Sharing IT Best Practices with youSharing IT Best Practices with you
Agile kwaliteit
Veel organisaties zijn steeds terughoudender met investeren in kwaliteitsverbetering van ICT-processen. Softwarebedrijf ANVA heeft met succes voor een aanpak gekozen waarbij niet een compleet best-practicemodel wordt ingevuld, maar alleen requirements worden toegepast waar een stakeholder behoefte aan heeft.
Al sinds jaar en dag levert ANVA het gelijknamige softwareproduct aan klanten in de verzekeringsbranche. De basis van de primaire bedrijfsprocessen is de ANVA applicatielevenscyclus. Zowel nieuwbouw als applicatieonderhoud zijn kernactiviteiten. De werkzaamheden zijn in de loop van de tijd geoptimaliseerd, zodat snel ingesprongen kan worden op de behoefte van de klant.
Deze professionalisering heeft zich niet alleen voorgedaan bij de applicatiebeheerders, maar ook bij de servicedesk die als frontoffice dient voor de applicatieontwikkelaars en –beheerders in de backoffice.
Naarmate er meer SLA-afspraken werden gemaakt met klanten bleek dat zij vooral afspraken willen maken op basis van de standaard ITIL-processen. Bij ANVA werden deze beheerprocessen wel uitgevoerd, maar vaak werden er andere termen gebruikt. De opdeling van werkzaamheden in processen was anders en sommige best practices van ITIL werden nog niet toegepast. Tevens was de volwassenheid van de beheerprocessen lang niet overal even hoog. Deze lacunes waren direct of indirect wel voelbaar, maar werden niet volledig geadresseerd.
De volgende verbeterbehoeften werden onderkend:
Deze behoeften deden de supportmanager van ANVA besluiten om de best practices van ITIL te omarmen. Daarmee was snel invulling te geven aan de eerste vier punten. ITIL geeft immers een algemeen gangbaar begrippenkader en procesmodel voor de inrichting van processen. Tevens kan ITIL goed helpen bij het definiëren van de beheerprocessen en het bepalen van de functionaliteit die daarbinnen onderkend dient te worden.
Het was onduidelijk hoe de verbeteringmeetbaar was te maken en grip kon worden gekregen op de groei in volwassenheid. Ook rees al snel de vraag hoe te voorkomen dat de invoering van de beheerprocessen de dynamiek en de snelheid van de beheerorganisatie zou verstoren. Een absolute minimalistische (agile) aanpak was daarom een primaire vereiste. Tot slot moest er bij de start een garantie afgegeven worden van het te bereiken resultaat en het beklijven ervan.
Dit artikel beschrijft de gekozen aanpak die invulling geeft aan deze kerneisen: meetbaarheid, minimalistische (agile) aanpak, volwassenheid CMM-niveau 2 en resultaatverplichting.
Achtereenvolgens worden de nulmeting, de projectaanpak, de procesaanpak en de toepassing besproken. De eerste vier punten van de invulling van de behoeften komen niet aan de orde, omdat verondersteld wordt dat die algemeen bekend zijn.
Bij het aanpassen van beheerprocessen is het belangrijk om eerst een nulmeting uit te voeren om de huidige situatie (baseline) te bepalen. Anders kan geen focus gekozen worden voor de procesverbeteringen. Tevens is het belangrijk om achteraf aan te kunnen geven wat het kwaliteitverbeterproject opgeleverd heeft.
De nulmeting heeft ANVA in 2010 laten verrichten op basis van een ITIL-self-assessment, zoals door het OGC (Office of Government Commerce) is gepubliceerd op het internet. Uit deze meting bleek dat de processen problem-, change- en configurationmanagement nog te ad hoc werden uitgevoerd.
Als verbeterdoel voor 2011 is gekozen om deze drie processen in negen maanden doorlooptijd van CMM-niveau 1 op CMM-niveau 2 te krijgen.
Om deze verbetering te bereiken is gekozen voor een projectmatige opzet met een minimale overhead. De manager s support heeft hierbij de rol als opdrachtgever op zich genomen. De opdrachtgever heeft het hoofd serviceteams aangewezen als senior user en heeft een externe consultant aangesteld als senior supplier.
