De meerwaarde van onafhankelijke control

De focus op de beheersing van ICT-projecten binnen de overheid neemt toe. De Algemene Rekenkamer kijkt al een aantal jaren met bijzondere aandacht over de schouder van overheidsbestuurders mee. Grote overschrijdingen in zowel tijd als geld, van projecten als de Betuwelijn, de Noord/Zuidlijn, maar vooral ook van vele ICT-projecten binnen de publieke sector, zijn hiervoor de aanleiding.
Om de control op de grote projecten op een hoger plan te brengen is het belangrijk dat bestuurders zich bewust worden van het belang van onafhankelijke control op de projecten en dit ook serieus willen inrichten.

Oorzaken mislukken van grote ICT-projecten
Het rapport1 van de Rekenkamer leert ons dat de belangrijkste oorzaak voor het (deels) mislukken van ICT-projecten, te maken heeft met het te ambitieus en te complex worden ervan, in combinatie met politieke, organisatorische en technische factoren. Bij deze te complexe projecten ontstaat er geleidelijk een onbalans tussen ambitie, beschikbare mensen, middelen en tijd. De vraag die we ons hierbij kunnen (en moeten) stellen is: hoe ontstaat deze onbalans en hoe staat het met het probleemoplossend vermogen van desbetreffende organisaties?
Intervisiebijeenkomsten binnen de verschillende rijksdiensten wijzen vaak en nadrukkelijk op de cultuur van de organisaties als een van de grootste faalfactoren voor een deugdelijk risicobeheer. Factoren als onvoldoende transparantie in de bedrijfsvoering en het verschil in beleving van gemaakte afspraken worden aangevoerd als verklaring hiervoor. Behalve gevoelsmatige factoren zijn er echter ook aanwijsbare oorzaken te benoemen.

Als gevoelsmatige factoren gelden met name:

• onvoldoende duidelijkheid in de bestuurlijke kaders van geaccepteerde opdrachten;
• dat het werken met businesscases nog onvoldoende is geaccepteerd als besluitvormings- en sturingsmiddel;
• het nog niet eigen gemaakt hebben van het documenteren van de systemen;
• dat de ontwikkeltrajecten teveel meebewegen met aanvullende nieuwe functionele wensen. Het oorspronkelijke doel wordt daarbij uit het oog verloren;
• dat de onafhankelijke controller zijn positie nog niet geheel heeft kunnen afdwingen, waardoor aangedragen oplossingsmogelijkheden niet op de juiste wijze worden geïnterpreteerd;
• het niet eenduidig en integraal belegd zijn van de verantwoordelijkheid voor change management.2

Bij aanwijsbare oorzaken gaat vooral om:

• het onvoldoende uitvoeren van testen: het testtraject wordt nog teveel gezien als oponthoud en te weinig als een goede investering; als de planning zodanig onder druk is gekomen wordt het testtraject het kind van de rekening, ondanks herhaaldelijk rapporteren;
• het gebrek aan een duidelijke planning waardoor een feitelijke confrontatie tussen plannen en resultaten ontbreekt, met als gevolg dat de rapportages regelmatig een te rooskleurig beeld geven, wat resulteert in het vooruitschuiven van risico’s, naar de toekomst;
• de invulling van de rollen van projectmanager en controller: deze rollen zijn onvoldoende uitgeschreven waardoor de invulling van de rollen door elkaar heen loopt, met als gevolg dat de onafhankelijke rol van de controller ondersneeuwt, waarin vervolgens de projectrapportage een verkapte controlrapportage wordt;
• het gebrek aan een duidelijke projectstructuur en naleving van de prince2-principes; door deze onvolkomenheden is de verdeling van taken en verantwoordelijkheden vaak onduidelijk, waardoor veel overleg en afstemming nodig is.

