Als kader voor sturing, beheersing en verantwoording hanteert P-Direkt een kwaliteitsmodel en een Balanced Score Card (BSC). Dit stelsel is de basis voor de logische verbinding tussen missie, visie, strategie, (jaar)doelstellingen, planvorming, uitvoering en sturing van onze dienstverlening en bedrijfsvoering.

Kwaliteitsmodel
Kwaliteitsmodel

Het kwaliteitsmodel geeft aan vanuit welk stakeholdersperspectief wordt gestuurd. Per stakeholder is bepaald welk resultaat moet worden behaald. Vervolgens wordt vastgesteld hoe het resultaat wordt bereikt. Dit gebeurt door middel van het vaststellen van procesrisico’s en het bepalen van bijbehorende beheersmaatregelen.

De Balanced Score Card (BSC) is een doorvertaling voor interne sturing, beheersing en verantwoording met de focus op dienstverlening, bedrijfsvoering, eigen medewerkers en verbeteren en vernieuwen.

Met behulp van de BSC worden de prestaties op een evenwichtige manier vastgelegd. Binnen elk perspectief is een aantal kritische succesfactoren (ksf) bepaald. Deze zijn verder geconcretiseerd in kritische prestatie-indicatoren (kpi). Deze kpi’s zijn uitgedrukt in streefnormen. Bij gemeten afwijkingen van de streefwaarden worden noodzakelijk geachte verbeteracties genomen.

P-Direkt rapporteert middels de BSC eenmaal in de vier maanden aan de eigenaar en het Bestuurlijk Overleg over de voortgang.

Balanced Score Card
Voorbeeld balanced score card

Obeya
Managementteams van P-Direkt sturen op basis van de Lean filosofie en maken hierbij gebruik van de ‘Obeya’.

Obeya is een Japans woord wat ‘grote ruimte’ of ‘war room’ betekent. Een ruimte waar de muren zijn voorzien van actuele informatie over plannen, doelen, resultaten, kpi’s, projecten en op te lossen knelpunten. Men staat letterlijk ‘in de organisatie’. Door gezamenlijk de ontwikkelingen en resultaten te bespreken, wordt gekeken naar de effecten hiervan op andere te behalen resultaten. Zo kijken in samenhang naar mogelijke oplossingen.

Het DT van P-Direkt heeft in 2017 een volledig jaar gestuurd aan de hand van deze methodiek. Elke twee weken houdt het DT een Obeya en we ervaren dat deze methodiek echt bijdraagt aan het gezamenlijk realiseren van onze ambities. Er is een actuele stand van stuurgegevens te zien, waarbij afwijkingen worden besproken in samenhang met het totaal. Tijdens een bezoek van één van onze stakeholders hebben wij aan de hand van actuele gegevens op deze Obeya kunnen laten zien wat er bij ons speelt en hoe het gaat bij P-Direkt.

Obeya
Obeya

Monitoren verbeteracties op de Obeya
In 2017 is bij P-Direkt, zoals ieder jaar, op diverse fronten een aantal externe onderzoeken uitgevoerd. Deze externe onderzoeken (onder andere een ‘Pentest’) geven een beeld of een oordeel over of onze interne beheerscyclus (of onderdelen hiervan) goed is ingericht en daarmee de risico’s in voldoende mate zijn afvangen. Het gehele jaar overziend zijn er uit externe onderzoeken geen tekortkomingen of onvolkomenheden naar voren gekomen die de betrouwbaarheid van onze dienstverlening hebben geraakt.

Uit deze externe onderzoeken komen wel verbeterpunten naar voren die de kwaliteit van onze interne beheersing raken. Dit draagt bij aan een verdere verbetering van onze interne beheersing.

Deze adviezen nemen we ter harte, aangezien we hiermee werken aan de verdere verbetering van de betrouwbaarheid van P-Direkt en past bij actief risicomanagement, dat de kern is van ons kwaliteitsmodel.

Met ingang van 2017 hebben we ervoor gekozen al deze losse verbeterpunten uit onderzoeken te bundelen en integraal en periodiek te bespreken in het DT-overleg. Hiertoe hebben we een weging naar urgentie aangegeven en zijn er tijdspaden aan gekoppeld, die actief zijn gemonitord. Een aantal verbeterpunten heeft wel genoodzaakt tot actie. We vinden het van belang dat er actief aandacht besteed wordt aan een aantal reeds in gang gezette verbeteracties, maar ook om een aantal (door ons) als zwaar aangemerkte aanbevelingen zo spoedig mogelijk op te pakken. Dit draagt bij aan een verdere verbetering van onze interne beheersing.

Inzet technieken ter bevordering van de kwaliteit

Bij het continu verbeteren en aansluiten op de behoeftes van de gebruikers hebben we in de afgelopen jaren een aantal technieken ontwikkeld, die inmiddels structureel onderdeel uitmaken van onze organisatie en werkwijzen.

