Kennis
17 maart 2026

QA bij Projecten en Programma's

Een strategisch perspectief voor internal auditors, bestuurders en directie

Maart 2026

Management Summary

Kernboodschap: Quality Assurance door Internal Audit is geen luxe maar een strategische noodzaak. Vroegtijdige, onafhankelijke toetsing van projecten en programma's reduceert faalkosten, versterkt governance en vergroot de kans op het realiseren van beoogde benefits.

Slechts 31% van alle projecten wordt succesvol afgerond binnen tijd, budget en scope. Wereldwijd faalt naar schatting 70% van alle projecten in enige mate, wat resulteert in een geschatte jaarlijkse verspilling van circa 2 biljoen dollar. Grote projecten met budgetten boven de 1 miljoen dollar kennen een faalpercentage dat bijna 50% hoger ligt dan kleinere projecten. In de IT-sector varieert het faalpercentage van 36% tot wel 75%.

Het empirisch onderzoek van Bent Flyvbjerg toont aan: IT-projecten gaan gemiddeld 73% over budget, infrastructurele megaprojecten 28%, en olympische projecten gemiddeld 172%.

Quality Assurance (QA) door Internal Audit kan deze dynamiek doorbreken. Vanuit de derde lijn toetst Internal Audit systematisch de governance, risicobeheersing en voortgang van projecten en programma's, zodat bestuurders en management tijdig kunnen bijsturen.

De whitepaper richt zich op drie doelgroepen: internal auditors die QA willen inrichten of professionaliseren, bestuurders en directie die meer grip willen op hun project- en programmaportfolio, en projectprofessionals die willen begrijpen hoe onafhankelijke QA hun werk versterkt.

1. Inleiding

1.1 Aanleiding en relevantie

Organisaties opereren in een omgeving die wordt gekenmerkt door toenemende complexiteit, disruptieve technologische ontwikkelingen en verscherpte regelgeving. Digitalisering, verduurzaming, reorganisaties en globalisering dwingen organisaties om verandering te realiseren via gestructureerde projecten en programma's. Grote organisaties besteden vaak 10 tot 30% van hun operationele budget aan projectmatige activiteiten.

Ondanks deze omvangrijke investeringen is de slaagkans van projecten en programma's al decennia een punt van zorg. Slechts 31% van alle projecten wordt succesvol afgerond binnen tijd, budget en scope. Wereldwijd faalt naar schatting 70% van alle projecten in enige mate, wat resulteert in een geschatte jaarlijkse verspilling van meer dan 2 biljoen Euro.

De oorzaken zijn divers en goed gedocumenteerd. Kahneman en Tversky beschreven hoe optimisme-bias leidt tot systematische onderschatting van kosten en doorlooptijden. Arkes en Blumer (1985) toonden aan dat de sunk cost fallacy organisaties ertoe brengt te blijven investeren in falende projecten. Janis (1972) liet zien dat groupthink kritische geluiden in stuurgroepen onderdrukt.

1.2 Probleemstelling

In veel organisaties ontbreekt een systematisch mechanisme voor onafhankelijke kwaliteitstoetsing van projecten en programma's. Internal Audit bevindt zich in een unieke positie om deze leemte te vullen. Vanuit de derde lijn, met een mandaat voor onafhankelijke en objectieve toetsing, kan Internal Audit fungeren als de ogen en oren van het bestuur bij complexe veranderinitiatieven.

1.3 Doelstelling en leeswijzer

Deze whitepaper biedt een integraal referentiekader voor QA door Internal Audit bij projecten en programma's, gestructureerd langs twaalf hoofdstukken: van het conceptueel kader (H2), de GIAS (H3), governance en risicomanagement (H4), de rol van Internal Audit (H5), structurele faalpatronen (H6), methodieken en raamwerken (H7), Agile en QA (H8), handvatten voor auditors (H9), handvatten voor bestuurders en directie (H10), casussen (H11) tot conclusies en aanbevelingen (H12).

2. Conceptueel Kader: QA versus QC

2.1 Wat is Quality Assurance?

Quality Assurance in de context van projecten en programma's is de systematische, onafhankelijke beoordeling van de processen, governance-arrangementen en risicobeheersing die ten grondslag liggen aan het succes van een veranderinitiatief. Het gaat niet primair om het toetsen van de technische kwaliteit van deliverables — dat is Quality Control — maar om het beoordelen of de juiste condities aanwezig zijn voor een succesvol project of programma.

QA benadrukt het principe van 'Do It Right the First Time' (DIRFT): deliverables moeten vanaf het begin foutloos zijn, omdat het corrigeren van fouten kostbaarder is dan het voorkomen ervan.

