Guía ISO 20000

Las respuestas que siempre quisiste conocer sobre

ISO 20000

Sistema de Gestión Servicios TI (SGSTI)

Planificación e implementación de la gestión del servicio (PDCA)

Planificación e implementación de servicios, nuevos o modificados

Procesos de Provisión de Servicio

Procesos de control

Proceso de

Entrega

Procesos de

Resolución

Procesos de

Relaciones





Procesos de control

Proceso de

Entrega

Procesos de

Resolución

Procesos de

Relaciones

3

Guía ISO 20000 Realizado por el Grupo de Trabajo “Difusión ISO 20000” del itSMF España. Septiembre 2008 - Versión 1 Autor : Juan José Carpintero Co-Autores :

Julio Ballesteros Javier Benito Manuel Díaz de la Fuente Juan José Figueiras Francisco Gil Orlando Pereda Alejandro Pérez Sergio Ribes

Marlon Molina Dibujos : Juan José Carpintero

4

Indice Prólogo ................................................................................................ 6 ¿Qué es ISO 20000? .............................................................................. 7 ¿Cuáles son los procesos definidos de ISO 20000? .............................. 8 ¿Para qué sirve ISO 20000? ................................................................ 10 ¿Dónde se consigue la ISO 20000? ..................................................... 12 ¿Qué beneficios me puede aportar ISO 20000? ................................ 14 ¿Quién puede ayudarnos con el proceso de certificación? ............... 15 ¿La empresa que audite nuestro sistema de gestión, debe estar

acreditada? ......................................................................................... 18 ¿Para qué sirve un esquema de certificación? ................................... 20 ¿Hay que pasar controles, una vez obtenida la certificación ISO

20000? ................................................................................................ 22 ¿Me puede ayudar en algo tener un certificado ISO 9000? ............... 24 Si ya tengo ISO 9000, ¿para qué necesito ISO 20000? ....................... 25 ¿Cómo puedo demostrar que cumplo con la norma ISO 20000? ...... 26 ¿Qué evidencias y registros necesitamos tener en nuestro sistema de

gestión? .............................................................................................. 27 Ya estoy con ITIL, ¿es necesario dar el salto a ISO 20000? ................ 30 ¿Es importante seguir el modelo ITIL para obtener ISO 20000? ........ 31 ¿Es necesario certificar a nuestros equipos en ITIL para poder obtener

ISO 20000? .......................................................................................... 34 Si ya soy consultor de ITIL, ¿qué debo hacer para poder dar

consultoría en ISO 20000? .................................................................. 36 Como organización TI que busca certificarse en ISO 20000, ¿qué

ayuda externa puedo buscar? ............................................................ 37 ¿Es necesario certificarse en los 13 procesos de ISO 20000, y sus

requerimientos? ................................................................................. 38 ¿Qué diferencia a ISO 20000 de los demás estándares? ................... 40 ¿Tengo que hacer un cambio radical en mi compañía? ..................... 41 ¿Es necesario certificar toda la organización de TI en ISO 20000? .... 42

5

¿Es importante seguir la metodología PDCA en un proceso de

obtención de ISO 20000? ................................................................... 44 ¿Necesitaré contratar a más gente en plantilla para certificarme? ... 46 ¿Es necesario crear un proyecto para la obtención de ISO 20000? ... 48 ¿Cuánto tiempo necesito para obtener la certificación ISO 20000? y

¿cuál es el coste? ................................................................................ 50 ¿Dónde informarse? ........................................................................... 51 Bibliografía .......................................................................................... 51

6

Prólogo

• Esta guía tiene como objetivo responder a una serie de preguntas que todos nos hacemos sobre ISO 20000.

• El lenguaje que se ha utilizado está pensado para que cualquiera pueda entender las respuestas, evitando en lo posible los tecnicismos.

• El grupo que ha trabajado en la construcción de

esta guía ha querido darle un punto de humor, para que su lectura sea del agrado de todos.

7





Procesos de control

Proceso de

Entrega

Procesos de

Resolución

Procesos de

Relaciones





Procesos de control

Proceso de

Entrega

Procesos de

Resolución

Procesos de

Relaciones

¿Qué es ISO 20000? • ISO 20000 es un estándar internacional para

proporcionar servicios TI de calidad, para los clientes de una determinada organización, estando enfocado a empresas proveedoras de servicios TI.

• ISO 20000 surge de la norma británica BS15000, que a su vez, está relacionado con ITIL.

