Las respuestas que siempre quisiste conocer sobre ISO 20000

Sistema de Gestión Servicios TI (SGSTI) Planificación e implementación de la gestión del servicio (PDCA) Planificación e implementación de servicios, nuevos o modificados

Procesos de Provisión de Servicio

Procesos de control

Proceso de Entrega

Procesos de Resolución

Procesos de Relaciones

2

Guía ISO 20000
Realizado por el Grupo de Trabajo “Difusión ISO 20000” del itSMF España. Septiembre 2008 - Versión 1

Autor :

Juan José Carpintero

Co-Autores : Julio Ballesteros Javier Benito Manuel Díaz de la Fuente Juan José Figueiras Francisco Gil Orlando Pereda Alejandro Pérez Sergio Ribes Marlon Molina Dibujos : Juan José Carpintero

3

Indice
                       Prólogo ................................................................................................ 6 ¿Qué es ISO 20000?.............................................................................. 7 ¿Cuáles son los procesos definidos de ISO 20000? .............................. 8 ¿Para qué sirve ISO 20000? ................................................................ 10 ¿Dónde se consigue la ISO 20000? ..................................................... 12 ¿Qué beneficios me puede aportar ISO 20000? ................................ 14 ¿Quién puede ayudarnos con el proceso de certificación? ............... 15 ¿La empresa que audite nuestro sistema de gestión, debe estar acreditada? ......................................................................................... 18 ¿Para qué sirve un esquema de certificación? ................................... 20 ¿Hay que pasar controles, una vez obtenida la certificación ISO 20000? ................................................................................................ 22 ¿Me puede ayudar en algo tener un certificado ISO 9000?............... 24 Si ya tengo ISO 9000, ¿para qué necesito ISO 20000? ....................... 25 ¿Cómo puedo demostrar que cumplo con la norma ISO 20000? ...... 26 ¿Qué evidencias y registros necesitamos tener en nuestro sistema de gestión? .............................................................................................. 27 Ya estoy con ITIL, ¿es necesario dar el salto a ISO 20000? ................ 30 ¿Es importante seguir el modelo ITIL para obtener ISO 20000?........ 31 ¿Es necesario certificar a nuestros equipos en ITIL para poder obtener ISO 20000?.......................................................................................... 34 Si ya soy consultor de ITIL, ¿qué debo hacer para poder dar consultoría en ISO 20000?.................................................................. 36 Como organización TI que busca certificarse en ISO 20000, ¿qué ayuda externa puedo buscar? ............................................................ 37 ¿Es necesario certificarse en los 13 procesos de ISO 20000, y sus requerimientos? ................................................................................. 38 ¿Qué diferencia a ISO 20000 de los demás estándares? ................... 40 ¿Tengo que hacer un cambio radical en mi compañía? ..................... 41 ¿Es necesario certificar toda la organización de TI en ISO 20000? .... 42

4

 ¿Es importante seguir la metodología PDCA en un proceso de obtención de ISO 20000? ................................................................... 44  ¿Necesitaré contratar a más gente en plantilla para certificarme? ... 46  ¿Es necesario crear un proyecto para la obtención de ISO 20000? ... 48  ¿Cuánto tiempo necesito para obtener la certificación ISO 20000? y ¿cuál es el coste? ................................................................................ 50  ¿Dónde informarse? ........................................................................... 51  Bibliografía.......................................................................................... 51

5

Prólogo • Esta guía tiene como objetivo responder a una serie de preguntas que todos nos hacemos sobre ISO 20000. para que su lectura sea del agrado de todos. evitando en lo posible los tecnicismos. • El lenguaje que se ha utilizado está pensado para que cualquiera pueda entender las respuestas. • El grupo que ha trabajado en la construcción de esta guía ha querido darle un punto de humor. 6 .

• Un proceso de planificación e implementación de servicios • Requisitos de un sistema de gestión. estando enfocado a empresas proveedoras de servicios TI.¿Qué es ISO 20000? • ISO 20000 es un estándar internacional para proporcionar servicios TI de calidad. Sistema de Gestión Servicios TI (SGSTI) Planificación e implementación de la gestión del servicio (PDCA) Planificación e implementación de servicios. • ISO 20000 consta de … • 13 procesos definidos. está relacionado con ITIL. para los clientes de una determinada organización. • Ciclo de mejora continua (PDCA). • ISO 20000 surge de la norma británica BS15000. que a su vez. nuevos o modificados Procesos de Provisión de Servicio Procesos de control Proceso de Entrega Procesos de Resolución Procesos de Relaciones 7 .

