Universidad Mariano Gálvez De Guatemala

Facultad De Ciencias Económicas

Maestría en Estándares Internacionales con Enfoque en Auditoria Interna
Normas Internacionales de Auditoria Interna e Informe Coso II
Licenciado Carlos Guzmán

Resumen y Ejecución ITIL e ISO 20000

Ludwing Smaylin Díaz Soto 1937-10-8634

Guatemala, 19 de octubre de 2019.

 Introducción

Para que una persona sea certificada por ITIL debe de cumplir con un conjunto de normas y
procedimientos aplicados en 30 libros en los cuales existen niveles de aplicación, no se puede
certificar una organización o sistema de gestión conforme a ITIL, pero una organización que haya
implementado las guías ITIL sobre Gestión de los Servicios de TI, puede lograr Certificarse bajo la
ISO/IEC/ 20000 esta última permite demostrar que los servicios ofrecidos cumplen con las mejores
prácticas, es totalmente compatible con la ITIL la diferencia es que ITIL no es medible y la ISO
20000 deben de ser auditadas mediante frente a un conjunto de requisitos establecidos siendo
aplicable a cualquier organización en cualquier parte del mundo.
 Information Technology Infrastructure Library -ITIL- Biblioteca de Infraestructura de
Tecnologías de Información
ITIL certificación Management Board, conjunto de conceptos, buena práctica para la gestión de
servicios de tecnologías de la información da descripciones de procedimientos que sirven como guía
para toda infraestructura, desarrollo y operaciones de TI con un conjunto de 30 libros, son
independientes del proveedor. ITIL contienen una sección de Gestión de Servicios de TI, la Gestión
de Servicio ITIL está integrado en el estándar ISO 20000 anterior BS15000, ITIL fue desarrollada
en los años 1980, actualizada en diciembre de 2005 ITIL2, conocida como ITIL v3 realizada en
junio de 2007, ITIL 3 incluirá cinco libros divididos: Diseño de Servicios de TI se analiza su
viabilidad analizando infraestructura, capacitación del personal y planificación de seguridad y
prevención del desastre, Introducción de los Servicios de TI antes de poner en marcha el servicio se
deben analizar pruebas, Operación de los Servicios de TI se monitoriza el funcionamiento del
servicio, registrando eventos, incidentes, problemas, peticiones y accesos al servicio, Mejora de los
Servicios de TI se miden y documentan la información, los resultados obtenidos, problemas
ocasionados, soluciones implementadas y Estrategias de los Servicios de TI se enfoca en el estudio
de mercado y posibilidades enfocada en la Gestión Financiera, Gestión del Portafolio, Gestión de la
Demanda, y Gestión de Relaciones con el Negocio, consolidando buena parte de las practicas
actuales de la versión 2 en torno al Ciclo de Vida de los Servicios. Existen tres niveles de
certificación ITIL v2 para personas profesionales:
 Fundation Certificate (Certificado Básico)
 Practitioner`s Certificate (Certificado de Responsable)
 Manager`s Certificate (Certificado de Director)
No se puede certificar una organización o sistema de gestión conforme a ITIL, pero una organización
que haya implementado las guías ITIL sobre Gestión de los Servicios de TI puede lograr Certificarse
bajo la ISO/IEC/ 20000.
La versión 3 de ITIL, apareció en junio de 2007, cambió el esquema existiendo certificaciones
puentes 3 niveles:

1. Basic Level (Equivalente a ITIL Foundation en v3)

2. Management and Capability Level (Equivalente a los niveles Practitioner y Manager en
ITIL v2)
3. Advanced Level (nuevo en v3)

