Está en la página 1de 37

Esta obra está protegida por el derecho de autor y su reproducción y comunicación pública, en la

modalidad puesta a disposición, se ha realizado en virtud de acuerdo suscrito entre AENOR y la


UNIR. Queda prohibida su posterior reproducción, distribución, transformación y
comunicación pública en cualquier medio y de cualquier forma.
norma UNE-ISO/IEC 20000-3

española
Noviembre 2015

TÍTULO Tecnología de la información

Gestión del servicio

Parte 3: Directrices para la definición del alcance y la aplica-


bilidad de la Norma ISO/IEC 20000-1

Information technology. Service management. Part 3: Guidance on scope definition and applicability of
ISO/IEC 20000-1.

Technologies de l'information. Gestion des services. Partie 3: Recommandations pour la détermination du


périmetre et l'applicabilité de l'ISO/CEI 20000-1.

CORRESPONDENCIA Esta norma es idéntica a la Norma Internacional ISO/IEC 20000-3:2012.

OBSERVACIONES Esta norma anula y sustituye al Informe UNE-ISO/IEC TR 20000-3:2011 IN.

ANTECEDENTES Esta norma ha sido elaborada por el comité técnico AEN/CTN 71 Tecnología de la
información.

Editada e impresa por AENOR LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:
Depósito legal: M 35862:2015
35 Páginas

 AENOR 2015 Génova, 6 info@aenor.es Tel.: 902 102 201


Reproducción prohibida 28004 MADRID-España www.aenor.es Fax: 913 104 032

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


S

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


-3- ISO/IEC 20000-3:2012

Índice
Prólogo...................................................................................................................................................... 4

0 Introducción ............................................................................................................................ 5

1 Objeto y campo de aplicación ................................................................................................ 5

2 Normas para consulta ............................................................................................................ 5

3 Términos y definiciones .......................................................................................................... 5

4 Cumplimiento de los requisitos especificados en la Norma ISO/IEC 20000-1 .................. 6

5 Aplicabilidad de la Norma ISO/IEC 20000-1 ....................................................................... 6


5.1 ¿Quién puede utilizar la Norma ISO/IEC 20000-1? ............................................................ 6
5.2 Gobierno de los procesos operados por terceros .................................................................. 7
5.3 El alcance de la tecnología utilizada para la provisión del servicio .................................... 8

6 Principios generales para el alcance de un SGS ................................................................... 8


6.1 Introducción ............................................................................................................................ 8
6.2 El alcance del SGS .................................................................................................................. 9
6.3 Acuerdos entre clientes y el proveedor del servicio ............................................................. 9
6.4 Parámetros de definición del alcance .................................................................................. 10
6.5 Validez de la definición del alcance ..................................................................................... 10
6.6 Modificando el alcance ......................................................................................................... 11
6.7 Cadenas de suministro y alcance del SGS .......................................................................... 11
6.8 Integración o alineamiento con otros sistemas de gestión ................................................. 12

Anexo A (Informativo) Principales puntos sobre el alcance del SGS, su aplicabilidad y


conformidad con la Norma ISO/IEC 20000-1 ........................................ 13

Anexo B (Informativo) Escenarios basados en las definiciones del alcance ................................ 15

Anexo C (Informativo) Tipos de evaluaciones de conformidad ................................................... 33

Bibliografía............................................................................................................................................. 34

Figuras
Figura B.1 – Escenarios 1 y 2: Relación con suministradores ........................................................... 16
Figura B.2 – Escenario 3: Relación con el suministrador principal y los suministradores
subcontratados ....................................................................................................................................... 16
Figura B.3 – Escenario 4: Definición del alcance ................................................................................ 17
Figura B.4 – Escenario 5: Definición del alcance ................................................................................ 18
Figura B.5 – Escenario 6: Definición de alcance ................................................................................. 20
Figura B.6 – Escenario 7: Definición de alcance ................................................................................. 22
Figura B.7 – Escenario 8: Definición de alcance ................................................................................. 24
Figura B.8 – Escenario 8: Redibujado para mostrar el Suministrador 4, como parte de la
Organización V ...................................................................................................................................... 25
Figura B.9 – Escenario 9: Definición del alcance ................................................................................ 26
Figura B.10 – Escenario 10: Definición del alcance ............................................................................ 28
Figura B.11 – Escenario 11: Definición del alcance ............................................................................ 30

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 -4-

Prólogo

ISO (Organización Internacional de Normalización) e IEC (la Comisión Electrotécnica Internacional)


constituyen el sistema especializado para la normalización a nivel mundial. Los organismos nacionales
que son miembros de ISO o IEC participan en el desarrollo de normas internacionales a través de comités
técnicos establecidos por las organizaciones respectivas para realizar acuerdos en los campos específicos
de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras
organizaciones internacionales, públicas y privadas, en coordinación con ISO e IEC, también participan
en el trabajo. En el campo de tecnologías de la información, ISO e IEC han establecido un comité técnico
conjunto, el denominado ISO/IEC JTC 1.

Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las
Directivas ISO/IEC.

La tarea principal de los comités técnicos es preparar normas internacionales. Los proyectos de normas
internacionales adoptados por los comités técnicos se envían a los organismos miembros para votación.
La publicación como norma internacional requiere la aprobación por al menos el 75% de los organismos
miembros que emiten voto.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derechos de patente. ISO e IEC no asumen la responsabilidad por la identificación de cualquiera
o todos los derechos de patente.

La Norma ISO/IEC 20000-3:2012 fue preparada por el Comité Técnico conjunto ISO/IEC JTC 1
Tecnología de la Información, Subcomité SC 7, Ingeniería del software y sistemas.

Esta primera edición de la Norma ISO/IEC 20000-3 anula y sustituye a la primera edición de la Norma
ISO/IEC TR 20000-3:2009, que ha sido revisada técnicamente junto con la Norma
ISO/IEC 20000-1:2011.

La Norma ISO/IEC 20000 consiste en las siguientes partes, bajo el título general Tecnología de la
información. Gestión del servicio:

– Parte 1: Requisitos del Sistema de Gestión del Servicio (SGS).

– Parte 2: Directrices para la aplicación del Sistema de Gestión del Servicio (SGS).

– Parte 3: Directrices para la definición del alcance y la aplicabilidad de la Norma ISO/IEC 20000-1.

– Parte 4: Modelo de referencia de procesos [Informe Técnico].

– Parte 5: Plan de implementación ejemplar para ISO/IEC 20000-1 [Informe Técnico]1).

– Parte 7: Directrices para la aplicación de la Norma ISO/IEC 20000-1 en la nube2).

– Parte 10: Conceptos y terminología [Informe Técnico]2).

– Parte 11: Directrices sobre la relación entre la Norma ISO/IEC 20000-1:2012 y otros marcos
relacionados: ITIL®3) [Informe Técnico]2).

1) Informe Técnico en revisión como una segunda edición.


2) En desarrollo.
3) ITIL® es una Marca Registrada.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


-5- ISO/IEC 20000-3:2012

0 Introducción
La Norma ISO/IEC 20000-1 especifica los requisitos para un Sistema de Gestión del Servicio (SGS). La ejecución de los
procesos en un entorno particular de sistema o servicio traerá como consecuencia requisitos únicos en cuanto a habilidades,
herramientas e información, aún cuando los atributos de proceso permanezcan inalterados. No hay requisitos en la Norma
ISO/IEC 20000-1 que estén relacionados con la estructura organizativa, tamaño o tipo de organización. Los requisitos de la
Norma ISO/IEC 20000-1 no cambian con la estructura organizativa, la tecnología o el servicio.

Los procesos de gestión de servicios pueden cruzar muchos límites organizativos, legales y nacionales, así como diferentes
zonas horarias. Los proveedores de servicios pueden depender de una cadena de suministros compleja para la prestación
del servicio. Los proveedores de servicios pueden prestar un abanico de servicios a diferentes tipos de clientes, tanto
internos como externos. Para una cadena de suministro compleja, la declaración y la aplicación del alcance puede
convertirse en algo complejo en el uso de la Norma ISO/IEC 20000-1 por parte del proveedor de servicios.

Esta parte de la serie ISO/IEC 20000 toma el formato de ejemplos, directrices y recomendaciones. No debería ser citada
como si fuese una especificación de requisitos. Se debería tener especial cuidado en asegurar que las declaraciones de
conformidad no induzcan a error.

1 Objeto y campo de aplicación


Esta parte de la serie ISO/IEC 20000 incluye las directrices para la definición del alcance, aplicabilidad y demostración
de conformidad con los requisitos especificados en la Norma ISO/IEC 20000-1.

Las directrices de esta parte de la Norma ISO/IEC 20000 ayudarán a los proveedores de servicios a planificar las
mejoras de los servicios y/o prepararse para una evaluación de conformidad contra la Norma ISO/IEC 20000-1.

Esta parte de la Norma ISO/IEC 20000 ayudará a establecer si la Norma ISO/IEC 20000-1 es aplicable a las circuns-
tancias de un proveedor de servicios. Ilustra cómo puede ser definido el alcance de un SGS, independientemente de si el
proveedor de servicios tiene experiencia en la definición del alcance de otros sistemas de gestión.

Se incluye una guía sobre los tipos de evaluaciones de conformidad y las normas de evaluación.

Los escenarios y ejemplos dados tratan una serie de circunstancias prácticas y que se encuentran comúnmente los
proveedores de servicios.

Esta parte de la Norma ISO/IEC 20000 será útil para los consultores y evaluadores. Complementa las directrices para la
aplicación de la Norma ISO/IEC 20000-1 dadas en la Norma ISO/IEC 20000-2.

2 Normas para consulta


Los documentos indicados a continuación, en su totalidad o en parte, son normas para consulta indispensables para la
aplicación de este documento. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin
fecha se aplica la última edición (incluyendo cualquier modificación de ésta).

ISO/IEC 20000-1:2011, Tecnología de la información. Gestión del Servicio. Parte 1: Requisitos del Sistema de Gestión
del Servicio (SGS).

3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones incluidos en la Norma ISO/IEC 20000-1.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 -6-

4 Cumplimiento de los requisitos especificados en la Norma ISO/IEC 20000-1


Los proveedores de servicios deberían tener en cuenta que demostrar la conformidad sólo es posible cumpliendo todos
los requisitos de la Norma ISO/IEC 20000-1. Para esto el proveedor de servicio debería demostrar que:

a) todos los procesos de la Norma ISO/IEC 20000-1 están documentados;

b) todos los procesos producen los resultados deseados;

c) los resultados de la gestión del servicio son apropiados para dar soporte a las necesidades del negocio y a los
requisitos de los clientes;

d) el SGS es gestionado para cumplir los requisitos del servicio;

e) la metodología "Planificar – Hacer – Verificar – Actuar" (PDCA) se usa para la mejora continua del SGS y de los
servicios;

f) el proveedor de servicios tiene el gobierno de los procesos operados por terceros.

