Ga naar het hele artikel

Artikel
Gateway naar succes
Ron Sedee, Chris Wauters
Veel programmamanagers en projectleiders van de
overheid laten hun programma’s en projecten periodiek
beoordelen. Hiervoor kan gebruik worden gemaakt van
diverse beoordelingsmethoden, waaronder het doen
van een projectreview. Gateway is een nieuwe reviewmethode afkomstig van de Engelse makers van ITIL
en Prince2, speciaal ontwikkeld voor reviews van
programma’s en projecten binnen de publieke sector.
I
n Nederland wordt momenteel, op vrijwillige basis en
met toestemming van de ontwikkelaars van de methode,
een aantal pilot Gateway reviews uitgevoerd waaronder een
review op het project Rijkswerkplek. Bij veel projectmanagers en auditors is Gateway als reviewmethode nog volledig
onbekend. Dit artikel beschrijft daarom wat de Gateway
reviewmethode inhoudt en hoe de methode op hoofdlijnen
werkt. Bij de Nederlandse introductie van Gateway is in discussies veelvuldig de vraag naar voren gekomen of deze
methode niet een nieuw audit fenomeen is en als onderdeel
moet worden gezien van de zogenoemde controletoren van
de overheid (interne controle, toezicht afdeling Financieel
Economische Zaken, departementale Auditdienst, directie
Coördinatie Auditbeleid Departementen en Algemene
Rekenkamer). Het tweede deel van het artikel richt zich
daarom specifiek op de overeenkomsten en verschillen van
een Gateway review ten opzichte van een audit. We sluiten
af met een conclusie waarin we een lans breken voor deze
methode en vaststellen dat een Gateway review niet een
extra auditinstrument is in de controletoren, maar een waardevol quality assurance instrument is voor projecten in de
publieke sector.
Wat is Gateway?
Gateway1 is een succesvolle reviewmethode van het Engelse
Office of Government Commerce (OGC) voor de publieke
R.C. (Ron) Sedee RA CISA is auditmanager (IT) bij het Ministerie van
Economische Zaken.
ir. C.L. (Chris) Wauters EMEA is werkzaam als auditor/adviseur bij Het
Expertise Centrum (HEC), Consultants voor ICT en bestuur in de publieke
sector. HEC begeleidt de introductie van Gateway in Nederland.
Dit artikel is door beide auteurs geschreven op persoonlijke titel.
6 | de EDP-Auditor nummer 1 | 2007
sector. Het is daar inmiddels een beproefde aanpak voor
programma’s en projecten op zowel landelijk als lokaal/
gemeentelijk niveau. Ook in publiek-private samenwerkingsconstructies wordt de aanpak toegepast. Veelal gaat het om
projecten waarbij ‘procurement’ (aanbesteding) een cruciaal
onderdeel is van het project. De Gateway methode is een
uiting van de in Engeland gevoelde behoefte aan transparantie in de totstandkoming van beleid en uitvoering van projecten, een goede monitoring van de beschikbaar gestelde
budgetten en tijdige bijsturing van het proces. Reviews zijn
meestal vrijwillig en aanvullend op bestaande verantwoordingmethodes, maar ‘Mission Critical’ projecten als onderhoud Stonehenge en (Ver)nieuwbouw schoolgebouwen zijn
door het succes Gateway-plichtig gesteld. In Engeland
worden tegenwoordig bijna alle middelgrote tot grote overheidsprojecten met Gateway gereviewed. De Engelse overheid claimt dat Gateway al veel geld heeft bespaard door
projecten te behoeden voor misstappen en het vroegtijdig
signaleren van risico’s. Op dit moment zijn momenteel al ca.
1.400 Gateway reviewers in Engeland beschikbaar.
figuur 1). Deze review kan worden toegepast op de invoering van beleid, verandertrajecten of andere soorten programma’s en plaatst het programma in de bredere context
van beleid of organisatie. Een Gateway 0 review kan gedurende de looptijd van het programma meermalen worden
herhaald.
Een Gateway review kan worden aangevraagd door de zogenaamde Senior Responsible Owner (SRO) van het project of
programma. De SRO is de opdrachtgever die eindverantwoordelijk is voor het behalen van de projectresultaten
en het primaire belang heeft bij het eindresultaat van het
project of programma.
