Las respuestas que siempre quisiste conocer sobre ISO 20000

Sistema de Gestin Servicios TI (SGSTI) Planificacin e implementacin de la gestin del servicio (PDCA) Planificacin e implementacin de servicios, nuevos o modificados

Procesos de Provisin de Servicio

Procesos de control

Proceso de Entrega

Procesos de Resolucin

Procesos de Relaciones

Gua ISO 20000

Realizado por el Grupo de Trabajo Difusin ISO 20000 del itSMF Espaa. Septiembre 2008 - Versin 1

Autor :

Juan Jos Carpintero

Co-Autores : Julio Ballesteros Javier Benito Manuel Daz de la Fuente Juan Jos Figueiras Francisco Gil Orlando Pereda Alejandro Prez Sergio Ribes Marlon Molina Dibujos : Juan Jos Carpintero

Indice
Prlogo ................................................................................................ 6 Qu es ISO 20000?.............................................................................. 7 Cules son los procesos definidos de ISO 20000? .............................. 8 Para qu sirve ISO 20000? ................................................................ 10 Dnde se consigue la ISO 20000? ..................................................... 12 Qu beneficios me puede aportar ISO 20000? ................................ 14 Quin puede ayudarnos con el proceso de certificacin? ............... 15 La empresa que audite nuestro sistema de gestin, debe estar acreditada? ......................................................................................... 18 Para qu sirve un esquema de certificacin? ................................... 20 Hay que pasar controles, una vez obtenida la certificacin ISO 20000? ................................................................................................ 22 Me puede ayudar en algo tener un certificado ISO 9000?............... 24 Si ya tengo ISO 9000, para qu necesito ISO 20000? ....................... 25 Cmo puedo demostrar que cumplo con la norma ISO 20000? ...... 26 Qu evidencias y registros necesitamos tener en nuestro sistema de gestin? .............................................................................................. 27 Ya estoy con ITIL, es necesario dar el salto a ISO 20000? ................ 30 Es importante seguir el modelo ITIL para obtener ISO 20000?........ 31 Es necesario certificar a nuestros equipos en ITIL para poder obtener ISO 20000?.......................................................................................... 34 Si ya soy consultor de ITIL, qu debo hacer para poder dar consultora en ISO 20000?.................................................................. 36 Como organizacin TI que busca certificarse en ISO 20000, qu ayuda externa puedo buscar? ............................................................ 37 Es necesario certificarse en los 13 procesos de ISO 20000, y sus requerimientos? ................................................................................. 38 Qu diferencia a ISO 20000 de los dems estndares? ................... 40 Tengo que hacer un cambio radical en mi compaa? ..................... 41 Es necesario certificar toda la organizacin de TI en ISO 20000? .... 42

 Es importante seguir la metodologa PDCA en un proceso de obtencin de ISO 20000? ................................................................... 44 Necesitar contratar a ms gente en plantilla para certificarme? ... 46 Es necesario crear un proyecto para la obtencin de ISO 20000? ... 48 Cunto tiempo necesito para obtener la certificacin ISO 20000? y cul es el coste? ................................................................................ 50 Dnde informarse? ........................................................................... 51 Bibliografa.......................................................................................... 51

Prlogo
Esta gua tiene como objetivo responder a una serie de preguntas que todos nos hacemos sobre ISO 20000. El lenguaje que se ha utilizado est pensado para que cualquiera pueda entender las respuestas, evitando en lo posible los tecnicismos. El grupo que ha trabajado en la construccin de esta gua ha querido darle un punto de humor, para que su lectura sea del agrado de todos.

Qu es ISO 20000?
ISO 20000 es un estndar internacional para proporcionar servicios TI de calidad, para los clientes de una determinada organizacin, estando enfocado a empresas proveedoras de servicios TI. ISO 20000 surge de la norma britnica BS15000, que a su vez, est relacionado con ITIL. ISO 20000 consta de 13 procesos definidos. Un proceso de planificacin e implementacin de servicios Requisitos de un sistema de gestin. Ciclo de mejora continua (PDCA).
Sistema de Gestin Servicios TI (SGSTI) Planificacin e implementacin de la gestin del servicio (PDCA) Planificacin e implementacin de servicios, nuevos o modificados

Procesos de Provisin de Servicio

Procesos de control

Proceso de Entrega

Procesos de Resolucin

Procesos de Relaciones

Cules son los procesos definidos de ISO 20000? (I)

Procesos de provisin del servicio. Gestin de la capacidad. Gestin de la continuidad y disponibilidad del servicio. Gestin del nivel de servicio. Informacin del servicio. Gestin de la seguridad de la informacin. Elaboracin de presupuestos y contabilidad de los servicios de TI. Procesos de Control. Gestin de la Configuracin. Gestin del Cambio.

