Caso de éxito en Avalon: ISO20000 e ISO27000

Recientemente he tenido el honor de conocer el caso de éxito de Grupo Avalon en su proceso de certificación de ISO 20000 e ISO 27000, y he aprovechado la oportunidad para hablar con Juan Carlos Torres Alvarez, Director de Calidad del Sotware, que ha tenido a bien contestar a unas preguntas clave en su proceso que son de gran interés para todos.

Pregunta: ¿Cuál es el negocio de Grupo AVALON?
Respuesta: AVALON es una consultora de TI de capital español y cuyo negocio es:

• Prestación de servicios:
•  Profesionales para el desarrollo, mantenimiento y operación de sistemas de información.
•  De mantenimiento de aplicaciones y sistemas
•  Factoría de sw mediante la atención de peticiones de órdenes de trabajo de diseño y/o construcción de software
• Proyectos de desarrollo de software en los que se cubre todas las fases del ciclo de vida de desarrollo de SW.
• Consultoría de procesos de TI

P: ¿Cuál es el alcance de las certificaciones? ¿Son el mismo alcance?
R: El alcance geográfico de las dos certificaciones es el mismo, Delegación de Madrid, difiriendo en el funcional:

• ISO27001 el alcance son los sistemas de información que dan soporte al negocio de Avalon
• ISO20000 los servicios profesionales y de mantenimiento que AVALON presta a sus clientes

P: ¿Por qué decidieron certificarse? ¿Cuál es su motivación?
R: Los motivos son los mismos para ambas certificaciones:

• La importancia que la dirección de AVALON da a la gestión por procesos y la gestión de éstos.
• La adopción de un modelo para la gestión de TI
• El alineamiento de los procesos de AVALON con los estándares internacionales del sector.
• La diferenciación de AVALON en el mercado.
• El posicionamiento de AVALON en los puestos de cabeza cuando se haga efectivo el tan deseado fin de la crisis.

P: ¿Fue de las dos normas a la vez? ¿Decidieron ejecutar las dos en un único proyecto?
R: Aunque las dos normas se auditaron a la vez, la adaptación de los procesos a sus requisitos se abordaron en dos proyectos paralelos, aunque relacionados en algunos puntos. El motivo de esta decisión fue el diferente alcance funcional: interno en la ISO27001 y los servicios prestados a los clientes, por tanto externo,  en la ISO20000.

P: ¿Recibieron ayuda de consultoría externa? ¿Formación tal vez?
R: No se contrató ningún servicio de consultoría externa. 

P: Entiendo entonces que, como director de calidad, tienes buen conocimiento de las normas ISO, o hay un experto en AVALON que sepa interpretarlas y tratarlas con agilidad, para así planificar un proyecto de forma clara. ¿Es así?
R: Como Director de Calidad de Software tengo una amplia experiencia en la Mejora de Procesos y en la Gestión de Servicios, lo que me ha permitido, como tú bien dices, interpretar las normas y "aterrizarlas" a las peculiaridades de AVALON. 
 
P: ¿Qué es lo que más les costó durante el proyecto, desde su concepción?
R: Aquí me gustaría añadir que buena parte del éxito de la certificación viene dada por diseñar la implementación de las iniciativas de mejora de procesos, y estas certificaciones lo son, con un proyecto estándar, con su planificación, seguimiento, gestión de riesgos e incidencias tan formales como lo son en cualquier proyecto, por ejemplo, de desarrollo de software. La peculiaridad de estos proyectos, bajo mi punto de vista, es que lo fácil es el diseño de los procesos, con unos requisitos claros, las normas, y escasa gestión de cambios de requisitos motivado por la estabilidad de las normas, y lo difícil es la implantación de los mismos, es decir la gestión del cambio cultural que se produce en las organizaciones. Mi receta para gestionar el cambio es:

• Formación, formación y más formación.
• Buscar aliados entre los referentes de la organización que favorezcan la implantación de los procesos. 
• Evitar, en la manera de lo posible, la confrontación que se produce ante las fuerzas inerciales que producen el cambio. 
• Empleo mayoritario del principio de "auctoritas", aunque en ciertas ocasiones no haya más remedio que recurrir al principio de "potestas". 
• Predica con el ejemplo, adoptando el proyecto de mejora los procesos que se van diseñando.

P: ¿Qué esperan conseguir con las nuevas certificaciones?
R: Creo que ya lo he indicado en las motivaciones: 

• Diferenciación en el mercado
• Posicionamiento destacado en el futuro relanzamiento económico.

Te agradezco Juan Carlos que compartas con nosotros vuestra experiencia, y mi enhorabuena por el objetivo logrado. La manera que habéis tenido de enfrentaros al cambio ha sido muy positiva, lo que seguro ha sido clave para el éxito de ambos proyectos.

No conformidades

Uno de los temas más polémicos que hay en cuanto a la adaptación de estándares en una organización es el cómo encajar las No conformidades, y esto es algo general para todos los sistemas de gestión de calidad. Para comenzar, definiremos una No conformidad como un “Incumplimiento de un requisito” [ISO 9000:2005, definición 3.6.2]. Hay de dos tipos:

Las mayores: son ausencias o fallos al implantar y mantener uno o más requisitos del sistema de gestión de la calidad. Si el auditor ha detectado una No Conformidad mayor, al menos una, no entregará el certificado de conveniencia a la organización.

Esto quiere decir que el equipo implementador no ha tenido en cuenta todos los requisitos, y ha ido al proceso de certificación sin prepararlo. Para ello, siempre recomiendo un consultor que esté preparado, que sepa de lo que habla y que sepa guiar a la organización en todo el proyecto.

Las menores: son aquellas en las que se ha detectado un fallo puntual en algún proceso. En términos legales, podemos tener infinitas No Conformidades menores y obtener el certificado de calidad, siempre y cuando no haya ninguna mayor.

Está claro que nadie quiere tener No Conformidades, pero el tipo de no conformidad menor puede verse como algo positivo. Esto quiere decir que alguien externo (el auditor) ha caído en que algo que se puede mejorar. Es independiente de las propuestas de mejoras, que son algo extra, pero que conviene tener en cuenta para el siguiente ciclo PDCA.

Estudio de situación de ITIL

Para conocer el estado del arte de las implantaciones de los procesos ITIL en las organizaciones, es necesario una evaluación. Hace unos años (cómo pasa el tiempo!), el itSMF España, de la mano de un estudiante que realizó un completo proyecto de fin de carrera, lanzó unas encuestas para evaluar el estado de implantación de los procesos ITIL y de gobierno TI en las organizaciones.

El resultado de este proyecto se puede encontrar en el e-archivo de la Universidad Carlos III de Madrid, y se llama "Análisis y estudio sobre el gobierno y gestión de los servicios TI en el mercado español".

Y al igual que est eproyecto, el itSMF Alemania ha lanzado una encuesta parecida, junto con las universidades de St. Gallen (Universität St.Gallen, Suiza), Berín (Humboldt-Universität zu Berlin, Alemania) y el centro de negocios de Copenhage (Copenhagen Business School, Dinamarca).

La encuesta se puede realizar en inglés, alemán y danés, y se puede realiza ra través de la URL http://itil.selfsurvey.org. Estaremos al tanto de los resultados, pues será objeto de comparación entre las organizaciones centroeuropeas y las españolas que, adelanto, no estarán muy dispares.

Creación un catalogo de servicios

El pasado 22 de Mayo se impartió en Alemania un curioso seminario web, o webinar, llamado "Diseño de servicios - desde la especificación al concepto de servicio" en el que el ponente explicó un procedimiento para crear un catálogo de servicios.

Y digo curioso por la relación que tiene con este blog, en el que intento describir los estándares ISO sobre TI más demandados. Uno de mis estándares favoritos es ISO20000, y si el lector ha leído la norma sabrá que tiene un catálogo de servicios como requisito, pero no pide un proceso de gestión del catálogo, algo que sí propone ITIL®, y que tiene las actividades (sin ser puristas):

 - Definición de las familias principales de servicios a prestar, registro de los servicios en activo y de la documentación asociada a los mismos.
 - Mantenimiento y actualización del Catálogo de Servicios.

El ponente describía varios pasos, un poco más sistemáticos que lo que nos propone ITIL®. No olvidemos que ITIL® no nos dice el cómo, sino el qué. Los pasos que se describieron en el seminario son muy detallados y, aunque me quedo con la explicación para el futuro, todo depende de la organización.

Los pasos descritos, grosso modo, son:

 - Identificación de servicios: ver qué servicios estarán dentro.

 - Especificación de servicios: identificación de atributos.

 - Diseño de servicios: borrador de mapa de servicios.

 - Orquestación: elaboración del mapa de relaciones entre servicios.

 - Catalogación de servicios: descripción detallada.

 - Service-Kommittierung (no sé cómo traducir esta palabra xD): descripción de las necesidades del cliente para cada servicio y de los SLA (Service Level Agreement).

 - Aprobación: se aprueba el catálogo y se publica (o se modifica).

 - Facturación: se diseña y crea el método de facturación.

Me parece interesante comentarlo en este blog, ya que ofrece un punto de vista muy procedimentado para cubrir una necesidad que tienen muchas organizaciones a la hora de implantar un sistema de gestión de servicios.

Ni que decir tiene que yo lo probaré.