De kwaliteitsborging van grote IT-projecten bij de centrale overheid staat ter discussie. Het gaat nog te vaak en te ernstig mis. Dat roept de vraag op hoe bestuurders in andere sectoren greep houden op de kwaliteit van hun producten en diensten. En doen ze dat in sommige opzichten misschien wel slimmer dan hun collega’s bij het Rijk?
De bouw van de tweede Coentunnel is een voorbeeld van ‘inkopen onder kwaliteitsborging’.
We mogen de A73 dankbaar zijn. Of, preciezer: de Roertunnel en de tunnel bij Swalmen in het zuidelijke traject van de weg. De oplevering van beide tunnels liep aanzienlijke vertraging op en ook daarna moesten ze om de haverklap dicht vanwege hardnekkige problemen met het signaleringssysteem. Het werd een hoofdpijndossier voor Rijkswaterstaat, voor de uitvoerende aannemers, voor – niet te vergeten – de automobilist en uiteindelijk ook voor de politiek.
Zonder goede software geen succesvolle overheids-ICT. De kwaliteit van software is een onderwerp dat bestuurders aangaat. Software is niet tastbaar, maar je kunt de kwaliteit ervan wel degelijk controleren. Dat inzicht geeft een opdrachtgever houvast om zijn rol goed in te vullen en verkleint daarmee de risico’s op ICT-falen. Maar in de praktijk gaat het vaak anders. ‘Goed geregeld’ is een verzameling artikelen waarin iBestuur een poging doet een vinger achter deze problematiek te krijgen.
Onder redactie van Maarten Hillenaar en Jan Polkerman!
Het goede aan deze persisterende perikelen was dat ze krachtig bijdroegen aan het in gang zetten van een andere aanpak van contractbeheersing en kwaliteitsborging. Daarbij trad de overheid terug. De regie, die tot dan toe tamelijk strak in handen van de opdrachtgever had gelegen, werd voor een groot deel bij de uitvoerenden belegd. Systeemgerichte Contractbeheersing heet dit. Het is de nieuwe manier van contracteren bij Rijkswaterstaat: niet het product of de dienst, maar het resultaat wordt ingekocht, dus datgene wat dat product of die dienst behoort te doen. ‘Inkopen onder kwaliteitsborging’ is een andere uitdrukking voor hetzelfde.
Een voorbeeld van deze aanpak is de bouw van de tweede Coentunnel. Hier krijgt de uitvoerende bouwcombinatie een eenmalig bedrag, aangevuld met een jaarlijkse vergoeding die afhankelijk is van de mate van beschikbaarheid van de weg. De looptijd van het contract is twintig jaar. Deze vorm van prestatiebeloning roept wel weer nieuwe uitdagingen op. Zo is er een solide prestatiemeetsysteem voor nodig. Daar komt de nodige IT bij kijken, wat weer een risicovol project op zichzelf is.
Vak apart
Het spook van de A73 waart nog altijd, maar dan in positieve zin, rond in de bouwsector. Want er is lering getrokken uit het debacle. Voortaan wordt al vanaf de gunning consciëntieus getest. “Hoe verder je in een traject komt, hoe groter de impact wordt van door te voeren wijzigingen”, verduidelijkt Art Koelewijn, directeur van adviesbureau K2 Infra-Consultants. “Daarom hebben ook aannemers en onderaannemers er belang bij om vroegtijdig afspraken te maken over het testmanagement. Dan heb je het allemaal nog op een beheersbaar niveau.” Koelewijn wijst erop dat dit testen een vak apart is geworden. “Om te beginnen test je het hele ontwerp op beoogde functionaliteit en testbaarheid. Vervolgens stel je vast volgens welke regels en procedures en op welke momenten je gaat testen en stel je scenario’s die je gaat doorlichten.” Als voorbeeld geeft hij het scenario van een calamiteit, zoals een brand in een tunnel. “Zo’n calamiteit kan een tweede calamiteit oproepen. In dit geval een kop-staartbotsing. Kan het veiligheidssysteem ook zo’n domino-effect aan? Dat is een van de vele vragen waarop je wilt testen.”
Behulpzaam hierbij is de methodiek van Systems Engineering, benadrukt Koelewijn. “Dit is een methodiek die voorziet in het aantoonbaar voldoen aan zowel de technische als de functionele eisen. Het is een benadering die voortkomt uit de IT en zij wordt daar gebruikt bij het ontwerp van software en infrastructurele systemen. De daarbijbehorende norm is NEN–ISO 15288.”
Hoe verder je in een traject komt, hoe groter de impact wordt van wijzigingen
Driekwart van de bedrijven in de bouwsector is ISO 9001-gecertificeerd, maar dat is doorgaans op zichzelf nog onvoldoende garantie voor de gewenste kwaliteit, zo benadrukt hij. “Bij grote projecten zijn vaak meerdere hoofdaannemers betrokken en een hele reeks onderaannemers. Die kunnen ieder afzonderlijk een ISO-certificaat hebben, maar de combinatie zelf is niet gecertificeerd. Daarom is er in zulke gevallen behoefte aan een overkoepelend kwaliteitssysteem.”
Overstappen
In de sector van de langdurige zorg was HKZ – een op de zorg toegesneden versie van ISO 9001 – geruime tijd het dominante keurmerk, maar sinds 2008 is Perspekt/Prezo in opkomst. Welk normenstelsel een instelling hanteert hing lange tijd voor een groot deel af van de eisen die de zorgverzekeraars stellen. “Perspekt/Prezo is meer gericht op de uitkomsten van de processen”, licht Françoise Johansen, beleidsadviseur bij adviesbureau Facit, toe. “Je kunt deze certificering bijvoorbeeld niet behalen als je slecht scoort bij het klanttevredenheidsonderzoek. Bij HKZ kan dat wel.”