8 . • Información del servicio. • Gestión del Cambio. • Procesos de Control. • Gestión de la continuidad y disponibilidad del servicio. • Elaboración de presupuestos y contabilidad de los servicios de TI. • Gestión del nivel de servicio. • Gestión de la seguridad de la información.¿Cuáles son los procesos definidos de ISO 20000? (I) • Procesos de provisión del servicio. • Gestión de la capacidad. • Gestión de la Configuración.

• Gestión de proveedores. • Todo ello sin olvidar el resto de requisitos comentados anteriormente. 9 .¿Cuáles son los procesos definidos de ISO 20000? (II) • Proceso de entrega. • Gestión de relaciones con el negocio. • Gestión de incidencias. • Procesos de resolución. • Procesos de relaciones. • Gestión de la entrega. • Gestión de problemas.

¿Para qué sirve ISO 20000? (I) • Entre otros propósitos. • Integrar los diferentes procesos de la organización evitando que funcionen de manera aislada o descoordinada. • Conseguir la calidad de los servicios y la adecuación a las necesidades reales de los clientes. • Gestionar el servicio teniendo en cuenta toda la cadena de valor (de extremo a extremo). sirve para: • Conseguir una orientación efectiva al cliente. • Conseguir tener un sistema de mejora continua. 10 .

11 . ante otras empresas que busquen externalizar servicios.¿Para qué sirve ISO 20000? (II) • Las organizaciones mejorarán su competitividad. costes y el “time-to market” de nuevos productos. • Las organizaciones certificadas podrán demostrar la calidad de su gestión en la provisión de servicios de TI: • Las organizaciones internas de cara a la propia organización. reduciendo riesgos. • Las organizaciones externas. a la vez que mejoran su calidad en el servicio de TI.

• Conseguir ISO 20000 cuesta tiempo. pero merece la pena estar entre aquellas empresas que consiguen este sello de calidad de la Gestión de Servicios de TI. sino ¿Cómo? • El proceso de obtención de ISO 20000 necesita seguir unos pasos establecidos. • Documentar y cumplir con todos los procesos y requerimientos • Tener evidencias de la gestión de los mismos. 12 . esfuerzo y dinero. • Nombrar un Responsable. y el alcance definido. dependiendo del tamaño de la empresa. • Definir el alcance.¿Dónde se consigue la ISO 20000? • La pregunta no debe ser ¿Dónde?. • Conseguir una ISO 20000 lleva entre 12 y 24 meses.

13 .

• A nivel de los clientes. una empresa certificada en ISO 20000 significa que trabaja acorde a unos estándares conocidos y aceptados globalmente.¿Qué beneficios me puede aportar ISO 20000 (I)? • ISO 20000 proporciona a las empresas que la implantan una sistemática para gestionar correctamente los servicios TI. se consigue mayor eficacia y eficiencia. 14 . • A nivel operativo. ISO 20000 es un referente para recibir una prestación de servicios TI de calidad y acorde a sus necesidades y expectativas. • A nivel estratégico.

¿Qué beneficios me puede aportar ISO 20000 (II)? • Desde el punto de vista empresarial la certificación en ISO 20000 significa una fuente potencial de nuevos clientes que estén buscando empresas con niveles de calidad fiables. • Puede significar la entrada en mercados globales. ya que ISO 20000 es ampliamente reconocida a nivel internacional. 15 .

ISO 9000 en entornos TI).¿Quién puede ayudarnos con el proceso de certificación? • Hoy en día hay muchos consultores con experiencia en ITIL que pueden ayudarnos. que nadie nos abrume con demasiadas siglas. • Hay que huir de aquellos que digan que tienen mucha experiencia en ISO 20000. • En cualquier caso. y que tengan experiencia en otras certificaciones ISO. 16 . • Es aconsejable que los consultores que nos atiendan estén certificados en ITIL. (ISO 27001. puesto que es una norma demasiado nueva como para que nadie tenga “mucha experiencia”.

17 .

• En nuestro país ese organismo es la ENAC. debe estar acreditada? • Por supuesto. será la ENAC quien audite y certifique el modelo. hasta que se define el esquema de certificación.¿La empresa que audite nuestro sistema de gestión. • Sólo en las primeras certificaciones puede haber excepciones. son a su vez auditadas y acreditadas por un organismo externo. • Conseguir una ISO 20000 sin el sello de ENAC. • Una vez realizadas las primeras auditorías. tiene poco valor (aunque la realidad dice que al menos hacen falta dos años para conseguir las primeras certificaciones acreditadas por ENAC). Las empresas auditoras. 18 .

