht op ICT-vraagsstukken. De internal audit functie kan een bijdrage leveren in het succesvol afsluiten van een project door in een onafhankelijke rol sturing te geven aan projecten en risico’s tijdig op te merken en te adresseren.Comment by Rob van der Pol: Ik denk dat je hier wat meer moet schrijven, met name omdat je jezelf ook afvraagt hoe vernieuwend je stuk is.Misschien kun je ook nog een aanvulling maken t.a.v. IIA, of de opleiding (onderbelicht aspect ofzo, dan wat tactischer verwoord).

Onderzoeksstrategie

Dit onderzoek bestaat uit een combinatie van verschillende onderzoeksmethoden om ervoor te zorgen dat de uitkomsten en resultaten correct en relevant zijn voor het vakgebied van de internal auditor. In figuur 1 is het onderzoeksproces schematisch weergegeven. Verschuren en Doorewaard (1998) onderscheiden vijf onderzoekstrategieën. De strategieën, of de onderzoekmethodes, die zij onderscheiden zijn: (1) onderzoek, (2) experiment, (3) case study, (4) gefundeerde theoriebenadering en (5) deskresearch. Elk van hen hebben verschillende kenmerken. In mijn onderzoeksstrategie maak ik gebruik van een literatuurstudie, ofwel desk research, en case study.

Figuur 1: procesweergave onderzoeksstrategie

Literatuurstudie

Ik begin mijn onderzoek met een literatuurstudie om een visie te ontwikkelen over het onderwerp. Tijdens deze studie maak ik gebruik van reeds verschenen artikelen, papers en boeken. Met de literatuurstudie geef ik antwoord op deelvragen 1, 2 en 3. De antwoorden dienen als input voor het praktijkonderzoek.

Case study

Naast de literatuurstudie bestaat mijn onderzoek uit een vergelijkende (hiërarchische) case study. Een case study is een onderzoek waarbij de onderzoeker probeert om een diepgaand inzicht te krijgen in een of enkele tijdsruimtelijk begrensde objecten of processen (Verschuren & Doorewaard, 1998).

De keuze voor de hiërarchische case study komt door de korte doorlooptijd van de afstudeerfase. Ik beoordeel de case studies onafhankelijk van elkaar. Vanuit de theorie stel ik een normenkader op waarmee ik de case studies kan vergelijken. Dit biedt mij een handvat om overeenkomsten en verschillen te traceren en deze te verklaren.

De selectie van de case studies neemt een cruciale plaats in de onderzoeksstrategie (Verschuren & Doorewaard, 1998). Yin (1994) stelt als voorwaarde dat de geselecteerde cases een weerspiegeling zijn van de kenmerken en problemen, die in de onderliggende theoretische stellingen geschetst zijn. Eisenhardt (1989) onderschrijft dit en voegt hieraan toe dat de populatie geselecteerd moet worden op overeenkomsten om conclusies te generaliseren, maar ook verschillen om de vraagstelling te kunnen onderzoeken. Daarom hanteer ik de volgende selectie criteria:

· De IAF moet in enige vorm betrokken zijn bij projecten

· De IAF moet over verschillende IA functies (bijvoorbeeld RE, RO, RA) beschikken binnen het team.

Gezien de beperkte doorlooptijd richt ik mij op 3 cases. IAF’s mogen uit verschillende industrieën komen, zolang ze voldoen aan de twee genoemde criteria. Tevens morgen niet meer dan twee IAF’s uit een ICT branche komen. Dit laatste is belangrijk om diversiteit binnen de populatie te houden.

Een protocol is een essentieel onderdeel van elk case study (Eisenhardt, 1989). Een protocol bevat de strategie voor het onderzoek, maar ook de procedures en de algemene regels die worden gevolgd met behulp van het instrument. De volgende elementen moeten in een protocol verwerkt worden (Yin, 1994):

· Overzicht van de studieopzet (doelstellingen, problemen, literatuur en onderzoek)

· Onderzoeksprocedures (toegang tot informatie, geheimhouding)

· Interviewvragen (specifieke vragen die de onderzoeker in gedachten moet houden tijdens het verzamelen van gegevens)

· Vertaling van de analyse naar het rapport (inhoud, formaat voor het verhaal).

Kwalitatief vs. kwantitatief

Aanvullend op de case study is de keuze of het een kwantitatief (reductionistisch) of kwalitatief (holistisch) georiënteerde studie is (Verschuren & Doorewaard, 1998). De case study is een kwalitatieve onderzoekmethode, wat betekent dat het belangrijk is om de volledige ketting van bewijsmateriaal expliciet te maken, zodat de lezer de relaties tussen theorie, gegevensbronnen, de technieken van de gegevensanalyse, en de conclusies kan volgen (De Vries, 2005). Door expliciet te zijn over de onderzoekmethode stijgt de betrouwbaarheid van de analyse en de betrouwbaarheid van mijn onderzoeksresultaten.

Onderzoeksopzet

Hiermee kom ik tot de volgende schematische weergave van mijn onderzoeksopzet:

Comment by Mocking (Open): Vergelijken met inhoudsopgave

Figuur 2: Schematische weergave onderzoeksopzet

Onderzoeksmateriaal

Als onderzoeksmateriaal zal ik voornamelijk literatuur, interviews en documenten ter ondersteuning van de case studies gebruiken. Verschuren en Doorewaard (1998) noemen deze combinatie van methoden brontriangulering.

Literatuur heeft een reflectief karakter (Verschuren & Doorewaard, 1998), waarmee ik theoretische inzichten verkrijg op het vakgebied.

De ontsluiting van de bronnen heeft voornamelijk individueel plaatsgevonden. Dit heeft als voordeel dat de geïnterviewden in verhouding snel beschikbaar zijn. Daarnaast kon ik door vragen te stellen praktijkervaringen van de geïnterviewde noteren, zonder die ervaring zelf te hoeven mee maken.

De case study strategie wordt gebruikt om praktijkvoorbeelden te analyseren, evenals het analyseren van documenten.

Producten

Het onderzoek gepresenteerd in bovenstaand figuur resulteert in de volgende documenten:

· Literatuurstudie naar PA, internal audit;

· Theoretisch model;

· Verificatie van theoretisch model in praktijksituatie;

· Conclusies en implicaties voor zowel de praktijk en onderzoek.

Ontwikkeling Projectmanagement en project assurance

In dit hoofdstuk beantwoord ik de volgende vraag:

Hoe staan portfoliomanagement, programmamanagement en projectmanagement in relatie tot de project assurance rol?

Om deze vraag te beantwoorden definieer ik eerst wat ik onder projectmanagement versta om vervolgens de link te leggen naar project assurance. Allereerst start ik met het in kaart brengen hoe projectmanagement is ontstaan.

Ontstaan projectmanagementComment by Mocking (Open): Aanpassen naar projectorganisatie of project geörienteerde bedrijven?

Om inzicht te krijgen op het gebied van projectmanagement, zoals het nu bestaat, is het van belang om te begrijpen hoe het vakgebied is veranderd in de tijd. Projectmanagement wordt regelmatig geconfronteerd met uitdagingen, zoals nieuwe hulpmiddelen, methoden en benaderingen van het uitvoeren. Als een ‘emerging profession’ (Project Management Institute, 2000) blijft het vakgebied groeien en zich aanpassen. Sinds het ontstaan van projectmanagement in de jaren vijftig hebben academici en vaklui nieuwe inzichten toegevoegd. Hierdoor wordt projectmanagement steeds breder ingezet binnen bedrijven.

Zoals gezegd is projectmanagement ontstaan in de jaren vijftig van de vorige eeuw. Netwerkanalyse- en planningstechnieken als Programme Evaluation and Review Technique (PERT) en Critical Path Method (CPM) vormen de basis van de ontwikkeling in projectmanagement (Crawford, Pollack, & England, 2006). Een decennium later worden de eerste professieverenigingen opgericht (Stretton, 1994).

Shenhar (1996) constateert een focus op samenwerking als bepalende rol binnen projectmanagement in de jaren zeventig, terwijl Stretton (1994) de ontwikkeling van systeemontwikkeling en verbreding van de projectmethodiek, bijvoorbeeld work brakedown structure (WBS), opmerkt. De jaren tachtig en negentig worden gekenmerkt door een focus op projectorganisatie, projectrisico’s, externe invloeden en de ontwikkeling van projectmanagement standaarden en certificering (Shenhar, 1996).

In het begin van deze eeuw verschuift de focus van ‘het goed managen van een project’ naar ‘de aansluiting vinden tussen de project- en organisatiedoelen’. White en Fortune (2002) hebben onderzoek gedaan naar de huidige ontwikkelingen onder projectmanagers bij verschillende projecttypen en branches. Uit een analyse van 236 vragenlijsten (populatie 995) was bovenstaande verschuiving kenbaar. Uit het onderzoek kwam wel naar voren dat de drie belangrijkste criteria om het succes van een project te meten nog steeds tijd, geld en het eindproduct zijn.

Dit komt ook terug in de ontwikkeling van de definitie van projectmanagement. De traditionele definitie van een project is: ‘een tijdelijke organisatie die een uniek en van te voren bepaald eindresultaat wil behalen binnen een vastgestelde tijd met vastgelegde middelen’ (Prince2, 2005). Srivannaboon (2006) zegt hierover: ‘As opposed to the traditional stereotype, the recent literature recognizes project management as a key business process .. when organizations link their projects to their business strategy, they are better able to accomplish their organization goals’.

