Este documento describe varios modelos y estándares de calidad para empresas de tecnologías de la información y comunicación (TIC), incluyendo estándares generales como ISO 9001 e ISO 14001, y estándares específicos de TIC como ITIL, ISO/IEC 20000-1, ISO/IEC 27001, CMMI e ISO/IEC 15504. Explica que la selección del modelo adecuado y la implementación correcta son claves para el éxito de cualquier proyecto de mejora en una empresa TIC.
Calidad en las empresas TIC - Revista Forum Calidad
1. Calidad en
empresas
TIC
Bartomeu Fluxà Cabrer
Responsable del Sistema de Gestión
de Brújula w Presidente de Abaex
2. Calidad en las empresas TIC
E l avance y la incorporación de las nuevas
tecnologías en el día a día del mundo
empresarial ha provocado que las Tecnologías
de la Información y la Comunicación (TIC) cobren
Modelos y estándares
Estos últimos años se ha puesto a disposición del mercado
cada vez más peso: Las TIC ofrecen un soporte un amplio abanico de modelos y estándares que
importante a las organizaciones para el desarrollo de proporcionan buenas prácticas en el ámbito TIC. El propio
la estrategia empresarial, la ejecución de los procesos mercado se ha ido posicionando poco a poco, primando
de la organización y el soporte a la toma de entre todos estos estándares un subconjunto de modelos y
decisiones. Los departamentos TIC han pasado de ser normas que se detallan en este apartado. Si bien no están
meros proveedores y mantenedores de software y de todos los que podrían estar, se reseñan a continuación los
equipamiento informático a ser proveedores de más significativos.
servicios TIC que se alinean con la estrategia y con
los objetivos de negocio de la organización para Modelos y estándares generales
garantizar su evolución y su crecimiento. Las
Actualmente podemos encontrar un conjunto de
organizaciones que prestan servicios TIC a sus
modelos y estándares que pueden ser aplicados en
clientes no están al margen de estos cambios y han todas las organizaciones sea cual sea el servicio o el
seguido la misma senda, dándose cuenta que precisan producto que ofrezcan. Los más reconocidos
aportar cada vez más valor a los servicios y a los actualmente son:
productos que ofrecen. Al mismo tiempo se han ido v ISO 9001. Norma auditable de carácter general y con
consolidando algunos modelos y estándares de un número elevado de empresas certificadas en
Calidad más específicos y enfocados a procesos y España. Específica los requisitos para un Sistema de
servicios TIC. Estándares como la 27001, de Sistemas Gestión de la Calidad siendo válida para cualquier
de Gestión de Seguridad de la Información, la 20000-1 producto o servicio. Aplicada adecuadamente, puede
de Gestión de Servicios TI o modelos como el Spice ayudar a organizaciones o áreas TIC pequeñas o sin
(ISO 15504) o CMMi, se han introducido en experiencia a dar los primeros pasos hacia la gestión,
departamentos TIC de grandes empresas y han aunque a medida que vayan madurando deberán tener
empezado a abrirse hueco en la pequeña y mediana en cuenta modelos y estándares TIC para dotar al
empresa, siendo adoptados y tenidos cada vez más en sistema de gestión de buenas prácticas más concretas
cuenta en el momento de plantear proyectos de mejora que puedan aportar más valor. Está disponible la
en el ámbito TIC. norma ISO/IEC 9000-3, que deriva de la ISO 9001 y
provee las especificaciones de cómo aplicarla al
Al tener los modelos y estándares TIC un impacto desarrollo, la implementación y el mantenimiento del
grande en el momento de su implantación, tanto software, facilitando la interpretación de sus
económico como en la cultura interna del departamento requisitos.
o de la organización que presta los servicios TIC, la v ISO 14001. Norma auditable que especifica los
selección de los modelos o normas a aplicar y la forma requisitos necesarios para establecer, implantar,
en la que se debe llevar a cabo el proyecto de mantener y mejorar un sistema de gestión ambiental.
