Projectleider proces-, risico-, kwaliteits- en bedrijfscontinuïteitsmanagement

Dit ga je doen

Afdeling
Stap in de wereld van Informatiemanagement, ICT Service en Onderzoek (IISO), waar innovatie en samenwerking samenkomen! Ons dynamische team omvat twee krachtige teams: informatiemanagement (inclusief informatiebeveiliging, business intelligence en onderzoek) en ICT Service (beheer). Met meer dan 65 toegewijde medewerkers – inclusief externe experts – zetten we ons in voor het leveren van hoogwaardige diensten. Onder leiding van onze CIO en twee gepassioneerde teamleiders streven we naar succes en vooruitgang. Achter de schermen staat ons ondersteunende team klaar, met een mix van talenten waaronder een Adviseur Kwaliteit en Proces, CISO, deliverymanager en een financieel medewerker. Kortom, bij IISO krijg je niet alleen een baan, maar word je onderdeel van een bruisende gemeenschap die vooroploopt in de wereld van informatietechnologie en beveiliging!

Opdracht
Aanleiding
De gemeente Leidschendam‐Voorburg heeft een beleids- en implementatieplan vastgesteld voor de ontwikkeling van proces-, kwaliteits-, risico- en bedrijfscontinuïteitsmanagement. Dit plan beschrijft een organisatiebrede ontwikkelroute van volwassenheidsniveau 1 naar niveau 2 in de periode 2026–2027, als basis voor verdere doorgroei richting niveau 4 in 2029.

Voor de uitvoering van dit implementatieplan wordt een externe projectleider ingehuurd die verantwoordelijk is voor de regie, samenhang, voortgang en realisatie van de afgesproken resultaten.

Doel van de opdracht
Het realiseren van de in het beleids- en implementatieplan vastgestelde doelstellingen, resultaten en mijlpalen, met als eindresultaat:

• een aantoonbaar ingericht en werkend stelsel voor proces-, kwaliteits-, risico- en bedrijfscontinuïteitsmanagement op volwassenheidsniveau 2;
• borging van governance, rollen, werkwijzen en rapportagelijnen;
• voorbereiding van de organisatie op de volgende ontwikkelfase (volwassenheidsniveau 3).

De opdracht omvat de organisatiebrede implementatie van het beleids- en implementatieplan, waaronder:

1. Overkoepelende regie

• Opleveren en actueel houden van een projectplan, integrale planning en een vaste rapportagecyclus (incl. format) voor voortgang en risico’s;
• Opleveren van een integrale sturings- en samenhangaanpak waarin proces-, kwaliteits-, risico- en bedrijfscontinuïteitsmanagement in één werkingsmodel en jaarcyclus zijn uitgewerkt;
• Opleveren van afstemmings- en beslisnotities (incl. impact op scope/planning) t.b.v. aansluiting op NIS2/BIO, concerncontrol, directie en relevante gremia;
• Opleveren van besluitvormingsstukken en periodieke managementrapportages voor CMT en directie, gekoppeld aan voortgang op deliverables en mijlpalen.

1. Implementatie procesmanagement

• Beschrijving van kroonjuwelen (kritieke processen);
• Zorgt voor oplevering en bestuurlijke/ambtelijke vaststelling van procesbeschrijvingen samen met proceseigenaren en procesbeheerders (incl. reviewronde en verwerking feedback);
• Inrichten van RASCI per proces;
• Vastleggen van KPI’s en PDCA‐afspraken;
• Borging van centrale vindbaarheid van procesdocumentatie.

1. Implementatie kwaliteitsmanagement

• Vaststellen van basis kwaliteitscriteria per kritiek proces;
• Inrichten van een eenvoudige kwaliteitscyclus;
• Borgen van kwaliteitsafspraken binnen teams;
• Levert een stuurset (KPI’s, minimale rapportage en overlegmomenten) op waarmee leidinggevenden aantoonbaar op kwaliteit kunnen sturen.

1. Implementatie risicomanagement

• Vastleggen van procesrisico’s en beheersmaatregelen;
• Inrichten en toepassen van het risicoacceptatieproces;
• Opstellen van een eerste organisatiebreed risicoregister;
• Integratie met de P&C‐cyclus.

1. Implementatie bedrijfscontinuïteitsmanagement

• Herijking van kritieke processen (“kroonjuwelen”);
• Zorgt voor uitvoering en oplevering van Business Impact Analyses (BIA’s) voor de geselecteerde kritieke processen, inclusief vastlegging van aannames, RTO/RPO en prioritering;
• Opleveren van eerste bedrijfscontinuïteitsplannen (BCP’s);
• Ontwerpen en plannen van oefeningen (bijv. walkthrough);
• Inrichten van incidentregistratie.

