NORMAS ISO

¿Qué son las Normas ISO?

Las normas ISO son documentos que especifican requerimientos que pueden ser
empleados en organizaciones para garantizar que los productos y/o servicios ofrecidos por
dichas organizaciones cumplen con su objetivo. Hasta el momento ISO (International
Organization for Standardization), ha publicado alrededor de 19.500 normas
internacionales que se pueden obtener desde la página oficial de ISO.
¿Para qué sirven las normas ISO?
El objetivo perseguido por las normas ISO es asegurar que los productos y/o servicios
alcanzan la calidad deseada. Para las organizaciones son instrumentos que permiten
minimizar los costos, ya que hacen posible la reducción de errores y sobre todo favorecen
el incremento de la productividad.
Los estándares internacionales ISO son clave para acceder a mercados nacionales e
internacionales y de este modo, estandarizar el comercio en todos los países favoreciendo
a los propios organismos públicos.
Para la sociedad, las normas ISO también son importantes. Existen más de 19.500 normas
que ayudan a casi todos los aspectos del día a día de una persona, como aquellas
destinadas a garantizar la seguridad vial o la seguridad de los juguetes. Si un producto y/o
servicio cumple con alguna de estas normativas, la sociedad puede estar segura que son
fiables y que cuentan con la calidad exigida a nivel mundial.
Durante la elaboración de cualquiera de estas normas, ISO considera que es de gran
importancia que los consumidores de estos servicios y/o productos finales formen parte de
los comités de expertos responsables de dicha elaboración.
En los negocios, los estándares ISO hacen posible que se:
Reduzca los costos: permiten una optimización de las operaciones.
Incremente la satisfacción del cliente: colaboran a mejorar la calidad de los
productos y/o servicios cumpliendo con las exigencias de los usuarios.
Abra el acceso a nuevos mercados: reducen las barreras al comercio internacional.
Incremente la cuota de comercio: aportan una ventaja competitiva.

En esta ocasión, conoceremos con más detalle las siguientes Normas:

 ISO 19011: 2011
Directrices para la auditoría de sistemas de gestión

Alcance
ISO 19011: 2011 proporciona orientación sobre los sistemas de gestión de auditoría,
incluyendo los principios de la auditoría, la gestión de un programa de auditoría y realizar
las auditorías del sistema de gestión. También proporciona orientación sobre la evaluación
de la competencia de las personas que participan en el proceso de auditoría, incluyendo el
gerente o la gestión del programa de auditoría, los auditores y los equipos de auditoría.
ISO 19011: 2011 es aplicable a todas las organizaciones que necesitan para llevar a cabo
auditorías internas o externas de los sistemas de gestión o para gestionar un programa de
auditoría.
ISO 19011: 2011 en principio, puede aplicarse a otros tipos de auditoría, sin embargo,
siempre prestar especial atención a las habilidades específicas requeridas.

Referencias Normativas
Esta cláusula se incluye con el fin de mantener la misma numeración de cláusulas de otras
normas ISO de sistemas de gestión.

Términos y Definiciones
Para los propósitos de este documento, aplican los siguientes términos y definiciones:

Auditoría: proceso sistemático, independiente y documentado para obtener evidencias de

la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se
cumplen los criterios de auditoría.

Criterios de auditoría: Grupo de políticas, procedimientos o requisitos usados como

referencia y contra los cuales se compara la evidencia de auditoría. Si los criterios de
auditoría son legales, se utilizan a menudo los términos “cumple” o “no cumple” en un
hallazgo de auditoría.
Evidencia de la auditoría: Registros, declaraciones de hechos o cualquier otra
información que son pertinentes para los criterios de auditoría  y que son verificables. La
evidencia de la auditoría puede ser cualitativa o cuantitativa.

Conclusiones de la auditoría: Resultado de una auditoría, tras considerar los objetivos de

la auditoría y todos los hallazgos de la auditoría.

Cliente de la auditoría: Organización o persona que solicita una auditoría. En el caso de

una auditoría interna, el cliente de auditoría también puede ser el auditado o la persona que
maneja el programa de auditoría. La solicitud de auditoría externa pude venir de diferentes
fuentes tales como entes reguladores, partes contratantes o clientes potenciales.

Auditado: Organización que está siendo auditada.

Auditor: Persona que lleva a cabo una auditoría.
Equipo: Uno o más auditores que llevan a cabo una auditoría, con el apoyo, si es
necesario, de expertos técnicos. A un auditor del equipo auditor se le designa como líder
del mismo. El equipo auditor puede incluir auditores en formación.