• ISO 20000 consta de … • 13 procesos definidos. • Un proceso de planificación e

implementación de servicios • Requisitos de un sistema de gestión. • Ciclo de mejora continua (PDCA).

8

¿Cuáles son los procesos definidos de ISO 20000? (I)

• Procesos de provisión del servicio. • Gestión de la capacidad. • Gestión de la continuidad y

disponibilidad del servicio. • Gestión del nivel de servicio. • Información del servicio. • Gestión de la seguridad de la

información. • Elaboración de presupuestos y

contabilidad de los servicios de TI. • Procesos de Control.

• Gestión de la Configuración. • Gestión del Cambio.

9

¿Cuáles son los procesos definidos de ISO 20000? (II)

• Proceso de entrega. • Gestión de la entrega.

• Procesos de resolución. • Gestión de incidencias. • Gestión de problemas.

• Procesos de relaciones. • Gestión de relaciones con el negocio. • Gestión de proveedores.

• Todo ello sin olvidar el resto de requisitos comentados anteriormente.

10

¿Para qué sirve ISO 20000? (I) • Entre otros propósitos, sirve para:

• Conseguir una orientación efectiva al cliente.

• Integrar los diferentes procesos de la organización evitando que funcionen de manera aislada o descoordinada.

• Conseguir la calidad de los servicios y la adecuación a las necesidades reales de los clientes.

• Gestionar el servicio teniendo en cuenta toda la cadena de valor (de extremo a extremo).

• Conseguir tener un sistema de mejora continua.

11

¿Para qué sirve ISO 20000? (II) • Las organizaciones mejorarán su

competitividad, reduciendo riesgos, costes y el “time-to market” de nuevos productos, a la vez que mejoran su calidad en el servicio de TI.

• Las organizaciones certificadas podrán demostrar la calidad de su gestión en la provisión de servicios de TI:

• Las organizaciones internas de cara a la propia organización.

• Las organizaciones externas, ante otras empresas que busquen externalizar servicios.

12

¿Dónde se consigue la ISO 20000? • La pregunta no debe ser ¿Dónde?, sino

¿Cómo? • El proceso de obtención de ISO 20000

necesita seguir unos pasos establecidos. • Definir el alcance. • Nombrar un Responsable. • Documentar y cumplir con todos los

procesos y requerimientos • Tener evidencias de la gestión de los

mismos. • Conseguir una ISO 20000 lleva entre 12 y 24

meses, dependiendo del tamaño de la empresa, y el alcance definido.

• Conseguir ISO 20000 cuesta tiempo, esfuerzo y dinero, pero merece la pena estar entre aquellas empresas que consiguen este sello de calidad de la Gestión de Servicios de TI.

14

¿Qué beneficios me puede aportar ISO 20000 (I)?

• ISO 20000 proporciona a las empresas que la implantan una sistemática para gestionar correctamente los servicios TI.

• A nivel operativo, se consigue mayor eficacia y eficiencia.

• A nivel de los clientes, ISO 20000 es un referente para recibir una prestación de servicios TI de calidad y acorde a sus necesidades y expectativas.

• A nivel estratégico, una empresa certificada en ISO 20000 significa que trabaja acorde a unos estándares conocidos y aceptados globalmente.

15

¿Qué beneficios me puede aportar ISO 20000 (II)?

• Desde el punto de vista empresarial la certificación en ISO 20000 significa una fuente potencial de nuevos clientes que estén buscando empresas con niveles de calidad fiables.

• Puede significar la entrada en mercados globales, ya que ISO 20000 es ampliamente reconocida a nivel internacional.

16

¿Quién puede ayudarnos con el proceso de certificación?

• Hoy en día hay muchos consultores con experiencia en ITIL que pueden ayudarnos.

• Hay que huir de aquellos que digan que tienen mucha experiencia en ISO 20000, puesto que es una norma demasiado nueva como para que nadie tenga “mucha experiencia”.

• Es aconsejable que los consultores que nos atiendan estén certificados en ITIL, y que tengan experiencia en otras certificaciones ISO, (ISO 27001, ISO 9000 en entornos TI).

• En cualquier caso, que nadie nos abrume con demasiadas siglas.

18

¿La empresa que audite nuestro sistema de gestión, debe estar acreditada?

• Por supuesto. Las empresas auditoras, son a su vez auditadas y acreditadas por un organismo externo.

• En nuestro país ese organismo es la ENAC. • Sólo en las primeras certificaciones puede

haber excepciones, hasta que se define el esquema de certificación.

