Skip to main content

Themes

Leading Change

Gedrag: kritische factor voor succesvolle ICT-projecten

Nog te vaak mislukken ICT-projecten. Dit vraagt een grondige analyse omdat hiermee veel leed kan worden bespaard. Oorzakenanalyses richten zich veelal op structuren en harde projectcontrols zoals taken, verantwoordelijkheden en plannen. De factor mens was tot voor kort een ondergeschoven kindje. Vanwege het abstracte en niet-tastbare karakter werden de zogenoemde soft controls die van invloed zijn op gedrag, vaak buiten beschouwing gehouden. Inmiddels kunnen wij er niet meer omheen. Internal-audit- en -controlafdelingen nemen soft controls in toenemende mate mee in oorzakenanalyses. Dit artikel beschrijft de rol van soft controls als succesfactor voor ICT-projecten.

Inleiding

De ov-chipkaart, het elektronisch patiëntendossier en het ‘innovate project’ van McDonald’s ([Gall03]): op het eerste gezicht hebben deze projecten niets met elkaar gemeen. Toch hebben zij één gemeenschappelijke deler: zij gaan de boeken in als falend project in termen van kwaliteit, geld en doorlooptijd. De projecten staan niet op zich, u kunt deze lijst vast aanvullen. Mislukte projecten hebben impact. Ze leiden tot additionele kosten en reputatieschade en hebben soms grote gevolgen voor de verantwoordelijke bestuursleden.

Het starten van een ICT-project is voor elke organisatie een uitdaging en brengt (nieuwe) risico’s met zich mee. Een project wordt begrensd door tijd en budget en is mede afhankelijk van goede multidisciplinaire samenwerking. Daarnaast geldt dat de weg naar het gewenste resultaat op voorhand niet bekend is. Dit is per definitie een risico. Ondanks dat ICT-projecten worden gepland, gebudgetteerd en gestructureerd, falen ze. En uit verschillende onderzoeken in de afgelopen jaren komen dezelfde oorzaken naar voren. Het zijn namelijk vaak de technische, planmatige en structurele zaken die aandacht krijgen. Projecten worden vaak op een rationele en logische manier gepland. Maar logisch betekent: niet psychologisch. Het feit dat de mens wel eens de succesfactor kan zijn, blijkt ook uit eerder onderzoek van KPMG ([Donk12]). Hieruit komt naar voren dat het niet behalen van een businesscase voor meer dan 50 procent te verklaren is door mensgerelateerde aspecten. De Standish Group ([Stan94], [Stan13], [Stan14]) bevestigt dit met zijn onderzoek naar succes- en faalfactoren van ICT-projecten. Daaruit blijkt dat het merendeel van de succesfactoren gerelateerd is aan de mens. Hoe zit het eigenlijk met de psychologische factoren bij een ICT-project? Met andere woorden, in welke mate wordt bij de beheersing van een project rekening gehouden met houding en gedrag?

In dit artikel staat de mens centraal bij de beheersing van ICT-projecten. Het biedt de lezer een handreiking om de factor mens gestructureerd aandacht te geven binnen een ICT-project met als doel de succesratio van een ICT-project te vergroten. Tegelijkertijd komen wij tegemoet aan de wens van controllers, IT-auditors en projectmanagers om gedrag en cultuur binnen een project structureel te evalueren.

Om te beginnen kijken wij naar soft controls als bepalende factoren voor gedrag en cultuur binnen een organisatie en de beheersing van ICT-projecten. Vervolgens beantwoorden wij de vraag wat de belangrijkste faalfactoren zijn binnen ICT-projecten. Dit wordt geïllustreerd aan de hand van een praktijkvoorbeeld. Daarna bespreken wij hoe soft controls een succesfactor kunnen zijn en geven wij concrete handvatten voor opdrachtgevers, projectmanagers, controllers en IT-auditors om cultuur en gedrag binnen een project te analyseren en mee te wegen in een oordeel over de beheersing van een project.

