Tener definida una poltica adecuada es esencial para el buen

funcionamiento de las organizaciones, ya sea tanto porque alinea y marca las

reglas del juego para todos sus directivos y empleados, como porque es un
documento
exigido
al
implantar
numerosas
normas
como
la
ISO9001 (Calidad), la ISO14001 (Medio ambiente) y OHSAS18001
(Seguridad y salud). Es por ello, que en este artculo vamos a explicar todo
lo que necesitas saber para entender y crear una poltica de empresa.

Definicin de Poltica empresarial

La poltica de una organizacin es una declaracin de principios generales
que la empresa u organizacin se compromete a cumplir. En ella se dan una
serie de reglas y directrices bsicas acerca del comportamiento que se
espera de sus empleados y fija las bases sobre cmo se desarrollarn los
dems documentos (manuales, procedimientos ) de la empresa.
Una buena poltica no debe de ocupar ms de una o dos pginas y no debe
incluir detalles. Simplemente se deben enumerar las lneas generales que
definen la filosofa de la empresa, como pueden ser por ejemplo el
compromiso de cumplir la legislacin, la voluntad de crear un buen ambiente
de trabajo, la implantacin de sistemas de mejora continua, la definicin de
objetivos ambiciosos, la necesidad de gestionar las actividades por procesos
y de hacer caso a los procedimientos, la expectativa de minimizar el
impacto ambiental mediante una buena gestin de los recursos, etc.
Una vez creada la poltica, sta debe quedar documentada y ser incluida en
el Manual de Calidad o en el Manual Gestin Integral de la empresa.
Adems, la poltica debe ser distribuida y conocida por los empleados, debe
ser implementada y servir como punto de partida a la hora de redactar el
resto de documentos de la compaa. Por ejemplo, si en la poltica se habla
del cumplimiento de la legislacin, el resto de los procedimientos deben
poner nfasis en que esto se cumple, de otro modo estaran incumpliendo
ese principio marcado por la empresa.

Tipos de Polticas
Existen varios tipos de poltica en funcin de su alcance:
Polticas generales: Son polticas que alcanzan a toda la organizacin y marcan
sus lneas generales. Deben ser conocidas por todos y servir de gua. Una buena
poltica general deber ser acorde con la estrategia fijada por la empresa y
servir de referencia para la elaboracin del resto de polticas departamentales
y especficas.
Polticas departamentales: Son los principios a seguir de cada departamento o
servicio. Las ms comunes son la Poltica de Calidad donde se fijan los
principios y objetivos de calidad a alcanzar, la Poltica Medioambiental donde
se habla de ser responsable, gestionar y minimizar el impacto ambiental y la
Poltica de Prevencin de Riesgos Laborales (PRL) o de Seguridad y Salud en el
Trabajo (SST) donde se habla de conseguir condiciones de trabajo dignas y
minimizar los riesgos de accidentes.
Otras polticas menos frecuentes, pero tambin presentes en algunos sectores,
son la Poltica sobre Responsabilidad Social Corporativa, la Poltica de
Seguridad Fsica, la Poltica de Gestin de Cambios, o de gestin de la
informacin y del conocimiento.
Polticas especficas: Este ltimo tipo de polticas son principios fijados para
actividades y proyectos concretos hechas a medida de los mismos.

Requisitos de una Poltica empresarial

Existen varias normas que exigen tener una poltica de gestin que incluya una
serie de aspectos. Entre ellas tenemos las siguientes:
ISO 9001: Requisitos para el sistema de gestin de calidad

La ISO 9001 exige incluir una poltica en el Manual de Gestin

de Calidad (o Manual de Gestin Integrado) de la organizacin que
contemple los siguientes aspectos:
Compromiso de cumplir los requisitos (legales y del sist. de gestin de
calidad) y los compromisos fijados por la organizacin.
Mejora continua de la eficacia del Sistema de Gestin de Calidad.
Adems se indica que la poltica debe ser adecuada al propsito de la
organizacin y servir de marco de referencia para establecer y revisar los
objetivos de calidad. Por ltimo, esta poltica debe ser comunicada y
revisada peridicamente.
De forma adicional, tambin es muy comn aadir un punto donde deje claro
que las actividades se gestionarn por procesos (la Gestin por Procesos no
se menciona explcitamente como requisito a aadir en la poltica, pero s
que se enfatiza mucho sobre este enfoque en otros apartados de la ISO
9001).
ISO 14001: Requisitos para sistemas de gestin ambiental
La norma ISO 14001 exige definir una poltica ambiental en el Manual de
Gestin Ambiental (o Integrado) que contemple lo siguiente:
Compromiso a cumplir los requisitos legales y suscritos.
Mejora continua.
Prevencin de la contaminacin.
La poltica debe ser adecuada al impacto ambiental de las actividades de la
organizacin y servir de marco de referencia para establecer y revisar
objetivos y metas ambientales. Esta poltica debe ser documentada e
implementada, se comunicar y estar a disposicin del pblico.
OHSAS 18001: Sistemas de gestin de la seguridad y salud en el trabajo