5 Aplicabilidad de la Norma ISO/IEC 20000-1

5.1 ¿Quién puede utilizar la Norma ISO/IEC 20000-1?


El apartado 1.2 de la Norma ISO/IEC 20000-1:2011 describe la aplicación de la norma.

Un rango amplio de proveedores de servicios puede usar un SGS basado en la Norma ISO/IEC 20000-1. La Norma
ISO/IEC 20000-1 puede aplicarse tanto a proveedores internos y externos de servicios, grandes o pequeños, comerciales
y no comerciales. La aplicabilidad de la Norma ISO/IEC 20000-1 es independiente de cómo está financiado el servicio.

Ninguno de los requisitos de los capítulos 4 a 9 de la Norma ISO/IEC 20000-1:2011 pueden ser excluidos de una
evaluación cuando un proveedor de servicios pretende la conformidad con la Norma ISO/IEC 20000-1:2011.

El proveedor de servicios debería tener el control total del SGS mediante el cumplimiento de todos los requisitos del
capítulo 4 de la Norma ISO/IEC 20000-1. El proveedor de servicios puede apoyarse en terceros para ayudarse en el
cumplimiento de los requisitos del capítulo 4. Por ejemplo, utilizando una organización de consultoría para apoyar el
desarrollo del plan de gestión de servicios o para lleva a cabo auditorías internas.

El proveedor de servicios puede cumplir con todos los requisitos de los capítulos 5 a 9, de la Norma
ISO/IEC 20000-1:2011, directamente o involucrando a terceros. Éstos terceros pueden ser:
a) suministradores;
b) grupos internos;
c) clientes (cuando actúan como suministradores).

En la definición 3.35, de la Norma ISO/IEC 20000-1:2011, un suministrador es una organización, o parte de una
organización, que es externa a la organización del proveedor de servicios. Un suministrador puede establecer un
contrato con el proveedor de servicios para contribuir al diseño, transición, implementación, provisión, mantenimiento,
mejora y gestión de los procesos o servicios. En la Norma ISO/IEC 20000, los suministradores incluyen a los
suministradores principales pero no a los suministradores subcontratados. Los suministradores principales deberían
gestionar a los suministradores subcontratados en nombre del proveedor de servicios, bajo un acuerdo formal.

Un grupo interno es parte de la misma organización que el proveedor de servicios, pero que no está bajo el control
directo del proveedor de servicios. Un grupo interno debería tener documentado el acuerdo con el proveedor de
servicios, especificando la contribución de los grupos internos a los servicios prestados por el proveedor de servicios.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


-7- ISO/IEC 20000-3:2012

Un cliente, cuando actúa como suministrador, es parte de una organización que recibe un servicio pero también
contribuye a la operación del SGS del proveedor de servicios. Por ejemplo, un cliente puede gestionar un centro de
servicios y operar parte de un proceso de gestión de solicitudes e incidencias de servicios. La contribución hecha por el
cliente debería estar bajo los términos de un acuerdo documentado entre el proveedor de servicios y el cliente (cuando
actúa como un suministrador).

Siempre que estén involucrados terceros, el proveedor de servicios debería tener el gobierno de todos los procesos
dentro del alcance del SGS. Esto se describe en el apartado 5.2 de esta parte de la Norma ISO/IEC 20000, para procesos
operados por terceros. El proveedor de servicios normalmente puede cumplir los requisitos de la Norma
ISO/IEC 20000-1, si los terceros sólo operan una minoría de los procesos. Si el proveedor de servicios depende de
terceros para la operación de la mayoría de los procesos, el proveedor de servicios puede tener dificultad en el
cumplimiento de todos los requisitos de la Norma ISO/IEC 20000-1.

Un proveedor de servicios que no cumple con todos los requisitos de la Norma ISO/IEC 20000-1:2011, basados en la
provisión de servicios a clientes externos, puede aspirar a cumplir esos requisitos basados en la provisión de servicios a
su propia organización.

Puede ser que la Norma ISO/IEC 20000-1 no sea apropiada para un proveedor de servicios y que otra norma sea más
adecuada. Por ejemplo, la Norma ISO 9001, o una norma que cubra sólo algunos aspectos de la gestión del servicio.

5.2 Gobierno de los procesos operados por terceros


5.2.1 Procesos operados por terceros
El proveedor de servicios debería identificar los procesos o las partes de los procesos operados por terceros. Entonces,
el proveedor de servicios debería asegurar que los contratos o los acuerdos documentados incluyen su gobierno de los
procesos dentro del alcance del SGS, que son operados por terceros. Por ejemplo, el proveedor de servicios es capaz de
verificar que la otra parte cumple con los procesos acordados.

5.2.2 Responsabilidad y cumplimiento


El proveedor de servicios debería demostrar que es el encargado y el responsable del cumplimiento del apartado 4.2, de
la Norma ISO/IEC 20000-1:2011, para todos los procesos. Esto debería incluir todos los procesos operados por terceros.

El proveedor de servicios debería tener la autoridad para hacer cumplir con los procesos operados por terceros.

El proveedor de servicios debería también ser capaz de demostrar que la alta dirección se compromete con el SGS.
EJEMPLO 1 Si un tercero es responsable de la resolución de una incidencia que impacta en el servicio del cliente, el proveedor de servicios es
también el encargado de la resolución de la incidencia.

EJEMPLO 2 Requerir al tercero utilizar un proceso establecido por el proveedor de servicios y requerir la auditoría regular por el proveedor de
servicios sobre la utilización del proceso.

5.2.3 Definiciones de procesos e interfaces


El proveedor del servicio debería controlar la definición de los procesos y las interfaces con otros procesos del SGS
operados por terceros. La evidencia de esto incluye lo siguiente:

EJEMPLO 1 El proveedor de servicios puede demostrar que puede solicitar a terceros utilizar procesos específicos. Por ejemplo, el mismo proceso
de gestión de cambios es operado por el proveedor de servicios y sus suministradores, bajo los términos del contrato entre el
proveedor de servicios y cada suministrador.

EJEMPLO 2 El proveedor de servicios controla el proceso operado por grupos internos bajo los términos de un acuerdo documentado.

EJEMPLO 3 El proveedor de servicios puede demostrar que trabajó con terceros para documentar y aprobar los procesos de reporte de servicios que
operan terceros.

EJEMPLO 4 Documentar, acordar y operar los interfaces y dependencias del proceso de gestión de cambios, operado por el suministrador, con el
proceso de gestión de la configuración, operado por el proveedor de servicios.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 -8-

5.2.4 Comportamiento de los procesos


Conforme a los requisitos del apartado 4.2, de la Norma ISO/IEC 20000-1:2011, el proveedor del servicio debería
controlar los criterios de comportamiento de los procesos. El proveedor de servicios debería también exigir el
cumplimiento de los requisitos de sus procesos por los terceros.

EJEMPLO 1 Establecer los criterios para el comportamiento de los procesos, tales como los objetivos de disponibilidad o el tiempo de entrega de la
petición de servicios.

EJEMPLO 2 Acceder a un conjunto de registros de incidencias y mediciones de comportamiento de los procesos de gestión de incidencias para un
tercero, para asegurar que el tercero está cumpliendo con el proceso acordado.

5.2.5 Mejoras de los procesos


El proveedor del servicio debería controlar la planificación de las mejoras de los procesos y la prioridad dada a las
mejoras que se están realizando. Las oportunidades para la mejora pueden ser identificadas por el proveedor de
servicios o por terceros.

EJEMPLO 1 Evaluar las mejoras propuestas para la gestión de incidencias operada por un grupo interno y controlando cómo las mejoras se van a
realizar. Esto incluye la coordinación de las mejoras de la gestión de incidencias a realizar por el grupo interno con otros cambios en el
SGS del proveedor de servicios.

EJEMPLO 2 El proveedor de servicios evalúa un conjunto de mejoras en el proceso de gestión de la capacidad operado por un tercero. El proveedor
del servicio también controla la prioridad que hay que dar a la asignación de recursos necesarios para cumplir con los niveles de
comportamiento esperados. El proveedor del servicio también tiene que ser capaz de demostrar que los cambios son aprobados e
implementados para apoyar el cumplimiento de los requisitos del servicio.

5.2.6 Gestión de terceros


En el caso que un suministrador opere un proceso o parte de un proceso, el proveedor de servicios debería gestionar al
suministrador a través del proceso de gestión de suministradores.

En el caso que los grupos internos o clientes (cuando actúan como suministradores) operan procesos o partes de
procesos, el proveedor de servicios debería gestionarlos a través del proceso de gestión del nivel de servicio.

5.3 El alcance de la tecnología utilizada para la provisión del servicio


El proveedor del servicio debería tener en cuenta que para la Norma ISO/IEC 20000-1:
a) su aplicación no se ve afectada por la tecnología usada para la provisión del servicio o la automatización de los
procesos del SGS.
b) la tecnología utilizada no puede cambiar los requisitos de la Norma ISO/IEC 20000-1;
c) la tecnología utilizada puede tener un impacto en los requisitos de la herramienta y de los datos, así como en las
habilidades del personal necesarios para soportar las actividades de los procesos.

6 Principios generales para el alcance de un SGS

6.1 Introducción
El apartado 4.5.1, de la Norma ISO/IEC 20000-1:2011, proporciona los requisitos para la definición del alcance del
SGS.

El proveedor de servicios debería definir el alcance del SGS antes de establecerlo.

La alta dirección del proveedor de servicios debería asegurar que se crea el plan de gestión del servicio e incluye el
alcance del SGS. El SGS y la definición del alcance deberían mantenerse (actualizados). La alta dirección debería ser
responsable de revisar el alcance del SGS para posibilitar una validez y eficacia continuas.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


-9- ISO/IEC 20000-3:2012

6.2 El alcance del SGS


6.2.1 Definición del alcance
La definición del alcance debería:

a) ser tan simple como sea posible;

b) ser entendible sin el conocimiento detallado de la organización del proveedor de servicios;

c) incluir suficiente información para utilizarla en la evaluación de conformidad;

d) estar redactada de manera que todas las exclusiones queden claras;

e) ser independiente y no referirse a otras fuentes.