ELEMENTOS DE ISO 19011:2011

Es importante mencionar que esta norma NO establece requisitos, sino que se enfoca en
dar guías para la gestión del programa de auditorías, la planeación y realización de las
mismas, así como las competencias y evaluación del equipo auditor.
La norma se divide en los siguientes cuatro capítulos principales:
1. Principios de auditoria (Cap. 4)
2. Gestión del programa de auditoria (Cap. 5)
3. Realización de una auditoria (Cap. 6)
4. Competencia y evaluación de auditores (Cap. 7)

 Principios de auditoría
La auditoría se caracteriza por depender de varios principios. Éstos deberían hacer de
la auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de
gestión, proporcionando información sobre la cual una organización puede actuar para
mejorar su desempeño. La adhesión a esos principios es un requisito previo para
proporcionar conclusiones de la auditoría que sean pertinentes y suficientes, y para
permitir a los auditores trabajar independientemente entre sí para alcanzar conclusiones
similares en circunstancias similares.

Los lineamientos están basados en los siguientes principios:

a) Integridad: El fundamento del profesionalismo.
b) Presentación ecuánime: Obligación de reportar con veracidad y exactitud.
c) Debido cuidado profesional: La aplicación de diligencia y juicio al auditar
d) Confidencialidad: Seguridad de la información.
e) Independencia: La base para la imparcialidad de la auditoría y la objetividad de
las conclusiones de la auditoría.
f) Enfoque basado en la evidencia: El método racional para alcanzar conclusiones
de auditoría fiables y reproducibles en un proceso de auditoría sistemático.

 Gestión de un programa de auditoría

Una organización que necesita llevar a cabo una auditoría debería establecer un programa
de auditoría que contribuya a la determinación de la efectividad del sistema de gestión del
auditado. El programa de auditoría puede incluir auditorías que tengan en cuenta una o
más normas de sistemas de gestión ya sean llevadas a cabo por separado o en
combinación.

La alta gerencia debería asegurar que los objetivos del programa de auditoría se
hayan establecido y asignar una o más personas competentes para gestionar el programa
de auditoría. El alcance de un programa de auditoría debería estar basado en el tamaño
y naturaleza de la organización a ser auditada, así como en la naturaleza, funcionalidad y
complejidad y el nivel de madurez del sistema de gestión que se va a auditar. Se debería
dar prioridad a asignar los recursos del programa de auditoría para auditar aquellos temas
de mayor significado dentro del sistema de gestión. Estos pueden incluir las características
clave de calidad del producto o los peligros relacionados a salud y seguridad o aspectos
ambientales significativos y su control.

El programa de auditoría debería incluir la información y recursos necesarios

para organizar y conducir las auditorías de manera eficiente dentro de los
tiempos especificados.
 Realización de la auditoría
Inicio de la auditoría:
Cuando se da inicio a una auditoría, la responsabilidad de llevar a cabo dicha
auditoría sigue siendo del líder del equipo auditor hasta que la auditoría se haya finalizado.

 Competencia y evaluación de auditores

La fiabilidad en el proceso de auditoría y la habilidad de alcanzar sus objetivos
dependen de la competencia de aquellos individuos involucrados en la planeación y
realización de auditorías, incluyendo auditores y líderes de equipo auditor.

La competencia debería ser evaluada a través de un proceso que tiene en cuanta

el comportamiento personal y la habilidad de aplicar el conocimiento y habilidades
ganadas a través de la educación, experiencia laboral, entrenamiento de auditor y
experiencia en auditoría.
 ISO 50001
EFICIENCIA ENERGETICA