Werkwijze van een Gateway review
Voorafgaand aan een Gateway review maakt de SRO een
standaard risicoanalyse waarmee het risiconiveau van een
Een Gateway review onderzoekt een programma of project
op cruciale beslismomenten om vast te stellen of het met
succes door kan naar de volgende fase. Een Gateway review
levert, zo zijn de ervaringen in Engeland, effectief voordelen
op en leidt tot beter voorspelbare kosten en de beoogde
projectresultaten. Hieronder wordt het Gateway proces
weergegeven (figuur 1) en de onderdelen toegelicht.
Veel projecten in de publieke sector kennen hun oorsprong
in de beleidscyclus, waar achtereenvolgens beleid ontworpen, uitgevoerd, gehandhaafd en geëvalueerd wordt (zie
bovenste rij met blokjes in figuur 1). Bij de uitvoering van
beleid ontstaan vaak uitvoeringsprogramma’s waar weer projecten uit voorvloeien. Tijdens de looptijd van een project
kunnen vijf verschillende Gateway reviews worden uitgevoerd (zie de vijf rechter bollen in figuur 1):
• Zakelijke rechtvaardiging (Gateway 1);
• Verwerving- c.q. veranderstrategie (Gateway 2);
• Investeringsbeslissing (Gateway 3);
• Gereedheid voor dienstverlening (Gateway 4);
• Evaluatie van de behaalde resultaten (Gateway 5).
Welke Gateway review aan de orde is, wordt bepaald door
de fase in de projectcyclus waarin het project of programma
verkeert. Voor een maximale toegevoegde waarde moet een
eerste Gateway review vroegtijdig in de projectcyclus worden
uitgevoerd.
Projecten komen het Gateway proces binnen bij Gateway
review 1 (zakelijke rechtvaardiging) of, in uitzonderlijke
gevallen, bij Gateway review 2 (Verwerving-/veranderstrategie). Ook bestaat er een Gateway review 0 (Strategische
doorlichting). Dat is een specifieke review voor programma’s en niet voor projecten (zie de linker drie bollen in
Figuur 1. Het Gateway-proces
7 | de EDP-Auditor nummer 1 | 2007
Wat zijn de voordelen?
Gateway reviews
en audits verschillen
fundamenteel
programma of project wordt bepaald. Voor programma’s/
projecten met een hoog risico die meestal ook groot en
complex en/of Mission Critical zijn, wordt de review teamleider door het Gateway coördinatieteam, zeg maar de Gateway organisatie, aangesteld. Een team van ervaren mensen
voert de Gateway review uit. De review teamleider geeft leiding aan het reviewteam, dat onafhankelijk moet zijn van de
desbetreffende overheidsorganisatie. Voor programma’s/
projecten met een gemiddeld risico wordt een onafhankelijke teamleider door het Gateway team aangesteld om leiding te geven aan een reviewteam dat bestaat uit onafhankelijke medewerkers (‘peers’) van de betreffende
overheidsorganisatie. Voor programma’s/projecten met een
laag risico benoemt de overheidsorganisatie zelf een onafhankelijke teamleider en wijst teamleden uit de eigen organisatie aan. De teams verschillen in omvang, maar bestaan
doorgaans uit drie tot vier personen.
Er wordt gestart met een kick-off gesprek met de SRO.
Deze beantwoordt vragen over het programma en/of project, geeft aan welke (initiële) documentatie voor de review
relevant is en welke sleutelfunctionarissen moeten worden
geïnterviewd. De voorbereiding kent een doorlooptijd van
enkele weken en richt zich op planning van het veldwerk,
maken van afspraken voor interviews, bestuderen van de
documentatie, etc. De interviews zelf nemen slechts drie tot
vier dagen in beslag. Alle functionarissen zijn door de SRO
verplicht om hieraan de hoogste prioriteit te geven en zijn
dan ook daadwerkelijk op deze interviewdagen beschikbaar.