Dat de traditionele manier van kijken naar projecten niet volledig is, illustreren Shenar et al. (2001) met het voorbeeld van het Sydney Opera House[footnoteRef:3]. Dit project duurde drie maal zo lang als geraamd en het budget ging vijf maal over de kop. Volgens de traditionele definitie geen succesvol project. Daar tegenover staat dat het gebouw een trekpleister voor Australië is en het daardoor een positieve impact heeft gehad om Sydney op de toeristische landkaard te zetten. Uiteindelijk dus een succesvol project. [3: Zie ook: http://strategicppm.wordpress.com/2009/09/25/the-sydney-opera-house-and-project-management/]

Huidige stand van zaken Projectmanagement

Het voorgaande voorbeeld illustreert een ontwikkeling in het kijken naar projectenmanagement, namelijk de bijdrage van een project aan de organisatiedoelstellingen. Deze ontwikkeling vind ik terug komen in de stroming van de Project-orientated company (POC) (Gareis, 2004). Gareis licht zijn visie toe over de nieuwe inzichten van projecten als tijdelijke organisaties en sociale systemen.

Gareis benadrukt dat bedrijven steeds meer project georiënteerd raken. Project georiënteerde bedrijven beschouwen projecten niet alleen als een middel om middelgrote en grote proceswijzigingen door te voeren, maar als een strategische optie voor de organisatorische vormgeving van het bedrijf. Hierbij ontstaat een hybride vorm tussen de project- en bedrijfsorganisatie, zoals weergegeven in figuur 3.

(Figuur 3 Organisatieoverzicht van een project georiënteerde organisatie)Hij zegt daarbij dat het niet meer gaat om het managen van projecten, maar om het managen door middel van projecten. Dit geeft in mijn ogen een andere kijk op dit thema. Projecten worden op deze wijze een middel om organisatiedoelen te behalen. De focus komt daarmee te liggen op de vraag waarom bepaalde projecten wel worden uitgevoerd en waarom andere niet. Immers, als een bepaald project niet wordt uitgevoerd, wordt er gekozen voor een ander project die andere doelen nastreeft. Dit selectieproces vindt plaats op het niveau van projectportfoliomanagement.

In het vervolg spreek ik over portfolio- en programmamanagement in plaats van projectportfoliomangement en projectprogrammamanagement.

Portfoliomanagement

Portfoliomanagement wordt gedefinieerd als een verzameling van alle projecten die een organisatie heeft op een bepaald punt in de tijd en de relaties tussen deze projecten. In een portfolio kunnen verschillende soorten projecten, zoals interne en externe projecten; unieke en repetitieve projecten, marketing, contracting, organisatorische ontwikkeling van projecten en infrastructuurprojecten worden opgenomen (Gareis, 2004).

Portfoliomanagement overstijgt projectmanagement. De projecten samen bieden de mogelijkheid om, vanuit het perspectief van een projectgeoriënteerde onderneming, een bedrijfsstrategie te coördineren. Dit geeft het strategische karakter weer. Moore (2009) versterkt dit door portfoliomanagement in het licht van innovatie te plaatsen. Binnen elk bedrijf zijn medewerkers met ideeën voor bijvoorbeeld nieuwe producten en procesverbetering. Elk idee kan leiden tot een project. Moore zegt: ‘A robust portfolio selection process is a valuable component of this [innovation] process. In order to achieve this, projects must be aligned with the strategic goals of the business … making critical changes to portfolio selections ensures that all projects target results consistent with the organizations’ strategic direction’.

Hiermee doet Moore dus een beroep op het hoger management om een actieve rol te hebben in het selectieproces. Immers, het gaat om strategische keuzes. Het portfolioselectieproces is dus een continu proces met eenmaal een ijkpunt in het jaar. Dit ijkpunt is bedoeld om een evaluatie te doen over alle actieve en inactieve projecten binnen het project portfolio.

Programmamanagement

Zodra een keuze is gemaakt in de verschillende projecten kan blijken dat verschillende projecten hetzelfde doel nastreven. Het samenvoegen van projecten wordt een programma genoemd.

Een programma is een tijdelijke organisatie voor de uitvoering van een bedrijfsproces van grote reikwijdte. Een programma bestaat uit verschillende nauw gekoppelde projecten en activiteiten. Het heeft een tijdsdimensie en een middellange of lange termijn in duur (Gareis, 2004). Typische programma's zijn de ontwikkeling van een productfamilie (en niet van een enkel product), de implementatie van een uitgebreide IT-oplossing voor een internationaal concern, de reorganisatie van een groep van ondernemingen in een holdingstructuur en investeringen in infrastructuur. Deze activiteiten zie ik op tactisch niveau.

Hoewel Platje et al (1994) stellen dat een programma gelijk is aan een portfolio, geven ze wel een verrijking aan programma’s. Namelijk dat programma’s gebruik maken van een gemeenschappelijke poel van resources (afdelingen of experts). Hiermee geven ze dus aan dat op programmaniveau bepaald wordt welke projecten voorrang hebben en dus meer resources mogen gebruiken.

Nieuwenhuis (2008) concludeert in zijn onderzoek dat project overstijgende risico’s onvoldoende worden beheerst waardoor de uiteindelijke projectresultaten niet geheel aansluiten met de beoogde benefit voor het programma. Dit kan verklaard worden doordat projectmanagers operationeel bezig zijn (Shenhar et. al., 2001). Projecten worden opgezet, waarbij veel belang wordt gehecht aan de business case. Dit is ook terug te zien in de aanpak van de Prince2 methodiek. Echter, zodra het project vast start is gegaan, lijkt het erop alsof de projectleden in een trein zijn gestapt en dat ze pas stoppen als ze bij de eindhalte zijn. Er wordt geen rekening gehouden met veranderende interne en externe omstandigheden. Projecten kunnen (deels) niet meer relevant zijn door organisatiewijzigingen, veranderingen in de strategie of een andere nieuwe baanbrekende technologie, maar ook wijziging in wet- en regelgeving of concurrenten die de markt betreden.

Het bewaken van de business case tijdens de looptijd van een project is van belang om vroegtijdig te signaleren of het eindproduct van een project of programma voldoet aan de wensen van de business.

Daarnaast kan de complexiteit binnen een programma oplopen als er meerdere projecten tegelijkertijd uitgevoerd worden. De complexiteit neemt verder toe als de projecten afhankelijk van elkaar zijn. Payne (1995) onderschrijft dit in zijn onderzoek naar het managen van meerdere projecten en de complexiteit die daarbij komt kijken. Hij geeft hierbij aan dat het monitoren van vele verschillende projecten ondoenlijk wordt voor het management. De complexiteit kan verminderd worden door gebruik te maken van een methode.

Projectmanagement

Waar een projectenprogramma bestaat uit meerdere projecten en een programmadoelstelling nastreeft, streeft projectmanagement het behalen van een deel- of afgeleide programmadoelstelling na. Er zijn vele projectmethodieken met ieder een eigen kijk op projectvoering en projectfasering.

Na een inventarisatie komt Baardman (2006) op 38 verschillende projectmanagementmethodologieën, waarvan hij op basis van criteria, zoals toepasbaarheid en gebruik, een set van 10 methoden vergelijkt. Uit deze analyse komt Prince2 naar boven als zijnde de meeste generieke projectmanagementmethoden. Gezien de uitkomst van het onderzoek hanteer ik Prince2 als voorbeeld methodiek tijdens mijn onderzoek.

Prince2 is in 1989 ontworpen door het toenmalige Central Computer and Telecommunication Agency (CCTA) van de Britse overheid. In oorsprong was deze methodologie geënt op ICT-projecten, echter sinds 1996 is de methode bestempeld als standaard voor alle typen projecten. Ik gebruik Prince2 om inzicht te geven in de verschillende fasen van een project en belangrijke rollen die de beheersing van een project vergroten. Prince2 bestaat uit de volgende processen:

1. Designing a Plan: (Plan ontwerpen)

2. Defining and Analysing Products (Producten definiëren en analyseren)

3. Identifying Activities and Dependencies (Activiteiten en afhankelijkheden identificeren)

4. Estimating: (Schatting maken van project)

5. Scheduling (Tijdschema opstellen)

6. Analysing Risks (Risico’s analyseren)

7. Completing a Plan (Projectplan voltooien)

Naast de verschillende processen heeft elk project één of meerdere eindproducten (Hartog & Cleton, 2009). Het eindproduct is afhankelijk van het type project, bijvoorbeeld een rapport, maar het kan ook een nieuwe organisatiestructuur of product zijn.

Methodiek

Er zijn verschillende redenen om één methodiek te gebruiken. De belangrijkste redenen zijn:

· Zorgt voor een standaard, herhaalbare aanpak die kan worden gebruikt om een project op te leveren.

· Vergroot de kansen op succes van een project door het identificeren en beheren van bekende risicogebieden.

· Zorgt voor een structuur voor projectmanagers om hun projecten te beheren.

Project assurance

Gelijktijdig aan de recente ontwikkeling van projectmanagement in deze eeuw ontstond de behoefte aan extra zekerheid rondom het behalen van de doelen van een project. Projecten voldeden vaak niet aan de verwachting van de opdrachtgever of faalden simpelweg (Belassi & Tukel, 1996; Racelli, 2005; Crawford, et. al., 2006). Daarnaast nemen het aantal en de complexiteit van projecten toe. Dit zorgt ervoor dat opdrachtgevers van een project tijdig zekerheid willen dat een project zal slagen. Zeker als het gaat om projecten met een strategisch karakter. Deze behoefte heeft ertoe geleid dat de IAF betrokken is geraakt bij projecten. Dit past ook bij de taak van de operational auditor: namelijk het verschaffen van aanvullende zekerheid aan het management over de kwaliteit van beheersing van de doelstellingsrealisatie. Hiermee levert hij een belangrijke bijdrage aan de continuïteit van de organisatie (Molenkamp & De Cock, 2004).

