Tomi Dahlberg
Standardoinnista
MAL:n jäsenille ajatus standardoinnista on todennäköisesti tuttu. Jokainen meistä käyttää standardeihin pohjautuvia tuotteita ja palveluita päivittäin. Myös useat prosessit, menetelmät, (laatu)mittarit ja mittausmenetelmät on standardoitu. Ilman standardeja jokapäiväinen elämämme olisi hankalaa, vaikkemme asiaa yleensä ajattele.
Kansainväliset standardointiorganisaatiot ISO (the International Organisation for Standardization), IEC (International Electrotechnical Commission) ja ITU (International Telecommunication Union) toteuttavat pääosan globaalien standardien kehittämisestä. Näistä suurimmalle ja laajimmalle eli ISO:lle kuuluvat tuotteiden ja palveluiden nykyiset noin 26 000 standardia, joita 830 komitean asiantuntijat 175 maasta kehittävät jatkuvasti. Uusien standardien lisäksi olemassa olevien standardien päivitystarve arvioidaan enintään 5 vuoden välein. Arvioitu standardi vahvistetaan uudelleen, päivitetään tai rauetetaan. Standardointijärjestöt kehittävät standardeja myös yhteisissä komiteoissa esimerkkinä yhteiset ISO/IEC komiteat ja standardit. Vuosiluku standardin jäljessä kertoo sen luomisen tai päivityksen ajankohdan, esimerkkinä ISO/IEC 38500:2024 (IT – Governance of IT for the organizations, julkaistu 2024). Euroopassa CEN vastaa ja täydentää ISO:a, Cenelec IEC:tä ja ETSI ITU:a. Kullakin maalla on lisäksi vastaavat kansalliset standardointiorganisaatiot. Suomessa ne ovat SFS Suomen standardit, Sesko sekä Liikenne- ja viestintäministeriö.
Nykymuotoinen standardointi käynnistyi 1800-luvulla muuttuen vuosien aikana suuresti. Kansainväliset ja eurooppalaiset standardit ovat korvanneet viimeistään 2000-luvulla lähes kokonaan vielä jäljellä olevat Suomessa kehitetyt kansalliset standardit. Nykyään SFS vahvistaa pääsääntöisesti ISO ja CEN standardit kansallisiksi SFS standardeiksi. Kukin SFS:n standardiryhmä vastaa vastuualueellaan kansallisesti merkittävimpien standardien kääntämisestä Suomen kielelle. Esimerkiksi edellä mainittu ISO/IEC 38500:2008 on käännetty ja myös vuoden 2024 päivitys käännetään vuosina 2026–2027.
EU:ssa viime vuosien uusi käytäntö on EU-regulaation toteuttaminen kolmelle eurooppalaiselle standardointiorganisaatiolle annettavilla, hyvinkin yksityiskohtaisilla, standardointipyynnöillä eli SREQ:lla. Tuloksena syntyvät standardit nähdään lakien toteuttamisena velvoittavalla pehmeällä regulaatiolla. Osallistun EU:n ekosuunnitteluasetusta toteuttavan digitaalisen tuotepassin, tieto ja tiedonhallinta-asetuksia toteuttavan datatalouden ja kyberturva-asetusta toteuttavan digitaalisten tuotteiden kyberturvallisuuden standardointiin CEN/Cenelecin yhteisissä komiteoissa. Regulaatioyhteys on voimakas, sillä standardoinnin ja EU-komission asiantuntijat keskustelevat jatkuvasti.
Viime vuosien muutosten vuoksi suomalaisten yritysten, julkisyhteisöjen ja kuluttajien toimintaan eniten vaikuttaviin standardeihin vaikuttamisen kansallinen merkitys on kasvanut. Standardeilla luodaan lainsäädäntöä täydentävät pelisäännöt alusta- ja datataloudelle, digitaalisille tuotteille ja palveluille sekä niiden kaupalle, tuotteiden perus-, ympäristövaikutus- ja kierrätettävyystiedoille, tekoälyn käytölle, älykäille kaupungeille ja monille muille asioille. Mielestäni meillä on paljon parannettavaa Suomessa alkaen standardoinnin käsitteiden ja standardointiprosessien opettamisesta oppilaitoksissa ulottuen aina standardoinnin strategisen ymmärtämiseen organisaation strategian osana sekä kansallisten prioriteettien asettamiseen standardointistrategian avulla.