Cules son los procesos definidos de ISO 20000? (II)

Proceso de entrega. Gestin de la entrega. Procesos de resolucin. Gestin de incidencias. Gestin de problemas. Procesos de relaciones. Gestin de relaciones con el negocio. Gestin de proveedores. Todo ello sin olvidar el resto de requisitos comentados anteriormente.

Para qu sirve ISO 20000? (I)

Entre otros propsitos, sirve para: Conseguir una orientacin efectiva al cliente. Integrar los diferentes procesos de la organizacin evitando que funcionen de manera aislada o descoordinada. Conseguir la calidad de los servicios y la adecuacin a las necesidades reales de los clientes. Gestionar el servicio teniendo en cuenta toda la cadena de valor (de extremo a extremo). Conseguir tener un sistema de mejora continua.

10

Para qu sirve ISO 20000? (II)

Las organizaciones mejorarn su competitividad, reduciendo riesgos, costes y el time-to market de nuevos productos, a la vez que mejoran su calidad en el servicio de TI. Las organizaciones certificadas podrn demostrar la calidad de su gestin en la provisin de servicios de TI: Las organizaciones internas de cara a la propia organizacin. Las organizaciones externas, ante otras empresas que busquen externalizar servicios.

11

Dnde se consigue la ISO 20000?

La pregunta no debe ser Dnde?, sino Cmo? El proceso de obtencin de ISO 20000 necesita seguir unos pasos establecidos. Definir el alcance. Nombrar un Responsable. Documentar y cumplir con todos los procesos y requerimientos Tener evidencias de la gestin de los mismos. Conseguir una ISO 20000 lleva entre 12 y 24 meses, dependiendo del tamao de la empresa, y el alcance definido. Conseguir ISO 20000 cuesta tiempo, esfuerzo y dinero, pero merece la pena estar entre aquellas empresas que consiguen este sello de calidad de la Gestin de Servicios de TI.

12

13

Qu beneficios me puede aportar ISO 20000 (I)?

ISO 20000 proporciona a las empresas que la implantan una sistemtica para gestionar correctamente los servicios TI. A nivel operativo, se consigue mayor eficacia y eficiencia. A nivel de los clientes, ISO 20000 es un referente para recibir una prestacin de servicios TI de calidad y acorde a sus necesidades y expectativas. A nivel estratgico, una empresa certificada en ISO 20000 significa que trabaja acorde a unos estndares conocidos y aceptados globalmente.

14

Qu beneficios me puede aportar ISO 20000 (II)?

Desde el punto de vista empresarial la certificacin en ISO 20000 significa una fuente potencial de nuevos clientes que estn buscando empresas con niveles de calidad fiables. Puede significar la entrada en mercados globales, ya que ISO 20000 es ampliamente reconocida a nivel internacional.

15

Quin puede ayudarnos con el proceso de certificacin?

Hoy en da hay muchos consultores con experiencia en ITIL que pueden ayudarnos. Hay que huir de aquellos que digan que tienen mucha experiencia en ISO 20000, puesto que es una norma demasiado nueva como para que nadie tenga mucha experiencia. Es aconsejable que los consultores que nos atiendan estn certificados en ITIL, y que tengan experiencia en otras certificaciones ISO, (ISO 27001, ISO 9000 en entornos TI). En cualquier caso, que nadie nos abrume con demasiadas siglas.

16

17

La empresa que audite nuestro sistema de gestin, debe estar acreditada?

Por supuesto. Las empresas auditoras, son a su vez auditadas y acreditadas por un organismo externo. En nuestro pas ese organismo es la ENAC. Slo en las primeras certificaciones puede haber excepciones, hasta que se define el esquema de certificacin. Conseguir una ISO 20000 sin el sello de ENAC, tiene poco valor (aunque la realidad dice que al menos hacen falta dos aos para conseguir las primeras certificaciones acreditadas por ENAC). Una vez realizadas las primeras auditoras, ser la ENAC quien audite y certifique el modelo.

