sábado, 24 de mayo de 2014

5 herramientas que pueden salvarte la vida en la implantación de ISO 20000

SHALL y MUST son dos palabras inglesas que, más y menos cortesmente, expresan la necesidad u obligatoriedad de hacer algo. Ambas son del gusto de los autores de las normas ISO y aparecen con profusa frecuencia en todas ellas.

Cuando una persona comienza a trabajar en el mundo de las normativas suele preguntar: "¿Pero de verdad tenemos que hacer esto?". La respuesta es sencilla: "Lee la norma y, si te encuentras con SHALL O MUST, no dudes, debes hacerlo".

Las normas ISO pueden estudiarse desde un punto de vista formal, estableciendo una serie de indicadores para determinar, por ejemplo, su coherencia y complejidad. El número de términos empleados, las referencias a documentación externa o las indefiniciones y ambigüedades detectadas son algunos ejemplos. La presencia de SHALL y MUST es otro de estos indicadores al ser una forma sencilla de determinar el número de requerimientos impuestos por una norma.

ISO 20000-1 es una campeona en esta última categoría. Es una de las normas que más requisitos impone al Sistema de Gestión que debe soportarla y, por tanto, de las más complejas de implantar. Es una consecuencia directa del elevado número de procesos que deben considerarse. En su favor decir que es también una de las más útiles; pocas veces una norma está tan cercana a la realidad y necesidades de la operación.

LA NORMA

La familia ISO 20000, con evidente relación con ITIL ("Information Technology Infrastructure Library"), se diseñó inicialmente para ayudar a mejorar la gestión de los servicios IT que ofrecen las empresas tanto interna como externamente. Sin embargo, en su última revisión de 2011, la coletilla ha desaparecido y ahora es de aplicación a servicios de cualquier naturaleza.

El estándar se compone de 5 documentos, dos de ellos de especial relevancia:
  • ISO 20000-1 ("Requisitos de los Sistemas de Gestión de Servicios"): la norma certificable y, en consecuencia plagada de SHALL y MUST
  • ISO 20000-2 ("Guía de Implementación de los Sistemas de Gestión de Servicios"): conjunto de buenas prácticas, basadas en el estándar de facto ITIL, para desarrollar los procesos requeridos en la primera. Aquí las dos temidas palabras desaparecen para convertirse en SHOULD o COULD, dos términos mucho más amables.
En cuanto a los procesos, se agrupan en las siguientes categorías:
  • Procesos para la Provisión de Servicio: Gestión del Nivel de Servicio, Informes de Servicio, Continuidad y Disponibilidad, Presupuestos y Contabilidad, Capacidad y Seguridad de la Información
  • Procesos de Control: Gestión de la Configuración, Gestión del Cambio
  • Procesos de Entrega: planificación del servicio, actividades, agenda, etc
  • Procesos de Resolución: Gestión de Incidencias y Cambios
  • Procesos de Relaciones: con el negocio y los suministradores
Para acometer la implantación de esta norma, es también necesario comprender la diferencia entre el SERVICIO y la ENTREGA DEL SERVICIO. Supongamos que una organización ofrece a sus clientes una solución para implantar y gestionar Oficinas de Gestión de Programas (PMO: Program Managment Office). La solución es, en sí misma, el SERVICIO, mientras que la instanciación de la solución en un cliente específico (el proyecto mediante el cual se crea y gestiona la PMO) es la ENTREGA DEL SERVICIO (o la provisión del servicio).