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION -ISO- 20000

Estándar de gestión de servicios de TI la serie 20000 proviene de la adopción de la BS 15000
desarrollada por la entidad British Standards Institution (BSI), la aplicación de la ISO 20000 permite
demostrar que los servicios ofrecidos cumplen con las mejores prácticas, es totalmente compatible
con la ITIL la diferencia es que ITIL no es medible y la ISO 20000 deben de ser auditadas mediante
frente a un conjunto de requisitos establecidos siendo aplicable a cualquier organización en cualquier
parte del mundo. En el año 2018 se renovó adaptándose al nuevo anexo SL siendo como
consecuencia la versión actual ISO/IEC 20000 2018.
El estándar se compone por cinco partes, número uno, Requisitos de los sistemas de gestión de
servicios, numero dos, guía de implementación de los sistemas de gestión de servicios, número tres,
Guía en la definición del alcance y la aplicabilidad, número cuatro, Modelo de referencia de
procesos, número cinco Ejemplo de implementación.
La primera parte define los requerimientos para realizar una entrega de servicios de TI alineados
con las necesidades del negocio, con calidad y valor añadido para los clientes, asegurando una
optimización de los costes y garantizando la seguridad de la entrega en todo momento. El
cumplimiento de esta parte, garantiza, además, que se está realizando un ciclo de mejora continuo
en la gestión de servicios de TI. La especificación supone un completo sistema de gestión según ISO
9001 basado en procesos de gestión de servicio, políticas, objetivos y controles.
La segunda parte que es el Código de Prácticas representa el conjunto de buenas prácticas adoptadas
y aceptadas por la industria en materia de Gestión de Servicio de TI. Está basada en el estándar de
facto ITIL, Biblioteca de Infraestructura de TI y sirve como guía y soporte en el establecimiento de
acciones de mejora en el servicio o preparación de auditorías contra el estándar ISO/IEC 20000-
1:2005.
La ISO/IEC 20000 está dividida en las siguientes secciones que definen los requisitos que debe
cumplir una organización, la cual proporciona servicios a sus clientes con un nivel aceptable de
calidad:

 Requisitos para la gestión de un sistema.

 Implantación y planificación de Gestión de Servicios.
 Planificación e implantación de servicios nuevos o modificados.
 Procesos del servicio de entrega.
 Procesos relacionales.
 Procesos de control.
 Procesos de emisión.

La aparición de la serie ISO/IEC 20000, ha supuesto el primer sistema de gestión en servicio de TI

certificable bajo norma reconocida a nivel mundial. Hasta ahora, las organizaciones podían optar
por aplicar el conjunto de mejoras prácticas dictadas por ITIL completadas por otros estándares
como CMMI o COBIT o certificar su gestión contra el estándar local británico BS 15000. La parte
1 de la serie, ISO/IEC 20000-1:2005 representa el estándar certificable. En febrero de
2006, AENOR que es la organización delegada en España de ISO/IEC inició el mecanismo de
adopción y conversión de la norma ISO/IEC 20000 a norma UNE. El 23 de junio de 2006, la
organización itSMF hace entrega a AENOR de la versión traducida de la norma. Como conclusión,
la norma es una completa guía de referencia para alcanzar los objetivos de proveer servicios TI
gestionados, de calidad y adecuados a las necesidades reales de los clientes. Además, los requisitos
de la norma son independientes de los esquemas de servicio que existen en el mercado por lo que la
Norma se puede implementar apoyándose en cualquier referencia existente ya sea ITIL o cualquier
otra adoptada por parte del sector público y gubernamental ante la necesidad de mejorar la calidad,
y la reducción de los riesgos de los servicios TI, por lo que se toma la ISO 20000 como un factor
relevante para la consecución de los objetivos siendo el referente para los pliegos de outsourcing de
servicios TI apoyándose en las buenas practicas ya adoptadas por la compañía aportante un nivel de
servicio satisfactorio en TI a sus clientes internos y externos.
 Ejecución ITIL/ISO 20000
Para certificarse en ISO 20000 deben de seguir seis pasos importantes, preparar el análisis de
carencias para definir el alcance del sistema de gestión de servicios TI y la certificación debemos
llevar a cabo los siguientes pasos:

Identificar objetivos y beneficios esperados

Con lo cual sabremos si reforzar o introducir buenas prácticas de TI para apoyar la línea de negocio
de cualquier empresa para mejorar la operatividad interna de la organización reforzando la
sistemática de operación utilizando programas para gestionar los procesos operativos y así
evidenciar la validez de la herramienta frente a ISO 20000 e ITIL

Evaluar el nivel de madurez de la Organización

Comprobar la disposición en la que se encuentra la entidad para implementar la certificación,
identificando si maneja otros sistemas de gestión específicos, verificando si cuenta con personal
capacitado.

Definir el alcance considerando objetivos, beneficios e impacto (política)

Cuando se trata de definir el alcance se vuelve algo complejo derivado a que se debe tener un
contenido mínimo de prestación de servicios o no será aceptado por la entidad certificadora y no
debe ser excesivamente ambicioso o quizás no sea abordable, e identificar las necesidades de gestión
considerando que dicho alcance puede modificarse en posteriores revisiones del sistema para
modificarse según se considere oportuno y el impacto en el sistema de gestión integrado existente
considerando las políticas, el manual de procedimientos entre otros, considerando que la norma ISO
20000 requiere 18 procedimientos, seis comunes a otros sistemas

Asignar recursos y responsabilidades al sistema de gestión y los procesos

Se deberá constituir un comité de gestión para asignar las responsabilidades, nombrando un
responsable de sistemas y procesos, siempre y cuando se de abasto si no se nombraran más
dependiendo del tamaño de la empresa y se colocara a un grupo para la puesta en marcha los
diferentes procesos, dejando claro que participaran todos los departamentos involucrados tanto
como administración entre otros.