Aan de IT consultant zijn per proces een aantal beheerders gekoppeld om de processen te verbeteren. Om te borgen dat de betrokken medewerkers over genoeg kennis beschikten om deel te nemen aan het verbeterproject zijn zij opgeleid voor ITIL en agile kwaliteitsmanagement. Met de consultant is ten slotte een resultaatverplichting overeengekomen om middels een ondersteuning van drie dagen per beheerproces de doelstelling te realiseren.
Om invulling te geven aan de eisen meetbaarheid, agile aanpak, volwassenheid CMM-niveau 2 en een resultaatverplichting, is als procesaanpak gekozen voor het ‘Quality Control & Assurance (QCA)-model’.
Dit model beschrijft de kwaliteitprocessen die het mogelijk maken om ICT-processen op een pragmatische wijze qua opzet, bestaan en werking in control te krijgen. De kern van het gedachtegoed achter het QCA-model is dat ICT-processen in de ICT-organisatie alleen vormgegeven moeten worden op basis van door stakeholders vereiste requirements.
Hierna volgt hoe deze QCA-processen door ANVA zijn toegepast en hoe aan de gestelde eisen invulling is gegeven.
Het eerste QCA-proces omvat het stellen van doelen. Hiervoor wordt bij de betrokken stakeholders – van de in te richten cq. te verbeteren ICT-processen – gevraagd wat zij willen bereiken met de procesinrichting. Belangrijke stakeholders zijn de servicelevelmanager, de ICT-manager, maar zeker ook de salesmanager, de accountant, de security-officer en de risk- en compliancymanager. Zo kan een security-officer als eis stellen dat voldaan moet worden aan het ISO 27001-1 normenkader. De accountant kan als eis stellen dat aan een aantal General Computer Controls (GCC’s) moet worden voldaan en vanuit sales kan de eis gesteld worden dat de organisatie moet voldoen aan een ISAE-3402 verklaring. Al deze eisen moeten worden opgenomen in het ICT-beleid van de organisatie. Op basis daarvan wordt het ICT beleidsplan en het Service Quality Plan (SQP) opgesteld.
Om deze eisen te verzamelen is binnen ANVA voor elk proces een proceseigenaar aangesteld die verantwoordelijk is voor het verzamelen van deze requirements. De procesmanager is verantwoordelijk voor de realisatie van deze doelen. Omdat er diverse proceseigenaren zijn die veranderingen doorvoeren, is het belangrijk om deze veranderingen af te stemmen. Tevens vereist de investering een continue buy-in van het hogere management. Binnen ANVA is hiertoe een QCA-board ingericht dat periodiek bij elkaar komt. Het QCA-board geeft sturing aan de opzet, het bestaan en de werking van de ICT-processen en de veranderingen daaraan op basis van de rapportages van de proceseigenaren.
Tevens keurt het QCA-board de inzet van de vereiste resources goed.
Dit QCA-board heeft ook het Service Quality Plan opgesteld. Voor 2011 bevat dit SQP de volgende doelen:
De minimale requirements uit het SQP betreft dus alle eisen die afgeleid kunnen worden uit de selfassessment-vragen van de betrokken niveaus. Daarmee wordt invulling gegeven aan de agile eis. Door de requirements atomair te definiëren en te koppelen aan de volwassenheidseisen is het resultaat ook meetbaar gemaakt. Daarmee is echter nog geen invulling gegeven aan de opzet, bestaan en werking van de processen.
De opzet van een proces omvat het opstellen van een procesontwerp dat voldoet aan de gestelde requirements. Hiertoe is een workshop georganiseerd waarin de bij het proces betrokken beheerders en de consultant deelnamen. Om snelheid te winnen in het project is door de consultant een standaard procesontwerp ingebracht, inclusief een set van requirements per proces. Per proces is/zijn in één dag tijd:
Hierna is in een maand tijd door ANVA het procesontwerp aangepast op basis van de workshop en de requirements. Op de tweede contactdag zijn per proces het aangepaste procesontwerp en de requirements gereviewd en zijn knelpunten geadresseerd. Ook zijn de meetvoorschriften van de requirements ’ANVA-specifiek‘ gemaakt.