(assurance-rol: bijvoorbeeld project reviews en post go-live reviews. Dit is de natuurlijke, traditionele rol van de internal auditor;adviserende rol: adviserende rollen zijn rollen die kunnen worden vervuld met randvoorwaarden;participerende rol: participerende rollen die eveneens onder voorbehoud (met randvoorwaarden) kunnen worden vervuld;rol die de auditor niet kan vervullen in projecten: bijvoorbeeld het actief managen van deze projectrisico’s.)Eigenschappen project assurance

De betrokkenheid bij een project stelt andere eisen aan de IAF. Een project bezit namelijk een aantal karakteristieke eigenschappen, waardoor het uitvoeren van project assurance opdrachten verschilt van een ‘gewone’ opdracht. Denk bijvoorbeeld aan de beperkte doorlooptijd van een project. Daarbinnen moet een duidelijk en concreet product opgeleverd worden. Het is belangrijk dat dit product aansluit bij de strategische doelen van een organisatie en dat risico’s van het niet bereiken hiervan ook binnen het project gemanaged worden. Verder is het belangrijk te beseffen dat een projectorganisatie vaak naast de lijnorganisatie bestaat. Er is een eigen budget en in veel gevallen wordt gebruik gemaakt van externe inhuur van menskracht. De bekendheid en naleving van (interne) regelgeving en procedures vormen dan speciale aandachtspunten. Dit zorgt ervoor dat de aanlooptijd tot de audit vaak korter is dan reguliere audits en dat aanpassingsvermogen wordt gevraagd van de IAF. Hierdoor is er beperkt de tijd om het audit object te begrijpen en beheersmaatregelen in te richten.

Huibers (2009) heeft in zijn scriptie onderzoek gedaan naar de mogelijke rollen van de IAF bij projecten. Hij heeft de rollen van de internal auditor in projecten ingedeeld in vier categorieën, zie het kader. Ik richt mij op de assurance rol, type 1 van het spectrum van Huibers. De project assurance rol gaat in op het zekerheid verschaffen aan het bestuur van een organisatie over de bijdrage van een project aan de bedrijfsdoelen. Voordat ik in ga op rol van project assurance ga ik eerst in op de definitie van project assurance.Comment by Mocking (Open): Klopt dit?

Definitie project assurance

Project assurance moet niet verward worden met een project audit. Een project audit is een eenmalige ‘foto’ die wordt gemaakt gedurende of aan het einde van de looptijd van een project (Dopmeijer, 2005). Project assurance daarentegen is een ‘film’. Het gaat erom dat (gedurende) het project door een onafhankelijke rol een beoordeling plaatsvindt.

Prince2 (2005) hanteert een definitie binnen de methodiek. Zij zegt: ‘Project assurance heeft betrekking op alle onderdelen van het project inclusief de aandachtsgebieden van de business, gebruiker en leverancier en kan niet gedelegeerd worden aan de projectmanager’. In de definitie wordt terecht gesteld dat de projectmanager de pa-rol niet kan vervullen. Het ontbreekt de definitie aan een verwijzing naar een onafhankelijk rol. Verder geeft Prince2 aan dat de assurance rol optioneel is en dat de rol namens een lid van de stuurgroep acteert. Deze definitie en invulling van deze rol is in mijn ogen niet de juiste. Om drie redenen. Enerzijds omdat de stuurgroep niet altijd vertegenwoordigd is door het bestuur en daardoor niet onafhankelijk genoeg kan acteren en rapporteren. Daarnaast heeft de assurance rol volgens Prince2 niet de mogelijkheid te rapporteren via de IAF naar de audit committee, wat de rol echt onafhankelijk maakt. Tevens vind ik dat de definitie niet volledig is, aangezien de focus niet ligt projectportfolio en projectprogramma.

Onderdeel van project assurance is ‘assurance’. Het Instituut van Internal Auditors (IIA) hanteert de volgende definitie voor assurance: ‘assurance diensten betrekken de objectieve beoordeling van de interne accountant om een onafhankelijke mening of conclusies af te geven met betrekking tot een entiteit, de werking, functie, proces, systeem of andere zaak te verstrekken’ (IIA, 2010). Arens e.a. (2003) definiëren assurance services als volgt: ‘an assurance service is an independent professional service that improves the quality of information for decision makes. Such services are valued because the assurance provider is independent and perceived as unbiased with respect to the information examined’. Het gaat om het bieden van zekerheid over een beslissing door middel van een onafhankelijk mening of conclusie.

Als laatste wil ik nogmaals benadrukken dat het mij niet gaat om projectmanagement, maar om het managen door middel van projecten. Daarbij gaat het om het behalen van bedrijfsdoelen door het uitvoeren projecten. Het is van belang om dit onderscheid te maken omdat dit invloed heeft op het werkgebied van de pa-rol en de definitie. Het werkgebied wordt hierdoor niet alleen beperkt tot projecten, maar uitgebreid met onder andere portfoliomanagement.

Daarmee kom ik tot de volgende definitie van project assurance:

Project assurance is het vormen van een onafhankelijke mening of conclusie met betrekking tot een project, -organisatie, project(eind)product of -proces vanaf het projectselectieproces tot aan het realiseren van de doelstelling van een project of programma met als doel het management te ondersteunen in het nemen van beslissingen over projecten, programma’s en portfolioselecties.

Rollen binnen projectenComment by Mocking (Open): Opzet prima, maar dit hoofdstuk kan nog wat beter worden gestructureerd. Check ook even of alles wat je opmerkt klopt met je figuren.

Binnen projecten kunnen vele verschillende rollen worden gedefinieerd. Hoeveel rollen gedefinieerd kunnen worden en de verscheidenheid die daarin wordt aangebracht is afhankelijk van de grootte van het project, maar ook van de impact van het project op de organisatiedoelen. Gesteld kan worden dat hoe strategischer het project is voor een organisatie, hoe meer beheersing het management erover wil.

In de literatuur ben ik de volgende rollen tegen gekomen die over het algemeen voorkomen bij een project: de stuurgroepleden, de project controller, stuurgroeprollen, procesmentor en de quality assurance rol.

Stuurgroep

Een kenmerk van Prince2 is de stuurgroep welke als beheersingsinstrument een belangrijke rol speelt in de afstemming tussen de organisatie doelstellingen en de uiteindelijke resultaten in het project. De stuurgroep heeft als belangrijkste taak het vervullen van een initiërende, signalerende en op doelstellingen bijsturende rol ten aanzien van een project (Lof & Van Vliet, 2002). Deze taak kan nader worden omschreven als het regelmatig beoordelen van het projectresultaat, de projectdoelstelling en de projectrisico’s aan de hand van rapportages. Na afronding van een projectfase zal de stuurgroep moeten bekijken of de projectresultaten voldoende zijn, de projectdoelstellingen nog gelden en de projectrisico’s aanvaardbaar zijn en/of in voldoende mate worden afgedekt.

De Prince2-projectmethodiek onderkent drie vertegenwoordigende rollen in de stuurgroep om ondervertegenwoordiging te voorkomen (Prince2, 2005). De business-managerrol is de projecteindverantwoordelijke en eigenaar van de business case. Hij beoordeelt het project in relatie tot de bedrijfsdoelstelling en het bedrijfsbelang, de rechtvaardiging van de kosten afgezet tegen de baten. De senior-gebruikerrol vertegenwoordigt de groep die gebruik zal gaan maken van de op te leveren producten van het project. Daarnaast verzekert deze rol de goede aansluiting van de projectresultaten op de gebruikerseisen. De senior-leverancierrol levert de benodigde menskracht, goederen en/of diensten voor het project. Deze rol draagt zorg voor de degelijkheid van ontwerpen en producten en voor het volgen van standaarden. Daarnaast beoordeelt de leverancier de haalbaarheid van op te leveren producten binnen de gestelde grenzen van tijd en kosten.

Quality assurance

In lijn met de stuurgroep samenstelling vanuit de Prince2 methodologie, onderscheidt Dopmeijer (2005) naast project assurance ook quality assurance (QA). Hij geeft hierbij aan dat project assurance onderdeel is van de stuurgroep en deze draagt ook de verantwoordelijkheid van het uitvoeren van deze rol. QA valt onder de verantwoordelijkheid van de projectmanager en is gericht op het projectresultaat. QA zorgt ervoor dat het product voldoet aan de eisen van de gebruikers en dat het de gewenste functionaliteit en kwaliteit biedt (Jurison, 1999). Hoewel de inrichting van beide beheersinstrumenten per project kan verschillen, is het van belang dat de kwaliteitsborging zowel binnen het project als op stuurgroep niveau is ingericht, zodat de projectresultaten en organisatie doelstellingen voldoende worden beheerst.

Proces mentor

Een andere rol wordt door Maas (2010) geïntroduceerd, de procesmentor.  De procesmentor zorgt ervoor dat binnen de projectenorganisatie procesverbeteringen en best practices worden ingevoerd. Deze roldrager zal daartoe projectleden opleiden en coachen en hun producten reviewen. De procesmentor rapporteert rechtstreeks aan het hoofd PMO (project management office), welke aan de stuurgroep rapporteert.

Verhouding rollen tov de pa-rol

De vraag is hoe deze functies zich verhouden tot de pa-rol. Is de pa-rol uniek ten opzichte van de andere rollen en moet de pa-rol er aan te pas komen om de huidige problematiek op te lossen. Ik maak dit inzichtelijk via het three lines of defence model. Ik licht het model kort toe. De eerste lijn (first line of defence) is lijnmanagement, ofwel de business en project management. Zij hebben de primaire verantwoordelijkheid voor het toezicht en de controle van de operaties door middel van beheersmaatregelen. De tweede lijn (second line of defence) bestaat uit de ondersteunende functies, bijvoorbeeld Internal Control, Risk Management, Compliance en Quality Assurance. De derde lijn (third line of defence) is de IAF. De IAF geeft aanvullende zekerheid op de activiteiten van de eerste en tweede lijn. Huibers (2009) komt tot een model waarin hij de drie lijnen binnen de reguliere organisatie samen met de projectomgeving weergeeft. Ik maak hier een afgeleide van, zie Figuur 4 3 lines of defense.

