Handvatten voor de internal auditor - IIA · naar projecten en niet naar het auditen van...

Project Auditing

Handvatten

voor de internal auditor

Instituut van Internal Auditors Nederland

2 3

Voorwoord

In de wandelgangen spreekt men weleens over de resultaten van (IT-)projecten: twee keer duur-

der dan budget, twee keer langer dan gepland, 50% van de verwachte functionaliteit. Ieder jaar

weer moeten ondernemingen en de overheid melden, dat vele miljoenen zijn besteed aan projec-

ten, die niets opleveren. Uitgaande van deze ervaringen valt voor het management veel te verdie-

nen met het tijdig ingrijpen en bijsturen van projecten en programma’s. Daarom is IIA Nederland

blij met de handvatten die de CPP-werkgroep ‘Auditen van Projecten’ heeft verzameld.

Een Internal Audit Afdeling heeft vaak meerdere rollen. Naast de assurancerol wordt ook de ad-

viesrol algemeen erkend als een noodzakelijke taak. Juist bij projecten en programma’s heeft het

management behoefte aan een diagnose van de startende en lopende projecten: bestaat er rede-

lijke zekerheid dat het beoogde resultaat wordt bereikt of loop ik (te) grote risico’s?

Vanuit het vaktechnisch perspectief is van belang welke rollen een Internal Audit Afdeling wel en

niet kan vervullen. Ook de omgevingsfactoren zijn van belang bij het bepalen van de positie en

toegevoegde waarde van een audit of advies.

Van meer praktische aard is het overzicht van de verschillende instrumenten die op de markt zijn.

Op een gestandaardiseerde wijze worden de karakteristieken weergegeven. Uitermate handig als

oriëntatie bij de keuze, welk instrument in een specifieke situatie het meest passend is.

Een combinatie van theoretische onderbouwing met praktische aanwijzingen levert de leden van

IIA een toegevoegde waarde op tot het uitoefenen van het Internal Audit vak op een voor het

management aansprekende wijze.

Het bestuur ondersteunt ten volle dat hiermee een aanzet is gegeven, maar dat het aan de be-

roepsgroep is om tot een verdere verdieping te komen en nodigt leden hiertoe gaarne uit.

Drs. S.J.J. Weisz RO CIA CCSA,

voorzitter IIA Nederland

WerkgroepledenDrs. L.S.W. Boogers RA CIA (Heineken)

Drs. P.A. Hartog CIA (ACS)

Drs. S.C.J. Huibers EMIA RO (Heineken)

Drs. P.B.N. Michel RE (De Goudse Verzekeringen)

Drs. ing. A.A.H.M. van der Nat MIM RC (Rabobank)

Drs. N.F. Verburg-Siebrasse EMIA RO (VvAA)

D.D.J. Webbers EMIA RO (Friesland Bank)

4 5

InhoudsopgaVe

Voorwoord ................................................................................................................................ 3Inhoudsopgave .......................................................................................................................... 5

1 Inleiding ................................................................................................................................ 61.1 Aanleiding en doel .............................................................................................................. 61.2 Onderzoeksvragen .............................................................................................................. 61.3 Samenvatting resultaten ...................................................................................................... 7

2 Rol van de auditor ................................................................................................................ 103 Context .............................................................................................................................. 143.1 Het belang van de context................................................................................................. 143.2 Context factoren ............................................................................................................... 14

4 De instrumenten, een overzicht ............................................................................................ 184.1 Tools voor bepaling soort project-audit – Praktijkvoorbeeld ............................................... 184.2 Tools voor beoordeling governance projecten .................................................................... 184.2.1 Reguliere Control-modellen ............................................................................................ 184.2.2 Projectmanagementmethoden ....................................................................................... 184.2.3 Management van de verandering, zachte aspecten ........................................................ 184.3 Tools voor beoordeling managementproducten................................................................. 194.4 De instrumenten vergeleken .............................................................................................. 19

5 Handreikingen voor verdere studie ....................................................................................... 225.1 Literatuur over de rol van de auditor ................................................................................. 225.2 Literatuur over context van project audits .......................................................................... 225.3 Literatuur over modellen ................................................................................................... 22

Bijlage 1 Insteekkaarten ........................................................................................................... 24Bijlage 2 Overzicht methoden – producten .............................................................................. 46

6 7

2 - Onder QA (Quality Assurance of Project assurance in Prince2-terminologie) wordt in dit onderzoek verstaan de rol die, namens en ten behoeve van de Stuurgroep, verzekert dat het project op een correcte manier wordt uitgevoerd. Dit wordt onderscheiden van de Quality Control (QC) rol die de projectleider ondersteunt in de dagelijkse beheersing van het project. 3 - Projecten en programma’s zijn beide tijdelijke samenwerkingsverbanden, waarbij een project verantwoordelijk is voor het realiseren van een duidelijk, vooraf gedefinieerd product of resultaat, terwijl een programma verantwoordelijk is voor de rea-lisatie van een deel van de strategische doelen van de organisatie.

Auditen van

projecten

Context

Rol IAF Tools

Figuur 1. Scope van het onderzoek

De onderzoeksvragen zijn beantwoord op basis

van literatuuronderzoek en een inventarisatie

van toepassingen in de praktijk.

1.3 Samenvatting resultatenIn de volgende hoofdstukken worden de ant-

woorden op de drie deelvragen beschreven:

• Hoofdstuk 2: De rol van de auditor

• Hoofdstuk 3: De context van de project

audits

• Hoofdstuk 4: Overzicht van de instrumenten

• Hoofdstuk 5: Handreikingen voor verdere

studie

• Bijlage 1: Insteekkaarten van de instrumen-

ten

• Bijlage 2: Overzicht methoden en producten

De antwoorden op de drie deelvragen worden

hieronder kort toegelicht. Tevens is aangegeven

voor welke afbakening is gekozen omdat de

beheersing van projecten en het auditen ervan

een breed terrein bestrijkt.

Deelvraag 1: Rol van de auditorIn dit hoofdstuk worden mogelijke rollen

beschreven en verdeeld in drie soorten:

1) De natuurlijke rollen van de auditor, die

betrekking hebben op de assurance rol

2) Gelegitimeerde rollen met randvoorwaar-

den, die betrekking hebben op de advies- of

participerende rol

3) Rollen die niet passen bij de IAF.

In dit onderzoek wordt de aandacht vooral

gericht op de assurance rol. De wijze waarop

de consulting rol wordt ingevuld blijft buiten

beschouwing. Enige in dit rapport beschreven

modellen zijn te gebruiken als hulpmiddel om

te adviseren betreffende een effectieve opzet

van kwaliteit- en risicobeheersing. De assu-

rance rol kan uitgevoerd worden vanuit twee

verschillende opdrachtgevers:

• Als QA2 (onder de stuurgroep), met de stuur-

groep als de opdrachtgever van de audits

• Als een van het project geheel onafhankelij-

ke audit, in opdracht van de directie of raad

van bestuur.

De instrumenten die in deze notitie worden

beschreven, zijn in beide situaties bruikbaar.

De assurance rol wordt als volgt nader afgeba-

kend:

• Beheersbaarheid: er wordt vooral gekeken

naar projecten en niet naar het auditen van

programma’s3

• Projectresultaten: er wordt alleen ingegaan

op de ‘managementproducten.’

• Deliverables: Deze zijn algemeen van aard

1 - Het Instituut van Internal Auditors Nederland, De Internal Auditor in Nederland, Position Paper Update 2008, Naarden, 2008.

1.1 Aanleiding en doelZoals ook genoemd in de Position Paper

Update 20081 van het Instituut van Internal

Auditors (IIA), besteden internal audit functies

(IAF) meer en meer aandacht aan de beheer-

sing van projecten en programma’s. Juist daar

liggen immers vaak ook grote risico’s voor de

organisatie. Met het beoordelen daarvan ver-

groot de IAF haar toegevoegde waarde. De rol

van de internal auditor wordt echter niet verder

uitgewerkt.

Dit was voor de Commissie Professional Practi-

ces (PPC) aanleiding om een werkgroep te star-

ten op dit onderwerp. Doel van de werkgroep

was het geven van handvatten aan internal

auditors voor het auditen van projecten.

Het ging daarbij niet zozeer om de ontwikke-

ling van nieuwe theorieën of modellen, maar

om het beschikbaar stellen van direct bruikbare

handvatten. De werkgroep heeft zich zodoen-

de vooral gericht op het verzamelen van ‘Good

practices’, modellen waarmee in de praktijk al

enige (goede) ervaring is opgedaan of waar in

de literatuur vaak naar wordt verwezen.

Wij merken op dat we niet hebben getracht

volledig te zijn, maar om een gevulde toolkit te

creëren die auditors op weg kan helpen.

In de notitie zijn zogenaamde insteekkaarten

van diverse modellen en instrumenten opgeno-

men. Naar de instrumenten zelf wordt via links

op internet verwezen.

Zo vindt u altijd de laatste versie van dit instru-

ment. Instrumenten die niet openbaar zijn,

maar wel beschikbaar zijn gesteld door de

betreffende organisaties, kunnen worden

gedownload via de website van IIA.

Voor u ligt het resultaat van de werkgroep. Dit

resultaat wordt op twee manieren beschikbaar

gesteld, enerzijds in de vorm van een brochu-

re, anderzijds als download via de website van

het IIA.

Tevens is binnen de LinkedIn-groep van het

IIA een nieuwe subgroep IIA Project Auditing

gecreëerd. Wij willen daarmee een forum bie-

den voor vragen en discussies over het auditen

van projecten. Daarbij hopen we dat de leden

eigen ervaringen en ‘Good practices’ willen

delen. Mogelijkerwijs dat dan na verloop van

tijd een bijgewerkte versie van dit boekje kan

worden uitgebracht.

1.2 OnderzoeksvragenDe centrale vraagstelling voor de werkgroep

was:

Op welke wijze kan de IAF invulling geven

aan het auditen van projecten en program-

ma’s?

Dit is uitgewerkt in de volgende deelvragen:

1.Wat is de mogelijke rol van de IAF in

projecten?

2. Wat zijn de factoren (de context) die bepa-

lend zijn voor de invulling van project audi-

ting?

3. Wat zijn praktische instrumenten en werkwij-

zen die worden gehanteerd?

1 InleIdIng

8 9

ontvangen opdracht (of verzoek) voor een

project audit;

• De wijze van rapportage.

Per instrument is een korte ‘Insteekkaart’ opge-

nomen. De details per insteekkaart zijn opge-

nomen in bijlage 1.

en komen in alle projecten voor. Dit in

tegenstelling tot de projectspecifieke ‘speci-

alistische’ producten die we niet als zodanig

behandelen).

Deelvraag 2: Context van de auditsEr zijn vele soorten project audits te onder-

scheiden. De gewenste invulling van een pro-

ject audit (qua onderzoeksvraag, afbakening,

te hanteren normenkader en wijze van onder-

zoek) is afhankelijk van diverse factoren. Wij

hebben dit de context genoemd. Factoren die

in dit kader worden beschreven, zijn:

• Wie is de opdrachtgever?

Projectleider, stuurgroep, directie/raad van

bestuur

• Wat is het moment van de audit?

Voorstart,tijdensuitvoering,naafloop

• Wat is de soort audit vraag?

Preventiefofcuratief(alproblemengecon-

stateerd)

• Wat is de zwaarte van het project?

Omvang,reikwijdteenrisico’svanhetpro-

ject

• Wat is de impact van project?

Organisatie,systemen,processen,mensen

• Wat is de impact van de verandering (vanuit

oogpunt van de medewerkers)?

Alleenwijzigingbedieningsysteemrespec-

tievelijk wijziging van taken, vaardigheden

enhouding

In de beschrijving van de diverse instrumen-

ten wordt steeds aangegeven in welke context

deze instrumenten meer of minder goed bruik-

baar zijn.

Deelvraag 3: InstrumentenIn dit hoofdstuk worden diverse praktische

instrumenten en modellen beschreven. De

modellen hebben zoals aangegeven vooral

betrekking op het auditen van projecten. Ze

zijn onafhankelijk van de aard van het project,

dus op alle soorten projecten toe te passen.