Voordat het team de activiteiten afrondt, wordt aansluitend
op de uitgevoerde interviews een conceptrapport aan de
SRO aangeboden en met hem besproken. Om de vertrouwelijkheid te waarborgen wordt het reviewdossier na afloop
vernietigd. De opzet van de methode wordt ondersteund
door (Gateway-)checklists, vragenlijsten, rapportageformats
en dergelijke.
De peers beoordelen bij cruciale faseovergangen in het
project aan de hand van documentatie en interviews met
sleutelpersonen, zaken als:
• De levensvatbaarheid van de businesscase;
• De financiering van de businesscase;
• Besturing, organisatie en bemensing van het project;
• Planning en kritieke pad van het project;
• Draagvlak voor het project en betrokkenheid stakeholders.
Het Gateway proces geeft SRO’s zekerheid en ondersteuning voor het bereiken van de doelen waarvoor zij verantwoordelijk zijn. Gateway reviews zorgen ervoor dat:
• er zekerheid is dat het programma/project door kan naar
de volgende ontwikkeling- of implementatiefase;
• meer realistische tijd- en kostendoelen voor programma’s
en projecten worden behaald;
• alle bij het programma/project betrokken stakeholders
volledig op de hoogte zijn van de status van het programma/project en van de vraagstukken die zich voordoen;
• overheidsmedewerkers door deelname aan reviewteams
hun kennis en vaardigheden verbeteren, wat het ‘lerend
vermogen’ van de overheid bevordert;
• door Gateway teams samen te stellen met reviewers vanuit
diverse overheidsorganisaties (Rijk, uitvoeringsorganisaties, gemeenten) beleid en uitvoering dichter bij elkaar
worden gebracht;
• collega-vakmensen (peers) advies en begeleiding geven
aan de programma- en projectteams. Het inzetten van
peers, met hun eigen professionele ervaring en gelijkwaardig aan de SRO, verhoogt de acceptatie van de reviewresultaten.
Rapporteren en verantwoordelijkheid
Een Gateway review wordt op basis van vertrouwelijkheid
voor de SRO uitgevoerd. De reviewresultaten worden dan
ook uitsluitend aan hem gerapporteerd. Deze aanpak stimuleert een open en eerlijke uitwisseling tussen de programma/projectteams en het reviewteam. De SRO wordt de eigenaar van het rapport. Hij is zelf verantwoordelijk voor het
doorvoeren van aanbevelingen ter verbetering en voor de
goede voortgang van het programma/project. Met de
review wordt aan het programma of project een Rode/
Oranje/Groene status toegekend. De status ‘Rood’ betekent dat aanbevolen verbeteringen direct moeten worden
doorgevoerd; het betekent niet dat het programma/project
moet worden stopgezet.
Verschillen tussen een Gateway review en een audit
Gateway wordt vaak door opdrachtgevers door elkaar
gehaald met het doen van een audit. Externe audits zouden
dan bij het doen van Gateway reviews ook niet meer nodig
zijn. Voor opdrachtgevers, projectmanagers en auditors is
het daarom goed om de verschillen tussen Gateway reviews
en audits te kennen. Wij hebben Gateway en een auditaanpak met elkaar vergeleken, en er is een aantal fundamentele
verschillen te onderkennen.
Opdrachtgever
Het Gateway proces biedt SRO’s zekerheid en ondersteuning bij het bereiken van de doelen waarvoor zij verantwoordelijk zijn. Een Gateway review is altijd op volledig vrijwillige basis en wordt aangevraagd door de SRO. Een
onafhankelijke auditor (van de departementale auditdienst
8 | de EDP-Auditor nummer 1 | 2007
of extern) daarentegen fungeert binnen een ministerie ten
behoeve van de minister of de departementsleiding. In zijn
functie verricht hij in eerste instantie (onafhankelijke) controles ten dienste van de departementleiding waaruit adviezen voort kunnen vloeien. Audits zijn er niet expliciet op
gericht om, zoals bij een Gateway review, de SRO uitsluitend een spiegel voor te houden. Een audit is dan ook veel
minder vrijblijvend en valt binnen de wettelijke controletaak
of kan door de departementsleiding op verzoek worden aangevraagd. Hier wordt in principe altijd gevraagd om een
onafhankelijk oordeel.
