Capaciteit(en)

Dit artikel is onderdeel van een reeks artikelen over het toepassen van generieke beheersmaatregelen uit het NOREA normenkader op zelforganisaties.

Opbouw

In dit artikel wordt de generieke control ‘Middelen, Capaciteit en Deskundigheid’ van het NOREA normenkader behandeld.

Eerst wordt de oorspronkelijke NOREA formulering gegeven en in het gekleurde blok de ‘formulering’ van deze generieke maatregel die beter aansluit bij het managementparadigma van een zelforganisatie (specifiek Holacracy

In de toelichting wordt een brug geslagen tussen de twee paradigma’s.

Tot slot wordt voor elke generieke beheersmaatregel een suggestie gedaan voor bewijsvoering.

GEN-4: Middelen & Deskundigheid

Oorspronkelijke NOREA formulering:

De serviceorganisatie beschikt over voldoende middelen, deskundigheid en capaciteit (door intern personeel en/of externe dienstverleners, inclusief vervangend personeel in geval van tijdelijke afwezigheid) om het proces uit te voeren.

Aangepaste formulering:

De serviceorganisatie beschikt over voldoende assets, deskundigheid en capaciteit (door interne rolvervullers en/of externe dienstverleners, inclusief vervangende partners in geval van tijdelijke afwezigheid) om de verantwoordelijkheden uit te voeren.

Toelichting

Wat er met middelen binnen een zelforganisatie bedoeld wordt is afhankelijk van de context waarin dit begrip gebruikt wordt. In de context van verantwoordelijkheden (Grondwet artikelen 1.2.5, 4.1.1, 4.1.3c, 5.2.3) betekent middelen; geld (en niets anders). In het kader van de norm is het begrip middelen ruimer gedefinieerd; bijvoorbeeld instrumenten, applicaties (tooling). Vandaar dat ik voor de term ‘assets’ kies: een (bedrijfs-)eigendom dat waarde vertegenwoordigt.

Het uitvoeren van een proces staat gelijk aan het uitvoeren van verantwoordelijkheden rekening houdend met domeinen (processen) en geldende domeinafspraken (beleid, richtlijnen).

Mochten assets, capaciteit of deskundigheid tekortschieten, dan is dit een spanning van de desbetreffende persoon die dit tekort in één van zijn rollen ervaart. En het is ook de verantwoordelijkheid van de rolvervuller (persoon) om deze spanningen te verwerken (artikel 1.2.1).

Bewijsvoering:

  • Roosterplanning van medewerkers (bijv. capaciteitsplanning Servicedesk);
  • Profielpagina’s van medewerkers met zogenaamde ‘kennistags’ (bijvoorbeeld de technische, functionele of proceskennis die personen hebben);
  • Domeinafspraken of andere wijze van vastlegging hoe de afwezigheid van een rol wordt opgevangen;
  • Een rol die de status en behoefte aan deskundigheid en expertise bijhoudt (en voorbeelden van ‘spanningen’ die ten aanzien van dit onderwerp verwerkt zijn of worden);

Wanneer je in de procesdocumenten verwijst naar (artikelen in) de Grondwet, dan is het handig om ook die toe te voegen aan de sectie 3 van het auditrapport (veelal onder de noemer ‘User Considerations’)

Next: Metrics

Verantwoordelijkheden

Dit artikel is onderdeel van een reeks artikelen over het toepassen van generieke beheersmaatregelen uit het NOREA normenkader op zelforganisaties.

Opbouw

In dit artikel wordt de generieke control ‘Verantwoordelijkheden’ van het NOREA normenkader behandeld.

Eerst wordt de oorspronkelijke NOREA formulering gegeven en in het gekleurde blok de ‘formulering’ van deze generieke maatregel die beter aansluit bij het managementparadigma van een zelforganisatie (specifiek Holacracy

In de toelichting wordt een brug geslagen tussen de twee paradigma’s.

