Overslaan en naar de inhoud gaan

ISO20000 en outsourcing

Bij de uitbesteding van dienstverlening speelt het vertrouwen tussen klant en leverancier een grote rol. De behoefte aan objectief aantoonbare zekerheden over de kwaliteit en besturing van IT-dienstverlening neemt toe omdat IT steeds bedrijfskritischer wordt, maar ook omdat na uitbesteding van de ondersteunende IT-diensten in toenemende mate ook de bedrijfskritische IT wordt uitbesteed.
Maatschappij
Shutterstock
Shutterstock

Met ISO 20000 kunnen IT-dienstverleners aantonen dat ze een goed bestuurde procesorganisatie hebben volgens een standaard die aansluit bij ITIL.
Daarmee biedt de norm klanten een goed kader om eisen te stellen aan de besturing van de IT-dienstverlening door hun (toekomstige) leveranciers en biedt hij kansen aan IT-dienstverleners om de kwaliteit van hun dienstverlening objectief aan te tonen.
Voorlopig is een ISO 20000-certificering voor veel organisaties een grote stap (zie kader ‘Hoe hoog ligt de lat?’). Daarom is het – voor zowel de klant als de leverancier – aan te bevelen om vóór een uitbesteding te onderzoeken wat de impact van een certificering is en of de randvoorwaarden voor een tijdige certificering aanwezig zijn of geschapen kunnen worden. Daarbij dient ook aandacht te zijn voor ‘softe’ factoren: Sluit de cultuur van de klant en de IT-dienstverlener aan op de uitgangspunten van ISO 20000 als het gaat om bijvoorbeeld professioneel gedrag (verantwoordelijkheid nemen, verbetering attitude) en transparante sturing?
Zolang ISO 20000 nog geen gemeengoed is, zullen de implementatiekosten significant zijn. Wanneer een verbetertraject ook zonder certificering zou plaatsvinden, is dat geen probleem. Wanneer certificering een doel op zich is, zullen de kosten in verhouding tot de baten hoog zijn – kosten die de klant uiteindelijk moet betalen (zie kader ‘Implementatieperikelen’).
Daarom zal certificering in de komende jaren het eerst verlangd worden in situaties waarin het waarborgen van de kwaliteit van de IT-dienstverlening belangrijk is: wanneer de informatievoorziening een kritieke rol speelt in het primaire proces van de gebruikersorganisatie of waarin een certificering het gemakkelijker maakt aan regelgeving te voldoen (bijvoorbeeld SOx). In marktsegmenten waarin de prijs leidend is, zal ISO 20000 voorlopig geen rol spelen.
Dit laat onverlet dat klanten hogere eisen kunnen stellen aan de besturing van de dienstverlening door IT-dienstverleners. Bij het opstellen van request for proposals (RFP’s) kan ISO 20000 – ook als geen certificering wordt vereist – een goede inspiratiebron zijn voor het stellen van eisen aan de besturing van de dienstverlening. Deze kunnen dan stap voor stap worden uitgebreid, geleid door de behoefte van de klant en kosten-batenafwegingen. Wellicht kan deze inspanning na verloop van tijd met een certificering worden bekroond.
Door de hogere eisen aan de besturing van de dienstverlening en de toepassing van ISO 20000 voor kritieke diensten zullen commerciële IT-dienstverleners in de komende jaren ervaring met de norm opdoen. ISO 20000 zal zo stap voor stap gemeengoed worden en een vanzelfsprekende eis bij outsourcingsdeals.

Ir. Julius D. Duijts is Senior Business Consultant bij Getronics PinkRoccade (julius.duijts@getronics.com).