Tevens is op de tweede dag de planning van de requirements bepaald op basis van een ‘Q0-5’-classificatie. Q0 betekent dat het requirement al is ingevuld. Q1, Q2, Q3 en Q4 geven de kwartalen aan waarin de requirements worden gerealiseerd. Q5 wil zeggen dat pas volgend jaar invulling wordt gegeven aan het requirement.
Voor de inrichting van elk proces is per requirement bepaald wat de aanpassing qua mensen, methode en middelen inhield.
Waar nodig is de standaard inrichting van de servicemanagementtool aangepast en zijn de ontbrekende requirements één voor één nagelopen op invulling.
Na een maand het proces te hebben uitgevoerd, is voor elk proces – op de derde contactdag – een review gehouden in samenwerking met de consultant. Hierbij is een steekproef genomen uit de output. Zo zijn voor het incidentmanagementproces een zestal incidenten geselecteerd. Voor elke proces is voor elk steekproefitem bepaald of aan de actief verklaarde requirements werd voldaan. De afwijkingen werden genoteerd. Daarna is elke maand de review van de procesrequirements herhaald en zijn de resultaten gerapporteerd aan de QCA-board. Op basis van deze rapportage is maandelijks vastgesteld welke extra requirements zullen worden opgepakt (in het QCA-proces ‘doelen stellen’). Hierdoor is invulling gegeven aan de eis van het beklijven van de behaalde kwaliteitverbetering.
Het bewijsmateriaal uit procesreview is verzameld om te kunnen gebruiken voor de eerstvolgende audit door een externe auditor.
De verbeterpunten uit de nulmeting en de procesreview zijn maandelijks verwerkt tot Service Improvement Plans (SIP’s), die vervolgens zijn bewaakt op navolging door het ingerichte QCA-board. Ook de verbeterpunten uit toekomstige audits worden op deze wijze geborgd qua naleving.
Uiteraard zijn er de nodige leermomenten te benoemen bij de ‘Quality Control & Assurance’-aanpak zoals:
De Quality Control kwaliteitsprocessen geven invulling aan de opzet en het bestaan van processen van de ICT-organisatie en borgen de werking ervan.
Het proces ‘doelen stellen’ bepaalt op basis van het businessbeleidsplan, het ICT-beleid en het ICTbeleidsplan de doelen voor kwaliteitsverbetering. Daarna wordt op basis van deze plannen het Service Quality Plan (SQP) opgesteld. In dit SQP zijn de procesdoelen voor de processen van de ICT-organisatie beschreven. Dit proces is ook verantwoordelijk voor de goedkeuring van aanpassingen aan de ICT-organisatie zoals de Service Improvement Plans (SIP’s). Een SIP beschrijft hoe een proces moet worden verbeterd om een gebrek te herstellen. Deze SIP’s zijn noodzakelijk om de afwijkingen van de doelen die in het SQP staan benoemd te kunnen corrigeren.
Een proces moet zodanig ontworpen worden dat het voldoet aan de gestelde doelen die in het SQP zijn beschreven. Hiertoe moet het proces uitgewerkt worden in procedures, met bijbehorende communicatielijnen en moeten de informatiestromen in kaart worden gebracht. In de praktijk blijkt het erg handig om de vertaling van de procesdoelen naar een procesontwerp te verrichten op basis van procesrequirements. Een requirement is een eis die aan een proces gesteld wordt.
Dit proces borgt dat de ICT-processen worden geïmplementeerd. Een proces heeft echter tijd nodig om volwassen te worden. Het is niet mogelijk om een proces van de ene dag op de andere compleet te laten voldoen aan alle doelen. Daarom wordt voor een proces een procesplan opgesteld worden dat aangeeft op welk moment in de tijd aan welke requirements invulling moet zijn gegeven. Het proces ‘inrichten’ is ook verantwoordelijk voor de realisatie van de SIP’s. Daarmee vallen alle aanpassingen aan de procesinrichting onder de verantwoordelijkheid van het proces ‘inrichten’.
De Quality Assurance processen zorgen ervoor dat afwijkingen van de procesrequirements worden onderkend. Voor deze procesafwijkingen worden SIP’s opgesteld. De SIP worden in Quality Control processen doorgevoerd. Op deze manier is er zekerheid dat er een continue verbetering van procesinrichting plaatsvindt zodat de processen in opzet, bestaan en werking presteren conform de doelstellingen van de organisatie.
