domingo, 23 de mayo de 2010

reflexión - Modelo Incremental de ISO 20000

En los inicios del Grupo de trabajo de ISO 20000 nos planteamos la idea de definir algo así como un “road map” o “hoja de ruta” para la certificación de ISO/IEC 20000. En ese momento lo que entendíamos, con la norma en mano, es que obtener esta certificación no sería fácil.

Hay varias razones para pensar que no era fácil especialmente para PYMES, y entre ellas la obligatoriedad de todos los procesos, la necesidad de tener más de 13 roles, la cantidad enorme de indicadores, y la importancia relativa del servicio a certificar.

Con esa idea, se propuso posteriormente la creación de un Modelo Incremental, algo parecido a lo que hace CMMi con su modelo de madurez, creando niveles hasta el 5, y con especificaciones en cada uno de los niveles.

Adicionalmente nos sentimos innovadores. Compartimos la idea internacionalmente y tuvo acogida, parecía una buena idea y que resolvería dos posibles problemas:

1. A las PYMES les resultaría muy difícil obtener la certificación, y quizá algunas de ellas no deberían tenerla, y llegar a un nivel 1 o 2 podría resultar suficiente. Por ejemplo el primer nivel ya demostraría el interés, un esfuerzo medio más allá de una autoevaluación. También las posibles licitaciones y contrataciones que no requieran de toda la ISO 20000, podrían pedir por ejemplo “al menos el nivel 2”.

2. Las grandes empresas que emprenden un proyecto de adopción de ITIL e ISO 20000 y por su naturaleza y tamaño van a invertir años, y muchos recursos. Una “hoja de ruta” debería poder ir validando los hitos y puntos de control en ese camino.

Lo curioso es que esto nos lo planteamos cuando no se había iniciado las certificaciones. No obstante ahora hay más de 50 empresas certificadas en España, la mayoría PYMES. La mayoría de esas PYMEs obtuvieron la ISO 20000 en un plazo sorprendente alrededor de 6 meses, y además muchas de ellas ni siquiera les hizo falta saber de ITIL, de todos sus procesos, y ni uno solo de sus empleados requirió de formación.

Evidentemente nos equivocamos. O hicimos muy mal nuestro trabajo de difusión.

¿Qué pasó? ¿Qué nos perdimos? ¿Qué es lo que no vimos entre todos los consultores y formadores?

Os invito a comentar.
.
Share/Bookmark

7 comentarios:

  1. Interesante reflexión Marlon.

    La verdad es que en un principio no pensaba participar en esta discusión ya que soy juez y parte, pero al final no he podido resistirlo y aunque no voy a entrar a dar opinión si voy a aportar algunos datos a ver si se anima el debate.

    El Modelo de Conformidad Incremental, que nació inicialmente en el seno del GT25, estaba enfocado para aquellas compañías que tuvieran un alto gap respecto a ISO 20000 y necesitarán ejecutar acciones e inversiones importantes y en un periodo de tiempo prolongado entre 1 y 3 años, y esto sigue teniendo vigencia tanto para grandes compañías como para pequeñas. También hay que destacar que el interés por este enfoque no solo es español ya que hay otros países que también están interesados en un modelo incremental, y al igual que nosotros han planteado propuestas a ISO para definir un modelo incremental Global.

    Respecto a las compañías Españolas certificadas en ISO 20000, actualmente hay 48, de las cuales podríamos decir que alrededor de un 65% son Pymes, y de estas se han certificado bajo el paraguas del Plan Avanza alrededor de 16 compañías, pero es interesante conocer que esta explosión de certificaciones bajo la influencia económica del Plan Avanza también se ha producido en otras certificaciones como ISO 9000, 27000, 15504, CMMI, etc. Cuando hay dinero y consultores proactivos se pueden conseguir muchas cosas, pero como todos sabéis el verdadero problema no esta en conseguirlo, sino en mantenerlo y mejorarlo; y podría ocurrir que consigas comprar un coche gracias a una subvención pero luego no tengas dinero para pagar su mantenimiento…