2.2 QA versus QC: fundamenteel onderscheid

Dimensie

Quality Assurance (QA)

Quality Control (QC)

Aanpak

Proactief, preventiegericht

Reactief, detectiegericht

Timing

Gedurende het gehele proces

Aan het einde of bij checkpoints

Focus

Procesgericht

Productgericht

Betrokkenheid

Organisatiebreed

Toegewijd team of afdeling

Doel

Defecten voorkomen

Defecten identificeren en corrigeren

Kostenimpact

Hogere initiële investering, lagere langetermijnkosten

Lagere initiële kosten, potentieel hogere langetermijnkosten

Verantwoordelijkheid

Internal Audit / onafhankelijke QA-functie

Projectteam / testteam

2.3 Projecten versus programma's

Aspect

Project-QA

Programma-QA

Primaire focus

Levering binnen kaders (tijd, geld, kwaliteit)

Realisatie van strategische benefits

Governance

Stuurgroep, projectmanager, opdrachtgever

Programme board, SRO, business change managers

Risico-accent

Scope creep, planningsrisico, technisch risico

Benefits niet gerealiseerd, strategische drift, complexe afhankelijkheden

Businesscase

Eenmalige beoordeling, periodieke review

Continu herijken tegenover strategische doelen

Stakeholders

Relatief beperkt en stabiel

Breed, dynamisch, politiek complex

Tijdshorizon

Maanden tot 1-2 jaar

Jaren, vaak 3-5+ jaar

2.4 Het Three Lines Model

Lijn

Rol bij projecten

Kernverantwoordelijkheden

Eerste lijn

Projectmanagement en operationele teams

Dagelijkse uitvoering, risicomanagement, implementatie van controls

Tweede lijn

Risk management, compliance, PMO

Beleidsontwikkeling, toezicht op naleving, monitoring van risico's

Derde lijn

Internal audit

Onafhankelijke, objectieve assurance over governance en risicomanagement

Governing body

Board, audit committee, stuurgroep

Strategische richting, risicobereidheid, toezicht op alle drie lijnen

Praktijkinzicht: Stel bij elke QA-review de vraag: "Hoe weten we straks of dit programma heeft opgeleverd wat het beloofde?" Als het antwoord vaag blijft, is dat een rode vlag. Een goed benefits register bevat per benefit: een eigenaar, een nulmeting, een streefdoel, een meetmethode en geplande meetmomenten. Internal Audit is bij uitstek toegerust om de nulmeting uit te voeren, het streefdoel te toetsen op SMART-heid, de meetmethode te beoordelen en de voortgang van de metingen de challengen.

3. De Global Internal Audit Standards en QA

De Global Internal Audit Standards (GIAS) van het IIA zijn in 2024 gepubliceerd en per 9 januari 2025 van kracht geworden als opvolger van het voormalige IPPF.

3.1 Assurance- en adviesdiensten

Assurancediensten — Internal Audit formuleert een mening of trekt conclusies over de beoordeelde activiteit. Kenmerkt zich door een driehoeksrelatie: auditee, belanghebbende (bestuur, audit committee) en Internal Audit als onafhankelijke beoordelaar.

Adviesdiensten — Aard en reikwijdte worden overeengekomen met de partij die om de diensten vraagt; geen formele mening. Internal Audit treedt op als critical friend of sparringpartner.

Het is van belang dat bij elk QA-engagement vooraf expliciet wordt vastgesteld of het een assurance- of adviesdienst betreft, omdat dit bepalend is voor de rapportagevereisten, de mate van onafhankelijkheid en de aard van de conclusies.

3.2 Relevante GIAS-standaarden

Opdrachtplanning (Principe 13 / Standaard 13.3) — Vereist documentatie van QA-doelstellingen, reikwijdte, normen, middelen en tijdschema inclusief afstemming met project-gates of mijlpalen.

Objectiviteit en onafhankelijkheid (Standaarden 2.1 en 2.2) — Een auditor die eerder in een advisory-rol bij een project betrokken was, kan niet zonder meer een formele assurance-opdracht voor datzelfde project uitvoeren.

Competentie en zorgvuldigheid (Standaarden 3.1 en 4.2) — Het auditteam moet beschikken over aantoonbare kennis van projectmanagement-methodieken, governance-principes en benefits management.

Essentieel inzicht: De GIAS belemmeren QA bij projecten en programma's niet — ze ondersteunen het. Het onderscheid tussen assurance- en adviesdiensten, de nadruk op risicogebaseerd werken en de competentie-eisen geven Internal Audit een professioneel kader.

4. Governance en Risicomanagement

4.1 Governance-architectuur

Effectieve governance is de belangrijkste voorspeller van project- en programmasucces. Bij projecten uit zich dit in een helder mandaat voor de projectmanager, een actieve stuurgroep met beslissingsbevoegdheid, en duidelijke escalatieroutes. Bij programma's komt daar een programme board bij, een Senior Responsible Owner (SRO) die eindverantwoordelijk is voor benefits realisatie, en business change managers.