Soft controls en oorzaken van falende ICT-projecten

‘A bad system will beat a good person every time.’

– W.E. Deming

Effectief projectmanagement draait om beheersing – van geld, tijd en kwaliteit. Of nog specifieker, om de vraag: hoe gaan mensen om met financiële middelen, hoe bewaken zij de doorlooptijd en hoe zorgen zij dat het eindresultaat voldoet aan de gestelde kwaliteitseisen? Bij soft controls gaat het over mensen en de vraag hoe gedrag kan worden beheerst. Uit onderzoek ([Katz05]) blijkt dat mensen zich niet laten sturen door alleen maar regels en dat een overmaat van regels juist tegengesteld werkt. Soft controls zijn die factoren die naast hard controls van invloed zijn op gedrag.

In dit artikel verstaan wij onder soft controls: ‘de niet-tastbare gedragsbeïnvloedende factoren in een organisatie die van belang zijn voor het realiseren van de doelen van de organisatie en de eisen en verwachtingen van stakeholders’ ([Kapt10]). Uit onderzoek van Kaptein ([Kapt11]) komt naar voren dat acht culturele aspecten van invloed zijn op het handelen en nalaten van handelen door mensen. Deze culturele aspecten noemen wij de basis soft controls. Een nadere toelichting van deze soft controls is te vinden in tabel 1.

C-2016-1-Bekkum-T01

Tabel 1. De acht soft controls.

Met deze kennis in het achterhoofd verdiepen we ons nader in een aantal veelvoorkomende faalfactoren van ICT-projecten ([KPMG04]).

1. Gebrekkig projectmanagement

Bij projecten die falen zien wij dat de verantwoordelijkheid voor de realisatie van het ICT-project onvoldoende op het hoogste niveau is belegd. Medewerkers laten zich in grote mate leiden door ‘rolmodellen’ in de organisatie. Rolmodellen, leidinggevenden, kortom voorbeeldgedrag, zijn medebepalend voor de keuzes die medewerkers maken. Een ICT-project kan een hoge prioriteit hebben op de agenda van het bestuur. Dit betekent nog niet dat er voldoende draagvlak is. In de praktijk zien wij dat een ICT-project niet altijd een project is dat geliefd is om op bestuursniveau toe te voegen aan je portefeuille. De beleving is vaak dat ‘IT het nu eenmaal hoort te doen’. Daarnaast is vanuit de bestuurskamer elke complexiteit te nuanceren tot een gesimplificeerd probleem. Een gebrek aan eigenaarschap op het hoogste niveau en daarmee aan betrokkenheid van bestuursleden kan ertoe leiden dat taken en verantwoordelijkheden op tactisch en operationeel niveau onvoldoende helder zijn. Niemand voelt zich echt gesteund om bepaalde taken op te pakken. Dit kan een negatief effect hebben op een duidelijke planning en de mate waarin tijd en budget worden beheerst. Tot slot zien wij dat bij het bewaken van tijd en kosten daadkrachtige handhaving ontbreekt. Onze ervaring is dat hoe verder het project de deadline nadert en hoe meer de spanning binnen het project toeneemt, hoe meer de discipline binnen een project afneemt. Op discipline wordt al snel bezuinigd ten bate van het eindresultaat.

2. Doelstellingen niet gedefinieerd

‘Toen het communicatiesysteem C2000 voor de hulpdiensten werd ontwikkeld, is niet goed nagedacht over het doel, de eisen en de kosten. Ook is er niet goed gesproken met de mensen die ermee moesten gaan werken over wat ze precies nodig hadden.’