Kabinetsmaatregelen om greep te krijgen
Gebeurt er dan niets? Het is niet de bedoeling dit beeld op te roepen. er is zeker een ontwikkeling op dit gebied zichtbaar. De politiek laat zich ook steeds meer en meer horen en daarbij komt dat de financiële crisis naast veel nadelen ook een voordeel met zich meebrengt. namelijk aandacht voor een goede en gezonde bedrijfsvoering. eind 2008 heeft het toenmalige kabinet een aantal maatregelen vastgesteld om de beheersing van de grote ICT-projecten te verbeteren. Deze maatregelen betroffen o.a. de aanstelling van CIO’s3 bij de ministeries, de inrichting van een directie Informatiseringsbeleid Rijk bij het ministerie van Binnenlandse Zaken, rijksbrede afspraken over architectuur en standaarden, de inhoud van projectplannen en businesscases, de aanpak van rapportages, reviews en evaluaties en de professionalisering van personeel. maatregelen die ertoe moeten bijdragen dat er een meer zakelijke cultuur ontstaat. een cultuur waarbij de diverse rollen binnen de organisatie ten volle worden benut om te komen tot betere resultaten.

Invoering van Portfoliomanagement
Een van de afgeleide beheersmaatregelen welke thans rijksbreed wordt ingericht is het project portfolio management.
Dit is te omschrijven als een proces dat tot doel heeft, een optimale coördinatie te verzorgen ten aanzien van grotere ICT-investeringen en veranderingen in de informatievoorziening. Het proces brengt de betekenis en prestaties van de verschillende informatiesystemen en projecten voor de gebruikersorganisatie in kaart. Ook vertaalt portfoliomanagement het bedrijfsbeleid naar aanpassingen in de informatievoorziening, op basis van een strategie en projectenportefeuille.
Daar hoort natuurlijk ook bij dat op bestuurlijk niveau soms ‘nee’ gezegd dient te worden tegen opdrachten, waarvan de bestuurlijke kaders onduidelijk en/of onvolledig zijn. een duidelijk voorbeeld van de noodzakelijke cultuuromslag. De top van de organisatie dient goed te worden voorbereid en ervoor zorg te dragen dat besluitvaardigheid en daadkracht worden doorgevoerd.

Basis is solide businesscase
Bij kabinetsbesluit is ook vastgelegd dat grote ICT-projecten niet kunnen starten zonder een deugdelijke businesscase welke uiteindelijk door de CIO is goedgekeurd. een businesscase is de zakelijke rechtvaardiging van een investeringsinitiatief. een businesscase is een document waarin de zakelijke afweging voor een project of taak beschreven wordt. In de businesscase worden de kosten tegen de baten afgewogen. aan de hand van de businesscase wordt besloten om wel of niet te starten en/of verder te gaan met een project.

Introductie Prince2
In de afgelopen jaren is binnen de Rijksdienst ook een belangrijke stap gezet om de beheersing van projecten qua sturing, te verbeteren. een van de verbeteringen was het invoeren van standaardprojectrapportages, gekoppeld aan de introductie van Prince2.4 Prince2 is een projectmanagementmethodiek, welke bijdraagt aan het beheersen van projecten. De methodiek werkt op basis van een fasering, waarbij steeds, wanneer een fase wordt afgerond, wordt bezien of het project verder kan. De methode Prince2 is de opvolger van de methode prince, die in de jaren tachtig primair werd ontwikkeld voor ICT-projecten. Deze methode is vervolgens verder ontwikkeld door het bundelen van praktijkervaringen, zogenaamde best practices. Dit is ter hand genomen door de Britse semioverheidsinstelling, de Office of government Commerce (OGC). Deze instelling was voortgekomen uit de Central Computer and Telecommunications Agency (CCTA) van de Britse overheid, die was gericht op de informatietechnologie en telecommunicatiemarkt. prince kwam in 1989 op de markt, en werd vooral binnen de ICT-industrie gebruikt.

Prince2 is een verbeterde en uitgebreide versie van prince en bedoeld als generieke projectmanagementmethode. De methode is in 1996 op de markt gebracht en is sindsdien in toenemende mate buiten de ICT gebruikt. In 1997 is Prince2 door Pink Elephant, het tegenwoordige getronics Consulting, in Nederland geïntroduceerd.

In de standaardrapportages welke volgens Prince2 zijn opgebouwd, wordt door de betreffende projectmanager verantwoording afgelegd aan de zogeheten business executive. De business executive is in Prince2-termen de ‘eigenaar’ van het project en is doorgaans ook de voorzitter van de projectboard (vergelijkbaar met een stuurgroep). Prince2 heeft zijn nut inmiddels wel bewezen, gezien ook het gebruik ervan binnen een groot aantal publieke, maar ook private organisaties.