El estndar OHSAS 18001 exige los siguientes puntos a la hora de crear una
poltica de SST:
Compromiso a cumplir los requisitos legales.
Compromiso a prevenir los riesgos laborales (PRL) y de la salud.
Mejora continua.
La poltica debe ser apropiada a la organizacin, y servir como marco de
referencia para establecer y revisar los objetivos de SST. Por ltimo,
esta poltica debe ser documentada, comunicada y revisada peridicamente.

Nota: Las normas ISO son aplicables en todos los pases, aunque cada pas
tiene su transcripcin propia. En el caso de Espaa, se llaman UNE EN ISO
(UNE= Una Norma Espaola, EN= Norma Europea ISO= International
Organization for Standardization). A pesar de esto, todas las adaptaciones son
iguales y compatibles entre s. La ISO 9001 dice lo mismo que la UNE-EN ISO
9001, y la ISO 14001 lo mismo que la UNE-EN ISO 14001.

Polticas integradas
En la puesta en prctica, hay muchas organizaciones que tienen implantadas
conjuntamente la ISO9001, ISO14001, OHSAS18001 y otras normas. En este
caso lo normal es tener un Sistema de Gestin Integrado (en el llamado
Manual de Gestin Integrada) donde se contemple en un mismo documento
Calidad, Medio Ambiente y/o Prevencin de Riesgos Laborales Seguridad y
Salud en el Trabajo. En estas situaciones se puede crear una poltica global que
contemple todos los puntos anteriormente descritos y que d cumplimiento a
todas las normas de una sola vez.

Ejemplo de Poltica integrada

Por ltimo, vamos a poner un ejemplo de poltica empresarial integrada para una
empresa industrial ficticia que fabrica botellas y que ha creado una poltica a
medida para cumplir las normas ISO9001 de calidad e ISO14001 de gestin
ambiental.
Esta poltica de ejemplo estara incluida en su Manual de Gestin Integrado:

Poltica integrada
La empresa PDCA Fbrica de Botellas es una compaa dedicada a la produccin
y distribucin al por mayor de botellas de vidrio a clientes en todo el territorio
europeo y de otros continentes.
Sus principios y compromisos se enumeran en los siguientes puntos:
1- PDCA Fbrica de Botellas se compromete a cumplir con lo dispuesto en la
normativa legal y con los compromisos que ha suscrito con sus clientes y con el
resto de grupos de inters.
.
2- Las actividades de la compaa sern gestionadas por procesos,
establecindose objetivos ambiciosos para los procesos clave que sern
evaluados y actualizados con una periodicidad mnima anual.
.
3- Se establecern sistemas adecuados para prevenir la contaminacin y
gestionar los recursos de forma eficiente.
.
4- Se seguir una sistemtica de mejora continua que permita mejorar la
forma de realizar y gestionar las actividades de la compaa para as aumentar
su eficacia y eficiencia.

Estos principios sern comunicados y seguidos por todo el personal. Adems

esta poltica ser revisada peridicamente para adecuarla a la situacin actual
de la compaa.
El uso de los manuales tanto en aspectos personales como empresariales, es un
tema casi desconocido y desvalorado. Alrededor de un 80% de las personas, no
utilizan

los

manuales

con

la

finalidad

con

la

que

fueron

creados.

Ocasionalmente, algunas personas abren y leen superficialmente un manual

cuando el mismo se trata de alguna tecnologa o instrumento poco conocido o
desconocido.
Desafortunadamente en la misma proporcin, las compaas no poseen un
manual de polticas y procedimientos. En muchos de los casos, la empresa no
cuenta con ellos por parecerle oneroso su diseo y creacin por parte de un
experto en el tema, en otros de los casos y comnmente la causa ms
generalizada, es que el empresario considera innecesario e irrelevante contar
con tan preciado documento.