Dat zei oud-minister Johan Remkes van Binnenlandse Zaken vorig jaar tegen de commissie-Elias die namens de Tweede Kamer onderzocht waarom zo veel ICT-projecten bij de overheid mislopen. Veel grote projecten falen omdat hetgeen ze beogen niet duidelijk genoeg is. Er is geen heldere probleemdefinitie en de eisen worden niet duidelijk geformuleerd. Wanneer het voor de projectleiders aan de voorkant niet glashelder is wat het doel van het project is en wat het project moet beogen, ontstaat direct ruimte om te manoeuvreren in tijd, kwaliteit en kosten. Naast resultaatnormen zien wij dat in de praktijk niet of nauwelijks stil wordt gestaan bij gedragsnormen. De vraag welk gedrag wenselijk is voor een beheerst project wordt veelal niet beantwoord en expliciet gemaakt. Ondanks de beste intenties van de projectbetrokkenen kan het ontbreken van heldere doelstellingen of gedragsnormen de rechtvaardiging zijn om een eigen invulling te geven aan het project of het gedrag, met een falend project als gevolg.

3. Onbekendheid met scope en complexiteit

Naast het ontbreken van een heldere doelstelling zien wij vaak dat verwarring ontstaat over de scope en de complexiteit van het project. Vaak is aan het begin de scope niet goed vastgelegd. Ook komt het voor dat wanneer het project vordert, andere mensen hun ideeën uiten en invloed uitoefenen waardoor de scope wordt vergroot. En we zien ook het tegenovergestelde: naarmate de deadline nadert, wordt de scope verkleind (scope squeeze). Het gevolg is vaak dat de scope niet helder is en daardoor is onduidelijk wat uiteindelijk moet worden gebouwd, getest en getraind. Afgevaardigden uit de business haken dan af omdat de scope niet meer te overzien is en ze niet weten wat voor oplossing ze kunnen verwachten. Ook vanuit het project kan onduidelijkheid van de scope leiden tot additioneel werk en/of uitloop van het project. Hierdoor kunnen de betrokkenheid en motivatie om het project tot een succes te maken minder worden. De afgenomen betrokkenheid kan ook invloed hebben op de uitvoerbaarheid omdat dit, gepaard met drukte of onduidelijkheid, mensen in staat kan stellen ongewenst gedrag te vertonen. Kortom, het ontbreken van helderheid over de scope en complexiteit kunnen leiden tot vertraging, ongemotiveerd personeel, een overschrijding van kosten en/of mindere kwaliteit van de oplossing.

4. Gebrek aan communicatie in en rond het project

Een goede beheersing van ICT-projecten valt of staat met een continue sturing en communicatie binnen en buiten het project naar alle stakeholders. Dit vereist een klimaat waarin mensen betrouwbare besturingsinformatie ontvangen en daar ook iets mee doen. Niemand twijfelt erover om goed nieuws te brengen. Een succesvol project draagt bij aan de positieve beeldvorming van iemands functioneren en daarmee aan de carrièreontwikkeling. Slecht nieuws brengen of iemand aanspreken op gedrag dat niet wenselijk is, wordt lastig gevonden. Mensen zijn van nature terughoudend omdat de angst bestaat om de sfeer te verzieken of te worden weggezet als bemoeial, betweter of moraalridder. Wanneer wordt verzuimd om slecht nieuws te brengen of mensen aan te spreken op ongewenst gedrag, kan dat grote gevolgen hebben. Want juist deze informatie is nodig om tijdig bij te sturen en te voorkomen dat het project zich op een hellend vlak gaat begeven. Wanneer de communicatie tussen ICT en de business niet open en eerlijk is en mensen hun zorgen niet kunnen uiten, kan dit de kiem zijn voor alweer een onbeheerst ICT-project. Aanspreekbaarheid bij overschrijdend gedrag of resultaat en bespreekbaarheid van gesignaleerde knelpunten dragen bij aan een goede beheersing van een project.

