Nieuwe richtlijn kwaliteitsborging software NPR 5326

(Dit artikel beschrijft de werkversie van NPR 5326. Inmiddels is de definitieve richtlijn gepubliceerd )

Een team van experts werkt aan NPR 5326, een nieuwe NEN-richtlijn om problemen bij ontwikkeling van maatwerk-software te voorkomen. De eerste conceptversie is gepubliceerd in najaar 2018. Een team van expert, inclusief de auteur namens ICT Institute., werkt dit concept nu uit naar een definitieve versie. 

Nederlandse praktijkrichtlijn

Het document dat wordt gemaakt is officieel geen ISO-norm, maar een Nederlandse PraktijkRichtlijn(NPR). Dit is een variant op de officiële ISO-norm of NEN-norm, voor normen die vooral informatief zijn. Het initiatief voor de norm komt vanuit de overheid, omdat er veel aandacht is voor mislukkende  IT-projecten bij de overheid. Denk aan de eerdere parlementaire enquete over mislukte projecten, maar ook aan de recente berichten van mensen met schulden die niet kunnen worden geholpen. Bij ICT Institute weten we echter vanuit de aanvragen die we krijgen dat ook daar veel projectrisico’s er zijn. Het is daarom goed dat de richtlijn generiek wordt geschreven en zometeen voor iedereen bruikbaar wordt. De NPR 5326 is ontwikkeld voor zowel nieuwbouwprojecten als projecten voor software-onderhoud. Beide projecten kennis veel vergelijkbare risico’s.

Software-risico’s

De kern van de norm bestaat uit een beschrijving van risico’s. Per risico is omschreven hoe dit zich kan voordoen en zijn er maatregelen die men kan inzetten om de risico’s te voorkomen. Het idee is dat er binnen elk project gekeken wordt in hoeverre de risico’s zich ook kunnen voordoen, en dat er dan een aantal maatregelen worden genomen. De volgende risico’s zijn onder andere genoemd:

• verkeerd inschatten van de hoeveelheid werk (zie ook ons artikel over software estimation)
• suboptimale communicatie binnen het project
• Niet hebben van de juiste expertise

De risico’s die genoemd zijn zijn op zich niet nieuw, wij behandelen veel van de risico’s in onze blogs over software project management. Het is echter goed om een recente norm hebben die een gestructureerd overzicht geeft. Dit maakt de norm goed bruikbaar. 

Agile en klassieke oplossingen

De norm bevat voor elk risico één of meerdere maatregelen. Ook deze zijn niet per sé nieuw,  maar het is goed om een overzicht te hebben. Het valt op dat er veel agile elementen zijn opgenomen. De volgende maatregelen zijn bijvoorbeeld agile te noemen:

• incrementele oplevering
• iteratieve ontwikkelaanpak
• voortgangsbewaking met burndown charts

Ook andere moderne maatregelen worden genoemd, zoals een automatische ontwikkel- en releasepijplijn, het gebruik van automatische testen en tools voor codekwaliteit: allemaal goede zaken die nog bredere aandacht verdienen. Ook de AVG en mogelijkheid van de DPIA komen langs.

Tegelijk zijn er ook een aantal maatregelen opgenomen die meer passen bij klassiek projectmanagement: identificatie van belanghebbenden, in kaart brengen niet-functionele eisen, risicomanagement, goede archivering. 

De richtlijn laat zien dat er bij experts geen discussie is over wel- of niet agile. Voor een goede risico-aanpak moet men dieper kijken en vanuit elke stroming de nuttige maatregelen implementeren. 

Toepassingsmogelijkheden

De inhoud van de norm is breed toepasbaar: zowel voor organisaties die IT gebruiken voor projectmanagement, als voor leveranciers van IT. Het voordeel van een officiële richtlijn is dat deze ook bijgevoegd kan worden bij aanbestedingen of requests for proposals. Het is altijd veel gedoe bij IT-projecten voor opdrachtgevers om gedetailleerde eisen op te stellen, en voor leveranciers om deze in detail te bestuderen. Door deze richtlijn te gebruiken wordt het veel eenvoudige om goede maatregelen af te spreken. We hopen dan ook dat deze norm veel gebruikt wordt en het gesprek over goed risico-management bevordert.

Volgende stappen

De eerste conceptversie van de norm is  reeds gepubliceerd, en hier kon tot 1 januari 2019 commentaar op worden gegeven. Deze aankondiging staat hier op de NEN-website. Het commentaar wordt nu uitgewerkt door een subcommissie onder leiden van F Niessink, medewerker bij ICTU. Andere betrokken partijen zijn KPMG, SIG, Centric en ICT Institute.

Afbeelding: Tyler B via Unsplash