Het reviewen van een proces vindt meestal maandelijks plaats op basis van de aan het proces gestelde requirements. Welke requirements van toepassing zijn voor een reviewperiode is gedefinieerd in een reviewplan. De review vindt plaats op basis van een analyse van de procesoutput. Hiertoe wordt uit de procesoutput over de afgelopen maand een steekproef genomen. Deze steekproef wordt gebruikt om de in het reviewplan vermelde requirements te onderzoeken. Als blijkt dat het proces niet voldoet aan een requirement, dan wordt deze afwijking geanalyseerd teneinde de oorzaak vast te stellen. Voor elke afwijking wordt binnen het reviewproces gezocht naar een verbeterpunt. De status van de actief verklaarde requirements en de verbeterpunten voor de afwijkingen worden gerapporteerd aan het proces ‘doelen bewaken’. De onderzochte procesoutput wordt bewaard als bewijsmateriaal. Dit materiaal wordt ook wel evidence genoemd.
In het auditproces wordt net als binnen het reviewproces onderzocht of het proces voldoet aan de gestelde doelen. De audit wordt meestal (half)jaarlijks uitgevoerd. In tegenstelling tot het reviewproces wordt de audit niet uitgevoerd door de procesmanager in opdracht van de proceseigenaar, maar door een auditor in opdracht van de QCA-board. De toetsing binnen het auditproces is dan ook een onafhankelijke toetsing. Het auditproces kan gebruik maken van de evidence die door het reviewproces is opgeleverd. Waar door de auditor afwijkingen worden gevonden die niet eerder zijn geconstateerd worden eveneens verbetervoorstellen gedaan richting het proces ‘doelen bewaken’.
Het proces ‘doelen bewaken’ verzamelt de rapportages van de processen ‘reviewen’ en ‘auditen’ en verifieert deze met de gestelde doelen. Tevens worden binnen dit proces SIP’s opgesteld voor de ingediende verbeterpunten. Het proces rapporteert over de procesdoelen en de SIP’s aan het proces ‘doelen stellen’. Dit laatst genoemde proces autoriseert de rapportage en de SIP’s. De uitvoer van de goedgekeurde SIP’s wordt bewaakt door het proces ‘doelen bewaken’.
Bij ANVA zijn drie processen geprofessionaliseerd in negen maanden tijd. Hierbij is gebruik gemaakt van een agile kwaliteit management aanpak. Alle overhead van de procesinrichting is weg gesneden door het opstellen van atomaire requirements en het selecteren van die requirements die vereist worden door de verantwoordelijke stakeholders. Tevens is zo veel als mogelijk dicht bij de ITIL best practices gebleven waardoor geen tijd verloren is gegaan aan het opstellen van dikke documenten. Deze requirements hebben de procesinrichting niet alleen meetbaar gemaakt maar tevens geborgd dat er geen enkele investering is gedaan die niet vooraf is geaccordeerd. Door te sturen op de requirements bij de opzet (het procesontwerp), het bestaan (de inrichting) en de werking (de verrichting) was middels een review goed en snel te sturen op het behalen van het resultaat. Daarmee is invulling gegeven aan de resultaatverplichting om drie processen binnen negen maanden op CMM-volwassenheidsniveau 2 te krijgen. De proceseigenaren leggen maandelijks verantwoording af aan het ingerichte QCA-board over de bereikte resultaten en de planning voor de volgende maand. Op deze wijze heeft ANVA niet alleen de processen geprofessionaliseerd, maar is tevens een belangrijk stuurwiel gevonden om de processen planmatig op een hoger niveau te tillen en te laten beklijven.
Met dank aan Thijs van den Brink (hoofd service teams ANVA) en Ronald Rakké (manager operations ANVA) en de reviewers Carolien Glasbergen (UWV), Wim Klasen (InteQ), Marco Buijck (InteQ), Annelies van Oversteeg (Ordina), Peter de Jong (ITMG) en Louis van Hemmen (Bitall).
Drs. ing. Bart de Best RI is DevOps coach bij dbmetrics ([email protected]).
Quality Control & Assurance, ISBN:9789071501531
Agile Service Management met Scrum, ISBN:9789071501807
SLA Best Practices, ISBN: 9789071501456
ICT Prestatie Indicatoren, ISBN:9789071501470
Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.