Norm helpt bij ‘Governance’ van IT

25-08-2016 Op 10 juni jongstleden organiseerde NEN de informatiebijeenkomst ‘Veranderende IT-omgeving’. Yvette Backer sprak op deze dag over de Governance of Information Technology, en meer in het bijzonder over de ISO/IEC norm 38500, die daarover gaat. Wat is de achtergrond van deze norm? Wat staat er in, voor wie is hij bedoeld, en hoe is hij tot stand gekomen? Een interview met Yvette Backer, zelfstandig consultant en trainer, expert bij ISO en auteur, en namens de ASL BiSL Foundation lid van de normcommissie "IT Service Management and IT Governance".

‘Governance of IT’- de zoveelste norm voor IT’ers, dus?

“Nee! Dat is juist een belangrijke misvatting; door het ‘IT’ in de titel denkt men dat het alleen over IT gaat en dus de norm naar de IT-afdeling schuift. Maar het gaat feitelijk over informatie en het gebruik van informatie in een organisatie. IT is daarbij een belangrijk ondersteunend hulpmiddel maar er is meer informatie, ook buiten de IT. Wij noemen dat in Nederland ‘informatievoorziening’, dat is het geheel van processen en procedures, mensen enzovoort, zodat mensen hun werk kunnen doen, en daar maakt IT een onderdeel van uit.”

Wat is dat, ‘Governance’?

”Volgens ISO/IEC 38500 is dat een ‘System by which the current and future use of IT is directed and controlled’. Nee, een echt goede Nederlandse vertaling hebben we er niet voor. We praten in Nederland ook meestal over ‘governance’, en dan bedoelen we het besturen van, of toezicht houden op een organisatie.”

Dus ISO/IEC 38500 beschrijft hoe je directie moet voeren?

“Precies. Bij IT projecten die mislukken, wordt er heel vaak gewezen naar de IT-leverancier. Die zou zijn werk niet goed hebben gedaan. Terwijl het vaak ook aan de opdrachtgever ligt. Als die niet duidelijk aangeeft wat hij wil hebben bijvoorbeeld, of zijn wensen steeds bijstelt, of de hoogste eisen stelt tegen een heel beperkt budget.

Op een hoger niveau in een organisatie wordt vaak gedacht dat wanneer het over IT gaat, dat het voor de IT-afdeling is, of voor de IT-manager. Terwijl de norm juist wil bewerkstelligen dat bedrijven zich bewust worden dat ze verantwoordelijk zijn over hun eigen IT, en om dat goed te doen moet dat worden aangestuurd; governance dus. De norm is geschreven voor de raad of het college van bestuur, de eindverantwoordelijken. Die zouden zich moeten aantrekken wat er in de norm staat en de norm moeten toepassen. Wat er in staat zijn zes principes, en daar moet het bestuur zich over uitspreken. Uiteindelijk is het dan aan het management, de laag er onder, om het beleid wat is uitgezet door het bestuur uit te voeren. Dat kan dan bijvoorbeeld weer met service management processen. Met ISO 20000 of met ITIL.”

“Er bestaan misverstanden over de norm. Zo is de norm gebaseerd op principes en is hij niet normatief. Je kunt daarom niet zeggen ‘we werken volgens ISO 38500’. De norm beschrijft eigenlijk goede governance van je organisatie, toegespitst op IT. Bij goede governance moet je altijd rekening houden met dingen als mensen en verantwoordelijkheden. Het zijn min of meer algemene zaken die in de norm staan, maar desondanks wordt het gewoon niet altijd op deze manier gedaan, en is het goed om de basisprincipes die in de norm vastliggen op een rij te hebben.”

Hoe is de norm ontstaan?

“ISO/IEC 38500 is gebaseerd op een Australische norm, AS-8015 uit 2005, en de eerste versie van de norm werd gepubliceerd in 2008. Vorig jaar werd de norm voor het laatst bijgewerkt. De 38500 serie bestaat uit 38501 Implementation guide, en 38502 Framework and model. Binnenkort komen daar nog bij 38504 Guidance for Principles-based Standards in the Governance of Information Technology, en 38505-1 Governance of data. De laatste norm beschrijft hoe je de governance van data kunt regelen. In ontwikkeling zijn dan nog 38503 Assessment of governance of IT, 38505-2 The implications of 38505-1 for datamanagement, en 38506 Governance of IT enabled investments.”

Hoe is het beheer van de norm binnen ISO georganiseerd?

“Binnen ISO is er sinds 2014 een subcommissie, SC40, die houdt zich bezig met Service Management and Governance of IT. Daar zit onder meer de ISO norm 20000 in, en ook de ISO/IEC 38500 en Business Process Outsourcing. Drie werkgroepen dus. ISO/IEC 38500 valt onder WG1, Goverance of Information Technology. Die werkgroep is gegroeid, er zitten nu deelnemers in uit onder meer Australië, Nieuw-Zeeland, Engeland, Frankrijk, Portugal, Denemarken, Zweden, Japan en China. De subcommissie SC40, die dus meer overziet dan alleen 38500, heeft bij NEN in Nederland een mirror-organisatie met twee leden; Verizon en de ASL BiSL Foundation. Ja, dat is niet erg veel, wij zouden graag uitbreiding zien, bijvoorbeeld met mensen vanuit het bedrijfsleven, of vanuit de overheid.”

Hoe zeer leeft ISO/IEC 38500 in Nederland?

“Vanuit Nederland is er vreemd genoeg niet zo veel interesse geweest in de norm. Het zou kunnen omdat wij BiSL hebben, waar ook al in wordt gezegd dat wanneer je informatievoorziening hebt binnen je organisatie, dat je dat goed moet besturen. Informatie is de zoveelste productiefactor. Maar BiSL is meer gericht op het managen van de informatievoorziening en minder op governance. Er is dan ook nauwelijks sprake van concurrentie, BiSL en ISO/IEC 38500 zijn eerder aanvullend. Je kunt BiSL gebruiken om ISO/IEC 38500 in te voeren."

Commissieleden gezocht

Praat en beslis mee! Ook u kunt lid worden van de normcommissie "IT Service Management and IT Governance". Neem voor meer informatie contact op met Jan Rietveld, telefoon 015 2 690 376 of jan.rietveld@nen.nl.

Norm

NEN-ISO/IEC 38500:2015 en

NEN-ISO/IEC 38500 geeft richtlijnen, in de vorm van zes principes, aan directies en besturen voor het doeltreffend, doelmatig en acceptabel gebruik van IT en informatievoorziening in de organisatie.

Meer informatie over deze norm

Eerder door u bekeken

Meer informatie

Voor meer informatie over de norm ISO/IEC 38500 of het normalisatieproces kunt u contact opnemen met Jan Rietveld.

015 - 2 690 376

jan.rietveld@nen.nl

Ook interessant voor u