Tot slot wordt voor elke generieke beheersmaatregel een suggestie gedaan voor bewijsvoering.

GEN-3: Verantwoordelijkheden

Oorspronkelijke formulering:

De verantwoordelijkheden voor het proces zijn toegewezen.

Aangepaste formulering:

De verantwoordelijkheden voor domeinen, functies en processen binnen de cirkel zijn toegewezen (aan rollen, en rollen zijn toegewezen aan personen/cirkelleden)

Toelichting:

Verantwoordelijkheden zijn doorlopende werkzaamheden die van een bepaalde rol verwacht worden. Rollen en daarbij behorende verantwoordelijkheden ontstaan door spanningen die verwerkt worden in het rollenoverleg (governance). Zodra een rol in het leven geroepen is kan de Lead Link van de desbetreffende cirkel deze rol toewijzen aan een cirkellid. Rollen die niet zijn toegewezen daarvan worden de verantwoordelijkheden door de Lead Link waargenomen.

ITIL maakt gebruik van het RACI-model (Responsible, Accountable, Consulted en Informed). Per processtap wordt aangegeven wie eindverantwoordelijk is (accountable) en wie de werkzaamheden uitvoert (responsible). Binnen een zelforganisatie zal er veelal sprake zijn van een ‘responsible’ rol die een proces (= domein) beheerst en waarbij middels domeinafspraken de werkzaamheden (= invloed/impact) van ‘accountable’ rollen zijn vastgelegd.

Alhoewel ITIL ook een expliciete structuur en duidelijkheid nastreeft, is mijn mening dat een zelforganisatie daar beter in slaagt.

Bewijsvoering GEN-3:

  • Administratie en vastlegging cirkel- en rollenstructuur in bijv. Glassfrog/Holaspirit.
  • Procesbeschrijvingen inclusief expliciete toewijzing van verantwoordelijkheden.

Next: capaciteit(en)

Vastleggen & informeren

Dit artikel is onderdeel van een reeks artikelen over het toepassen van generieke beheersmaatregelen uit het NOREA normenkader op zelforganisaties.

Opbouw

In dit artikel wordt de generieke control ‘Documentatie, bekendmaking en goedkeuring’ van het NOREA normenkader behandeld.

Eerst wordt de oorspronkelijke NOREA formulering gegeven en in het gekleurde blok de ‘formulering’ van deze generieke maatregel die beter aansluit bij het managementparadigma van een zelforganisatie (specifiek Holacracy

In de toelichting wordt een brug geslagen tussen de twee paradigma’s.

Tot slot wordt voor elke generieke beheersmaatregel een suggestie gedaan voor bewijsvoering.

GEN-2: Proces gedocumenteerd, geaccordeerd en bekendgemaakt

Oorspronkelijke NOREA formulering:

Het proces, waaronder de procesgang en rollen, is gedocumenteerd, geaccordeerd door management en bekend gemaakt bij alle betrokkenen.

Aangepaste formulering:

Het domein en de daarmee samenhangende domeinafspraken, rollen en strategieën, is gedocumenteerd, middels het governanceproces bekrachtigd en bekend gemaakt aan alle betrokkenen.

Toelichting:

Rollen: ITIL definieert een rol als ‘een verzameling verantwoordelijk-heden, activiteiten en bevoegdheden die zijn toegekend aan een persoon of team. Een rol wordt vastgelegd in een proces of functie. Een persoon of team kan meerdere rollen hebben‘. Deze definitie vertoont veel overeenkomsten met de roldefinitie binnen een zelforganisatie. ‘Een rol vastgelegd in een proces’ verwijst naar domein(en) die aan de rol is toegekend.