4.2 Taxonomie van projectrisico's

Risicocategorie

Beschrijving

QA-aandachtspunten

Strategisch risico

Misalignment met organisatiestrategie

Validiteit businesscase; strategische fit; periodieke herijking

Governance-risico

Onduidelijke rollen; ineffectieve besluitvorming

Rolbeschrijvingen; stuurgroep-effectiviteit; mandaten

Scope-risico

Scope creep; onduidelijke requirements

Changemanagement-proces; requirements-traceability

Planningsrisico

Onrealistische deadlines; resource-conflicten

Planning realisme; critical path analyse

Financieel risico

Budgetoverschrijding; onbetrouwbare schattingen

Kostenschattingsmethode; earned value indicatoren

Technologisch risico

Onvolwassen technologie; integratieproblematiek

Technology readiness; architectuurbeslissingen

Organisatorisch risico

Weerstand tegen verandering; cultuurbarrières

Change readiness; stakeholder-analyse

Benefits-risico

Benefits niet gedefinieerd; geen eigenaar

Benefits register; KPI-definities; benefits tracking

4.3 Gedragswetenschappelijke dimensie

  • Planning fallacy (Kahneman & Tversky): systematische onderschatting van kosten en doorlooptijden
  • Sunk cost fallacy (Arkes & Blumer, 1985): blijven investeren in falende projecten omdat er al zoveel is besteed
  • Groupthink (Janis, 1972): kritische geluiden worden onderdrukt door conformiteitsdruk

Praktijkinzicht: De Reference Class Forecasting-methode van Flyvbjerg biedt een evidence-based alternatief voor traditionele kostenschattingen. Internal Audit kan toetsen of deze methode of vergelijkbare debiasing-technieken worden toegepast.

5. De Rol van Internal Audit

5.1 Mandaat en positionering

Met een faalpercentage van projecten van circa 42% dient internal audit een actieve deelnemer te zijn en niet vanaf de zijlijn toekijken, wachtend op bepaalde audit-intervallen of stage gates. De grootste bijdrage van internal audit is niet het bevestigen van control design, maar het challengen of het programma is ingericht om strategische intentie te realiseren.

5.2 Het rollenspectrum

Rol

Kenmerken

Output

Onafhankelijkheid

Formele audit

Volledige audit met formeel rapport en opvolging

Auditrapport met bevindingen en aanbevelingen

Maximaal gewaarborgd

Assurance review

Gerichte beoordeling op specifieke aspecten

Review-rapportage met conclusie

Hoog

Advisory

Advies op verzoek; geen formele conclusie

Adviesmemo of presentatie

Matig; vereist bewaking

Critical friend

Doorlopende betrokkenheid; real-time feedback

Informele signalen en periodieke rapportage

Spanning; expliciete afspraken nodig

Observer

Bijwonen stuurgroepen; meelezen rapportages

Early warning signals naar management

Hoog; passieve rol

De organisatie hanteert in de praktijk drie reviewvormen: (1) quick scan — een snelle toets op hoofdlijnen; (2) opinie — een adviesgerichte beoordeling zonder formeel assurance-karakter; en (3) deep dive — een geconcentreerde, gedetailleerde review van één specifiek onderwerp.

5.3 Zes strategische focusgebieden

  1. Challengen van het risk universe - Projectrisico's zijn mogelijk niet meegenomen in het periodiek herziene risk universe
  2. Agile audit planning - Flexibel, agile en responsief auditplan met standaardreservering voor project assurance
  3. Vroege betrokkenheid - Meer waarde in het reviewen van de businesscase tijdens ontwikkeling dan bij post-implementatie
  4. Real-time feedback - Kortere, dashboard-achtige rapporten; vaste uitnodigingen voor governance-forums
  5. Outcome assurance - Vraag: "Wat zal er anders zijn voor de business en hoe weten we dat?"
  6. Due professional care en specialisatie - Co-sourcing waar expertise ontbreekt; Agile-terminologie beheersen

5.4 Competentieprofiel

  • Kennis van PRINCE2, PMBOK, Agile/Scrum, SAFe en relevante sectorspecifieke methoden
  • Begrip van benefits management en programmagovernance (MSP)
  • Financiële analysevaardigheden (earned value management, kostenschattingsmethoden)
  • Stakeholder management en communicatieve vaardigheden op bestuursniveau
  • Kennis van IT-architectuur en technologie bij digitale transformatieprogramma's

6. Waarom projecten falen: Structurele patronen

Recente analyse van het Chartered Institute of Internal Auditors identificeert tien terugkerende patronen die consistent bijdragen aan projectfalen. Deze patronen zijn niet incidenteel maar structureel van aard en doorsnijden sectoren en projecttypen.

6.1 De tien terugkerende patronen

1. Onvoldoende adoptierisicomanagement — Verandermanagement wordt als randactiviteit behandeld. Projecten stagneren doordat eindgebruikers niet gereed zijn.

2. Onduidelijke of niet-afgestemde programma-uitkomsten — Uiteenlopende opvattingen over wat het project moet bereiken; beslissingen worden gefragmenteerd genomen.

3. Zwakke governance en rolonduidelijkheid — Hoog verloop in stuurgroepen, onduidelijke escalatiepaden, trage besluitvorming.

4. Onzichtbare risico's voor het leiderschap — Risicologboeken aanwezig maar beperkt; focus 'down and in' in plaats van 'up and out'.

5. Gebrekkige business readiness — Projecten worden goedgekeurd zonder te toetsen of de organisatie de verandering aankan.

6. Gefragmenteerde architectuur — Parallelle werkstromen zonder geünificeerde architectuur; duplicatie en gemiste synergieën.

7. Optimisme-bias en zichtbaarheidslacunes — 'Groen totdat het rood is'; overmoedigheid en gebrek aan challengecultuur.

8. Benefits niet gevolgd of getraceerd — Na go-live verdwijnt benefits-realisatie uit beeld; post-implementatie reviews oppervlakkig.

