ISO/IEC 20000: estructura, certificación, Anexo SL, PDCA, alcance y requisitos del SMS y responsabilidad de la Dirección

Estructura del estándar ISO/IEC 20000

El estándar internacional ISO/IEC 20000 data de 2005, proveniente del estándar británico BS15000, convirtiéndose en el primer estándar internacional certificable para sistemas de gestión de servicios (SMS).

El estándar consta de dos partes:

1. ISO/IEC 20000-1:2011 Information Technology (Service Management Part 1): service management system requirements. La parte 1 es la única certificable, pues recoge los requisitos de un sistema de gestión de servicios, requisitos que son auditables por una tercera parte independiente para obtener la correspondiente certificación.
2. ISO/IEC 20000-2:2012 Information Technology (Service Management Part 2): code of practice. La parte 2 de la norma es en realidad una guía de mejores prácticas, una especie de manual que nos ayuda a comprender lo establecido en la parte 1, pero que no es certificable por sí misma. Actualmente, la parte 2 se encuentra publicada en su versión 2012.

La certificación ISO/IEC 20000 para sistemas de gestión de servicios (SMS)

La aparición de ISO 20000 supone que, por primera vez, las Organizaciones pueden certificar que los servicios tecnológicos que prestan a sus clientes están sometidos a las mejores prácticas de ITIL. Esto no era posible anteriormente, ya que sólo existían certificaciones de ITIL a nivel personal, es decir, se podían certificar las personas, pero no una organización.

La certificación en ISO 20000 no puede obtenerse sin la realización previa de la correspondiente auditoría de tercera parte: una entidad independiente, reconocida a su vez por una entidad de acreditación, examina el cumplimiento de los requisitos exigidos en la parte 1 de ISO 20000 en la organización que se quiere certificar. Si no existen muchas desviaciones (denominadas no conformidades) respecto a esos requisitos o tales desviaciones son de poca entidad, se obtendrá el correspondiente certificado.

Obtenido el certificado por haber superado con éxito la mencionada auditoría, la organización en cuestión está en disposición de asegurar a terceros (clientes y demás partes interesadas) que los servicios que ofrece son prestados en el marco de un sistema de gestión de servicios o SMS. Esto significa que la organización certificada comunica a esos terceros que la prestación de servicios tecnológicos se lleva a cabo con el objetivo de alcanzar siempre la calidad acordada con los clientes.

ISO/IEC 20000 y el Anexo SL

Todas las normas de los sistemas de gestión (como ISO 9001, ISO 14001, ISO 27001, ISO 20000-1, ISO 22301, etc.) tendrán la misma estructura común en el denominado Anexo SL. Este cambio se implantó, a partir del año 2012, para todas las normas de nueva publicación o revisión de las existentes.

La publicación del Anexo SL supone una guía para las partes interesadas en el mercado de la normalización (acreditadoras, certificadoras y organizaciones finales). El cambio que introduce este anexo pretende consolidar la estructura de las normas, consiguiendo mayor efectividad y eficiencia en su implementación, mantenimiento y proceso de auditoría para la certificación.

En la actualidad, el anexo SL ya se encuentra presente en la norma ISO 22301 de continuidad, o en la norma ISO 27001:2013 de seguridad de la información. La última norma en incluirlo será, previsiblemente, la ISO 20000-1, puesto que su próxima revisión no se realizará hasta el año 2016.

Las numeraciones de las cláusulas en todas las normas tendrán la siguiente estructura: 4 cláusulas informativas (0-3) y 7 cláusulas que determinarán los requisitos (4-10).

Las cláusulas son las siguientes:

1. Introducción.
2. Alcance.
3. Referencias normativas.
4. Términos y definiciones.
5. Contexto de la organización.
6. Liderazgo.
7. Planificación.
8. Soporte.
9. Operación.
10. Evaluación.
11. Mejora.

Aplicación del ciclo PDCA (Plan, Do, Check, Act)

La implantación de la gestión de servicios bajo el estándar ISO 20000 ha de seguir el ciclo de Deming o ciclo PDCA (Plan, Do, Check, Act o Planificar, Hacer, Verificar, Actuar).

Aplicado a un SMS, el ciclo PDCA resultaría según se ilustra a continuación:

1. Plan:
   1. Definir alcance
   2. Definir política de gestión del servicio
   3. Diseño de procesos
   4. Establecer responsabilidades
2. Do:
   1. Implantación de procesos de gestión del servicio
   2. Formación y concienciación
3. Check:
   1. Revisar el SMS
   2. Realizar auditorías internas
4. Act:
   1. Implantar mejoras
   2. Acciones correctivas
   3. Acciones preventivas

Definición del alcance de un SMS

Uno de los requisitos para poder optar a la certificación es definir un alcance válido para el estándar. El alcance debe ser definido como uno o más servicios prestados a clientes internos a la organización y/o externos a la organización.

Es importante destacar que se podrán indicar uno o varios servicios para el alcance de la certificación ISO/IEC 20000, pero es requisito indispensable para la certificación implementar todos los procesos de gestión de las TI incluidos en la norma ISO/IEC 20000-1.

Requisitos generales del SMS

Un SMS está constituido por un conjunto de procesos, responsabilidades, actividades, recursos y procedimientos que permiten garantizar la adecuada entrega de los servicios tecnológicos en el ámbito del Alcance del Sistema.

Responsabilidad de la Dirección

La Dirección de la organización debe ser consciente de los beneficios que reporta un sistema de gestión de los servicios para lograr mantener unos buenos niveles de calidad en los servicios que presta a sus clientes. Además, debe ser conocedora de las ventajas comerciales que ante el mercado y sus colaboradores reporta el SMS basado en la norma ISO/IEC 20000-1.

Un SMS está concebido para asegurar que las actividades y servicios incluidos en el alcance son prestados con las características y en los términos pactados con los clientes.

La Dirección, para asegurar el desarrollo e implantación del SMS y la mejora continua de su eficacia, debe:

1. Aprobar y difundir la política de gestión, los objetivos y planes.
2. Asegurar que los requisitos de los clientes se determinan y se cumplen, con el objetivo de mejorar su satisfacción.
3. Comunicar a toda la organización la importancia de cumplir con los objetivos de gestión del servicio y la necesidad de la mejora continua.
4. Participar de forma activa en los órganos de gestión del SMS, en los que se establecen los objetivos y se hace el seguimiento necesario para asegurar al máximo su cumplimiento.
5. Designar un miembro de la Dirección como responsable para la coordinación y gestión de todos los servicios dentro del alcance.
6. Identificar la necesidad de recursos y asegurar que se dispone de ellos para planificar, implementar, monitorizar, revisar y mejorar la provisión y gestión de los servicios, básicamente a través de los procesos definidos y de los órganos de gestión del SMS.
7. Gestionar los riesgos de la gestión del servicio y los riesgos de los servicios prestados por la organización.
8. Realizar las revisiones del sistema por la Dirección.