• Conseguir una ISO 20000 sin el sello de ENAC, tiene poco valor (aunque la realidad dice que al menos hacen falta dos años para conseguir las primeras certificaciones acreditadas por ENAC).

• Una vez realizadas las primeras auditorías, será la ENAC quien audite y certifique el modelo.

20

¿Para qué sirve un esquema de certificación?

• Un esquema de certificación nos permite tener una visión única de algo.

• Si hablamos de ISO 20000 nos imaginamos una buena gestión de servicios con un sistema de gestión, 13 procesos, un sistema de gestión, PDCA, planificación e implementación de servicios, evidencias claras de los procedimientos, un alcance establecido, etc.

• Sin esquema de certificación, cada empresa certificadora podría utilizar sus métodos propios para realizar la auditoría, y el esfuerzo, y la calidad intrínseca que tiene ISO 20000 podrían verse en entredicho.

• Imaginen como sería un móvil de última generación, sin un esquema de certificación claro.

22

¿Hay que pasar controles, una vez obtenida la certificación ISO 20000?

• Por supuesto. La obtención de la certificación ISO 20000, es el principio de una nueva fase, no el final.

• ISO 20000 contempla en sus requisitos la mejora continua para que los procesos de gestión evolucionen en eficiencia y se ajusten a las necesidades reales de la organización. Por lo tanto es necesario registrar las evidencias necesarias para poder demostrar su cumplimiento.

• ISO 20000 no es un sello en la pared, es la forma de trabajo diaria de TI, por lo que hay que mantenerla viva y mejorarla en función de las necesidades de la organización.

• Hay que realizar controles anuales y hay que re-certificarse cada 3 años.

24

¿Me puede ayudar en algo tener un certificado ISO 9000?

• Sí, hay procesos de ISO 20000 que son muy similares a ISO 9000, como son los de Responsabilidades de la Dirección, Control de la Documentación, Competencia y Formación, Auditorías Internas, Medición y Mejora.

• Desde el punto de vista documental pueden aprovecharse los mismos procedimientos para ambos sistemas de gestión; es casi una obligación, a fin de cuentas ambos están basados en un modelo de procesos orientado a la calidad.

• Hay que tener cuidado con el alcance, ya que si no es el mismo para un sistema y otro habrá que hacer ciertas adaptaciones.

25

Si ya tengo ISO 9000, ¿para qué necesito ISO 20000?

• ISO 9000 es usado por distintas organizaciones en diferentes sectores, y aporta un valor añadido e las relaciones comerciales, mientras que ISO 20000 es una certificación específica de TI.

• Aunque hay áreas que pueden solaparse entre ambas normas, ISO 20000 se enfocará sólo en los procesos de gestión de los servicios TI, mientras que ISO 9000 abarcará todos los procesos de la organización.

• Si el principal propósito de una organización son los servicios de TI, tendría todo el sentido plantearse conseguir la certificación ISO 20000.

26

¿Cómo puedo demostrar que cumplo con la norma ISO 20000?

• El mejor modo de demostrarlo es realizar una auditoría externa a través de un organismo de certificación acreditado.

• Su evaluación independiente e imparcial, es realizada por auditores certificados en la gestión del Servicio de TI, que garantizarán el cumplimiento.

• Si la auditoría tiene éxito se conseguirá la certificación, y obtendrá el logo correspondiente.

• La certificación garantiza que la organización TI tiene implantados y utiliza los controles y procedimientos adecuados para dar un servicio de calidad.

27

¿Qué evidencias y registros necesitamos tener en nuestro sistema de gestión? (I)

• Una vez que obtengamos la ISO 20000, debemos realizar controles periódicos y guardar evidencias y registros de los mismos.

• Es importante que seamos autocríticos a la hora de realizar los controles.

• Cuando el auditor tenga que volver para nuestro proceso de re-certificación, esperará encontrar evidencias claras de los controles realizados.

• Las evidencias y registros deben sernos de utilidad para nuestro trabajo diario y para la mejora continua, y no un “trabajo extra” que tenemos que hacer, cara al auditor.

28

¿Qué evidencias y registros necesitamos tener en nuestro sistema de gestión?(II)

• Debemos crear una figura interna e independiente, que sea el responsable de realizar esos controles con la misma exigencia que si fuera un auditor externo.

• Las evidencias se generan como consecuencia del funcionamiento de los procesos y requerimientos de la norma, en el día a día.