De modellen zijn als volgt ingedeeld:

1. Model ten behoeve van de bepaling van de

inhoud en zwaarte van de project audit;

2. Model voor het beoordelen van de gover-

nance of beheersing van projecten.

Bij deze modellen wordt tevens aangegeven

in welke mate aandacht wordt besteed aan

de ‘zachte’ aspecten van beheersing, zoals

het verandermanagement, de samenwer-

king binnen het projectteam en de stijl van

de verandermanager.

3. Model voor het beoordelen van producten;

Hierbij wordt vooral ingegaan op de (in

Prince2-terminologie) zgn. ‘management

- producten’, zoals het projectplan en

voortgangsrapportages, die in elk project

voorkomen. Specialistische ofwel inhoude-

lijke producten zijn specifiek per project en

blijven hier zodoende buiten beschouwing.

Buiten beschouwing blijven verder modellen

met betrekking tot:

• De wijze van selectie van de te auditen pro-

jecten. Het startpunt in dit onderzoek is de

1

Naam instrument/model

Auteur(s), jaartal De oorspronkelijke auteur(s) en publicatie

Doel instrument/model Wat kun je er mee? Met welk doel is het model door de auteurs ontwikkeld? De modellen zijn als volgt ingedeeld:• t.b.v. bepaling inhoud project audit• t.b.v. beoordeling projectmanagement• t.b.v. beoordeling van de deliverable

Object van onderzoek Wat wordt onderzocht?

Korte omschrijving instrument/model Een korte beschrijving van de opzet en uitgangspunten van het model

Normatief of beschrijvend model Model heeft wel/geen norm in zich voor wat adequaat is (en wat de auditor dus als norm zou kunnen gebruiken)

ToepassingsmogelijkheidGebruik in praktijk

Toelichting voor het gebruik van het model door de auditor, zoals:• Wat kan de auditor er mee in de praktijk; wat kan er (wel en niet) mee worden onderzocht?• In welke situaties is het bruikbaar?

Context: toepassing passend bij … De omstandigheden waarbij het model goed toepas-baar is. De volgende contextfactoren zijn onderschei-den:• De rol van de opdrachtgever• Het moment van uitvoeren (fase project)• De soort audit vraag• De zwaarte: omvang, reikwijdte en risico’s van project• De impact van de verandering

Beschikbaarheid van nadere informatie

Welke bronnen zijn er om nadere informatie krijgen? Bijvoorbeeld op websites, in literatuur in termen van toelichtingen, instrumenten en opleidingen.

10 11

Deze rollen worden in figuur 1 en tabel 2

nader uitgewerkt. De meest belangrijke rand-

voorwaarde om de onafhankelijkheid van de

internal auditor te waarborgen is dat hij geen

managementverantwoordelijkheid neemt. Dit

geldt voor alle onderdelen van het project:

vanaf het moment van het initiëren van het

project, het bepalen van de risico aversie van

het project tot aan het implementeren van de

resultaten in de bestaande organisatie6.

Een belangrijk uitgangspunt is dat het manage-

ment uiteindelijk primair verantwoordelijk is

voor een project, in de hoedanigheid van pro-

jectsponsor, stuurgroep en/of proceseigenaar.

Taken kunnen worden gedelegeerd aan een

projectmanager die binnen de overeengeko-

men doelstellingen en tijdslijnen, met de be-

schikbaar gestelde middelen (zoals budget en

mankracht), verantwoording aflegt aan de op-

drachtgever c.q. stuurgroep. In het zogenaam-

de Line of defense-model wordt de eerste lijn

aangeduid als First line of defense.

Het lijnmanagement en projectmanager zijn

daarbij in de eerste plaats verantwoordelijk

voor het treffen van adequate beheersmaatre-

gelen, zoals het invullen van de Quality Assu-

rance rol in de projectinrichting met de daarbij

behorende processen.

6 - In het referaat van Huibers (2008/2009) is tevens een raamwerk opgenomen met uitgebreide richtlijnen en randvoorwaar-den bij verschillende rollen en toelichting op de rollen die niet door de internal auditor uitgevoerd mogen worden.

4 - Referaat Amsterdam Business School, Universiteit van Amsterdam, Executive Master of Internal Auditing, juli 2008. De vol-ledige originele Engelstalige versie is opgenomen door Kluwer in haar online toegankelijke database, http://financebase.kluwerfinancieelmanagement.nl. Een artikel is gepubliceerd in ‘Finance en Control’, versie 5, oktober 2009, Kluwer 2009 en Audit Magazine nummer 1, maart 2010.5 - ‘The role of internal audit in enterprise-wide risk management, IIA UK/Ireland, 2004

Dit hoofdstuk is in belangrijke mate gebaseerd

op het referaat ‘The role(s) of the Internal Au-

ditor in Projects’ van Sam Huibers4. In zijn refe-

raat over de rol van de internal auditor in pro-

jecten categoriseert hij de rollen van de internal

auditor in projecten in vier soorten rollen. Dit

naar analogie van de basisrollen in een ‘Position

Statement’ van het Institute of Internal Audi-

tors over risicomanagement5. Op basis daarvan

zijn de rollen van de internal auditor in projec-

ten ingedeeld naar vier categorieën (tabel 1&2

en figuur 1):

2 rol Van de audItor

Type project rollen(Huibers, 2008/2009)

Categorieën van rollen gebaseerd op IIA Postion Paper (IIA, 2004)

1) Assurance rol Bijvoorbeeld project reviews, milestone reviews en post go-live reviews. Dit is de natuur-lijke traditionele rol van de internal auditor

Natuurlijke rol van de internal auditor

2) Adviserende rol Adviserende rollen zijn zoge-naamde gelegitimeerde rollen die kunnen worden vervuld met randvoorwaarden Gelegitimeerde rol van de

internal auditor met randvoorwaarden

3) Participerende rol Participerende rollen die even-eens onder voorbehoud(met randvoorwaarden) kunnen worden vervuld

4) Geen rol Rol die de auditor niet kan vervullen in projecten, maar is voorbehouden aan het ma-nagement: bijvoorbeeld het bepalen van de risico-aversie (risk appetite) of het actief managen van deze projectri-sico’s

Rollen die de internal auditor niet zou mogen vervullen

Tabel 1 Type rollen van de internal auditor in projecten (Huibers 2008/2010).

Pro

actie

ve e

xper

tise

rol

QA-programma-review

QA-project-review

QA-project resultaten

Reviews na go-live

Natuurlijke rol van de internal auditor

AssurAnce

Gelegitimeerde rol van de

internal auditor met randvoorwaarden

Advies/pArticiperend

Geen rol voor internal auditor

Assu

ranc

e

Advies

participerendG

een rol

QA-advies programmamanagement

QA-advies projectmanagement

Adviseur (inhoudelijk)Klankbordrol

Coach en trainer

Proj

ectc

oörd

inat

ieD

ocum

enta

tie c

ontro

lsPr

oact

ieve

QA-

partn

er

Opleggen projectproce

s

Implementeren oplossingen

Verantwoording resultaten

Verantwoording project

Managen van risico’sBep

alen r

isico

aver

sie

Figuur 1 Rollen van de internal auditor in projecten (Huibers, 2008/2009/2010): de natuurlijke rol, de adviseren-de en participerende rollen die onder voorbehoud kunnen worden vervuld, en de rol die de internal audi-

tor niet mag vervullen.

12 13

Opgemerkt wordt dat de assurance rol vanuit

verschillende opdrachtgevers kan worden inge-

vuld. Bijvoorbeeld:

• Als quality assurance, onder de stuurgroep,

waarbij de stuurgroep de opdrachtgever van

de audits is

• Als een, geheel van het project onafhankelij-

ke audit, in opdracht van de directie of raad

van bestuur.

2

Type projectrollen

Voorbeelden van projectrollen

Omschrijving

Assurance rol QA-programma/projectreviews

Reviews in verschillende fases van het project o.a.• Initiele projectfase• Project mijlpalen• Moment voor go-live (business readiness-review)• Na go-live (post implementation-reviews)

QA-projectresulta-ten (deliverables)

Review op de kwaliteit en documentatie van de projectresultaten (deliverables)

Review na go-live Oordeel over de effectiviteit van de integratie van de projectresultaten (bijvoorbeeld internal control design) in de organisatie.

Aviserende rol QA-adviseur voor programma- en pro-jectmanagement

Advies aan projectmanagement met betrekking tot projectinrichting en risicomanagementmethodologie

Advies (inhoudelijk) Optreden als adviseur in een afgebakende rol door het beantwoorden van vragen en het aandragen van mogelijke alternatieven zonder directe betrokkenheid te hebben in de besluitvorming en/of realisatie

Klankbordrol Het stellen van vragen ter reflectie

Coach/trainer Het optreden in een coachende rol en faciliteren van trainingen met betrekking tot specifieke competentie gebieden van de auditor zoals risicomanagement.

Participerende rol Proactieve expertise rol

Beschikken over specifieke kennis bijvoorbeeld op het ge-bied van beheersingsmaatregelen en IT-beveiliging. Deze kennis actief inbrengen door alternatieve oplossingen aan te dragen en het formuleren van aanbevelingen.

Project/procescoördinatie

Coördinatie van van projectmatige activiteiten

Documentatie van beheersmaatregelen

Ondersteunen van documentatie van beheersmaatregelen.

Proactieve QA-partnerrol

QA-partner die niet alleen helpt risico’s te identificeren, maar deze ook vertaalt in concrete businessissues met bijhorende aanbevelingen.

Tabel 2 De rollen van de internal auditor in projecten (Huibers 2008/2009) projecten (Huibers 2008/2009).

14 157 - Office of Government Commerce (2004) Managing Successful Projects with Prince2, p.8

Een project audit kan op de volgende momen-

ten worden uitgevoerd:

• Tijdensdevoorbereidingsfase,maarvoorde

startvandefeitelijkeuitvoering

Nadat het project is opgestart, waarbij de pro-

jectorganisatie is ingericht en een projectop-

dracht is geformuleerd, start een fase waarin

de fundering voor het project wordt neerge-

legd (in Prince2 wordt deze fase omschreven

als de initiatiefase). Deze fase start met de pro-

jectopdracht en eindigt met de vastlegging van

het (globale) plan van aanpak: in Prince2 het

Project Initation Document (PID) genoemd.

Doordat deze audits plaatsvinden voorafgaan-

de aan de feitelijke uitvoering van het project

kan, indien nodig, in een vroegtijdig stadium

worden bijgestuurd.

Mogelijke audits zijn bijvoorbeeld:

- Toetsing van de gehele projectopzet ter

waarborging dat het project adequaat zal

verlopen. Hierbij wordt gekeken naar de

kwaliteit van de business case, de opzet van

de projectorganisatie en de beoogde werk-

wijze

- Meer specifieke toetsen, bijvoorbeeld of de

projectdoelstellingen in lijn zijn met de on-

dernemingsdoelstellingen of van de kwali-

teit van de risicoanalyse.

• Tijdensdeuitvoeringvanhetproject

Uiteindelijk moet wat in de vorige fase bedacht

is, ook gerealiseerd worden. Pas in deze fase

worden producten (deliverables) daadwerkelijk

gerealiseerd.


- Toetsing van de kwaliteit van het projectma-

nagement, ofwel van de beheersing van het

project. Dit is soortgelijk als in de vorige fase,

maar nu kan ook de werking worden beoor-

deeld. Dit is vooral gericht op de waarbor-

gen voor de oplevering van de projectresul-

taten binnen de gewenste tijd, kwaliteit en

kosten

- Beoordeling van de kwaliteit en onderlinge

samenhang van de diverse projectmanage-

mentproducten, zoals faseplannen, test-

plannen en implementatieplannen

- Beoordeling van de kwaliteit van (de tot-

standkoming van) specialistische deliver-

ables. Zoals aangegeven valt dat buiten het

kader van deze werkgroep.

