Binnen it-servicemanagement of it-beheer wordt er veel geëvalueerd. De beheerorganisatie moet immers zo efficiënt en effectief mogelijk te werk gaan. Organisaties die hier geen duidelijk proces voor hebben ingericht, willen nog wel eens op basis van gevoel een besluit nemen, zonder dat ze die keuze kunnen onderbouwen en weten of het een goede beslissing is. Het gaat dan bijvoorbeeld over hoe responsetijden verbeterd kunnen worden of hoe bepaalde incidenten in de toekomst voorkomen kunnen worden.
Op basis van gevoel lijkt het soms heel logisch om een bepaald besluit te nemen. Maar als je niet aan kunt tonen wat het gewenste en uiteindelijke resultaat is, kan het gevolg zijn dat er besluit op besluit wordt genomen, zonder dat daarmee richting een vastgesteld doel wordt gewerkt. In zo’n situatie weet je eigenlijk niet precies meer waarom je iets deed of een proces hebt aangepast en kan het dus zijn dat je je tijd aan de verkeerde zaken besteedt. Als beheerorganisatie wil je dit voorkomen en naar onze mening kan een certificering organisaties hierbij helpen.
Certificering en frameworks
Er zijn natuurlijk verschillende soorten certificeringen, maar binnen it-beheer geldt ISO 20000-1 als de wereldwijde standaard voor it-servicemanagement. Wil je de certificering kunnen voeren, dan moet je als organisatie aan bepaalde eisen voldoen.
Een andere standaard die binnen de markt breed bekend is, is ITIL. Veel organisaties werken met ITIL voor de inrichting voor hun beheeractiviteiten. ITIL is een framework waarin een aantal best practices zijn opgenomen die je als organisatie kunt gebruiken om te bepalen hoe je je beheerorganisatie wilt inrichten. Het verschil tussen ISO 20000-1 en ITIL is dat ISO een norm is waarin wordt voorgeschreven hoe het beheer uitgevoerd moet worden, dus welke activiteiten je in lijn moet hebben om aan de normering te voldoen. ISO zegt alleen niet hóe je het moet doen, daar heb je onder andere ITIL voor. Beiden kunnen binnen een beheerorganisatie naast elkaar worden gebruikt en elkaar versterken.
ISO-certificering
Als je als organisatie volgens de ISO-certificering werkt, word je gedwongen om periodiek kritisch naar je eigen organisatie te kijken: zeg wat je doet, doe wat je zegt en toon aan wat je doet. Als deze onderwerpen niet met elkaar in overeenstemming zijn, moet gekeken worden waardoor dat komt. Hoe kun je zaken verbeteren? En als je iets verbetert, gaat het dan ook echt beter? Het doel van een certificering is dan ook dat je continu verbeteringen herkent en in gang zet, dus telkens efficiënter en effectiever werkt. Die verbeteringen wil je ook makkelijk aantoonbaar maken voor de interne organisatie. Daar zit naar onze mening vooral de kracht van werken volgens de ISO-norm. Het dus niet alleen goed doen volgens de standaarden, maar ervoor zorgen dat de kwaliteitscultuur binnen de organisatie gestimuleerd blijft.
Daarnaast is het voordeel van een ISO certificering dat je niet zelf roept hoe goed het it-beheer wordt uitgevoerd, maar je door een externe partij bent getoetst en voldoet aan de eisen. En dat heeft veel meer waarde. Wanneer je gecertificeerd bent, vinden er regelmatig interne en externe audits plaats en wordt er kritisch meegekeken. Je hebt als organisatie dus een goede stok achter de deur. Tevens bereik je hiermee dat een ieder dezelfde ‘taal’ spreekt.
Het mechanisme houdt een organisatie dus scherp en het biedt minder mogelijkheden om zaken te negeren die vanuit servicemanagement belangrijk worden geacht. Er wordt bij een certificering een stuk vrijblijvendheid ingeleverd, maar met als doel dat er kritisch naar de beheerorganisatie wordt gekeken en processen daardoor verbeteren.