18

19

Para qu sirve certificacin?

un

esquema

de

Un esquema de certificacin nos permite tener una visin nica de algo. Si hablamos de ISO 20000 nos imaginamos una buena gestin de servicios con un sistema de gestin, 13 procesos, un sistema de gestin, PDCA, planificacin e implementacin de servicios, evidencias claras de los procedimientos, un alcance establecido, etc. Sin esquema de certificacin, cada empresa certificadora podra utilizar sus mtodos propios para realizar la auditora, y el esfuerzo, y la calidad intrnseca que tiene ISO 20000 podran verse en entredicho. Imaginen como sera un mvil de ltima generacin, sin un esquema de certificacin claro.

20

21

Hay que pasar controles, una vez obtenida la certificacin ISO 20000?
Por supuesto. La obtencin de la certificacin ISO 20000, es el principio de una nueva fase, no el final. ISO 20000 contempla en sus requisitos la mejora continua para que los procesos de gestin evolucionen en eficiencia y se ajusten a las necesidades reales de la organizacin. Por lo tanto es necesario registrar las evidencias necesarias para poder demostrar su cumplimiento. ISO 20000 no es un sello en la pared, es la forma de trabajo diaria de TI, por lo que hay que mantenerla viva y mejorarla en funcin de las necesidades de la organizacin. Hay que realizar controles anuales y hay que re-certificarse cada 3 aos.

22

23

Me puede ayudar en algo tener un certificado ISO 9000?

S, hay procesos de ISO 20000 que son muy similares a ISO 9000, como son los de Responsabilidades de la Direccin, Control de la Documentacin, Competencia y Formacin, Auditoras Internas, Medicin y Mejora. Desde el punto de vista documental pueden aprovecharse los mismos procedimientos para ambos sistemas de gestin; es casi una obligacin, a fin de cuentas ambos estn basados en un modelo de procesos orientado a la calidad. Hay que tener cuidado con el alcance, ya que si no es el mismo para un sistema y otro habr que hacer ciertas adaptaciones.

24

Si ya tengo ISO 9000, para qu necesito ISO 20000?

ISO 9000 es usado por distintas organizaciones en diferentes sectores, y aporta un valor aadido e las relaciones comerciales, mientras que ISO 20000 es una certificacin especfica de TI. Aunque hay reas que pueden solaparse entre ambas normas, ISO 20000 se enfocar slo en los procesos de gestin de los servicios TI, mientras que ISO 9000 abarcar todos los procesos de la organizacin. Si el principal propsito de una organizacin son los servicios de TI, tendra todo el sentido plantearse conseguir la certificacin ISO 20000.

25

Cmo puedo demostrar que cumplo con la norma ISO 20000?

El mejor modo de demostrarlo es realizar una auditora externa a travs de un organismo de certificacin acreditado. Su evaluacin independiente e imparcial, es realizada por auditores certificados en la gestin del Servicio de TI, que garantizarn el cumplimiento. Si la auditora tiene xito se conseguir la certificacin, y obtendr el logo correspondiente. La certificacin garantiza que la organizacin TI tiene implantados y utiliza los controles y procedimientos adecuados para dar un servicio de calidad.

26

Qu evidencias y registros necesitamos tener en nuestro sistema de gestin? (I)

Una vez que obtengamos la ISO 20000, debemos realizar controles peridicos y guardar evidencias y registros de los mismos. Es importante que seamos autocrticos a la hora de realizar los controles. Cuando el auditor tenga que volver para nuestro proceso de re-certificacin, esperar encontrar evidencias claras de los controles realizados. Las evidencias y registros deben sernos de utilidad para nuestro trabajo diario y para la mejora continua, y no un trabajo extra que tenemos que hacer, cara al auditor.

27

Qu evidencias y registros necesitamos tener en nuestro sistema de gestin?(II)

Debemos crear una figura interna e independiente, que sea el responsable de realizar esos controles con la misma exigencia que si fuera un auditor externo. Las evidencias se generan como consecuencia del funcionamiento de los procesos y requerimientos de la norma, en el da a da. Como ejemplos de evidencias con los que demostrar que cumplimos con los requisitos de la norma podemos mencionar: Un incidente registrado. Un plan de capacidad. Un acuerdo de nivel de servicio.