Un manual de polticas y procedimientos, reviste una importancia trascendente

para las empresas, porque le permite establecer lineamientos a todos sus
integrantes;

desde

ejecutivos

hasta

trabajadores

dems

personas

interesadas en conocer el funcionamiento de una organizacin. Por medio de los

manuales, se puede fomentar el trabajo en equipo, encausar iniciativas e
innovacin, permitiendo coordinar los esfuerzos de todos los departamentos de
una empresa en la misma direccin y finalidad. El uso de los manuales es
fundamental

para

cumplir

los

objetivos

institucionales,

mismos

que

generalmente estn expuestos en lo que se conoce como visin, misin y

valores. Permite y promueve la mejora en los procesos internos, incrementando
con ello sus niveles de productividad, eficiencia y desde luego en su eficacia de
gestin.
Mediante los manuales de procedimientos administrativos, se puede generar
una cultura y filosofa de trabajo, se establecen criterios propios enfocados a

los procesos de todas las reas, incluyendo las relacionadas con el marketing y
las polticas de venta, adems de ser un documento idneo para reforzar los
valores ticos y morales que deben caracterizar a toda empresa responsable e
innovadora.
Una de las principales finalidades de los manuales es facilitar los procesos de
actualizacin y mejora permanente de la compaa, mismos que implcitamente
permitirn alcanzar de una manera ordenada los objetivos estratgicos y
tcticos de la corporacin.
Es muy importante, que toda empresa o negocio, cuente con un manual de
polticas y procedimientos, por modesto que sea este, ejercer una gran
influencia en todos los miembros de la organizacin.

COBIT
El es precisamente un modelo para auditar la gestin y control de los sistemas
de informacin y tecnologa, orientado a todos los sectores de una
organizacin, es decir, administradores IT, usuarios y por supuesto, los
auditores involucrados en el proceso. El COBIT es un modelo de evaluacin y
monitoreo que enfatiza en el control de negocios y la seguridad IT y que
abarca controles especficos de IT desde una perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para Tecnologa de
Informacin y Tecnologas relacionadas (Control Objectives for Information
Systems and related Technology). El modelo es el resultado de una
investigacin con expertos de varios pases, desarrollado por ISACA
(Information Systems Audit and Control Association).
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha
cambiado la forma en que trabajan los profesionales de tecnologa. Vinculando
tecnologa informtica y prcticas de control, el modelo COBIT consolida y
armoniza estndares de fuentes globales prominentes en un recurso crtico
para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo

los computadores personales y las redes. Est basado en la filosofa de que los
recursos TI necesitan ser administrados por un conjunto de procesos
naturalmente agrupados para proveer la informacin pertinente y confiable que
requiere una organizacin para lograr sus objetivos.
Misin del COBIT
Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto
internacional de objetivos de control de tecnologas de la informacin,
generalmente aceptadas, para el uso diario por parte de gestores de negocio y
auditores.
BENEFICIOS COBIT
Mejor alineacin basado en una focalizacin sobre el negocio.
Visin comprensible de TI para su administracin.
Clara definicin de propiedad y responsabilidades.
Aceptabilidad general con terceros y entes reguladores.
Entendimiento compartido entre todos los interesados basados en un lenguaje
comn.
Cumplimiento global de los requerimientos de TI planteados en el Marco de
Control Interno de Negocio COSO.
Estructura
La estructura del modelo COBIT propone un marco de accin donde se evalan
los criterios de informacin, como por ejemplo la seguridad y calidad, se
auditan los recursos que comprenden la tecnologa de informacin, como por
ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente
se realiza una evaluacin sobre los procesos involucrados en la organizacin.
"La adecuada implementacin de un modelo COBIT en una organizacin, provee
una herramienta automatizada, para evaluar de manera gil y consistente el
cumplimiento de los objetivos de control y controles detallados, que aseguran

que los procesos y recursos de informacin y tecnologa contribuyen al logro de

los objetivos del negocio en un mercado cada vez ms exigente, complejo y
diversificado.
Dominios COBIT