ISO20000 versus ISO 9001
Als in het kader van een uitbesteding een ISO20000-certificering aan leveranciers wordt gevraagd, kan het zijn dat deze een doel op zich wordt. Als de voor certificering benodigde documenten en verbeteringsacties alleen omwille van de certificering worden uitgevoerd, zal certificering veel moeite kosten en zijn de kosten hoog. Er moet veel papier worden geproduceerd ‘voor de certificering’, vaak op het laatste moment (en met de nodige tegenzin bij de betrokkenen).
Wanneer een IT-dienstverlener aan de slag gaat om de dienstverlening en vooral haar besturing te verbeteren en ISO20000 gebruikt om daar serieus werk van te maken, maakt dit de weg naar certificering gemakkelijker. Veel zaken die voor een ISO20000-certificering nodig zijn zullen dan al (in aanzet) aanwezig zijn. Belangrijker nog is dat deze acties niet uit een bureaucratische motivatie worden gedaan, maar om de organisatie vooruit te helpen. Wanneer de organisatiecultuur wordt gekenmerkt door continue verbetering (plan-do-check-act-cyclus) kan in een paar verbeteringsslagen veel worden bereikt. De voor certificering benodigde documenten worden dan gemaakt voor de besturing van de organisatie, niet sec voor de certificering. De certificering is dan meer een erkenning voor wat bereikt is: de slagroom op de taart.

Implementatieperikelen
ISO20000 verlangt voor een certificering een hoge volwassenheid van de processen van de IT-dienstverlener. Veel tot dusver gebruikte volwassenheids-/maturitymodellen gebruiken een vijfpuntsschaal met meestal ongeveer de volgende betekenis, waarbij elk hoger niveau de lagere niveaus omvat:
1. het proces is niet als zodanig geïmplementeerd;2. het proces is bezig geïmplementeerd te worden, er is bewustwording;
3. het proces is onder controle;
4. de processen zijn onderling en met hun omgeving geïntegreerd;
5. er is sprake van continue verbetering.Op deze schaal ligt een ISO20000-certificering op volwassenheidsniveau 5.
De meeste IT-organisaties en IT-dienstverleners in Nederland hebben een aantal basisprocessen van ITIL, zoals het incident- en changemanagementproces, wel onder de knie en zitten op niveau 3-4. Voor processen als configuration- en releasemanagement geldt dit vaak in mindere mate en veel organisaties hebben processen als availability- en capacitymanagement niet geïmplementeerd. Omdat een ISO20000-certificering over alle processen, hun integratie én hun continue verbetering gaat, ligt de lat voor de meeste organisaties dus behoorlijk hoog. Wat dat betreft loopt de norm wellicht vooruit op de steeds hogere eisen die aan de IT-dienstverlening worden gesteld. Niet ten onrechte; ICT speelt immers in steeds meer organisaties een steeds bedrijfskritischere rol.

Certificering niet in alle omstandigheden
In de tweede helft van de jaren negentig werd een ISO9001-certificering door veel klanten van IT-dienstverleners gevraagd. Toch merkten zij dat ISO9001 geen garantie is voor de kwaliteit van de geleverde IT-diensten. De BS15000- en later de ISO20000-norm bieden meer garanties doordat de eisen hoger en specifiek op IT-dienstverlening zijn gericht. Daarnaast is er bij het opstellen van de certificeringseisen rekening gehouden met ervaringen uit het verleden. Voor een ISO9001-certificering is het voldoende een kwaliteitsmanagementsysteem te hebben, dat het bekend is en gebruikt wordt door de organisatie. Als zodanig is het een goed begin voor een ISO20000-certificering. Daarbij moet echter ook worden aangetoond dat alle processen uit de norm effectief zijn en voortdurend worden geëvalueerd en verbeterd. Verder is certificering in ISO20000 in tegenstelling tot ISO9001 niet mogelijk voor een gedeelte van de dienstverlening (bijvoorbeeld de helpdesk). Daardoor wordt voorkomen dat het bereik van de certificering wordt beperkt tot een kleiner of minder relevant gedeelte, zoals dat bij ISO9001 in het verleden wel gebeurde.