5. Technische complexiteit en technische integratie-issues

Veel ICT-projecten zijn enorm complex vanwege nieuwe technologie, interfaces met andere systemen en dataconversies of omdat het projectteam wat betreft resources moet concurreren met andere projecten. Soms is het project afhankelijk van nog goed te keuren conceptwet- en -regelgeving. Wat projectmanagers en bestuurders vaak niet goed begrijpen, is dat het risico en de benodigde expertise bij een project exponentieel toenemen wanneer de complexiteit groter wordt. Projecten met een omvang kleiner dan een miljoen euro kennen een succespercentage van 76 procent, terwijl boven de miljoen dit percentage daalt naar 10 procent ([Stan13]). Systemen en processen worden broos als mensen deze complexiteit in een beperkte tijdspanne moeten doorgronden en met workarounds gaan werken. Het gevolg is dat de druk op de medewerkers toeneemt en daardoor de uitvoerbaarheid afneemt. Dit verhoogt de kans op fouten, budgetoverschrijdingen of concessies op kwaliteit. Daarnaast geldt dat door een toename van de complexiteit de transparantie binnen het project afneemt. De relaties tussen subsystemen worden diffuus, waardoor minder goed zichtbaar is wie waarmee bezig is. De controleerbaarheid van het project neemt hierdoor af. Kortom, het project is niet langer in bedwang te houden wanneer de technische complexiteit en de hiermee samenhangende integratie-issues te veel toenemen.

Gedrag laat zich dus leiden door zowel structuur als cultuur. Een organisatie is voor een goede beheersing van ICT-projecten verantwoordelijk voor een goede structuur, zoals taken, verantwoordelijkheden en managementinformatie, maar ook voor een goede cultuur, zoals leiderschap, risicobewustzijn en betrokkenheid.

Tabel 2 geeft schematisch weer wat de gevolgen voor ICT-projectbeheersing zijn als een bepaalde soft control niet effectief is.

C-2016-1-Bekkum-T02

Tabel 2. Soft-controls-gevolgenmatrix.

Soft controls en ICT-projecten: de praktijk

Hoe dit in de praktijk werkt, lichten wij graag toe aan de hand van een op waarheid berustend voorbeeld.

Een multinational heeft de afgelopen jaren veel succes geboekt. De omzet is de laatste 5 jaar met 60 procent gestegen, terwijl de marges positief zijn gebleven. De groei is het gevolg van overnames van businessunits in verschillende landen. Dit heeft ertoe geleid dat het IT-landschap is veranderd. Waar in het verleden werd gewerkt met één ERP-systeem, zijn het er momenteel acht. De organisatie verliest grip op de beheersing en efficiëntie en wil ERP-systemen gaan samenvoegen om zodoende eenduidig te kunnen rapporteren. Het programma is al meerdere keren uitgesteld. In de zomer van 2015 is besloten om bij een kleine businessunit live te gaan met een klein gedeelte van de scope. Doordat de ‘go-live’ al meerdere keren is uitgesteld, moet het programma nu succesvol zijn. Sterker nog, de kans is reëel dat de stekker uit het programma wordt getrokken als dit geen succes wordt. Dit wil niemand op zijn geweten hebben.

Internal audit voerde een projectreview uit op het project en de score was positief. Er werd vastgesteld dat er projectcontrols aanwezig waren, wat bleek uit de planning, risk en issue logs en voortgangsrapportages. Dit werd nog eens bevestigd door de statusrapportages, procesdocumentatie en planning. Kortom, het programma leek ‘in control’ te zijn. Toch bleek later dat het resultaat van het project sterk tegenviel. Het systeem werkte niet naar behoren omdat het niet voldeed aan de wensen van de gebruikers en met enige regelmaat uitviel. Iedereen was verrast, temeer omdat de statusrapportages geen ‘red flags’ toonden. Echter:

  • de ontwikkelaars rapporteerden intern vertraging omdat dat vier van de tien deelprojecten niet klaar waren;
  • dit terwijl de direct leidinggevenden van de ontwikkelaars rapporteerden dat het merendeel van de zaken klaar was;
  • desondanks werd in de stuurgroep gerapporteerd: ‘on track’.