Véase el anexo B de esta parte de la Norma ISO/IEC 20000 para ejemplos de definiciones del alcance.

6.2.2 Definición del alcance y evaluación


El proveedor del servicio puede discutir el alcance del SGS con su evaluador. La garantía que el alcance propuesto es
válido, antes de establecer el SGS, puede evitar crear falsas expectativas. Un evaluador puede discutir el alcance de la
evaluación/auditoría como parte de la planificación de la auditoría, pero no debería proporcionar consultoría para el
SGS.

El proveedor de servicios debería ser capaz de demostrar que el alcance es válido al inicio de la evaluación porque es
utilizado en la planificación del evaluador.

El proveedor de servicios debería ser consciente de que sólo las evidencias basadas en el alcance del SGS son
consideradas durante una evaluación. Las actividades o servicios fuera del alcance del SGS no necesitan cumplir los
requisitos especificados en la Norma ISO/IEC 20000-1. Las exclusiones no tienen por qué ser mencionadas en la
definición del alcance, pero pueden ayudar a hacer inequívoca la definición del alcance.

6.2.3 Límites al alcance


En el caso que un proveedor de servicios incluya una organización entera o un área de negocio en el SGS, la definición
del alcance puede ser relativamente simple. Esto se debe a que el alcance puede ser definido como todos los servicios
prestados por el proveedor del servicio.

Si el proveedor del servicio incluye dentro del SGS sólo algunas de sus actividades puede ser difícil definir el alcance
en términos simples o que eviten la ambigüedad. Una demostración de conformidad puede ser el cumplimiento de todos
los requisitos de la Norma ISO/IEC 20000-1 para un alcance basado en un único servicio prestado a un cliente. Este
puede ser una pequeña porción del total de las actividades o servicios del proveedor del servicio.

Un proveedor de servicios puede tener muchos clientes y proporcionar muchos servicios. Consecuentemente, el alcance
del SGS puede incluir servicios para varios clientes. Cuando se de este caso, los procesos deberían ser consistentes, si
bien los detalles de los procedimientos usados para la provisión de los servicios a cada cliente pueden variar. Si se
identifica un cliente en la definición del alcance, la organización debería cumplir con todos los requisitos de la Norma
ISO/IEC 20000-1.

6.3 Acuerdos entre clientes y el proveedor del servicio


El proveedor del servicio no puede utilizar los términos de un contrato o acuerdo documentado con un cliente para
reducir sus obligaciones para cumplir con los requisitos de la Norma ISO/IEC 20000-1. Esto es aplicable incluso si los
términos de un contrato o acuerdo documentado limitan los servicios o procesos. Tampoco, los términos de un contrato
o acuerdo documentado pueden reducir las obligaciones de un evaluador para obtener evidencias de la conformidad con
los requisitos de la Norma ISO/IEC 20000-1.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 - 10 -

6.4 Parámetros de definición del alcance


6.4.1 Parámetros requeridos por la Norma ISO/IEC 20000-1
El proveedor del servicio debería utilizar parámetros para definir el alcance del SGS a fin de asegurar que no hay
ambigüedad sobre qué está incluido y excluido.

Los parámetros deberían incluir al menos:


a) unidades organizativas que prestan servicios, por ejemplo un único departamento, un grupo de departamentos o
todos los departamentos;
b) servicios ofrecidos, por ejemplo, un único servicio, un grupo de servicios o todos los servicios, servicios financieros,
servicios de distribución, servicios de e-mail;

EJEMPLO El alcance puede ser:

El SGS de <nombre de la unidad organizativa del proveedor del servicio> que presta el servicio de <servicio(s)>.

En la definición actual del alcance el <nombre de la unidad organizativa del proveedor del servicio> no debería ser
simplemente el “El proveedor del servicio”. Esto es así debido a que unas organizaciones incluyen un proveedor de
servicios y otras organizaciones incluyen más de uno.

6.4.2 Otros parámetros


El proveedor del servicio debería considerar la utilización de otros parámetros donde la información adicional pueda
evitar ambigüedad en la definición del alcance. La utilización de otros parámetros se muestra en el anexo B de esta
parte de la Norma ISO/IEC 20000.

EJEMPLO La definición del alcance puede ser:

El SGS de <nombre de la unidad organizativa del proveedor del servicio> que presta servicio de
<tecnología><servicios> desde <localización del proveedor del servicio> al <cliente> en <localización del cliente>.

Los parámetros se pueden utilizar en cualquier orden que considere conveniente el proveedor del servicio. También se
pueden utilizar parámetros adicionales.

La definición del alcance de un SGS puede abarcar a varios clientes, sin detallar un listado de clientes individuales. Por
ejemplo, al referirse a todos los servicios del centro de datos de una localización descrita con un nombre o referirse a
todos los servicios de almacenamiento de datos.

El proveedor del servicio no debería incluir los nombres de terceros u organizaciones externas, aunque contribuyan en
el SGS y los servicios.

6.4.3 Evaluación de comprobación


Si al alcance incluye muchos clientes, servicios o localizaciones, el evaluador puede realizar la comprobación sobre una
muestra, y utilizará su criterio profesional para seleccionar el contenido de la muestra a analizar. La definición del
alcance debería incluir a todos los clientes, servicios y localizaciones en el ámbito del SGS, no sólo los incluidos en la
muestra.

6.5 Validez de la definición del alcance


El proveedor del servicio debería garantizar que el alcance del SGS sigue siendo válido después de su formalización. El
proveedor de servicios debería garantizarlo mediante la realización de revisiones a intervalos planificados para
identificar las discrepancias. Si el alcance real no coincide con el definido, debería modificarse la definición del
alcance. En el caso que la diferencia identificada se considere significativa, puede ser necesario revaluar el alcance
establecido.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


- 11 - ISO/IEC 20000-3:2012

El proveedor del servicio debería ser consciente de que un cambio sustancial en los servicios puede requerir un cambio
sustancial en el SGS. El proveedor del servicio debería asegurarse que un auditor interno evalúe si este cambio significa
que el SMS ha dejado de cumplir los requisitos de la Norma IEC/ISO 20000-1.

Si un SGS está certificado conforme a la Norma ISO/IEC 20000-1 un cambio sustancial en el SGS debería ser
notificado a la entidad de certificación que emitió el certificado, puesto que puede requerirse una reevaluación.

Un cambio grande en el alcance del SGS puede significar que el proveedor de servicios no pueda demostrar la
conformidad con los requisitos de la Norma ISO/IEC 20000-1. El alcance del SGS también puede reducirse cuando se
eliminan servicios. La definición del alcance puede también modificarse a partir de otros parámetros como la
eliminación o añadido de clientes o localizaciones

Algunas definiciones de alcance hacen referencia al catálogo de servicios. Esta práctica no es buena ya que el catálogo
puede variar y sin embargo no se quiere modificar el alcance de la certificación. Ahora bien, utilizar el catálogo de
servicios en la definición del alcance puede ser muy útil si el alcance es complejo. El uso de un catálogo de servicios
podría constituir una evidencia de que los servicios definidos están justificados sobre la base de que el SGS cumple con
los requisitos de la Norma ISO/IEC 20000-1.

Un ejemplo de la definición del alcance usando un catálogo de servicios se presenta a continuación.

EJEMPLO La definición de alcance puede ser:

El SGS de <nombre de la unidad organizativa del proveedor del servicio> que presta todos los servicios del <catálogo
de servicios> a <nombre de la organización de cliente y/o nombre de la unidad organizativa> desde <localización
geográfica>.

NOTA El rol de evaluador para la verificación de evidencias, así como la definición del alcance, se describe la Norma ISO/IEC 17021:2011.
Evaluación de la conformidad – Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión.

6.6 Modificando el alcance


El proveedor de servicios puede decidir demostrar la conformidad solamente para alguna de sus actividades,
dependiendo de sus necesidades de negocio. Por ejemplo, el proveedor de servicios puede comenzar con SGS que
incluya solo alguno de sus servicios y posteriormente incrementar el alcance del SGS con otros servicios. En este caso,
para incluir los servicios adicionales, el proveedor de servicio debería revisar el SGS y la definición del alcance.

Cuando se revisa el alcance puede ser necesario revaluar el SGS. Esta situación puede ocurrir incluso sin una
reevaluación planificada del SGS.

Un cambio importante en el alcance del SGS se debería gestionar como un proyecto o como un programa de mejora.
Esto puede contribuir a minimizar el riesgo del servicio y a demostrar la capacidad del proveedor de servicios para
cumplir con los requisitos de la Norma ISO/IEC 20000-1.

6.7 Cadenas de suministro y alcance del SGS


6.7.1 Dependencia de terceros
El proveedor de servicios debería estar concienciado que el conocimiento de la cadena de suministro es fundamental
para la definición de un alcance afectivo del SGS. Depender de terceros para la provisión de parte del servicio no exime
al proveedor de servicios de demostrar la conformidad con la Norma ISO/IEC 20000-1. El proveedor de servicios
debería tener en cuenta cómo afecta al alcance del SGS la relación entre la organización y la cadena de suministro.

6.7.2 Demostración de conformidad en la cadena de suministro


El proveedor del servicio debería tener evidencias de conformidad del apartado 4.2 de la Norma
ISO/IEC 20000-1:2011, Requisitos para el gobierno de procesos operados por terceros. Esto se describe en el
apartado 5.2 de esta parte de la Norma ISO/IEC 20000.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 - 12 -

Para suministradores, el proveedor del servicio debería tener evidencias del cumplimiento de los requisitos del proceso
de gestión de suministradores del apartado 7.2 de la Norma ISO/IEC 20000-1:2011. Esto debería incluir evidencias de
contratos adecuados entre los suministradores y el proveedor del servicio.

El proveedor del servicio debería tener evidencias del cumplimiento de los requisitos, para la gestión de los grupos
internos o clientes que actúan como suministradores, del apartado 6.1 de la Norma ISO/IEC 20000-1:20011. Se
deberían incluir acuerdos documentados con los grupos o clientes que actúan como suministradores.

En la cadena de suministro los terceros implicados no necesitan cumplir la Norma ISO/IEC 20000-1 para que el
proveedor del servicio demuestre su conformidad.