• Bijdeopleveringvanhetproject

Dit is het moment dat alle activiteiten uit de uit-

voeringsfase zo goed als afgerond zijn. Er kan

behoefte bestaan bij de opdrachtgever aan ad-

ditionele zekerheid voordat de projectresulta-

ten worden overgedragen aan de lijnorgani-

satie en het project zogenaamd live gaat. De

auditor kan dan een audit uitvoeren om aan-

vullende zekerheid te geven of het project vol-

doende maatregelen heeft getroffen om de

beoogde resultaten te realiseren conform de

geformuleerde acceptatiecriteria (bijvoorbeeld

overdracht aan de staande organisatie). Daar-

naast kan ook worden vastgesteld of er geen

onnodige en/of onverwachte risico’s worden

gelopen bij het live gaan van het project.

3.1 Het belang van de contextWanneer een auditor start met een project au-

dit moet hij bepalen op welke wijze de audit

wordt ingevuld. Op dat moment bepaalt de au-

ditor in overleg met de opdrachtgever onder

meer de onderzoeksvraag, de aandachtsgebie-

den, het te hanteren normenkader en de wijze

waarop het onderzoek wordt uitgevoerd.

Er zijn verschillende soorten projecten en daar-

mee ook vele soorten project audits. Een pro-

ject staat niet op zichzelf, maar speelt zich af

binnen een bepaalde context. De toe te passen

technieken en tools bij een project zijn afhan-

kelijk van het project type en de omgeving7.

Ook een project audit staat niet op zichzelf en

kent een context die de invulling van de audit

en de toe te passen technieken en tools be-

paalt. Deze context wordt deels gevormd door

de audit vraag en deels door het te beoordelen

project.

Dit hoofdstuk beschrijft de factoren, de con-

text, die de invulling van een project audit kun-

nen beïnvloeden.

Deze zijn:

1) De opdrachtgever

2) Het moment van audit

3) De soort audit vraag

4) De zwaarte van het project: omvang,

reikwijdte en risico’s

5) De impact van de verandering.

3.2 Context factorenDe opdrachtgeverDe opdrachtgever van een project audit is de-

gene die de onderzoeksvraag stelt aan de au-

ditor en heeft daarom grote invloed op de in-

vulling van de project audit. De opdrachtgever

bepaalt de precieze onderzoeksvragen en be-

slist formeel over de afbakening en het nor-

menkader.

In de praktijk zijn diverse opdrachtgevers te on-

derscheiden:

• De stuurgroep: de audit wordt dan veelal

binnen het kader van de quality assurance

uitgevoerd

• De directie of de raad van bestuur van de or-

ganisatie waar het project wordt uitgevoerd.

In dat geval wordt de audit geheel onafhan-

kelijk van het project uitgevoerd

• De projectleider zelf: in dit geval is sprake

van een audit op verzoek, waarbij opdracht-

gever en auditee hetzelfde object zijn. Over

het algemeen is de projectleider niet de op-

drachtgever voor een project audit. Het kan

echter incidenteel voorkomen dat een pro-

jectleider een verzoek indient voor een pro-

ject audit, bijvoorbeeld op moment dat hij

een lopend project overneemt.

Het moment van auditEen project audit kan worden uitgevoerd op

verschillende momenten in een project. Elke

fase kent verschillende onderzoeksvragen en

aandachtsgebieden.

3 Context

16 178 - Designing an effective Operational audit, Otten, J., Hartog, P. en Babeliowsky, A.

omvang van het project en/of hoe meer (inhe-

rente) risico’s het project met zich meebrengt,

hoe hoger de noodzaak wordt voor een uitge-

breidere/meer omvangrijke project audit.

Bij het bepalen van de omvang en de reikwijdte

van het project kan (niet limitatief) worden ge-

dacht aan:

- Investeringskosten

- Aantal beoogde gebruikers

- Aantal betrokken afdelingen en medewer-

kers bij het project

- Aantal betrokken externen bij het project

- Relatie tot strategische doelstellingen

- Change management aspecten.

Bij het bepalen van de risico’s van het project

kan (niet limitatief) worden gedacht aan de vol-

gende gebieden:

- Reputatie;

- Wet- en regelgeving

- Beleid en aansturing

- Bekendheid met de technologie/ methode

- Infrastructuur

- Impact op processen en continuering van

operaties

- Cultuurverandering binnen een organisatie.

Daarnaast kunnen specifieke projectrisico’s het

wenselijk maken om aan additionele aspecten

aandacht te besteden. Hierbij kan bijvoorbeeld

worden gedacht aan risico’s samenhangend

met outsourcing (audit van de contractafspra-

ken) of een project dat voornamelijk wordt be-

zet door externe medewerkers, zodat het risico

bestaat dat de organisatie essentiële projecten

materiekennis verliest.

Impact van de veranderingProjecten zijn gericht op het bewerkstelligen

van een verandering. Zo kan een verandering

gericht zijn op de (inrichting van de) organisa-

tie, processen of systemen. Uiteindelijk heeft

elke verandering invloed op de mensen die de

nieuwe organisatie moeten ‘effectueren’. De

invloed van deze veranderingen beïnvloedt de

mate waarin de medewerkers moeten mee ver-

anderen.

Afhankelijk van de impact van de verandering

is het veranderingsmanagement (gericht op de

acceptatie door de medewerkers en het ma-

nagen van weerstand) en het auditen hiervan

minder of meer belangrijk.

Voor het bepalen van de impact van de veran-

dering (vanuit het perspectief van de medewer-

ker) kan de volgende indeling worden gehan-

teerd:

• Alleen een wijziging van de ‘knoppen’ ofwel

de bediening van een geautomatiseerd sys-

teem

• Een wijziging van functionaliteiten en/ of

werkwijze die de medewerkers moeten uit-

voeren

• Een wijziging in de organisatie en taakverde-

ling waarvoor nieuwe vaardigheden moeten

worden aangeleerd

• Een verandering van de houding waarmee

de medewerkers hun werk moeten uitvoe-

ren.

• Naafrondingvanhetproject

Het project eindigt op het moment dat de op-

drachtgever het projectresultaat en het nazorg-

programma heeft geaccepteerd. Idealiter is een

project vaak nog gedurende een beperkte tijd

beschikbaar voor het oplossen van problemen

en het ondersteunen van de beheerorganisatie.


- Beoordeling van de deliverables om vast te

stellen of de projectorganisatie de afgespro-

ken deliverables conform de eisen (accepta-

tiecriteria, functioneel ontwerp) heeft opge-

leverd en er décharge kan worden verleend;

- Beoordeling van het projectmanagement,

om het project te evalueren. Hierbij kan ge-

keken worden welke beheersingsmaatrege-

len van het project wel en niet goed hebben

gefunctioneerd. Ook kan bij een evaluatie

die enige tijd na de Go-live datum van het

project wordt uitgevoerd, worden vastge-

steld of de projectdoelstellingen en de busi-

ness case zijn behaald. Op basis hiervan kun-

nen aanbevelingen worden geformuleerd

voor toekomstige projecten en wordt de

‘lerende organisatie’ gefaciliteerd. Daarbij

wordt opgemerkt dat veel projectmanage-

mentmethodieken een dergelijke evaluatie

binnen hun standaarden kennen. Zodoende

zou een dergelijke evaluatie ook door het

project zelf al kunnen zijn uitgevoerd.

Soort audit vraagWij maken een onderscheid tussen preventieve

en curatieve audits.

• Preventief

Een audit om vooraf (preventief) vast te stel-

len of de organisatie onacceptabele risico’s

loopt ten aanzien van de doorlooptijd, kwa-

liteit en budget van het project

• Curatief

Het auditverzoek wordt ingediend, omdat

men het vermoeden heeft of zich al bewust

is van een probleem ten aanzien van de be-

heersing of resultaten van het project (cura-

tief). De opdrachtgever wil dan additionele

zekerheid, of de vermoedens juist zijn of dat

de ideeën over de oorza(a)k(en) juist zijn en/

of een voorgestelde oplossing inderdaad ef-

fectief is.8

Elk type auditverzoek vraagt een andere onder-

zoeksvraag, aandachtsgebieden en wijze van

uitvoering. Daarbij geldt dat preventieve on-

derzoeken, zeker als deze bij de start van het

project al zijn gedefinieerd, over het algemeen

minder bedreigend zijn voor de auditees.

Zwaarte: omvang, reikwijdte en risico’sDe omvang, de reikwijdte en de risico’s van het

project bepalen het belang van het project en,

in het verlengde daarvan, het belang van een

project audit. In beginsel dient de omvang en

diepgang van de audit (ofwel de kosten) te zijn

afgestemd op het belang van het project.

Ter ondersteuning van de bepaling van de

zwaarte van de audit kan een auditor gebruik-

maken van een risicoanalyse van het project,

die al dan niet al beschikbaar is. Hoe groter de

3

18 19

ringsbereidheid

• Teamrollen (Belbin)

• Groepsontwikkeling (Tuckman)

• Veranderen in vijf kleuren (De Caluwé)

• Het belang van soft controls (Kaptein)

• Nationaal onderzoek verandermanagement

(NOVM, Mastenbroek).

4.3 Tools voor beoordeling managementproductenProjecten leveren diverse zogeheten manage-

mentproducten (deliverables) op, deliverables

die noodzakelijk zijn om het project te mana-

gen en kwaliteit te waarborgen. In bijlage 2

wordt voor vier gangbare methoden (Prince2,

PMBOK, Gateway, DSDM) ingegaan op welke

wijze deze producten hierin zijn terug te vin-

den. Daarnaast hebben wij voor sommige pro-

ducten methodes genoemd die specifiek voor

de beoordeling van deze deliverables gebruikt

kunnen worden. Met behulp van dit overzicht

kan de auditor vervolgens een referentiekader

formuleren waaraan de deliverable dient te vol-

doen.

4.4 De instrumenten vergeleken In onderstaand overzicht worden de verzamel-

de instrumenten samengevat en globaal met

elkaar vergeleken. Voor de onderscheiden con-

textfactoren is aangeven wanneer een model

meer of minder goed bruikbaar is. Omdat de

meeste modellen voor alle contextomstandig-

heden goed bruikbaar zijn, wordt in de tabel

aangegeven indien een model bepaalde beper-

kingen kent voor wat betreft de omstandighe-

den of juist bijzondere omstandigheden kent

waarin het model goed te gebruiken is. Voor

de omschrijving van de beperkingen of bijzon-

dere omstandigheden wordt verwezen naar de

betreffende bijlage.

Hieronder wordt een overzicht gegeven van de

verzamelde instrumenten. Zoals in de inleiding

is aangegeven is dit geen limitatief overzicht

van te gebruiken instrumenten, maar biedt het

de auditor een basis toolkit voor het uitvoeren

van project audits. De beschrijvingen zelf, of-

wel de insteekkaarten, zijn opgenomen in de

bijlage.

De instrumenten zijn als volgt ingedeeld:

1) Tools t.b.v. de bepaling van de inhoud en

zwaarte van de project audit

2) Tools voor het beoordelen van de

governance of beheersing van projecten

3) Tools voor het beoordelen van deliverables

(managementproducten).

Na de beschrijving van de modellen, is in para-

graaf 4.4 een overzicht opgenomen waarin de

instrumenten worden samengevat en globaal

met elkaar worden vergeleken.

4.1 Tools voor bepaling soort project audit – PraktijkvoorbeeldDe internal audit afdeling van Friesland Bank

heeft een pragmatische tool in Excel ontwik-

keld om te kunnen bepalen welke projecten uit

de projectenportefeuille onderwerp van audit

kunnen zijn bij een gegeven (uren)budget. Het

instrument dient te worden aangepast naar de

lokale situatie.

4.2 Tools voor beoordeling governance projectenHierbij wordt een onderscheid gemaakt tussen:

1) ‘Reguliere’ control-modellen, te weten mo-

dellen die niet specifiek zijn ontwikkeld voor

de beheersing van projecten, maar daarvoor

wel kunnen worden gebruikt

2) Veel gebruikte projectmanagementmetho-

den

3) Modellen gericht op het managen van ver-

anderingen ofwel van de ‘Change-compo-

nent’, met een focus op de soft controls.