Toepassing van beide normenstelsels heeft een grote rol gespeeld bij kwaliteitsverbeteringstrajecten, aldus Johansen. “Maar na een paar verlengingen levert zo’n certificering doorgaans niet veel winst meer op. Dat is de reden dat instellingen soms de overstap maken naar een ander stelsel. Vaak is dat dan van HKZ naar Perspekt/Prezo, maar ook NEN-EN 15224-2012 komt in aanmerking. Dit is een nieuw kwaliteitsmanagementsysteem met ISO 9001 als basis.” Ze onderstreept verder dat ook de Inspectie voor de Gezondheidszorg (IGZ) een belangrijke rol speelt bij kwaliteitsborging in de zorg met aangekondigde en onaangekondigde toezichtbezoeken.
Stok achter de deur
In de foodsector komen nauwelijks grote incidenten voor. Hier zien we een succesvol samengaan van wettelijke verplichtingen op het vlak van de voedselveiligheid (HACCP) en zelfregulering met betrekking tot de kwaliteit. Hier wordt ISO 9001 uiteraard breed toegepast, maar dit certificeert nog niet de producten die het resultaat zijn van de productieprocessen. Daarvoor wordt vaak het BRC-normenkader toegepast. BRC combineert vereisten op het vlak van voedselkwaliteit en voedselveiligheid. Een jaarlijkse externe audit is een voorwaarde om BRC-gecertificeerd te blijven. Bij ISO 9001 gebeurt dit alleen om de drie jaar, als de certificering wordt verlengd.
En tot slot: net als bij de langdurige zorg legt in de foodsector de Inspectie behoorlijk wat gewicht in de schaal. Op de achtergrond is hier altijd de Algemene Inspectiedienst (AID) van de Voedsel- en Warenautoriteit aanwezig. Een effectieve stok achter de deur.
Verschillen met de softwarewereld
Wie de kwaliteitssystemen ‘bij de buren’ vergelijkt met de context waarin de ontwikkeling van softwaresystemen bij de overheid plaatsvindt, stuit op drie verschillen:
1) systeemgerichte contractbeheersing toepassen
2) kwaliteitstesten uitvoeren in een vroeg stadium
3) permanent een voelbare stok achter de deur hebben
Wat het eerste punt betreft: systeemgerichte contractbeheersing kent grote voordelen, maar zeker ook risico’s. Zo werd Rijkswaterstaat in 2014 door de Algemene Rekenkamer op de vingers getikt, omdat de dienst door een te stringente toepassing van ‘kwaliteit inkopen’ niet meer voldoende personeel met de vereiste technische kennis in huis had. Gevolg: de regie dreigde te verslappen en er vonden niet meer bij alle bouwprojecten voldoende kwaliteitscontroles plaats.
De kwaliteit van software is goed testbaar als er voldoende deskundigheid is
Wat betreft punt 2), het vroegtijdig testen: vaak wordt na een gestrand project als verontschuldiging aangevoerd dat het buitengewoon moeilijk is om de kwaliteit van software goed te meten. Verplaats dit argument in gedachten eens naar ‘de buren’. Stel u een dijkgraaf voor die na een calamiteit meedeelt dat het zo lastig is om de mate van verzadiging van een dijklichaam vast te stellen…
De kwaliteit van software is goed testbaar, ook in een vroeg stadium, als er voldoende deskundigheid is. Een kristallisatiepunt voor precies dit type deskundigheid zou een inspectiedienst voor de kwaliteit van code kunnen zijn. Deze dienst zou gevraagd en ongevraagd audits kunnen doen bij systeemkritische IT-projecten bij de overheid. Zo’n stok achter de deur zou bovendien een zegen zijn voor de informatiebeveiliging, want niets is zo onveilig als gammele software.
Vier systemen voor kwaliteitsmanagement
Rijkswaterstaat werkt sinds 2003 met systeemgerichte contractbeheersing. Dit houdt in dat opdrachtnemers verantwoordelijk worden gesteld voor het beheren en bewaken van de kwaliteit van het geleverde product middels een kwaliteitsmanagementsysteem. Zij moeten zelf aantonen dat ze op die manier aan de eisen van Rijkswaterstaat voldoen. Als de kwaliteit niet aan de eisen voldoet wordt er niet betaald.
In de bouwsector is ISO 9001-2008 de basis, ook al is certificering niet wettelijk verplicht. Bij grote overheidsprojecten maakt deze wel standaard deel uit van de gunningsvereisten. Ook hoofdaannemers stellen certificering vaak als voorwaarde bij contracten met onderaannemers of met andere partijen waarvan wordt ingekocht. Veel bouwondernemingen passen eveneens, in navolging van Rijkswaterstaat, systeemgerichte contractbeheersing toe.
De langdurige zorg kent twee dominante kwaliteitskeurmerken: HKZ en Perspekt/Prezo. Bij HKZ (Harmonisatie Kwaliteitsbeoordeling in de Zorgsector) vormt ISO 9001-2008 de basis, aangevuld met situatiegebonden HKZ-normen, zoals voor kinderdagverblijven of zorgboerderijen. Perspekt/Prezo kijkt vooral naar uitkomsten, zoals klanttevredenheid en is minder procesgericht dan HKZ. Jaarlijks zijn er audits door de certificerende instanties.
Ook in de foodsector is ISO 9001 een veelgebruikt normenkader. Toch ligt de nadruk hier op voedselveiligheid, met HACCP als basisnorm. Ook ISO 22000 heeft betrekking op voedselveiligheid. Daarnaast worden normenstelsels toegepast die kwaliteit en voedselveiligheid combineren, zoals BRC (vooral in de retail) en FSCC 22000.