Diseñar procesos
Diseñar procesos de Gestión de la Seguridad de la Información, Gestión de la capacidad y Gestión
de la Continuidad y Disponibilidad, Gestión de Relaciones con el Negocio y Gestión de
Suministradores para ir acercándonos a los procesos más cercanos a terceras partes, Gestión de Nivel
de Servicio y Regeneración de Informes de Servicio para pactar las relaciones con el cliente y la
Gestión financiera para identificar cual es el que tiene menor impacto para la los otros procesos que
se interrelacionan entre sí. Además, nos débenos de preguntar si los procedimientos diseñados miden
el nivel de responsabilidad de los empleados, si las decisiones pasan para una persona diferente para
aprobación, si las personas son consultadas antes y después de realizar modificaciones y si se la
persona informa sobre sus decisiones, todo esto al realizar matrices de gestión. Se deben de tomar
decisiones siempre enfocadas a la misión y visión de la entidad garantizando el cumplimiento de los
requisitos de la ISO 20000 aprovechando al máximo todas las herramientas ya implementadas.

Pilotar sistema de gestión

Las auditorias de certificación revisan el Sistema de Gestión y buscan evidencias del cumplimiento
de los requisitos exigidos por la norma, exigiendo esta que se ponga a prueba el sistema de manera
que se generen evidencias razonables de que dichos sistemas están funcionando adecuadamente en
un promedio de tiempo considerable en el cual podrán hacerse las correcciones y ajustes necesarios.

Auditoria de Certificación
Para conseguir la certificación en ISO 20000 la entidad necesita:
 La entidad certificadora realiza un estudio previo de la documentación
 Si la entidad certificadora considera correcta la documentación previamente proporcionada
envía el plan de auditoria.
 Si la empresa que se quiere certificar está de acuerdo se realiza la auditoria según la
planificación.
 La entidad certificadora redacta el informe de auditoría incluyendo las desviaciones
encontradas.
 La empresa presentara la propuesta de solución de las desviaciones encontradas, reflejadas
en el informe presentado.
 La entidad certificadora concede el certificado.

Además se deben de gestionar los riesgos y formar conciencia a los involucrados, comunicando al
personal para facilitar el desarrollo del proyecto, realizando un plan de capacitación o formación
garantizando que todos los involucrados y las personas conocen los aspectos necesarios para realizar
las tareas y puesta en marcha de todos los procesos, la implementación se hará en un tiempo estimado
por la alta gerencia de la entidad asesorada por profesionales que ya han implementado ISO 20000
o ITIL y se asignará un presupuesto de acuerdo al plan debidamente elaborado por personal
conocedor de dichos sistemas de gestión y todas las decisiones relacionadas serán elevadas al
consejo superior.
 Conclusión
La aplicación de procedimientos para realizar una buena gestión de TI, es importante derivado a que
sobre la base de una buena gestión podemos fortalecer una toma de decisiones correctas al igual que
la implementación de una certificación internacional en procesos, cumpliendo con las mejores
prácticas para cumplir con los clientes internos y externos.
 Recomendación
Al aplicar ITIL o ISO 20000 se debe de medir con anterioridad los beneficios y los contras que
podrán traer dicha gestión derivado a que por el tamaño de la entidad no podrán implementarse
muchos procesos que incluyen dichas normas y seria desgastante para la entidad comenzar una
certificación que nunca podrá terminar.
 Bibliografía
Fuentes de información Web:
1. https://es.wikipedia.org/wiki/Information_Technology_Infrastructure_Library
2. https://es.wikipedia.org/wiki/Gesti%C3%B3n_de_servicios_de_tecnolog%C3%ADas_de_l
a_informaci%C3%B3n
3. https://es.wikipedia.org/wiki/ISO/IEC_20000
4. https://www.normas-iso.com/por-que-iso-20000/
5. https://www.proactivanet.com/images/Blog/ISO20000_GuiaCompletadeAplicacion_Luis
Moran.pdf
6. https://www.tuv-sud.es/uploads/images/1516368076339922470170/es-tuv-sud-amt-iso-
20000-gestion-servicio-ti.pdf
7. https://www.proactivanet.com/UserFiles/File/Noticias/ISO%2020000%20en%20Espiral%
20MS.pdf