• Como ejemplos de evidencias con los que demostrar que cumplimos con los requisitos de la norma podemos mencionar:

• Un incidente registrado. • Un plan de capacidad. • Un acuerdo de nivel de servicio. • …

30

“Ya estoy con ITIL”, ¿es necesario dar el salto a ISO 20000?

• No necesariamente. Si la empresa obtiene los resultados esperados una vez implementados los procesos de ITIL, no es necesario el paso a ISO 20000, a menos que existan motivos para ello.

• La diferencia con respecto a ITIL es que ISO 20000 ha sido desarrollada para que los proveedores de TI, puedan tener una certificación, por una tercera parte independiente, que avale que está realizando la gestión de sus servicios de TI de acuerdo a esta norma internacional.

• ISO 20000 certifica organizaciones, mientras que ITIL certifica sólo a las personas.

31

¿Es importante seguir el modelo ITIL para obtener ISO 20000? (I)

• Tanto ISO 20000 como ITIL están alineados, cada uno en su ámbito de actuación, por lo que ITIL puede ser muy útil a la hora de implantar los requisitos de la norma.

• ITIL nos dice que tenemos que ADOPTAR el modelo como fuente de buenas prácticas, pero también que debemos ADAPTAR sus buenas prácticas a la realidad de nuestra empresa.

• No hay por qué seguir al pie de la letra sus indicaciones, sino extraer todo aquello que nos ayude a mejorar.

32

¿Es importante seguir el modelo ITIL para obtener ISO 20000? (II)

• ISO 20000, al igual que ocurre con ITIL, debe adecuarse a nosotros, aunque para obtener la certificación en ISO 20000 tendremos que demostrar que nuestro sistema cumple con los requisitos de la norma.

• Hay que tener documentados los procedimientos de todos y cada uno de los procesos, para poder obtener ISO 20000.

• Tener ITIL en nuestro horizonte, es sin lugar a dudas una ayuda importante para alcanzar ISO 20000.

34

¿Es necesario certificar a nuestros equipos en ITIL para poder obtener ISO 20000?

• No es necesario, aunque sí puede ser de utilidad.

• Si lanzamos el proceso de certificación con ayuda de consultores externos no es necesario tener personal certificado en ITIL.

• Si queremos tener una participación interna más activa, entonces es necesario que al menos estemos formados y, si es posible, que alguna de las personas de nuestro equipo esté certificada.

• Obtener el primer nivel de certificación, “Foundations”, es bastante sencillo, y acredita que tenemos una base.

36

¿Si ya soy consultor de ITIL, qué debo hacer para poder dar consultoría en ISO 20000?

• Debería certificarse como consultor de ISO 20000.

• Si además de estar certificado en ITIL, también está certificado como consultor de otra norma ISO, el proceso será más sencillo.

• La certificación ISO 20000 garantiza los conocimientos para poder asesorar a otras empresas en su implantación.

37

Como organización TI que busca certificarse en ISO 20000, ¿qué ayuda externa puedo buscar?

• Hay un número importante de empresas que han certificado a sus consultores para que nos puedan aconsejar en como conseguir este objetivo, aunque aún no haya una gran experiencia en el mercado, dado que la norma es de reciente creación.

• Existen también algunos documentos de evaluación, que nos permitirán conocer como estamos de alineados con respecto a la norma.

• En un futuro próximo la propia norma ISO 20000 va a facilitar diferentes herramientas que ayudarán a conocer como estamos alineados con los requerimientos de la norma, y como evolucionar hacia la certificación.

38

¿Es necesario certificarse en los 13 procesos de ISO 20000, y sus requerimientos?

• Sí, es necesario. • Nosotros podemos definir el alcance, en el

que se basará nuestra certificación, pero tendremos que cumplir con los 13 procesos y requerimientos de la norma.

• El alcance que definamos, tiene que tener suficiente entidad, como para embarcarnos en un proceso de certificación de ISO 20000, que nos acreditará en la Gestión de Servicios de TI.

• Algunos procesos pueden estar externalizados, pero deberán cumplir igualmente la norma.

• Un consultor nos ayudará en este paso de definición del alcance.

40

¿Qué diferencia a ISO 20000 de los demás estándares?

• ISO 20000 es el primer modelo de calidad certificable para la gestión de servicios de TI.

• ISO 20000 es el único estándar basado en ITIL, por lo que será más fácil de adaptar para las organizaciones que ya conozcan este modelo.