4.2.1 Reguliere Control-modellen• Levers of Control (Simons)

• Instituut Nederlandse Kwaliteit (INK)

• 7 S’en model (McKinsey)

• Causaal model van organisatorische presta-

tie en verandering (uitbreiding op het 7 S’en

model door Burke-Litwin)

• Business Process Re-engineering (BPR).

4.2.2 ProjectmanagementmethodenDe onderstaande methoden voor projectma-

nagement worden gebruikt door organisaties

in en buiten Nederland. Zij hebben erkenning

gekregen als methoden waarmee projecten ef-

fectief en efficiënt zijn uit te voeren.

• Balanced Change Card (BCC)

• Prince2

• PMBOK

• Projectmatig Creëren

• Gateway

4.2.3 Management van de verandering, zachte aspecten• Management of Change (MOC)

• DINAMO voor teams, Diagnose verande-

4 de Instrumenten, een oVerzICht

20 21

4

model

Context

Rol opdracht-gever

Fase in project

Audit vraag Zwaarte project

Impact verandering

Bijlage

PMBoK 1.1

Gateway X X X X 1.2

Integriteit Soft Controls X X X 1.3

Managing Organisational Change X X X X 1.4

DINAMO voor teams X X X 1.5

Projectmatig Creëren X X 1.6

Capability Maturity Model Integration 1.7

Prince2 X 1.8

Teamrollen X X X X 1.9

INK X X 1.10

Balanced Change Card 1.11

Groepsontwikkeling X X X X 1.12

Sponsorship – Man. of change X X X X 1.13

Factoren invloed op project succes X 1.14

Levers of Control X X 1.15

Competing Values Framework X X 1.16

7-S Model X X 1.17

Causaal model van org. prestatie X X 1.18

Business Process Re-engineering X X X 1.19

Veranderen in vijf kleuren X X X X 1.20

Tabel 3 Samenvatting verzamelde instrumenten

22 239 - In dit boek worden de tien meest gebruikte methoden van projectmanagement vergeleken; de belangrijkste (algemene) Project Management-methoden zijn in de insteekkaarten opgenomen.

blishing, 20069

• http://www.prince2.com/

• www.prince2.org.uk en www.ogc.gov.uk

• www.ipma.ch

• www.icmci.org

• Babeliowsky, A. en Hartog, P.A., Het auditen

van projecten programmamanagement,

Auditing.nl

• Parker, M. Benson, R.J. & Trainor, H.E. (1988)

Information Economics: Linking Business

Performance to Information Technology,

Prentice Hall, 1988

• International Project Management Associ-

ation (IPMA) Competence Baseline: http://

www.ipma.ch/publication/Pages/ICB-IPMA-

CompetenceBaseline.aspx

Veranderingsmanagement

• www.managementsite.nl

• www.12manage.com

• Mastenbroek, Nationaal Onderzoek Veran-

deringsmanagement

• Hans Vermaak: Veranderkunde in zeven vra-

gen, Holland Management Review

Beoordeling deliverables in systeemontwikke-

lingsprojecten

• The Institute of Internal Auditors: Global

Technology Audit Guide (GTAG)12: Audi-

ting IT Projects

• Ernst & Young: Program Risk, The internal

audit blind spot

• Information Systems Audit and Control

Foundation: Project Management, Skill and

Knowledge Requirements in an Information

Technology Environment

• IT Governance Institute: The Risk IT Frame-

work, Enterprise Risk: Identify, Govern and

Manage IT Risk, The Risk IT Framework Ex-

posureDraf

• IT Governance Institute: Enterprise Value:

Governance of IT investments, The Val IT

Framework 2.0

• http://www.sei.cmu.edu/cmmi: Capability

Maturity Model Integration (CMMI)

• IT Governance Institute: CobIT 4.1

• http://www.itilfoundation.org: Information

Technology Infrastructure Library (ITIL)

Voor elk van de verzamelde instrumenten is op

de steekkaart de betreffende literatuur (zowel

de bron van het model als nadere toelichting

daarover) opgenomen. In dit hoofdstuk zijn

verwijzingen naar meer uitgebreide of achter-

liggende literatuur opgenomen. Al deze litera-

tuur is openbaar beschikbaar.

Ook deze verwijzingen zijn ingedeeld naar de in

dit onderzoek gehanteerde onderzoeksvragen:

1) Rol van de auditor

2) Context van project audit

3) Instrumenten

5.1 Literatuur over de rol van de auditorRolauditoralgemeen

• Het Instituut van Internal Auditors Neder-

land, DeInternalAuditorinNederland,Posi-

tionPaperUpdate2008, Naarden, 2008

• The Institute of Internal Auditors,ThePro-

fessional Practices Framework, The IIA Re-

search Foundation, 2009

• The Institute of Internal Auditors, position

paper TheRoleofInternalAuditinEnterpri-

se-wideRiskManagement, www.theiia.org,

2004

• Molenkamp, A., ‘Internal Audit professie

bewijsthaarbestaansrecht’, Finance & Con-

trol, april 2005.

Rolauditorinprojecten

• Huibers, S.C.J. , The role(s) of the Internal

Auditor in Projects, referaat Amsterdam

Business School, Universiteit van Amster-

dam, Executive Master of Internal Auditing,

juli 2008. Online toegankelijk in database;

http://financebase.kluwerfinancieelmanage-

ment.nl/, Kluwer 2009.

• Huibers, S.C.J. , ‘Rol van de internal auditor

in veranderingsprojecten’, Finance en Con-

trol, versie 5, oktober 2009, Kluwer 2009

• Huibers, S.C.J. , ‘Proactiviteit en onafhanke-

lijkheid van de auditor in projecten: contra-

dictio in terminis?’ , Audit Magazine, num-

mer 1 maart 2010, Instituut voor Internal

Auditors in Nederland, VM Uitgevers, 2010

• Cleton, H. en Hartog, P.A., Positionering en

rol van de IAD bij kwaliteitsborging van ICT-

programma’s en projecten, Auditing.nl.

5.2 Literatuur over context van project audits• Aken, T.G.C. van, De weg naar projectsuc-

ces – eerder via werkstijl dan via instrumen-

ten, Lemma BV, Utrecht, 1996.

5.3 Literatuur over modellenBepalingsoortaudit

• Cleton, H. en Hartog, P.A., PQA, Proactive

Quality Assurance, Audit Magazine en audi-

ting.nl.

Regulierecontrol-modellen

• www.ink.nl

• www.coso.org

Projectmanagement

• Baardman, E, e.a., Wegwijzer voor metho-

den bij projectmanagement, Van Haren Pu-

5 handreIkIngen Voor Verdere studIe

24 25

Naam instrument/model PMBoK

Auteur(s), jaartal Project Management Institute Inc., 1987

Doel instrument/model Internationaal erkende projectmanagementmethode. Binnen een organisatie kan men deze methode op alle projecten toepassen. Het is een methode die de toepas-sing van kennis, vaardigheden, hulpmiddelen en technie-ken behandelt om projectdoelstellingen te realiseren.

Object van onderzoek Projectmanagement

Korte omschrijving instrument/model PMBoK staat voor de Project Management Body of Knowledge. Het is een geregistreerd handelsmerk in de USA van het Project Management Institute Inc. In Neder-land zijn voor deze methode opleidingen en trainingen beschikbaar.

Normatief of beschrijvend model Normatief

Toepassingsmogelijkheid / Gebruik in praktijk

Binnen de PMBoK zijn drie elementen onderscheiden:• processen (initiatie, planning, controlling, executie en afronding)• aandachtsgebieden (bijvoorbeeld integratiemanagement, risicomanagement, project kwaliteitsmanagement) • techniekenDe PMBoK Gids beschrijftt een Project levenscyclus, 5 procesgroepen en negen kennisgebieden van de projectmanagement professie.

Context: toepassing passend bij …

• Opdrachtgever: methode kan worden toegepast voor alle opdrachtgevers (stuurgroep, bestuur, pro-jectleider) gaat zowel in op organisatiefactoren en project-inrichtingsaspecten.

• Moment van audit: gehele levenscyslus van project wordt onderkend. • Soort audit vraag: kan dienen als raamwerk voor verschillende typen audits (assurance, projectopzet et cetera).• Zwaarte van het project: toepassing is voor ieder project relevant onafhankelijk van de aard van het project.• Impact van de verandering: de methode is generiek en te gebruiken onafhankelijk van de impact van verandering.

Beschikbaarheid van nadere informatie www.pmi.org

In deze bijlage worden de onderzochte instru-

menten kort weergegeven per karakteristiek.

Er is niet gestreefd naar volledigheid maar ge-

tracht om vaak gebruikte instrumenten in een

overzicht weer te geven. Het vormt hierdoor

een basis toolkit voor de auditor.

BIjlage 1 InsteekkaartenBijlage 1.1

PMBoK

26 27

Bijlage 1.2 Gateway

Naam instrument/model Gateway

Auteur(s), jaartal Office of Government Commerce (OGC), 2004

Doel instrument/model Beoordeling van projectmanagement en (eind) producten. De Ga-teway review methodiek kan zowel worden gebruikt voor de be-oordeling van het projectmanagement en voor de beoordeling van producten uit het project


Korte omschrijving instrument/model Gateway™ is een succesvolle review methode van het Engelse Of-fice of Government Commerce (OGC ) voor de overheid. Een Ga-teway review onderzoekt een programma of project op cruciale beslismomenten om vast te stellen of het met succes door kan naar de volgende fase.Gateway reviews zijn gebaseerd op bewezen review technieken. Een Gateway review levert effectief voordelen op en leidt tot beter voorspelbare kosten en de beoogde projectresultaten. Het Gate-way proces kan worden toegepast op verschillende soorten projec-ten, maar is vooral geschikt voor veranderingstrajecten.

Normatief of beschrijvend model Model heeft geen norm in zich voor wat adequaat is (en de auditor dus als norm zou kunnen gebruiken)


Een Gateway review is een doorlichting van een programma of project op een belangrijk beslismoment. Een onafhankelijk team van ervaren mensen voert de Gateway review uit.Tijdens de looptijd van een project kunnen vijf verschillende Gate-way reviews worden uitgevoerd:1) Zakelijke rechtvaardiging (Gateway 1)2) Verwerving- cq. veranderstrategie (Gateway 2)3) Investeringsbeslissing (Gateway 3)4) Gereedheid voor dienstverlening (Gateway 4)5) Evaluatie van de behaalde resultaten (Gateway 5)Aanvullend bestaat er voor programma’s een Gateway 0 review die ingaat op de ‘strategische beoordeling’. Welke Gateway re-view aan de orde is, wordt bepaald door de fase in de projectcyclus waarin het project of programma verkeert. Voor een maximale toe-gevoegde waarde moet een eerste Gateway review vroegtijdig in de projectcyclus worden uitgevoerd.


• Opdrachtgever: Projectleider• Moment: tijdens uitvoering• Soort audit vraag: preventief• Zwaarte (omvang, reikwijdte, risico’s): risico’s• Impact (organisatie, systemen, processen, mensen): alle genoemde aspecten kunnen worden meegenomen in een Gateway review• Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): het Gateway model is minder sterk op het gebied van houding

Beschikbaarheid van nadere informatie http://www.ogc.gov.uk/what_is_ogc_gateway_review.asphttp://www.hec.nl/home/actueel/thema-s/gateway-review/1163

Naam instrument/model Integriteit en het belang van soft controls

Auteur(s), jaartal Kaptein, M., 1998

Doel instrument/model Een model en aanpak aanreiken om risicocultuur te meten en ver-beteren

Object van onderzoek Risicocultuur

Korte omschrijving instrument/model Soft-risk controls zijn de niet-tastbare gedragsbeïnvloedende fac-toren in een organisatie die van belang zijn voor het realiseren van de doelen van de organisatie en de eisen en verwachtingen van externen.

