Volg Software Zaken

Praktijkrichtlijn risicobeheersing voor maatwerksoftware (NPR 5326)

| Sieuwert van Otterloo | Software

Op 1 November 2019 heeft de Nederlandse standaardorganisatie NEN een nieuwe praktijkrichtlijn gepubliceerd: NPR 5326, voor risicobeheersing bij ontwikkeling en onderhoud van maatwerksoftware. Deze richtlijn is bedoeld om software-ontwikkeltrajecten beter te laten verlopen. De richtlijn is gratis beschikbaar.

Achtergrond NPR 5326

Veel IT-projecten bij de overheid verlopen niet zoals gepland, ondanks de introductie van een IT-dashboard en een eerdere onderzoekscommissie. Overheidsafdeling ICTU voert regie over verschillende projecten en heeft daarom een betere aanpak ontwikkeld op basis van een aantal extra maatregelen. ICTU heeft in 2017 contact gezocht met de NEN om deze aanpak voor iedereen beschikbaar te stellen. Vervolgens is een schrijfgroep opgericht en zijn er commentaar-rondes geweest (een eerdere versie bijvoorbeeld hier besproken. Eerdere versies hadden een iets andere naam). Uiteindelijk zijn alle commentaren verwerkt en is de richtlijn op 1 november gepubliceerd. Hoewel het initiatief begonnen is bij de overheid, is de aanpak generiek: elke organisatie kan en mag de richtlijn gebruiken. De achtergrond van deze richtlijn is in oktober 2019 ook door projectleider Frank Niessink bij de NVBI toegelicht.

Aan de ontwikkeling van NPR 5326 werkten de volgende organisaties mee: ICTU, KPMG, Centric, Namco Healthcare Technology, Logius, SDB, Agentschap Telecom, Philips, Software Improvement Group en ICT Institute. De praktijkrichtlijn  is verkrijgbaar via de NEN.

Qua nummering is deze norm een opvolger van NPR 5325: Overdracht van software. Inhoudelijk gezien is het eigenlijk een voorloper. Voordat men software kan overdragen zoals beschreven in 5325, zal deze eerst ontwikkeld en onderhouden moeten worden zoals in richtlijn 5326 omschreven.

Inhoud van de richtlijn

Zoals de titel al zegt is de aanpak risicogedreven. De richtlijn beschrijft eerst een aantal risico’s van maatwerk softwareprojecten. Vervolgens worden er beheersmaatregelen beschreven. Voor elk risico zijn er meerdere maatregelen. De meeste maatregelen dekken meerdere risico’s af. Bij de richtlijn zit ook een assessment-tool (excel-spreadsheet) waarmee men risico’s kan bijhouden om te zien of de juiste maatregelen zijn genomen.

Enkele voorbeelden van risico’s zijn:

  • Risico 01: De software wordt gewijzigd waardoor de kwaliteit van de software verslechtert
  • Risico 05: Het team beschikt niet over de juiste expertise waardoor de software niet voldoet aan de gestelde eisen
  • Risico 10: Doordat veel tijd nodig is voor het invullen van randvoorwaarden voor de softwareontwikkeling, wordt het product niet tijdig opgeleverd

Enkele voorbeelden van maatregelen zijn:

  • Maatregel 01: Belanghebbenden identificeren en betrekken
  • Maatregel 05: Technische schuld identificeren, inzichtelijk maken en planmatig oplossen
  • Maatregel 10: Voortdurend voldoen aan de eisen met regressietests

Hoewel er veel agile maatregelen voorkomen in deze praktijkrichtlijn, is de richtlijn neutraal en methode-onafhankelijk. De beheersmaatregelen zijn op voldoende hoog niveau omschreven dat meerdere organisaties ze kunnen toepassen.

Naast risico’s en beheersmaatregelen, bevat de richtlijn ook definities voor alle gebruikte termen. Methodes en begrippen zoals Lean Startup, MVP, T-shirt-sizing, test driven development, ontwikkelpijplijn, product owner, design thinking en devOps hebben in deze richtlijn een officiële definitie gekregen. Hieronder zijn de definitie en het voorbeeld van een burndown chart gegeven. Het bewaken van voortgang met behulp van een burndown chart is één van de aanbevolen maatregelen.

 

Audits en toepassing

Als een van de schrijfgroepleden heeft ICT Institute veel kennis van de richtlijn. ICT Institute kan daarom audits uitvoeren op basis van NPR 5326. Dit kan zowel voor losse projecten als voor afdelingen en organisaties. De audit hoeft niet alleen achteraf plaats te vinden: men kan ook vooraf, bij de start van het project, de risico’s in kaart brengen en op basis hiervan beheersmaatregelen treffen.
Een andere mogelijke toepassing van deze norm is gebruik bij aanbestedingen. Opdrachtgevers kunnen toepassing van deze richtlijn als eis meenemen om zo een juiste aanpak van maatwerk-software-projecten te eisen. De opdrachtgever zal dan vooraf moeten aangeven hoe de maatregelen worden ingevuld.

Informatiebijeenkomst januari 2020

Op 17 januari 2020 organiseren de NPR 5326-schrijfgroep en NEN de informatiebijeenkomst ‘Grip op ICT-projecten met NPR 5326 – de nieuwe richtlijn in de praktijk’. Tijdens deze middag wordt NPR 5326 toegelicht en worden ervaringen met de NPR in de praktijk gedeeld. Binnenkort kunt u zich hiervoor aanmelden via de website van NEN.

Bron afbeelding: Tye Doring via unsplash.

Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van software-kwaliteit, IT-strategie, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.