Categorie: Audit/Certificering

Capaciteit(en)

Dit artikel is onderdeel van een reeks artikelen over het toepassen van generieke beheersmaatregelen uit het NOREA normenkader op zelforganisaties.

Opbouw

In dit artikel wordt de generieke control ‘Middelen, Capaciteit en Deskundigheid’ van het NOREA normenkader behandeld.

Eerst wordt de oorspronkelijke NOREA formulering gegeven en in het gekleurde blok de ‘formulering’ van deze generieke maatregel die beter aansluit bij het managementparadigma van een zelforganisatie (specifiek Holacracy

In de toelichting wordt een brug geslagen tussen de twee paradigma’s.

Tot slot wordt voor elke generieke beheersmaatregel een suggestie gedaan voor bewijsvoering.

GEN-4: Middelen & Deskundigheid

Oorspronkelijke NOREA formulering:

De serviceorganisatie beschikt over voldoende middelen, deskundigheid en capaciteit (door intern personeel en/of externe dienstverleners, inclusief vervangend personeel in geval van tijdelijke afwezigheid) om het proces uit te voeren.

Aangepaste formulering:

De serviceorganisatie beschikt over voldoende assets, deskundigheid en capaciteit (door interne rolvervullers en/of externe dienstverleners, inclusief vervangende partners in geval van tijdelijke afwezigheid) om de verantwoordelijkheden uit te voeren.

Toelichting

Wat er met middelen binnen een zelforganisatie bedoeld wordt is afhankelijk van de context waarin dit begrip gebruikt wordt. In de context van verantwoordelijkheden (Grondwet artikelen 1.2.5, 4.1.1, 4.1.3c, 5.2.3) betekent middelen; geld (en niets anders). In het kader van de norm is het begrip middelen ruimer gedefinieerd; bijvoorbeeld instrumenten, applicaties (tooling). Vandaar dat ik voor de term ‘assets’ kies: een (bedrijfs-)eigendom dat waarde vertegenwoordigt.

Het uitvoeren van een proces staat gelijk aan het uitvoeren van verantwoordelijkheden rekening houdend met domeinen (processen) en geldende domeinafspraken (beleid, richtlijnen).

Mochten assets, capaciteit of deskundigheid tekortschieten, dan is dit een spanning van de desbetreffende persoon die dit tekort in één van zijn rollen ervaart. En het is ook de verantwoordelijkheid van de rolvervuller (persoon) om deze spanningen te verwerken (artikel 1.2.1).

Bewijsvoering:

  • Roosterplanning van medewerkers (bijv. capaciteitsplanning Servicedesk);
  • Profielpagina’s van medewerkers met zogenaamde ‘kennistags’ (bijvoorbeeld de technische, functionele of proceskennis die personen hebben);
  • Domeinafspraken of andere wijze van vastlegging hoe de afwezigheid van een rol wordt opgevangen;
  • Een rol die de status en behoefte aan deskundigheid en expertise bijhoudt (en voorbeelden van ‘spanningen’ die ten aanzien van dit onderwerp verwerkt zijn of worden);

Wanneer je in de procesdocumenten verwijst naar (artikelen in) de Grondwet, dan is het handig om ook die toe te voegen aan de sectie 3 van het auditrapport (veelal onder de noemer ‘User Considerations’)

Next: Metrics

Verantwoordelijkheden

Dit artikel is onderdeel van een reeks artikelen over het toepassen van generieke beheersmaatregelen uit het NOREA normenkader op zelforganisaties.

Opbouw

In dit artikel wordt de generieke control ‘Verantwoordelijkheden’ van het NOREA normenkader behandeld.

Eerst wordt de oorspronkelijke NOREA formulering gegeven en in het gekleurde blok de ‘formulering’ van deze generieke maatregel die beter aansluit bij het managementparadigma van een zelforganisatie (specifiek Holacracy

In de toelichting wordt een brug geslagen tussen de twee paradigma’s.

Tot slot wordt voor elke generieke beheersmaatregel een suggestie gedaan voor bewijsvoering.

GEN-3: Verantwoordelijkheden

Oorspronkelijke formulering:

De verantwoordelijkheden voor het proces zijn toegewezen.

Aangepaste formulering:

De verantwoordelijkheden voor domeinen, functies en processen binnen de cirkel zijn toegewezen (aan rollen, en rollen zijn toegewezen aan personen/cirkelleden)

Toelichting:

Verantwoordelijkheden zijn doorlopende werkzaamheden die van een bepaalde rol verwacht worden. Rollen en daarbij behorende verantwoordelijkheden ontstaan door spanningen die verwerkt worden in het rollenoverleg (governance). Zodra een rol in het leven geroepen is kan de Lead Link van de desbetreffende cirkel deze rol toewijzen aan een cirkellid. Rollen die niet zijn toegewezen daarvan worden de verantwoordelijkheden door de Lead Link waargenomen.