Figuur 4 3 lines of defense

De vraag is nu of de project assurance rol wel nodig is. Kan de quality assurance rol of de project controller of de proces mentor niet dezelfde rol uitvoeren? Immers, is het niet de rol van de controller om het budget in de gaten te houden en te kijken of het project nog loont? En kijkt de quality assurance rol niet naar de kwaliteit?

De stuurgroep en de project manager zijn in het three lines of defence model de eerste lijn. Hier bestaat dus geen discussie over dat deze rollen de (onafhankelijke) project assurance rol niet kunnen vervangen.

De quality assurance rol valt onder de verantwoordelijkheid van de projectmanager en kan zelfs een en dezelfde persoon zijn. Een projectmanager die project assurance als onderdeel van zijn takenpakket heeft, heeft de mogelijkheid om geïdentificeerde fouten te verzwijgen. De projectmanager is immers verantwoordelijk voor de kwaliteit.

De procesmanager heeft een interne rapportage verantwoording aan het project management office. Hoofd van het project management office is de projectmanager. Hiermee ontstaat dezelfde situatie als bij de quality assurance rol.

Het onderscheid tussen de projectcontroller en de assurance rol is op het eerste gezicht klein. Beide kijken naar dezelfde onderwerpen zoals risico’s, business case en mijlpalen. Als ik verder inzoom op beide rollen zie ik een duidelijk verschil tussen de taken en verantwoordelijkheden van de project assurance rol en de projectcontroller. Het verschil gaat om het doel dat met de werkzaamheden wordt behaald. Projectcontrollers zijn verantwoordelijk voor effectieve ondersteuning van de projectleider bij alle activiteiten met betrekking tot projectbeheersing, waaronder planning, budgettering, boekhouding, rapportering, contractmanagement en risicomanagement (Markensteijn, 2004). De projectcontroller is hierbij verantwoordelijk voor het op orde hebben van de informatie die noodzakelijk is om projecten te beheersen. Hij is verantwoordelijk voor het signaleren van problemen en draagt daarvoor oplossingen aan. Hiermee is de projectcontroller onderdeel van het project en ontstaat hetzelfde risico als bij de quality assurance rol.

De project assurance rol van internal audit valt onder third line of defense. Hierdoor rapporteert hij naast de stuurgroep ook aan de audit manager en de audit committee. Daarnaast is het doel van de project assurance rol anders dan de project controller, namelijk aanvullende zekerheid geven over de activiteiten van de eerste en tweede lijn binnen het project. Hierbij kijkt hij naar de beschikbare informatie, opgesteld door onder andere de project controller, en geeft hier een oordeel over. Hiermee onderscheid de assurance rol zich, naast de project controller, van alle ander rollen binnen een project.

De hierboven besproken rollen staan ten opzicht van het 3 lince of defence model zoals hiernaast weergegven.

Figuur 5 Weergave projectrollen in ‘three lines of defence’ model

Samenvatting

Ik dit hoofdstuk staat de volgende vraag centraal:

Hoe staan portfoliomanagement, programmamanagement en projectmanagement in relatie tot de project assurance rol?

In dit hoofdstuk geef ik aan dat ik niet kijk naar projectmanagement, maar naar het management door middel van projecten. Dit komt voor uit de stroming van project georiënteerde bedrijven die projecten niet alleen als een middel beschouwen om middelgrote en grote proceswijzigingen door te voeren, maar als een strategische optie voor de organisatorische vormgeving van het bedrijf. Met deze verruim ik het blikveld en introduceer ik de termen portfolio-, programma- en projectmanagement geïntroduceerd.

Vervolgens heb ik de herkomst van de project assurance uitgelegd. Tevens geef ik aan dat door de kijk het managen van projecten de kijk op project assurance veranderd. Het speelveld van de project assurance rol is daarmee niet alleen een project, maar bevat ook onder andere portfoliomanagement, zie ook figuur 6. Als laatste kom ik tot de conclusie dat de project assurance rol zich onderscheid van andere rollen binnen projecten.

Uiteindelijk kom ik tot de volgende definitie van project assurance:

Project assurance is het vormen van een onafhankelijke mening of conclusie met betrekking tot een project, -organisatie, -eindproduct of processen vanaf de start tot aan het einde van een project of programma om het management te ondersteunen in de beslissing over projecten op project-, programma- of portfolioniveau.

Bovenstaande onderdelen samengevat in 1 model:

Figuur 6 Speelveld van de project assurance rol

Hoe kan de pa-rol een portfolio, programma en project auditen?

In dit hoofdstuk staat de volgende vraag centraal:

Hoe kan de project assurance rol een portfolio, programma en project auditen?

Als eerste geef ik aan dat de IAF vroegtijdig betrokken moet zijn bij projecten en hoe de IAF zijn beslissing kan onderbouwen om betrokken te raken bij een project. Dit vat ik samen als het project planningsproces. Vervolgens ga ik in op welke niveaus de pa-rol betrokken kan zijn bij projectmanagement. Als laatste ga ik kort in op een mogelijk normenkader per niveau.

Project planningsproces

Belangrijk vind ik dat de pa-rol tijdig betrokken is bij het project. De rol moet niet beperkt worden als een evaluatierol, maar juist een signalerende rol. Tevens is het belangrijk dat de keuze tot betrokkenheid onderbouwd is en dat wordt vastgelegd welke pa-rol nodig is en op welke wijze de rol ingevuld wordt.

Van der Marck (2005) geeft aan dat de vroegtijdige betrokkenheid van de IAF bij projecten ook een nadeel kan zijn. ‘Het nadeel ligt in een mogelijk te nauwe betrokkenheid waardoor het risico van ‘group think’ kan ontstaan’. De auditor wordt dan onderdeel van het beslissingsproces. Om dit te voorkomen is het belangrijk dat de pa-rol geen onderdeel van het project wordt. Hij mag dus niet deelnemen in een van de genoemde beheersingsgroepen in hoofdstuk 2, de QA-rol en stuurgroep.

Al tijdens de jaarplanning van de IAF moet vast staan welke projecten in scope zijn. ‘De planning moet een reflectie zijn van de door de top belangrijk geachte beheersingsvraagstukken’ (Driessen & Molenkamp, 2008). Het is dus van belang dat de IAF een overzicht heeft van alle projecten die zich afspelen en welke van deze projecten hoog op de agenda staan van het bestuur.

Idealiter bestaat er een lijst van alle projecten in een gecentraliseerd systeem waaruit de IAF rapportages verkrijgt op basis van risicofactoren zoals de kosten van het project, planning en duur van het project. Indien een dergelijke lijst niet bestaat, kunnen tijdens de jaarlijkse planningscyclus vragen worden gesteld aan de opdrachtgever, business en lijnfuncties. Bestaat er een projectmanagement office (PMO), dan is dit een bron van informatie voor de IAF om het projectuniversum vast te stellen. Het projectuniversum is de lijst met lopende projecten en projecten die binnen één jaar opgestart worden.

De IAF kan niet bij alle projecten betrokken zijn omwille van beschikbare mankracht, maar ook door de omvang van projecten. Derhalve dient er een selectie te worden gemaakt van de lopende projecten en de projecten die gaan lopen. Vooral voor projecten die nog opgestart moeten worden is het van belang dat de IAF betrokken is. Interne audits of evaluaties uitgevoerd tijdens de vroege fasen van het project zijn het meest waardevol, omdat zij issues vroegtijdig kunnen identificeren en kosten verlagen.

Het is van belang om systematisch te werk te gaan en dit vast te leggen om op een later moment te kunnen motiveren waarom bepaalde projecten onderdeel uitmaken van de audit universe. Daarom stel ik een selectieproces voor. Onderstaand project plannings proces voorstel heb ik gebaseerd op het model van GTAG (2008) en Standard 2010 van de IIA.

Figuur 7 Project Planningproces

Fase

Uitleg

A

De eerste stap in het definiëren van het jaarlijkse project audit plan is inzicht krijgen in de business en het projectuniversum definiëren. Als onderdeel van deze stap moet de IAF de strategieën, doelstellingen van de onderneming en het bedrijfsmodel begrijpen. Dit stelt de IAF in staat om de unieke organisatierisico’s te begrijpen. De IAF moet ook begrijpen hoe bestaande bedrijfsactiviteiten en servicefuncties ondersteuning bieden aan de organisatie. Een manier om het projectuniversum te bepalen is de top-down benadering die belangrijke bedrijfsdoelstellingen en –processen identificeert. Vervolgens kijkt de IAF naar projecten die gelieerd zijn aan deze doelstellingen en processen. Een andere benadering is de bottum-up beandering waar de IAF praat met bijvoorbeeld het projectenbureau, projectleiders of opdrachtgevers om zodoende belangrijke projecten te identificeren.

B

De tweede fase is het uitvoeren van de risicobeoordeling. Via een methodiek wordt bepaald of er projecten met risico’s aanwezig zijn die het bereiken van de bedrijfsdoelen en -doelstellingen op een effectieve, efficiënte en gecontroleerde manier belemmeren.

C

In de derde fase wordt de uitkomst van de risk assesment geordend . Vervolgens wordt er een keuze gemaakt welke projecten onderdeel gaan uitmaken van de audit planning.

D

De laatste fase staat in het teken van het vernieuwen van de jaarplanning. Tevens wordt aangegeven of het om assurance of consulting opdrachten gaat en het niveau waarop de audit uitgevoerd wordt.

Tabel 1 Uitleg van de fasen

Bij fase A en fase D geef ik aandacht aan de rol van de IAF. Het onderscheid tussen beide is dat in fase A bepaald wordt welke rollen toegestaan zijn door de opdrachtgever. Bij fase D bepaald de IAF in welke rol de IAF betrokken is bij het project.