El conjunto de lineamientos y estndares internacionales conocidos como

COBIT, define un marco de referencia que clasifica los procesos de las
unidades de tecnologa de informacin de las organizaciones en cuatro
"dominios" principales, a saber:
PLANIFICACION Y ORGANIZACION: Este dominio cubre la estrategia y las
tcticas y se refiere a la identificacin de la forma en que la tecnologa de
informacin puede contribuir de la mejor manera al logro de los objetivos del
negocio. Adems, la consecucin de la visin estratgica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas. Finalmente,
debern establecerse una organizacin y una infraestructura tecnolgica
apropiadas.
ADQUISION E IMPLANTACION: Para llevar a cabo la estrategia de TI, las
soluciones de TI deben ser identificadas, desarrolladas o adquiridas, as como
implementadas e integradas dentro del proceso del negocio. Adems, este
dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
SOPORTE Y SERVICIOS: En este dominio se hace referencia a la entrega de
los servicios requeridos, que abarca desde las operaciones tradicionales hasta

el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin

de proveer servicios, debern establecerse los procesos de soporte
necesarios. Este dominio incluye el procesamiento de los datos por sistemas de
aplicacin, frecuentemente clasificados como controles de aplicacin.
MONITOREO: Todos los procesos necesitan ser evaluados regularmente a
travs del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control.
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los
aspectos de informacin, como de la tecnologa que la respalda. Estos dominios
y objetivos de control facilitan que la generacin y procesamiento de la
informacin cumplan con las caractersticas de efectividad, eficiencia,
confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.
Usuarios
La Gerencia: Para apoyar sus decisiones de inversin en TI y control sobre el
rendimiento de las mismas, analizar el costo beneficio del control.
Los Usuarios Finales: Quienes obtienen una garanta sobre la seguridad y el
control de los productos que adquieren interna y externamente.
Los Auditores: Para soportar sus opiniones sobre los controles de los
proyectos de TI, su impacto en la organizacin y determinar el control mnimo
requerido.
Los Responsables de TI: Para identificar los controles que requieren en sus
reas.
Tambin puede ser utilizado dentro de las empresas por el responsable de un
proceso de negocio en su responsabilidad de controlar los aspectos de
informacin del proceso, y por todos aquellos con responsabilidades en el
campo de la TI en las empresas.
Caractersticas
Orientado al negocio.
Alineado con estndares y regulaciones "de facto".

Basado en una revisin crtica y analtica de las tareas y actividades en TI.

Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA).
PRINCIPIOS:
El enfoque del control en TI se lleva a cabo visualizando la informacin
necesaria para dar soporte a los procesos de negocio y considerando a la
informacin como el resultado de la aplicacin combinada de recursos
relacionados con las TI que deben ser administrados por procesos de TI.
Requerimientos de la informacin del negocio: Para alcanzar los requerimientos
de negocio, la informacin necesita satisfacer ciertos CRITERIOS:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad
de los reportes financieros y Cumplimiento le leyes y regulaciones.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad.

En COBIT se establecen los siguientes recursos en TI necesarios para

alcanzar los objetivos de negocio:

Niveles COBIT
Se divide en 3 niveles, los cuales son los siguientes:

Dominios: Agrupacin natural de procesos, normalmente corresponden a un

dominio o una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de
control.
Actividades: Acciones requeridas para lograr un resultado medible.
COMPONENTES COBIT
Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los
antecedentes y la estructura bsica de COBIT Adems, describe de manera
general los procesos, los recursos y los criterios de informacin, los cuales
conforman la "Columna Vertebral" de COBIT.
Marco de Referencia (Framework): Incluye la introduccin contenida en el
resumen ejecutivo y presenta las guas de navegacin para que los lectores se
orienten en la exploracin del material de COBIT haciendo una presentacin
detallada de los 34 procesos contenidos en los cuatro dominios.
Objetivos de Control: Integran en su contenido lo expuesto tanto en el
resumen ejecutivo como en el marco de referencia y presenta los objetivos de
control detallados para cada uno de los 34 procesos.
PLANEAR Y ORGANIZAR
PO1 Definir el plan estratgico de TI.
PO2 Definir la arquitectura de la informacin
PO3 Determinar la direccin tecnolgica.
PO4 Definir procesos, organizacin y relaciones de TI.
PO5 Administrar la inversin en TI.
PO6 Comunicar las aspiraciones y la direccin de la gerencia.
PO7 Administrar recursos humanos de TI.
PO8 Administrar calidad.

PO9 Evaluar y administrar riesgos de TI

PO10 Administrar proyectos.
PO11Administracin de Calidad
ADQUIRIR E IMPLANTAR
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnolgica
AI4 Facilitar la operacin y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeo de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
PRESTACIN Y SOPORTE
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.

