RwC-methode — Robert Wempe Consultancy

Het probleem

Beleid bestaat. Beheersing niet.

Gemeenten werken hard aan BIO 2.0 en NIS2. De documenten kloppen. De praktijk niet. Dat is geen uitzondering — dat is de regel.

Geen werkende inrichting

Maatregelen zijn beschreven in documenten, maar niet ingericht in de processen. Bij een audit of incident blijkt wat er ontbreekt.

Geen eigenaarschap in de lijn

Informatiebeveiliging is belegd bij één persoon of afdeling. De eerste lijn voelt geen verantwoordelijkheid. Naleving is persoonsafhankelijk.

Geen stuurinformatie

Het bestuur heeft geen zicht op de werkelijke beheersing. Rapportages zijn er, maar ze zeggen niets over het gedrag in de praktijk.

De RwC-methode

Drie fasen naar aantoonbare beheersing

Geen rapport. Geen advies op afstand. Een gestandaardiseerde aanpak die resulteert in een werkende inrichting.

Fase 1

Opzet en bestaan

Nulmeting op basis van VNG/IBD, BIO 2.0, ITGC en COBIT 2019. Procedure en procesplan vastgesteld. Governance ingericht. Groen licht voor livegang.

Fase 2

Van procedure naar werkwijze

Standaard Werkwijze per processtap ontwikkeld met het kernteam. Ingericht in TOPdesk. Training in gemixte groepen. Livegang volledige procesinrichting.

Fase 3

Doen en sturen

Hele organisatie werkt conform de Standaard Werkwijze. KGI-bewaking actief. Maandrapportage voor proceseigenaar. PDCA-cyclus draait. Eerste ICV aantoonbaar.

Aanpak

Wat de RwC-methode onderscheidt

De meeste organisaties redeneren van systeem naar dienst. De RwC-methode keert die logica om.

Van dienst naar systeem — niet andersom

Eerst definiëren we wat er geleverd wordt. Dan beschrijven we de processen. Dan beleggen we de governance. Dan richten we de CMDB in. Technologie volgt proces.

Vier dingen tegelijk ingericht

Diensten, processen, governance en CMDB worden parallel ingericht — niet sequentieel. Dat is waarom het in drie maanden werkt.

Compliance-by-design

Beheersmaatregelen worden ingebouwd in processen en TOPdesk — niet achteraf als laag erover. Naleving is structureel, niet seizoensgebonden.

Scheiding van sturing en uitvoering

Het bestuur stuurt op gedrag en uitkomsten. De uitvoering ligt in de lijn. Verantwoordelijkheid is helder en aantoonbaar belegd.

Sturing op gedrag via KGI's

Kritische Gedragsindicatoren (KGI's) geven direct inzicht in of het werkt. Geen dikke rapportages — stuurinformatie die het bestuur daadwerkelijk gebruikt.

Three Lines — governance zonder ruis

Rollen, proceseigenaarschap en PDCA-scheiding worden ingericht conform het Three Lines-model. Duidelijk wie stuurt, wie uitvoert, wie controleert.

Resultaat

Wat u concreet bereikt

Na drie maanden is de inrichting live. Niet als document — als werkende praktijk.

Aantoonbare beheersing van BIO 2.0 en NIS2

Eigenaarschap belegd in de eerste lijn

Directe stuurinformatie voor het bestuur

Werkende inrichting — geen projectresidu

Plan een strategiegesprek

Bewijs

Bewezen in de praktijk

Geen pilots. Geen proeftuinen. Eén gemeente, één methode, drie aantoonbare fasen.

Gemeente · middelgroot · INC-proces · Fase 1

Opzet en bestaan
Nulmeting op basis van VNG/IBD, BIO 2.0, ITGC en COBIT 2019. Procedure en procesplan vastgesteld door stuurgroep. Groen licht voor livegang INC.1.

Uitsnede procescontrol-tabel

OnderdeelStatus

Nulmeting afgerond✓

Procesplan vastgesteld✓

Groen licht stuurgroep✓

Gemeente · middelgroot · INC-proces · Fase 2

Van procedure naar werkwijze
SWW per processtap ontwikkeld met kernteam. Ingericht in TOPdesk. Training gemixte groepen. Livegang INC.2–7.

Uitsnede spelregelkaart

AfspraakEigenaar

Melden binnen 4uMedewerker

Beoordelen binnen 1dTeamleider

Rapportage maandelijksProceseigenaar

Gemeente · middelgroot · INC-proces · Fase 3

Doen en sturen
Hele organisatie werkt conform SWW. KGI-bewaking actief. Maandrapportage voor proceseigenaar. Eerste ICV afgerond.

Uitsnede KGI-tabel

IndicatorNorm

% meldingen op tijd≥ 95%

Openstaand > 5 dgn≤ 3

Escalaties per kwartaal≤ 2

Van reactief naar bestuurbaar