Niveau van en type audit

Nadat vastgesteld is welke projecten in scope zijn en welke rollen de IAF wil innemen, moet bekeken worden op welk niveau de pa-rol gaat werken, zie ook fase D van de vorige paragraaf. Nieuwenhuis (2008) komt met vier invalshoeken waar vanuit de operationeel auditor naar projecten kan kijken, namelijk:

· Op programmamanagement niveau ter beoordeling van de risicobeheersing op programmaniveau;

· Op stuurgroepniveau waar de internal auditor de projectrisicobeheersing en de aansluiting van doelstellingen van het programma beoordeelt;

· Op het niveau van de projectmanager en de operationele projectmedewerkers;

· Een overall-audit waar de operational auditor de aansluiting van de projectresultaten met de programma- en organisatiedoelstellingen optimaal en onafhankelijk kan beoordelen.

Ik ben het gedeeltelijk eens met zijn onderverdeling. Echter het niveau van stuurgroep en programmamanagement niveau zie ik als hetzelfde. Daarnaast zijn de termen niet eenduidig. Om aansluiting te vinden op eerder gebruikte termen en ook aan te geven op welk niveau de werkzaamheden plaatsvinden hanteer ik de benamingn zoals weergegeven in onderstaande tabel. Daar geef ik tevens de aansluiting weer van de termen van Nieuwenhuis en mijn termen.

Termen Nieuwenhuis

Nieuwe termen

Overall-audit

Portfolio assurance

Stuurgroep en programmamanagement niveau

Programma assurance

Project manager niveau

Project assurance

-

Methodiek assurance

Tabel 2 Vergelijking nieuwe termen en de termen van Nieuwenhuis

Nu de niveaus van de audits zijn gedefinieerd zijn ga ik in op de type audits. Zoals eerder aangegeven geeft Dopmeijer (2005) aan dat de IAF op twee manieren betrokken kan zijn bij een project, namelijk de eenmalige project audit en het continu betrokken zijn via project assurance. Dopmeijer geeft gelijk aan dat de project audit vaak gebruikt wordt naar aanleiding van een incident. Saywer (2005) komt tot vier typen project audits, waarbij de focus ligt op de evaluatie achteraf. Dit ligt in lijn met de Dopmeijers project audit. Zoals eerder gezegd is dit niet de ideale situatie omdat dan mogelijk het kwaad al is geschiet.

GTAG (2009) komt tot een overzicht met de vijf meest voorkomende project gerelateerde audit typen:

1. Project risk assessment om risico’s en daarmee het succes van een project in te schatten;

2. Readiness assessment tijdens de afsluiting van belangrijke fasen;

3. Post implementatie review;

4. Audit van een projectfase die een mogelijke showstopper kan zijn;

5. Audit op de gebruikte projectmethodologie.

GTAG heeft een IT-achtergrond en richt zich daardoor op de IT-component binnen de typen projecten. Daardoor is deze opdeling niet voor alle projecten mogelijk. Om het generiek te maken voor alle projecten deel ik de door GTAG gedefinieerde type in naar proces assurance, inhoud assurance en methodiek assurance.

Proces assurance

Een proces assurance is gericht op de fasen binnen het project en de producten en deadlines die daarbij horen. Het gaat om het vaststellen van de aanwezigheid en het juist hanteren ervan. Het gaat niet om de kwaliteit van de inhoud en om de reden waarom deadlines niet gehaald worden.

Onder proces assurance vallen de type 2 en 4 van de GTAG indeling. De belangrijkste doelstelling voor het type twee audit is zekerheid geven over de afsluiting van een fase. Door vast te stellen dat een fase afgerond is volgens de methodiek en dat nieuw geïdentificeerde risico's of problemen gedocumenteerd zijn, alvorens de volgende fase wordt ingegaan. De belangrijkste doelstelling van type vier is veelal geassocieerd met de beoordeling van hoe nauw het projectmanagement de methoden volgt. Dit soort audits vindt plaats bij key fasen als een ‘go live’ moment.

Beide gaan dus in op de vastlegging van projecten in combinatie met een methodiek waarbij niet wordt ingegaan op de inhoud. Er vindt een vaststelling plaats, ofwel fact finding.

Inhoud assurance

Bij een inhoud assurance gaat het om de inhoud van de (eind)producten. Dit is dus een inhoudelijke toets. Voldoet het product aan de wens van de opdrachtgever, zijn alle risico’s geïdentificeerd en zijn de risico’s juist gemitigeerd?

Gerelateerd aan de inhoud zijn type één en drie audits, zoals door GTAG gedefinieerd. Type één gaat om het identificeren van de belangrijkste projectrisico's die de invloed kunnen hebben op de oplevering van de eindproducten. Hier gaat het om het bepalen hoe goed de projectrisico’s worden opgespoord en verholpen. Type drie heeft de kenmerk dat de audit plaats vindt op een vooraf bepaalde punt nadat het nieuwe systeem is live gegaan. Als voorbeeld wordt gegeven dat de vooraf gedefinieerd benefits van een programma worden gemeten. Daarmee wordt vastgesteld of het programma voldoet aan de vooraf opgestelde eisen.

Belangrijk onderscheid van een proces audit is dat hier inhoudelijk een oordeel wordt gegeven. Dit typeer ik als inhoud assurances.

Methodiek assurance

Methodiek assurance behandel ik als een bijzondere categorie, omdat het niet op één project of programma van toepassing hoeft te zijn. Bij dit type audits ligt de focus op het gebruik van een methodologie bedrijfsbreed. Dit komt overeen met de type vijf audit van GTAG. Type 5 gaat over de review van de overall projectmanagement methodiek en het opsporen van risico's en het aanwijzen van gebreken in de methodologie.

Portfolio assurance

Betrokkenheid van de IAF op portfolioniveau is van belang om de aansluiting tussen de gekozen programma’s en projecten en de bedrijfsdoelstellingen vast te stellen. Ook hier is de tweedeling te maken naar inhoud en proces audits.

Bij de audits om de inhoud gaat het in mijn ogen om strategie audits. Hierbij wordt een uitspraak gedaan door de IAF over prioriteiten die het management en bestuur stelt aan projecten en programma’s. Strikwerda (2009) maakt over strategie audit de volgende opmerking: ‘Het beoordelen van een geformuleerde strategie door derden blijft een gevoelige zaak, waarvoor tact en moed nodig zijn, aan beide zijden’. Veldhuis (2009) merkt in zijn afstudeerthesis daarbij op dat de rol van kritische beoordelaar van het strategisch managementproces een rol is die een transformatie van de IAF zal betekenen. Dit geeft aan dat strategie audits niet makkelijk en populair zijn onder de IAF’s.

Bij de audits om het proces gaat het in over een uitspraak doen over het proces van het tot stand komen van project of programma selecties. Aan de hand van een portfoliomethodiek wordt nagegaan of de methodiek juist gehanteerd is en of alle benodigde stappen doorlopen zijn. Hiermee wordt geen uitspraak gedaan over de uitkomst van het proces.

Programma assurance

Bij portfoliomanagement is bepaald welke projecten of programma’s prioriteit hebben gekregen van het bestuur of management. Nu is de vraag of deze projecten en programma’s opleveren wat ze volgens het management en bestuur zouden moeten opleveren.

Ook hier is de opdeling te maken naar de inhoudelijke audit en de proces audit. Op programmaniveau gaat het om de benefit zoals MSP (Managing Succesful Programma’s) het definieert, dus de bijdrage van een programma om een bedrijfsdoel te behalen. Nieuwenhuis (2008) geeft aan dat het niveau van programmamanagement niet geschikt is voor de beheersing van projectenrisico’s. Hier ben ik het mee eens, want juist op dit niveau moet de pa-rol toetsen of de business case nog steeds in lijn is met de organisatiedoelstellingen en kijken naar projectoverstijgende risico’s. Dit past bij een audit naar de benefits.

De proces audit gaat het, net als bij de portfolio assurance, of de programmamethodiek juist gehanteerd is en of alle benodigde stappen doorlopen zijn. Hiermee wordt geen uitspraak gedaan over de uitkomst van het proces.

Project assurance

Een project is het laagste niveau om een bijdrage te leveren aan een bedrijfsdoelstelling. Als onderdeel van een programma ligt hier de focus op het eindproduct. Ook hier is een tweedeling te maken naar inhoud en proces.

Bij de inhoudelijke audit wordt gekeken naar de (eind)producten van een project. Het gaat om de toetsing of de productspecifieke risico’s in combinatie met het project voldoende beheerst worden.Comment by Mocking (Open): Verder uitschijven

De proces audit gaat het, net als bij de portfolio en programma assurance, of de projectmethodiek juist gehanteerd is en of alle benodigde stappen doorlopen zijn. Hiermee wordt geen uitspraak gedaan over de uitkomst van het proces.

Methodiek assurance

Elk project en programma wordt middels een methodiek uitgevoerd. Tevens wordt de programmaselectie op portfolioniveau volgens een methodiek uitgevoerd. Deze methodieken kunnen als auditobject worden gezien door de IAF. Dit past bij type vijf audit, zoals ook vastgesteld door GTAG. Het verkeerd toepassen van een methodiek kan risico’s met zich meebrengen. Het is daarom van belang om periodiek het gebruik van de methodiek(en) in een organisatie te toetsen.

Samenvatting

In dit hoofdstuk staat de volgende vraag centraal:

Hoe kan de project assurance rol een portfolio, programma en project auditen?

Om antwoord te geven op deze vraag ben ik eerst op het project planningsproces ingegaan. Ik introduceerde het Project Plannings Proces, waarbij aansluiting wordt gezocht met strategische projecten uit het projectuniversum. Tevens heb ik de niveaus gedefinieerd waar project assurance opdrachten plaats vinden. Op elk van de niveaus zijn twee typen opdrachten mogelijk, namelijk gericht op het proces en de inhoud. Het proces gaat bijvoorbeeld om het vaststellen of alle documenten aanwezig zijn en of alles volgens planning verloopt. Inhoudelijk gaat het op portfolioniveau om de aansluiting tussen de project- en programmadoelen en de organisatiedoelen. Op programma- en projectniveau gaat het respectievelijk om de benefit en het (eind)product. Ik vat dit samen in Figuur 8.

Figuur 8 Schematische weergave van de conclusie van hoofdstuk 0

Belang van Competentiemanagement

In hoofdstuk drie geef ik antwoord op de vraag hoe de project assurance rol in verhouding staat tot de projectorganisatie en in hoofdstuk vier ben ik ingegaan op welk niveau binnen projecten de pa-rol een bijdrage kan leveren. In dit laatste hoofdstuk van mijn theoretisch kader geef ik antwoord op de volgende vraag:

Wie binnen de IAF is geschikt om de portfolio- , programma- en projectaudit uit te voeren?

Hierbij ga ik op zoek naar een manier om aan te geven wie binnen de IAF geschikt is voor de pa-rol en hoe een selectie gemaakt kan worden. Allereerst kom ik tot een opdeling van de aandachtsgebieden binnen de IAF aan de hand van competenties. Hierbij merk ik op dat er een verschuiving plaats vindt van de eisen die worden gesteld aan de aanwezige competenties binnen de IAF. Vervolgens geef ik aan dat competenties verschillen tussen medewerkers binnen de IAF en dat voor de project assurance rol specifieke eisen gesteld worden, naast de basis competenties die een internal auditor moet bezitten.

Opdeling van IAF medewerkers

Binnen een organisatie zijn verschillende functies te definiëren, waarvan de internal auditor er een van is. Vervolgens kan binnen de IAF een opdeling gemaakt worden naar profielen om onderscheid te maken tussen de verschillende medewerkers.

Een traditionele manier om onderscheid te maken tussen de medewerkers binnen de IAF is naar titels. Arens e.a. (2003) maken de opdeling naar ‘certified public accounting firms, government accountability office auditors, internal revenue agents, and internal auditors’. In Nederland is opdeling naar titels mogelijk: RA, RO, RE. Beide opdelingen houden verder geen rekening met de achtergrond, specialiteit of vaardigheden van de auditor om het vak uit te oefenen. Immers, veel auditors stappen over naar de IAF en brengen zodoende een bron van kennis en ervaring mee naar het audit vakgebied. Dit wordt niet meegenomen in de titels.

Om bovenstaande reden vind ik deze opdeling niet de juiste. Het gaat volgens mij om de bijdrage die een internal auditor kan leveren aan het management en de organisatie. Zoals Driessen en Molenkamp (2008) stellen, is ‘het duidelijk dat proceseigenaren tijdens het onderzoek een substantiële toegevoegde waarde van de internal auditors verwachten en dat deze bijdrage een uitermate kritieke factor vormt bij de introductie en de uitvoering van het onderzoek’. Tevens stellen ze dat de IAF een mix van kennisdisciplines bevat. Ter illustratie: een chemieconcern die kan overwegen een chemicus op te nemen in het team omdat het eenvoudiger is een chemicus uit te leggen wat beheersingsmaatregelen zijn, dan een internal auditor het vakgebied van een chemicus uit te leggen.

Competenties en verschuiving van competenties

Een betere manier om internal auditors te onderscheiden is via competenties. Het managen van competenties heeft tot doel het optimaliseren van menselijke prestaties in een bepaalde taak of functie (Hamel & Prahalad, 1990). Optimaliseren in het verlengde van de kerncompetenties van de organisatie, waarmee de organisatie zich uniek onderscheidt van andere organisaties.

In mijn ogen betekent dit dat de competenties van de IAF medewerkers een reflectie moeten zijn van de bedrijvigheid van een organisatie. Zo zal een IAF bij een financiële dienstverlener kennis moeten hebben van de Basel II en Solvency, een IAF bij een productiebedrijf van ISO-en NEN-normen en een project georiënteerd bedrijf kennis moet hebben van projectmethodieken en –risico’s.

Ik merk ook op dat er een verschuiving heeft plaats gevonden in de competenties van de internal auditors. De rol van interne auditors is geëvolueerd van de uitoefening van de traditionele interne audit werkzaamheden naar advies en zekerheid geven over alle bedrijfsprocessen. Dit blijkt ook uit de definitie van de internal auditing (IIA, 2010). De functie moet zich richten op waarde creatie voor het bedrijf en verbetering van bedrijfsprocessen.

Daarnaast heeft de internal auditor meer invloed dan voorheen, onder andere veroorzaakt door de schandalen van de laatste jaren. De positie van de IAF in de organisatie wordt nog meer versterkt omdat die van buitenaf wordt gelegitimeerd. Als verlengstuk van de Raad van Bestuur kan hij zijn specialistische kennis inzetten op het gebied van financiële verslaggeving, compliance, risico-identificatie door het management, strategische risico’s en de risico’s van de financiële structuur.

Hiermee wil ik aangeven dat de trend dat de rol van de IAF alsmaar groter en belangrijker wordt waarneembaar is. Door deze trend moet de IAF aan actief competentiemanagement doen. Voor project assurance betekent dit dat er competenties aanwezig moeten zijn op het gebied van project-, programma-, en portfoliomanagement en tevens op de verschillende producten die voort komen uit een product.

Dopmeijer (2005) onderschrijft mijn benadering. Hij stelt dat ‘om project assurance bij strategische projecten uit te kunnen voeren verschillende auditdisciplines nodig zijn. Het soort project (object) is in belangrijke mate bepalend voor de samenstelling van het auditteam. Afhankelijk van het onderzoeksobject moet in het auditteam sprake zijn van een passende deskundigheid’. Driessen e.a. (2008) zeggen dat ‘alleen dan kan de auditor een volwaardig gesprekspartner zijn van het management en is gefundeerde oordeelsvorming mogelijk’. Het in kaart brengen van competenties en het effectief gebruiken van competenties is dus belangrijk.

Maar wat is een competentie? Competenties zijn het geheel van vaardigheden, kennis en attitudes (of houdingen) die (groepen) medewerkers in staat stellen om de specifieke taken of bezigheden succesvol uit te voeren (Leerplek.be, 2010). Een competentie van een medewerker wordt daarom ook wel eens 'zijn handelingsbekwaamheid in een concrete bedrijfscontext' genoemd. Of een medewerker al dan niet over de juiste competenties beschikt om bepaalde taken uit te voeren hangt dus af van de bedrijfscontext waarin hij werkt.

Onder kennis verstaan we de dingen die een medewerker weet en kent. Je kunt bijvoorbeeld kennis hebben van een bepaalde taal, weten hoe een machine werkt, weten welke de veiligheidsvoorschriften in de onderneming zijn, weten welke stappen je moet zetten om een probleem op te lossen, enzovoort.

Vaardigheden laten mensen toe om bepaalde fysieke of mentale handelingen uit te voeren. Voorbeelden van vaardigheden zijn: in staat zijn een computer of een andere machine te bedienen, in staat zijn ingewikkelde berekeningen uit te voeren, in staat zijn een groep medewerkers te leiden (= een voorbeeld van 'sociale vaardigheden') of in staat zijn om zelfstandig te werken.

Een attitude is houding of instelling van medewerkers. Motivatie is een attitude die van vele medewerkers wordt verlangd. Ook resultaatgerichtheid, sociale ingesteldheid, ordelijkheid, flexibiliteit, kwaliteits- en veiligheidsbewustzijn zijn attitudes die van de meeste medewerkers worden verlangd.

Er zijn verschillende modellen die ingaan op competenties binnen de IAD (Government Internal Audit Profession, 2007; Auditors, 2010). Dit zijn uitgebreide modellen die inzicht geven in de competenties. Driesen en Molenkamp (2008) hebben van het IIA-model een competentielijst gedestilleerd met een aantal basis kennis- en vaardigheidselementen die een internal auditor moet bezitten:

Kennis- en vaardigheidselementen

Aandachtsgebieden

Theoretische kennis

Management control(modellen)

Organisatiekunde/bedrijfskunde

Omgevings- en organisatierisico’s

Informatietechnologie

Praktische organisatiekennis

Doelstellingshiërarchie

Besturingsfilosofie

Risicomanagement

Technische vaardigheden

Organisatiemonitoring

Financieel management

Accounting

Analytische vaardigheden

Dataverzamelingenleer

Waarheidsvinding

Oordeelkundige vaardigheden

Oordeelsvorming

Persoonlijke vaardigheiden

Dynamiek

Interpersoonlijke vaardigheden

Reflectief

Organisatievaardigheden

Managementvaardigheden

Tabel 3 Kennis- en vaardigheidselementen volgens Driesen en Molenkamp (2008)

De competenties van een werknemer zijn niet allemaal gelijk, ook niet van de internal auditors. Algemene competenties laten je toe om verschillende taken in erg uiteenlopende omstandigheden en situaties uit te voeren. Specifieke competenties zijn uiteraard ook nodig. Dit zijn de competenties die toelaten om juist één bepaalde job succesvol uit te voeren.

Het is ook de vraag in hoeverre elke auditor alle competenties moet en kan beheersen. Niet elke auditor is namelijk gelijkwaardig. Er worden andere competenties verwacht van een audit manager dan van een junior auditor. Driessen en Molenkamp (2008) onderkennen drie functies binnen de IAF:

· Audit manager / Chief Audit Executive: contact met auditee;

· Senior auditor: leider van audit team met mogelijk specialisme;

· Junior auditor: voert veldwerk uit in samenwerking met andere (junior)auditors en heeft frequent contact met de proceseigenaar.