Kuva ISO 37000 governance of organizations standardiperheen perusstandardin 37001 periaatteista. Nämä ovat myös ISO/IEC 38500 standardin periaatteet IT governanceen sovellettuna. Kuvalähde: ISO 37001:2021.
Voivatko standardit parantaa johtamista?
Olen SFS/SR 308 (IT:n ja IT-palveluiden johtaminen) pitkäaikainen puheenjohtaja. Työmme kohteena on johtaminen. Vastausta varten johtaminen on jaettava päivittäiseen operatiiviseksi kutsuttuun johtamiseen ja ylimmän johdon strategiseksi kutsuttuun johtamiseen. Päivittäisen johtamisen avuksi on kehitetty suuri määrä “parhaita johtamisen käytäntöjä” kuvaavia standardisarjoja. Tunnetuimpia ja käytetyimpiä ovat ISO 9000 laadunhallinnan standardisarja, ISO 14000 ympäristöjohtamisen standardisarja ja ISO/IEC 27000 tietoturvallisuuden standardisarja. SFS/SR 308:n vastuualueella ISO/IEC 20000 IT-palveluhallinnan standardisarja kuuluu tähän joukkoon. Se kilpailee Euroopassa ja Suomessa ITIL IT-palveluhallinta menetelmän kanssa. Auditointipalveluksi kutsuttu liiketoiminta on syntynyt tällaisten johtamismenetelmällisten standardisarjojen soveltamisen ja vaatimustenmukaisuuden arvioimiseksi.
Ylimmän johdon johtamistyön standardeissa lähestymistapa on toinen. Standardit ovat johtamista kuvaavia periaatestandardeja (principles based standards). Hyviä strategisen johtamisen periaatteita sekä operatiivisen johtamisen ohjaamista ja hallintaa kuvaavina ne eroavat merkittävästi operatiivisen johtamisen standardeista. Auditoinnin mahdollistamiseksi operatiivisen johtamisen standardit painottavat standardoidun menetelmän vaatimuksenmukaisuuden täyttämistä päivittäisessä johtamistyössä. Vaatimuksenmukaisuuden puuttuessa periaatestandardeista niiden auditointi ei ole mielekästä. Periaatteiden toteutumista arvioidaan tyypillisimmin hallitusten ja johtoryhmien itsearvioinneilla osana organisaation johtamisjärjestelmän toimivuuden arviointia.
ISO 37000 (Governance of organizations) standardia kutsutaan hyvän hallintotavan (corporate governance) kuvaukseksi. Se sisältää 11 periaatetta tehokkaan, eettisen ja kestävän hallinnan ja ohjauksen toteuttamiseksi kaiken tyyppisissä ja kokoisissa organisaatioissa. Organisaation toiminnalla tulee olla tarkoitus ja organisaatiolla tulee olla strategia ovat kaksi esimerkkiä periaatteista. Yllä mainittu ISO/IEC 38500 standardi soveltaa samat 11 periaatetta IT:n hallintaan ja ohjaukseen. Ajatuksena on, että IT governance on osa corporate governancea. ISO/IEC standardisarjan osia ovat 38505 data governance, 38506 ja 38507 governance of artificial intelligence, 35308 governance of (shared) service management systems ja 38509 governance of IT for digital inclusion. Mainituista standardeista 38505 on jo uusittu ISO 37000 periaatteiden mukaiseksi.
Standardoinnin kasvavan merkityksen vuoksi kannustan MAL:n jäseniä osallistumaan standardointiryhmiin, esimerkiksi ottamalla yhteys SFS:ään tai kommentoimalla julkisessa lausuntovaiheessa olevia standardeja SFS:n lausuntopalvelussa. •
Tomi Dahlberg on Turun kauppakorkeakoulun eläköitynyt professori alanaan tietojärjestelmätiede. Hän toimii asiantuntijana useissa standardointiryhmissä sekä hallitusammattilaisena.
Tomi Dahlberg