LOS PLANES

ISO 20000 es, además, "una norma de planes". Para cada SERVICIO que incluyamos en el ALCANCE deberemos, al menos, establecer los siguientes:
  • Plan de Creación del Servicio: siguiendo con el ejemplo anterior, incluirá el diseño de la solución PMO, los recursos que tendrá asignados, la organización y modelo de negocio que la soportará, etc.
  • Plan de Entrega del Servicio: los pasos que deberemos dar para personalizar la solución para un cliente concreto: agenda, recursos, mecanismos y herramientas que deberemos implementar o adaptar, principales actividades, etc.
  • Plan de Transición: en ciertas ocasiones, el servicio está ya está implantado y es atendido por una organización diferente (un competidor o el mismo cliente). En este plan (que puede incluir también actividades de Due Diligence, es decir, de la fase de re-negociación de los términos del contrato) deberá especificarse cómo se realizará la transformación que será, normalmente, progresiva. Qué actividades se transferirán primero, como se irán sustituyendo los diferentes recursos, negociación con nuevos proveedores, sustitución de las las herramientas de gestión, etc.
  • Plan de Gestión de la Entrega del Servicio: se debe especificar la organización (OBS), los paquetes de trabajo (WBS), las funciones y responsabilidades (RBS) y los demás mecanismos de gestión, control y seguimiento de la ENTREGA. Es en definitiva, un Plan de Gestión de Proyecto (PMP: Project Managment Plan) que deberá incluir también un Plan de Calidad.
  • Plan de Continuidad del Servicio o cómo garantizamos que las operaciones serán restauradas ante desastres de cualquier naturaleza
  • Plan de Devolución de la Entrega del Servicio: los pasos que deberán realizarse para liberar los recursos asignados a la entrega incluyendo (si procede) la forma en que dicha entrega será cedida al cliente o a otra organización cuando termine o se cancele el contrato de colaboración.
  • Plan de Retirada del Servicio: la forma en que se liberarán los recursos asignados al servicio en su conjunto, los pasos que deberemos realizar para retirar la solución PMO del portafolio de servicios de nuestra organización.
LOS MECANISMOS

Intentar acometer la implantación de la norma ISO 20000-1, desarrollando mecanismos aislados para cubrir cada uno de los requisitos impuestos, es un proceso realmente complicado. Si nos centramos en cada detalle, sin disponer de una visión global de nuestros objetivos, acabaremos definiendo un modelo demasiado complejo y enrevesado, plagado de procedimientos, instrucciones técnicas y herramientas, que exigirá demasiados esfuerzos adicionales a los gestores de los servicios.

Es necesaria, por tanto, una cierta concentración que nos permita cubrir, con un conjunto limitado de herramientas, el mayor número posible de las actividades relacionadas con la gestión de servicios y su entrega a los clientes (internos o externos).

Os propongo, a continuación, algunos de ellos que, de forma conjunta, nos ayudarán a resolver una buena parte de los problemas que nos encontraremos en el proceso de implantación de la ISO 20000:
  • ALCANCE DEL SERVICIO
  • PLAN DE ENTREGA DEL SERVICIO
  • PLAN DE GESTIÓN DE LA ENTREGA DEL SERVICIO
  • ACUERDOS DE NIVEL DE SERVICIO
  • INFORME DE ACTIVIDAD
Por supuesto, no son los únicos mecanismos que deberemos considerar ni son de uso obligado. Existen innumerables alternativas todas ellas igual de válidas.

Comentar que, de forma intencionada, he dejado al margen mecanismos estándar en cualquier norma de gestión como, por ejemplo, la revisión por la dirección, la realización de auditorías internas, la gestión de acciones correctoras, preventivas y de mejora, compras y evaluación de proveedores, las reclamaciones o la evaluación de la satisfacción del cliente. Mi recomendación es utilizar las mismas herramientas que ya tengáis disponibles en la organización (normalmente consecuencia de la implantación previa de otras normas como la ISO 9001).

Tampoco entraré en los procesos comerciales o en la elaboración de presupuestos al ser demasiado específicos de cada organización.

Por último, la  gestión de la Seguridad de la Información merece por sí sola un artículo completo. La mejor opción para afrontar este proceso es, desde luego,  implantar la norma ISO 27001. Si no tenéis recursos para hacerlo, es posible definir un modelo más sencillo aunque, en la medida de lo posible, debería basarse en ella.

ALCANCE DEL SERVICIO

Es el documento que define, de forma general, el servicio que estamos ofreciendo. Debe incluir la localización dentro de la empresa, las dependencias con terceras partes, el marco legal donde opera, los medios disponibles. Es, en definitiva un documento no muy alejado de la oferta comercial que presentaremos a los clientes.