19 .

y el esfuerzo. 13 procesos. planificación e implementación de servicios. 20 .¿Para qué sirve certificación? un esquema de • Un esquema de certificación nos permite tener una visión única de algo. y la calidad intrínseca que tiene ISO 20000 podrían verse en entredicho. • Si hablamos de ISO 20000 nos imaginamos una buena gestión de servicios con un sistema de gestión. un sistema de gestión. • Imaginen como sería un móvil de última generación. etc. cada empresa certificadora podría utilizar sus métodos propios para realizar la auditoría. PDCA. evidencias claras de los procedimientos. sin un esquema de certificación claro. • Sin esquema de certificación. un alcance establecido.

21 .

• ISO 20000 no es un sello en la pared. 22 . es el principio de una nueva fase. es la forma de trabajo diaria de TI. • Hay que realizar controles anuales y hay que re-certificarse cada 3 años. una vez obtenida la certificación ISO 20000? • Por supuesto. La obtención de la certificación ISO 20000. Por lo tanto es necesario registrar las evidencias necesarias para poder demostrar su cumplimiento. por lo que hay que mantenerla viva y mejorarla en función de las necesidades de la organización. • ISO 20000 contempla en sus requisitos la mejora continua para que los procesos de gestión evolucionen en eficiencia y se ajusten a las necesidades reales de la organización.¿Hay que pasar controles. no el final.

23 .

• Desde el punto de vista documental pueden aprovecharse los mismos procedimientos para ambos sistemas de gestión. Auditorías Internas. • Hay que tener cuidado con el alcance. Control de la Documentación. ya que si no es el mismo para un sistema y otro habrá que hacer ciertas adaptaciones. 24 .¿Me puede ayudar en algo tener un certificado ISO 9000? • Sí. hay procesos de ISO 20000 que son muy similares a ISO 9000. a fin de cuentas ambos están basados en un modelo de procesos orientado a la calidad. Competencia y Formación. como son los de Responsabilidades de la Dirección. es casi una obligación. Medición y Mejora.

tendría todo el sentido plantearse conseguir la certificación ISO 20000. ¿para qué necesito ISO 20000? • ISO 9000 es usado por distintas organizaciones en diferentes sectores. mientras que ISO 20000 es una certificación específica de TI. • Aunque hay áreas que pueden solaparse entre ambas normas. 25 . • Si el principal propósito de una organización son los servicios de TI. ISO 20000 se enfocará sólo en los procesos de gestión de los servicios TI. y aporta un valor añadido e las relaciones comerciales.Si ya tengo ISO 9000. mientras que ISO 9000 abarcará todos los procesos de la organización.

26 . que garantizarán el cumplimiento. • La certificación garantiza que la organización TI tiene implantados y utiliza los controles y procedimientos adecuados para dar un servicio de calidad.¿Cómo puedo demostrar que cumplo con la norma ISO 20000? • El mejor modo de demostrarlo es realizar una auditoría externa a través de un organismo de certificación acreditado. • Su evaluación independiente e imparcial. y obtendrá el logo correspondiente. • Si la auditoría tiene éxito se conseguirá la certificación. es realizada por auditores certificados en la gestión del Servicio de TI.

cara al auditor. 27 . • Cuando el auditor tenga que volver para nuestro proceso de re-certificación. • Las evidencias y registros deben sernos de utilidad para nuestro trabajo diario y para la mejora continua. y no un “trabajo extra” que tenemos que hacer. debemos realizar controles periódicos y guardar evidencias y registros de los mismos. • Es importante que seamos autocríticos a la hora de realizar los controles. esperará encontrar evidencias claras de los controles realizados.¿Qué evidencias y registros necesitamos tener en nuestro sistema de gestión? (I) • Una vez que obtengamos la ISO 20000.

• Un plan de capacidad. • … 28 . • Las evidencias se generan como consecuencia del funcionamiento de los procesos y requerimientos de la norma. • Un acuerdo de nivel de servicio. • Como ejemplos de evidencias con los que demostrar que cumplimos con los requisitos de la norma podemos mencionar: • Un incidente registrado. en el día a día. que sea el responsable de realizar esos controles con la misma exigencia que si fuera un auditor externo.¿Qué evidencias y registros necesitamos tener en nuestro sistema de gestión?(II) • Debemos crear una figura interna e independiente.