DEFINICIÓN
ISO 50001, es una normativa estándar internacional desarrollada por ISO (Organización
Internacional para la Estandarización u Organización Internacional de Normalización),
mantener y mejorar un sistema de administración de energía, cuyo propósito es el de
permitir a una organización para alinearse con un enfoque sistemático, y de esta manera
lograr una mejora continua del desempeño de energía, incluyendo eficiencia energética,
seguridad energética, utilización de energía y consumo. Este estándar apunta a permitir a
las organizaciones reducir continuamente su utilización de energía, y de esta manera, sus
costos relacionados con energía, y la emisión de gases de efecto invernadero.
Este estándar ha sido publicado por ISO en junio de 2011, y es aplicable para cualquier
tipo de organización, independientemente de su tamaño, sector, o ubicación geográfica.
El sistema ha sido modelado a partir del estándar ISO 9001, de sistemas de gestión de
calidad, y del estándar ISO 14001, de sistemas de gestión ambiental.
Uno de los atributos más prominentes de la ISO 50001 es el requisito de “… mejorar el
sistema de gestión de energía, y el desempeño energético resultante” (cláusula 4.2.1.c) Los
otros dos estándares aquí mencionados (ISO 9001 e ISO 14001), ambos requieren de
mejoras a la efectividad del sistema de gestión, pero no a la calidad del producto/servicio
(ISO 9001) o al desempeño ambiental (ISO 14001).
De esta manera, la ISO 50001, ha realizado un salto importante al requerir de la
organización una demostración de su compromiso con la mejora de su desempeño
energético. No se especifican metas cuantitativas. Cada organización elije las metas que
desea establecer, y posteriormente diseña un plan de acción para alcanzar estas metas. Con
este enfoque estructurado, una organización tiene más posibilidades de observar beneficios
financieros tangibles.

OBJETIVO
El objetivo principal del estándar es mejorar el desempeño energético y de eficiencia
energética de manera continua, y adicionalmente identificar oportunidades de reducción de
utilización energética. Este enfoque sistemático ayudará a las organizaciones a establecer
sistemas y procesos.
Una gestión consistente de la energía ayuda a las organizaciones a descubrir y a
aprovechar su potencial de eficiencia energética. Se pueden beneficiar de ahorros en
costos, y realizar una contribución significativa a la protección climática y del medio
ambiente (por ejemplo, a través de una reducción permanente en las tasas de emisión de
gases de efecto invernadero). El estándar debe alertar a los empleados y en particular al
nivel ejecutivo y gerencial acerca de las posibles ganancias de largo plazo en relación a su
consumo energético. La organización puede descubrir posibles ahorros y ventajas
competitivas. Incluso puede tratarse de un fortalecimiento importante para la imagen de la
compañía.

METODOLOGIA
El estándar ISO 50001 se basa en la metodología Plan-Do-Check-Act (Planificar-Hacer-
Verificar-Actuar), también conocido como PDCA o Círculo de Deming.

Los principales hitos de esta metodología aplicados a la Norma ISO 50001:

Plan: Establecer una Plan Energético en la organización de acuerdo a una planificación
que establezca acciones concretas y objetivos para mejorar la gestión de la energía y la
Política Energética de la organización
Do: Implementar las acciones previstas en la planificación establecida por la dirección.
Check: Monitorizar los resultados estableciendo los indicadores adecuados que
determinen el grado de cumplimiento de los objetivos y de la planificación establecida, de
forma que podamos valorar y divulgar correctamente los resultados
Act: Revisión de los resultados para tomar las acciones de corrección y mejora que se
estimen oportunas.

ESTRUCTURA Y CONTENIDO
La Norma se estructura y divide en las siguientes secciones:
 Objeto y campo de aplicación.
 Referencias Normativas
 Términos y definiciones
 Requisitos del Sistema de Gestión de la Energía
 Requisitos Generales
 Responsabilidad de la Dirección
  Política Energética
 Planificación Energética
 Implementación y Operación
 Verificación
 Revisión por la dirección

CERTIFICACIÓN
La certificación demuestra que el sistema de gestión de energía cumple con los requisitos
de la ISO 50001. Esto provee a clientes, partes interesadas, empleados, y a la
administración de un mayor grado de confianza en relación al ahorro energético de la
organización. Adicionalmente también ayuda a asegurar que el sistema de gestión de
energía se encuentra en funcionamiento a través de la organización. Una ventaja adicional
de la certificación es el énfasis que hace sobre la mejora continua. La organización
mejorará progresivamente en relación a su administración de energía. Ahorros adicionales
en costos pueden ser generados a través de los años. Incluso, una organización certificada
demuestra su compromiso público con la administración energética.
Actualmente en el Reino unido, ISO 50 0001 no se encuentra acreditada por UKAS, el
esquema de acreditación de cuerpos de certificación. Los cuerpos de certificación aún no
pueden ofrecer certificados acreditados, sin embargo un programa piloto que culminó en
mayo de 2013 realizará la revisión de prueba, y se espera que los cuerpos de certificación
sean acreditados a partir de finales de 2013.
Así como para otros estándares ISO para sistemas de gestión, la certificación de esta
estándar es posible pero no es obligatorio. Algunas organizaciones deciden implementar el
estándar exclusivamente por sus beneficios, otras deciden certificarse, para demostrar a
terceras partes que han implementado un sistema de gestión de energía. La ISO no otorga
la certificación.
 ISO/IEC 20000
SISTEMA DE GESTION DE SERVICIOS (SMS)