Hoe hoog ligt de lat?
De afbakening van de dienst en de verantwoordelijkheden van de dienstverlener zijn bij een ISO20000-certificering doorslaggevend. Een van de eisen is dat de dienstverlener managementcontrol heeft over alle in ISO20000 gedefinieerde processen:
▪ kennis en besturing van de procesinput;
▪ kennis, gebruik en interpretatie van de procesoutput;
▪ definitie en meting van performance-indicatoren;
▪ definitie, meting en evaluatie van procesverbeteringen;
▪ objectief aantonen van verantwoordelijkheid (accountability) voor alle processen.
Dit betekent dat, wanneer bijvoorbeeld alleen een callcenter is geoutsourced, dit onderdeel van de IT-dienstverlening niet apart kan worden gecertificeerd. Ook is certificering in een aanbestedingsproces niet mogelijk, omdat alleen daadwerkelijk uitgevoerde dienstverlening kan worden gecertificeerd. Wel kan bij de aanbesteding een certificeringstermijn worden overeengekomen, eventueel met een boeteclausule. Ook kan de certificering van diensten voor andere klanten door de dienstverlener als referentie worden gebruikt.
In toenemende mate zullen IT-dienstverleners hun dienstverlening standaardiseren en voor alle klanten conform ISO20000 inrichten en laten certificeren. Dat maakt het mogelijk om gecertificeerd te zijn voor de opdracht wordt verstrekt. Dit biedt echter geen soelaas voor klantspecifieke dienstverlening of locaties buiten de scope van de bestaande ISO20000-certificering.


Certificering niet in alle omstandigheden
De afbakening van de dienst en de verantwoordelijkheden van de dienstverlener zijn bij een ISO 20000-certificering doorslaggevend. Een van de eisen is dat de dienstverlener managementcontrol heeft over alle in ISO 20000 gedefinieerde processen:
▪ kennis en besturing van de procesinput;
▪ kennis, gebruik en interpretatie van de procesoutput;
▪ definitie en meting van performance-indicatoren;
▪ definitie, meting en evaluatie van procesverbeteringen;
▪ objectief aantonen van verantwoordelijkheid (accountability) voor alle processen.
Dit betekent dat, wanneer bijvoorbeeld alleen een callcenter is geoutsourced, dit onderdeel van de IT-dienstverlening niet apart kan worden gecertificeerd. Ook is certificering in een aanbestedingsproces niet mogelijk, omdat alleen daadwerkelijk uitgevoerde dienstverlening kan worden gecertificeerd. Wel kan bij de aanbesteding een certificeringstermijn worden overeengekomen, eventueel met een boeteclausule. Ook kan de certificering van diensten voor andere klanten door de dienstverlener als referentie worden gebruikt.
In toenemende mate zullen IT-dienstverleners hun dienstverlening standaardiseren en voor alle klanten conform ISO 20000 inrichten en laten certificeren. Dat maakt het mogelijk om gecertificeerd te zijn voor de opdracht wordt verstrekt. Dit biedt echter geen soelaas voor klantspecifieke dienstverlening of locaties buiten de scope van de bestaande ISO 20000-certificering.


ISO 20000 versus ISO 9001
In de tweede helft van de jaren negentig werd een ISO 9001-certificering door veel klanten van IT-dienstverleners gevraagd. Toch merkten zij dat ISO 9001 geen garantie is voor de kwaliteit van de geleverde IT-diensten. De BS 15000- en later de ISO 20000-norm bieden meer garanties doordat de eisen hoger en specifiek op IT-dienstverlening zijn gericht.
Daarnaast is er bij het opstellen van de certificeringseisen rekening gehouden met ervaringen uit het verleden. Voor een ISO 9001-certificering is het voldoende een kwaliteitsmanagement-systeem te hebben, dat het bekend is en gebruikt wordt door de organisatie. Als zodanig is het een goed begin voor een ISO 20000-certificering. Daarbij moet echter ook worden aangetoond dat alle processen uit de norm effectief zijn en voortdurend worden geëvalueerd en verbeterd. Verder is certificering in ISO 20000 in tegenstelling tot ISO 9001 niet mogelijk voor een gedeelte van de dienstverlening (bijvoorbeeld de helpdesk). Daardoor wordt voorkomen dat het bereik van de certificering wordt beperkt tot een kleiner of minder relevant gedeelte, zoals dat bij ISO 9001 in het verleden wel gebeurde.