Alle betrokken projectmedewerkers wisten dat hun statusrapportage een getrouw beeld gaf maar dat het finale rapport niet klopte. Toch werd niet geëscaleerd. Waarom niet?

Het bestuur stelde op verzoek van de raad van commissarissen een onderzoek in om de oorzaken te achterhalen. Tijdens de oorzakenanalyse werd behalve naar de structuur ook gekeken naar de cultuur. De volgende observaties werden gedaan.

De communicatie over het doel, de taken en de verantwoordelijkheden was afgestemd op de medewerkers waardoor het voor iedereen helder was wat van elkaar werd verwacht. Het halen van de deadline had intern de hoogste prioriteit en dit werd continu benadrukt, evenals de voortgang en de kleine successen die werden geboekt. Dit werd breed uitgemeten door het management van de system integrator (SI). Tegenvallers werden niet gemeld. De SI vroeg hier ook niet naar en wilde vooral weten wat wel goed ging. Daarnaast werden fouten belachelijk gemaakt en werd er in het geheel geen gehoor gegeven aan knelpunten die door medewerkers werden aangekaart. Continu werd gerefereerd aan de deadline en aan het feit dat het project moest slagen. Van goed voorbeeldgedrag ten aanzien van bespreekbaarheid was geen sprake. De cultuur om dilemma’s of tegenvallers te melden ontbrak. Hierdoor bleek in de praktijk dat incidenten niet werden gemeld en onder het tapijt werden geschoven.

De uitvoerbaarheid werd door de medewerkers als zeer laag ervaren. Het management van de SI communiceerde netjes naar stakeholders dat alleen live gegaan mocht worden als ‘alles en iedereen en klaar voor was’ en dat iedereen zich aan de interne projectregels moest houden. Dat was één kant van het verhaal. Daarnaast maakte de SI van het programma een afspraak met de klant over een harde deadline waarop het programma – in elk geval – live zou gaan. Medewerkers gaven achteraf aan dat dat niet reëel was. Er was op geen enkele wijze rekening gehouden met mogelijke tegenvallers.

Door de verhoogde werkdruk en het slechte voorbeeldgedrag werden medewerkers cynisch. Er werd niet meer met elkaar gesproken maar vooral over elkaar. De projectmanager moest het ontgelden. In de wandelgangen stond hij te boek als bullebak. Het gevolg was dat het draagvlak om het werk goed te doen langzaam wegzakte. Er was een gebrek aan betrokkenheid met de leiding, terwijl de betrokkenheid tussen de medewerkers enorm groot was. Medewerkers gingen voor elkaar door het vuur en deden er alles aan om de sfeer goed te houden. Dit had ook een keerzijde. Het kritisch vermogen werd verlaagd doordat men elkaar niet aansprak op ongewenst gedrag. Als iemand kwaliteitsafspraken niet naleefde, werd die persoon er niet op aangesproken. Daarnaast werd niet inhoudelijk getoetst op de juistheid van de statusrapportages. In de beleving van de medewerkers zou dit de werksfeer kunnen aantasten.

De auditor van het project had het ook niet makkelijk. Alle informatie mocht maar bij één persoon worden opgehaald onder het mom van ‘iedereen is druk, we hebben een strakke planning en elke minuut die medewerkers besteden, moet rechtstreeks bijdragen aan het eindresultaat’. De centrale contactpersoon had hierdoor een beslissende rol en kon bepalen welke informatie naar de auditor werd gestuurd. Hierdoor werd de transparantie van gedrag binnen het project verlaagd. Alleen al omdat een paar ogen (dat van de auditor) ontbrak, waanden projectmedewerkers zich onzichtbaar en gaven zij een eigen interpretatie van de gewenste kwaliteitsnormen. Immers, dit werd verder door niemand gezien en gecorrigeerd. Daarnaast werd impliciet het signaal gegeven dat audit, dus ‘in control’ zijn, niet de hoogste prioriteit had. Dit kon voor de projectmedewerkers als rechtvaardiging worden gebruikt om controleactiviteiten niet al te nauw te nemen. Met alle gevolgen van dien …

De projectorganisatie moest naar aanleiding van het onderzoek concluderen dat te weinig rekening werd gehouden met factoren die, naast de regels en procedures, van invloed zijn op gedrag. Terwijl gedrag juist bepalend is voor de effectieve werking van de beheersmaatregelen binnen ICT-projecten.