DS6 Identificar y asignar costos.

DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuracin.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar las operaciones.
Quines han adoptado el COBIT
Advirtiendo la necesidad de contar con un adecuado marco de referencia para
el gobierno de los sistemas de informacin y las tecnologas relacionadas,
muchas organizaciones en el mbito nacional e internacional ya han adoptado el
COBIT como una de las mejores prcticas. Sin intencin de ser exhaustivo,
slo mencionar las que desde hace tiempo lo vienen haciendo: Gobierno de la
Provincia de Mendoza; Superintendencia de Administradoras de Fondos de
Jubilaciones y Pensiones; Superintendencia de Entidades Financieras y
Cambiarias; la Reserva Federal de los Estados Unidos de Amrica; DaimlerChrysler en Alemania y los EE.UU., entre otras.
Conclusiones
Si bien COBIT es un marco general, su flexibilidad y versatilidad nos permite
adaptarlo a cualquier tipo y tamao de empresa, realizando una implementacin
gradual y progresiva acorde a los recursos disponibles y acompasando la
estrategia empresarial.
Si bien an no es requerido formalmente en forma regulatoria, es un estndar
de facto en toda Latinoamrica y es una fuerte recomendacin en los mbitos
financieros.Es parte de la misin de ISACA, la divulgacin de COBIT y apoyo
en la implementacin como forma de promover la eficiencia y buena gestin de
los procesos de tecnologa que nos permita compararnos y mejorar da a da en

pos de la concrecin de los Objetivos de Negocio.En el futuro, continuaremos

viendo el crecimiento de COBIT en sus facetas de administracin y direccin
de los recursos de tecnologa. Aparecern nuevas herramientas de la familia de
productos COBIT y nuevos recursos con los cuales mejorar la administracin.
Se continuar refinando el producto en s, mejorando la calidad de sus
referencias cruzadas, su relacionamiento con otros modelos, estndares y
normas. Se procurar institucionalizar y mejorar la calidad de las versiones en
otras lenguas y, sin duda, continuar el esfuerzo fundamental del ITGI en la
difusin del uso de esta importante base de direccin.

Normas ISO
ISO 9000 es un conjunto de normas sobre calidad y gestin de calidad,
establecidas por la Organizacin Internacional de Normalizacin (ISO). Se
pueden aplicar en cualquier tipo de organizacin o actividad orientada a la
produccin de bienes o servicios. Las normas recogen tanto el contenido mnimo
como las guas y herramientas especficas de implantacin como los mtodos de
auditora.
ISO 9000 especifica la manera en que una organizacin opera sus estndares
de calidad, tiempos de entrega y niveles de servicio. Existen ms de 20
elementos en los estndares de esta ISO que se relacionan con la manera en
que los sistemas operan.

Ventajas
Su implementacin aunque supone un duro trabajo, ofrece numerosas ventajas
para las empresas, como pueden ser:

Estandarizar las actividades del personal que trabaja dentro de la organizacin

por medio de la documentacin.
Incrementar la satisfaccin del cliente al asegurar la calidad de productos y
servicios de manera consistente, dada la estandarizacin de los procedimientos
y actividades.
Medir y monitorear el desempeo de los procesos.
Incrementar la eficacia y/o eficiencia de la organizacin en el logro de sus
objetivos.
Mejorar continuamente en los procesos, productos, eficacia, entre otros.
Reducir las incidencias negativas de produccin o prestacin de servicios.
Mantienen la calidad.

Certificacin
La nica norma de la familia ISO 9000 que se puede certificar es la ISO
9001:2015.
Para verificar que se cumplen los requisitos de la norma, existen unas
entidades de certificacin que auditan la implantacin y aplicacin, emitiendo
un certificado de conformidad. Estas entidades estn vigiladas por organismos
nacionales que regulan su actividad.
Para la implantacin o preparacin previa, es muy conveniente que apoye a la
organizacin una empresa de consultora, que tenga buenas referencias, y el
firme compromiso de la Direccin de que quiere implantar el Sistema, ya que es
necesario dedicar tiempo del personal de la empresa para implantar el Sistema
de gestin de la calidad.
A la hora de elegir una empresa de asesoramiento, es necesario definir cual es
la necesidad del proyecto. Es en funcin de esta necesidad que la empresa
debe elegir entre las variadas ofertas del mercado. Es importante que la
empresa que lo asesore aplique conceptos de calidad integral.