Zo wordt Prince2 in ons land toegepast door o.a.:

• diverse ministeries, gemeenten en andere nonprofitorganisaties,
• banken en verzekeraars zoals ABN AMRO, Achmea, ING, Rabobank en PGGM,
• industriële bedrijven zoals Corus (onderdeel van Arcelor-Mittal), Heineken en KPN,
• onderwijsinstellingen zoals de Vrije Universiteit en Universiteit Leiden,
• IT- en consultancybedrijven zoals Cap Gemini, Getronics Logica, Ordina en Yacht,
• energiebedrijven zoals Essent en NUON.

Binnen enkele overheidsorganisaties is er inmiddels voor gekozen om voor elk project met een ICT-component al vanaf € 1 mln. een standaardprojectrapportageverplichting voor te schrijven.
Een projectrapportage is natuurlijk geen doel op zich. De projectrapportage heeft als doel om inzicht te geven in de huidige stand van zaken en de komende periode van het project. Inzicht is een voorwaarde om grip te krijgen en te houden op de projectuitvoering en de projectbesturing. De toegevoegde waarde van de rapportage zit vooral in de bespreking die de opdrachtgever en de opdrachtnemer (aangewezen project of programmamanager) hierover voeren en in de feedback van de opdrachtgever.
Om dit inzicht te verschaffen is de rapportage niet alleen op het heden en het verleden gericht, maar juist ook op de toekomst. Het is effectiever om preventieve maatregelen te nemen dan correctieve of repressieve. Preventieve maatregelen die je nu neemt hebben een versterkend effect in de toekomst. Activiteiten geven overigens slechts gedeeltelijk inzicht in hoeverre het projectdoel wordt bereikt. In de rapportage staan dan ook de resultaten centraal. Daarnaast besteedt de rapportage expliciet aandacht aan veel voorkomende risico’s bij de uitvoering van projecten (projectbesturing, scope, kwaliteit, resources en afhankelijkheden). De vraag naar een oordeel op deze gebieden (gericht op het effect van deze gebieden op het nog af te leggen traject) geven opdrachtgever en opdrachtnemer de mogelijkheid om proactief bij te sturen. De scope van deze rapportage omvat het gehele project en niet alleen het ICT-deel(project). Het project is immers pas succesvol als het systeem/product ook effectief wordt gebruikt en wordt beheerd.

Een uiterst belangrijk onderdeel van die rapportages is het hoofdstuk met de bevindingen van de controller, waarin deze zijn onafhankelijke visie geeft over de resultaten. Om hier serieus invulling aan te geven is de positionering van de controller van groot belang.
Eerder in dit artikel kwamen de projectcontrollers al even aan de orde. Voor alle grote ICT-projecten geldt eigenlijk dat deze gecontroleerd zouden moeten worden door dedicated projectcontrollers5, welke zo onafhankelijk mogelijk zijn gepositioneerd. Zij vullen dan vooral een toezichthoudende rol in, waar het gaat om het volgen van allerlei governance-afspraken, maar houden zich ook bezig met het inschatten van risico’s en het adviseren van zowel de business executive als de projectmanager.

Figuur 1. Schematisch procesoverzicht Prince2-methodiek. (Bron: Wikipedia)

De rol van de onafhankelijke controller
Intervisie tussen controllers van de verschillende rijksdiensten bevestigt het beeld, dat projectbeheersing in de afgelopen jaren flinke impulsen heeft gekregen. Niet in het minst door het langzaamaan benutten van een proces van onafhankelijke control over de grote ICT-projecten. Dat gebeurt echter nog wel op zeer uiteenlopende manieren. In sommige organisaties gebeurt de control door de inzet van eerder genoemde dedicated projectcontrollers. De meeste daarvan zijn direct gekoppeld aan een of meer projecten. Dit is uiteraard mede-afhankelijk van de omvang van het betreffende project.
De projectcontrollers hebben naast hun reguliere opleiding tot controller vaak ook een aanvullende opleiding gehad in onder andere de Prince2-methodiek.
Toch is niet in alle rijksdiensten gekozen voor zowel een heldere projectmanagementmethodiek als de bijbehorende onafhankelijke control. Soms wordt er ook voor gekozen om ‘control’ te beleggen bij medewerkers van afdelingen projectsupport. Het nadeel hiervan is dat regelmatig invloed vanuit de projectleiding wordt uitgeoefend om de ‘werkelijkheid’ toch net even iets te kleuren.
Soms komt het ook voor dat bestuurders weinig op hebben met control. Het is alleen maar lastig, wordt er dan gezegd. Soms worden controllers voor hun adviezen beloond met opmerkingen als: “We willen geen stafsturing” of “Wij weten zelf wel hoe het zit.” Tja, dan wordt het als controller wel erg lastig om je toegevoegde waarde te duiden. In dit artikel wordt juist het belang van de onafhankelijke control op projecten onder de aandacht gebracht.