ITIL maakt gebruik van het RACI-model (Responsible, Accountable, Consulted en Informed). Per processtap wordt aangegeven wie eindverantwoordelijk is (accountable) en wie de werkzaamheden uitvoert (responsible). Binnen een zelforganisatie zal er veelal sprake zijn van een ‘responsible’ rol die een proces (= domein) beheerst en waarbij middels domeinafspraken de werkzaamheden (= invloed/impact) van ‘accountable’ rollen zijn vastgelegd.

Alhoewel ITIL ook een expliciete structuur en duidelijkheid nastreeft, is mijn mening dat een zelforganisatie daar beter in slaagt.

Bewijsvoering GEN-3:

  • Administratie en vastlegging cirkel- en rollenstructuur in bijv. Glassfrog/Holaspirit.
  • Procesbeschrijvingen inclusief expliciete toewijzing van verantwoordelijkheden.

Next: capaciteit(en)

Vastleggen & informeren

Dit artikel is onderdeel van een reeks artikelen over het toepassen van generieke beheersmaatregelen uit het NOREA normenkader op zelforganisaties.

Opbouw

In dit artikel wordt de generieke control ‘Documentatie, bekendmaking en goedkeuring’ van het NOREA normenkader behandeld.

Eerst wordt de oorspronkelijke NOREA formulering gegeven en in het gekleurde blok de ‘formulering’ van deze generieke maatregel die beter aansluit bij het managementparadigma van een zelforganisatie (specifiek Holacracy

In de toelichting wordt een brug geslagen tussen de twee paradigma’s.

Tot slot wordt voor elke generieke beheersmaatregel een suggestie gedaan voor bewijsvoering.

GEN-2: Proces gedocumenteerd, geaccordeerd en bekendgemaakt

Oorspronkelijke NOREA formulering:

Het proces, waaronder de procesgang en rollen, is gedocumenteerd, geaccordeerd door management en bekend gemaakt bij alle betrokkenen.

Aangepaste formulering:

Het domein en de daarmee samenhangende domeinafspraken, rollen en strategieën, is gedocumenteerd, middels het governanceproces bekrachtigd en bekend gemaakt aan alle betrokkenen.

Toelichting:

Rollen: ITIL definieert een rol als ‘een verzameling verantwoordelijk-heden, activiteiten en bevoegdheden die zijn toegekend aan een persoon of team. Een rol wordt vastgelegd in een proces of functie. Een persoon of team kan meerdere rollen hebben‘. Deze definitie vertoont veel overeenkomsten met de roldefinitie binnen een zelforganisatie. ‘Een rol vastgelegd in een proces’ verwijst naar domein(en) die aan de rol is toegekend.

Procesgang: ITIL biedt ingrediënten om de procesgang van IT-serviceprocessen (bijv. Incident Management) te beschrijven;

  • Stroomdiagrammen;
  • Triggers, input en output van het proces;
  • Interfaces met andere operationele processen;
  • Kritieke succesfactoren

Met deze ingrediënten kan binnen een zelforganisatie een domein gedefinieerd en nader gespecificeerd worden. Overigens moet procesgang binnen een zelforganisatie breder opgevat worden: het gaat hierbij niet alleen om de operationele procesflow maar ook om de besturing van het proces (c.q. domein) hetgeen tot uitdrukking komt in bijvoorbeeld domeinafspraken en strategieën.

Bekend gemaakt: Een belangrijk basisprincipe binnen een zelforganisatie is dat impliciete verwachtingen niet bestaan. De meeste zelforganisaties maken gebruik van specifieke software (zoals Glassfrog, Holaspirit) waarmee cirkels en rollen hun administratie bijhouden en waarin je alles kunt vinden/nalezen over domeinen, domeinafspraken, wie verantwoordelijk is, wat die verantwoordelijkheden inhouden etc.

Bewijsvoering GEN-2:

  • Systeem waarin de processen zijn beschreven (document-managementsysteem bijv. Knowledge binnen Servicenow)
  • Systeem waarin de processen zijn geconfigureerd (IT Servicemanagementsysteem zoals bijv. Servicenow)
  • Verslagen van Governance overleggen (c.q. Administratie van de cirkel in bijv. Glassfrog/Holaspirit)

Next: Verantwoordelijkheden

Beleid

Inleiding

In een vorig artikel is het wat en waarom van een ISAE 3402 audit uitgelegd. In de voorbereiding naar de audit was er veel discussie over het normenkader van NOREA, specifiek de generieke controls (beheersmaatregelen). Deze zijn gebaseerd op een conventioneel managementparadigma dat zich o.a. kenmerkt door functiescheiding (van uitvoering, aansturing en controle). Een zelforganisatie hanteert een radicaal ander paradigma. Dit betekent in het kader van een ISAE 3402 dat het normenkader voor een zelforganisatie anders geformuleerd moet worden.