Proceso de Certificacin
Con el fin de ser certificado conforme a la norma ISO 9001 (nica norma
certificable de la serie), las organizaciones deben elegir el alcance que vaya a
certificarse, los procesos o reas que desea involucrar en el proyecto,
seleccionar un registro, someterse a la auditora y, despus de terminar con
xito, someterse a una inspeccin anual para mantener la certificacin.
Los requerimientos de la norma son genricos, a raz de que los mismos deben
ser aplicables a cualquier empresa, independientemente de factores tales
como: tamao, actividad, clientes, planificacin, tipo y estilo de liderazgo, etc.
Por tanto, en los requerimientos se establece el "qu", pero no el "cmo". Un
proyecto de implementacin involucra que la empresa desarrolle criterios
especficos y que los aplique, a travs del SGC, a las actividades propias de la
empresa. Al desarrollar estos criterios coherentes con su actividad, la
empresa construye su Sistema de Gestin de la Calidad.
En el caso de que el auditor encuentre reas de incumplimiento, la organizacin
tiene un plazo para adoptar medidas correctivas, sin perder la vigencia de la
certificacin o la continuidad en el proceso de certificacin (dependiendo de
que ya hubiera o no obtenido la certificacin).
Un proyecto de implementacin, involucrar, como mnimo:
Entender y conocer los requerimientos normativos y cmo los mismos alcanzan
a la actividad de la empresa.
Analizar la situacin de la organizacin, dnde est y a dnde debe llegar.
Construir desde cada accin puntual un Sistema de Gestin de la Calidad.
Documentar los procesos que sean requeridos por la norma, as como aquellas
que la actividad propia de la empresa requiera.

La norma solicita que se documenten procedimientos vinculados a: gestin y

control escrito, registros de la calidad, auditoras internas, producto no
conforme, acciones correctivas y acciones preventivas.
Detectar las necesidades de capacitacin propias de la empresa.
Durante la ejecucin del proyecto ser necesario capacitar al personal en lo
referido a la poltica de calidad, aspectos relativos a la gestin de la calidad
que los asista a comprender el aporte o incidencia de su actividad al producto o
servicio brindado por la empresa (a fin de generar compromiso y conciencia),
proporcionando herramientas de auditora interna para aquellas personas que
se desempeen en esa posicin.
Realizar Auditoras Internas.
Utilizar el Sistema de Calidad (SGC), registrar su uso y mejorarlo durante
varios meses.
Solicitar la Auditora de Certificacin.
Las normas ISO se clasifican en ISO 9000 (vocabulario de la calidad), 9001
(modelo para sistema de gestin), 9004 (directivas para mejorar el
desempeo).

ITIL
Introduccin
Si usted se dedica a algo relacionado con TI es altamente probable que haya
escuchado de ITIL e incluso puede que sea de los afortunados (afortunados?)
que ya estn involucrados en un proyecto de implantacin de ITIL.
ITIL est de moda en el mundo, todos hablan, bien o mal segn les haya ido, de
ITIL. En las revistas de auditora ITIL, en las revistas de seguridad ITIL, por
todos lados ITIL pero, qu es ITIL y para qu sirve? En esta serie de
artculos tratar de dar respuesta a las preguntas anteriores, de tal manera
que los lectores hagan un mejor uso de ITIL en sus organizaciones, sacndole
el mejor provecho y sin pedirle que haga cosas que no sabe o no puede hacer.