1. Regionale afstemming en weerbaarheid

• De projectleider draagt zorg voor actieve afstemming en aansluiting bij regionale werkgroepen en samenwerkingsverbanden op het gebied van weerbaarheid, in het bijzonder waar deze verband houden met:
• de Cyberbeveiligingswet (implementatie NIS2);
• bedrijfscontinuïteit, crisisbeheersing en organisatie‐weerbaarheid;
• regionale samenwerking tussen gemeenten, veiligheidsregio en ketenpartners.

De projectleider:

• Borgt dat relevante uitkomsten uit regionale werkgroepen Weerbaarheid worden vastgelegd, vertaald naar de gemeentelijke context en verwerkt in deliverables (kaders, werkwijzen en plannen), met periodieke terugkoppeling aan opdrachtgever;
• zorgt voor inhoudelijke afstemming tussen regionale afspraken en het gemeentelijke implementatietraject voor proces‐, kwaliteits‐, risico‐ en bedrijfscontinuïteitsmanagement;
• vertaalt relevante regionale kaders, good practices en afspraken naar de gemeentelijke context;
• borgt dat regionale verplichtingen en ontwikkelingen worden meegenomen in de inrichting van processen, governance en bedrijfscontinuïteitsplannen;
• De projectleider heeft hierbij geen bestuurlijk mandaat, maar vervult een coördinerende en verbindende rol, waarbij terugkoppeling plaatsvindt aan de ambtelijk opdrachtgever en het programma NIS2/BIO en de projectleider weerbaarheid van de gemeente.

Verwachte deliverables
De opdrachtnemer levert minimaal op (in overeengekomen formats) en toont oplevering aan met bewijsstukken.

 Per deliverable gelden onderstaande minimale acceptatiecriteria (Definition of Done):

• Goedgekeurd projectplan en integrale planning;
• Bevat scope, fasering, mijlpalen, afhankelijkheden, risico’s, governance/overlegstructuur, communicatie en aanpak overdracht/borging;
• Planning bevat minimaal: deliverables, planning per kwartaal, benodigde inzet/rollen vanuit de gemeente en besluitvormingsmomenten;
• Geaccepteerd (schriftelijk) door ambtelijk opdrachtgever.

Werkend tactisch werkingsmodel en jaarcyclus:

• Beschrijft: doel, rollen (proceseigenaar/-beheerder, kwaliteitsfunctionaris, risk owner), overleg- en rapportagelijnen, PDCA-cyclus en escalatie;
• Bevat een kalender/jaarcyclus met minimaal: procesreviews, kwaliteitsreviews, risico-updates en BCM-oefeningen;
• Vastgelegd in een beslisnotitie en vastgesteld door opdrachtgever (en waar nodig directie/CMT);
• Vastgesteld RASCI-model (per proces);
• Voor elk opgeleverd proces is een RASCI ingevuld met naam/functie per rol;
• RASCI’s zijn afgestemd met proceseigenaar en geregistreerd op de centrale vindplaats.

Beschreven kritieke processen inclusief KPI’s en PDCA-afspraken; aan het einde van de looptijd zijn circa 50 processen opgeleverd:

• Een ‘opgeleverd proces’ bevat minimaal: procesdoel, afbakening, proceseigenaar/-beheerder, processtappen (high level), input/output, ketenpartners (indien van toepassing), risico’s/maatregelen (verwijzing), KPI-set, reviewfrequentie en vindplaats;
• Per proces is een review/validatie uitgevoerd met proceseigenaar; akkoord is vastgelegd;
• Ingerichte basis voor kwaliteitsmanagement;
• Set basis kwaliteitscriteria per kritiek proces is vastgesteld en vastgelegd op de centrale vindplaats;
• Kwaliteitscyclus (minimaal: meten, bespreken, verbeteren, vastleggen) is beschreven en ingepland in de jaarcyclus;
• Stuurset voor leidinggevenden (KPI’s/rapportage/overleg) is opgeleverd.

Actueel risicoregister en toegepast risicoacceptatieproces:

• Risicoregister bevat minimaal: risico, oorzaak/gevolg, kans/impact, eigenaar, maatregelen, restrisico en status;
• Risicoacceptatieproces is beschreven (rollen, besluitvorming, drempels) en minimaal één keer toegepast en gedocumenteerd;
• Aansluiting met P&C-cyclus is beschreven (momenten/rapportages).

Eerste set BIA’s en BCP’s voor kritieke processen:

• BIA’s bevatten minimaal: impactcategorieën, prioritering, RTO/RPO, afhankelijkheden (mensen/middelen/ICT/derden) en aannames;
• BCP’s bevatten minimaal: triggers, responsorganisatie, scenario’s, herstelstappen, communicatie, contactlijsten en test-/oefenplan;
• Minimaal één oefening (bijv. walkthrough) is gepland en geëvalueerd; leerpunten zijn vastgelegd;
• Evaluatie volwassenheidsniveau 2 en implementatieplan voor fase 3;
• Evaluatierapport bevat: bereikte resultaten, openstaande punten, risico’s, lessons learned en borgingsadvies.

Fase-3 plan bevat: doelen, roadmap, benodigde randvoorwaarden en globale raming inzet: