3.2 Conceptos de prácticas de certificación

Al recopilar la información básica de los procesos de Gestión de Servicios de ITIL ® en una norma internacional de carácter formal, BSI y ahora ISO dotan a los proveedores de servicios de los medios necesarios para determinar el cumplimiento de estas mejores prácticas. Hasta la creación de BS 15000, el proceso formal de certificación estaba enfocado a individuos Fundamentos de ITIL ® , Responsable de la Gestión de Servicios ITIL ® , Profesional ITIL ® , no a organizaciones. La certificación ISO 20000 no es una certificación formal en ITIL ® ; de hecho, la norma no menciona a ITIL ® ni siquiera en la lista de referencias. Pese a ello, los contenidos de la versión 2 de ITIL ® se pueden encontrar fácilmente en la norma véase Sección 3.3.1. Con ISO 20000, un proveedor de servicios puede obtener un certificado internacional en Gestión de Servicios de TI orientado a organizaciones. Es de esperar que esto estimule la aceptación de la Gestión de Servicios de TI como un campo de gran importancia. 3.2.1 Certificación de empresas La norma ISOIEC 20000-1:2005 ha sido desarrollada como norma de certificación para proveedores de servicios. Un proveedor de servicios que desee hacer público su compromiso con la calidad en la Gestión de Servicios de TI puede solicitar la certificación independiente para su organización de TI. Roles y responsabilidades Aunque cualquiera podría asegurar que una organización satisface los requisitos de ISO 20000, el programa de certificación que gestiona itSMF UK aporta credibilidad al proceso. Las entidades autorizadas por itSMF UK Entidades de Certificación Registradas o RCBs son las que conceden la certificación. En la mayor parte de los países hay entidades locales de certificación o sucursales de entidades internacionales que pueden llevar a cabo una auditoría de certificación. Las entidades de certificación tienen que estar registradas ante la entidad nacional de certificación. Muchas de estas entidades nacionales están unidas en el Foro Internacional de Acreditación IAF. Los certificados emitidos por entidades que hayan sido acreditadas por miembros del Programa de Reconocimiento Internacional MLA del IAF se consideran válidos en todo el mundo, ya que el MLA avala su credibilidad. Este proceso de certificación y acreditación ha funcionado con éxito durante muchos años para todos los certificados ISO y es una garantía para los clientes internacionales. Campo de aplicación El campo de aplicación consiste en el cumplimiento de las condiciones para la certificación. ISO 20000 tiene un campo de aplicación muy amplio, lo que significa que los sistemas de Gestión del Servicio son válidos para una gran variedad de proveedores de servicios. ISO 20000 es aplicable a proveedores de servicios internos y externos, a empresas grandes y pequeñas o a organizaciones comerciales y no comerciales. Un proveedor de servicios que desee obtener la certificación puede ser una organización completa o una parte de una organización, pero no puede ser un grupo de organizaciones; tiene que ser una entidad legal única. Otra condición es que el proveedor de servicios debe mantener el control sobre la gestión de todos los procesos ISO 20000, lo que significa que todos sus servicios y actividades Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net deben estar controlados por su sistema de Gestión del Servicio. Un proveedor de servicios que no tenga control sobre estos procesos no podrá optar a una certificación ISO 20000. Por ejemplo, si una empresa controla sólo algunos procesos, como la gestión de incidencias y la gestión de problemas, no puede recibir la certificación ISO 20000. Tiene que ofrecer un servicio de TI que incluya todos los procesos ISO 20000. Por otro lado, esto no significa que un proveedor de servicios no pueda externalizar las actividades de TI. Si, por ejemplo, un proveedor de servicios externaliza el centro de atención al usuario y las actividades asociadas en los procesos de gestión de incidencias y gestión de problemas, habrá actividades que ya no realice por sí mismo. No obstante, si ha definido cuál debe ser el rendimiento de esas actividades y puede demostrar que mantiene el control de la gestión a través de SLAs, análisis periódicos de informes y la adopción de acciones, es posible que pueda recibir certificación para los servicios de TI que la organización ofrece a sus clientes. Alcance El alcance del servicio prestado tiene que estar descrito en una declaración de alcance. Un proveedor de servicios puede obtener la certificación para todos los servicios que ofrece o bien para un país o cliente concreto, siempre y cuando lo especifique en una declaración de alcance que valide la certificación para cada situación específica. Por ejemplo, si una gran empresa multinacional sólo ha recibido certificación para los servicios de TI internos en un país concreto, debe indicarlo en la declaración de alcance de ese certificado. La estructura típica de una declaración de alcance es la siguiente: El servicio suministrado por nombre de la unidad organizativa del proveedor de servicios a nombre de la organización yo la unidad organizativa del cliente desde ubicación yo área geográfica. Como se ve, se debe mencionar el servicio o servicios. También hay que incluir en la declaración de alcance el nombre de la organización entidad legal, el nombre del receptor del servicio y la ubicación o área geográfica desde donde se suministra el servicio. Ventajas de la certificación ISO 20000 proporciona un marco de trabajo y un enfoque sistemático que permite gestionar los procesos de Gestión de Servicios de TI de manera que el servicio de TI resultante satisfaga las expectativas del cliente. La implantación de ISO 20000 ahorra dinero y aumenta la eficacia y eficiencia de los procesos de negocio. La mayor parte de las empresas que han obtenido la certificación ISO 20000 consiguen también procesos más eficientes, clientes más satisfechos y servicios de más calidad. Para los clientes, la certificación de los proveedores según las normas ISO significa la seguridad de que el desarrollo y la provisión de los servicios se realiza siguiendo documentos de referencia globalmente aceptados. Por supuesto, esto quiere decir que clientes y suministradores están capacitados para competir en los mercados de todo el mundo. Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net Obtener la certificación conlleva numerosas ventajas, aunque las empresas deben asegurarse de perseguir la certificación por los motivos correctos: •฀ Para llegar a nuevos clientes, puesto que cada vez son más las empresas que consideran la certificación ISO 20000 como un requisito esencial para establecer una relación comercial con un nuevo proveedor. •฀ Para acceder a mercados globales gracias al amplio reconocimiento de la norma ISO 20000. •฀ Para disponer de mejor documentación para diversos fines. •฀ Para dar a la empresa una ventaja competitiva y demostrar su compromiso con la calidad del servicio. Proceso de certificación Una vez se han ejecutado los procesos de implantación para el sistema de gestión de la calidad y se ha realizado una valoración interna que indica que dichos procesos satisfacen los requisitos de ISO 20000, el proveedor de servicios está listo para iniciar el proceso de certificación. El proceso de certificación consta de siete pasos: 1. Cuestionario 2. Solicitud de valoración 3. Auditoría previa opcional 4. Auditoría inicial fase 1 5. Auditoría de certificación fase 2 6. Auditorías de vigilancia 7. Auditorías de renovación Estos pasos se discuten a continuación. El proceso de certificación se inicia cuando la entidad de certificación seleccionada envía un cuestionario de datos sobre los requisitos y la empresa. Este cuestionario proporciona a la entidad de certificación la información que necesita para poder enviar un presupuesto. Una vez tomada la decisión de continuar el proceso de certificación con la entidad seleccionada, se cumplimenta el formulario de solicitud y se envía a la entidad de certificación. Posteriormente se organiza una visita inicial por parte de un auditor jefe. Esta visita sirve para que los representantes de la empresa conozcan al auditor jefe que va a evaluar el sistema de gestión para el que se solicita la certificación ISO 20000. El auditor explica el proceso de valoración y efectúa una revisión del sistema de gestión existente. Se acuerda una fecha para la valoración y un calendario de auditoría. La química interna del equipo es una parte importante de cualquier auditoría, como lo es también tener buenos conocimientos del proceso, la empresa y el auditor jefe. Una auditoría previa es una evaluación de alto nivel que indica el grado de cumplimiento de los requisitos de ISO 20000 por parte de la empresa. Si una organización no se ha sometido nunca a auditorías para obtener una ISO, esta auditoría previa preparará a la dirección y al personal para lo que vendrá después. El auditor señala posibles problemas para que se puedan resolver en este momento y reducir así el riesgo de incumplimiento durante la auditoría real. Este análisis previo se puede implantar inmediatamente en el sistema de gestión para eliminar posibles problemas antes de que se inicie la auditoría oficial. Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net La auditoría inicial verifica la implantación del sistema de gestión empleando diversos controles, que incluyen la documentación de todas las políticas y procedimientos relacionados. El auditor planifica la auditoría de certificación fase 2. En esta sesión se discute y acuerda la declaración de alcance. También se realiza una valoración inicial de la documentación del sistema de gestión y de los documentos de procesos. Los fallos o incumplimientos detectados por la auditoría se incorporarán al Plan de Acciones Correctivas CAP. El cliente deberá documentar cómo piensa llevar a cabo los CAPs y presentar la información a la entidad de certificación para su visto bueno. Durante la auditoría de certificación se efectúa una valoración objetiva de las prácticas y los procedimientos organizativos con respecto al sistema de gestión documentado revisado en la auditoría inicial. El auditor buscará registros pruebas de que el Sistema de gestión funciona según las especificaciones del sistema de gestión documentado. Una vez finalizada la valoración, el auditor presentará los resultados por escrito en un informe. Los incumplimientos y observaciones pasarán al CAP si se considera necesario. Si la auditoría finaliza con éxito y se decide conceder la certificación, se emite un certificado y se autoriza a la organización a utilizar la marca de la entidad de certificación y la marca de la correspondiente certificación ISO 20000. También se acuerda un calendario de auditorías de vigilancia que se realizan periódicamente para comprobar que se siguen cumpliendo los requisitos de la norma ISO 20000 y proponer CAPs si es necesario. Estas auditorías de vigilancia se llevan a cabo a lo largo de un ciclo de 3 años con el fin de verificar el correcto funcionamiento del sistema de gestión. A ellas hay que añadir las auditorías internas y las actividades continuas de monitorización y gestión dentro de la organización. La frecuencia real de estas actividades varía dependiendo de la RCB, pero en general se sigue el siguiente patrón: •฀ Se llevan a cabo auditorías de vigilancia periódicas normalmente cada 6-12 meses. •฀ En cada auditoría se verifica la ejecución de los CAPs pendientes. •฀ Durante un período de 3 años se verifica el cumplimiento de todos los requisitos obligatorios. •฀ Se realiza una auditoría de una muestra representativa de todos los demás controles de manera que durante el ciclo de vigilancia se revisen todos los controles incorporados al sistema de gestión. La auditoría de renovación se realiza cada 3 años y es similar a la auditoría original. Normalmente lleva menos tiempo, puesto que el auditor ya conoce los sistemas salvo que haya habido un cambio de alcance o de otro tipo. Se evalúan todos los controles para comprobar que el sistema de gestión sigue funcionando correctamente y, si es así, se renueva el certificado para otros 3 años. En caso contrario, las mejoras necesarias, los incumplimientos y las observaciones se incorporan al Plan de Mejora del Servicio SIP y al CAP para su resolución. A continuación se vuelve a iniciar el proceso de auditorías de vigilancia durante 3 años. 3.2.2 Certificación personal La cualificación internacional de profesionales en ISO 20000 de acuerdo con el programa de cualificación es cada vez más importante, tanto para organizaciones como para profesionales individuales. Alcanzar un nivel óptimo de profesionalismo debe ser una de las piedras angulares de los programas de mejora de servicios de TI. La implicación del personal en dichos programas se puede incentivar ofreciendo a los empleados una certificación reconocida internacionalmente. Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net Para obtener la certificación ISO 20000, las empresas tienen que demostrar que cuentan con un sistema de gestión de la calidad y con procesos ITSM Gestión de Servicios de TI bien definidos. Sin embargo, la norma ISO 20000-1: 2005 no se extiende demasiado en los requisitos que debe cumplir el personal que participa en la provisión de los servicios. En la introducción se puede leer: Se da por supuesto que la ejecución de las cláusulas de esta parte de ISO 20000 se confiará a personas competentes y debidamente cualificadas. ¿Qué quiere decir esto? ¿Qué nivel de conocimiento de los procesos ITSM deben tener estas “personas competentes y debidamente cualificadas”? ¿Y cómo es posible medir de manera objetiva el cumplimiento de este requisito? Resulta difícil aplicar la norma y auditar su cumplimiento si no se dispone de una terminología común y de una descripción de roles aceptada por todos. La existencia de programas educativos y de cualificación que incluyan definiciones claras y requisitos para los empleados puede facilitar notablemente la aplicación de la norma. Por otra parte, los clientes tienden a confiar más en organizaciones que pueden presentar certificados para demostrar que su personal está debidamente cualificado. Un proyecto de certificación en ISO 20000 exige un alto grado de compromiso y conocimientos a la práctica totalidad del personal que participa en la provisión de servicios de TI. Los principios de la gestión de la calidad no deben ser conocidos sólo por los consultores, los gestores y los instructores. Los empleados de nivel operativo también deben recibir formación sobre calidad, Gestión de Servicios de TI y procesos de gestión y mejora en general, con el fin de aumentar sus conocimientos y su motivación. El auditor, por su parte, debe tener amplios conocimientos sobre Gestión de Servicios de TI para poder realizar auditorías de empresas según los requisitos de ISO 20000. La tabla 3.1 muestra los roles que participan en la Gestión de Servicios de TI y en la gestión de la calidad. Para cada uno de estos roles se debe definir un plan de formación que especifique los conocimientos y competencias necesarios. Estos roles son sólo genéricos y no deben ser interpretados como descripciones de funciones o perfiles profesionales reales. Algunos de estos roles se pueden combinar en una sola función. Rol de Gestión de Servicios de TI Descripción breve Director de TI Es responsable de parte de la organización de TI. Normalmente es también el propietario de uno o más procesos de Gestión de Servicios de TI. Responsable de la Gestión del Servicio Profesional de TI Implanta, mejora y mantiene la provisión de servicios de TI y los procesos subyacentes de una organización de TI. Este rol suele incluir también las tareas de gestor de proceso. Consultor de servicios de TI Asesora a una organización de TI sobre la introducción, mejora y mantenimiento de servicios de TI y los procesos subyacentes. Operador ITSM Efectúa una o más de las actividades de un proceso. Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net Ventajas del programa de cualificación Obtener un certificado independiente es la mejor prueba de que se han satisfecho plenamente los requisitos del curso. Demuestra el compromiso de la persona por convertirse en alguien competente y valioso para su organización y para los clientes a los que da servicio. Conseguir un certificado ayuda a los participantes a: •฀ Reforzar sus conocimientos y mejorar su rendimiento laboral. •฀ Ponerse al día en el campo de ISO 20000. •฀ Aumentar su valor ante el empresario. •฀ Aspirar a empleos que exigen un conocimiento especializado de ISO 20000. •฀ Recibir el reconocimiento del sector y de sus compañeros de trabajo. •฀ Seguir siendo competitivos y abrir nuevas oportunidades de desarrollo profesional. El certificado aporta también ventajas para el negocio de la empresa: •฀ Mejor uso de los recursos humanos. •฀ Calidad demostrada de su personal de TI. •฀ Posibilidad de seleccionar a personas cualificadas para empleos que exijan conocimientos de ISO 20000. •฀ Conocimientos específicos precisos para realizar un trabajo de TI. •฀ Incentivos, bonificaciones y retos para los empleados. El programa de cualificación de ISO 20000 ha hecho que muchas empresas reconozcan la necesidad de dar formación a su personal de Gestión de Servicios de TI. Cualquier organización que decida usar el marco de trabajo ISO 20000 para mejorar sus servicios de TI tiene que ser consciente de que muchos empleados participarán de una manera o de otra. Es probable que se necesiten muy pocos expertos, pero es fundamental que el personal esté familiarizado con la terminología y tenga conocimientos básicos sobre los principios de gestión de la calidad del servicio. Tabla 3.1 Roles de Gestión de Servicios de TI y gestión de la calidad del servicio Rol de Gestión de Servicios de TI Descripción breve Administrador de sistemas Instala y mantiene uno o más componentes de la infraestructura de TI. Jefe de proyecto Gestiona proyectos de infraestructura o ITSM mejora de la calidad. Gestor de la calidad Es responsable del sistema de gestión de la calidad de la organización de TI. Consultor de gestión de la calidad del servicio Asesora a una organización de TI sobre la introducción, mejora y mantenimiento de un sistema de gestión de la calidad. Auditor externo Valora el sistema de gestión de la calidad de un proveedor de servicios de TI según los requisitos de ISO 20000 para conceder una certificación externa. Auditor interno Valora el sistema de gestión de la calidad de un proveedor de servicios de TI según los requisitos de ISO 20000 para detectar oportunidades de mejora. Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net Un curso sobre fundamentos de ISO 20000 ofrece a los participantes una visión general de ISO 20000 y de los principales procesos empleados para gestión de la calidad. También abre la puerta a los cambios de actitud, cultura y procedimientos que se necesitan para mejorar el enfoque a cliente y la provisión de servicios de TI. El certificado de Fundamentos de ISO 20000 es una recompensa para los participantes en el curso y una forma de medir los conocimientos y la importancia de ISO 20000 en su organización. El programa de certificación de ISO 20000 también ayuda a evaluar a los proveedores de formación y los materiales para el curso. Para desarrollar e implantar los planes de mejora de la calidad de los servicios de TI en una empresa es necesario contar con profesionales bien cualificados en este campo. La piedra angular de este perfil profesional debe ser una certificación adecuada en Gestión de Servicios de TI, que al fin y al cabo es la base para la gestión de la calidad del servicio. Proveedores de cursos acreditados La calidad de un curso de ISO 20000 puede depender de diversos factores: •฀ La calidad de los instructores. •฀ La planificación del curso. •฀ La idoneidad del lugar. •฀ La adaptación de los materiales del curso a ISO 20000. •฀ La experiencia de los participantes. •฀ El uso de ejemplos prácticos. •฀ La asignación de tareas. •฀ Las posibilidades de discusión en grupo. Las entidades examinadoras mantienen una estrecha colaboración con las organizaciones de formación acreditadas con el fin de monitorizar la calidad de los cursos e introducir mejoras si es preciso. Para obtener una cualificación reconocida internacionalmente suele ser necesario que el candidato asista a un curso de formación impartido por un proveedor acreditado. Las reglas de acreditación garantizan: •฀ La calidad de todos los proveedores de formación sobre ISO 20000. •฀ Los conocimientos y experiencia de los profesores en materia de Gestión de Servicios de TI, calidad y educación. •฀ La calidad de los materiales de formación. •฀ La adaptación de los contenidos del curso a los requisitos para los exámenes del programa de cualificación en gestión de la calidad del servicio. Los requisitos que deben cumplir los proveedores de cursos acreditados están publicados en los sitios Web de las entidades examinadoras. Con el fin de garantizar la imparcialidad en la acreditación de proveedores de cursos y en la puntuación de los exámenes, la entidad examinadora no ofrece formación sobre gestión de la calidad del servicio y es ajena a los intereses de mercado de los proveedores de cursos. Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net Programa de cualificación Una empresa que desee obtener la certificación ISO 20000 deberá dar formación a todos los empleados que participen en la gestión de la calidad de los servicios de TI acerca de los requisitos concretos de las Partes 1 y 2 de la norma, así como sobre temas más generales relacionados con la gestión de la calidad. Hasta 2007, una persona sólo podía optar a la certificación ISO 20000 a través de itSMF UK, que convoca dos exámenes de ISO 20000: •฀ Auditor de ISOIEC 20000 •฀ Consultor de ISOIEC 20000 Desde 2007 se puede acudir también al Registro Internacional de Auditores Certificados IRCA, una entidad internacional de certificación para auditores de sistemas de gestión. IRCA convoca un examen de Auditor de Sistemas de Gestión de Servicios de Tecnologías de la Información ITSMS basado en ISO 20000 e ISO 19011, que tiene varios niveles: •฀ Auditor interno provisional de ITSMS •฀ Auditor interno de ITSMS •฀ Auditor provisional de ITSMS •฀ Auditor de ITSMS •฀ Auditor jefe de ITSMS •฀ Auditor principal de ITSMS También itSMF Francia y AFAQ AFNOR Certification han unido sus fuerzas en el desarrollo de un “programa de certificación de auditores jefe para ISOIEC 20000-1”: Auditor Jefe de Gestión de Servicios de TI de ICA ® ISOIEC 20000-1. ICA ® tiene acreditación ISO 17024 concedida por COFRAC y ofrece este programa de certificación que también cumple la norma internacional ISO 17021 para garantizar que los auditores certificados son personas con experiencia en ITSM, ISOIEC 20000-1 y metodología de auditorías. En 2007, EXIN y TÜV SÜD desarrollaron un programa de formación y cualificación: “Programa de cualificación en ISOIEC 20000 para personas”. Este programa está diseñado según las normas de acreditación ISO ISO 17024, por lo que puede ser reconocido por el Foro Internacional de Acreditación IAF. El programa de formación y cualificación de EXINTÜV SÜD ofrece diversas certificaciones dirigidas a los siguientes roles de ITSM: •฀ Fundamentos de ISOIEC 20000 •฀ Profesional de ISOIEC 20000 5 posibles certificados •฀ Gestorconsultor de servicios de TI según ISOIEC 20000 •฀ Gestorconsultor sénior de servicios de TI según ISOIEC 20000 •฀ Auditor interno de ISOIEC 20000 •฀ Auditor jefe de ISOIEC 20000 La Figura 3.1 muestra el programa de cualificación. La certificación personal ofrece actualmente un programa de cualificación que reconoce internacionalmente los conocimientos de una persona sobre gestión de la calidad de servicios de TI. Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net La diferencia principal con las otras opciones está en la estructura. El programa de certificación de EXINTÜV SÜD está formado por “bloques”, cada uno de los cuales demuestra la competencia necesaria para un rol determinado. De esta forma, el bloque “Fundamentos de ISO 20000” puede formar parte de distintas “ramas de certificación”. Por ejemplo, un auditor o consultor que comience el proceso de certificación ISO 20000 tendrá que aprobar el examen de Fundamentos de ISO 20000 y los exámenes apropiados del nivel profesional para demostrar que conoce todos los procesos. Esto significa aprobar tres de cinco módulos posibles, incluyendo el módulo obligatorio de Gestión y Mejora. Una vez superado el nivel profesional, el auditor deberá seguir adelante por la rama de auditoría para adquirir conocimientos más especializados, mientras que el consultor tendrá que elegir la rama de consultoríagestión para especializarse en la implantación de ISO 20000 y las dificultades que conlleva. La tabla 3.2 indica la certificación más adecuada para cada rol de ITSM y gestión de la calidad. Gestión de Servicios de TI según ISOIEC 20000 Programa básico de cualificación para personal Resumen de certificados ofrecidos RAMA DE GESTIÓN RAMA DE AUDITORÍA NIVEL PROFESIONAL NIVEL BÁSICO Fundamento FIL TRO FIL TRO Gestorconsultor de servicios de TI Gestión y mejora de procesos ITSM Control de servicios de TI Soporte de servicios de TI Provisión de servicios de TI Alineación entre el negocio y las Tecnologías de la Información Gestorconsultor sénior de servicios de TI Auditor interno Auditor jefe Figura 3.1 Programa de cualificación en ISO 20000 de EXINTÜV SÜD para personal Copyright protected. Use is for Single Users only via a VHP Approved License. For information and printed versions please see www.vanharen.net En noviembre de 2007, ISEB anunció que había iniciado conversaciones con itSMF UK con el fin de participar en el programa de certificación, añadiendo un examen de nivel básico. Los detalles de este acuerdo se añadirán a esta publicación cuando sean públicos. La sección de Referencias en el Apéndice contiene hipervínculos para acceder a las distintas organizaciones que ofrecen certificación.

3.3 Concepto de ISO 20000