9. Data-, integratie- en procesgereedheid onderschat — Onvoldoende zicht op datakwaliteit en interface-gereedheid bij systeemtransities.

10. Operating model of cultuur niet afgestemd — Leveringsteams bouwen voor een toekomst die de organisatie nog niet gereed is om te adopteren.

6.2 Culturele waarschuwingssignalen

  • Terughoudendheid om te escaleren of gebrekkige plannen ter discussie te stellen
  • Weerstand tegen het adopteren van nieuwe processen ondanks formele go-live
  • Tactische afsluiting van issues om deadlines te halen; root causes uitgesteld
  • Verkeerd afgestemde prikkels: snelheid of kosten boven strategische doelen
  • Overdreven optimisme in rapportages: 'groen totdat het rood is'-verrassingen

7. Methodieken en Raamwerken

7.1 Gateway Review-proces

Gate

Naam

Focus

Gate 0

Strategische beoordeling

Afstemming met organisatiestrategie en business need

Gate 1

Preliminaire evaluatie

Haalbaarheid en opties-analyse

Gate 2

Business case

Kwaliteit en robuustheid van de business case

Gate 3

Contractering

Gereedheid voor contract- en leveranciersmanagement

Gate 4

Gereedheid voor dienstverlening

Operationele gereedheid en transitieplanning

Gate 5

Benefits-realisatie

Daadwerkelijke realisatie van geplande benefits

7.2 QA-focus per projectfase

Fase

Kernvragen voor QA

Deliverables voor toetsing

Initiatie

Is de businesscase valide? Zijn governance-structuren adequaat?

Businesscase, projectcharter, stakeholder-analyse

Planning

Zijn schattingen realistisch? Is risicomanagement adequaat?

Projectplan, WBS, risicoregister

Uitvoering

Is het project on track? Worden risico's actief gemanaged?

Voortgangsrapportages, change logs, earned value data

Oplevering

Zijn acceptatiecriteria behaald? Is de transitie geborgd?

Testresultaten, transitieplan, lessons learned

Afsluiting / Benefits

Worden benefits gerealiseerd?

Benefits realisatierapport, post-implementation review

7.3 MSP 5e editie

MSP, ontwikkeld door AXELOS (thans PeopleCert), is het meest uitgebreide en in Europa meest toegepaste raamwerk voor programmamanagement. De vijfde editie (2020) is opgebouwd rond drie kerncomponenten: zeven principes, zeven governance-thema's en zeven processen.

De zeven MSP-principes:

  1. Lead with Purpose — Leiderschap met een heldere visie en strategische richting
  2. Collaborate Across Boundaries — Samenwerking over organisatorische grenzen
  3. Deal with Ambiguity — Effectief omgaan met onzekerheid en complexiteit
  4. Align with Priorities — Continue afstemming op organisatieprioriteiten
  5. Deploy Diverse Skills — Inzet van diverse competenties en perspectieven
  6. Realize Measurable Benefits — Focus op meetbare batenrealisatie als kernresultaat
  7. Bring Pace and Value — Snelheid combineren met daadwerkelijke waardelevering

De zeven governance-thema's:

Thema

Beschrijving

Relevantie voor QA en audit

Organisation

Structurering van rollen, verantwoordelijkheden en besluitvorming

Helderheid over wie verantwoordelijk is voor kwaliteit

Design

Het ontwerp van de gewenste toekomstige situatie (blueprint)

Kwaliteitscriteria en meetbare doelstellingen

Justification

Continue validatie van de business case

Basis voor assurance op investeringsbeslissingen

Structure

De projectstructuur en samenhang binnen het programma

Bewaking van afhankelijkheden en integratierisico's

Knowledge

Kennismanagement, informatiestromen en lessons learned

Structurele verankering van leereffecten

Assurance

Het inrichten van assurance-activiteiten op programmaniveau

Directe aansluiting bij de rol van internal audit (Three Lines)

Decisions

Besluitvormingsprocessen en escalatiemechanismen

Governance-effectiviteit en escalatiecultuur als auditfocus

De zeven MSP-processen:

  1. Identify the Programme — Vaststellen van de programma-scope en strategische rationale
  2. Design the Outcomes — Ontwerpen van de gewenste eindresultaten en de blueprint
  3. Plan Progressive Delivery — Plannen van de gefaseerde levering via tranches
  4. Deliver the Capabilities — Uitvoeren van projecten die de benodigde capabilities opleveren
  5. Embed the Outcomes — Verankeren van de resultaten in de organisatie
  6. Evaluate New Information — Continu evalueren van nieuwe informatie en aanpassen
  7. Close the Programme — Formele afsluiting met evaluatie van batenrealisatie

7.4 Vergelijking normatieve kaders

Aspect

MSP

ISO 21503

PMI Standard

Oorsprong

AXELOS/PeopleCert (UK)

ISO (internationaal)

PMI (VS)

Karakter

Methodiek (prescriptief)

Guidance (principieel)

Standaard (beschrijvend)