P-Lien
Met onze variant van Lean (P-Lien) hebben wij de Lean filosofie geadopteerd als basis voor continu verbeteren. Met behulp van dagstarts wordt er in teams met en door medewerkers operationeel gestuurd. Knelpunten worden vroegtijdig gesignaleerd en opgelost of voorkomen. De door het team gesignaleerde knelpunten worden door medewerkers van het team opgepakt en doorgevoerd. Hiermee geven we op alle lagen van de organisatie invulling aan het (blijvend) optimaliseren van klantgerichte, betrouwbare, efficiënte en innovatieve bedrijfsvoeringservices, gericht op het personeel, dat werkzaam is bij de Rijksdienst van Nederland.

Persona’s
Onze gebruikers hebben met vier persona’s een gezicht gekregen. Caroline, Henk, Marcel en Said vertegenwoordigen onze gebruikerspopulatie. Bij alles wat wij ontwikkelen en communiceren houden wij deze persona’s voor ogen. We blijven onderzoeken of kenmerken, drempels, houding en gedrag van deze persona’s nog volstaan.

Gebruikersonderzoeken/klantreis
We doen regelmatig gebruikersonderzoek om inzicht te krijgen hoe we onze dienstverlening zo goed mogelijk kunnen laten aansluiten op de behoeften van onze gebruikers. Als het gaat om het herontwerpen van onze bestaande dienstverlening voeren we bijvoorbeeld usability testen uit om te analyseren waar gebruikers tegen problemen aanlopen.

Voor nieuwe dienstverlening doen we zo vroeg mogelijk in het ontwerpproces gebruikersonderzoek om de behoeften van de gebruiker in kaart te brengen. Een goede methode daarvoor is de zogenaamde klantreis (ook wel customer journey genoemd), waarbij de gehele `reis’ die een gebruiker maakt in beeld wordt gebracht. Door de gehele reis in beeld te brengen, ontstaat er inzicht waar de dienstverlening beter kan of nog ingevuld moet worden.

De totstandkoming van het vernieuwde P-Direktportaal is met de uitkomsten van klantreizen tot stand gekomen, evenals de vormgeving van de SCIO-app.

Scrum methodiek
P-Direkt wil graag een versnelling realiseren in de ontwikkeling en onderhoud van de systemen en zich meer focussen op het realiseren van klantwaarde. In 2017 heeft P-Direkt besloten om hiervoor zoveel als mogelijk de scrum methodiek te gaan toepassen, nadat in voorgaande jaren ervaring is opgedaan in pilot projecten. In 2017 is gestart met bredere scrum opleidingen voor medewerkers en zijn de eerste vaste scrum teams gevormd.

Scrum is een andere manier om (software)producten te maken. Er wordt gewerkt in multidisciplinaire teams, die in korte sprints werkende (software) producten opleveren. Scrum wordt vaak gebruikt bij producten waarvan de klant of gebruiker nog niet goed weet wat hij wil en waarbij men al doende leert om de eisen en wensen beter te beschrijven en in bruikbare producten om te zetten. Vaak weet men pas wat men wil als men het eerste product, het prototype, ziet en dan worden alsnog de eisen aangepast. Scrum heeft de flexibiliteit om met eisen en wensen om te gaan, die pas laat in het proces worden geuit.

Deze methode wordt nu gebruikt in de ontwikkeling van de nieuwe dienstverlening, die past bij de nieuwe visie ‘Mijn P-Direkt, zo geregeld!’ Zo doen we ervaring op en verkennen we of en hoe we deze methodiek kunnen gebruiken voor andere ontwikkelingen van onze dienstverlening.

Interne beheersing processen en controles

In deze paragraaf gaan we in op een aantal ontwikkelingen in 2017, die betrekking hebben op de interne beheersingsmaatregelen, interne controles en auditbevindingen.

Update risico-analyse
In 2017 zijn we, in samenwerking met p-controllers van verschillende departementen, gestart met het updaten van risicoanalyses op de dienstverleningsprocessen in de keten. P-Direkt stelt deze risico-analyses bij, als gevolg van wijzigingen in de processen. De verantwoordelijkheid voor deze analyses ligt bij zowel P-Direkt als de klantorganisaties, waarbij P-Direkt de activiteiten initieert. Het resultaat is een opsomming van de beheersingsmaatregelen en controles in de processen en is de basis voor het IC-plan van P-Direkt en departementen.

In 2017 zijn we gestart met de analyses op de zogenaamde IDU-processen (in-, door- en uitstroomprocessen). Voor eind 2018 willen we alle processen hebben doorlopen.