Soft controls bepalend voor succesvolle ICT-projecten

Zoals gezegd kunnen soft controls een bepalende factor zijn bij falende ICT-projecten. Door rekening te houden met deze aspecten kunnen wij de kans op een falend project verkleinen. Laten wij deze soft controls eens langslopen en bekijken hoe wij hier voorafgaand en tijdens het project rekening mee kunnen houden.

Helderheid lijkt wel het sleutelwoord bij een goede beheersing van het project. Bij helderheid draait het voortdurend om de vraag of een aantal zaken voor de projectbetrokkenen voldoende helder is. Naast het doel, de scope en de mate van complexiteit gaat het hierbij ook om de taken en verantwoordelijkheden binnen het project en daarbuiten. Minstens zo belangrijk is dat duidelijk moet worden gemaakt wat de verwachtingen zijn op gedragsniveau, bijvoorbeeld over samenwerking, hoe afspraken worden gemaakt en hoe hiermee wordt omgegaan. Het vastleggen van een aantal heldere gedragsregels kan hierbij helpen. Vanzelfsprekend zijn voorbeeldgedrag en het belang dat projectleiders bekend zijn met deze gedragsregels en deze ook voorleven.

Grote tegenslagen worden voorkomen als opkomende knelpunten in de kiem worden gesmoord. Het gaat hier om knelpunten op verschillende niveaus, bijvoorbeeld ten aanzien van kwaliteit of kosten die uit de pas dreigen te lopen, maar zeker op gedragsniveau. Een autoritaire projectleider die er alles aan doet om het project binnen de gestelde randvoorwaarden te realiseren, kan door zijn resultaatgedrevenheid de menselijke factor uit het oog verliezen. Deze projectleider is er dan bij gebaat dat dit soort signalen hem (of haar) tijdig bereiken zodat het gedrag kan worden bijgestuurd. Dit vraagt een open houding zodat medewerkers worden gestimuleerd om eventuele zorgen te uiten. Door in de planning reflectiemomenten op te nemen kan de bespreekbaarheid worden vergroot. Dit komt enerzijds omdat de invoering van reflectiemomenten een preventieve werking heeft: omdat je weet dat je op gedrag wordt beoordeeld, ben je daar (mogelijk) meer alert op. Anderzijds creëer je op deze wijze een podium waar verschillende standpunten kunnen worden uitgewisseld. Gebrek aan tijd mag hierbij geen argument zijn. Het kost tijd om in gesprek te gaan met elkaar maar tegelijkertijd levert het veel op. Het vergroot de betrokkenheid en daarmee de motivatie en inspiratie om het project tot een succes te maken.

Naast heldere communicatie over de doelstellingen en een platform om eventuele dilemma’s te delen vraagt de mate waarin medewerkers worden ondersteund en dus de uitvoerbaarheid in de organisatie expliciet aandacht. Het is onmogelijk om hieraan normen te koppelen omdat iedereen werkdruk nou eenmaal op een andere manier ervaart. Een goede projectleider houdt voeling met zijn mensen en weet of mensen voldoende in staat zijn de verwachte werkzaamheden uit te voeren. Toch is het praktisch niet altijd mogelijk om continu een vinger aan de pols te houden. Gelukkig bestaan er instrumenten en methoden om dit te monitoren. Een van deze instrumenten is de inzet van een vragenlijst. Deze vragenlijst of ‘mood monitor’ meet de mate waarin medewerkers bijsturing nodig hebben. Dit kan zijn in termen van extra tijd, technische kennis of vaardigheden. Een andere manier is het aanstellen van een projectcoach die gevraagd en ongevraagd met projectmedewerkers in gesprek gaat om op deze manier de ‘mood’ te meten. De ervaring leert dat het gesprek op zichzelf al verhelderend kan werken en dat de coach ook patronen kan signaleren die om een bredere oplossing vragen. Hierdoor kan proactief worden bijgestuurd.