Normatief of beschrijvend model Normatief Model > diagnose-instrument


Uit wetenschappelijk onderzoek onder 150 daadwerkelijke integri-teitsbreuken blijken acht niet-tastbare gedragsbeïnvloedende fac-toren (primaire soft controls) van belang te zijn. Deze factoren zijn generiek en kunnen per organisatie worden aangevuld met organi-satiespecifieke elementen. Het geheel vormt het fundament van de organisatie (Kaptein, 1998). De acht niet-tastbare gedragsbeïnvloe-dende factoren, de zgn. primaire soft controls, zijn:1) Helderheid2) Voorbeeldgedrag3) Betrokkenheid4) Uitvoerbaarheid5) Transparantie6) Bespreekbaarheid7) Aanspreekbaarheid8) HandhavingDe perceptie van de primaire soft controls bepalen in grote mate het menselijk gedrag en de effectiviteit van de secundaire soft con-trols en hard controls. Het instrumentarium waarmee de randvoor-waarden worden geschapen, vormt de secundaire soft controls van een organisatie.


• De rol van de opdrachtgever: kan bij alle soorten opdrachtgevers;• Het moment van de audit: tijdens de uitvoering (beoordeling projectorganisatie) en na implementatie van het project (evaluatie van de verandering);• De soort auditvraag: preventief en curatief;• Zwaarte van het project: een dergelijk onderzoek zal over het algemeen alleen toegevoegde waarde hebben bij een groot project;• Impact van de verandering: met name bij veranderingen die gericht zijn op verandering van menselijk gedrag en cultuur.

Beschikbaarheid van nadere informatie Kaptein, M. (1998) Ethics Management: Auditing and developing the ethical content of organizations, Dordrecht: Kluwer Academic Publishers.

Bijlage 1.3Integriteit en het belang van soft controls

28 2910 - Onderstaande tekst is mede ontleend aan de brochure DVB van Academic Consultancy Services.

Naam instrument/model Managing Organizational Change (MOC)

Auteur(s), jaartal Voor MOC of verandermanagement zijn veel vragenlijsten beschik-baar. Deze zijn echter veelal bureaugebonden of slechts tegen een financiële bijdrage te gebruiken.Zij hebben hun achtergrond vaak in Kurt Lewin’s Change Manage-ment model van ‘unfreeze-transition-refreeze’.

Doel instrument/model Beoordelen van diverse risicofactoren c.q. voorwaarden voor het realiseren van organisatieveranderingen. Deze factoren zijn te zien als onderdeel van het project management.

Object van onderzoek Projectmanagement voor wat betreft het verandermanagement (het verkrijgen van voldoende deskundigheid, vaardigheden en committent voor de nieuwe situatie).

Korte omschrijving instrument/model MOC staat voor het managen van organisatieveranderingen, zoals oorspronkelijk (jaren ’50) is beschreven door Kurt Lewin. Hij zag verandering als proces van unfreeze-transition-refreeze. Om dit succesvol te doorlopen dient een aantal factoren aanwezig te zijn (ofwel risico’s te worden weggenomen). Het gaat hierbij om Spon-sorship, Change agent, Weerstand, Cultuur, Verandergeschiedenis en Verandervermogen.In de vragenlijsten wordt steeds aan de hand van een aantal vragen gemeten in hoeverre de randvoorwaarden adequaat zijn ingevuld, veelal leidend tot een bepaalde score.

Normatief of beschrijvend model Normatief. De vragenlijsten brengen de risicofactoren in kaart: een hoog risico komt overeen met een ongewenste situatie.


Deze vragenlijsten zijn vooral bruikbaar in een nadere analyse van de diverse factoren. De algemene projectmanagementmethodie-ken nemen dit globaal mee. Deze vragenlijsten zouden bijvoor-beeld gebruikt kunnen worden bij de analyse van bestaande pro-blemen en oorzaken hiervan in de projectbesturing.


• Opdrachtgever: let op dat met deze vragenlijsten mogelijk de opdrachtgever zelf wordt beoordeeld.• Moment van audit: De vragenlijst kan op diverse momenten worden toegepast, vanaf de start (inrichting) van het project.• Soort audit vraag: voornamelijk indien problemen al zijn geconstateerd omdat het een diepgaande analyse kan betreffen van de aspecten van projectbesturing.• Zwaarte van het project: De toegevoegde waarde is voornamelijk grote projecten.• Impact van de verandering: Vooral bij veranderingen met grote impact (veranderingen van competenties of houding van medewerkers) is MOC belangrijk.

Beschikbaarheid van nadere informatie Bij veel commerciële bureaus, eenvoudig te vinden via Google op zoekwoorden als ‘Sponsorship’ en ‘Change agent assessment’.

Naam instrument/model DINAMO voor Teams

Auteur(s), jaartal E. Metselaar en A. Cozijnsen, Van weerstand naar veranderings-bereidheid, 2005

Doel instrument/model Verkrijgen van inzicht in de motivatie en drijfveren die samen het draagvlak voor de verandering vormen. Ontwikkeld om verander-managers vervolgens de beste strategie te laten kiezen om de ver-anderingsbereidheid te vergroten. Veranderingsbereidheid is een positieve kijk op weerstand.

Object van onderzoek Projectbesturing – de veranderingsbereidheid van de bij een project of verandering betrokken medewerkers. DINAMO voor Teams is bedoeld voor een kleinschalige, snelle in-schatting van de veranderbereidheid van een team.

Korte omschrijving instrument/model DINAMO10 veronderstelt dat de veranderingsbereidheid wordt be-paald door drie vragen:1) Willen de betrokkenen veranderen? 2) Moeten de betrokkenen veranderen? 3) Kunnen de betrokkenen veranderen? Het model is gebaseerd op ‘Ajzen’s model van gepland gedrag’. DINAMO is geschikt voor afname onder grote groepen. De DI-NAMO-vragenlijsten zijn alleen commercieel verkrijgbaar bij Aca-demic Consultancy Services, onder de naam ‘DVB’ (Diagnose Ver-anderbereidheid).

Normatief of beschrijvend model Normatief - De vragenlijsten beschrijven de gewenste situatie c.q. de bepalende factoren van veranderingsbereidheid.


Deze vragenlijst is vooral bruikbaar in een nadere analyse van de risico’s op dan wel oorzaken van aanwezige weerstand of gebrek aan veranderingsbereidheid. De algemene projectmanagement-methodieken nemen dit niet of slechts globaal mee.


• Opdrachtgever: kan bij alle soorten opdrachtgevers.• Moment van audit: de vragenlijst kan op diverse momenten worden toegepast.• Soort audit vraag: vooral gebruikt als al problemen zijn geconstateerd of preventief bij projecten met een grote impact op de betrokken medewerkers.• Zwaarte van het project: voornamelijk bij grote projecten.• Impact van de verandering: n.v.t.

Beschikbaarheid van nadere informatie • E. Metselaar en A. Cozijnsen: Van weerstand naar veranderingsbereidheid, :2005• Academic Consultancy Services (www.acs-nederland.nl)

Bijlage 1.4 Managing Organizational Change (MOC)

Bijlage 1.5 DINAMO voor Teams

30 31

Naam instrument/model Projectmatig Creëren

Auteur(s), jaartal Jo Bos & Ernst Harting, Projectmatig Creëren 2.0, Scriptum, 2006

Doel instrument/model Het ondersteunen van projectleiders bij het inrichten en managen van projecten.


Korte omschrijving instrument/model Het model onderscheidt vier kanten of krachten:• ZIJ: de omgeving• IK: het leiderschap• WIJ: het team, de samenwerking• HET: de structuur.De vier krachten betreffen zowel de harde als zachte aspecten van projectmanagement. Veel aandacht wordt gericht op de zachte as-pecten: Projectmatig creëren biedt een wezenlijk andere, vernieu-wende kijk op projectmanagement. Voor succesvolle projecten is immers meer nodig dan strakke sturing, goede planning en strikte budgetbewaking. De sleutel tot projectsucces ligt in het genereren en aanspreken van energie, betrokkenheid en creativiteit, waar-door juist met minder coördinatie, meer complexe projecten kun-nen worden gerealiseerd. Daarom begint projectmatig creëren bij de betrokkenheid en de inspiratie van mensen, die vervolgens sa-men een passende structuur ontwikkelen, in plaats van de struc-tuur als uitgangspunt te nemen waarnaar de mensen zich maar hebben te voegen. ‘Projectmatig creëren’ is meer dan een verza-meling projectmanagementtechnieken. Het is een andere visie op werk en op het werken in projecten.”

Normatief of beschrijvend model Beschrijvend model; het model is een visie, uitgewerkt in vele in-strumenten, maar bevat geen uitgewerkt normenkader.


In de praktijk wordt het model vooral gebruikt om projecten vorm te geven (als inrichtingsinstrument). De auditor dient een vertaling te maken naar een concreet normenkader.


• Opdrachtgever: let op dat met deze vragenlijsten mogelijk de opdrachtgever zelf wordt beoordeeld.• Moment van audit: de vragenlijst kan op diverse momenten worden toegepast, bij voorkeur bij de start (inrichting) van het project.• Soort audit vraag: zowel preventief als curatief te gebruiken.• Zwaarte van het project: model is voor alle projecten te gebruiken, maar vooral bij grotere projecten c.q. die projecten waarbij ook de verandercomponent belangrijk is.• Impact van de verandering: model is voor alle projecten te gebruiken, maar vanwege de expliciete IK- en ZIJ-kanten vooral bij projecten met een grote impact.

Beschikbaarheid van nadere informatie • www.projectmatigcreeren.nl• www.kernconsult.nl

Naam instrument/model CMMI (Capability Maturity Model Integration)

Auteur(s), jaartal Software Engineering Institute, Carnegie Mellon University, 2000/2002

Doel instrument/model Beoordeling projectmanagement


Korte omschrijving instrument/model Capability Maturity Model Integration (CMMI) is een aanpak voor pro-cesverbetering die organisaties de essentiële elementen biedt voor een efficiënte procesinrichting. Het CMMI kan worden toegepast om pro-jectmatig procesverbeteringen te introduceren in een afdeling of een gehele organisatie. CMMI onderscheidt hierbij vijf niveaus van volwas-senheid; Systems Engineering, Software Engineering, Integrated Process and Product Development en Suppliers Sourcing.

Normatief of beschrijvend model • Referentiemodel voor een assessment• Verbetermodel• Procesmodel• CMMI: Raamwerk voor assessment van de volwassenheid van een software / systeemontwikkeling organisatie en raamwerk voor verbetering van het proces


Het CMMI ondersteunt organisaties met:• integratie van traditioneel gescheiden organisatiefuncties• definitie van proces verbeteringsdoelen en -prioriteiten • levering van richtlijnen voor kwaliteitsprocessen • het bieden van een referentiepunt voor het beoordelen van uw huidige processen. De vijf niveaus van volwassenheid binnen CMMI zijn als volgt:1) Initieel: De chaotische en ad hocfase. Er gebeurt iets goed, maar duidelijk is allerminst waarom het gebeurt2) Managed: Beslissingen worden binnen de organisatie genomen op basis van ervaring en methodes, maar dit verschilt per project3) Gedefinieerd: Binnen dit niveau zijn de belangrijkste processen gedefinieerd voor de organisatie4) Kwantitatief Managed: Hierbij wordt de kwaliteit van het ontwikkelproces tussentijds gemeten, zodat het tussentijds kan worden bijgestuurd5) Optimizing: Het niveau van de processen is optimaal met slechts incidentele aanpassingen


• Opdrachtgever: RvB/directie of stuurgroep of projectleider• Moment van audit: tijdens voorbereidingsfase, tijdens de uitvoering, bij oplevering of na afronding van het project• Soort audit vraag: preventief of curatief• Zwaarte van project: relatie tot strategische doelstellingen, aantal betrokkenen (omvang en reikwijdte) en processen en continuering van operaties, borgen kennis (risico’s)• Impact van verandering: wijziging knoppen, verandering van functionaliteiten, wijziging in organisatie en verandering van houding

Beschikbaarheid van nadere informatie • http://www.sei.cmu.edu/cmmi/• http://en.wikipedia.org/wiki/Capability_Maturity_Model_Integration

Bijlage 1.6Projectmatig Creëren

Bijlage 1.7 CMMI (Capability Maturity Model Integration)

32 33

Naam instrument/model PRINCE2 (Projecten in controlled environments, versie 2)

Auteur(s), jaartal OGC (Office of Government Commerce), 1989



Korte omschrijving instrument/model Gestructureerde methode voor het inrichten en besturen van een project. Het model bestaat uit acht processen en acht componen-ten.

Normatief of beschrijvend model Het model heeft een norm in zich voor wat nodig is (en de auditor dus als norm zou kunnen gebruiken).


Prince2 is een projectmanagementmethode gebaseerd op een pro-cesgerichte aanpak. De methode is geschikt voor alle type projec-ten en kan naar behoefte worden aangepast in schaalgrootte van de toepassing van de processen, technieken en componenten. De processen worden gedefinieerd aan de hand van de te behalen doelstelling. Deze doelstelling wordt aangegeven in het realiseren van producten en het uitvoeren van activiteiten.De acht processen zijn:1) Opstellen van een plan2) Dirigeren van een project3) Managen van productoplevering4) Opstarten van een project5) Initiëren van een project6) Beheersen van een fase7) Managen van faseovergangen8) Afsluiten van een projectDe acht componenten zijn:1) Plannen2) Beheersen3) Business case4) Risicomanagement5) Kwaliteit6) Configuratiebeheer7) Wijzigingsbeheer8) Organisatie


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider• Moment van audit: tijdens voorbereidingsfase, tijdens de uitvoering, bij oplevering of na afronding van het project• Soort auditvraag: preventief of curatief• Zwaarte van project: investeringskosten, relaties tot strategische doelstellingen (omvang en reikwijdte) en borgen kennis (risico’s)• Impact van verandering: verandering van functionaliteiten, wijziging in organisatie

Beschikbaarheid van nadere informatie • http://www.prince2.com/• http://www.ogc.gov.uk/index.asp

Naam instrument/model Teamrollen

Auteur(s), jaartal Dr. Raymond Meredith Belbin (1981, 1993)


Object van onderzoek Projectmanagement, met de nadruk op de samenstelling van de projectgroep of stuurgroep. Het model kan echter ook gehanteerd worden bij de samenstelling van audit teams.

Korte omschrijving instrument/model Een team is een groep mensen (hoogstens twaalf) die op een ge-coördineerde manier samenwerken aan een gemeenschappelijk doel. Een teamrol is een gedragspatroon dat kenmerkend is voor communicatie tussen teamleden. Iedere teamrol heeft een karakte-ristieke waarde voor het team en kent zijn nut en beperkingen. In principe zijn de diverse rollen complementair. Ze vullen elkaar niet alleen aan, maar kunnen ook botsen en rivaliseren. Belbin onderscheidt in zijn oorspronkelijke model acht kenmer-kende teamrollen: Brononderzoeker, Bedrijfsman, Groepswerker, Plant, Voorzitter, Vormer, Monitor en Zorgdrager.Belbin (1993) beschrijft in zijn tweede boek dat zes factoren ten grondslag liggen aan teamrolgedrag. Deze factoren zijn Persoon-lijkheid, Mentale vaardigheden, Huidige waarden en motivatie, Ge-dwongen situaties en Ervaring en Rol leren.

Normatief of beschrijvend model Het model heeft geen norm in zich voor wat adequaat is (en de auditor dus als norm zou kunnen gebruiken). Het is aan de auditor om te bepalen of een projectteam fit for the job is, gezien de inhe-rente risico’s die samenhangen met het project.


De mogelijkheid bestaat om leden van een projectteam een vra-genlijst in te laten vullen, gebaseerd op het model van Belbin. Zo-doende wordt duidelijk welke rollen wel en welke niet aanwezig zijn in het team en waar mogelijk knelpunten ontstaan.


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider• Moment: tijdens uitvoering, na afloop (evaluatie/leerpunten rapportage)• Soort audit vraag: curatief• Zwaarte (omvang, reikwijdte, risico’s): De omvang, het belang en de risico’s van een project stellen eisen aan de samenstelling van de projecten stuurgroep. In deze groepen dienen volgens de theorie van Belbin verschillende soorten rollen aanwezig te zijn.• Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): vaardigheden/attitude.

Beschikbaarheid van nadere informatie • http://www.leren.nl/cursus/professionele-vaardigheden/teamrollen/• http://www.trainersvannu.nl/samenvatting-belbin.php• http://www.123test.nl/belbin/• http://www.12manage.com/methods_belbin_team_roles_nl.html

Bijlage 1.8 PRINCE2 (Projecten in controlled environments, versie 2)

Bijlage 1.9 Teamrollen

34 35

Naam instrument/model INK

Auteur(s), jaartal EFQM (European Foundation for Quality Management)

Doel instrument/model Beoordeling (eind)producten

Object van onderzoek (Eind)product, mits dit een herinrichting van een organisatie is

Korte omschrijving instrument/model Op kwaliteit gericht diagnosemodel, bestaande uit vijf organisatie-gebieden en vier resultaatgebieden. Voortdurend verbeteren is de brandstof waarop een organisatie draait. Het model is dan ook oor-spronkelijk ontworpen voor het toekennen van de Europese Kwali-teitsprijs. In het INK-managementmodel is de motor voor verande-ring de zogenaamde Plan-Do-Check-Act-cirkel van Deming.

Normatief of beschrijvend model Het model heeft geen norm in zich voor wat adequaat is (en de auditor dus als norm zou kunnen gebruiken). Door diverse organi-satiedeskundigen en consultants is het oorspronkelijke model wel uitgebreid met absolute normen.


INK kan helpen om de (veranderde) organisatie in kaart te bren-gen en kan hiermee als hulpmiddel dienen om deze producten te toetsen.


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider• Moment: voor start, tijdens uitvoering, na afloop.• Soort audit vraag: preventief, curatief.• Zwaarte (omvang, reikwijdte, risico’s): omvang/reikwijdte.• Impact (organisatie, systemen, processen, mensen): vooral op processen.• Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): als gevolg van focus op processen met name hanteerbaar voor taken en vaardigheden.

Beschikbaarheid van nadere informatie • http://www.managementsite.nl/478/performance- management/inkmodel-zinsbegoocheling.html• http://www.12manage.com/methods_efqm_nl.html

Naam instrument/model Balanced Change Card

Auteur(s), jaartal Koster & Bouman, 1997


Object van onderzoek Projectinrichting/projectmanagement

Korte omschrijving instrument/model Integraal, dynamisch raamwerk voor het gebalanceerd vormgeven van de veranderorganisatie en het evalueren daarvan. Het model geeft enerzijds inzicht in het palet van benodigde maatregelen om het veranderingsproces vorm te geven. Anderzijds geeft het een overzicht van het verloop van het veranderingsproces op basis van een aantal essentiële beoordelingscriteria.

Normatief of beschrijvend model Model heeft geen norm in zich voor wat adequaat is (en de auditor dus als norm zou kunnen gebruiken).


Zie artikel ‘Het auditen van projecten programmamanagement’ (Babeliowsky & Hartog, www.auditing.nl, 2009).


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider• Moment: voor start, tijdens en na afloop• Soort audit vraag: preventief en curatief (bij evaluatie/leerpunten rapportage)• Zwaarte (omvang, reikwijdte, risico’s): n.v.t.• Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): de Balanced Change Card raakt alle aspecten genoemd onder deze contextfactor.

Beschikbaarheid van nadere informatie • http://www.wimbouman.com/pdf/De Balanced Change Card (nl) 97-13.pdf

Bijlage 1.10 INK

Bijlage 1.11 Balanced Change Card

36 37

Naam instrument/model Groepsontwikkeling

Auteur(s), jaartal Tuckman, 1965/1977


Object van onderzoek Ontwikkeling teams/groepen

Korte omschrijving instrument/model Het model bestaat uit de volgende vijf ontwikkelingsfasen die (klei-ne) groepen doorlopen om optimaal te kunnen presteren: Forming (vormen), Storming (stormen), Norming (normeren), Performing (presteren) en Adjourning (uiteen gaan).Volgens Tuckman dienen teams alle fasen te doorlopen om als team te groeien en daardoor de uitdagingen onder ogen te zien, de problemen aan te pakken, oplossingen te vinden, werk te plan-nen en resultaten te leveren.

Normatief of beschrijvend model Het model heeft geen norm in zich voor wat adequaat is (en de auditor dus als norm zou kunnen gebruiken)


Te gebruiken als een maturity-model voor het effectief functione-ren van groepen (projectteams) en het analyseren van gedrag van teams. Volgens Tuckman zal een team nooit goed presteren zolang het geen gezamenlijke conflicten heeft doorgemaakt en er geen gedragsnormen zijn vastgesteld. Vanuit de beschrijving van de fasen zijn zogeheten referentiekaders af te leiden, die kunnen worden gebruikt om te bepalen in welke fase het team zich bevindt.Naast de wijze waarop teamleden opereren zijn ook uitspraken te doen over de rol van de leiding (projectleider) van het team.• Forming: fase van initiatie van het projectteam.• Storming: Meerdere ideeën concurreren vaak hevig met elkaa om meegenomen te worden in het projectteam.• Norming: Vastleggen van regels, waarden, gedrag, methoden en hulpmiddelen worden vastgelegd.• Performing: De inter-persoonlijke structuur wordt het hulpmiddel van de taakactiviteiten. De rollen worden flexibel en functioneel en de groepsenergie wordt gekanaliseerd binnen de taken.• Adjourning: De taken worden voltooid en het team wordt ontbonden.


• Opdrachtgever: raad van bestuur/directie of stuurgroep• Moment van audit: tijdens of na afronding project• Soort audit vraag: curatief• Zwaarte van project: groot aantal betrokkenen (omvang) en beleid- en aansturing, cultuurverandering (risico’s)• Impact van verandering: n.v.t. (model is gericht op samenwerking en ontwikkeling binnen het project, respectievelijk van het projectteam).

Beschikbaarheid van nadere informatie • http://www.12manage.com/methods_tuckman_stages_team development_nl.html;• http://en.wikipedia.org/wiki/Forming,_storming,_norming and_performing;

Naam instrument/model Sponsorship - Management of Change

Auteur(s), jaartal Diversen. De vragenlijsten zijn veelal bureaugebonden of slechts te-gen een financiële bijdrage te gebruiken

Doel instrument/model Beoordeling van de kwaliteit van het sponsorship, als belangrijke voorwaarde voor het realiseren van projecten/veranderingen in or-ganisaties ofwel als onderdeel van het projectmanagement.

Object van onderzoek Projectbesturing – kwaliteit van de sponsor (zijnde de directie en/of Stuurgroep).

Korte omschrijving instrument/model Er zijn diverse modellen / vragenlijsten aan de hand waarmee het sponsorship kan worden ‘gemeten’ en beoordeeld. De diverse ta-ken en rollen van de sponsor worden aan de hand van een aan-tal vragen doorgenomen. Overigens zijn er, naast het sponsorship, ook andere vragenlijsten beschikbaar met betrekking tot andere voorwaarden voor het realiseren van veranderingen, bijv. de veran-deringsbereidheid en de kwaliteit van de verandermanager (chan-ge agent). Deze worden op dezelfde wijze toegepast.De vragenlijsten zijn gebaseerd op de theorie van management of change.

Normatief of beschrijvend model NormatiefDe vragenlijsten beschrijven de gewenste situatie c.q. wat ade-quaat sponsorship is.


Deze vragenlijsten zijn vooral bruikbaar in een nadere analyse van het sponsorship. De algemene projectmanagementmethodieken nemen dit globaal mee.Deze vragenlijsten zouden aldus bijvoorbeeld kunnen worden ge-bruikt:• In een analyse van bestaande problemen in de projectbesturing.• In een analyse van de oorzaken van problemen in de projectbesturing.


• Opdrachtgever: let op dat met deze vragenlijsten mogelijk de opdrachtgever zelf wordt beoordeeld.• Moment van audit: de vragenlijst kan op diverse momenten worden toegepast, vanaf de uitvoering.• Soort audit vraag: omdat het een diepgaande analyse van één van de aspecten van projectbesturing is, zal het vooral gebruikt worden als al problemen zijn geconstateerd.• Zwaarte van het project: een dergelijk onderzoek zal over het algemeen alleen toegevoegde waarde hebben bij een groot project.• Impact van de verandering: vooral bij veranderingen met grote impact (veranderingen van competenties of houding van medewerkers) is sponsorship essentieel.

Beschikbaarheid van nadere informatie De beschikbaarheid is verbonden aan de auteurs.

Bijlage 1.12 Groepsontwikkeling

Bijlage 1.13Sponsorship - Management of Change

38 39

Naam instrument/model Factoren van invloed op projectsucces

Auteur(s), jaartal Teun van Aken, 1996

Doel instrument/model Ieder project moet uniek worden benaderd en aangepakt. Projectsucces is vooral afhankelijk van de werkstijl van een project-manager en allerlei procedures en technieken zijn vaak alleen maar een storende factor. Instrumentgebruik is vooral intern gericht, ter-wijl de projectmanager zich met name extern zou moeten richten.


Korte omschrijving instrument/model De conclusies uit het onderzoek van Van Aken luiden:• Instrumentgebruik correleert negatief met succes• Werkstijl correleert sterk met succes• Bij doelgericht werken is weinig instrumentarium nodig voor succes• In grijpbare projecten staat veel structurering succes in de wegBij een project worden twee soorten werkstijlen onderscheiden:1) Doelgerichte werkstijl: Positieve bijdrage aan het projectsucces en reductie van het instrumentarium. Kenmerken zijn werkdiscipline, sturing, adequate overlegstructuren, resultaatgericht et cetera.2) Gestructureerde werkstijl: De complexiteit van een project wordt bepaald door drie factoren: de tastbaarheid van het projectresu- taat, het aantal belanghebbenden en het aantal betrokken disciplines. Kenmerken zijn zorgvuldigheid, vastgelegde procedures et cetera. De inzet van instrumenten en de diepgang van de beheersing is afhankelijk van de complexiteit van een project.

Normatief of beschrijvend model Normatief


Door de aard van de projecten vast te stellen, is het mogelijk een project te classificeren als een grijpbaar dan wel een ongrijpbaar project. Grijpbaarheid van projecten wordt gedefinieerd als de mate waarin de projectmanager invloed kan uitoefenen op zowel inhoud als verloop van een project. De mate van grijpbaarheid is volgens de volgende variabelen vast te stellen: tastbaarheid van het eind-product, aantal belanghebbenden en aantal betrokken disciplines.Op basis van de classificatie van de mate van grijpbaarheid van het project kan men vaststellen of de werkstijl aansluit bij de aard van het project. De werkstijl is onder te verdelen in doelgericht handelen en structurerend handelen. Bij een lage grijpbaarheid kan men beter structurerend te werk gaan om een grotere kans van slagen van het project te bereiken. Doelgericht handelen levert bij elk project een positieve bijdrage succes.


• De rol van de opdrachtgever: kan bij alle soorten opdrachtgevers• Het moment van de audit: tijdens de uitvoering• De soort audit vraag: zowel preventief als curatief te gebruiken• Zwaarte van het project: een dergelijk onderzoek kan bij ieder project opnieuw worden uitgevoerd• Impact van de verandering: niet van belang voor het onderzoek.

Beschikbaarheid van nadere informatie Aken, T.G.C. van, ‘De weg naar projectsucces – Eerder via werkstijl dan via instrumenten’, Lemma BV, Utrecht, 1996.

Naam instrument/model Levers of Control

Auteur(s), jaartal Simons, 1995


Object van onderzoek Projectinrichting / projectmanagement

Korte omschrijving instrument/model Model bestaande uit vier hefbomen; Belief systems, Boundary sys-tems, Diagnostic control systems, Interactive systems. Het model biedt een integrale visie op sturing en beheersing. Kernvraag: Hoe realiseer je een adequate controle in organisaties die flexibel, inno-vatief en creatief moeten zijn?



Elk van de geïdentificeerde ‘Systems’ kent specifieke variabelen die toegepast kunnen worden bij projectmanagement. In een au-dit kan vastgesteld worden in hoeverre deze variabelen adequaat zijn ingevuld.Om een organisatie beter te begrijpen adviseert Simons de volgen-de vragen:1) Hebben senior managers de kernwaarden van de zaken op een zodanige manier gecommuniceerd dat mensen ze begrijpen en waar zij blij mee zijn?2) Hebben managers duidelijk de specifieke acties en het gedrag geïdentificeerd welke niet worden toegestaan?3) Zijn de diagnosticerende controlesystemen in orde voor het volgen van de kritieke prestatievariabelen?4) Zijn de controlesystemen interactief en zijn zij ontworpen om leren te bevorderen?5) Betaalt de organisatie genoeg voor traditionele interne controles?


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider.• Moment: voor start en na afloop.• Soort audit vraag: preventief.• Zwaarte (omvang, reikwijdte, risico’s): Juist omdat het model sterk op control is gericht, kan het worden toegepast om de mate van risicobeheersing binnen een project nader te onderzoeken.• Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): model is bruikbaar ongeacht de impact.

Beschikbaarheid van nadere informatie • http://www.12manage.com/methods_simons_levers_nl.html

Bijlage 1.14Factoren van invloed op projectsucces

Bijlage 1.15 Levers of Control

40 41

Naam instrument/model Competing Values Framework

Auteur(s), jaartal Quinn, 1988



Korte omschrijving instrument/model Analysemodel voor effectiviteit van organisaties, bestaande uit twee dimensies: organisatorische focus en organisatorische voor-keur voor structuur. Deze dimensies leiden tot vier modellen: Hu-man Relations Model, Open Systems Model, Rational Goal Model, Internal Process Model. Het model kan ook worden gehanteerd om (project)leiderschap te analyseren. Flexibiliteit in het hanteren van leiderschapsrollen is hierbij van belang.



Het concurrerende waarden model kan gebruikt worden in een or-ganisatorische context. Het kan dienen als strategische tool om su-pervisie en management te ontwikkelen. Daarnaast kan het model gebruikt worden om organisaties te helpen hun bestaande en ge-wenste cultuur te diagnosticeren. Ook kan het model worden ge-bruikt om organisatorische leemtes te onderzoeken. Een andere functie van het model is dat het als leermiddel kan die-nen, waarmee managers verschillende organisatorische functies en processen kunnen doorgronden. Tot slot kan het model leiden tot een beter begrip van verschillen en overeenkomsten tussen verschil-lende management rollen.


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider. Het model kan inzicht bieden in de positie en rol van de opdrachtgever.• Moment: voor start en tijdens uitvoering• Soort audit vraag: curatief• Zwaarte (omvang, reikwijdte, risico’s): alle genoemde aspecten van deze contextfactor kunnen in het model worden begrepen.• Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): Met name de cultuurdiagnose en mogelijkheden van het model om organisatorische leemtes te onderzoeken bieden aanknopingspunten het model te hanteren bij een grote impact van de verandering.

Beschikbaarheid van nadere informatie http://www.cw.utwente.nl/theorieenoverzicht/Theory clusters/Or-ganizational Communication/Competing_Values_Framework.doc/

Naam instrument/model 7-S Model

Auteur(s), jaartal McKinsey

Doel instrument/model Ten behoeve van de beoordeling projectmanagementHet 7-S Model van McKinsey kan worden gebruikt om sturing te geven aan de project audit. De zeven managementinstrumenten zijn oorspronkelijk niet ontworpen voor veranderingstrajecten/ pro-jecten, maar kunnen hierop wel van toepassing worden verklaard.

Object van onderzoek Projectinrichting/projectmanagement

Korte omschrijving instrument/model Managementmodel dat zeven factoren beschrijft om een organisa-tie op een holistische en effectieve manier te organiseren. De 7 S-factoren zijn verdeeld in drie ‘harde’ (‘Strategy’, ‘Structure’ en ‘Sys-tems’) en vier ‘zachte’ (‘Shared values’, ‘Skills’, ‘Staff’ en ‘Style’). Op alle S-en moet tegelijkertijd worden gehandeld en alle S-en zijn met elkaar verbonden.



Bij gebruik van dit referentiemodel bij een onderzoek naar project-beheersing gaat het erom vast te stellen of alle 7 S-en adequaat en in volgorde van prioriteit aan bod komen in de gekozen beheers-structuur van het project.


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider.• Moment van uitvoeren: tijdens uitvoering en/of na afloop• Soort audit vraag: preventief• Zwaarte (omvang, reikwijdte, risico’s): Het 7-S model kan de auditor helpen de risico’s met betrekking tot de beheersing van het project in kaart te brengen. Het geeft richting aan de risicoanalyse.• Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding). Heeft de verandering die het project moet bewerkstelligen betrekking op en/of gevolgen voor alle 7 S-en, dan is al snel sprake van een relatief forse impact van het project. De te leveren audit inspanning zal – uiteraard afhankelijk van de audit vraag – hierop afgestemd dienen te worden.

Beschikbaarheid van nadere informatie • http://nl.wikipedia.org/wiki/7S-model• http://www.12manage.com/methods_7S_nl.html• Een Praktijkgerichte benadering van Organisatie & Management, Van Dam, Marcus, derde druk 1999, ISBN 90 11 05002 9

Bijlage 1.16 Competing Values Framework

Bijlage 1.17 7-S Model

42 43

Naam instrument/model Causaal model van organisatorische prestatie en verandering

Auteur(s), jaartal Burke-Litwin, 1992



Korte omschrijving instrument/model Dit model is een uitbreiding van het 7-S model: het combineert dit model met een algemene veranderingsprocestheorie. Het model maakt onderscheid tussen transformationele factoren en transac-tionele factoren. Transformationele verandering treedt op als reactie op de externe omgeving, welke direct de missie, strategie, het leiderschap en de cultuur van de organisatie beïnvloedt. Hierdoor worden de volgen-de transactionele factoren beïnvloed: structuur, systemen, manage-mentpraktijken en het werkklimaat. Deze transformationele en transactionele factoren beïnvloeden gezamenlijk de motivatie, welke op haar beurt de prestatie beïn-vloedt. Er is sprake van een feedback-lus: de organisatorische pres-tatie kan op directe wijze weer de externe omgeving beïnvloeden.



Dit model is wellicht het best toepasbaar als gevraagd wordt om uitspraken bij de mate van beheersing van de veranderorganisatie ‘an sich’. Is er voldoende grond (sense of urgency) voor de voorge-nomen verandering? Door de organisatorische borging van de in het model opgenomen factoren te bestuderen kunnen uitspraken worden gedaan over de veranderkalender.


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider.• Moment: voor start project, na afloop• Soort audit vraag: Zoals hiervoor aangegeven leent dit model zich het beste voor een audit op de (kwaliteit van) projectbeheersing (preventief, indien voor start project uitgevoerd)• Zwaarte (omvang, reikwijdte, risico’s): Zie de opmerkingen bij het 7-S model.• Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, attitude): Zie de opmerkingen bij het 7-S model.

Beschikbaarheid van nadere informatie http://www.12manage.com/methods_burke_litwin_model_nl.html

Naam instrument/model Business Process Re-engineering (BPR)

Auteur(s), jaartal Hammer

Doel instrument/model Beoordeling projectmanagementHet doel van BPR is het realiseren van een hogere toegevoegde waarde voor de afnemer door middel van procesoriëntatie.

Object van onderzoek

Korte omschrijving instrument/model BPR gaat uit van fundamenteel heroverwegen en radicaal heront-werpen van organisatorische processen om drastische verandering van bestaande prestatie te bereiken wat betreft kosten, dienstver-lening en snelheid. De organisatie moet worden herontworpen als een reeks processen. Davenport (1992) beschrijft een BPR-aanpak met vijf stappen: 1) Ontwikkel de bedrijfsvisie en procesdoelstellingen2) Identificeer de bedrijfsprocessen die herontworpen moeten worden3) Analyseer en meet bestaande processen4) Identificeer IT-hefbomen 5) Ontwerp en bouw een prototype van het nieuwe proces



BPR kan een efficiënt model zijn om op relatief hoog niveau uit-spraken te doen over projectbeheersing. De vijf stappen uit het mo-del dienen immers allen doorlopen te worden. Het model is ove-rigens sterk op hardcontrols en minder op de gedragszijde van beheersing gericht.