Procesgang: ITIL biedt ingrediënten om de procesgang van IT-serviceprocessen (bijv. Incident Management) te beschrijven;

  • Stroomdiagrammen;
  • Triggers, input en output van het proces;
  • Interfaces met andere operationele processen;
  • Kritieke succesfactoren

Met deze ingrediënten kan binnen een zelforganisatie een domein gedefinieerd en nader gespecificeerd worden. Overigens moet procesgang binnen een zelforganisatie breder opgevat worden: het gaat hierbij niet alleen om de operationele procesflow maar ook om de besturing van het proces (c.q. domein) hetgeen tot uitdrukking komt in bijvoorbeeld domeinafspraken en strategieën.

Bekend gemaakt: Een belangrijk basisprincipe binnen een zelforganisatie is dat impliciete verwachtingen niet bestaan. De meeste zelforganisaties maken gebruik van specifieke software (zoals Glassfrog, Holaspirit) waarmee cirkels en rollen hun administratie bijhouden en waarin je alles kunt vinden/nalezen over domeinen, domeinafspraken, wie verantwoordelijk is, wat die verantwoordelijkheden inhouden etc.

Bewijsvoering GEN-2:

  • Systeem waarin de processen zijn beschreven (document-managementsysteem bijv. Knowledge binnen Servicenow)
  • Systeem waarin de processen zijn geconfigureerd (IT Servicemanagementsysteem zoals bijv. Servicenow)
  • Verslagen van Governance overleggen (c.q. Administratie van de cirkel in bijv. Glassfrog/Holaspirit)

Next: Verantwoordelijkheden

Beleid

Inleiding

In een vorig artikel is het wat en waarom van een ISAE 3402 audit uitgelegd. In de voorbereiding naar de audit was er veel discussie over het normenkader van NOREA, specifiek de generieke controls (beheersmaatregelen). Deze zijn gebaseerd op een conventioneel managementparadigma dat zich o.a. kenmerkt door functiescheiding (van uitvoering, aansturing en controle). Een zelforganisatie hanteert een radicaal ander paradigma. Dit betekent in het kader van een ISAE 3402 dat het normenkader voor een zelforganisatie anders geformuleerd moet worden.

Dit artikel is gebaseerd op de ervaringen met een ISAE 3402 auditproject binnen de IT Service-organisatie van Bossers & Cnossen. Doel van dit de volgende artikelen is het formuleren van een generiek normenkader voor een zelforganisatie.

Opbouw

In dit artikel wordt de generieke control ‘Beleid vastgesteld voor processen’ van het NOREA normenkader behandeld.

Eerst wordt de oorspronkelijke NOREA formulering gegeven en in het gekleurde blok de ‘formulering’ van deze generieke maatregel die beter aansluit bij het managementparadigma van een zelforganisatie (specifiek Holacracy

In de toelichting wordt een brug geslagen tussen de twee paradigma’s.

Tot slot wordt voor elke generieke beheersmaatregel een suggestie gedaan voor bewijsvoering.

GEN-1: Beleid vastgesteld voor processen

Oorspronkelijke NOREA formulering:

Management van de serviceorganisatie heeft beleid vastgesteld voor het proces over de reikwijdte, randvoorwaarden, relaties met aanverwante processen, prioriteiten en werkwijze van het proces.

Aangepaste formulering:

De serviceorganisatie heeft de processen die een centrale aansturing van een rol behoeven, geëxpliciteerd als domeinen en gedelegeerd naar rollen binnen haar cirkel. Ten behoeve van deze gedelegeerde domeinen zijn domeinafspraken gemaakt welke anderen ofwel toestemming geven om het domein te controleren of te beïnvloeden, ofwel beperkingen opleggen op hoe ze dat mogen doen.

Toelichting:

Management: Ten onrechte wordt zelforganisatie soms voorgesteld als een organisatie zonder management. Integendeel, er is sprake van een managementsysteem waarbij autoriteit (en invloed/macht) door gehele organisatie heen is gedistribueerd. De term ‘management’ moet dus niet uitgelegd worden als identificeerbare personen die op basis van hun functietitel en hiërarchische positie de autoriteit hebben om anderen te vertellen wat ze moeten doen. Management is een systeem van regels (de Holacracy Grondwet) dat alle organisatieleden macht en invloed geeft.