Cuando el proveedor del servicio y un tercero, tal como un suministrador, están intentando demostrar la conformidad
con la Norma ISO/IEC 20000-1, cada uno de ellos puede implementar su propio SGS que cubra sus necesidades de
forma independiente. Cuando el mismo proceso se utiliza por dos o más organizaciones, sólo una de ellas puede
demostrar el gobierno de ese proceso. La otra organización puede aspirar a demostrar el gobierno del mismo proceso
sólo si se aplica para un uso separado e independiente.

El proveedor de servicios debería garantizar de forma clara los diferentes usos que se aplican a un proceso específico.
Se deberían incluir documentos y registros independientes para cada uso. Esto puede afectar a la planificación del SGS
del proveedor del servicio y a su evaluación con la Norma ISO/lEC 20000-1. Esto puede ocurrir para proveedores del
servicio con más de un cliente. También puede ocurrir en organizaciones que dependen de una cadena de suministro
compleja muchos terceros, incluyendo múltiples suministradores, suministradores principales y suministradores
subcontratados.

Al igual que en el apartado 4.2 de la Norma ISO/lEC 20000-1:2011, otros requisitos influyen en el alcance, la
aplicabilidad y la capacidad para demostrar la conformidad. Una organización externa al proveedor de servicios puede
tener acceso a, uso de, o capacidad de administrar la información o los servicios del proveedor de servicios. Cuando
esto sucede, el proveedor del servicio y la organización externa deberían implementar un conjunto de controles de
seguridad de la información acordados, véase el apartado 6.6.2 de la Norma ISO/lEC 20000-1:2011. En estos casos, si
los controles de seguridad de la información no son operados, la contribución de la organización externa se debería
excluir del alcance SGS.

6.8 Integración o alineamiento con otros sistemas de gestión


El proveedor del servicio debería ser consciente que la Norma ISO/IEC 20000-1 permite alinear y/o integrar un SGS
con otros sistemas de gestión. La metodología PDCA incluida en la Norma ISO/lEC 20000-1 mejora la compatibilidad
con otras normas de sistemas de gestión.

El proveedor del servicio debería ser consciente de que pueden existir diferencias en el alcance del SGS y los otros
sistemas de gestión. El proveedor del servicio también debería ser consciente de que cada sistema de gestión tiene un
propósito diferente. El SGS, el SGSI y el SGC cada uno incluye áreas de interés que los otros no lo hacen.

Esos aspectos de cada sistema de gestión que son comunes se deberían integrar para permitir una mayor eficiencia,
eficacia y consistencia. Por ejemplo, requisitos de documentación o responsabilidades de gestión.

El proveedor del servicio puede definir el alcance de su SGS geográfica u organizacionalmente idéntico al alcance de
otros sistemas de gestión. Por ejemplo, un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la
Norma ISO/lEC 27001 o un Sistema de Gestión de Calidad (SGC) basado en la Norma ISO 9001. Cuando un proveedor
de servicios está definiendo el alcance de un sistema de gestión integrado de acuerdo con más de una norma de sistemas
de gestión, la definición del alcance es más compleja. Se deberían tener en cuenta los requisitos para cada norma de
sistema de gestión. Por ejemplo, un sistema de gestión que se ajusta a la Norma ISO/lEC 20000-1 y la Norma
ISO/IEC 27001 no debería empezar con "El SGS....”.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


- 13 - ISO/IEC 20000-3:2012

Anexo A (Informativo)

Principales puntos sobre el alcance del SGS, su aplicabilidad


y conformidad con la Norma ISO/IEC 20000-1

A.1 Generalidades
Al definir el alcance de un SGS, incluyendo el alcance de evaluación de la Norma ISO/IEC 20000-1, el proveedor de
servicios debería tener en cuenta los puntos descritos en este anexo.

A.2 Múltiples entidades jurídicas


Las entidades de certificación de tercera parte pueden requerir que un certificado de la Norma ISO/IEC 20000-1 sólo se
pueda expedir a una única persona jurídica, no a un consorcio de entidades jurídicas diferentes.

A.3 Situación comercial


El servicio se puede entregar sobre una base comercial o no comercial. La base económica de la provisión de servicios
es irrelevante de cara a la aplicabilidad de la Norma ISO/IEC 20000-1 o al alcance del SGS.

El proveedor del servicio debería tener políticas presupuestarias y contables y procedimientos para los activos utilizados
en la provisión del servicio. El proveedor del servicio no necesita ser propietario de los activos de los servicios.

A.4 Nombres de los procesos


Los nombres de los procesos no tienen por qué ser los mismos que los usados en la Norma ISO/IEC 20000-1. Los
requisitos en la Norma ISO/IEC 20000-1 se focalizan en los procesos, su contenido, capacidad, calidad y uso.

Los procesos se pueden combinar o dividir de forma diferente a como se especifica en la Norma ISO/IEC 20000-1,
siempre que se cubran todos los requisitos. Por ejemplo, gestión de la disponibilidad y continuidad del servicio pueden
ser dos procesos independientes, gestión de cambios y gestión de la entrega y despliegue se pueden combinar en un
proceso único.

El mapeo de los nombres de los procesos utilizados con los de la Norma ISO/IEC 20000-1 puede ayudar a la
comprensión de cómo se cumplen los requisitos especificados en la Norma ISO/IEC 20000-1.

A.5 Inclusiones y exclusiones


La definición del alcance debería declarar lo que se ha incluido en el alcance. Para facilitar la claridad, puede ser útil
declarar lo que está fuera del alcance.

El proveedor de servicios debería cumplir con todos los requisitos especificados en la Norma ISO/IEC 20000-1 en todas
las actividades incluidas en la definición del alcance. Por ejemplo, todos los procesos de gestión del servicio deberían
estar implementados y operados.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 - 14 -

A.6 Autoridad y responsabilidades


El proveedor del servicio debería ser consciente de la importancia de la claridad sobre las autoridades y
responsabilidades.

El proveedor del servicio debería conservar el gobierno y la responsabilidad operacional del capítulo 4 de la Norma
ISO/IEC 20000-1:2011, pero puede utilizar a terceros para su realización.

El proveedor del servicio debería operar la mayoría de los procesos de la Norma ISO/IEC 20000-1:2011,
capítulos 5 a 9.

El proveedor del servicio debería asegurar que la autoridad y responsabilidad de los procesos operados por terceros
están claras.

El proveedor del servicio debería:


a) identificar y documentar todos los procesos o partes de procesos en el ámbito del SGS, incluidos aquellos que no se
operan;
b) identificar las personas que operan procesos o partes de procesos;
c) incluir las obligaciones a terceros para que el proveedor del servicio pueda demostrar el gobierno de estos procesos.

El proveedor del servicio debería exigir a todas las organizaciones externas utilizar los controles de seguridad de la
información. Esto debería ser una condición para permitir el acceso a, el uso de, o la posibilidad de gestión de
información del proveedor del servicio o de los servicios. Si no se utilizan los controles, cualquier contribución
realizada por esa organización externa debería ser excluida de la definición del alcance.

A.7 Interfaces e integración de procesos


El proveedor del servicio debería garantizar que estén claros los límites entre el proveedor del servicio y los clientes y
entre el proveedor del servicio, terceros, y organizaciones externas.

El proveedor del servicio debería tener una adecuada integración de procesos, aspecto requerido por la Norma
ISO/IEC 20000-1 y fundamental para las buenas prácticas de gestión del servicio.

El proveedor del servicio debería tener documentadas las interfaces entre procesos y demostrar sin lugar a dudas cómo
las controla.

A.8 Evidencias de conformidad


Dos organizaciones no pueden utilizar las mismas evidencias para demostrar la conformidad.

A.9 Parámetros para las definiciones del alcance


El proveedor del servicio debería utilizar parámetros que definen claramente el alcance del SGS. La definición del
alcance debería ser fácil de entender por las partes interesadas que no formen parte de la organización del proveedor del
servicio. Los parámetros mínimos para la definición del alcance son el nombre del proveedor del servicio y los servicios
provisionados.

A.10 Ampliar el alcance del SGS


Si se amplía el alcance, las nuevas actividades del ámbito revisado deberían cumplir con la Norma ISO/IEC 20000-1.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


- 15 - ISO/IEC 20000-3:2012

Anexo B (Informativo)

Escenarios basados en las definiciones del alcance

B.1 Generalidades
Los siguientes ejemplos ilustran tipos de defunciones del alcance adecuadas para un SGS que cumple con los requisitos
de la Norma ISO/IEC 20000-1. En las figuras, las flechas indican que un servicio llega de un proveedor del servicio a
su(s) cliente(s) así como desde los suministradores del proveedor del servicio al proveedor del servicio. Para simplificar
las figuras, las actividades operativas no se muestran. Cada ejemplo es una situación separada y cada una incluye
definiciones de alcance adecuadas. La mayoría de los ejemplos están basados en la relación proveedor del servicio –
suministrador. Una lógica similar aplica al resto de partes.

B.2 Escenarios 1, 2 y 3: Cadenas de suministro


B.2.1 Escenario 1: Cadena de suministro simple con un proveedor externo del servicio
En la figura B.1, el Escenario 1 ilustra un proveedor externo del servicio a la organización de su cliente (Cliente A).
Esto es comúnmente un acuerdo comercial donde un proveedor del servicio presta servicios a varios clientes. Por
simplicidad, la figura B.1 muestra sólo un cliente.

En el Escenario 1, el proveedor externo del servicio suministra un servicio para archivo de documentos. Para alcanzar la
conformidad con el apartado 4.2, de la Norma ISO/IEC 20000-1:2011, para su propio SGS el proveedor externo del
servicio debería:

a) tener la responsabilidad de los procesos de gestión del servicio de los capítulos 5 a 9, de la Norma
ISO/IEC 20000-1:2011, y la autoridad para exigir el cumplimiento de los procesos;

b) controlar la definición de los procesos e interfaces con otros procesos de la Norma ISO/IEC 20000-1:2011;

c) controlar la determinación del comportamiento y el cumplimiento de los procesos;

d) controlar la planificación y priorización de las mejoras de los procesos;

Los contratos entre el proveedor externo del servicio y sus suministradores deberían asegurar que el proveedor externo
del servicio tiene el control de los puntos a hasta el d.