28

29

Ya estoy con ITIL, es necesario dar el salto a ISO 20000?

No necesariamente. Si la empresa obtiene los resultados esperados una vez implementados los procesos de ITIL, no es necesario el paso a ISO 20000, a menos que existan motivos para ello. La diferencia con respecto a ITIL es que ISO 20000 ha sido desarrollada para que los proveedores de TI, puedan tener una certificacin, por una tercera parte independiente, que avale que est realizando la gestin de sus servicios de TI de acuerdo a esta norma internacional. ISO 20000 certifica organizaciones, mientras que ITIL certifica slo a las personas.

30

Es importante seguir el modelo ITIL para obtener ISO 20000? (I)

Tanto ISO 20000 como ITIL estn alineados, cada uno en su mbito de actuacin, por lo que ITIL puede ser muy til a la hora de implantar los requisitos de la norma. ITIL nos dice que tenemos que ADOPTAR el modelo como fuente de buenas prcticas, pero tambin que debemos ADAPTAR sus buenas prcticas a la realidad de nuestra empresa. No hay por qu seguir al pie de la letra sus indicaciones, sino extraer todo aquello que nos ayude a mejorar.

31

Es importante seguir el modelo ITIL para obtener ISO 20000? (II)

ISO 20000, al igual que ocurre con ITIL, debe adecuarse a nosotros, aunque para obtener la certificacin en ISO 20000 tendremos que demostrar que nuestro sistema cumple con los requisitos de la norma. Hay que tener documentados los procedimientos de todos y cada uno de los procesos, para poder obtener ISO 20000. Tener ITIL en nuestro horizonte, es sin lugar a dudas una ayuda importante para alcanzar ISO 20000.

32

33

Es necesario certificar a nuestros equipos en ITIL para poder obtener ISO 20000?
No es necesario, aunque s puede ser de utilidad. Si lanzamos el proceso de certificacin con ayuda de consultores externos no es necesario tener personal certificado en ITIL. Si queremos tener una participacin interna ms activa, entonces es necesario que al menos estemos formados y, si es posible, que alguna de las personas de nuestro equipo est certificada. Obtener el primer nivel de certificacin, Foundations, es bastante sencillo, y acredita que tenemos una base.

34

35

Si ya soy consultor de ITIL, qu debo hacer para poder dar consultora en ISO 20000?
Debera certificarse como consultor de ISO 20000. Si adems de estar certificado en ITIL, tambin est certificado como consultor de otra norma ISO, el proceso ser ms sencillo. La certificacin ISO 20000 garantiza los conocimientos para poder asesorar a otras empresas en su implantacin.

36

Como organizacin TI que busca certificarse en ISO 20000, qu ayuda externa puedo buscar?
Hay un nmero importante de empresas que han certificado a sus consultores para que nos puedan aconsejar en como conseguir este objetivo, aunque an no haya una gran experiencia en el mercado, dado que la norma es de reciente creacin. Existen tambin algunos documentos de evaluacin, que nos permitirn conocer como estamos de alineados con respecto a la norma. En un futuro prximo la propia norma ISO 20000 va a facilitar diferentes herramientas que ayudarn a conocer como estamos alineados con los requerimientos de la norma, y como evolucionar hacia la certificacin.

37

Es necesario certificarse en los 13 procesos de ISO 20000, y sus requerimientos?

S, es necesario. Nosotros podemos definir el alcance, en el que se basar nuestra certificacin, pero tendremos que cumplir con los 13 procesos y requerimientos de la norma. El alcance que definamos, tiene que tener suficiente entidad, como para embarcarnos en un proceso de certificacin de ISO 20000, que nos acreditar en la Gestin de Servicios de TI. Algunos procesos pueden estar externalizados, pero debern cumplir igualmente la norma. Un consultor nos ayudar en este paso de definicin del alcance.

38

39

Qu diferencia a ISO 20000 de los dems estndares?