Uitvoerders
Gateway wordt uitgevoerd door zogenoemde ‘peers’. Peers
zijn collega-bestuurders, -managers en/of onafhankelijke
deskundigen binnen de overheid die veelal op hetzelfde
terrein werkzaam zijn als waarop het onderhavige project
wordt uitgevoerd. Gateway reviewers wordt gevraagd om
één of enkele Gateway reviews per jaar uit te voeren. Voor
het mogen doen van de reviews hebben deze mensen enkele
dagen Gateway cursus gevolgd.
Audits daarentegen worden binnen de rijksoverheid in de
regel uitgevoerd door auditors van departementale auditdiensten of door auditors van externe bureaus. Dit zijn
beroepsbeoefenaars die zeer regelmatig audits uitvoeren en
hiertoe ook een meerjarige opleiding hebben gevolgd.
Doelstelling
Een Gateway review is specifiek gericht op mijlpalen binnen
risicovolle projecten en ontwikkelingstrajecten. Audits en
een Gateway review kunnen zich dan ook op hetzelfde terrein bewegen. Een Gateway review is er ten behoeve van de
SRO en is daarmee een volwaardig middel voor quality assurance. Binnen (grotere) overheidsprojecten is dit fenomeen
heel gebruikelijk: de projectleider wil waarborgen en zekerheid krijgen dat zijn project de vereiste kwaliteit en resultaten oplevert binnen budget en planning. Hij is zelf verantwoordelijk voor wat hij met de adviezen doet. Is er al sprake
van een adequate vorm van quality assurance dan is een
Gateway review niet strikt noodzakelijk, maar kan wel aanvullend zijn. Quality assurance kan echter niet de rol en
betekenis van een onafhankelijke audit innemen en het kan
dan ook niet beschouwd worden als een nieuw instrument
binnen de controletoren. Een Gateway review is erop gericht
om de belangrijkste risico’s van een project in kaart te brengen, waarbij de SRO bij een mijlpaal gewezen wordt op
eventuele acties die hij moet nemen om de doelstelling en
voortgang van het project niet in gevaar te brengen. Gateway heeft daarmee een proactief en sterk adviserend karakter. Het is niet bedoeld als verantwoordingsdocument voor
eventuele externe toezichthouders. Een audit daarentegen
heeft een meer verantwoordings- en controlerend karakter
en vindt veelal achteraf plaats.
Normering
Gateway is gebaseerd op een OCG Best Practice. Ter onder-
steuning van de Gateway reviews zijn werkboeken beschikbaar. In deze werkboeken staan doelstellingen van de review,
aandachtspunten, mogelijk beschikbare documentatie,
belangrijkste vragen en verwijzingen naar mogelijke evidence voor de beantwoording van deze vragen. Met name
omdat elk programma of project uniek is, hebben de werkboeken het karakter van handreikingen. De ervaring en
expertise van de review teamleden geven de doorslag of er
een risico is en of dit risico al dan niet direct moet worden
aangepakt. Bij Gateway reviews is geen sprake van expliciete
normen maar worden de aandachtspunten in de review
gaandeweg de rit vastgesteld.
Bij een audit wordt een situatie getoetst aan een norm. Dit
betekent dat vooraf de normen beschikbaar moeten zijn.
Wordt aan de norm voldaan dan is het oordeel positief. Als
niet aan de norm wordt voldaan, dan komt er een negatief
oordeel.
Aanpak
De Gateway reviewteams verschillen in omvang, maar bestaan
doorgaans uit drie tot vier personen. De feitelijke review
neemt ongeveer drie tot vier dagen in beslag. De voorbereiding kent een doorlooptijd van enkele weken en richt zich op
planning van het veldwerk, maken van afspraken voor interviews, bestuderen van de documentatie, etc. Voordat het team
de review afrondt wordt direct aansluitend op de interviews
een conceptrapport aan de SRO aangeboden.
Een Gateway review kan worden aangemerkt als een zoektocht naar bevindingen en risico’s waarbij het proces en de
scope niet strikt vast staat. Op basis van waarnemingen van
de reviewers worden gaandeweg nadere keuzes in het reviewproces gemaakt.