Una aclaracin importante: no pretendo hacer una revisin tcnica con detalle
de ITIL en cualquiera de sus versiones, as que si est buscando capacitacin o
profundizacin de sus conocimientos en ese sentido, este no es el texto
adecuado (en una serie posterior de artculos prometo revisar la versin 2, la
versin 3 y las diferencias entre ambas). La idea aqu es entender la filosofa
de ITIL y dar algunas ideas de cmo, cundo y por qu aplicarlo en la vida real.
As pues, emplear la versin 2 para desarrollar mis ideas, aunque todos los
conceptos aplican de igual manera si usted est pensando en la versin 3.
Dos temas preliminares
Antes de entrar en materia, es preciso hablar de dos temas relevantes y muy
relacionados con ITIL:
1. Administracin de servicios de TI.
2. Administracin por procesos.
Por qu es necesario? Fcil, porque algunas de las premisas bsicas de ITIL
descansan en esos temas y, por lo tanto, entender ITIL implica,
inevitablemente, entenderlos.
Qu es eso de administracin de servicios de TI? Veamos: si reconocemos la
creciente dependencia en las reas de TI para el cumplimiento de los objetivos
estratgicos, entonces esta dependencia implica una mayor calidad de los
servicios de TI. Por ello, la calidad debe alinearse a los objetivos de negocio y
a las necesidades de los usuarios, lo que nos lleva a un cambio de paradigma: las
reas de TI deben cambiar su visin de administradores de dispositivos a
administradores de servicios de TI.
Tradicionalmente al preguntarle a alguien de TI a qu te dedicas?, estamos
acostumbrados a escuchar respuestas como soy administrador de firewalls,
soy administrador de servidores, etc., pero, cul es el problema con ello? Si
lo pensamos bien, los usuarios no piensan, como dicen los tcnicos, en cajas.
Ellos pueden incluso no saber, ni les importa, qu es o para qu sirve un
firewall, un switch, un router, etctera. Lo que los usuarios quieren es hacer
uso de ciertos servicios, los famosos servicios de TI, como el correo
electrnico, el acceso a Internet, el servicio de impresin, etctera.

Es precisamente esta dicotoma entre un rea de TI y sus usuarios la que

puede causar en muchas ocasiones que sus opiniones sean diametralmente
opuestas en cuanto a lo que la primera ofrece: mientras que los tcnicos se
enfocan en administrar cajas, sin darse cuenta que las relaciones entre ellas
son relevantes, los usuarios lo que ven son servicios, los cuales se proporcionan
a travs de todo un conjunto de cajas diferentes, por lo que una falla o
deficiencia en una de ellas se propaga por todo el sistema. Es as como, por
ejemplo, llegamos a ver reportes de TI que presumen de 99.9999% de
disponibilidad en el firewall de acceso a Internet, mientras que los usuarios se
quejan de que el servicio de acceso a Internet es muy malo por lento,
intermitente, o por otras razones.
Cul es el meollo del asunto? Precisamente est en que un servicio de TI es
entregado a los usuarios mediante un conjunto de cajas (tecnologa), personas
que manejan las cajas (gente) e instructivos y relaciones entre ellos (procesos).
Es por ello que el rea de TI debe entender que lo que administra y da a sus
usuarios son servicios de TI, no dispositivos. El reto es lograr la integracin
eficiente de gente, procesos y tecnologa para una mejor administracin de los
servicios de TI, optimizando el uso de los recursos y mejorando
constantemente los niveles de servicio.

Figura 1.
Administracin de servicios de TI: integrando gente, procesos y tecnologa

Y qu es la administracin por procesos? Para facilitar la explicacin, un poco

de historia: tradicionalmente, las organizaciones se han estructurado con base
en departamentos funcionales que dificultan la orientacin hacia el cliente (por
ejemplo, Direccin de Finanzas, Direccin de Produccin, Direccin de Ventas y
Direccin de Sistemas), con organigramas muy jerrquicos divididos en
mltiples niveles. Normalmente este tipo de organizaciones adolece de dos
grandes problemas:
1. La comunicacin oficial fluye verticalmente y puede ser muy lenta.
Incluso a veces propicia el conocido juego del telfono descompuesto.
Por ejemplo, dos operarios de reas distintas que requieren de un
acuerdo oficial deben subir por el organigrama hasta la rama comn,
pasando por todos los niveles del mismo (operador A > supervisor de A>
coordinador de A > gerente de A -> director de A -> director de B ->
gerente de B -> coordinador de B -> supervisor de B -> operador B).
2. Se crean cotos de poder e islas ideolgicas que nada tienen que ver
con la satisfaccin de las necesidades del cliente final. Algunos
ejemplos: El director de cierta rea defiende a capa y espada sus
privilegios y, en muchas ocasiones, ms que colaborador de otros
directores es un enemigo de ellos, y ellos de l. La gente de Finanzas
slo ve a la empresa desde su punto de vista (estados financieros,
costos, gastos, etc.) y no considera otras variables y otros puntos de
vista como satisfaccin del cliente, clima laboral, etctera.

Sin embargo, en la vida diaria de la organizacin lo que se tiene son procesos

que fluyen horizontalmente, atravesando los organigramas jerrquicos.

Es por ello que surge la administracin por procesos, que percibe la

organizacin como un sistema interrelacionado de procesos que contribuyen
conjuntamente a incrementar la satisfaccin del cliente. La administracin por
procesos coexiste con la administracin funcional, asignando propietarios a
los procesos clave, haciendo posible una gestin interfuncional generadora de
valor para el cliente y que, por tanto, procura su satisfaccin; determina qu
procesos necesitan ser mejorados o rediseados, establece prioridades y
provee de un contexto para iniciar y mantener planes de mejora que permitan
alcanzar objetivos; y hace posible la comprensin del modo en que estn
configurados los procesos de negocio, de sus fortalezas y de sus debilidades.
As mismo da la forma en que la organizacin administra y mejora
continuamente los procesos de negocio para lograr sus objetivos y crear valor
para sus accionistas, clientes y colaboradores. Al final, lo que la administracin
de procesos intenta cambiar es: ir de una organizacin orientada a productos
(en la que existen procesos no coordinados ni administrados), por una
organizacin que administra sus procesos en ciclos de mejora continua
mediante el famoso ciclo de plan-do-check-act o PDCA, por sus siglas en
ingls.
Historia de ITIL
Pues bien, parece que ya es hora de entrar en materia. Empecemos como los
clsicos con una definicin:
ITIL (IT Infrastructure Library, biblioteca de infraestructura de TI) =
Marco de referencia que describe un conjunto de mejores prcticas y

recomendaciones para la administracin de servicios de TI, con un enfoque de

administracin de procesos.
Suena bien no? Pero para qu sirve y cmo se usa, eso es harina de otro costal
y es lo que tratar de explicar en esta serie de artculos, pero antes veamos un
poco de sus antecedentes: en 1987 la CCTA, un organismo del gobierno
britnico (ahora llamado la OGC) inici un proyecto llamado GITIMM
(Government IT Infrastructure Management Method ), en el cual involucraron
a varias firmas de consultora para investigar y documentar las mejores
prcticas para planear y operar la infraestructura de TI. Poco despus,
conforme el proyecto evolucionaba de administracin de infraestructura a
administracin de servicios de TI, se le cambi el nombre a ITIL.
Como marco de referencia, ITIL se cre como un modelo para la administracin
de servicios de TI e incluye informacin sobre las metas, las actividades
generales, las entradas y las salidas de los procesos que se pueden incorporar a
las reas de TI.
Desde sus inicios ITIL fue puesta a disposicin del pblico en forma de un
conjunto de libros, de ah su nombre, para que las organizaciones de todo el
mundo pudieran adoptarlo. La primera versin consista de 10 libros principales
que cubran dos grandes temas: Soporte al servicio y Entrega del servicio,
amn de una serie de libros complementarios que cubran temas tan dismbolos
como la administracin de la continuidad o cuestiones relacionadas con
cableado. Posteriormente, en 2001 se hizo una reestructura importante que
reuni los 19 libros principales en slo 2, mientras que otros temas siguieron en
libros separados, dando as un total de 7 libros para la segunda versin de
ITIL:

Soporte al servicio (1).

Entrega del servicio (2).

Administracin de la seguridad (3).

Administracin de la infraestructura ICT (4).

Administracin de las aplicaciones (5).

La perspectiva del negocio (6).

Planeacin para implantar la administracin de servicios (7).

Precisamente con la versin 2, a mediados de los aos 90, ITIL fue reconocido
como un estndar de facto para la administracin de servicios de TI, el cual,
como siempre, tuvo que seguir evolucionando para considerar las nuevas
escuelas de pensamiento y alinearse mejor a otros estndares, metodologas y mejores
prcticas, lo que llev en 2007 a la liberacin de la versin 3 de ITIL.
ITIL V3 slo consta de cinco libros, que estn estructurados en torno al ciclo de vida del
servicio:

Estrategia de servicios.

Diseo de servicios

Transicin de servicios.

Operacin de servicios.

Mejora continua de servicios.

Esta nueva estructura organiza los procesos de ITIL V2 con contenido y procesos
adicionales encaminados a una mejor administracin del periodo de vida de los servicios de
TI. Partiendo de esta observacin, podemos afirmar que la V3 refuerza el foco en los
servicios de TI, sin dejar de lado los procesos, pero haciendo patente que aunque los
procesos son importantes son secundarios y slo existen para planificar, entregar y dar
soporte a los servicios.