C-2016-1-Bekkum-01

Figuur 1. De acht soft controls van Muel Kaptein.

Wij zagen al dat door het gebrek aan transparantie projectmedewerkers in de verleiding kunnen komen om afspraken niet na te komen. Andersom geldt dat in een project waar gedrag van medewerkers zichtbaar is, de kans op het ontdekken van fouten groter wordt. Kortom, transparantie vergroot het corrigerend vermogen binnen een project en maakt het mogelijk elkaar aan te spreken op gedrag als daar aanleiding toe is. In het geval van excessen is het effectief om te handhaven en er consequenties aan te verbinden wanneer afspraken structureel niet worden nagekomen. Tegelijkertijd moeten wij niet vergeten dat projectdoelstellingen worden gehaald met gemotiveerd personeel. Dus waardering en uiteindelijk beloning van goed gedrag (het andere aspect van handhaving) kunnen mede zorgen voor motivatie, betrokkenheid en een succesvol project.

Monitoren van soft controls

De primaire verantwoordelijkheid ligt bij het bestuur van de organisatie, maar in de praktijk betekent dit dat deze is belegd bij een verantwoordelijke projectleider. Deze projectleider is verantwoordelijk voor een goede structuur en cultuur. Hoe dit handen en voeten kan worden gegeven, kwam in de vorige paragraaf naar voren. De rol van de auditor in het kader van de projectbeheersing kunnen wij niet negeren. Hoe deze derdelijns functie op een gestructureerde manier aandacht kan geven aan soft controls, komt in deze paragraaf aan de orde. In de audit komt de evaluatie van soft controls gedurende drie fasen aan de orde.

De eerste fase is de analyse van de entity level controls. De controleomgeving speelt een belangrijke rol in de beheersing van ICT-projecten. De toon die de hoogste leiding aanslaat en de mate waarin zij het project de hoogste prioriteit geeft, is medebepalend voor het succes. De mate waarin organisatiebreed wordt gecommuniceerd over belangrijke principes of kernwaarden is een aspect dat een auditor zou moeten meenemen in zijn onderzoek. Een bestuurder die continu benadrukt dat fouten acceptabel zijn zolang zij maar worden gemeld, stimuleert een cultuur waarin open en eerlijk met elkaar wordt omgegaan. Wanneer een auditor een bevinding doet van een fout die al langer bekend was maar waarvan geen melding is gemaakt, valt te betwijfelen of medewerkers wel echt een open cultuur ervaren.

De tweede fase is de audit op de uitvoer van projecten. Soft controls zouden ondersteunend moeten werken bij de beheersing van projecten. Maar de vraag die de auditor bezig moet houden is: in welke mate beleven de projectmedewerkers dat ook zo? Dit betekent dat de auditor onderzoek moet doen naar de beleving van de soft controls door de medewerkers, omdat die perceptie bepaalt of zij ook doen wat van hen wordt verwacht. Dit stelt andere eisen aan de audit. Alleen een documentenanalyse en interviews zijn niet voldoende. Vaker zorgen een anonieme enquête, dilemmasessies of gedragsobservaties voor het vereiste inzicht. Een vooraf afgestemd normenkader dat ontleend is aan de competentieprofielen zoals die bekend zijn in een organisatie, kan daarbij helpen. Soft controls lijken zacht, maar de effecten kunnen hard en tastbaar zijn. Medewerkers die onder de werkdruk bezwijken, laten hun sporen na, in verzuimcijfers, lage scores in betrokkenheidsonderzoeken en een langere doorlooptijd van het project. Met deze harde en observeerbare data zijn haperende soft controls te staven.