Dit in tegenstelling tot de veel meer planmatige audit, waarbij eerst een vooronderzoek en/of risicoanalyse plaatsvindt
waarna het auditplan wordt opgesteld en ook wordt
gevolgd.
Tijdens een audit worden de volgende activiteiten uitgevoerd: bestuderen documentatie, interviews en eigen
waarnemingen. Bij een Gateway review staan de interviews
centraal. Het instrument van eigen waarnemingen vindt bij
een Gateway review niet tot nauwelijks plaats.
Werkwijze
Gecertificeerde auditors zijn gehouden aan gedrag- en
beroepsregels en vaktechnische richtlijnen vanuit de eigen
beroepsorganisaties. Dit maakt dat bij een audit een volledig
dossier opgebouwd moet zijn met vastgestelde en afstemde
gespreksverslagen, documentatie en een audittrail van bevindingen naar conclusies. De opdrachtformulering en –bevestiging, plandocumenten, normenkaders, concepten van verslagen en rapportages maken eveneens deel uit van het
dossier. Het dossier is daarnaast onderhevig aan interne en
externe kwaliteitstoetsing. Bij een Gateway review wordt
geen dossier opgebouwd. Alle documentatie of aantekeningen die worden gemaakt tijdens het proces worden vernie-
9 | de EDP-Auditor nummer 1 | 2007
tigd. Het enige dat resulteert, is een beknopte rapportage
aan de SRO. De Gateway review kent daarmee ook meer
vrijheden. Consequenties hiervan zijn onder meer ook dat
bij een audit de kwaliteitsbewaking veel stringenter is, maar
de keerzijde is meer overhead en een langere doorlooptijd.
Rapportage
Zoals reeds beschreven wordt een Gateway review op basis
van vertrouwelijkheid voor de SRO uitgevoerd. De reviewresultaten worden dan ook uitsluitend aan hem gerapporteerd. De SRO is zelf verantwoordelijk voor het doorvoeren
van aanbevelingen ter verbetering en voor de goede voortgang van het programma/project. De rapportage wordt niet
actief verstrekt aan de departementale Auditdienst, de Algemene Rekenkamer en/of de Directie Coördinatie Auditbeleid Departementen van het Ministerie van Financiën.
Een (Gateway) review maakt een audit zeker niet overbodig.
Als opdrachtgevers aangeven dat Gateway een extra instrument in de controletoren is, dan is dit naar onze mening niet
juist. Gateway is zeker geen controlemiddel, maar moet
worden beschouwd als een intern instrument van de
opdrachtgever voor kwaliteitsbewaking. Natuurlijk kost
kwaliteitsbewaking energie en tijd, maar uiteindelijk is het
wel iets wat het succes op het slagen van het project vergroot. En dat is iets waar iedere opdrachtgever altijd bij is
gebaat. ■
Noot
1 Meer informatie en documentatie over de OGC Gateway-methode is te
vinden op de website van OGC: www.ogc.gov.uk
Bij audits op overheidsprojecten worden auditrapporten van
de Auditdienst uitgebracht aan de departementsleiding, vaak
gelijk in afschrift aan de afdeling Financieel Economische
Zaken en eerdergenoemde controle-instanties. Het samenvattend jaarrapport gaat ook naar het Ministerie van Financiën. Een auditrapport bij de voortgangsrapportage van een
“groot project” in het kader van de Regeling Grote Projecten wordt verstrekt aan de Tweede Kamer. Gateway reviews
zijn hiervoor niet geschikt, omdat in de regeling Grote Projecten nadrukkelijk wordt gevraagd om een onafhankelijk
oordeel van een auditor bij deze verantwoording. Een Gateway review kan en mag hiervoor niet in de plaats worden
gebruikt.
Gateway reviewrapporten zijn in tegenstelling tot audits niet
zonder meer onderhevig aan de Wet Openbaarheid van
Bestuur (WOB), aangezien hier de vrijstelling van artikel 11
lid 1 van toepassing is. Deze uitzondering gaat over een verzoek om informatie uit opgestelde documenten ten behoeve
van intern beraad met persoonlijke (beleids)opvattingen.