B.2.2 Escenario 2: El rol de un "Suministrador directo de servicios" gestionado por el Cliente B


En la figura B.1, el Escenario 2 ilustra a un proveedor interno del servicio, parte de la misma organización que el
Cliente B. En este segundo escenario el "Suministrador directo de servicios", que se muestra en la caja con línea de
puntos, es gestionado directamente por el Cliente B y su contrato también es con el Cliente B. El proveedor interno del
servicio no puede tener también el gobierno de los procesos operados por el "Suministrador directo de servicios". Como
resultado, la contribución hecha por el "Suministrador directo de servicios" debería estar excluida de la definición del
alcance del proveedor interno del servicio.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 - 16 -

Figura B.1 – Escenarios 1 y 2: Relación con suministradores

B.2.3 Escenario 3: Suministradores, suministradores principales y sub contratados


Cuando el proveedor del servicio tiene varios suministradores, el proveedor del servicio puede designar a un
suministrador como suministrador principal. La cadena de suministro de tres etapas se convierte en una cadena de
suministros de cuatro etapas, tal y como se muestra en la figura B.2. El proveedor del servicio y el suministrador
principal deberían tener una relación directa y un contrato. Esto aplica tanto a proveedores de servicios externos como
internos.

Bajo los términos de este contrato, el suministrador principal debería gestionar a los suministradores subcontratados de
parte del proveedor del servicio. Los suministradores subcontratados deberían tener un contrato con el suministrador
principal, no con el proveedor del servicio. Debería haber una relación directa entre el proveedor del servicio y los
suministradores subcontratados. Debería haber claridad en las responsabilidades del suministrador principal para definir
el alcance del SGS del proveedor del servicio.

En el Escenario 3, figura B.2, el suministrador principal opera algunos de los procesos y el gobierno de esos procesos es
llevado a cabo por el proveedor del servicio. Un proveedor del servicio no puede ajustarse al apartado 4.2, de la Norma
ISO/IEC 20000-1:2011, cuando el contrato con el suministrador principal impide al proveedor del servicio el gobierno
de los procesos operados por el suministrador principal.

Figura B.2 – Escenario 3: Relación con el suministrador principal y los suministradores subcontratados

B.2.4 Requisitos para cadenas de suministro complejas


El proveedor de servicios debería tener en cuenta que las cadenas de suministro suelen ser más complejas que la cadena
de suministro de cuatro etapas ilustrada en la figura B.2. El alcance del SGS puede ser definido si el proveedor de
servicios entiende:

a) qué se requiere para el gobierno de cada proceso;

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


- 17 - ISO/IEC 20000-3:2012

b) qué organización opera qué parte de cada proceso;

c) qué organización es el suministrador principal.

Se requiere que el proveedor del servicio mantenga toda la responsabilidad del servicio, independientemente de dónde
se origina en la cadena de suministro.

B.3 Escenario 4: Escenario sencillo para el seguimiento de las mejoras


B.3.1 Antecedentes
Un proveedor interno del servicio es el único proveedor del servicio para el Cliente C. Ambos están en la
Organización X, como se muestra en la figura B.3. El proveedor interno del servicio utiliza buenas prácticas en gestión
del servicio para todos los servicios ofrecidos a las Unidades (internas) de Negocio 1, 2 y 3. El proveedor interno del
servicio espera demostrar la conformidad con la Norma ISO/IEC 20000-1 y planifica completar la implementación de
los procesos de gestión del servicio para todos sus servicios durante el siguiente año. El proveedor interno del servicio
tiene la intención de operar él mismo todos los procesos de gestión del servicio. Hay tres suministradores, pero ninguno
de ellos provee servicios relevantes para el SGS.

Figura B.3 – Escenario 4: Definición del alcance

B.3.2 ¿Puede el proveedor interno del servicio demostrar la conformidad?


El proveedor interno del servicio del Cliente C puede demostrar la conformidad cuando los procesos de implementación
y mejoras están completos y el proveedor interno del servicio cumple todos los requisitos.

B.3.3 ¿Cuál es la definición del alcance para el proveedor interno del servicio?
Este es un escenario directo/simple. El proveedor interno del servicio, como parte de la Organización X, puede definir
el alcance de su SGS basado en sus actividades departamentales y sus procesos de gestión del servicio. No hay
ambigüedad sobre qué proveedor interno del servicio presta los servicios, porque el proveedor de servicios se le conoce
como parte de la Organización X, prestando servicios al Cliente C.

EJEMPLO La definición del alcance puede ser:


El SGS del proveedor interno del servicio de la Organización X que presta servicios internos al Cliente C.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 - 18 -

B.4 Escenario 5: Funciones externalizadas


B.4.1 Antecedentes
El Escenario 5, ilustrado en la figura B.4, es similar al Escenario 4, pero la función del Centro de Servicios del Cliente
D se presta por un suministrador externo, Suministrador 1. En el Escenario 5, el Suministrador 1 es responsable de la
prestación del primer nivel de servicios de soporte, a través de la función del Centro de Servicios. Esto implica la parte
operativa del proceso de gestión de peticiones de servicios e incidencias por parte del proveedor interno del servicio.
Aunque el servicio del Suministrador 1 se utiliza por el conjunto de la Organización X, el acuerdo es entre el
Suministrador 1 y el proveedor interno del servicio. Hay otros tres suministradores que no proporcionan servicios
relevantes al SGS.

Figura B.4 – Escenario 5: Definición del alcance

B.4.2 ¿Puede el proveedor interno del servicio demostrar la conformidad?


Sí, si el proveedor interno del servicio puede demostrar el gobierno de los procesos que abarcan la frontera entre el
proveedor interno del servicio y el Suministrador 1. Por ejemplo, aquellos utilizados para el proceso de gestión de
incidencias y petición del servicio.

La Norma ISO/IEC 20000-1 no incluye requisitos para departamentos específicos o funciones para ser incluidas en el
alcance del SGS o nombradas dentro de la definición del alcance. Un Centro de Servicios es una función, no un
proceso, por lo que el proveedor interno del servicio no necesita tener el gobierno del personal y los recursos de una
función de centro de servicios externalizada. El proveedor del servicio debe gobernar los procesos operados por la
función del centro de servicio al usuario.

Debería haber evidencias que están definidos los procesos operados por la función del centro de servicios y las
interfaces entre estos procesos y el resto del SGS. Esto incluye donde los procesos abarcan la frontera entre
organizaciones. Por ejemplo, el proceso de gestión de incidencias y petición del servicio pueden ser definidos para
asegurar que es posible lo siguiente.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


- 19 - ISO/IEC 20000-3:2012

a) Se registran todas las incidencias y peticiones de servicio para los servicios definidos.
b) Los procedimientos para gestionar el impacto de las incidencias y peticiones de servicios están coordinadas entre el
suministrador de la función del centro de servicios y el proveedor interno del servicio.
c) Los procedimientos que definen el registro, el impacto en el negocio, la clasificación, la actualización, el escalado,
la resolución y el cierre formal de todas las incidencias y peticiones de servicio están alineados donde proceda.
d) El Cliente D se mantiene informado del progreso de los incidentes y peticiones de servicio reportados.
e) Todo el personal de operación del proceso de gestión de incidencias y peticiones de servicio tiene acceso a la
información relevante. Esto incluye los errores conocidos, los registros de resolución de problemas y la información
de la base de datos de configuración sea accesible por el personal del primer nivel en el centro de servicios y del
segundo y tercer niveles del proveedor interno del servicio.
f) La información y los informes de gestión del centro de servicios son accesibles por el proveedor interno del servicio,
como los procesos de gestión de servicios no pueden ser gestionados eficazmente sin ellos.
g) El proveedor interno del servicio del Cliente D tiene acceso a todas las incidencias del Suministrador 1, los registros
de peticiones de servicios y problemas relativos a los servicios del Cliente D.

B.4.3 ¿Cuál es la definición del alcance para el proveedor interno del servicio?
EJEMPLO La definición del alcance puede ser:
El SGS que soporta la provisión de servicios al Cliente D por el proveedor interno del servicio de la Organización X.

Aunque el Suministrador 1 provee la función del centro de servicios, esta definición del alcance es válida si el
proveedor interno del servicio ha conservado el gobierno de todos los procesos requeridos por la Norma
ISO/IEC 20000-1. Como se describe en el apartado 6.4.2 de esta parte de la Norma ISO/IEC 20000, la definición del
alcance no debería incluir el nombre del Suministrador 1.

B.4.4 ¿Puede el Suministrador 1 demostrar la conformidad usando las mismas evidencias?


No, el Suministrador 1 no puede demostrar el gobierno del mismo conjunto de procesos que el proveedor interno del
servicio.

En el Escenario 5 el proveedor interno del servicio puede proveer evidencias que demuestren el gobierno de los
procesos, por ejemplo para los servicios prestados del Suministrador 1 al proveedor interno del servicio del Cliente D.
El Suministrador 1 tampoco puede usar las mismas evidencias para esos procesos. Como se describe en el capítulo 4 de
esta parte de la Norma ISO7IEC 20000, un proveedor del servicio sólo puede demostrar conformidad con la Norma
ISO/IEC 20000-1 si todos los requisitos se cumplen. Sin embargo, el Suministrador 1 puede intentar demostrar la
conformidad para los servicios a otras organizaciones, mediante la demostración del gobierno de los procesos operados
para las otras organizaciones. El Suministrador 1 puede intentar demostrar la conformidad con la Norma
ISO/IEC 20000-1 basado en sus propios procesos internos, por ejemplo aquellos servicios y procesos utilizados para dar
soporte a su propio personal.

B.5 Escenario 6: Función y servicios externalizados


B.5.1 Antecedentes
El Escenario 6, ilustrado en la figura B.5, muestra que el Suministrador 2 proporciona la función de Centro de
Servicios. El Suministrador 2 también proporciona los servicios de gestión de aplicaciones de los sistemas de gestión
operativa (back office) del Cliente E. Los servicios de gestión de aplicaciones cubren el desarrollo, soporte y
mantenimiento de todas las aplicaciones. El Suministrador 2 controla los procesos empleados para los servicios de
gestión de aplicaciones.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 - 20 -

El proveedor interno del servicio ha conservado todos los aspectos de la gestión de la infraestructura, incluyendo el
gobierno de los procesos. La gestión de infraestructuras consiste en el diseño y planificación, despliegue, operación y
soporte técnico de las infraestructuras.

Los otros tres suministradores no proporcionan servicios relevantes al SGS.

Figura B.5 – Escenario 6: Definición de alcance

B.5.2 ¿Puede el proveedor interno del servicio demostrar la conformidad con la Norma ISO/IEC 20000-1?
Sí. En el escenario 6, el SGS del proveedor interno del servicio incluye todos los procesos para cumplir los requisitos de
la Norma ISO/IEC 20000-1, en base a los servicios de gestión de infraestructuras. Como resultado, el proveedor interno
del servicio puede tratar de demostrar el gobierno de todos los procesos necesarios. Los servicios de gestión de
aplicaciones no deberían ser incluidos en el ámbito del SGS. Los servicios de gestión de aplicaciones no son necesarios
para el proveedor interno del servicio a fin de demostrar conformidad con la Norma ISO/IEC 20000-1.