Hoe hoog ligt de lat?
ISO 20000 verlangt voor een certificering een hoge volwassenheid van de processen van de IT-dienstverlener. Veel tot dusver gebruikte volwassenheids-/maturitymodellen gebruiken een vijfpuntsschaal met meestal ongeveer de volgende betekenis, waarbij elk hoger niveau de lagere niveaus omvat:
1. het proces is niet als zodanig geïmplementeerd;2. het proces is bezig geïmplementeerd te worden, er is bewustwording;
3. het proces is onder controle;
4. de processen zijn onderling en met hun omgeving geïntegreerd;
5. er is sprake van continue verbetering.Op deze schaal ligt een ISO 20000-certificering op volwassenheidsniveau 5.
De meeste IT-organisaties en IT-dienstverleners in Nederland hebben een aantal basisprocessen van ITIL, zoals het incident- en changemanagementproces, wel onder de knie en zitten op niveau 3-4. Voor processen als configuration- en releasemanagement geldt dit vaak in mindere mate en veel organisaties hebben processen als availability- en capacitymanagement niet geïmplementeerd.
Omdat een ISO 20000-certificering over alle processen, hun integratie én hun continue verbetering gaat, ligt de lat voor de meeste organisaties dus behoorlijk hoog. Wat dat betreft loopt de norm wellicht vooruit op de steeds hogere eisen die aan de IT-dienstverlening worden gesteld. Niet ten onrechte, ICT speelt immers in steeds meer organisaties een steeds bedrijfskritischer rol.



Implementatieperikelen
Als in het kader van een uitbesteding een ISO 20000-certificering aan leveranciers wordt gevraagd, kan het zijn dat deze een doel op zich wordt. Als de voor certificering benodigde documenten en verbeteringsacties alleen omwille van de certificering worden uitgevoerd, zal certificering veel moeite kosten en zijn de kosten hoog. Er moet veel papier worden geproduceerd ‘voor de certificering’, vaak op het laatste moment (en met de nodige tegenzin bij de betrokkenen).
Wanneer een IT-dienstverlener aan de slag gaat om de dienstverlening en vooral haar besturing te verbeteren en ISO 20000 gebruikt om daar serieus werk van te maken, maakt dit de weg naar certificering gemakkelijker. Veel zaken die voor een ISO 20000-certificering nodig zijn zullen dan al (in aanzet) aanwezig zijn. Belangrijker nog is dat deze acties niet uit een bureaucratische motivatie worden gedaan, maar om de organisatie vooruit te helpen. Wanneer de organisatiecultuur wordt gekenmerkt door continue verbetering (plan-do-check-act-cyclus) kan in een paar verbeteringsslagen veel worden bereikt. De voor certificering benodigde documenten worden dan gemaakt voor de besturing van de organisatie, niet sec voor de certificering. De certificering is dan meer een erkenning voor wat bereikt is: de slagroom op de taart.


Aantal certificeringen
De Nederlandse ISO 20000-markt is nog voornamelijk gericht op training, boeken en consultancy. Op de site www.isoiec20000certification.com is slechts één Nederlandse ISO 20000-certificering te vinden. In de ons omringende landen is dat niet veel meer (Duitsland 7, België en Frankrijk 0). Alleen in het Verenigd Koninkrijk zijn er 17 certificeringen, hetgeen ons gezien de Britse oorsprong van de standaard niet hoeft te verbazen. Vrijwel alle gecertificeerde IT-dienstverleners zijn actief op de outsourcingsmarkt, daarnaast gebruiken interne dienstverleners de norm om zich te kwalificeren ten opzichte van externe dienstverleners in verband met mogelijke outsourcing. Op de Nederlandse outsourcingsmarkt speelt ISO 20000 nog nauwelijks een rol en wordt het bij RFP’s nog niet vereist. Wel worden in RFP’s in toenemende mate eisen gesteld aan de besturing en beheersing van de dienstverlening, zoals die ook in ISO 20000 worden gesteld. Ook wordt bij sommige tenders/aanbestedingen gevraagd naar de mogelijkheid van ISO 20000-certificering.
Er is dus wel een latente behoefte, maar deze vertaalt zich nog niet in een expliciete vraag, bijgebrek aan ervaring, referenties en bekendheid met de ISO 20000-norm.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in