Het IIA heeft inzichtelijk gemaakt dat per profiel andere eisen worden gesteld[footnoteRef:4]. Het is een uitvoerige lijst met per profiel een indicatie van de mate van beheersing van een aandachtsgebied. Deze aandachtsgebieden gelden als basis voor elke auditor. [4: Zie bijlage IV voor het competentieoverzicht opgesteld door het IIA]

Naast deze basis competenties worden er aanvullende competenties verwacht, afhankelijk van het niveau van de internal auditor en het type opdracht. Voor project assurance worden dus aanvullende competenties verwacht.Comment by Mocking (Open): Welke zijn dat dan? Dat lees ik niet echt terug en dat is wel de vraag toch?

Zoals eerder aangegeven maak ik een onderscheid tussen de auditobjecten ‘proces en ‘inhoud’. Bij fasen richten de competenties zich op de kennis van een projectmethodiek. De competentie-eisen verschillen niet per project, immers de methodiek dient als kapstok. Afhankelijk van de omvang van een project worden bepaalde elementen van de methodiek toegevoegd of weggelaten. Het gaat dan om het vaststellen of er bijvoorbeeld tijdig gerapporteerd is en of alle templates gebruikt worden. Het gaat niet om een inhoudelijke waardeoordeel. Bij de inhoud gaat het om een oordeel geven over de inhoud, namelijk het product op projectniveau, de benefit op programmaniveau en de strategie op portfolioniveau. Afhankelijk van het niveau waarop de audit plaats vindt, maar ook van het eindproduct op ieder niveau worden per project andere competenties verwacht. Bij dit type audits zie ik de uitdaging voor het hoofd internal audit om een match te vinden tussen de competenties van de internal auditor en de vraag vanuit het management. Hier kan de internal auditor namelijk de toegevoegde waarde laten spreken door enerzijds zekerheid te verschaffen door middel van een audit en anderzijds een onafhankelijke mening of advies te geven aan de stuurgroep en projectmanager. Een juist competentiemanagement is hier van belang.

Ik denk dat je dit nog wel iets meer zou moeten uitdiepen. Misschien aan de hand van een aantal voorbeelden. Verder denk ik zelf het volgende:

· Qua proces zou je eigenlijk elke auditor moeten kunnen leren een project te auditen. Je stuurt een auditor op cursussen Prince, programma management etc en je moet als audit organisatie een model ontwikkelingen waarmee je projecten, programma’s e.d. kunt onderzoeken. Verder gelden dezelfde skills als bij normale audits.

· Qua inhoud (dus product) heb je wel specifieke skills nodig en hiervoor zou je dus ook vaker moeten inhuren.

Wat natuurlijk interessant is is de vraag hoe ga je als audit organisatie met dit competentiemanagement om:

· Stel jezelf de vraag of je groot genoeg bent om ook project audits te kunnen doen

· Indien groot genoeg, leidt een aantal mensen op in de project assurance rol of neem mensen met die kennis aan

· Gaandeweg moeten mensen ook een gevoel krijgen bij het soort projecten dat de specifieke organisatie uitvoert

· Maak een keuze qua inhoud: inhuren of in dienst nemen

Externen

Juist competentiemanagement geeft ook aan wanneer competenties niet of niet voldoende vertegenwoordigd zijn binnen de IAF. Dan moet overwogen worden om een externe partij in te huren om zodoende alsnog aan de vraag van het management te kunnen voldoen. Driessen (2008) zegt daarover: ‘indien de benodigde specifieke kennis dan wel de bijzondere ervaring niet binnen de auditafdeling aanwezig is … één of meerdere specialisten uit andere afdelingen in te schakelen .. indien nodig capaciteit ‘van buiten’ aantrekken’. Onder externe partij kan ook een andere afdeling dan de IAF verstaan worden.

Het is dus van belang dat de IAF kennis heeft van competenties die aanwezig zijn en in welke mate. Alleen op deze wijze kan in mijn ogen voldaan worden aan de vraag van het management of de raad van bestuur.

Samenvatting

In dit hoofdstuk staat de volgende vraag gesteld:

Wie binnen de IAF is geschikt om de portfolio- , programma- en projectaudit uit te voeren?

Allereerst ben ik in gegaan op hoe onderscheid gemaakt kan worden binnen de IAF aan de hand van competenties. Ik heb vastgesteld dat er basiscompetenties voor een internal auditor aanwezig zijn en dat er aanvullende competenties nodig zijn om de project assurance rol in te kunnen vullen. De mate van beheersing van de competenties verschilt tussen een junior-, senior auditor en audit manager.

Zoals ik in hoofdstuk vier aangeef, is een opdeling naar inhoud en proces valide. Voor beide onderdelen worden andere competenties verwacht. De competenties voor ‘inhoud’ zijn relatief statisch door het karakter van de audit. Bij de inhoud gaat het om een oordeel geven over de inhoud, namelijk het product op projectniveau, de benefit op programmaniveau en de strategie op portfolioniveau. Afhankelijk van het niveau waarop de audit plaats vindt, maar ook van het eindproduct op ieder niveau worden per project andere competenties verwacht

Indien beide niet aanwezig zijn, moet besloten worden om een externe partij, een partij buiten de IAF, in te schakelen.

Samenvatting literatuur

Uit de theorie stel ik vast dat projecten binnen bedrijven steeds meer een strategisch karakter hebben en dat er onvoldoende grip is op de projecten. Tevens concludeer ik dat er nog geen juiste en volledige definitie is voor de project assurance rol. De onderscheidende eigenschappen van de rol vanuit de IAF worden hierdoor niet duidelijk zichtbaar waardoor vermenging met bijvoorbeeld de project controller en quality assurance rol mogelijk is. Daarom stel ik de volgende definitie op:

Project assurance is het vormen van een onafhankelijke mening of conclusie met betrekking tot een project, -organisatie, -eindproduct of processen vanaf de start tot aan het einde van een project of programma om het management te ondersteunen in de beslissing over projecten op project-, programma- of portfolioniveau.

Daarnaast stel ik vast dat de project assurance rol op drie niveaus actief kan zijn, namelijk op portolio-, programma- en projectniveau. Op elk van de niveaus zijn twee typen opdrachten mogelijk, namelijk gericht op het proces en de inhoud. Het proces gaat bijvoorbeeld om het vaststellen of alle documenten aanwezig zijn en of alles volgens planning verloopt. Inhoudelijk gaat het op portfolioniveau om de aansluiting tussen de project- en programmadoelen en de organisatiedoelen. Op programma- en projectniveau gaat het om het (eind)product.

Tevens introduceer ik een Project Plannings Proces, waarbij aansluiting wordt gezocht met (strategische) projecten uit het projectuniversum. Bovenstaand vat ik samen in onderstaand model:

Figuur 9

Vervolgens concludeer ik dat voor een internal auditor basiscompetenties in kaart zijn gebracht en dat er aanvullende competenties nodig zijn om de project assurance rol in te kunnen vullen. De mate van beheersing van de competenties verschilt tussen een junior-, senior auditor en audit manager. Zoals eerder aangegeven is een opdeling naar inhoud en proces valide. Voor beide onderdelen worden andere competenties verwacht. De competenties voor ‘inhoud’ zijn relatief statisch door het karakter van de audit. Bij de inhoud gaat het om een oordeel geven over de inhoud, namelijk het product op projectniveau, de benefit op programmaniveau en de strategie op portfolioniveau. Afhankelijk van het niveau waarop de audit plaats vindt, maar ook van het eindproduct op ieder niveau worden per project andere competenties verwacht. Indien beide niet aanwezig zijn, moet besloten worden om een externe partij, een partij buiten de IAF, in te schakelen.

Uitwerking praktijkInleiding

In dit hoofdstuk beantwoord ik onderzoeksvragen 4, 5 en 6 aan de hand van de resultaten van de interviews. Ik som de vragen eerst op:

4. Op welk niveau binnen portfoliomanagement, programmamanagement en projectmanagement voert de Internal Aaudt Functie project assurance uit?

5. Wie voert binnen de IAF de project assurance rol uit?

6. Welke aspecten tellen mee voor de keuze om een medewerker van de IAF de project assurance rol te laten vervullen?

Zoals in hoofdstuk 2 reeds toegelicht, heb ik interviews gehouden bij een internationale financiële dienstverlener, een internationale bierbrouwer en een internationale energieleverancier. Het gebruikte interviewprotocol is te vinden in bijlage B.

Methodiek

Voor een toelichting op mijn methodische keuze verwijs ik naar 2.5.2 Case study. De gekozen bedrijven voldoen aan de door mij gestelde eisen. Dit zal ook blijken uit paragraaf 7.3. Daarnaast is geen van de drie een ICT-dienstverlener of een bedrijf dat technische oplossingen levert.

Inleiding tot bedrijven

Allereerst kom ik tot een inleiding van de bedrijven. Dit geeft een beeld van de organisatie, IAF en projectorganisatie.

Voor mijn praktijkonderzoek heb ik drie IAF-medewerkers van de bovengenoemde bedrijven geïnterviewd. De drie medewerkers zijn werkzaam bij een internationale financiële dienstverlener (), een internationale bierbrouwer () en een internationale energieleverancier (). Omdat de interviews geanonimiseerd verwerkt worden stel ik een tabel (zie volgende pagina) op met achtergrondinformatie waar geen directe link gelegd kan worden met een van de bedrijven. Het overzicht maakt het mij mogelijk om vergelijkingen te maken tussen de bedrijven. Ik duid de bedrijven, zoals hierboven weergegeven, met symbolen aan.

Nu een algemeen beeld is geschapen over de verschillende bedrijven ga ik in op de antwoorden van de deelvragen. Tevens kom ik terug op de verwijzingen uit de tabel.

Op welk niveau binnen portfolio-, programma- en projectmanagement voert de Interal audit Functie project assurance uit?