En el escenario 6, debería existir un contrato entre el proveedor interno del servicio y el Suministrador 2. Durante una
evaluación, el proveedor interno del servicio debería ser capaz de demostrar que existe este contrato y que incluye los
requisitos requeridos al Suministrador 2. El contrato debería describir cómo el proveedor interno del servicio puede
demostrar el gobierno de los procesos operados por el Suministrador 2 y que están en el alcance del SGS de aquel.

El proveedor interno del servicio debe ser capaz de demostrar también que el proceso de gestión de suministradores es
efectivo para la gestión del Suministrador 2. Un evaluador puede exigir evidencias del cumplimiento del proceso de
gestión de suministradores y del gobierno de los procesos operados por terceros. Por ejemplo, registros tales como
informes de servicio, facilitados al proveedor interno del servicio por el Suministrador 2. Sin embargo, terceras partes,
incluyendo al Suministrador 2, no tienen por qué cumplir la Norma ISO/IEC 20000-1 para que el proveedor interno del
servicio del Cliente E pueda demostrar conformidad con dicha norma.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


- 21 - ISO/IEC 20000-3:2012

B.5.3 ¿Cuál es la definición de alcance del proveedor interno del servicio?


EJEMPLO La definición de alcance podría ser:
El SGS que soporta la provisión de todos los servicios de gestión de infraestructuras del Cliente E por parte del
proveedor interno del servicio de la Organización X.

Aunque el proveedor interno del servicio ha externalizado algunas de sus actividades operativas y servicios al
Suministrador 2, la definición de alcance es válida. Esto es así porque el proveedor interno del servicio tiene el gobierno
de todos los procesos de gestión de infraestructuras.

B.5.4 ¿Puede el Suministrador 2 demostrar la conformidad con la Norma ISO/IEC 20000-1 para todos los
servicios prestados al Cliente E?
El Suministrador 2 puede tratar de demostrar la conformidad con la Norma ISO/IEC 20000-1 para sus servicios de
gestión de aplicaciones, incluyendo el gobierno de los procesos relevantes a tal gestión de aplicaciones. Si el
Suministrador 2 no puede demostrar el gobierno de tales procesos, podría tratar de demostrar conformidad para otros
servicios, otros clientes o sus propios procesos internos.

B.6 Escenario 7: Externalización amplia


B.6.1 Antecedentes
Tal como se ilustra en la figura B.6, el Centro de Servicios y los servicios de gestión de infraestructuras y de gestión de
aplicaciones del proveedor interno del servicio del Cliente F están externalizados a un suministrador externo, el
Suministrador 3. Los procesos de gestión de incidencias y peticiones de servicio y de gestión de problemas están
externalizados al Suministrador 3. El Cliente F lo hizo para evitar inversión en herramientas para uso de (por parte de)
su proveedor interno del servicio.

Además, el Cliente F decidió evitar la implicación de la dirección, necesaria para la operación por parte del proveedor
interno del servicio, de un proceso eficaz de gestión de la configuración. El Cliente F también decidió reducir al mínimo
la participación de la dirección en la provisión de servicios y en la resolución de problemas e incidencias. Se tomó la
decisión con el fin de concentrar los esfuerzos de gestión sobre las actividades relativas a proyectos.

Los otros tres suministradores que se indican en la figura B.6 no proporcionan servicios relevantes al SGS.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 - 22 -

Figura B.6 – Escenario 7: Definición de alcance

B.6.2 ¿Puede el proveedor interno del servicio demostrar la conformidad con la Norma ISO/IEC 20000-1?
No. El evitar la inversión en herramientas no es una barrera para demostrar la conformidad con la Norma
ISO/IEC 20000-1. Sin embargo, en el Escenario 7 el proveedor interno del servicio no es directamente responsable, ni
tiene el gobierno, de alguno de los procesos en la Norma ISO/IEC 20000-1.

El incumplimiento de los requisitos de los procesos de gestión de incidencias y petición de servicio, de problemas y de
la configuración no son los únicos problemas en este escenario. La Norma ISO/IEC 20000-1 incluye requisitos sobre la
gestión de las interfaces entre los procesos y para una integración de procesos eficaz. Esto afecta también a procesos
tales como la gestión de cambios y la gestión de la entrega y despliegue, que están estrechamente relacionados con los
procesos externalizados.

El mayor obstáculo para que este proveedor interno del servicio pueda demostrar la conformidad es la decisión de
reducir al mínimo la participación de la dirección en la gestión de servicios. Como consecuencia directa, el proveedor
interno del servicio es incapaz de cumplir algunos de los requisitos más fundamentales. La Norma ISO/IEC 20000-1
especifica muchos requisitos que no podrán cumplirse a menos que haya una participación y compromiso demostrable
de la dirección. La alta dirección debería ser también responsable de la calidad del servicio.

Este proveedor interno del servicio puede demostrar el gobierno de sólo alguno de los procesos recogidos en la Norma
ISO/IEC 20000-1 y no puede cumplir muchos de los requisitos. En estas circunstancias, la Norma ISO/IEC 20000-1 no
es aplicable a este proveedor interno del servicio. Este es el caso incluso si el proveedor interno del servicio tiene
altamente normalizado el proceso de gestión de suministradores.

A pesar de que este proveedor interno del servicio no puede cumplir todos los requisitos, la Norma ISO/IEC 20000-1
puede ser útil como un objetivo para aquellos procesos en los que aún mantiene el gobierno. También puede ser útil
como un requisito hacia sus suministradores, incluido el Suministrador 3.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


- 23 - ISO/IEC 20000-3:2012

B.6.3 ¿Puede el Suministrador 3 demostrar la conformidad con la Norma ISO/IEC 20000-1?


En el Escenario 7, el Suministrador 3 es responsable de todos los procesos de gestión del servicio para los servicios de
gestión de infraestructuras basadas en la nube y gestión de aplicaciones provisionados al Cliente F. A resultas de esto, el
Suministrador 3 puede tratar de demostrar el gobierno de todos los procesos necesarios para los servicios basados en la
nube.

El Suministrador 3 puede tener evidencias de conformidad independientemente de si los servicio provisionados están
basados o no en la nube.

B.6.4 ¿Cuál es la definición de alcance del Suministrador 3?


EJEMPLO La definición de alcance podría ser:
El SGS que soporta la provisión de todos los servicios de gestión de infraestructuras y de gestión de aplicaciones para
el Cliente F por parte del Suministrador 3.

B.7 Escenario 8: Un suministrador como proveedor interno y externo del servicio


B.7.1 Antecedentes
La figura B.7 refleja un escenario donde el proveedor interno del servicio del Cliente G ha demostrado conformidad con
la Norma ISO/IEC 20000-1 para los servicios de gestión de infraestructuras. Para hacer esto, el proveedor interno del
servicio ha demostrado el gobierno de los procesos operados por el Suministrador 4 que eran relevantes a su propio
SGS y a los servicios de gestión de infraestructuras. Esto incluye los procesos empleados para la prestación de los
servicios de la función de Centro de Servicios. Los otros tres suministradores no proporcionan servicios relevantes para
el SGS.

En este caso, el Suministrador 4 pretende demostrar la conformidad con la Norma ISO/IEC 20000-1, porque varias
organizaciones clientes han especificado este requisito en sus peticiones de ofertas.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 - 24 -

Figura B.7 – Escenario 8: Definición de alcance

B.7.2 ¿Podría el Suministrador 4 demostrar la conformidad con la Norma ISO/IEC 20000-1?


Sí, esto es posible, siempre que se cumplan ciertas condiciones. El Suministrador 4 no puede demostrar la conformidad
empleando los procesos o parte de ellos que están bajo el gobierno del proveedor interno del servicio mostrado en la
figura B.7.

Sin embargo, el proveedor interno del servicio del Cliente G solamente ha demostrado conformidad de su SGS para la
provisión de servicios de gestión de infraestructuras. Por lo tanto, si el Suministrador 4 puede demostrar que gobierna
los procesos empleados para el servicio de gestión de aplicaciones, podría tratar de demostrar la conformidad de éstos
procesos. Debería haber claridad en los diferentes usos de un mismo proceso. Como se describe en el apartado 6.7.2 de
esta parte de la Norma ISO/IEC 20000, se deberían incluir los documentos y registros para cada uso por separado. El
Suministrador 4 también puede tratar de demostrar la conformidad de servicios prestados a otros clientes o a su propia
organización.

B.7.3 Implicaciones de la cadena de suministro: Suministrador 4 como proveedor interno y externo de servicios
El Escenario 8 tiene similitudes con el Escenario 6. Sin embargo, el Escenario 8 también ilustra por qué las
implicaciones de la cadena de suministro deberían entenderse al definir el alcance del SGS. Esto se ilustra volviendo a
dibujar la figura B.7 como la figura B.8. El Suministrador 4 que se muestra en la figura B.8, es en realidad parte de una
organización más grande, la Organización V. Esto no se muestra en la figura B.7.

Una parte de la Organización V es el proveedor externo del servicio para el Cliente H. Esta parte de la Organización V
es también el proveedor externo del servicio para "Otros clientes" y el proveedor interno del servicio para los usuarios
internos de la Organización V. Esto se muestra en la figura B.8.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


- 25 - ISO/IEC 20000-3:2012

Figura B.8 – Escenario 8: Redibujado para mostrar el Suministrador 4, como parte de la Organización V

Se requiere que la parte de la Organización V que porporcione servicios al Cliente H defina y establezca un SGS,
incluyendo una definición de alcance válida para los servicios prestados a tal Cliente H. La definición del alcance sólo
debería incluir los servicios en donde se cumplen todos los requisitos y donde el gobierno de los procesos está
demostrado. Si esta parte de la Organización V no puede demostrar el gobierno de los procesos para el servicio
provisionado a los clientes externos, es posible tratar de hacer esto para los servicios provisionados a los usuarios
internos.

B.7.4 ¿Cuál es la definición de alcance de la Organización de V como suministrador?


El ejemplo de definición de alcance propuesto a continuación es relativamente simple. Normalmente es aconsejable
proporcionar una lista explícita de servicios, en lugar de sólo la palabra "servicios", ya que los servicios actuales pueden
variar. Sin embargo, esto ha sido omitido, dado que la definición de alcance es simplemente un ejemplo.