DESCRIPCIÓN
La serie ISO/IEC 20000 - Service Management normalizada y publicada por las
organizaciones ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission) el 14 de diciembre de 2005, es el estándar reconocido
internacionalmente en gestión de servicios de TI (Tecnologías de la Información). La serie
20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad de
normalización británica, la British Standards Institution (BSI).
Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una
percepción de que estos servicios no están alineados con las necesidades y requisitos del
negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a
clientes como si se está subcontratando proveedores. Una manera de demostrar que los
servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema
de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC
20000. La certificación en esta norma internacional permite demostrar de manera
independiente que los servicios ofrecidos cumplen con las mejores prácticas.
ISO/IEC 20000 está basada y reemplaza a la BS 15000, la norma reconocida
internacionalmente como una British Standard (BS), y que está disponible en dos partes:
una especificación auditable y un código de buenas prácticas.
La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o guía
de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y
puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las
organizaciones deben ser auditadas y medidas frente a un conjunto establecido de
requisitos.
La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier
sector o parte del mundo donde confían en los servicios de TI. La norma es
particularmente aplicable para proveedores de servicios internos de TI, tales como
departamentos de Información Tecnológica, proveedores externos de TI o incluso
organizaciones subcontratadas. La norma está impactando positivamente en algunos de los
sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones,
Finanzas y el Sector Público.

OBJETIVOS DE LA ISO 20000

El principal objetivo de la norma ISO 20000 es la orientación efectiva al cliente en una
organización. Ahora bien, aunque esto no parece en principio, que signifique un aporte en
relación a las normas de calidad ISO 9000, hemos de decir sin embargo, que se trata de dar
un enfoque diferente a la provisión de servicios relacionados con las nuevas tecnologías.
En este escenario, donde priman a veces las cuestiones técnicas, es donde quiere esta
norma cambiar la visión puramente tecnológica por una visión del servicio enfocado a la
satisfacción del cliente.
Para ello se propone
 Coordinación de funciones dentro de la empresa
 Definir y planificar los servicios de acuerdo a las necesidades reales de los clientes
 Establecer un sistema de mejora continua tanto en la calidad de los servicios
prestados como en la planificación de nuevos servicios, así como en la
modificación de los existentes
 Mejora de la competitividad ofreciendo los servicios que requiere el mercado,
reduciendo riesgos y mejorando los costes
 Mejora de la cuota de mercado demostrando la calidad de su gestión:
 Mercados internacionales
 Empresas de la administración
 Outsourcing de servicios de otras empresas

APLICACIÓN DE LA ISO 20000

  Identificar objetivos y beneficios esperados
 Pilotar Sistema de Gestión
 Auditoría de certificación
 Evaluar el nivel de madurez de la organización
 Definir el alcance considerando objetivos, beneficios e impacto (política)
 Asignar recursos y responsabilidades al Sistema de Gestión y los procesos Diseñar
procesos

ALCANCE DE LA ISO
Identificar correctamente el alcance es complejo:
 El alcance debe tener un contenido mínimo de prestación de servicios o no será
aceptado por la entidad certificadora.
 El alcance no debe ser excesivamente ambicioso o quizás no sea abordable.
 El alcance puede modificarse en posteriores revisiones del sistema para
modificarse según se considere oportuno.
Se identificaron las necesidades de gestión y el impacto en el sistema de gestión integrado
existente. Para ello se consideraron las políticas, el manual, los procedimientos, etc.
Las normas ISO requieren ciertos documentos. ISO 20000 requiere 18 procedimientos,
seis comunes a otros sistemas.