Assurance-component

Expliciet thema

Governance-activiteit

QA binnen life cycle

Benefits management

Zeer uitgebreid

Beschreven

Performance domain

Geschikt als norm

Ja, bij adoptie

Ja, universeel

Ja, bij adoptie

Certificeringen

MSP Foundation/Practitioner

Niet certificeerbaar

PgMP

7.5 Maturity model voor QA-assessment

Niveau

Classificatie

Kenmerken

1

Initieel (Ad hoc)

Geen formeel QA-proces; succes afhankelijk van individuele competentie

2

Herhaalbaar

Basisprocessen aanwezig maar niet consistent toegepast; beperkte governance

3

Gedefinieerd

Gestandaardiseerde methoden; PMO aanwezig; risicomanagement geïntegreerd

4

Beheerst

KPI's; portfoliomanagement; actieve benefits tracking; CI/CD bij Agile projecten

5

Geoptimaliseerd

Organisatiebreed leren; predictive analytics; integratie met strategie-executie

Praktijkinzicht: Gebruik de standaard die de organisatie heeft geadopteerd als primair toetsingskader. Heeft de organisatie geen expliciete methodiek, dan biedt ISO 21503 het meest neutrale en breed erkende referentiekader.

8. Agile als Projectmethodiek en de Impact op QA

Agile-projecten zijn circa drie keer succesvoller dan watervalprojecten (Standish Group CHAOS Report). Deze verschuiving heeft verstrekkende gevolgen voor hoe quality assurance wordt ingericht, uitgevoerd en beoordeeld.

8.1 Waterval versus Agile

Dimensie

Waterval

Agile

Projectstructuur

Lineair, sequentieel; elke fase wordt afgerond voor de volgende

Iteratief, cyclisch; korte sprints van 2-4 weken

Kwaliteitsborging

QA in aparte testfase na ontwikkeling

QA geïntegreerd in elke sprint; continue testing

Feedbackcyclus

Feedback aan het einde

Continue feedback via sprint reviews en retrospectives

Stakeholder-betrokkenheid

Beperkt tot begin (eisen) en einde (oplevering)

Actieve, doorlopende betrokkenheid per iteratie

Wijzigingsbeheer

Wijzigingen zijn kostbaar en ontmoedigd

Wijzigingen worden verwelkomd als onderdeel van het adaptieve proces

Levering

Pas een werkend product aan het einde

Werkende incrementen na elke sprint; vroege waarderealisatie

8.2 SAFe built-in quality — vijf dimensies

  • Flow: Optimaliseren van de waardestroom om bottlenecks te elimineren
  • Architectuur- en ontwerpkwaliteit: Flexibel, onderhoudbaar en schaalbaar ontwerp
  • Codekwaliteit: Code-reviews, pair programming en geautomatiseerde testing
  • Systeemkwaliteit: Testen van het gehele systeem inclusief integraties
  • Releasekwaliteit: Releases stabiel, volledig en gereed voor productie

8.3 Governance-vergelijking waterval versus Agile

Governance-aspect

Waterval

Agile / SAFe

Beslismomenten

Fase-gates / gateway reviews

Sprint reviews, PI planning, System Demos

Kwaliteitspoorten

Formele QA-fase na ontwikkeling

Continue testing, Definition of Done per sprint

Voortgangsrapportage

Statusrapporten per fase

Burndown charts, velocity metrics, dashboards

Risicozichtbaarheid

Risicoregister, periodieke updates

Sprint retrospectives, PI risk boards

Stakeholder-feedback

Begin en einde

Elke sprint (2-4 weken)

Auditaanpak

Formele fase-reviews

Agile audits in sprints, real-time feedback

Benefits tracking

Post-implementatie review

Incrementeel; meetbaar na elke release

8.4 Aanbevelingen voor internal audit bij Agile

  1. Investeer in training van het auditteam in Agile principes en praktijken
  2. Stel een divers team samen met kennis van Agile methodieken en diepgaande sector-expertise
  3. Ontwikkel een flexibel auditplan met een prioriteitenlijst in plaats van een rigide 12-maandenplan
  4. Bouw een nauwere relatie op met de audit-opdrachtgever om evolving needs te begrijpen
  5. Benut data-analytics en technologie om de efficiëntie van audits te verhogen
  6. Stel KPI's vast om de effectiviteit van Agile audits te meten en bij te sturen

Praktijkinzicht: Maak vooraf afspraken over QA-momenten die passen bij het Agile ritme, bijvoorbeeld na elke derde of vierde sprint, of gekoppeld aan PI-boundaries bij SAFe.

9. Praktische Handvatten voor Auditors

9.1 QA-checklist projectreview

A. Governance en besturing

  • Is er een actueel en goedgekeurd projectcharter met duidelijke doelstellingen?
  • Zijn de rollen en verantwoordelijkheden (RACI) eenduidig vastgelegd en gecommuniceerd?
  • Functioneert de stuurgroep effectief: vergaderfrequentie, besluitvorming, aanwezigheid?
  • Zijn escalatieroutes gedefinieerd en worden deze in de praktijk gebruikt?

