ISO20000 en outsourcing
Met ISO 20000 kunnen IT-dienstverleners aantonen dat ze een goed bestuurde procesorganisatie hebben volgens een standaard die aansluit bij ITIL. Daarmee biedt de norm klanten een goed kader om eisen te stellen aan de besturing van de IT-dienstverlening door hun (toekomstige) leveranciers en biedt hij kansen aan IT-dienstverleners om de kwaliteit van hun dienstverlening objectief aan te tonen. Voorlopig is een ISO 20000-certificering voor veel organisaties een grote stap (zie kader ‘Hoe hoog ligt de lat?’). Daarom is het – voor zowel de klant als de leverancier – aan te bevelen om vóór een uitbesteding te onderzoeken wat de impact van een certificering is en of de randvoorwaarden voor een tijdige certificering aanwezig zijn of geschapen kunnen worden. Daarbij dient ook aandacht te zijn voor ‘softe’ factoren: Sluit de cultuur van de klant en de IT-dienstverlener aan op de uitgangspunten van ISO 20000 als het gaat om bijvoorbeeld professioneel gedrag (verantwoordelijkheid nemen, verbetering attitude) en transparante sturing?
Zolang ISO 20000 nog geen gemeengoed is, zullen de implementatiekosten significant zijn. Wanneer een verbetertraject ook zonder certificering zou plaatsvinden, is dat geen probleem. Wanneer certificering een doel op zich is, zullen de kosten in verhouding tot de baten hoog zijn – kosten die de klant uiteindelijk moet betalen (zie kader ‘Implementatieperikelen’). Daarom zal certificering in de komende jaren het eerst verlangd worden in situaties waarin het waarborgen van de kwaliteit van de IT-dienstverlening belangrijk is: wanneer de informatievoorziening een kritieke rol speelt in het primaire proces van de gebruikersorganisatie of waarin een certificering het gemakkelijker maakt aan regelgeving te voldoen (bijvoorbeeld SOx). In marktsegmenten waarin de prijs leidend is, zal ISO 20000 voorlopig geen rol spelen. Dit laat onverlet dat klanten hogere eisen kunnen stellen aan de besturing van de dienstverlening door IT-dienstverleners. Bij het opstellen van request for proposals (RFP’s) kan ISO 20000 – ook als geen certificering wordt vereist – een goede inspiratiebron zijn voor het stellen van eisen aan de besturing van de dienstverlening. Deze kunnen dan stap voor stap worden uitgebreid, geleid door de behoefte van de klant en kosten-batenafwegingen. Wellicht kan deze inspanning na verloop van tijd met een certificering worden bekroond. Door de hogere eisen aan de besturing van de dienstverlening en de toepassing van ISO 20000 voor kritieke diensten zullen commerciële IT-dienstverleners in de komende jaren ervaring met de norm opdoen. ISO 20000 zal zo stap voor stap gemeengoed worden en een vanzelfsprekende eis bij outsourcingsdeals.
Ir. Julius D. Duijts is Senior Business Consultant bij Getronics PinkRoccade (julius.duijts@getronics.com).
Certificering niet in alle omstandigheden
De afbakening van de dienst en de verantwoordelijkheden van de dienstverlener zijn bij een ISO 20000-certificering doorslaggevend. Een van de eisen is dat de dienstverlener managementcontrol heeft over alle in ISO 20000 gedefinieerde processen:
▪ kennis en besturing van de procesinput;
▪ kennis, gebruik en interpretatie van de procesoutput;
▪ definitie en meting van performance-indicatoren;
▪ definitie, meting en evaluatie van procesverbeteringen;
▪ objectief aantonen van verantwoordelijkheid (accountability) voor alle processen.
Dit betekent dat, wanneer bijvoorbeeld alleen een callcenter is geoutsourced, dit onderdeel van de IT-dienstverlening niet apart kan worden gecertificeerd. Ook is certificering in een aanbestedingsproces niet mogelijk, omdat alleen daadwerkelijk uitgevoerde dienstverlening kan worden gecertificeerd. Wel kan bij de aanbesteding een certificeringstermijn worden overeengekomen, eventueel met een boeteclausule. Ook kan de certificering van diensten voor andere klanten door de dienstverlener als referentie worden gebruikt. In toenemende mate zullen IT-dienstverleners hun dienstverlening standaardiseren en voor alle klanten conform ISO 20000 inrichten en laten certificeren. Dat maakt het mogelijk om gecertificeerd te zijn voor de opdracht wordt verstrekt. Dit biedt echter geen soelaas voor klantspecifieke dienstverlening of locaties buiten de scope van de bestaande ISO 20000-certificering.
ISO 20000 versus ISO 9001
In de tweede helft van de jaren negentig werd een ISO 9001-certificering door veel klanten van IT-dienstverleners gevraagd. Toch merkten zij dat ISO 9001 geen garantie is voor de kwaliteit van de geleverde IT-diensten. De BS 15000- en later de ISO 20000-norm bieden meer garanties doordat de eisen hoger en specifiek op IT-dienstverlening zijn gericht. Daarnaast is er bij het opstellen van de certificeringseisen rekening gehouden met ervaringen uit het verleden. Voor een ISO 9001-certificering is het voldoende een kwaliteitsmanagement-systeem te hebben, dat het bekend is en gebruikt wordt door de organisatie. Als zodanig is het een goed begin voor een ISO 20000-certificering. Daarbij moet echter ook worden aangetoond dat alle processen uit de norm effectief zijn en voortdurend worden geëvalueerd en verbeterd. Verder is certificering in ISO 20000 in tegenstelling tot ISO 9001 niet mogelijk voor een gedeelte van de dienstverlening (bijvoorbeeld de helpdesk). Daardoor wordt voorkomen dat het bereik van de certificering wordt beperkt tot een kleiner of minder relevant gedeelte, zoals dat bij ISO 9001 in het verleden wel gebeurde.
Hoe hoog ligt de lat?
ISO 20000 verlangt voor een certificering een hoge volwassenheid van de processen van de IT-dienstverlener. Veel tot dusver gebruikte volwassenheids-/maturitymodellen gebruiken een vijfpuntsschaal met meestal ongeveer de volgende betekenis, waarbij elk hoger niveau de lagere niveaus omvat:
1. het proces is niet als zodanig geïmplementeerd;
2. het proces is bezig geïmplementeerd te worden, er is bewustwording;
3. het proces is onder controle;
4. de processen zijn onderling en met hun omgeving geïntegreerd;
5. er is sprake van continue verbetering.
Op deze schaal ligt een ISO 20000-certificering op volwassenheidsniveau 5. De meeste IT-organisaties en IT-dienstverleners in Nederland hebben een aantal basisprocessen van ITIL, zoals het incident- en changemanagementproces, wel onder de knie en zitten op niveau 3-4. Voor processen als configuration- en releasemanagement geldt dit vaak in mindere mate en veel organisaties hebben processen als availability- en capacitymanagement niet geïmplementeerd. Omdat een ISO 20000-certificering over alle processen, hun integratie én hun continue verbetering gaat, ligt de lat voor de meeste organisaties dus behoorlijk hoog. Wat dat betreft loopt de norm wellicht vooruit op de steeds hogere eisen die aan de IT-dienstverlening worden gesteld. Niet ten onrechte, ICT speelt immers in steeds meer organisaties een steeds bedrijfskritischer rol.