Wordt het tij hiermee nu echt gekeerd?
Overheidsorganisaties zijn, uit oogpunt van een efficiënte bedrijfsvoering, gericht op ongestoorde dienstverlening aan burgers en bedrijven, gebaat bij heldere besluitvorming en een consistente uitvoeringspraktijk. Daarbij past een open bedrijfscultuur, waarin respect voor professionals vooropstaat en waarin wordt geacteerd op basis van het principe ‘afspraak is afspraak’. Die cultuur dient te worden ondersteund door een daarop aansluitende stijl van leidinggeven. Verantwoording afleggen past hierbij, mits op een zinnige en functionele manier. Daarnaast helpt het om control op relevante aspecten van de bedrijfsvoering aan te scherpen, zodat de leiding, onafhankelijk van de projectrapportages, een onafhankelijk en betrouwbaarder zicht krijgt op het functioneren van de betreffende eenheden. Want het is niet voldoende, wanneer alleen wordt gezegd dat de opleverdata (van ICT-services) worden gehaald. Ook de kwalitatieve consequenties die daarmee gepaard gaan zijn van belang. Wordt het systeem wel voldoende getest en gedocumenteerd? en als dat niet gebeurt, wanneer wordt het dan wel gedaan. Daarnaast dienen de risico’s van een dergelijke werkwijze te worden gewogen.

Doorpakken!
Het is nu zaak om door te pakken. Prince2 wordt meer en meer de basis. Vanuit deze basis ligt er voor de onafhankelijke controller de kans om op een goede wijze invulling te geven aan zijn of haar rol. De organisaties zullen eraan moeten wennen, maar het ligt niet alleen bij de organisaties, ook bij de onafhankelijke controllers.
Van de controller mag verwacht worden dat hij vanuit zijn beroepscode zich niet zonder meer opzij laat zetten en daarmee vervalt in de rol van projectsecretaris. nee, hij moet zich profileren en vanuit zijn verantwoordelijkheid de bestuurders ondersteunen in het goed neerzetten van de onafhankelijke control, vanuit een gezonde bedrijfsvoering. Het pappen en nathouden past niet meer in de tijdgeest en daarmee komen de organisaties niet meer mee weg. Hier wordt niet meteen een lans gebroken voor Prince2, maar wel duidelijk aangeven dat daar waar A wordt gezegd ook B gezegd moet worden.

Boudewijn G. van Zanten MPC CPC is hoofd IV-control binnen de Belastingdienst en vanuit die rol verantwoordelijk voor onder meer de functionele aansturing van de projectcontrollers binnen die organisatie.

Noten
1 Het onderzoeksrapport ‘Lessen uit ICT-projecten’ dat daarover is verschenen, is voor iedereen verkrijgbaar bij de Algemene Rekenkamer op www.rekenkamer.nl/Actueel/Onderzoeksrapporten/Bronnen/2008/07/Lessen_uit_ICT_projecten_bij_de_overheid_Deel_B
2 Change of veranderingsmanagement is een vorm van management die zich expliciet bezig houdt met veranderingen in de structuur of de werkwijze van een bedrijf of andere organisatie. De term is in jaren ’80 ontstaan. De Engelse vertaling change management wordt vaak gebruikt voor wijzigingen in een automatiseringssysteem.
3 CIO: Chief Information Offi cer. Een functionaris die verantwoordelijk is voor zowel de uitvoering als besturing op het vlak van ICT.
4 Prince2 (PRojects IN Controlled Environments) is een gestructureerde methode voor projectmanagement. Deze methode is gericht op het management, de besturing en de organisatie van een project.
5 Controllers welke speciaal aan een project zijn gekoppeld om uitsluitend over dat betreffende project inzicht te verstrekken.