• Otros estándares o marcos de referencia conocidos son MOF, COBIT, CMMI, ISO 9000, ISO 27000, 6 Sigma, EFQM …

• Cuando se implanta más de un estándar, puede haber áreas comunes que se solapen. Suelen ser las de gestión de la calidad y auditoría.

• Existe documentación donde se detalla las áreas de solapamiento entre los diferentes estándares, para aquellas organizaciones que quieran convivir con más de un estándar.

41

¿Tengo que hacer un cambio radical en mi compañía?

• No necesariamente, aunque podría darse el caso para empresas muy desalineadas con lo que requiere la norma.

• En general, se puede abordar partiendo del enfoque de” una transformación o adaptación paulatina”, con una doble dimensión:

• En aquellos procesos y requerimientos que requiere la norma y que ya existen en la empresa, adaptándolos y mejorándolos para que cumplan con ella.

• En aquellos procesos que requiere la norma y que aún no están presentes en la empresa, planificando su implementación.

42

¿Es necesario certificar toda la organización de TI en ISO 20000?

• No. No es necesario certificar todos los servicios prestados por TI. Debemos definir un alcance que sea de suficiente entidad, pero no tiene por qué incluir a toda la organización de TI.

• Implantar el modelo ISO 20000 es largo (entre 12 y 24 meses), pero si queremos incluir toda la organización, podríamos estar hablando de un proyecto de 3 años o más.

• Es conveniente definir el alcance idóneo, que nos permita acreditar nuestra calidad en los servicios de TI, sin incluir otras áreas que quizás no tengan una fuerte relación con dichos servicios.

• Un consultor nos ayudará en este paso de definición del alcance.

44

¿Es importante seguir la metodología PDCA en un proceso de obtención de ISO 20000?

• La metodología PDCA es la base de todo proceso de certificación ISO.

• Forma parte de la mejora continua que nos asegura que los procedimientos están vivos y se siguen habitualmente.

• Nos permite encontrar puntos de mejora que garantizan nuestra calidad en los procesos.

46

¿Necesitaré contratar a más gente en plantilla para certificarme? (I)

• ISO 2000 puede ser aplicada tanto a pequeños como grandes proveedores de servicios TI.

• El proceso de certificación puede ser más o menos complejo dependiendo del “estado del arte” en la empresa y del tamaño y/o complejidad de la misma.

• En cualquiera de los casos, se requiere al menos una persona que dirija y coordine todo el proceso de certificación, tratándolo como un proyecto interno. Esta persona debería formar parte de la plantilla, si dispone de la preparación suficiente. Necesitará un equipo de apoyo, que también puede formar parte de la plantilla.

47

¿Necesitaré contratar a más gente en plantilla para certificarme? (II)

• Será necesaria la participación y el involucramiento tanto del líder, como del equipo de apoyo, como del resto de los empleados, al menos en una parte de su tiempo.

• La ayuda de un consultor en ISO 20000 facilitará el proceso de certificación.

48

¿Es necesario crear un proyecto para la obtención de ISO 20000?

• Sí. Una ISO 20000 no se consigue con los ratos libres.

• Tiene que definirse un proyecto, un responsable, un equipo, un plazo y un presupuesto.

• El responsable de este proceso de certificación, tiene que ser una persona de nivel, que pueda llevar a la organización a la obtención de la certificación ISO 20000.

• Tiene que haber un compromiso directo de la Dirección y del Departamento de TI.

• Una vez obtenida la certificación, empezará realmente la actividad de la gestión del servicio.

50

¿Cuánto tiempo necesito para obtener la certificación ISO 20000? y ¿cuál es el coste?

• El tiempo necesario y el coste dependen de varios factores :

• El grado de cumplimiento actual en la empresa.

• El nivel y calidad de la documentación existente.

• El tamaño, complejidad y distribución de la empresa o área a auditar.

• La auditoría necesaria para la certificación, es una parte de tiempo y coste muy pequeño, en comparación con el proyecto de mejora del servicio necesario para la certificación.

• Para una organización de tamaño medio, el plazo estimado es entre 12 y 24 meses.

51

¿Donde informarse? • www.iso.org • www.itsmf.es • www.aenor.es • www.bsi-global.com • www.ogc.gov.uk • www.itil.co.uk • www.enac.es

Bibliografía • UNE ISO/IEC 20000-1 • UNE ISO/IEC 20000-2 • ISO/IEC 27001:2005 • ISO 9001:2000

Guía ISO 20000

Documents

Transcript of Guía ISO 20000