ISO 20000 es el primer modelo de calidad certificable para la gestin de servicios de TI. ISO 20000 es el nico estndar basado en ITIL, por lo que ser ms fcil de adaptar para las organizaciones que ya conozcan este modelo. Otros estndares o marcos de referencia conocidos son MOF, COBIT, CMMI, ISO 9000, ISO 27000, 6 Sigma, EFQM Cuando se implanta ms de un estndar, puede haber reas comunes que se solapen. Suelen ser las de gestin de la calidad y auditora. Existe documentacin donde se detalla las reas de solapamiento entre los diferentes estndares, para aquellas organizaciones que quieran convivir con ms de un estndar.

40

Tengo que hacer un cambio radical en mi compaa?

No necesariamente, aunque podra darse el caso para empresas muy desalineadas con lo que requiere la norma. En general, se puede abordar partiendo del enfoque de una transformacin o adaptacin paulatina, con una doble dimensin: En aquellos procesos y requerimientos que requiere la norma y que ya existen en la empresa, adaptndolos y mejorndolos para que cumplan con ella. En aquellos procesos que requiere la norma y que an no estn presentes en la empresa, planificando su implementacin.

41

Es necesario certificar toda organizacin de TI en ISO 20000?

la

No. No es necesario certificar todos los servicios prestados por TI. Debemos definir un alcance que sea de suficiente entidad, pero no tiene por qu incluir a toda la organizacin de TI. Implantar el modelo ISO 20000 es largo (entre 12 y 24 meses), pero si queremos incluir toda la organizacin, podramos estar hablando de un proyecto de 3 aos o ms. Es conveniente definir el alcance idneo, que nos permita acreditar nuestra calidad en los servicios de TI, sin incluir otras reas que quizs no tengan una fuerte relacin con dichos servicios. Un consultor nos ayudar en este paso de definicin del alcance.

42

43

Es importante seguir la metodologa PDCA en un proceso de obtencin de ISO 20000?

La metodologa PDCA es la base de todo proceso de certificacin ISO. Forma parte de la mejora continua que nos asegura que los procedimientos estn vivos y se siguen habitualmente. Nos permite encontrar puntos de mejora que garantizan nuestra calidad en los procesos.

44

45

Necesitar contratar a ms gente en plantilla para certificarme? (I)

ISO 2000 puede ser aplicada tanto a pequeos como grandes proveedores de servicios TI. El proceso de certificacin puede ser ms o menos complejo dependiendo del estado del arte en la empresa y del tamao y/o complejidad de la misma. En cualquiera de los casos, se requiere al menos una persona que dirija y coordine todo el proceso de certificacin, tratndolo como un proyecto interno. Esta persona debera formar parte de la plantilla, si dispone de la preparacin suficiente. Necesitar un equipo de apoyo, que tambin puede formar parte de la plantilla.

46

Necesitar contratar a ms gente en plantilla para certificarme? (II)

Ser necesaria la participacin y el involucramiento tanto del lder, como del equipo de apoyo, como del resto de los empleados, al menos en una parte de su tiempo. La ayuda de un consultor en ISO 20000 facilitar el proceso de certificacin.

47

Es necesario crear un proyecto para la obtencin de ISO 20000?

S. Una ISO 20000 no se consigue con los ratos libres. Tiene que definirse un proyecto, un responsable, un equipo, un plazo y un presupuesto. El responsable de este proceso de certificacin, tiene que ser una persona de nivel, que pueda llevar a la organizacin a la obtencin de la certificacin ISO 20000. Tiene que haber un compromiso directo de la Direccin y del Departamento de TI. Una vez obtenida la certificacin, empezar realmente la actividad de la gestin del servicio.

48

49

Cunto tiempo necesito para obtener la certificacin ISO 20000? y cul es el coste?
El tiempo necesario y el coste dependen de varios factores : El grado de cumplimiento actual en la empresa. El nivel y calidad de la documentacin existente. El tamao, complejidad y distribucin de la empresa o rea a auditar. La auditora necesaria para la certificacin, es una parte de tiempo y coste muy pequeo, en comparacin con el proyecto de mejora del servicio necesario para la certificacin. Para una organizacin de tamao medio, el plazo estimado es entre 12 y 24 meses.

50

Donde informarse?
www.iso.org www.itsmf.es www.aenor.es www.bsi-global.com www.ogc.gov.uk www.itil.co.uk www.enac.es

Bibliografa
UNE ISO/IEC 20000-1 UNE ISO/IEC 20000-2 ISO/IEC 27001:2005 ISO 9001:2000

51

52