• Opdrachtgever: raad van bestuur/directie of stuurgroep of projectleider.• Moment: voor start project, na afloop• Soort audit vraag: preventief• Zwaarte (omvang, reikwijdte, risico’s): De aanpak van Davenport werkt als richtsnoer voor een effectief audit ontwerp op een BPR-traject. Het borgt dat alle aandachtspunten aan bod komen.• Impact van de verandering (wijziging bediening systemen, taken, vaardigheden, houding): Met name de tweede stap uit het model van Davenport biedt enig inzicht in de impact van de verandering. Het menselijke aspect is onderbelicht in BPR.

Beschikbaarheid van nadere informatie • http://nl.wikipedia.org/wiki/Business_Process_Reengineering• http://www.12manage.com/methods_bpr_nl.html• Een Praktijkgerichte benadering van Organisatie & Management, Van Dam, Marcus, derde druk 1999, ISBN 90 11 05002 9

Bijlage 1.18 Causaal model van organisatorische prestatie en verandering

Bijlage 1.19 Business Process Re-engineering (BPR)

44 45

Naam instrument/model Veranderen in vijf kleuren

Auteur(s), jaartal Leon de Caluwé

Doel instrument/model Ten behoeve van de beoordeling van de keuze voor de projectma-nager, de effectiviteit van het projectmanagement en ter onder-steuning van een analyse van het verandertraject.


Korte omschrijving instrument/model Het model van de Caluwé geeft een typering in kleuren van vijf ver-schillende manieren van veranderen: • Geel drukdenken: Mensen veranderen als je rekening houdt met hun (eigen) belang • Blauw drukdenken: Mensen of dingen veranderen alleen bij een duidelijk gespecificeerd resultaat vastlegt• Rood drukdenken: Mensen en organisaties veranderen bij de juiste HRM-instrumenten inzet• Groen drukdenken: Veranderen en leren als begrippen liggen dicht tegen elkaar aan• Bij wit drukdenken: Het dominante beeld is dat alles (autonoom, als vanzelf) in verandering is.Het model geeft situationele kenmerken voor de keuze en toepas-sing van een veranderaanpak. Daarnaast wordt het soort verande-ringstraject getypeerd dat hierbij hoort.

Normatief of beschrijvend model Beschrijvend


Vaststelling of de veranderaanpak aansluit bij de context van het project. Het gaat hierbij om de vier essentiële factoren: Verander-doelstelling, veranderomgeving, klant/opdrachtgever en projectma-nagerDe factoren dienen van dezelfde kleur zijn om een project beheers-baar te maken. De auditor kan bij verschillen beoordelen of deze het succes van een project belemmeren.


• De opdrachtgever: Of de veranderaanpak aansluit bij het project zal veelal in opdracht van de stuurgroep of directie gebeuren. Niet in opdracht van de projectleider zelf (die dan deels object van onderzoek is)• Het moment van audit: Bij de beoordeling van de selectie van de projectmanager, de projectaanpak en na Go-live van het project.• Soort audit vraag: Kan zowel preventief als curatief worden i gezet.• Zwaarte van het project: Voornamelijk toegevoegde waarde bij grote projecten met veel risico’s op het gebied van beleid en aansturing.• Impact van de verandering: Vooral bij veranderingen die gericht zijn op het veranderen van gedrag van mensen.

Beschikbaarheid van nadere informatie • http://www.decaluwe.nl/• http://www.menscentraal.nl/tekst_Leon_de_Caluwe1.html

Naam instrument/model Projecten Shaker

Auteur(s), jaartal Internal Audit Friesland Bank

Doel instrument/model Vaststelling welke projecten opgenomen moeten worden in het audit plan.

Object van onderzoek Niet van toepassing

Korte omschrijving instrument/model Binnen de Friesland Bank wordt hiervoor de zogenaamde ‘Projec-ten Shaker’ gehanteerd. Dit is een Exceltoepassing waarmee pro-jecten aan de hand van verschillende criteria worden ingedeeld in (punten)categorieën:• Type I projecten zijn projecten die in totaliteit >35 punten scoren op onderdelen als business -, organisatorische en technische impact, afbreukrisico, vernieuwing en/of kosten/investeringen;• Type II projecten scoren gemiddeld ≥20 punten;• Type III projecten scoren < 20 punten. Projecten met de hoogste scores worden meegenomen in het au-dit jaarplan.Het is van belang bij het opstellen van een dergelijke tool rekening te houden met de drivers achter de strategie van de organisatie. Afhankelijk van de door de organisatie aan elk van deze drivers toegekende waarde (gewicht) kan een selectie van die projecten plaatsvinden die hier het meeste aan tegemoet komen.Het is mogelijk een dergelijke tool uit te breiden met de verschil-lende rollen die een auditor bij project audits kan vervullen. Er kan bijvoorbeeld voor gekozen worden bij ‘zware’ projecten (type I) al-tijd de assurance rol te kiezen en bij minder zware projecten (type III) slechts een klankbordrol te vervullen.

Normatief of beschrijvend model Niet van toepassing


Om bij een omvangrijke projectenportefeuille en een beperkt au-ditbudget vast te kunnen stellen welke projecten door de auditor gecontroleerd moeten worden.


Niet van toepassing

Beschikbaarheid van nadere informatie Nadere informatie is te verkrijgen bij de internal audit afdeling van de Friesland Bank.

Bijlage 1.20 Veranderen in vijf kleuren

Bijlage 1.21 Projecten Shaker

46 4711 - How Prince2 can complement PMBOK and your PMP, Jay M Siegelaub, 2004: http://www.pmiwestchester.org/downloads/Prince2PMBOK.pdf12 - -Comparison of Pmbok v3 vs Prince2 rel 4, http://www.goalgroup.com.au/files/goal/pdfs/Table_Comparing PMBoK V3 vs PRINCE2 rel 4.pdf13 - Using DSDM and Prince 2 Whitepaper, DSDM Consortium, 2003

In onderstaand overzicht zijn vier gangbare methoden opgenomen waarbij de producten zijn aan-

gegeven die onderwerp van beoordeling in een project audit kunnen zijn. Deze methoden kunnen

vervolgens worden gebruikt om een referentiekader te formuleren.

BIjlage 2 oVerzICht methoden - produCten

Methode

Product Prince 211 PMBOK12 Gateway DSDM13 Overig

Managen van scope, tijd, geld en integratie

Project mandaat Project mandaat Project charter Review 1 Business Justification

Business case Business case Review 1 Business Justification

Review 2: Delivery Strategy

Review 3 Investment Decision

Review 4 readiness for service

Review 5 Operations review

and benefits realisation

Feasibility report

Business Area definition

Parker & Benson Information

economics

Val IT van ISACA

Projectplan (inclusief planning) Project brief

PID

Project plan

Stage plan

Product Breakdown structure +

Product Flow diagram

Project schedule

Projectmanagementplan /

charter

Scope statement en scope

Managementplan

Work / resource breakdown

structuur

Project programma

Activiteitenlijst

Milestone list

Resource requirements

Cost management plan

Review 1 Business Justification

Review 2 Delivery Strategy


Review 4 Readiness for service

Outline plan

Development plan

System architecture definition

Implementation plan

Timebox plan

Voortgangsrapportages Highlight reports, end stage re-

ports, exception reports

Performance report

ForecastReview 2 Delivery Strategy


Review reports

48 49


Methode

Product Prince PMBOK Gateway DSM Overig

Managen van communicatie

Communicatieplan Communication plan Communications management Plan

Review 2 Delivery StrategyReview 4 Readiness for service

Development planOutline plan

Risicomanagement

Risico-analyse PIDRisk Log

Risk response planRisk management planRisk register

Review 1 Business JustificationReview 2 Delivery StrategyReview 3 Investment DecisionReview 4 Readiness for service

Risk Log FIRM

Managen van kwaliteit/ Delivery management

Kwaliteitsplan + review documenten

Project Quality plan Issue logQuality log

Quality management plan Review 1 Business JustificationReview 2 Delivery StrategyReview 4 Readiness for service

Review recordsDevelopment plan

Testplan* Niet specifiek genoemd (deels onderdeel van Project Quality plan, verder gezien als specialisten product)

Niet specifiek genoemd (deels onderdeel van Quality management plan)

Review 4 Readiness for serviceReview 5 Operations review and benefits realization

Development plan Tmap

Evaluatie Lessons learned reportEnd Project report/ Post project review plan

Review 5 Operations review and benefits realisation

Post implementation review report

Acceptatiecriteria Acceptance criteria Requirements Review 2 Delivery StrategyReview 4 Readiness for service

Requirements list

Product beschrijvingen Product descriptions/ -Configurationitem recordsProduct checklists

Quality checklists Development plan

Conversieplan* n.v.t (gezien als specialisten producten)

Review 4 Readiness for service http://www.theiia.org/ ITAuditArchive/in-dex.cfm?act=ITAudit.archive&fid=5495COBIT

Configuration management plan*

Configuration management plan Development plan

Opleidingsplan Onderdeel van stageplan of PID Review 4 Readiness for service

50 51* Niet voor elk project even relevant, vooral van belang voor IT project


Methode

Product Prince PMBOK1 Gateway DSM Overig

Review 5 Operations review and benefits realisation

Implementatieplan (inclusief fallback/ uitwijk)

Onderdeel van stageplan of PID Review 2 Delivery StrategyReview 4 Readiness for serviceReview 5 Operations review and benefits realisation

Implementation planUser documentation

HR Management

Project structuur Organisation structure (in PID) Role and responsibilities descriptionsStaffing management planProject organization chart

Review 1 Business JustificationReview 2 Delivery Strategy

Development plan

Inkoop management

Afspraken met leveranciers* n.v.t (gezien als specialisten producten)

Procurement management planRisk related contractual agreementsContract statement of work

Review 1 Business JustificationReview 2 Delivery StrategyReview 3 Investment DecisionReview 4 Readiness for serviceReview 5 Operations review and benefits realisation

COBIT

Internal Audit is een onafhankelijke, objectieve beoordelende en

adviserende activiteit, ontworpen om waarde toe te voegen en de

operationele processen van de organisatie te verbeteren. Het onder-

steunt de organisatie bij het bereiken van haar doelstellingen door

een systematische en gedisciplineerde aanpak voor het beoordelen

en verbeteren van de effectiviteit van de processen op het gebied

van risicomanagement, beheersing en bestuur.

Het Instituut van Internal Auditors Nederland (IIA) is de grootste be-

roepsvereniging van internal auditors in Nederland. De missie van IIA

is om het beroep internal audit in Nederland te ontwikkelen en te

promoten en daarvoor internal auditors, management en andere be-

langhebbenden te ondersteunen bij een succesvolle invulling van de

internal auditfunctie.


IIA Nederland


IIA Nederland

Postbus 5135

Gooimeer 4 - 15

1410 AC NAARDEN

tel. +31 (0) 88 00 37 100

fax +31 (0) 35 694 74 27

www.iia.nl

Praktische handvatten voor het auditen van projecten

Projecten en programma’s zijn een relatief nieuw, maar belangrijk

gebied voor veel internal auditors. Het management wordt meer-

maals geconfronteerd met budgetoverschrijdingen, doorlooptijden

die langer zijn dan verwacht en een uiteindelijke functionaliteit die

lager is dan verwacht. De internal auditor kan het management

ondersteunen in het tijdig signaleren van risico’s en het bijsturen van

projecten.

Deze notitie vormt daartoe een praktische toolkit, waarmee de

internal auditor zijn toegevoegde waarde kan vergroten.

Uitgaande van een proactieve rol en een risicogeoriënteerde

benadering wordt aandacht besteed aan:

• de mogelijke rollen van de auditor

• de factoren die bepalend zijn voor de gewenste invulling van de

project audit

• bij de project audit te gebruiken instrumenten.

Handvatten voor de internal auditor - IIA · naar projecten en niet naar het auditen van...

Documents

Transcript of Handvatten voor de internal auditor - IIA · naar projecten en niet naar het auditen van...