    En cuanto al plazo de 6 meses para que una de estas PYMES logre la certificación ISO 20000 no tengo referencias para opinar, lo que si puedo aportaros para que comparéis es una referencia de una compañía que logró la certificación hace un año y en un periodo de tiempo muy corto: Lockeed Martin’s ITA (Information Technology Agency) que da servicios de Mto, Operación y Seguridad de Redes a través de un Centro de Seguridad de Operaciones de Red al Pentágono y Capital Federal; como podéis imaginaros esta compañía ya tenia una larga experiencia en gestión de servicios soportada mediante la certificación ISO 9001 desde el año 2003, y aún así necesitó 7 meses para lograrlo.

    El tiempo nos dirá si estas compañías han conseguido realmente realizar el cambio cultural y la evolución de sus formas de trabajo, ya que como todos sabéis ISO 20000 es un viaje y no es un destino y dentro de 2-3 años veremos cuantas de estas compañías siguen en el viaje de ISO 20000.

    ResponderEliminar
  2. A mí también me parece muy interesante la aportación de Marlon, y aunque esté de acuerdo con la reflexión de Alejandro, creo que algo no encaja con las ideas iniciales, cuando todo este tema arrancó en el mercado.

    Al principio creíamos que estar certificado en esta norma iba a ser, sobre todo, interesante para las grandes compañías, sin embargo son las pequeñas las que están tomando la inciativa, al menos en el último año y medio.

    Pensábamos que las PYMES aceptarían de buen grado el modelo incremental, porque les ayudaría a enfrentarse a un proceso largo de certificación, y podría ayudarles a poder presentarse a concursos o licitaciones. SIn embargo las PYMES están demostrando que no necesitan este modelo, puesto que son capaces de certificarse en 6 meses.

    En este punto es donde me pregunto si la exigencia de las auditorías es la misma en todas las compañías, no porque ponga en duda la profesionalidad de los auditores, sino quizás porque al estar utilizando diferentes esquemas de certificación, el grado de detalle que se pida a las compañías que quieran certificarse, no sea el mismo.

    Si es así, lo veremos dentro de 2 o 3 años, cuando estas empresas empiecen el proceso de re-certificación, porque para entonces, suponemos que habrá un esquema de certificación más homogeneo, al existir una mayor experiencia en el mercado

    ResponderEliminar
  3. Cristina Clemente26 de mayo de 2010, 10:22

    Quizá lo que está pasando es que se partía de la idea errónea de que a las grandes compañías les sería más sencilla la implantación y mantenimiento de la norma por disponer de más recursos. Puede ser que precisamente por el esfuerzo que supone coordinar un número de recursos mayor, es más difícil que todos los miembros de la empresa hayan entrado en la cultura y sean igual de metódicos.

    En una PYME, los roles se definen y se comparten mucho mejor ya que no existe el peligro de diluir la responsabilidad y todo el mundo sabe que si no cumple con su cometido,no habrá otro para suplirle. Esto provoca que los pasos que exige la norma se cumplan más escrupulosamente y que se evidencie cada paso que se da.

    En las empresas grandes, es muy difícil que, por ejemplo, el CAB empiece y acabe en el período previsto ya que siempre hay un fuego, un cliente que llega, un "se me olvidó", etc. Esto provoca que el espíritu del CAB se pierda y no sea tan efectivo ya que esa coordinación no se produce por ausencias y retrasos; además, esto provoca pérdidas de tiempo que generan un rechazo a la norma y todo lo que lleve la coletilla "ISO 20.000". Es más difícil que todos los jefes de proyecto lleven sus actas al día a pesar de que visitan al cliente muchas veces al año; cuando tienes pocos clientes y pocos jefes de proyecto, es más fácil comprobar y recordar que cuando manejas muchos clientes de naturalezas muy distintas y con jefes de proyecto de distintos perfiles. Y así se pueden poner muchísimos ejemplos que nos recuerdan a que "si quieres que se haga algo bien,tendrás que hacerlo tú mismo"; cuando en una PYME los roles y el control de los servicios se reparten entre 5 personas, es mucho más sencillo ponerse de acuerdo.