Een Gateway review is een intern document uitsluitend ten
behoeve van de SRO met de (beleids)opvattingen van de
peers. Hierdoor valt een Gateway review niet onder de Wet
Openbaarheid van Bestuur (WOB).
Conclusie
In dit artikel hebben we getracht uiteen te zetten wat de
Gateway methode op hoofdlijnen inhoudt en wat de verschillen zijn met een audit. We concluderen dat Gateway een
waardevol quality assurance instrument is, dat een belangrijke rol kan gaan spelen bij het vroegtijdig in kaart brengen
van risico’s en problemen in programma’s en projecten
binnen de publieke sector. Dit biedt kansen voor zowel
ministeries als voor gemeenten, uitvoeringsorganisaties en
andere publieke organisaties.
Een Gateway review is zeker niet hetzelfde als een audit. Er
is een aantal fundamentele verschillen in de uitgangspunten,
doelstelling, werkwijze en het uiteindelijk eindresultaat.
10 | de EDP-Auditor nummer 1 | 2007
Mazars is een organisatie die groeit en zich ontwikkelt. Met het oog op deze
ontwikkeling zijn wij voor ons kantoor in Rotterdam op zoek naar een
Mazars Management Consultants zorgt bij onze cliënten voor een soepele
samenwerking tussen de werkvelden besturing, organisatie, strategie
en informatiesystemen. Als auditor/consultant krijg je de ruimte je
weg te vinden door je breed te ontwikkelen. Omdat dit leidt tot nieuwe
ideeën waar onze cliënten wat aan hebben. In deze functie werk je voor
verschillende opdrachtgevers. Je voert IT-audits uit voor speciﬁ eke
managementvraagstukken, ter ondersteuning van accountantscontrole of
om de betrouwbaarheid, compliance en effectiviteit van informatiesystemen
te testen. Je geeft advies, begeleid projecten en onderhoudt de relatie met
cliënten. Heb je een opleiding op WO-niveau, bijvoorbeeld in de richting
Bedrijfskunde, BE of BI en enkele jaren ervaring met IT-audit? Beschik
je daarnaast over uitstekende communicatieve vaardigheden, ben je
commercieel, ondernemend, klantgericht en heb je een sterk analytisch
vermogen? Dan willen we graag zo snel mogelijk met je om de tafel zitten.
Stuur je brief met CV naar Mazars, t.a.v. Edwin van Merode, Postbus 23123,
3001 KC Rotterdam. Of e-mail naar [email protected]. Voor meer
inlichtingen kun je bellen naar (010) 277 15 50.
Ga verder met Mazars.
ACCOUNTANTS EN BELASTINGADVISEURS
Een baan aan de
Vrije Universiteit
De Faculteit der Economische Wetenschappen en Bedrijfskunde, Postgraduate
IT Audit Opleiding zoekt twee kandidaten voor de posities van:
Hoogleraar Auditing v/m en Hoogleraar IT v/m
Vacaturenummers: 1.2007.00069/00070
Beiden voor 0,2 fte
De kandidaten zijn gepromoveerd, hebben uitgebreide onderzoekservaring,
blijkend uit publicaties in (internationale) journals, en hebben ervaring in het
onderhouden van een relatienetwerk binnen hun onderzoeksterrein. Ook
dienen de kandidaten uitstekende didactische eigenschappen te bezitten,
aangetoond door ruime ervaring als docent bij opleidingen en cursussen.
Tevens zijn de kandidaten een autoriteit op het vakgebied Auditing of IT,
hetgeen onder meer blijkt uit het veelvuldig optreden als spreker of
dagvoorzitter en lidmaatschap van relevante redacties of commissies.
Salaris volgens bezoldigingsregels voor wetenschappelijk personeel.
De Vrije Universiteit is een
bijzondere universiteit, betrokken
bij de samenleving. Gestimuleerd
door de multidisciplinaire
samenwerking op één campus
ontstaan toonaangevend onderzoek
en inspirerende nieuwe opleidingen.
Op de Zuidas. In Amsterdam.
Acquisitie naar aanleiding van deze advertentie wordt niet op prijs gesteld.
Meer perspectief
M e e r i n f o r m a t i e o p w w w. v u . n l / v a c a t u r e s

Download Report