B. Businesscase en benefits

  • Is de businesscase gebaseerd op realistische aannames en extern gevalideerd?
  • Zijn benefits SMART gedefinieerd met duidelijke eigenaren en meetmomenten?
  • Wordt de businesscase periodiek herijkt op basis van voortschrijdend inzicht?
  • Is er een mechanisme voor post-implementatie benefits tracking?

C. Risicomanagement

  • Is er een actueel risicoregister met eigenaren, mitigerende maatregelen en deadlines?
  • Zijn de belangrijkste risico's geëscaleerd naar de stuurgroep met concrete actievoorstellen?
  • Is er adequate contingency in budget en planning voor geïdentificeerde risico's?

D. Planning en voortgang

  • Is de planning gebaseerd op een gedetailleerde Work Breakdown Structure?
  • Worden voortgangsrapportages tijdig en accuraat opgeleverd?
  • Is er een formeel change management-proces voor scope-wijzigingen?

E. Kwaliteit en oplevering

  • Is er een kwaliteitsplan met gedefinieerde acceptatiecriteria?
  • Zijn testplannen opgesteld en worden testresultaten systematisch vastgelegd?
  • Worden lessons learned systematisch vastgelegd en gedeeld?

F. Aanvullend bij Agile projecten

  • Hanteert het team een heldere Definition of Done die kwaliteitscriteria bevat?
  • Worden sprint reviews daadwerkelijk gebruikt om feedback van stakeholders te verwerken?
  • Wordt technische schuld bewust gemanaged?

9.2 Rapportagevorm en communicatie

  • Gebruik een RAG-status (Rood-Amber-Groen) dashboard als eerste pagina van elke rapportage
  • Beperk bevindingen tot vijf tot zeven meest materieel significante observaties
  • Formuleer elke bevinding met een duidelijke implicatie en concrete, uitvoerbare aanbeveling
  • Bespreek concept-bevindingen altijd eerst met het projectteam; plan vooruit, want afstemmen kost tijd

Praktijktip: Overweeg het gebruik van een one-page QA-dashboard dat in een oogopslag de status toont van governance, businesscase, risico's, planning, kwaliteit en stakeholders.

10. Handvatten voor Bestuurders en Directie

10.1 QA als strategisch sturingsinstrument

Projectfalen heeft directe financiële en strategische consequenties. Voor bestuurders en directie is projectgovernance geen technisch detail, maar een kernverantwoordelijkheid die raakt aan waardecreatie, reputatie en het vertrouwen van stakeholders.

Verantwoordelijkheden van bestuurders en directie bij projectgovernance:

  • Financiële oversight: Waarborgen dat projecten binnen budget verlopen en financiële risico's adequaat worden beheerd
  • Investeringsbeslissingen: Beoordelen en goedkeuren van investeringsmogelijkheden inclusief de potentiële return on investment
  • Strategische richting: Vaststellen van de visie, missie en waarden als kompas voor alle projectinvesteringen
  • Tone at the top: Bevorderen van een cultuur van escalatie, transparantie en realistische rapportage
  • Portfolio-optimalisatie: Handhaven van een gebalanceerd portfolio
  • Accountability: Verantwoordelijk houden van het management voor het implementeren van beleid

10.2 Kritische vragen voor bestuurders en directie

Strategische vragen

  • Past dit project of programma nog steeds bij onze strategische prioriteiten?
  • Als we vandaag opnieuw zouden beginnen, zouden we dezelfde keuzes maken?
  • Wie is de eigenaar van de benefits en hoe wordt hij of zij afgerekend op de realisatie?

Governance-vragen

  • Beschikt de stuurgroep over de juiste samenstelling, mandaat en tijdsbesteding?
  • Zijn er escalaties geweest en zo ja, zijn deze adequaat afgehandeld?
  • Welke informatie bereikt mij niet via de reguliere rapportagelijnen?

Risicogerichte vragen

  • Wat zijn de drie grootste risico's en wat doen we eraan?
  • Welke aannames in de businesscase zijn het kwetsbaarst en wat is het effect als ze niet uitkomen?
  • Is er een realistisch fallback-scenario als het project onhoudbaar blijkt?

Aanvullende vragen (Agile en programmamanagement)

  • Worden Agile-principes zoals built-in quality en continue feedback effectief toegepast?
  • Is bij programma's het MSP-assurancekader ingericht conform het Three Lines of Defence-model?
  • Is de organisatie gereed om de verandering te absorberen en te bestendigen?
  • Worden lessons learned daadwerkelijk geïntegreerd in volgende projectfasen?

Essentieel inzicht: De meest waardevolle vraag die een bestuurder kan stellen is niet 'hoe staat het ervoor?' maar 'wat weet ik niet?' QA door Internal Audit helpt juist bij het blootleggen van blind spots in de informatievoorziening.

10.3 QA op portfolioniveau

Op portfolioniveau kan Internal Audit beoordelen of de resource-allocatie in lijn is met de strategische prioriteiten, of er voldoende zicht is op cross-project afhankelijkheden en cumulatieve risico's, en of de portfolio-governance voorziet in periodieke herijking.

Praktijkinzicht: Een jaarlijkse portfolio-review door Internal Audit, gebaseerd op geaggregeerde bevindingen uit individuele QA-engagements, levert vaak meer organisatiebrede verbeterkracht op dan tien losse projectreviews.