29 .

30 . que avale que está realizando la gestión de sus servicios de TI de acuerdo a esta norma internacional. • ISO 20000 certifica organizaciones.“Ya estoy con ITIL”. Si la empresa obtiene los resultados esperados una vez implementados los procesos de ITIL. no es necesario el paso a ISO 20000. ¿es necesario dar el salto a ISO 20000? • No necesariamente. mientras que ITIL certifica sólo a las personas. por una tercera parte independiente. a menos que existan motivos para ello. • La diferencia con respecto a ITIL es que ISO 20000 ha sido desarrollada para que los proveedores de TI. puedan tener una certificación.

• ITIL nos dice que tenemos que ADOPTAR el modelo como fuente de buenas prácticas. por lo que ITIL puede ser muy útil a la hora de implantar los requisitos de la norma. sino extraer todo aquello que nos ayude a mejorar. 31 . pero también que debemos ADAPTAR sus buenas prácticas a la realidad de nuestra empresa.¿Es importante seguir el modelo ITIL para obtener ISO 20000? (I) • Tanto ISO 20000 como ITIL están alineados. • No hay por qué seguir al pie de la letra sus indicaciones. cada uno en su ámbito de actuación.

aunque para obtener la certificación en ISO 20000 tendremos que demostrar que nuestro sistema cumple con los requisitos de la norma. es sin lugar a dudas una ayuda importante para alcanzar ISO 20000.¿Es importante seguir el modelo ITIL para obtener ISO 20000? (II) • ISO 20000. • Tener ITIL en nuestro horizonte. 32 . al igual que ocurre con ITIL. debe adecuarse a nosotros. • Hay que tener documentados los procedimientos de todos y cada uno de los procesos. para poder obtener ISO 20000.

33 .

aunque sí puede ser de utilidad. “Foundations”. • Obtener el primer nivel de certificación. y acredita que tenemos una base. • Si lanzamos el proceso de certificación con ayuda de consultores externos no es necesario tener personal certificado en ITIL. entonces es necesario que al menos estemos formados y.¿Es necesario certificar a nuestros equipos en ITIL para poder obtener ISO 20000? • No es necesario. • Si queremos tener una participación interna más activa. 34 . que alguna de las personas de nuestro equipo esté certificada. es bastante sencillo. si es posible.

35 .

• La certificación ISO 20000 garantiza los conocimientos para poder asesorar a otras empresas en su implantación. qué debo hacer para poder dar consultoría en ISO 20000? • Debería certificarse como consultor de ISO 20000. • Si además de estar certificado en ITIL.¿Si ya soy consultor de ITIL. 36 . también está certificado como consultor de otra norma ISO. el proceso será más sencillo.

que nos permitirán conocer como estamos de alineados con respecto a la norma.Como organización TI que busca certificarse en ISO 20000. 37 . aunque aún no haya una gran experiencia en el mercado. y como evolucionar hacia la certificación. dado que la norma es de reciente creación. • Existen también algunos documentos de evaluación. • En un futuro próximo la propia norma ISO 20000 va a facilitar diferentes herramientas que ayudarán a conocer como estamos alineados con los requerimientos de la norma. ¿qué ayuda externa puedo buscar? • Hay un número importante de empresas que han certificado a sus consultores para que nos puedan aconsejar en como conseguir este objetivo.

• Un consultor nos ayudará en este paso de definición del alcance. y sus requerimientos? • Sí.¿Es necesario certificarse en los 13 procesos de ISO 20000. 38 . tiene que tener suficiente entidad. en el que se basará nuestra certificación. • El alcance que definamos. • Nosotros podemos definir el alcance. pero deberán cumplir igualmente la norma. que nos acreditará en la Gestión de Servicios de TI. • Algunos procesos pueden estar externalizados. como para embarcarnos en un proceso de certificación de ISO 20000. pero tendremos que cumplir con los 13 procesos y requerimientos de la norma. es necesario.

39 .