EJEMPLO Un ejemplo de definición de alcance para la Organización V puede ser:


El SGS que soporta la provisión de todos los servicios al Cliente H por parte de la Organización V.

Al utilizar "todos los servicios", debería tenerse especial cuidado para asegurarse de que la definición del alcance no sea
engañosa. Si la gama de servicios prestados cambia, el SGS también debería cambiar, por ejemplo, en el catálogo de
servicios. Esto también se describe en el apartado 6.5 de esta parte de la Norma ISO/IEC 20000.

Al referirse al Cliente H, es evidente que el alcance del SGS no incluye al Cliente G, ni a Otros clientes, ni a los
usuarios internos.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 - 26 -

Este ejemplo de definición de alcance implica que todas las localizaciones están incluidas, ya que no incluye referencias
geográficas o a localizaciones. Si esto no es correcto, deberían ser incluidas referencias explícitas a las localizaciones.
Si el personal del proveedor de servicios se encuentra ubicado en todas las localizaciones, se debería hacer referencia a
"todas las localizaciones".

B.8 Escenario 9: Cadenas de suministro complejas y gobierno de procesos


B.8.1 Antecedentes
La figura B.9 muestra una cadena de suministro más compleja. El proveedor de servicios que es al mismo tiempo
proveedor interno y externo de servicios, es parte de la Organización W. Este proveedor de servicios puede cumplir los
requisitos de sólo alguno de los procesos de la Norma ISO/IEC 20000-1 para sus clientes externos, Clientes K, L y M.

Figura B.9 – Escenario 9: Definición del alcance

B.8.2 ¿Puede el proveedor de servicios definir un alcance aceptable para la certificación?


No, No si el alcance del SGS se refiere sólo a los servicios proporcionados a los clientes externos. Esto es porque, como
se indicó, el alcance basado en los servicios externos no cumple los requisitos para todos los procesos.

Sin embargo, el proveedor de servicios puede definir un alcance válido para su SGS como proveedor interno del
servicio, si los propios servicios internos del proveedor de servicios se ajustan a la Norma ISO/IEC 20000-1. La
definición del alcance debería entonces dejar claro que se basa en los servicios internos.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


- 27 - ISO/IEC 20000-3:2012

El Escenario 9 puede ocurrir cuando el proveedor de servicios proporcione servicios altamente especializados a clientes
externos. Esto también puede ocurrir si el proveedor de servicios ha optado por realizar mejorar sobre el SGS para los
clientes internos, antes de implementar las mejoras para los clientes externos.

Cuando la cadena de suministro es compleja, como en el Escenario 9, puede haber una mala alineación entre los
servicios acordados con los clientes y los servicios acordados con los suministradores. Por ejemplo, cuando un
proveedor de servicios acuerda los objetivos de los servicios con proveedores que no cumplen los objetivos de los
servicios acordados con los clientes. El proveedor de servicios debería revisar y corregirlo pronto en las mejoras
planificadas porque un mal alineamiento puede imposibilitar la demostración de la conformidad.

B.8.3 ¿Cuál es la definición del alcance para el proveedor externo del servicio?
Una definición del alcance aceptable para el proveedor de servicios cuando actúa como un proveedor interno del
servicio para la Organización W se da en el siguiente ejemplo:

EJEMPLO Si todos los procesos en la Norma ISO/IEC 20000-1 son operados la definición del alcance puede ser:
El SGS que soporta la provisión de todos los servicios a los usuarios internos, por la Organización W.

B.9 Escenario 10: Definición del alcance


B.9.1 Antecedentes
La figura B.10 ilustra dos proveedores externos de servicios que son suministradores del proveedor interno del servicio
del Cliente N. Esta configuración tiene lugar porque el Cliente N desea tener una solución de externalización completa.

Para ambos proveedores externos de servicios A y B el acuerdo con el Cliente N es reciente. Ambos proveedores
externos de servicios han demostrado previamente la conformidad con la Norma ISO/IEC 20000-1 como proveedores
de servicios a otros clientes. Ambos son ahora requeridos para demostrar la conformidad con la Norma
UNE-ISO/IEC 20000-1 para los servicios al proveedor interno del servicio del Cliente N, dentro de los 2 años del
contrato firmado.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 - 28 -

Figura B.10 – Escenario 10: Definición del alcance

B.9.2 ¿Puede definirse un alcance aceptable para los servicios prestados al Cliente N?
Esto dependerá de los detalles de los contratos o acuerdos, como se describe a continuación.

B.9.3 Cuatro variantes para el Escenario 10

B.9.3.1 Escenario 10a


Si el gobierno de los procesos de la Norma ISO/IEC 20000-1 ha sido externalizado a los proveedores externos de
servicios A y B entonces cualquiera, o ambos, de los proveedores externos de servicios pueden tener como objetivo
demostrar la conformidad con la Norma ISO/IEC 20000-1.
En estas condiciones, es poco probable que el proveedor interno del servicio del Cliente N pueda también demostrar la
conformidad con los requisitos especificados en la Norma ISO/IEC 20000-1. En cambio, el proveedor interno del
servicio puede basarse en la conformidad de sus suministradores, los proveedores externos de servicios A y B. El
proveedor interno de servicios debería considerar operar como un grupo de gestión de suministradores. El proveedor
interno del servicio puede también decidir qué otras normas son más apropiadas para su gestión de proveedores.

B.9.3.2 Escenario 10b


Si el gobierno de los procesos de la Norma ISO/IEC 20000-1 fue conservado por el proveedor interno del servicio, el
proveedor interno del servicio puede tratar de demostrar la conformidad con la Norma ISO/IEC 20000-1. Por lo tanto,
en el Escenario 10b, ninguno de los proveedores externos de servicios A y B pueden demostrar la conformidad para los
servicios prestados al Cliente N. Esto es así a pesar de que la conformidad es una condición del contrato de
externalización. Este enfoque tampoco representa la externalización completa que pretendía el Cliente N, como se
describe en el apartado B.9.1 de esta parte de la Norma ISO/IEC 20000.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


- 29 - ISO/IEC 20000-3:2012

B.9.3.3 Escenario 10c


Si ambos proveedores externos de servicios cumplen por separado los requisitos especificados en la Norma
ISO/IEC 20000-1, ambos pueden entonces tratar de demostrar la conformidad con la Norma ISO/IEC 20000-1 para los
servicios al Cliente N. Para ello deberían gestionar cada uno los procesos individualmente y por separado. Esto se puede
lograr si cada proveedor externo del servicio tiene la responsabilidad de diferentes servicios. Por ejemplo, el proveedor
externo del servicio A presta el servicio de centro de datos y el proveedor externo del servicio B presta los servicios de
infraestructuras de red y escritorio. En ambos casos, los proveedores externos de servicios son requeridos también para
demostrar el gobierno de los procesos operados por cada uno de sus suministradores.

Muchos acuerdos de servicios se basan en varios suministradores, con uno de los suministradores como suministrador
principal y con los otros como suministradores subcontratados. Esto se describe en el apartado B.2.3 de esta parte de la
Norma ISO/IEC 20000. En estas circunstancias, las responsabilidades del suministrador/es principal/es deberían estar
claras, aunque el nombre del suministrador principal no puede ser incluido en la definición del alcance.

Ninguno de los proveedores externos de servicios A y B puede cumplir todos los requisitos si cada uno tiene el
gobierno de algunos de los procesos de la Norma ISO/IEC 20000-1. Por ejemplo, si el proveedor externo del servicio A
tiene el gobierno de los procesos de provisión de servicios y el proveedor externo del servicio B tiene el gobierno de
todos los demás.

B.9.3.4 Escenario 10d


Los tres proveedores de servicios pueden todos aspirar a demostrar separadamente la conformidad con la Norma
ISO/IEC 20000-1 si cada proveedor de servicios presta diferentes servicios, opera diferentes procesos y cada uno tiene
un SGS diferente. Por ejemplo, el servicio de gestión de escritorio, el servicio de gestión de aplicaciones y el servicio de
gestión de red. Sin embargo, en el Escenario 10d, los tres proveedores de servicios operan el mismo conjunto de
procesos y ninguno de los tres proveedores de servicios puede demostrar el gobierno de todos los procesos que cada uno
de ellos opera.

En el Escenario 10d, ninguno de los tres puede demostrar la conformidad con la Norma ISO/IEC 20000-1. El Escenario
10d puede ser una aproximación ineficiente a la provisión de servicios, debido a la duplicidad del esfuerzos y a la
potencial confusión.

B.10 Escenario 11: Cambios en los parámetros/incremento de localizaciones


B.10.1 Antecedentes
Cuando el alcance del SGS se amplía la definición del alcance debería revisarse y si es necesario actualizarse. Como se
describe en el apartados 6.5 y 6.6 de esta parte de la Norma UNE-ISO/IEC 20000, esto puede requerir una auditoría
interna y posiblemente una auditoría de recertificación.

B.10.2 Escenarios para cambiar el alcance


La figura B.11 ilustra el Escenario 11, donde el alcance se amplía, como se describe a continuación.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 - 30 -

Figura B.11 – Escenario 11: Definición del alcance

B.10.3 Alcance inicial para el Escenario 11


La figura B.11 ilustra las circunstancias para el Cliente P. El Cliente P cree que la externalización completa cumple con
sus necesidades de negocio porque el Cliente P puede entonces concentrarse en los principales cambios del negocio. En
el Escenario 11, el Cliente P entiende que al delegar el gobierno de los procesos operados por terceros, el Cliente P no
puede cumplir los requisitos especificados en la Norma UNE-ISO/IEC 20000-1. En cambio, el Cliente P requiere a sus
proveedores que demuestren la conformidad con la Norma UNE-ISO/IEC 20000-1 dentro de un plazo dado tras la firma
del contrato. El proveedor externo del servicio demostró la conformidad con la Norma UNE-ISO/IEC 20000-1 en los
plazos requeridos por el contrato con el Cliente P.

La parte izquierda de la figura B.11 es el estado inicial; la parte derecha es el estado después de tres años. En la parte
izquierda de la figura B.11, el proveedor externo del servicio está proporcionando una amplia gama de servicios al
Cliente P. El proveedor externo del servicio ha situado personal en la localización 1 del Cliente P.