11. Casussen en Geleerde Lessen

11.1 Publieke sector

In Nederland concludeerde de Commissie-Elias (Tweede Kamer, vergaderjaar 2013-2014, 33 326, nr. 5) dat ICT-projecten bij de rijksoverheid structureel te kampen hadden met onrealistische planningen, gebrekkige governance en onvoldoende onafhankelijke toetsing. In het Verenigd Koninkrijk heeft het National Audit Office herhaaldelijk gewezen op het belang van onafhankelijke assurance (HC 960, Session 2019-2021; HC 554, Session 2023-24).

Kernlessen uit de publieke sector:

  • Onafhankelijke QA moet verankerd zijn in het governance-framework vanaf de initiatiefase
  • De SRO moet persoonlijk verantwoordelijk worden gehouden voor het aanvragen en opvolgen van QA-bevindingen
  • Gateway reviews op natuurlijke beslismomenten zijn effectiever dan periodieke audits op willekeurige momenten

11.2 Casus: kernbankensysteem bij een grote bank

Een grote Nederlandse bank startte een programma voor de vervanging van het kernbankensysteem, met een initieel budget van 400 miljoen euro en een doorlooptijd van vier jaar. Internal Audit werd pas in het tweede jaar betrokken, nadat de stuurgroep signaleerde dat de voortgangsrapportages tegenstrijdige informatie bevatten.

Bij de eerste QA-review constateerde Internal Audit: de businesscase was gebaseerd op empirisch niet-onderbouwde migratiescenario's; de programmagovernance kende drie niet-afgestemde rapportagelijnen; en er was geen benefits owner op bestuursniveau benoemd. Na herinrichting werd het programma achttien maanden later opgeleverd dan gepland, maar bleef de businesscase positief.

Les: Vroege betrokkenheid van Internal Audit had de governance-problemen eerder blootgelegd.

11.3 Casus: digitaal loket bij een overheidsinstelling

Een grote overheidsinstelling initieerde een programma voor de ontwikkeling van een digitaal burgerloket: negen deelprojecten, vier leveranciers, totaalbudget 85 miljoen euro. Internal Audit werd vanaf de start betrokken.

Na het derde kwartaal signaleerde Internal Audit dat twee deelprojecten technisch onverenigbare oplossingen aan het bouwen waren. De vroegtijdige signalering bespaarde naar schatting vier tot zes maanden herwerk. De CIO benadrukte: "De projectleiders wisten het wel, maar durfden het niet te escaleren omdat ze bang waren voor de consequenties."

Les: QA door Internal Audit doorbreekt informatiesilo's die binnen de projectorganisatie blijven bestaan.

11.4 Casus: ERP-implementatie bij een productiebedrijf

Een internationaal productiebedrijf rolde een nieuw ERP-systeem uit over veertien locaties in zes landen. Halverwege bleek de change management-component structureel onderbelicht: medewerkers vielen terug op schaduwadministraties in Excel. Na toevoeging van een dedicated change management-workstream was de adoptie bij de volgende uitrolfase meetbaar hoger.

Les: Technisch succes is geen garantie voor programmasucces. QA moet nadrukkelijk ook de menselijke kant van verandering toetsen.

11.5 Universele lessen

Les

Implicatie voor QA-praktijk

Vroeg starten levert het meeste rendement op

Richt QA in vanaf de businesscase-fase; niet wachten op uitvoeringsproblemen

Onafhankelijkheid is niet onderhandelbaar

Directe rapportagelijn naar bestuur/auditcomité; geen filtering door projectmanagement

Benefits realisation verdient structurele aandacht

QA moet doorlopen na go-live; benefits worden vaak pas maanden na oplevering gerealiseerd

Competentie bepaalt geloofwaardigheid

Investeer in PM-kennis bij auditors; gebruik desgewenst gastauditors

Cultuur is bepalend voor effectiviteit

In een open organisatie is QA veel effectiever dan in een blame-cultuur

12. Conclusie en Aanbevelingen

12.1 Synthese

Quality Assurance door Internal Audit bij projecten en programma's is een discipline die, mits goed uitgevoerd, substantiële waarde toevoegt aan de organisatie. De waarde manifesteert zich op drie niveaus: op projectniveau door het vroegtijdig signaleren van risico's; op portfolioniveau door het identificeren van structurele patronen; en op organisatieniveau door het versterken van de cultuur van verantwoording en transparantie.

De opkomst van Agile als dominante projectmethodiek vereist een fundamentele heroriëntatie van kwaliteitsborging: van een afzonderlijke fase naar een doorlopende, ingebouwde activiteit. Het Three Lines Model, MSP en de GIAS 2024 bieden het professionele kader. Maar bovenal is het de cultuur van een organisatie — de bereidheid om te escaleren, om realistische rapportages te eisen, om strategische alignment continu te toetsen — die het verschil maakt.