De derde fase is de oorzakenanalyse van afwijkingen van de planning, incidenten of fouten. Om inzicht te krijgen in de achterliggende gedragsoorzaken bieden de soft controls handvatten. De acht soft controls zijn in het verleden tot stand gekomen na een gedragsanalyse van verschillende incidenten en fouten binnen uiteenlopende organisaties. Inmiddels maakt meer dan 80 procent van de internal-auditafdelingen ([IIA15]) gebruik van het model om een oorzakenanalyse uit te voeren op auditbevindingen. Tabel 3 geeft een overzicht van de acht soft controls en de belangrijkste toetsaspecten voor de auditor. Hiermee wordt een handreiking gegeven voor een audit van soft controls binnen ICT-projecten.

C-2016-1-Bekkum-T03

Tabel 3. Soft controls: toetsaspecten ICT-projecten.

Conclusie

De mens is essentieel om ICT-projecten tot een succes te maken. Uitmuntende ICT-projecten worden altijd geroemd om het team dat het project succesvol heeft afgerond. Maar wanneer een ICT-project faalt, wordt maar zelden een systematische analyse gedaan op de factor mens, en dat terwijl uit onderzoek blijkt dat de factor mens vaak een van de hoofdoorzaken is. Het beoordelen van de cultuur en het gedrag binnen een project en organisatie kan een manier zijn voor de auditor om de oorzaak van projectfalen te achterhalen of om mogelijke projectrisico’s tijdig te identificeren. Immers, het idee dat mensen zich alleen door regels en afspraken laten sturen is inmiddels achterhaald. De acht soft controls die in dit artikel zijn beschreven, kunnen een bijdrage leveren aan begrip van gedrag in de context van interne beheersing en zijn voor de auditor extra gereedschap om het project te kunnen beoordelen. Hiermee wordt de kans op een succesvol ICT-project vergroot!

Literatuur

[Bast15] A.R.J. Basten, E. van Bekkum en S.A. Kuilman, Soft controls: IT general Controls 2.0, Compact 2015/1.

[Donk12] H. Donkers, Project- en programmamanagement survey, KPMG, 2012.

[Gall03] S. Gallagher and L. Barrett, McDonald’s: McBusted, July 2, 2003, http://www.pcmag.com/article2/0,2817,1173624,00.asp

[IIA15] IIA, Discussion paper Soft controls, juni 2015.

[Kapt10] M. Kaptein en Ph. Wallage, Assurance over gedrag en de rol van soft controls: een lonkend perspectief, Maandblad voor Accountancy en Bedrijfseconomie 84 (12), 2010, pp. 623-632.

[Kapt11] M. Kaptein, Understanding unethical behavior by unraveling ethical culture, Human Relation 64 (6), pp. 843-869.

[Kapt15] E. van Bekkum en M. Kaptein, Soft-controls in de MKB-praktijk: een handreiking, Handboek Accountancy, 2015.

[Katz05] T. Katz-Navon, E. Naveh and Z. Stern, Safety Climate in Healthcare Organizations: A Multidimensional Approach, Academy of Management Journal 48 (6), 2005, pp. 1075-1089.

[KPMG04] KPMG, Programmamanagement leidt tot betere projectresultaten, 2004.

[Stan94] Standish Group, The Chaos Report, 1994.

[Stan13] Standish Group, Chaos Manifesto 2013: Think Big, Act Small, 2013.

[Stan14] Standish Group, The Chaos Report, 2014.

[TwKa14] Tweede Kamer, Parlementair onderzoek naar ICT-projecten bij de overheid, vergaderjaar 2014-2015, 33 326, nr. 5.