B.10.4 ¿Cuál es la definición del alcance inicial para el proveedor externo del servicio?
En el ejemplo siguiente ambos proveedor externo del servicio y Cliente P tienen personal con base en la Localización 1.
Una definición del alcance aceptable para el proveedor externo del servicio se da en el siguiente ejemplo:
EJEMPLO La definición del alcance puede ser:
El SGS que soporta todos los servicios proporcionados por el proveedor externo del servicio al Cliente P en la
Localización 1.

B.10.5 Escenario 11 con tres nuevas localizaciones


Los principales cambios del negocio en los que el Cliente P desea concentrarse incluyen una fusión con otra
organización grande, con múltiples sucursales/sedes en diferentes lugares. Estas localizaciones múltiples para el
Cliente P ampliado se muestran en la parte derecha de la figura B.11, en las cajas de líneas discontinuas.

El proveedor externo del servicio proporciona los mismos tipos de servicios, pero a más localizaciones del Cliente P. La
adición de nuevas localizaciones empezó justo antes de que se acordase una evaluación. En el momento de la
evaluación, las nuevas Localizaciones 2, 3 y 4 recibían los servicios proporcionados por el proveedor externo del
servicio. El proveedor externo del servicio proporcionó sus servicios a través de personal situado en las cuatro
localizaciones.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


- 31 - ISO/IEC 20000-3:2012

B.10.6 ¿Cuáles fueron las implicaciones de las tres nuevas localizaciones para el mantenimiento de la
conformidad?
Como el personal del proveedor externo del servicio está ahora situado en las cuatro localizaciones el alcance se
redefinió para incluir las cuatro Localizaciones 1 a 4. Por tanto, la evaluación incluyó la consistencia de los procesos y
el proceso de gobierno en las cuatro localizaciones. Esto incluye entrevistas al personal del proveedor externo del
servicio y evidencias muestrales de las cuatro localizaciones.

Todavía había un elevado nivel de compromiso e implicación de la dirección en las buenas prácticas de gestión de
servicios en la organización del proveedor externo del servicio. Algunas no conformidades se encontraron en el
cumplimiento de los requisitos para los servicios nuevos, principalmente debido a malentendidos por los nuevos
usuarios de los servicios, después de la fusión. La acción correctiva se acordó para todas las no conformidades, las
cuales no fueron lo suficientemente serias para evitar la ampliación del alcance y la recertificación.

B.10.7 ¿Cuál es la definición del alcance siguiente a la inclusión de las tres localizaciones adicionales?
EJEMPLO La definición del alcance puede ser modificada para mostrar que el personal del proveedor está situado en las cuatro
localizaciones:
El SGS que soporta todos los servicios proporcionados por el proveedor externo del servicio ubicados en la
Localización 1, la Localización 2, la Localización 3 y la Localización 4, para el Cliente P.

Como se describe en el apartado 6.4.2 de esta parte de la Norma ISO/IEC 20000, el proveedor de servicios puede incluir
las localizaciones del cliente en la definición del alcance. Sin embargo, en este ejemplo la definición del alcance
actualizado se refiere a la localización del personal del proveedor de servicios, no a la localización del personal del
Cliente P.

B.10.8 Escenario 11 con treinta localizaciones del cliente y acuerdos con suministradores actualizados
Entre las evaluaciones, el proveedor externo del servicio decidió realizar cambios importantes en sus acuerdos con los
suministradores como se muestra en la parte derecha de la figura B.11. Esto incluyó la utilización de un suministrador
principal en otra zona horaria. Este suministrador principal gestiona varios suministradores subcontratados, además de
en otra zona horaria y en otro país. En esta fase, el servicio se prestaba en treinta localizaciones. El proveedor externo
del servicio continúa proporcionando servicios situando personal en las Localizaciones 1 a 4. El personal del proveedor
externo del servicio no se situó en las Localizaciones 5 a 30.

B.10.9 Implicaciones de las treinta localizaciones del cliente para mantener la conformidad
La Norma ISO/IEC 20000-1 no especifica requisitos que se refieran a la organización del proveedor externo del
servicio, grupos funcionales, nombres de procesos o localizaciones. Sin embargo, cambios tales como un nuevo
suministrador principal y los suministradores subcontratados en una zona horaria diferente pueden alterar la función de
la evaluación. La evaluación debería ahora incluir algunos cambios para la gestión de suministradores incluyendo:

a) el gobierno de los procesos a través de las zonas horarias;

b) las entradas y salidas de la metodología PDCA;

c) la lógica de los servicios solicitados al proveedor principal, por ejemplo, ¿cumple el servicio subcontratado los
requisitos del suministrador principal?;

d) los servicios acordados por el proveedor externo del servicio y el Cliente P;

e) la verificación que el suministrador principal está gestionando sus suministradores subcontratados.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 - 32 -

Un cambio importante en el número de localizaciones y los cambios en los acuerdos de los suministradores es un
cambio del alcance. Un cambio del alcance debería dar lugar a una revaluación, con un muestreo de las nuevas
localizaciones.

Como se ha programado una revaluación global tres años después de la evaluación inicial, los cambios se incluyeron en
esta revaluación completa. El alcance de los servicios y el número de localizaciones implica que la revaluación llevó
más tiempo del que se habría requerido de la otra manera.

B.10.10 ¿Cuál es la definición del alcance para la revaluación?


La definición del alcance es la misma que en el escenario previo. Esto es porque la localización del personal del
proveedor externo del servicio no ha cambiado. Estos acuerdos de suministradores, incluyendo suministradores
principales y subcontratados, no hicieron diferente la definición del alcance, a pesar de que la gama de los servicios y la
complejidad de la cadena de suministro se han incrementado.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


- 33 - ISO/IEC 20000-3:2012

Anexo C (Informativo)

Tipos de evaluaciones de conformidad

Hay tres tipos de evaluaciones de conformidad:

a) de primera parte, realizadas utilizando recursos propios del proveedor de servicios, normalmente se conoce como
auditoría interna;

b) de segunda parte, realizadas por una persona u organización que tiene un interés de usuario en la organización, tales
como clientes, o por otras personas en su nombre;

c) de tercera parte, realizadas por una organización de evaluación de conformidad, normalmente se conoce como una
entidad de certificación.

Hay normas internacionales sobre prácticas en evaluación de conformidad. Algunas de ellas están diseñadas para
auditorías contra normas de sistemas de gestión. Por ejemplo, la Norma ISO/IEC 17021 y la Norma ISO 19011, ambas
incluyen requisitos genéricos para evaluaciones de tercera parte contra sistemas de gestión, incluyendo un SGS. La
Norma ISO/IEC 17021 es para evaluaciones de conformidad de tercera parte y la Norma ISO 19011 es para todos los
tipos de evaluaciones de conformidad.

La Norma ISO/IEC 17000 proporciona los términos y definiciones que están relacionados con las evaluaciones de
conformidad en general, incluyendo los términos de evaluaciones de conformidad de primera parte, de segunda parte y
de tercera parte.

Un proveedor de servicios puede emitir una declaración de conformidad basada en los buenos resultados de una
evaluación de primera parte bajo la Norma ISO/IEC 20000-1. Si este es el caso, el proveedor de servicios debería hacer
referencia a la Norma ISO/IEC 17050-1. Esta especifica los requisitos generales para dicha declaración de conformidad.

Las entidades de certificación establecen normas sobre la concesión de un certificado por la entidad de certificación tras
una evaluación de tercera parte exitosa. Por ejemplo, la entidad de certificación puede requerir que un certificado de la
Norma ISO/IEC 20000-1 sea sólo emitido a una única entidad jurídica, no a un consorcio.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


ISO/IEC 20000-3:2012 - 34 -

Bibliografía

[1] ISO 9001, Quality management systems. Requirements.

[2] ISO/IEC 20000-2, Information technology. Service management. Part 2: Guidance on application of service
management systems.

[3] ISO/IEC TR 20000-4, Information technology. Service management. Part 4: Process reference model for IT
service management.

[4] ISO/IEC TR 20000-5, Information technology. Service management. Part 5: Exemplar implementation plan for
ISO/IEC 20000-1.

[5] ISO/IEC 27001, Information technology. Security techniques. Information security management systems.
Requirements.

[6] ISO/IEC 27002, Information technology. Security techniques. Information security management systems. Code
of practice.

[7] ISO/IEC 270134), Information technology. Security techniques. Guidance on the integrated implementation of
ISO/IEC 27001 and ISO/IEC 20000-1.

[8] ISO/IEC TR 900064), Information technology. Guidelines for the application of ISO 9001:2008 to IT service
management and its integration with ISO/IEC 20000-1:2011.

[9] ISO/IEC 15504-2, Information technology. Process assessment. Part 2: Performing an assessment.

[10] ISO/IEC TS 15504-8, Information technology. Process assessment. Part 8: An exemplar process assessment
model for IT service management4).

[11] ISO/IEC 17000:2004, Conformity assessment. Vocabulary and general principles.

[12] ISO/IEC 17011, Conformity assessment. General requirements for accreditation bodies accrediting conformity
assessment bodies.

[13] ISO/IEC 17021, Conformity assessment. Requirements for bodies providing audit and certification of
management systems.

[14] ISO/IEC 17050-1, Conformity assessment. Supplier's declaration of conformity. Part 1: General requirements.

[15] ISO/IEC 17050-2, Conformity assessment. Supplier’s declaration of conformity. Part 2: Supporting
documentation.

[16] ISO 19011, Guidelines for auditing management systems.

ITIL® libros

[17] Cabinet Office ITIL® Glossaries (www.best-management-practice.com/IT-Service-Management-ITIL®).

[18] Cabinet Office (2011) ITIL® Service Strategy, TSO, ISBN-13: 978 0 113 31304 4.

[19] Cabinet Office (2011) ITIL® Service Design, TSO, ISBN-13: 978 0 113 31305 1.

4) En elaboración.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


- 35 - ISO/IEC 20000-3:2012

[20] Cabinet Office (2011) ITIL® Service Transition, TSO, ISBN-13: 978 0 113 31306 8.

[21] Cabinet Office (2011) ITIL® Service Operation, TSO, ISBN-13: 978 0 113 31307 5.

[29] Cabinet Office (2011) ITIL® Continual Service Improvement, TSO, ISBN-13: 978 0 113 31308 2.

[23] Cabinet Office (2011) Introduction to the ITIL® Service Lifecycle, TSO, ISBN-13: 978 0 113 31309 9.

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA


Génova, 6 info@aenor.es Tel.: 902 102 201
28004 MADRID-España www.aenor.es Fax: 913 104 032

Este documento forma parte de la biblioteca de UNIVERSIDAD INTERNACIONAL DE LA RIOJA