12.2 Aanbevelingen voor Internal Audit

  1. Neem project- en programma-QA expliciet op in het audit universe met jaarlijkse risicoanalyse
  2. Differentieer de QA-aanpak: projectgerichte benadering (scope-planning-budget) versus programmabendering (governance-benefits-alignment)
  3. Combineer formele assurance-momenten bij gates met informele advisory en monitoring
  4. Investeer structureel in projectmanagementkennis, inclusief Agile frameworks (Scrum, SAFe) en MSP
  5. Adopteer Agile audit-methoden voor Agile projecten; gebruik MSP-assurancekader bij programma's
  6. Rapporteer kort, visueel en actiegericht: dashboards en RAG-statussen; maximaal zeven bevindingen
  7. Aggregeer bevindingen tot organisatiebrede inzichten; deel periodieke meta-analyse met senior management
  8. Verschuif de focus van delivery tracking naar outcome assurance; zet adoptierisico op de agenda

12.3 Aanbevelingen voor bestuurders en directie

  1. Benut QA door Internal Audit actief als strategisch sturingsinstrument
  2. Richt een formeel opvolgingsproces in voor QA-aanbevelingen met eigenaren en deadlines
  3. Stel de juiste vragen: niet alleen 'hoe staat het ervoor?' maar 'wat weten we niet?'
  4. Borg eigenaarschap van benefits op bestuursniveau; benefits realisatie is een lijnverantwoordelijkheid
  5. Eis robuuste businesscases met kwantitatieve benefits en onafhankelijke validatie
  6. Begrijp de verschillen in financieel toezicht tussen waterval- en Agile-projecten
  7. Bevorder een cultuur van transparantie en open escalatie
  8. Onderschrijf Agile adoptie en creëer de culturele voorwaarden: psychologische veiligheid en continue leerbereidheid

Slotgedachte: Een relatief bescheiden investering in onafhankelijke QA — doorgaans een fractie van het projectbudget — kan het verschil maken tussen een succesvol initiatief en een kostbare mislukking. De vraag is niet of een organisatie zich QA kan veroorloven, maar of zij zich kan veroorloven het niet te doen. Het eindproduct van succesvolle en effectieve project assurance is niet het aantal bevindingen dat wordt opgeleverd, maar de realisatie van projectdoelstellingen.

Bijlage A: Overzicht relevante standaarden en raamwerken

Raamwerk

Uitgever

Relevantie voor QA

PRINCE2

AXELOS / PeopleCert

Procesgebaseerd projectmanagement; ingebouwde quality review-technieken

PMBOK (7e ed.)

PMI

Principiëgebaseerd raamwerk; breed gedragen standaard

MSP (5e ed.)

AXELOS / PeopleCert

Programmamanagement; benefits management; expliciet assurance-thema

COBIT 2019

ISACA

IT-governance raamwerk; relevant voor digitale transformatieprogramma's

Agile / SAFe

Scaled Agile Inc.

Iteratieve methoden; built-in quality; aangepaste QA-benadering

ISO 21503:2022

ISO

Internationale standaard voor programmamanagement; programme assurance

PMI Standard for Program Management (5e ed.)

PMI

Program QA; governance en benefits management

GIAS (2024)

The Institute of Internal Auditors

Normatief kader voor IA; eisen aan assurance- en adviesdiensten

Bijlage B: Literatuurverwijzingen

Flyvbjerg, B. (2021). Top Ten Behavioral Biases in Project Management. Project Management Journal, 52(6), 531-546. DOI: 10.1177/87569728211049046.

Kahneman, D. & Tversky, A. (1979). Prospect Theory. Econometrica, 47(2), 263-291.

Flyvbjerg, B. (Ed.) (2017). The Oxford Handbook of Megaproject Management. Oxford University Press. ISBN: 978-0-19-873224-2.

Janis, I.L. (1972). Victims of Groupthink. Houghton Mifflin. ISBN: 978-0-395-14002-4.

Arkes, H.R. & Blumer, C. (1985). The Psychology of Sunk Cost. Organizational Behavior and Human Decision Processes, 35(1), 124-140.

Commissie-Elias (2014). Eindrapport: Grip op ICT. Tweede Kamer, vergaderjaar 2013-2014, 33 326, nr. 5.

Flyvbjerg, B. & Bester, D.W. (2021). The Cost-Benefit Fallacy. Journal of Benefit-Cost Analysis, 12(3), 395-419.

UK National Audit Office (2020). Lessons learned from major programmes. HC 960, Session 2019-2021.

UK National Audit Office (2024). Lessons learned: Delivering value from government investment in major projects. HC 554, Session 2023-24.

ISO (2022). ISO 21503:2022 Guidance on programme management.

PMI (2024). The Standard for Program Management, 5th Edition. ISBN: 978-1-62825-814-1.

PMI (2021). PMBOK Guide, 7th Edition. ISBN: 978-1-62825-664-2.

AXELOS (2020). Managing Successful Programmes (MSP), 5th Edition. ISBN: 978-0-11-331676-2.

ISACA (2018). COBIT 2019 Framework. ISBN: 978-1-60420-764-4.

IIA (2024). Global Internal Audit Standards (GIAS). https://www.theiia.org.

Standish Group (2020). CHAOS Report 2020.

Chartered IIA (2024). Auditing What Matters: Patterns from Recent Project Assurance Reviews.

IIA (2020). The Three Lines Model. https://www.theiia.org.

Terug naar Kennis