implantación son puntos clave que deben tenerse en Si bien esta norma no se solía contemplar en áreas o
cuenta para garantizar una implantación exitosa y no en organizaciones que ofrecen servicios TIC,
traumática. empieza a tenerse en consideración ya que la gestión
del impacto ambiental de las organizaciones es cada
Este artículo pretende ayudar a las organizaciones y a vez más valorado por los clientes, por el propio
los departamentos que prestan servicios TIC a personal de la organización y por la sociedad. Por
clarificar el camino hacia la mejora continua otra parte, puede ayudar a controlar y a gestionar,
identificando modelos y estándares aplicables y entre otros aspectos, el impacto ambiental de los
planteando además acciones y factores a considerar centros de datos o de los equipos informáticos así
antes de empezar y durante todo el camino hacia la como asegurar un tratamiento adecuado de los
excelencia. residuos que se generan.
235/12
45
3. Si bien todos estos modelos y
estándares definen prácticas y
requisitos que se pueden aplicar en
cualquier tipo de organización o de
departamento, su enfoque ocasiona
que puedan aportar valor a un
departamento TI sólo en una parte
del camino hacia la mejora, en el
momento que ayudan a definir y
vertebrar una estructura y unas
pautas generales de trabajar. A
medio plazo se puede hacer
necesario para la organización dar
un paso más, aplicando a sus
procesos los requisitos y/o las
buenas prácticas de modelos y
estándares específicos TIC. Bien
aplicados, pueden complementar y
mejorar los procesos, servicios o
productos definidos inicialmente.
v PMBOK. La Guía del PMBOK® es un estándar Modelos y estándares TIC
reconocido internacionalmente desarrollado por el
Project Management Institute (PMI). Refleja una Modelos y estándares de gestión de procesos y servicios
colección de procesos y áreas de conocimiento TIC
aceptadas como mejores prácticas dentro de la gestión v ITIL (Information Technology Infrastructure
de proyectos. Es aplicable a cualquier tipo de proyecto Library). En referencia a la Gestión Servicio, uno de
y a cualquier sector. Un departamento o una los modelos más conocidos es ITIL. El modelo está
organización TIC que lleve a cabo proyectos puede compuesto por un conjunto de conceptos y prácticas
tener en cuenta esta guía para la definición de sus para la gestión de servicios de tecnologías de la
procesos de gestión seleccionando y aplicando las información, el desarrollo de dichas tecnologías y las
buenas prácticas que encuentre necesarias. Cabe operaciones relacionadas con la misma en general. El
destacar que una organización no puede certificarse modelo ofrece descripciones detalladas de
según esta guía aunque sí se emiten certificaciones a procedimientos de gestión enfocados a ayudar a las
personas. organizaciones a lograr Calidad y eficiencia en las
En el caso de que la organización aplique las buenas operaciones de TI. Estos procedimientos son
prácticas de esta guía, la implantación de las prácticas independientes del proveedor y han sido desarrollados
de gestión de proyectos que especifica la 15504:5 o para servir como guía que abarque toda
CMMi puede verse facilitada al tener puntos en infraestructura, desarrollo y operaciones de TI. Ha
común. sido aceptado como estándar de facto en bastantes
En referencia a la gestión de proyectos, ha surgido países europeos y se está estableciendo en
recientemente la ISO 21500: Guidance on Project Norteamérica y algunas zonas de Asia. Al igual que
management, que complementa al PMBOK y que con el PMBOK, una organización no puede
tiene como objetivo establecer las mejores prácticas en certificarse en ITIL. Las únicas certificaciones que se
el ámbito de la gestión de proyectos. Podemos encontrar ofrecen son para personas, recibiendo un certificado
también la ISO 10006 para la gestión de la Calidad en por parte de las organizaciones que desarrollan el
proyectos basada en el esquema PDCA, aunque su modelo.
grado de difusión es bajo comparado con otros v ISO/IEC 20000-1. Norma reconocida
estándares que se reseñan en este artículo. internacionalmente en gestión de servicios de TI. Está
46 235/12
4. Calidad en las empresas TIC
enfocada a promover un enfoque de procesos y acreditación por la diferencia entre los niveles de
gestionados de TI y a alinear los servicios de TI con las ambos esquemas, siendo la dificultad y coste de
necesidades del negocio y de los clientes a partir del implantación inferior si se aplica el esquema de
esquema PDCA (Plan, Do, Check, Act). Se Aenor.
complementa con la norma ISO/IEC 20000-2, que v CMMi. Integración de modelos de madurez de
representa el conjunto de mejores prácticas adoptadas y capacidades o Capability maturity model
aceptadas por la industria en este ámbito. Si bien el integration (CMMI) es un modelo propiedad del SEI
contenido de la 20000-1 se solapa con ITIL, ITIL no es (Software Engineering Institute) para la mejora y
medible y puede ser implantado de muchas maneras, evaluación de procesos para el desarrollo,
mientras que con la ISO/IEC 20000-1 las organizaciones mantenimiento y operación de sistemas de software.
deben ser auditadas y medidas frente a un conjunto Al igual que la 15504, CMMi es evaluable por niveles
establecido de requisitos pudiendo obtener una de madurez, pudiendo obtener una valoración de
certificación. nivel. Como tal no existe certificación sino un
v ISO/IEC 27001. Norma auditable que especifica los documento llamado “Appraisal Disclosure Statement”
requisitos necesarios para establecer, implantar, redactado por el auditor, que debe estar acreditado
mantener y mejorar un Sistema de Gestión de la por el SEI.
Seguridad de la Información (SGSI) según el esquema
PDCA. Esta norma nos ayuda a demostrar interna y
externamente que se gestiona la seguridad de los En caso de decidir apostar por un modelo u otro, cabe
sistemas de información de la organización. Se reseñar que actualmente CMMi tiene más peso y más
complementa con la norma ISO/IEC 27002, que refleja grado de implantación a nivel internacional, aunque
el conjunto de controles de seguridad que se pueden con costes de implantación más elevados que la 15504,
aplicar en la organización. que si bien va ganando terreno poco a poco, se ve
lastrada por la falta de un esquema de certificación
oficial. Por otro lado se deberá también tener en cuenta
Modelos y estándares de desarrollo del software
En referencia a los modelos y estándares para la mejora y
evaluación de los procesos de desarrollo y
mantenimiento del software actualmente los más
conocidos e implantados son, por una parte, el modelo
CMMi y por otra, la ISO/IEC 15504.
v ISO/IEC 15504 (SPICE, Software Process
Improvement Capability Determination), es un
modelo para la mejora y evaluación de los procesos.
Proporciona en su parte 5 un modelo de evaluación
para los procesos de ciclo de vida del software
definidos en el estándar ISO/IEC 12207 que define
los procesos del ciclo de vida del desarrollo del
software. Si bien el modelo de certificación no está
cerrado por la ISO, podemos encontrar varios
esquemas de certificación por niveles de madurez
para organizaciones de desarrollo de software: el
Pathfinder, conforme con las normas ISO/IEC
15504 e ISO/IEC 12207:1995 desarrollado por
Pathfinder Alliance y el esquema de certificación de
Aenor, conforme con las normas ISO/IEC 15504 e
ISO/IEC 12207:2008. Los procesos asociados a cada
nivel de madurez difieren en ambos esquemas,
siendo el esquema de Aenor más similar al de
CMMI. También difieren los costes de implantación
235/12
47
5. el mercado de la organización: si la organización está certificado o no), si se opta por un modelo como Spice o
enfocada a países del continente americano podrá ser CMMi la organización deberá determinar el nivel de
más valorado el disponer de un nivel de madurez madurez a alcanzar.
según CMMi al ser el modelo más reconocido en dicho
Finalmente, si bien estos últimos años han surgido
continente.
iniciativas que subvencionan la implantación y
certificación de estándares o modelos TIC, debe
sopesarse bien la decisión de participar en ellas. Se debe
Implantación tener en cuenta si la certificación está alineada con las
necesidades de la organización además del coste de
mantenimiento del sistema una vez superada la auditoría
Según el estándar o modelo a aplicar, para el buen éxito
de certificación. Algunas organizaciones han tenido que
en el proyecto de implantación de la mejora se
abandonar la certificación al año siguiente de la auditoría
recomienda tener en cuenta una serie de actividades y
inicial al darse cuenta del impacto y del esfuerzo
acciones, que se detallan a continuación.
posterior requerido, no dimensionado adecuadamente
cuando se tomó la decisión de participar en este tipo de
Determinación del modelo, ámbito y iniciativas.
alcance de la mejora Una vez decidido el estándar o modelo a aplicar en la
Como se ha podido observar, el abanico de estándares y organización, el siguiente paso es el determinar el alcance
modelos es amplio y la elección de cuáles aplicar y de la mejora: la organización deberá decidir que área/s y/o
cuándo debe tratarse como una decisión estratégica. La servicios entran en el alcance del proyecto de
implantación de los estándares especificados en el implantación.
apartado anterior puede tener un grado de dificultad
elevado y puede requerir un esfuerzo considerable según Diagnóstico inicial
sea el punto de partida y el nivel de madurez del área o de
Es una práctica recomendable la realización de un
la organización a mejorar. Por ello se debe determinar en
diagnóstico, una evaluación o una auditoría inicial para
una primera instancia, qué área o qué servicio se desea
contrastar el estado de la organización con el modelo o
mejorar y por otra el modelo o la norma que se desea
norma que se desea implantar en ella. Su resultado
aplicar. Es importante también tener en cuenta la
ofrece una visión general de cómo se encuentra la
estrategia de la organización en el momento de abordar un
organización respecto al estándar a implantar y convierte
proyecto de implantación para contrastar que el ámbito a
percepciones en puntos fuertes, áreas de mejora,
mejorar esté alineado con las necesidades de la
observaciones o no conformidades. Facilita además la
organización.
estimación del esfuerzo necesario para conseguir la
Como punto de partida para empresas pequeñas o con implantación del modelo en el momento que ayuda a
poca experiencia en la gestión se puede empezar con la fijar el punto de partida, que puede estar más avanzado o
norma ISO 9001 que define el esqueleto del sistema de atrasado de lo que la organización pensaba al plantearse
gestión., reforzando gradualmente el sistema con la mejora.
buenas prácticas de los modelos y normas TIC
mencionadas anteriormente según se vaya necesitando. Planificación y seguimiento del proyecto
Las empresas certificadas con la ISO 9001 pueden Uno de los aspectos principales de un proyecto de
tener más fácil la adopción de los estándares TIC al implantación es su planificación y su seguimiento. Una
tener ya un sistema de gestión sobre el que vez determinado el alcance de la mejora y conocido el
vertebrarlos. Organizaciones o áreas con experiencia en modelo o norma sobre el que trabajar, se debe
la gestión pueden plantearse iniciar la mejora determinar el esfuerzo necesario que se requiere
abordando directamente el modelo o estándar TIC, internamente, los recursos necesarios así como la
aunque se recomienda tener siempre como base el planificación temporal del proyecto. Se recomienda
esquema PDCA. involucrar a la Dirección así como a los integrantes del
Se debe también tener en cuenta que, si bien las normas proyecto y contar con el soporte de un experto en la
auditables no permiten establecer niveles (se disponga del norma o modelo a implantar.
48 235/12
6. Calidad en las empresas TIC
Se deben establecer además
seguimientos periódicos con
el equipo del proyecto para
revisar su avance y ajustar la
planificación en caso de ser
necesario. Se recomienda
además realizar reuniones de
seguimiento a alto nivel con
la Dirección para informar
del estado de la implantación
y de las incidencias o
problemas que puedan surgir.
Formación
Uno de los problemas que se
encuentran algunas
organizaciones en un
proyecto de implantación de
estándares TIC es el
desconocimiento de su
alcance y de su impacto en la forma de trabajar. Checkpoints de seguimiento y soporte
Dependiendo de la madurez de la organización y de la especializado
capacitación de las personas que la integran, los
Se debe tener en cuenta que a lo largo de la implantación
modelos y estándares pueden tener un nivel de
del modelo se puede contar con soporte de terceras
complejidad elevado en el momento de la implantación.
partes con conocimiento avanzado. Se recomienda
Por ello se recomienda formación específica a las
planificar y realizar periódicamente acciones de
personas más involucradas en el proyecto con el
seguimiento con un consultor especializado en el
objetivo de fijar las bases y el marco de conocimientos estándar para garantizar que las mejoras o ajustes que se
de la norma o modelo a certificar. están realizando en los procesos se adaptan
Se pueden considerar tres niveles de formación: adecuadamente al modelo de referencia. El no realizar
v A nivel de dirección, con un enfoque estratégico para esta acción puede ocasionar que las mejoras no se
que se comprenda el impacto que puede tener el enfoquen adecuadamente, teniendo que hacer
estándar en la organización. correcciones una vez se detectan no conformidades o
v A nivel del equipo encargado de la implantación del puntos débiles en las fases finales del proyecto.
estándar. En este caso debe ser completa y en detalle Si bien el soporte de un experto externo puede ser
para que se comprendan y conozcan los cambios que se desestimado en algunas organizaciones más maduras al
deben realizar para conseguir el objetivo. considerarse un coste adicional y no necesario, el no
v A nivel del personal que presta los servicios TIC, que disponer de un punto de vista externo y con experiencia a
debe comprender el por qué de los cambios que se lo largo del proyecto de implantación puede ocasionar que
realizarán en la organización y el alcance del se pasen por alto requisitos o prácticas que impliquen
proyecto. correcciones posteriormente, implicando un coste extra.
Estas correcciones pueden llegar a tener un coste similar
Si bien la formación al personal de la organización puede al coste del experto.
realizarse una vez empezada la implantación, en algunas
situaciones según el grado de conocimiento de la dirección Auditorías y evaluaciones
o del equipo encargado de la implantación, puede ser Es práctica obligatoria la realización de una auditoría
conveniente realizar las acciones formativas antes del interna previa a la de la certificación. Tiene como objetivo
diagnóstico. ayudar a la organización a contrastar el estado de su
235/12
49
7. sistema con el
estándar de
referencia que se
ha implantado y
preparar la
organización para
la auditoría de
certificación.
Los proyectos de
implantación
pueden tener
duración superior a
un año. Se
recomienda en
estos casos
planificar
auditorías o disponer de estas herramientas puede dificultar la
evaluaciones periódicas para poder rectificar o ajustar implantación en el momento que se deberán gestionar y
procesos a tiempo antes de la fase final de certificación. cumplimentar registros de forma más manual
Una vez se certifica la empresa, ésta deberá seguir dificultando su actualización, la trazabilidad y el
realizando auditorías anualmente como requisito de la seguimiento. En este caso la organización puede optar
norma de referencia. por herramientas de software libre aunque con más
limitaciones, por la compra de software disponible en
el mercado o por desarrollar internamente las
Herramientas herramientas necesarias para adaptarlas a sus
necesidades.
Si bien para la implantación de modelos y normas se Debe tenerse en cuenta en el presupuesto del proyecto
deben crear, ajustar y mejorar procesos, estos propios la posibilidad de tener que dotar recursos económicos
ajustes y mejoras hacen necesario dotar a la para la compra de herramientas o para la adaptación de
organización de herramientas para facilitar la gestión, las existentes. Sin estas herramientas, el cumplimiento
la ejecución, la trazabilidad y el seguimiento de dichos de los requisitos y el mantenimiento y seguimiento de
procesos. La necesidad de herramientas puede las buenas prácticas puede dificultarse
incrementarse considerablemente según el tamaño de la considerablemente.
organización, el volumen de servicios que ofrece y el
modelo o norma a implantar. A modo de ejemplo y
teniendo en cuenta los modelos y estándares
mencionados, las necesidades suelen ir enfocadas Factores críticos
principalmente a herramientas de gestión de proyectos,
de gestión de servicios, de ticketing o de peticiones de de éxito
servicio, gestores documentales, herramientas de v Soporte de la Dirección. Las características de un
gestión del conocimiento, Business Intelligence, proyecto de implantación de Calidad requiere de
entornos de desarrollo o herramientas de análisis y liderazgo claro así como de dotación presupuestaria
modelado. para garantizar el éxito del proyecto. Por ello es
La implantación puede verse facilitada de forma imprescindible el soporte de la Dirección como
considerable si las herramientas de las que dispone la impulsor del cambio.
organización permiten gestionar y trazar v Comprensión y conocimiento del modelo o norma
adecuadamente todos los artefactos, entregables, que se va a implantar. Si bien el mercado empuja a las
documentos, … que se generan en los procesos. El no organizaciones a certificarse según una norma o un
50 235/12
8. Calidad en las empresas TIC
modelo, se debe conocer bien la norma en cuestión, su
utilidad, así como el impacto que puede tener en la
organización.
v Asignación de un coordinador del proyecto con
responsabilidades claras y poder de decisión que se
encargue de gestionar el proyecto de implantación. El
coordinador a lo largo del proyecto deberá gestionar y
realizar cambios en la organización por lo que es
importante que tenga autonomía y soporte de la
Dirección.
v Plantear una estimación del esfuerzo y un calendario
realista. El proyecto de implantación puede verse
condicionado por plazos marcados por terceros
(subvenciones, administraciones públicas, clientes,…).
El fijar plazos temporales demasiado ambiciosos puede únicamente de Dirección o del coordinador del
provocar cambios traumáticos al tener que implantar proyecto.
v Simplicidad. Si bien puede sonar contradictorio por la
mejoras y ajustes en poco tiempo pudiendo llevar al
fracaso del proyecto. complejidad de los modelos TIC, se debe intentar
v Seguimiento del proyecto. Los proyectos de
dentro de lo posible que los procesos y procedimientos
implantación habitualmente pueden tener un calendario que se definan sean sencillos y fácilmente entendibles
de implantación largo. Se hace necesario monitorizar por todo el personal que debe ejecutarlos. Plantear las
periódicamente el avance del proyecto para poder actuar instrucciones de forma extensa y compleja dificulta su
en caso de problemas y para garantizar el éxito del comprensión y como consecuencia provoca que los
proyecto. que deben ejecutarlas no las tengan tan en mente. El
v Comunicación e implantación de los cambios tanto
disponer de herramientas informáticas que soporten
interna como externamente. Cambios en la forma de los flujos de trabajo puede contribuir favorablemente a
trabajar requieren que sean comunicados tanto simplificar la forma de trabajar.
internamente, para hacerlos efectivos, como
externamente, al poder afectar al nivel de servicio que se
presta a los clientes.
v Ritmo de los cambios. Un proceso de implantación
puede ocasionar muchos cambios en la forma de Conclusiones
trabajar de la organización, lo que implica que se
deben gestionar adecuadamente. Muchos cambios En este artículo hemos podido ver una relación de
comunicados y ejecutados al mismo tiempo pueden modelos y estándares que puede aplicar una organización
ocasionar una pérdida de eficacia al no dar tiempo a que presta servicios TIC para mejorar internamente
consolidar las mejoras pudiéndose llegar a una aunque, como se ha podido comprobar, el camino hacia la
interpretación perversa del PDCA pasando del “Plan, mejora continua no es único: existen varias
Do Check, Act” al “Please Don’t Change Again”. No combinaciones de rutas y no todas tienen por qué llevar al
tener en cuenta este aspecto puede acentuar la mismo destino. Hemos visto aspectos que deben tenerse
resistencia interna al cambio al ajustarse en consideración cuando se arranca y se sigue el
continuamente los mismos procesos en un plazo de proyecto: la selección adecuada de las metas, el
tiempo pequeño. planteamiento del camino, la identificación de la
v Implicación activa, concienciación y motivación de infraestructura necesaria y las habilidades en sortear los
todos los participantes en el proyecto. Implicar y obstáculos que vayan surgiendo ayudarán a conseguir el
concienciar a las personas de la organización en un objetivo. Finalmente se debe recordar que el camino de la
proyecto de mejora puede ayudar a reducir la mejora continua no acaba nunca. Una vez se haya llegado
resistencia al cambio al ser las propias personas las que al objetivo surgirán nuevos retos que llevarán a la
lo generan. Las mejoras introducidas serán mejor organización a avanzar por nuevos caminos hacia la
acogidas si salen del propio personal que si surgen mejora continua. q
235/12
51