Innovatie
Wanneer organisaties een tijdje volgens de ISO-normering werken, merken ze vaak dat het zijn vruchten afwerpt. Verbeterpunten worden opgepakt en er is een continue kwaliteitsverbetering te zien. Het beheerproces gaat efficiënter lopen en er wordt doorontwikkeld. Zo kunnen kpi’s verschuiven en wordt de aandacht op het beheerproces gedetailleerder. Maar de uitdaging blijft om de focus op het volledige proces te houden en dit in stand te houden.
Op dit moment zijn nog niet heel veel bedrijven in Nederland ISO 20000-1 gecertificeerd. Het is uiteraard geen vereiste, bedrijven kunnen ook zonder certificering kritisch naar zichzelf kijken, maar door het ISO-certificaat wordt het een harde leidraad om processen juist in te richten en word je gedwongen kritisch naar je beheerorganisatie te blijven kijken. Naar onze mening zouden bedrijven die fatsoenlijk beheer uitvoeren en die innovatie nastreven, dan ook volgens ISO 20000-1 gecertificeerd moeten zijn. Het biedt namelijk een garantie voor een procesmatige aanpak van en waarborg voor de continue verbetering van de kwalitatieve dienstverlening.
Nico Nijenhuis en Roland Schröer, Info Support
Vooropgesteld dat een ISO-certificering organisaties beslist kan helpen bij het verbeteren van hun prestatie (wat een relatieve uitspraak is), blijf natuurlijk de vraag of dat efficiënt gebeurt.
Zoals zo vaak bij ISO-normen gaat het in 20000 om een rule-based benadering. Dat is in de praktijk vaak een inefficiënte aanpak, omdat de rules (controls, eisen) die gehanteerd worden uit *practices* zijn afgeleid in plaats van uit *principles*. En die practices blijken in de praktijk een behoorlijke portie overlap te vertonen ten aanzien van de onderliggende principles.
De consequentie van die aanpak is dus dat je, door precies te doen wat er in die ISO-normen staat, meteen een partij inefficiëntie kado krijgt. Of dat gelijk staat aan *kwaliteit* is dan een vraag waar we nog wel eens een boom over op kunnen zetten.
Voor een verdieping van deze kwestie verwijs ik naar het Computable-artikel (http://bit.ly/comprule) over vergelijkbare normen in de zorg en de financiële sector.
Een cruciale rol in de geclaimde efficiëntie-verbetering o.b.v. ISO20000 is terug te voeren tot het begrip *proces*. Helaas blinkt de betreffende norm daar nou juist niet in uit: ISO200000 is volledig gebaseerd (ondanks hardnekkige ontkenningen van de ISO-commissie) op ITIL, en ITIL is nou eenmaal een framework van practices en niet van processen. De aanzet om met ISO20000 aan procesverbetering te doen wordt dus helaas gecompenseerd door het gegeven dat je ermee op een practice-koers wordt gezet. De claim dat ISO20000 een garantie biedt voor een procesmatige aanpak is dus volgens mij nogal misplaatst.
ISO20000 is inderdaad niet populair in Nederland. In een land als Spanje of Japan worden per jaar meer certificaten uitgereikt dan in Nederland in totaal ooit zijn gescoord. Het hoeft voor een Nederlandse organisatie overigens niet moeilijk te zijn om aan de eisen van ISO20000 (of ISO27001, of NEN7510, of COBIT) te voldoen, als je maar een goed procesmanagementsysteem hebt leren gebruiken. De praktijk bij steeds meer zorginstellingen en verzekeraars leert dat een degelijk procesmanagementsysteem een heel groot deel van de eisen al dekt, waarna de technische voorzieningen binnen dat managementsysteem kunnen worden aangebracht en geborgd.