Privacy_AVG
AVG

Privacybeleid en Algemene Verordening Gegevensbescherming (AVG)
Als organisatie, die een grote collectie persoonsgegevens verwerkt en beheert, hecht  P-Direkt veel belang aan de correcte toepassing van informatiebeveiliging en privacybescherming. De maatschappelijke aandacht hiervoor zal, zeker door de komst van de Algemene Verordening Gegevensbescherming (AVG), alleen maar toenemen. Het is ook daarom, dat P-Direkt in 2017 Bureau Noordbeek heeft gevraagd om een Privacy Impact Assessment (PIA) uit te voeren op de standaard dienstverlening van P-Direkt.

Noordbeek constateert in het rapport dat de dienstverlening van P-Direkt correct wordt uitgevoerd op basis van actuele wet- en regelgeving rondom privacy. De technische en organisatorische maatregelen voor informatiebeveiliging en privacybescherming zijn zowel in opzet als bestaan aanwezig. Verder constateert Noordbeek dat P-Direkt alleen die persoonsgegevens verwerkt die noodzakelijk zijn voor zijn dienstverleningen en waarvoor een eenduidige doelbinding bestaat. Er is voldoende mate van aandacht bij het management en de medewerkers voor zorgvuldigheid bij de omgang met persoonsgegevens, transparantie in de richting van de betrokkene en informatiebeveiliging en privacybescherming.

Het rapport vormt de basis voor het AVG-project dat in 2017 bij P-Direkt is opgestart. Dit project draagt zorg  voor het implementeren van de maatregelen die de AVG ten opzichte van de huidige wetgeving verlangt.

Bevindingen audit dienstverlening door ADR over 2017
De ADR is verantwoordelijk voor de controle van de rijksbrede uitgaven voor personeel. In hun rapportage aan het auditcommitee van BZK rapporteren zij het volgende:

Overgang P-Direkt naar SSC-ICT gerealiseerd; beheersing van de processen door nieuwe afspraken over informatieverstrekking door SSC-ICT moet zich nog bewijzen.

P-Direkt is als één van de eerste organisaties gemigreerd naar het Overheidsdatacentrum (ODC) in Rijswijk. De technische overgang heeft succesvol plaatsgevonden. Voor het technisch applicatiebeheer van de SAP-systemen is eind 2016 een Dossier Afspraken & Procedures (DAP) opgesteld. Gedurende 2017 heeft P-Direkt van SSC-ICT deze standaard dienstverlening ontvangen. Gezien de aanvullende eisen en behoeften van P-Direkt is eind 2017 een addendum op de eerste DAP tot stand gekomen. Dit moet er in 2018 toe leiden dat de beheersing van de processen verbetert en de dienstverlening op het gewenste niveau komt.

Verbeterpunten (functioneel) gebruikersbeheer door P-Direkt deels gerealiseerd en enkele andere beheerprocessen verdienen aandacht.

De aandachtspunten uit 2016 inzake het gebruikersbeheer, met name gericht op het beheren van de (gebruikers)autorisaties, zijn door P-Direkt in 2017 opgepakt. De laatste openstaande punten worden in 2018 opgepakt.

De beheerprocessen gebruikersbeheer, productiebeheer, wijzigingsbeheer en handmatige mutatieverwerking zijn niet op alle punten volledig nageleefd en in enkele gevallen ontbreekt de juiste vastlegging bij P-Direkt van de getroffen beheersingsmaatregelen. De ADR heeft geen feitelijke onvolkomenheden of gevallen van oneigenlijk gebruik van bevoegdheden vastgesteld.

Dienstverlening P-Direkt: Controle ‘IC over de keten’ verbeterd en aanpassing proces bonnencontrole doorgevoerd.

Vanaf eind 2016 hebben alle departementen (met uitzondering van BZK) de verbijzonderde interne controles op de personele processen grotendeels overgedragen aan P-Direkt. Over de uitgevoerde controles ontvangen de departementen maandelijks een rapportage van de door P-Direkt uitgevoerde IC-werkzaamheden. P-Direkt heeft gedurende 2017 een aantal van de adviezen van de ADR opgevolgd, waardoor de interne controles zijn verbeterd. De rapportages kunnen nog aan kwaliteit winnen door de vastlegging en zichtbare afwikkeling van de bevindingen te verbeteren.

Om de problemen in het declaratieproces op te lossen en een significante afname van de werklast voor P-Direkt te bewerkstelligen, is eind 2017 een tweetal wijzigingen doorgevoerd in het declaratieproces. De resultaten van deze wijzigingen zullen pas in 2018 zichtbaar worden.

Reactie P-Direkt: Wij zijn trots dat ook uit onafhankelijk onderzoek van de ADR is gebleken dat er geen onvolkomenheden zijn aangetroffen. De bevindingen die zijn geconstateerd zijn aanleiding om verder te verbeteren. Deze worden in 2018 doorgevoerd en gemonitord binnen de Obeya, zoals eerder verwoord.

We hebben de ADR gevraagd in het eerste halfjaar van 2018 een extra onderzoek uit te voeren, teneinde zeker te stellen dat de aandachtspunten na afronding van het autorisatieproject zijn opgelost.