Inleiding
In een vorig artikel is het wat en waarom van een ISAE 3402 audit uitgelegd. In de voorbereiding naar de audit was er veel discussie over het normenkader van NOREA, specifiek de generieke controls (beheersmaatregelen). Deze zijn gebaseerd op een conventioneel managementparadigma dat zich o.a. kenmerkt door functiescheiding (van uitvoering, aansturing en controle). Een zelforganisatie hanteert een radicaal ander paradigma. Dit betekent in het kader van een ISAE 3402 dat het normenkader voor een zelforganisatie anders geformuleerd moet worden.
Dit artikel is gebaseerd op de ervaringen met een ISAE 3402 auditproject binnen de IT Service-organisatie van Bossers & Cnossen. Doel van dit de volgende artikelen is het formuleren van een generiek normenkader voor een zelforganisatie.
Opbouw
In dit artikel wordt de generieke control ‘Beleid vastgesteld voor processen’ van het NOREA normenkader behandeld.
Eerst wordt de oorspronkelijke NOREA formulering gegeven en in het gekleurde blok de ‘formulering’ van deze generieke maatregel die beter aansluit bij het managementparadigma van een zelforganisatie (specifiek Holacracy
In de toelichting wordt een brug geslagen tussen de twee paradigma’s.
Tot slot wordt voor elke generieke beheersmaatregel een suggestie gedaan voor bewijsvoering.
GEN-1: Beleid vastgesteld voor processen
Oorspronkelijke NOREA formulering:
Management van de serviceorganisatie heeft beleid vastgesteld voor het proces over de reikwijdte, randvoorwaarden, relaties met aanverwante processen, prioriteiten en werkwijze van het proces.
Aangepaste formulering:
De serviceorganisatie heeft de processen die een centrale aansturing van een rol behoeven, geëxpliciteerd als domeinen en gedelegeerd naar rollen binnen haar cirkel. Ten behoeve van deze gedelegeerde domeinen zijn domeinafspraken gemaakt welke anderen ofwel toestemming geven om het domein te controleren of te beïnvloeden, ofwel beperkingen opleggen op hoe ze dat mogen doen.
Toelichting:
Management: Ten onrechte wordt zelforganisatie soms voorgesteld als een organisatie zonder management. Integendeel, er is sprake van een managementsysteem waarbij autoriteit (en invloed/macht) door gehele organisatie heen is gedistribueerd. De term ‘management’ moet dus niet uitgelegd worden als identificeerbare personen die op basis van hun functietitel en hiërarchische positie de autoriteit hebben om anderen te vertellen wat ze moeten doen. Management is een systeem van regels (de Holacracy Grondwet) dat alle organisatieleden macht en invloed geeft.
Processen: Organisaties maken gebruik van processen om dingen voor elkaar te krijgen (doing the right things, doing things right) en voor de IT is dat niet anders. Processen staan niet op zichzelf en vertonen een grote mate van onderlingen afhankelijkheid. Informatie en de informatievoorziening spelen een belangrijke rol in die onderlinge afstemming. Als gevolg van een toenemende afhankelijkheid van informatie worden er steeds strengere interne en externe eisen gesteld aan de kwaliteit van de informatievoorziening. Standaardnormen en frameworks van best practices helpen bij het ontwikkelen van een systeem om aan deze eisen te voldoen. Binnen de IT dienstverlening biedt ITIL een systemische aanpak en een gedetailleerde omschrijving van de belangrijkste processen.
ITIL biedt een framework voor operationele (IT-service) processen en de besturing (management) van deze processen. Consequentie is dat binnen een zelforganisatie het besturingssysteem van ITIL processen vervangen wordt door het ‘Holacratisch besturingssysteem’ (zoals beschreven in de grondwet). Kortom, de generieke beheersmaatregelen van NOREA die gebaseerd zijn op ITIL, moeten voor toepassing binnen een zelforganisatie anders geformuleerd te worden (hetgeen onderwerp is van dit artikel!)
Operationele processen zijn ondergebracht bij cirkels en/of rollen. Zodra een proces een centrale aansturing c.q. beheersing en regulering van een rol (of cirkel) behoeft, dan noemen we dit proces een domein. Conform de grondwet kan een domein betrekking hebben op fysieke eigendommen van de organisatie maar ook op processen (de grondwet spreekt van ‘dingen’ die de rol exclusief mag beheren en reguleren als zijn eigendom namens de organisatie). Binnen een IT-service organisatie zijn de ITIL-processen gedefinieerd als domeinen.
Beleid: Binnen een zelforganisatie wordt beleid vastgesteld op basis van de spelregels zoals geformuleerd in de Holacracy grondwet. Domeinen worden beheerd en gereguleerd door een rol (of een cirkel). In de praktijk oefenen meerdere rollen (belanghebbenden) invloed uit op het domein. Invloed uitoefenen kan betekenen dat een andere rol het domein wil gebruiken of bepaalde eisen (verwachtingen) stelt aan bijvoorbeeld de input of output van een proces. Een verzoek van een andere rol om jouw domein te beïnvloeden mag niet zonder redenen geweigerd worden. Afspraken over het gebruik van een domein noemen we domeinafspraken. Domeinafspraken geven anderen ofwel toestemming om een domein te controleren of te beïnvloeden, ofwel beperkingen opleggen op hoe ze dat mogen.
Bewijsvoering voor GEN-1:
- Holacracy Grondwet
- Governance vastlegging in het daarvoor ingerichte systeem (bijv. Glassfrog)
- Beschrijving/definitie van cirkels en rollen
Independent Brains 
Eén gedachte over “Beleid”