Processen: Organisaties maken gebruik van processen om dingen voor elkaar te krijgen (doing the right things, doing things right) en voor de IT is dat niet anders. Processen staan niet op zichzelf en vertonen een grote mate van onderlingen afhankelijkheid. Informatie en de informatievoorziening spelen een belangrijke rol in die onderlinge afstemming. Als gevolg van een toenemende afhankelijkheid van informatie worden er steeds strengere interne en externe eisen gesteld aan de kwaliteit van de informatievoorziening. Standaardnormen en frameworks van best practices helpen bij het ontwikkelen van een systeem om aan deze eisen te voldoen. Binnen de IT dienstverlening biedt ITIL een systemische aanpak en een gedetailleerde omschrijving van de belangrijkste processen.

ITIL biedt een framework voor operationele (IT-service) processen en de besturing (management) van deze processen. Consequentie is dat binnen een zelforganisatie het besturingssysteem van ITIL processen vervangen wordt door het ‘Holacratisch besturingssysteem’ (zoals beschreven in de grondwet). Kortom, de generieke beheersmaatregelen van NOREA die gebaseerd zijn op ITIL, moeten voor toepassing binnen een zelforganisatie anders geformuleerd te worden (hetgeen onderwerp is van dit artikel!)

Operationele processen zijn ondergebracht bij cirkels en/of rollen. Zodra een proces een centrale aansturing c.q. beheersing en regulering van een rol (of cirkel) behoeft, dan noemen we dit proces een domein. Conform de grondwet kan een domein betrekking hebben op fysieke eigendommen van de organisatie maar ook op processen (de grondwet spreekt van ‘dingen’ die de rol exclusief mag beheren en reguleren als zijn eigendom namens de organisatie). Binnen een IT-service organisatie zijn de ITIL-processen gedefinieerd als domeinen.

Beleid: Binnen een zelforganisatie wordt beleid vastgesteld op basis van de spelregels zoals geformuleerd in de Holacracy grondwet. Domeinen worden beheerd en gereguleerd door een rol (of een cirkel). In de praktijk oefenen meerdere rollen (belanghebbenden) invloed uit op het domein. Invloed uitoefenen kan betekenen dat een andere rol het domein wil gebruiken of bepaalde eisen (verwachtingen) stelt aan bijvoorbeeld de input of output van een proces. Een verzoek van een andere rol om jouw domein te beïnvloeden mag niet zonder redenen geweigerd worden. Afspraken over het gebruik van een domein noemen we domeinafspraken. Domeinafspraken geven anderen ofwel toestemming om een domein te controleren of te beïnvloeden, ofwel beperkingen opleggen op hoe ze dat mogen.

Bewijsvoering voor GEN-1:

  • Holacracy Grondwet
  • Governance vastlegging in het daarvoor ingerichte systeem (bijv. Glassfrog)
  • Beschrijving/definitie van cirkels en rollen

Next: Vastleggen & Informeren

Auditing & Zelforganisatie

De aanleiding voor deze artikelreeks is de ervaring die ik heb opgedaan met een ISAE 3402 audit binnen de context van (een transitie naar) zelforganisatie. Een ISAE 3402 is een verklaring van een onafhankelijke auditorganisatie dat de processen die een klant heeft uitbesteed aan een dienstverlener voldoen aan de norm. Gaandeweg het traject werd duidelijk dat het generieke normenkader, een set van beheersmaatregelen zoals geformuleerd door de beroepsorganisatie van IT-auditors (NOREA), niet of moeilijk verenigbaar is met een zelforganisatie. Dit betekent niet dat een zelforganisatie niet voor een audit kan slagen! Integendeel, een zelforganisatie is misschien wel beter in staat haar beheersmaatregelen extern te verantwoorden dan menig conventionele organisatie.