ISO 9000. • Existe documentación donde se detalla las áreas de solapamiento entre los diferentes estándares. por lo que será más fácil de adaptar para las organizaciones que ya conozcan este modelo. puede haber áreas comunes que se solapen. EFQM … • Cuando se implanta más de un estándar. ISO 27000. Suelen ser las de gestión de la calidad y auditoría. 40 . 6 Sigma. CMMI. COBIT. • Otros estándares o marcos de referencia conocidos son MOF.¿Qué diferencia a ISO 20000 de los demás estándares? • ISO 20000 es el primer modelo de calidad certificable para la gestión de servicios de TI. • ISO 20000 es el único estándar basado en ITIL. para aquellas organizaciones que quieran convivir con más de un estándar.

• En general. planificando su implementación. con una doble dimensión: • En aquellos procesos y requerimientos que requiere la norma y que ya existen en la empresa.¿Tengo que hacer un cambio radical en mi compañía? • No necesariamente. adaptándolos y mejorándolos para que cumplan con ella. se puede abordar partiendo del enfoque de” una transformación o adaptación paulatina”. aunque podría darse el caso para empresas muy desalineadas con lo que requiere la norma. 41 . • En aquellos procesos que requiere la norma y que aún no están presentes en la empresa.

Debemos definir un alcance que sea de suficiente entidad. podríamos estar hablando de un proyecto de 3 años o más. que nos permita acreditar nuestra calidad en los servicios de TI. sin incluir otras áreas que quizás no tengan una fuerte relación con dichos servicios. • Es conveniente definir el alcance idóneo. pero si queremos incluir toda la organización. pero no tiene por qué incluir a toda la organización de TI. No es necesario certificar todos los servicios prestados por TI. 42 . • Un consultor nos ayudará en este paso de definición del alcance. • Implantar el modelo ISO 20000 es largo (entre 12 y 24 meses).¿Es necesario certificar toda organización de TI en ISO 20000? la • No.

43 .

44 . • Nos permite encontrar puntos de mejora que garantizan nuestra calidad en los procesos. • Forma parte de la mejora continua que nos asegura que los procedimientos están vivos y se siguen habitualmente.¿Es importante seguir la metodología PDCA en un proceso de obtención de ISO 20000? • La metodología PDCA es la base de todo proceso de certificación ISO.

45 .

• En cualquiera de los casos.¿Necesitaré contratar a más gente en plantilla para certificarme? (I) • ISO 2000 puede ser aplicada tanto a pequeños como grandes proveedores de servicios TI. que también puede formar parte de la plantilla. si dispone de la preparación suficiente. • El proceso de certificación puede ser más o menos complejo dependiendo del “estado del arte” en la empresa y del tamaño y/o complejidad de la misma. Necesitará un equipo de apoyo. se requiere al menos una persona que dirija y coordine todo el proceso de certificación. 46 . tratándolo como un proyecto interno. Esta persona debería formar parte de la plantilla.

al menos en una parte de su tiempo. como del equipo de apoyo. • La ayuda de un consultor en ISO 20000 facilitará el proceso de certificación. 47 .¿Necesitaré contratar a más gente en plantilla para certificarme? (II) • Será necesaria la participación y el involucramiento tanto del líder. como del resto de los empleados.

un plazo y un presupuesto. empezará realmente la actividad de la gestión del servicio. • Tiene que haber un compromiso directo de la Dirección y del Departamento de TI. tiene que ser una persona de nivel. que pueda llevar a la organización a la obtención de la certificación ISO 20000. • El responsable de este proceso de certificación. Una ISO 20000 no se consigue con los ratos libres. • Tiene que definirse un proyecto. 48 . un equipo. • Una vez obtenida la certificación.¿Es necesario crear un proyecto para la obtención de ISO 20000? • Sí. un responsable.

49 .

el plazo estimado es entre 12 y 24 meses. • El tamaño. en comparación con el proyecto de mejora del servicio necesario para la certificación.¿Cuánto tiempo necesito para obtener la certificación ISO 20000? y ¿cuál es el coste? • El tiempo necesario y el coste dependen de varios factores : • El grado de cumplimiento actual en la empresa. • La auditoría necesaria para la certificación. • El nivel y calidad de la documentación existente. • Para una organización de tamaño medio. complejidad y distribución de la empresa o área a auditar. es una parte de tiempo y coste muy pequeño. 50 .

es www.uk www.uk www.es Bibliografía • • • • UNE ISO/IEC 20000-1 UNE ISO/IEC 20000-2 ISO/IEC 27001:2005 ISO 9001:2000 51 .co.enac.itil.org www.ogc.gov.¿Donde informarse? • • • • • • • www.itsmf.iso.es www.aenor.com www.bsi-global.

52 .

Sign up to vote on this title
UsefulNot useful