Dit artikel is gebaseerd op de ervaringen met een ISAE 3402 auditproject binnen de IT Service-organisatie van Bossers & Cnossen. Doel van dit de volgende artikelen is het formuleren van een generiek normenkader voor een zelforganisatie.

Opbouw

In dit artikel wordt de generieke control ‘Beleid vastgesteld voor processen’ van het NOREA normenkader behandeld.

Eerst wordt de oorspronkelijke NOREA formulering gegeven en in het gekleurde blok de ‘formulering’ van deze generieke maatregel die beter aansluit bij het managementparadigma van een zelforganisatie (specifiek Holacracy

In de toelichting wordt een brug geslagen tussen de twee paradigma’s.

Tot slot wordt voor elke generieke beheersmaatregel een suggestie gedaan voor bewijsvoering.

GEN-1: Beleid vastgesteld voor processen

Oorspronkelijke NOREA formulering:

Management van de serviceorganisatie heeft beleid vastgesteld voor het proces over de reikwijdte, randvoorwaarden, relaties met aanverwante processen, prioriteiten en werkwijze van het proces.

Aangepaste formulering:

De serviceorganisatie heeft de processen die een centrale aansturing van een rol behoeven, geëxpliciteerd als domeinen en gedelegeerd naar rollen binnen haar cirkel. Ten behoeve van deze gedelegeerde domeinen zijn domeinafspraken gemaakt welke anderen ofwel toestemming geven om het domein te controleren of te beïnvloeden, ofwel beperkingen opleggen op hoe ze dat mogen doen.

Toelichting:

Management: Ten onrechte wordt zelforganisatie soms voorgesteld als een organisatie zonder management. Integendeel, er is sprake van een managementsysteem waarbij autoriteit (en invloed/macht) door gehele organisatie heen is gedistribueerd. De term ‘management’ moet dus niet uitgelegd worden als identificeerbare personen die op basis van hun functietitel en hiërarchische positie de autoriteit hebben om anderen te vertellen wat ze moeten doen. Management is een systeem van regels (de Holacracy Grondwet) dat alle organisatieleden macht en invloed geeft.

Processen: Organisaties maken gebruik van processen om dingen voor elkaar te krijgen (doing the right things, doing things right) en voor de IT is dat niet anders. Processen staan niet op zichzelf en vertonen een grote mate van onderlingen afhankelijkheid. Informatie en de informatievoorziening spelen een belangrijke rol in die onderlinge afstemming. Als gevolg van een toenemende afhankelijkheid van informatie worden er steeds strengere interne en externe eisen gesteld aan de kwaliteit van de informatievoorziening. Standaardnormen en frameworks van best practices helpen bij het ontwikkelen van een systeem om aan deze eisen te voldoen. Binnen de IT dienstverlening biedt ITIL een systemische aanpak en een gedetailleerde omschrijving van de belangrijkste processen.

ITIL biedt een framework voor operationele (IT-service) processen en de besturing (management) van deze processen. Consequentie is dat binnen een zelforganisatie het besturingssysteem van ITIL processen vervangen wordt door het ‘Holacratisch besturingssysteem’ (zoals beschreven in de grondwet). Kortom, de generieke beheersmaatregelen van NOREA die gebaseerd zijn op ITIL, moeten voor toepassing binnen een zelforganisatie anders geformuleerd te worden (hetgeen onderwerp is van dit artikel!)

Operationele processen zijn ondergebracht bij cirkels en/of rollen. Zodra een proces een centrale aansturing c.q. beheersing en regulering van een rol (of cirkel) behoeft, dan noemen we dit proces een domein. Conform de grondwet kan een domein betrekking hebben op fysieke eigendommen van de organisatie maar ook op processen (de grondwet spreekt van ‘dingen’ die de rol exclusief mag beheren en reguleren als zijn eigendom namens de organisatie). Binnen een IT-service organisatie zijn de ITIL-processen gedefinieerd als domeinen.

Beleid: Binnen een zelforganisatie wordt beleid vastgesteld op basis van de spelregels zoals geformuleerd in de Holacracy grondwet. Domeinen worden beheerd en gereguleerd door een rol (of een cirkel). In de praktijk oefenen meerdere rollen (belanghebbenden) invloed uit op het domein. Invloed uitoefenen kan betekenen dat een andere rol het domein wil gebruiken of bepaalde eisen (verwachtingen) stelt aan bijvoorbeeld de input of output van een proces. Een verzoek van een andere rol om jouw domein te beïnvloeden mag niet zonder redenen geweigerd worden. Afspraken over het gebruik van een domein noemen we domeinafspraken. Domeinafspraken geven anderen ofwel toestemming om een domein te controleren of te beïnvloeden, ofwel beperkingen opleggen op hoe ze dat mogen.

Bewijsvoering voor GEN-1:

  • Holacracy Grondwet
  • Governance vastlegging in het daarvoor ingerichte systeem (bijv. Glassfrog)
  • Beschrijving/definitie van cirkels en rollen

Next: Vastleggen & Informeren