En en el Alcance deberemos especificar:
  • El propósito del servicio: la solución comercial que ofrecemos a los clientes. Por ejemplo: "diseñar, implantar y gestionar Oficinas de Gestión de Programas (PMO) para controlar y gestionar de forma centralizado los diferentes proyectos que ejecuta una cierta organización".
  • Las Inclusiones y Exclusiones: qué aspectos cubre el servicio y cuáles quedan descartados. Pocas veces se da la suficiente importancia a esta declaración a pesar de ser de vital importancia. En el ejemplo, podríamos detallar el tipo de actividades que podemos gestionar y excluir algunos aspectos como la gestión de compras o las actividades realizadas fuera de nuestras instalaciones.
  • El Entorno: sin entrar en demasiados detalles, se deberá indicar las instalaciones y sedes donde se implantará, las infraestructuras y sistemas de gestión disponibles, las terceras partes involucradas (clientes, proveedores, accionistas) y el marco legal
  • Descripción detallada del servicio incluyendo actividades principales, la localización en la empresa, la localización física, la organización establecida para gestionar y operar el servicio (propietarios del servicio, dependencias funcionales, roles y responsabilidades, departamentos involucrados)
  • Herramientas de la organización y específicas que serán puestas a disposición del servicio y cada una de las entregas (Infraestructura de red, servidores, sistemas de gestión de incidencias, control de configuración y cambios, etc.)
  • Obligaciones Contractuales con los clientes (internos o externos) y los posibles proveedores, incluyendo una descripción somera del Plan de Continuidad del Servicio.
  • Marco Legal: normativas regulaciones y leyes que deben considerarse
  • Relación con otros sistemas de gestión: aspectos del servicio que serán cubiertos por otras normas o sistemas implantados en la organización. Por ejemplo, la relación con los procesos y procedimientos establecidos en la implantación de las normas ISO 9001 o ISO 14001
PLAN DE ENTREGA DEL SERVICIO

En este documento se deberán detallar las actividades a realizar para implantar el servicio que vamos a ofrecer a un nuevo cliente:
  • Descripción de la Entrega
  • Planificación de la Implantación
  • Cronología
  • Fases principales
  • Roles y Responsabilidades
  • Plan de Comunicación
  • Necesidades de Formación
  • Requisitos Técnicos
  • Necesidades de Infraestructuras y Herramientas
  • Aspectos normativos y legales
El Plan de Transición, cuando sea necesario, podrá también incluirse en este documento o desarrollarse en un Anexo.

PLAN DE GESTIÓN DE LA ENTREGA DEL SERVICIO

Tenemos ya definidas las características de nuestro servicio y su entorno (documento de Alcance) así como la forma en que lo implantaremos para responder a la petición de un nuevo cliente (Plan de Entrega).

Debemos ahora especificaqr la forma en que operaremos el servicio desarrollando un Plan de Gestión de la Entrega, un documento que deberemos compartir con el cliente para conseguir su aprobación pues de él depende, en gran medida, el éxito del proyecto al ofrecer detalles sobre la operativa diaria del servicio.

El Plan de Gestión es, en realidad, un Plan de Gestión de Proyecto (PMP; Project Managment Plan) particularizado para las características del servicio. Deberá por tanto incluir:

PLANIFICACIÓN:
  • Organización del Servicio tanto en nuestra organización como en la del cliente. Por ejemplo estableciendo una OBS detallada (Organizational Breakdown Structure) 
  • Principales Paquetes de Trabajo y Actividades: normalmente establecidas mediante una Work Breakdown Structure (WBS)
  • Roles y Responsabilidades definidas a través una RBS (Resources Breakdown Structure) que relacione la OBS con la WBS y una RASCI (Matriz de Asignación de Responsabilidades)
  • Agenda
RECURSOS:
  • Recursos Humanos: personal asignado a la entrega del servicio, necesidades futuras de recursos incluyendo Ramp-Up y Ramp-Down, procesos para incorporar y formar al nuevo personal, matriz de competencias requeridas, necesidades de formación (sin olvidar al cliente)
  • Recursos Materiales: infraestructuras de red, servidores, aplicaciones, etc
  • Compras y Subcontratación de trabajos: mecanismos para realizar compras de material y verificar su adecuación, actividades que serán realizadas por terceros, mecanismos de control de los proveedores
GESTIÓN, CONTROL Y SEGUIMIENTO
  • Modelo de Costes, gestión de presupuestos y contabilidad, plan de facturación
  • Gestión de las Entregas: la forma en que entregaremos los productos desarrollados incluyendo los procesos de verificación (interna) y validación (externa) 
  • Reporting la Actividad: estructura y contenido de los informes de actividad que entregaremos de forma periódica al cliente y procesos de aceptación
  • Acuerdos de Nivel de Servicio (SLA) (ver más adelante) e Indicadores principales
  • Gestión de Riesgos: principales factores que pueden afectar a la operación del servicio, al rendimiento o a la calidad
  • Gestión de la Configuración: elementos que componen los productos entregados, relaciones entre ellos y con los activos del servicio, control de versiones
  • Gestión de Incidencias y Problemas: mecanismos para registrar y resolver las incidencias detectadas. procedimientos para declararlas formalmente como problemas (por su frecuencia de aparición o complejidad), mecanismos de comunicación y escalado
  • Gestión de Cambios: mecanismos para proponer. gestionar e implantar cambios de alcance, cambios organizativos, incorporación o retiradas de recursos, etc
  • Plan de Comunicación: reuniones de lanzamiento, seguimiento y cierre, canales de comunicación, procesos de escalado, comunicación ante desastres, etc.
  • Terminación del servicio: cómo liberaremos los recursos asignados y devolveremos los activos al cliente
MEDICIÓN Y MEJORA
  • Plan de Calidad
  • Satisfacción del cliente y gestión de reclamaciones, no-conformidades y acciones correctoras
  • Auditorías
  • Plan de Mejora continua
Parece complicado, ¿verdad?. Pero, con algunas salvedades, nada que no deba aparecer en un Plan de Gestión de Proyecto estándar.

ACUERDO DE NIVEL DE SERVICIO

Es un documento en el que se detallan los compromisos adquiridos con el cliente con independencia de que éste sea interno o externo. Normalmente los compromisos se expresan mediante valores objetivo o de excelencia de ciertos indicadores. Es otro de los documentos que deben ser compartido con el cliente para obtener su aprobación. En general, el cumplimiento de estos acuerdos supondrá incrementos o pérdidas en la facturación por lo que todo esfuerzo para concretar su contenido es poco.

Además de compartir los acuerdos con el cliente, éstos deben ser trasladados a los proveedores con le fin de asegurar la coherencia en la cadena de suministro y comprometer a las terceras partes en la consecución de los objetivos generales del servicio.

INFORMES DE ACTIVIDAD

En todo servicio es necesario informar de forma periódica sobre la actividad realizada, información que será posteriormente utilizada para establecer diferentes indicadores y, a través de ellos, determinar el grado de cumplimiento de los acuerdos de calidad de servicio.

Es frecuente definir dos modelos, uno para el reporting interno y otro para compartir con el cliente (normalmente un subconjunto del anterior). Para no extenderme demasiado, os presento una estructura general de este tipo de informes que deberá ampliarse o reducirse en función de su propósito.
  • Control de Presupuesto y Contabilidad: costes generales, compras, personal, márgenes obtenidos
  • Necesidades de Recursos, Formación realizada y planificada
  • Cumplimiento de los Acuerdos de Nivel de Servicio: normalmente un cuadro de indicadores y los cálculos necesarios para determinar el grado de cumplimiento y con él la facturación
  • Principales Cambios y Mejoras realizados, generalmente cambios de alcance u organizativos o consecuencia de procesos de aligeramiento u optimización del servicio
  • Incidencias detectadas: número y tiempo medio de respuesta, incidencias que aún permanecen abiertas o que hemos declarado como Problemas.Estado de los planes de corrección
  • Capacidad: personal asignado, horas reportadas, necesidades futuras (Ramp-Up/Down)
  • Principales Riesgos que pueden amenazar la operación del servicio o las entregas planificadas
  • Satisfacción con el Servicio y posibles Reclamaciones
Lo ideal para completar este informe es utilizar las herramientas de operación del servicio, es decir, conseguir que éstas nos ofrezcan de forma automática la información que necesitamos. De esta forma aseguramos la coherencia de la información proporcionada y ahorraremos esfuerzos.

Aunque no soy partidario del uso de Excels (ver "Por favor, no más Excels"), es frecuente utilizar esta herramienta para recopilar los datos de partida, generar gráficos de evolución y calcular los diferentes indicadores que, en última instancia, determinarán la calidad del servicio que estamos ofreciendo.

CONCLUSIONES

ISO 20000 es una norma compleja y, por tanto, difícil de implantar. Pero es también una norma cercana a las operaciones de los servicios por lo que los esfuerzos realizados tendrán pronto recompensa (mejores herramientas de gestión, mayor control de las operaciones y recursos, mejora de márgenes, etc.).

Debido a esta complejidad, antes de acometer la implantación de un sistema de este tipo, deberemos asegurarnos de disponer de una visión global del entorno donde operaremos para poder integrar, en la medida de lo posible, los procesos y procedimientos ya establecidos.

También es especialmente importante prestar la suficiente atención a las relaciones con los clientes (internos o externos) y con los suministradores; la transparencia debería reinar en la colaboración con estas terceras partes (ver "¿Debo dar acceso al cliente a las herramientas de gestión?")

También puede interesarte:

No hay comentarios:

Publicar un comentario en la entrada