    El modelo incremental quizá viniera mejor a las empresas grandes en las que es más lento el cambio y necesitan justificar frente a Consejos de Dirección lejanos al proyecto, los beneficios, tanto monetarios como intangibles, que aporta el camino que emprendieron.

    Estoy de acuerdo con Juanjo en que el esquema homogéneo nos sacará de muchas dudas y los sellos de unos serán iguales a los de los otros sin tener que preguntar quién te ha certificado. Ya sólo tendremos que preguntar por los alcances...

    ResponderEliminar
  4. Según el BOE 110 del jueves 6 de mayo de 2010 (sección iii pag. 40329-40366), la subvención que se otorga a las PYMES (con menos de 250 empleados) para la ISO 20000 es de (casualmente), 20000 euros.

    Ahora bien, la parte que hace que todos quieran certificarse (y luego lo consigan) es la que viene:

    Inversiones y gastos financiables

    1. Costes de subcontratación
    Se imputarán a este concepto los gastos de subcontratación exclusivamente derivados del proyecto o acción, ENTIDADES CONSULTORAS Y CERTIFICADORAS.

    2. Costes de personal
    Se imputarán a este concepto los gastos de personal propio con contrato laboral o contratado en régimen de autónomos.

    3. Otros gastos suplementarios directamente derivados del proyecto o acción
    Se incluyen aquí los costes indirectos, considerados como aquellos que forman parte de los gastos del proyecto o acción, pero que por su naturaleza no se pueden imputar en forma directa por no poder individualizarse (por ejemplo, el consumo eléctrico, telefónico, etc.), así como los gastos derivados de viajes relacionados con el proyecto. Para su cálculo se aplicará un porcentaje del 20 por ciento sobre los gastos de personal válidamente justificados, sin necesidad de aportar justificantes de gasto.

    Por otro lado, la subvención esta condicionada a la obtención del certificado por parte de una entidad acreditada (caso contrario, no hay dinero que cobrar… y no conozco UNA que no haya logrado la certificación si ha conseguido la subvención)… yo simplemente doy mi opinión al respecto y lo que yo veo aquí es el descontrol propio de quienes han visto más que una oportunidad de mejorar sus procesos y los de otros, la oportunidad de mejorar la cuenta corriente a costa de esta política de subvenciones.

    En particular, conozco algunas empresas que tienen bien grande el logo de ISO20K, CMMI y la ISO27K, pero luego son incapaces de desarrollar un software en condiciones, incapaces de redactar un SLA o ya por ultimo, de respetarlo, tienen la seguridad de broma y en algún caso he visto que la clave de tu correo te la TIENE que poner el administrador del samba, por política interna… pero eso si, están bien certificados en sendas normas.

    Con lo cual, desvirtúan el proceso de quienes se lo toman en serio y hacen que pierda valor el esfuerzo que otros si se toman para obtener dicha certificación, hay empresas muy buenas aquí en España que han sudado mucho por obtener el certificado, y lo que veo absurdo es que las otras, que están en el apartado que llamo yo “las de la subvención” se metan en el mismo saco… ojo, que habrá de todo, solo hablo de lo que he visto directamente, ahora bien… para nadie es un secreto que con el tema de las subvenciones hay mucha tela… si hay un interesado en llevársela, habrá algún interesado en concederla… y vamos, dependiendo donde… el tema ofende más o menos.

    Sobre la pregunta que plantea Marlon…¿Qué no vimos, que se nos fue?... pues, yo diría que lo que no se vio es que esto podría pasar… me parece estar oyendo al famoso personaje de Roberto Gómez Bolaños, diciendo su tan celebre frase… “no contaban con mi astucia”… por parte de los que están cobrando la subvención y haciendo “cartón piedra” para justificarla… y vamos, no digo más porque me pierdo!

    La iniciativa fue buena, el planteamiento del roadmap también… aunque este tipo de imponderables no hay quien los gestione… de momento.

    ResponderEliminar
  5. Desde mi punto de vista, estoy de acuerdo en lo que se ha dicho de que el modelo incremental quizá venga mejor a las empresas grandes en las que son más lentos los cambios necesarios como para poder cumplir con todos los requisitos de la norma. No olvidemos que, si mal no creo recordar, eran alrededor de 250 requisitos. Desde mi experiencia como responsable de la certificación en ISO 20000 en mi empresa, el hecho de tener que cumplir con algunos requisitos en concreto sobre tan larga lista, supone cambios profundos en la manera de operar en la empresa, lo que conlleva dificultad, dedicación, implicación, acuerdos a varios niveles departamentales y en definitiva coste. Por no mencionar un equipo de trabajo más o menos estable y decidido a conseguir el objetivo. En nuestro caso partíamos de la 9000 y de algunos procesos ya implantados de ITIL, lo que nos ayudó enormemente y por eso entiendo que pudimos conseguirlo en el plazo de 6 meses, pero ya llevábamos camino recorrido.

    Por eso cuando se planteó el modelo incremental, yo fui uno de tantos de los que lo ví adecuado, ya que para aquellos que empezaban, permitía 'repartir la carga' en 3 etapas, y en cada una de ellas tras superarla poder tener al menos algo que dijese que habías subido un peldaño, aunque no tuvieses la certificación en sí, hasta que subieses el tercer peldaño.

    Lo que no acabo de entender es cómo sin modelo incremental, sin peldaños, sin escalera y sin barandilla, en otros casos una PYME (o una organización en general) que ni tan siquiera supiera qué significaba 'eso de ITIL', haya podido obtener el certificado en 6 meses.

    Veremos pues qué pasa con el mantenimiento, aunque por la misma regla de tres, si fácil fue conseguir la certificación, lo más probable es que fácil sea mantenerla.

    Habría que explorar, pues, dónde radica la facilidad y porque ahora ya se piensa que no es necesario dicho modelo incremental... ¿y por qué no?

    ResponderEliminar
  6. Tal parece que la mayoría coincidimos en preocuparnos y dudar de lo que ocurrirá en dos o tres años cuando toque renovar las certificaciones. Espero que nos equivoquemos de nuevo y realmente consigan obtener el PDCA completo, con todo y la A.

    Los comentarios de Cristina y Sergio dejan de ver la experiencia que ambos tienen en la norma. Como se ha dicho, obtener el certificado es sólo el principio.

    Aún así, la misión de este Grupo de Trabajo y de itSMF en general, tendrá que hacer las reflexiones del caso para poder guiar al mercado.

    ResponderEliminar
  7. Como consultor con experiencia directa en alguna de las PYMEs certificadas de las que habláis, os digo cuál es el truco: compromiso real de la dirección traducido en una dedicación mínima garantizada.

    Son SGSTI muy artesanales, prácticamente sin más herramientas que las ofimáticas y algo de freeware para monitorización y ticketing, y que dependen completamente del buen hacer de las personas de esas empresas. Procesos manuales sistematizados, ni más ni menos. Un SGSI de mínimos (nada de ITIL, cumplimiento estricto de los mínimos que marca la ISO 20000-1) capaz de mantenerse con una dedicación media de unas 40h mensuales, aparte de las dedicadas a la propia prestación del servicio, priorizadas para que los fuegos no las consuman. Ah, y mucho sentido práctico! Que en estas empresas una reunión del CAB (que por cierto, no tiene ni por qué existir, ya que no es exigencia de la ISO 20000) puede ser un par de comentarios en la máquina de café acompañados de un pequeño acta...

    ResponderEliminar