Deze blogpost gaat in op wat ISAE 3402 is en wordt kort het verschil tussen een conventioneel paradigma en dat van een zelforganisatie uitgelegd.

In een aantal vervolgartikelen ga ik dieper in op een generiek normenkader met beheersmaatregelen voor een zelforganisatie waarmee een auditor ‘uit de voeten kan’.

Wat is ISAE 3402?

Steeds meer organisaties besteden functies en activiteiten op het gebied van informatie- en communicatietechnologie uit aan IT-dienstverleners. Steeds vaker zijn dit functies en activiteiten die bij een verstoring een grote impact hebben op de bedrijfsvoering. Een continue goed functioneren van de IT-dienstverlening is dus van essentieel belang. Afspraken hierover worden doorgaans vastgelegd in een Service Level Agreement (SLA) die periodiek geëvalueerd worden op basis van de geleverde prestaties. Echter een SLA biedt onvoldoende zekerheid over de kwaliteit van de dienstverlening. Dit is een reden waarom organisaties periodiek een onafhankelijk oordeel willen over de kwaliteit van de uitbestede functies en activiteiten. Eén van de mogelijkheden is de uitvoering van een ISAE 3402 assurance opdracht.

Steeds vaker eisen accountants een ISAE 3402 rapportage van organisaties die hun IT-processen uitbesteden aan een serviceprovider. Voor sommige financiële instellingen is zelfs in de ‘Wet financieel toezicht’ vastgelegd dat zij moeten aantonen dat de serviceorganisatie de uitbestede processen intern beheerst. Als organisatie wil je zeker weten dat (financiële) data integer is, veilig wordt opgeslagen en de vertrouwelijkheid ervan geborgd blijft. Met ISAE 3402 wordt dat aangetoond.

Ook certificaten (bijv. ISO 27001/27002, ISO 20000 ed) zijn belangrijke bewijsstukken voor kwaliteit en dat aan (inter-)nationale standaarden en best practises worden voldaan. Echter veel certificaten zijn een momentopname (een foto) van de kwaliteit die op het moment van de audit is geconstateerd. Wij waren op zoek naar een ‘onafhankelijk oordeel’ over de kwaliteit van dienstverlening gedurende een langere periode. Niet alleen een foto (opzet en bestaan), maar een film (werking)!

Conventioneel vs Zelforganisatie

De beheersmaatregelen voor een zelforganisatie verschillen met die van een conventioneel gemanagede organisatie. Voor een groot deel worden deze verschillen veroorzaakt door een radicaal ander managementparadigma (zie tabel)

ConventioneelZelforganisatie
Aansturen mensen en processenAansturen van rollen (en de rol is ‘eigenaar’ van het proces)
Hiërarchie van posities (en daarmee macht)Hiërarchie van doelstellingen (purpose) – iedereen heeft macht op basis van spelregels
Je mag iets doen als je toestemming hebtJe mag alles doen (in het realiseren van de purpose van je rollen) tenzij het
expliciet verboden is
Besluitvorming op basis van macht en/of consensusBesluitvorming op basis van consent (integratieve besluitvorming)
Verantwoordelijkheden zijn impliciet en/of afgeleid van de hiërarchische positie/functie Alleen expliciete verantwoordelijkheden bestaan
Spanningen zijn negatief (stress) en moeten waar mogelijk voorkomen worden.
Continue verbeteren is een separate
activiteit.
Spanningen zijn positief (stretch) – een kans om te verbeteren gebaseerd op de dagelijkse praktijk.
Continue verbeteren is bestaansvoor-waarde van de rol.

De beheersingsdoelstellingen zijn onverminderd ook van toepassing op een zelforganisatie. Echter een zelforganisatie hanteert een ander begrippenkader. In een aantal vervolgartikelen worden de verschillen en overeenkomsten uitgelegd aan de hand van de generieke beheersmaatregelen van NOREA.

Next: Beleid