In februari 2023 heeft Brand Compliance, in samenwerking met ITAM Forum, de eerste 2 certificaten ter wereld mogen uitreiken voor ISO 19770-1 (ITAM). Dit is een managementsysteem-standaard die zich richt op het beheersen van IT-assets. De norm biedt een overzicht van de verschillende categorieën IT-assets en bekijkt deze categorieën op een procesmatige manier.

Yorick Heijink 1Onze ITAM auditor

We interviewden onze ITAM auditor, degene die verantwoordelijk is geweest voor deze eerste audittrajecten. Het betreft een auditor die zich van oorsprong bezighoudt binnen het werkveld van Information Security, oftewel het uitvoeren van ISMS audits. In dit interview leest u over zijn ervaringen met het auditen van ISO 19770-1. Hij legt uit tegen welke uitdagingen hij is aangelopen, vertelt over zijn verwachtingen voor de toekomst en voor welk type organisaties een ITAM certificering relevant kan zijn.

Wat vind je het leukste aan het auditen van de (nieuwe) ISO 19770-1?

Het is bijzonder om betrokken te zijn bij een nieuw certificatieproces in een daarvoor nog niet gecertificeerde branche. Het werkveld voor IT asset management biedt geheel nieuwe perspectieven. Waar gebruikelijk een focus ligt op informatiebeveiliging en kwaliteit, ligt hier de focus op financiële doelstellingen en is een hele andere groep belanghebbenden betrokken. Daarbij opent het deuren naar experts en organisaties die gepassioneerd zijn voor hun vak en daar op deze manier erkenning voor kunnen krijgen.

Ben je tegen uitdagingen aangelopen tijdens het audittraject?

De grootste uitdaging was dat het beheer van middelen nu op een veel grotere schaal beoordeeld moet worden. Daar komen veel processen bij die voorheen wel zijdelings betrokken waren bij informatiebeveiliging en kwaliteit, maar nu met veel meer diepgang geverifieerd moeten worden. Daarbij is in dit werkveld het concept van het managementsysteem nog niet zo ingesleten, wat de toepassing van vertrouwde steekproeven en verwachtingen op de proef stelt.

Welke competenties heeft een ITAM auditor nodig? 

Sinds ISO 19770-1 is omgebouwd naar een managementsysteem-certificering is de kennis van managementsystemen een absolute must. Daarnaast is het belangrijk om ervaring en inzicht te hebben in grote organisaties met veel verschillende afdelingen, processen en belangen. Al bij de voorbereiding van de audit moeten verbanden gelegd worden om tijdens de audit de juiste mensen te kunnen spreken. Met de ITAM processen zelf word ik steeds meer vertrouwd. Dit is goed bij te leren door ondersteuning van experts uit het vakgebied, waarmee een competent auditteam gevormd kan worden.

Is, op basis van je recente ervaring, IT asset management relevant voor elk soort organisatie?

IT asset management is absoluut relevant voor alle organisaties, groot en klein. Echter, de certificering zal pas relevant worden wanneer de impact van deze middelen groter wordt. Efficiëntie van processen en financiële doelstellingen vormen de basis van het IT asset managementsysteem, en waar dit mogelijk goed te integreren is met andere managementsystemen, hebben niet alle organisaties dezelfde diversiteit of volumes om daar een specifieke focus op te leggen.

Is certificering van ISO 19770-1 de toekomst en waarom?

Gebruikelijk worden certificeringen gevraagd door de markt om vertrouwen te geven aan klanten en andere externe stakeholders. Deze certificering richt zich meer op interne belanghebbenden en leveranciers. Waar grote organisaties kans hebben op audits van hun leveranciers, moet een ISO 19770-1 certificering het vertrouwen geven dat deze audits geen, of geen grote, negatieve gevolgen zullen hebben. Dit zal voor nu vooral een geruststelling zijn voor management, maar ook naar financiers, dat de beschikbare middelen in de organisatie verstandig en efficiënt gebruikt worden. Uiteindelijk is de hoop dat leveranciers gevoelig zullen worden voor een ISO 19770-1 certificering, met als doel dat audits minder frequent en minder impactvol worden voor gecertificeerde organisaties.