Om antwoord te geven op deze vraag heb ik eerst gevraagd of projecten onderdeel zijn van de audituniverse en daarmee onderdeel uitmaken van de planningscyclus. Het is belangrijk om vast te stellen op welke wijze aansluiting wordt gezocht met de projectorganisatie. Idealiter zou vanuit het projectportfolioselectieproces een overzicht gemaakt kunnen worden van de projecten in scope en de beschikbare audit medewerkers.

Alle drie de geïnterviewden geven aan dat tijdens de jaarlijkse auditplanningscyclus aandacht wordt geschonken aan projecten. Enerzijds kan het management aangeven dat bepaalde projecten meegenomen

Vragen \ Bedrijf

Algemene vragen bedrijf

Is er een verantwoordelijke voor de projectorganisatie?

Is er een overzicht van lopende projecten?

(1)

Methodiek in gebruik op projectniveau?

Zo ja, waarop gebaseerd?

Prince2

Prince2

Prince2

Methodiek in gebruik op programmaniveau?

(2)

(2)

(2)

Methodiek in gebruik op portfolioniveau?

Hoe lang is deze methodiek in gebruik?

> 5 jaar

> 5 jaar

> 5 jaar

Algemene vragen IAF

Aantal medewerkers?

6**

8*

10*

Welke titels zijn vertegenwoordigd?

RA, RO, RE (of gelijkwaardig)

RA, RO, RE (of gelijkwaardig)

RA, RO, RE (of gelijkwaardig)

Project assurance specifieke vragen

Bij hoeveel projecten is de IAF betrokken?

3

?Comment by Mocking (Open): Nakijken!

3

Zijn medewerkers betrokken bij projecten?

Is er een projectauditmethodiek?

Zijn medewerkers betrokken bij programma’s?

(3)

(3)

Zijn medewerkers betrokken bij portfolioselectie?

* Het aantal is op groepniveau. Het totaal aantal IAF-medewerkers is groter.

** Het aantal medewerkers is binnen één divisie. Het totaal aantal IAF-medewerkers is groter.

Legenda:= ja = nee= zie verwijzing

Tabel 4 Inleiding tot de drie bedrijven

moeten worden, anderzijds bepaalt de IAF dat zelf. Het is echter niet zo dat er vanuit een centraal opgestelde projectenlijst een risicoanalyse wordt gemaakt om vast te stellen welke projecten in scope zouden kunnen vallen. Simpelweg omdat het ontbreekt aan deze lijst.

Enkel de financiële dienstverlener heeft een duidelijk overzicht van de lopende programma’s en bijhorende projecten. Dit zou verklaard kunnen worden doordat de IAF niet op groepsniveau opereert, maar in één divisie. De bierbrouwer geeft aan (1) dat er op groepsniveau een goed beeld is van de (strategische) projecten en dat op lager niveau het overzicht er in mindere mate is. Dit heeft voornamelijk te maken met het internationale en decentrale karakter van het bedrijf.

Twee geïnterviewden gaven aan dat op portfolioniveau niet snel de project assurance rol betrokken zal worden. Enerzijds verklaar ik dit omdat er geen eenduidig proces aanwezig is op het niveau van projectportfolio. Hierdoor kan volgens mijn model de proces audit niet uitgevoerd worden. Anderzijds omdat assurance afgeven op een strategische keuze als lastig ervaren wordt. Eerder wordt er dan gekozen om als sparringspartner voor het bestuur te fungeren. De financiële dienstverlener erkent dit punt en merkt ook op dat het lastig is om assurance te geven op een eindproduct van een project of de benefit van een programma.

Uit de tabel van paragraaf 7.3 is waar te nemen dat geen van de bedrijven een portfoliomethodiek heeft en in mindere mate een programmamethodiek. Uit de interviews blijkt dat programma’s vaak als projecten beheerst worden(2). Je zou dus kunnen zeggen dat er een methodiek gehanteerd word op programmaniveau. Als de IAF betrokken is bij een project wordt daarom ook vaak het programma als een project beschouwd(3).

Uit de interviews blijkt dat alle drie de bedrijven een projectauditmethodiek hebben. Alle drie hebben in meer of mindere mate een scheiding aangebracht in de diensten die ze leveren voor projecten. Deze opdeling is in tijd en dienst. Bij een van de geïnterviewde beschrijft de methodiek drie fasen binnen een project waar de IAF betrokken kan zijn, namelijk bij aanvang van een project, tijdens de executie van een project (kan één of meerdere fasen zijn) of op de business case. Bij de business case kan het zijn dat de IAF vooraf, tijdens of na afloop van een project betrokken is. Twee van de drie geïnterviewde hebben een soortgelijke opdeling naar consulting opdrachten, project reviews en project audtis. Bij consulting opdrachten wordt geen rapport met een uitspraak opgeleverd. Het gaat hier om het geven van advies op een informele manier. Bij de project review wordt een audit uitgevoerd naar bestaan en bij de project audit wordt een diepgaand onderzoek gedaan. De volgende opdeling is op te merken:

Type audit / Projectfase

Start project

Tijdens project

Na project

Consulting

Geen auditrapport

Project review

Audit op opzet

Project audit

Audit op eindproduct(en)

Tabel 5 Type projectaudits en projectfasen

Zoals gezegd ligt de focus van de IAF’s vooral op projectniveau. Zowel de energieleverancier als de financiële dienstverlener geven aan dat er veelal gekeken wordt naar de inrichting van het project. Het gaat dan voornamelijk om het kijken naar de rollen in een project, de gebruikte methodiek en de invulling van deze methodiek.

In één specifiek geval is de IAF betrokken geweest op programmaniveau. De IAF heeft na afloop van het project bekeken of de doelstelling van de business case behaald is. Aangezien geen programmamethodiek aanwezig is, is het programma beoordeeld via project audit. Kijkend naar het gehanteerde model van deze scriptie is het een benefit audit op programmaniveau. Het ging namelijk niet om een afzonderlijk project, maar om de som van projectproducten, de benefits van het programma. Omdat de audit achteraf heeft plaats gevonden en niet vooraf, is het een benefit audit en geen strategische audit.

Als laatste heb ik gevraagd naar audits van de gebruikte methodologieën. De drie geïnterviewden hebben aangegeven dat deze uitgevoerd wordt en dat ze naar de projectmethododiek kijken. Hierbij wordt aangegeven dat de inzet van de methodologie op projectniveau verbeterd kan worden en dat de programmamethodiek ontbreekt. De reden dat de projectmethodologie niet optimaal ingezet wordt is niet eenduidig. Dit ligt aan het ontbreken van training, invloed van bedrijfspolitiek en onjuist gebruik.

Wie binnen de IAF voert de project assurance rol uit?

Alle drie de bedrijven geven aan dat ze een voorkeur hebben voor een internal auditor die projectervaring heeft.

Bij de financiële dienstverlener wordt ervan uitgegaan dat elke internal auditor een project audit zou moeten kunnen uitvoeren. In de praktijk blijkt dat een auditor met project ervaring vaker betrokken is bij projecten. Dit is veelal iemand met een RE achtergrond. Als het project een financieel product oplevert, wordt een internal auditor betrokken met specifieke kennis. Dit komt omdat de producten bij de financiële dienstverlener vaak complex zijn.

De energieleverancier geeft aan dat het afhankelijk is van het audit object wie de project assruance rol uitvoert. Als voorbeeld wordt een audit op de project business case gegeven. De haalbaarheid van de business case wordt uiteen gezet in euro’s. In dat geval wordt meestal een internal audit medewerker met een RA titel betrokken. Als er geen specialistische kennis nodig is dan is er vaak een persoon met projectachtergrond bij betrokken. Het komt er vaak op neer dat een auditor met de RE titel betrokken is.

Omdat de projecten waar de IAF van de bierbrouwer bij betrokken is vaak voortvloeien uit de strategie zijn vaak management- of bestuurleden betrokken bij het project. Om die reden zijn vaak ervaren auditors betrokken. Daarnaast geeft de bierbrouwer aan dat de ervaring op het gebied van verschillende projecten de voorkeur heeft op kennis, tenzij specifieke kennis nodig is. Een voorbeeld hiervan is het doorvoeren van ERP-standaardisatie. Dit is een programma dat in meerdere landen uitgevoerd wordt. Hiervoor is een specifieke audit methodiek gehanteerd voor het IT-component. Om deze reden is een IT-auditor bij het project betrokken.

Welke aspecten tellen mee voor de keuze om een medewerker van de IAF de project assurance rol te laten vervullen?

Algemeen geven de geïnterviewde aan dat er geprobeerd wordt een match te vinden tussen het type audit en de internal auditor. Onder meer vakanties, ziektes en wisseling van medewerkers zorgen ervoor dat er ruis komt in deze match. Desalniettemin geven de geïnterviewden wel voorkeuren aan. De keuze wordt gedreven door praktische elementen, zoals hierboven weergegeven en niet door een methodiek, bijvoorbeeld competentiemanagement.

De bierbouwer geeft aan dat kennis en ervaring van projecten belangrijk is voor project audits. Voor het herkennen van een oordeel en advies geven over projectrisico’s is ervaring als projectmanager of soortgelijke functies belangrijk. Hij geeft dan ook aan dat veelal ervaren internal auditors betrokken zijn bij project audits binnen het bedrijf waarbij een achtergrond in projecten een pre is.

Toen ik als voorbeeld gaf dat een junior auditor aan de hand van een checklist een procesaudit zou kunnen uitvoeren, gaf de bierbrouwer aan dat dit mogelijk was. Echter geeft hij als kanttekening dat de meerwaarde van de IAF dan wellicht verloren gaat. Het is immers alleen maar fact finding. De meerwaarde zit juist in de herkenning en oordeel geven over projectrisico’s en dit bespreken met de stuurgroep of projectmanager.

Daarnaast is de audit functie vaak betrokken bij proje