ORGANIZACIÓN
El estándar se compone de 5 partes, de las cuales cuatro están ya publicadas y una en
proceso de publicación:
 Parte 1: ISO/IEC 20000-1:2011 - Requisitos de los sistemas de gestión de servicios
 Parte 2: ISO/IEC 20000-2:2012 - Guía de implementación de los sistemas de
gestión de servicios
 Parte 3: ISO/IEC TR 20000-3:2009 - Guía en la definición del alcance y la
aplicabilidad (informe técnico)
 Parte 4: ISO/IEC DTR 20000-4:2010 - Modelo de referencia de procesos (informe
técnico)
 Parte 5: ISO/IEC TR 20000-5:2010 - Ejemplo de implementación (informe
técnico)
La primera parte (Especificación) define los requerimientos necesarios para realizar una
entrega de servicios de TI alineados con las necesidades del negocio, con calidad y valor
añadido para los clientes, asegurando una optimización de los costes y garantizando la
seguridad de la entrega en todo momento. El cumplimiento de esta parte, garantiza
además, que se está realizando un ciclo de mejora continuo en la gestión de servicios de
TI. La especificación supone un completo sistema de gestión (organizado según ISO 9001)
basado en procesos de gestión de servicio, políticas, objetivos y controles.
El marco de procesos diseñado se organiza con base en los siguientes bloques:
 Grupo de procesos de Provisión del Servicio.
 Grupo de procesos de Control.
 Grupo de procesos de Entrega.
 Grupo de procesos de Resolución.
 Grupo de procesos de Relaciones.
La segunda parte (Código de Prácticas) representa el conjunto de buenas prácticas
adoptadas y aceptadas por la industria en materia de Gestión de Servicio de TI. Está
basada en el estándar de facto ITIL (Biblioteca de Infraestructura de TI) y sirve como guía
y soporte en el establecimiento de acciones de mejora en el servicio o preparación de
auditorías contra el estándar ISO/IEC 20000-1:2005.

RASGOS Y BENEFICIOS
La ISO/IEC 20000 está dividida en las siguientes secciones que definen los requisitos que
debe cumplir una organización, la cual proporciona servicios a sus clientes con un nivel
aceptable de calidad:
 Requisitos para la gestión de un sistema.
 Implantación y planificación de Gestión de Servicios.
 Planificación e implantación de servicios nuevos o modificados.
 Procesos del servicio de entrega.
 Procesos relacionales.
 Procesos de control.
 Procesos de emisión.
Demuestra que se tienen procedimientos y controles adecuados in situ para proporcionar
un servicio de calidad de TI coherente y a un coste efectivo.
Los suministradores de servicios de TI se han vuelto cada vez más sensibles y
responsables con los servicios que prestan más que de la tecnología que puedan
proporcionar.
Los proveedores externos de servicios pueden usar la certificación como un elemento
diferenciador y acceder a nuevos clientes, ya que esto cada vez más se convierte en una
exigencia contractual.
Permite seleccionar, gestionar y proporcionar un servicio externo más efectivo.
Ofrece oportunidades para mejorar la eficiencia, fiabilidad y consistencia de sus servicios
de TI que impactan positivamente tanto en los costes como en el servicio.

CERTIFICACIÓN
La aparición de la serie ISO/IEC 20000, ha supuesto el primer sistema de gestión en
servicio de TI certificable bajo norma reconocida a nivel mundial. Hasta ahora, las
organizaciones podían optar por aplicar el conjunto de mejoras prácticas dictadas
por ITIL (completadas por otros estándares como CMMI o COBIT) o certificar su gestión
contra el estándar local británico BS 15000.
La parte 1 de la serie, ISO/IEC 20000-1:2005 representa el estándar certificable. En
febrero de 2006, AENOR (organización delegada en España de ISO/IEC) inició el
mecanismo de adopción y conversión de la norma ISO/IEC 20000 a norma UNE. El 23 de
junio de 2006, la organización itSMF hace entrega a AENOR de la versión traducida de la
norma. En el BOE del 25 de julio de 2007 ambas partes se ratificaron como normas
españolas con las siguientes referencias:
UNE-ISO/IEC 20000-1:2007 Tecnología de la información. Gestión del servicio. Parte 1:
Especificaciones (ISO/IEC 20000-1:2005).
UNE-ISO/IEC 20000-2:2007 Tecnología de la información. Gestión del servicio. Parte 2:
Código de buenas prácticas (ISO 20000-2:2005).
Estas normas pueden adquirirse a través del portal web de AENOR. Cualquier entidad
puede solicitar la certificación respecto a esas normas.
 BIBLIOGRAFIA

1. Recuperado el 20 de septiembre de 2016, (http://www.iso.org/)

2. Recuperado el 20 de septiembre de 2016, https://es.wikipedia.org/wiki/ISO_50001