top of page
Esta página web se diseñó con la plataforma
.com
. Crea tu página web hoy.Comienza ya

“Consecuencias de la implementación ISO 9001:2008 en organizaciones del ámbito local”

Entrevista realizada por Leandro Ezequiel Mariño (Alumno de la UADE) a Fabián Descalzo, como Trabajo de Investigación Final

Con el fin de interpretar alguna de las respuesta, debemos tener en consideración que las Empresas pueden certificar uno o varios de sus procesos de Negocio. De hecho puede certificarse un proceso de Atención Telefónica, sin la necesidad que el resto de los procesos que le brindan servicio estén necesariamente certificados, aunque si deben cumplir determinadas condiciones de disponibilidad y calidad para no degradar el servicio certificado.

1. Luego de la implementación, ¿son más eficientes los procesos? De ejemplos por favor

Si, son más eficientes, aunque como en toda implementación de estándares metodológicos debemos saber que esa eficiencia va a alcanzar niveles superiores de acuerdo a la madurez que va adquiriendo la Organización.

Muestra de ello puede verse más claramente en los procesos de servicios que se certifican, como por ejemplo de Atención al Cliente (por ejemplo) en donde si bien se trata de un servicio netamente funcional el mismo se encuentra soportado por servicios internos tecnológicos que deben ofrecerle a las Áreas de Servicio disponibilidad de datos y aplicaciones.

Si bien el proceso certificado es el funcional, el proceso tecnológico debe responder con un porcentaje de cumplimiento para que el proceso funcional pueda brindar su servicio de acuerdo a los niveles de calidad acordados.

Esto obliga a que no solo el área funcional certificada cumpla con lo requerido, sino que se deba adquirir un compromiso participativo y colaborativo de otras áreas de servicio interno para que la Organización cumpla sus objetivos. Esto redunda en un nivel de madurez Corporativo, y aporta como valor agregado que los procesos y subprocesos deban ser más eficientes.

2. ¿Observó alguna variación en la cantidad de errores luego de la implementación?

Si, los errores fueron disminuyendo progresivamente y en la medida en la que se cumplía con el cronograma de capacitación y controles sobre el proceso principal y aquellos que le brindaban servicio, las condiciones de respuesta ante incidentes o problemas se gestionaba de forma más ordenada.

3. ¿Cómo se promueve en la organización la participación del personal en la mejora continua?

Principalmente estableciendo una metodología de proyectos y gestión que involucre a los diferentes actores de forma temprana en Workshops relacionados a la aplicación de nuevas metodologías o tecnología para mejora del proceso, ya sea desde el ámbito operativo como de seguridad.

La manera más efectiva que tenemos de conseguir lo planteado es que la Organización conozca cada paso y cada acción realizada, y generar un espacio participativo que nos brinde el tener la posibilidad de interpretar a cada área de interés (Dirección, Gerencias, Usuarios, Áreas Tecnológicas)

4. ¿Cuál es la queja más frecuente de los clientes internos?

Las mayores quejas generalmente vienen de aquellas empresas que no acostumbran a trabajar bajo una metodología, ya que internamente suelen ver la implementación de estándares como una acción burocrática.

5. ¿Cuál es el criterio utilizado para definir si un plan de capacitación fue efectivo?

Deben de estipularse inicialmente cuales van a ser las métricas para analizar la efectividad del plan de capacitación, y esto normalmente suele hacerse sobre determinados hitos del proceso.

Podemos establecer un período de tiempo para la medición, y sobre este período visualizar la forma en la que van disminuyendo las consultas o errores en las ejecuciones por parte de los usuarios. También pueden analizarse el tipo de consultas realizadas, de que sectores provienen los errores o consultas, resultados sobre métricas propias del proceso, etc.

6. ¿La respuesta del recurso humano ante un plan de capacitación es acorde a lo previsto? Cuál es una reacción negativa típica?

No siempre es acorde a lo que esperamos, y mucho de esto puede pasar si no entendemos que este tipo de tareas también necesita una gran coordinación y trabajo en equipo.

Como toda actividad de relación interpersonal, debemos tener en cuenta que cada persona de la Organización debe tener una motivación especial que lo acerque a los diferentes proyectos sobre los cuales los capacitaremos. Esto es una tarea conjunta entre las áreas funcionales, técnicas y Recursos Humanos para generar una comunicación y material acorde a los niveles interpretativos de cada sector de interés. Te dejo el link a un debate en Linkedin al respecto, que se inició en mi grupo: http://lnkd.in/yjZWWS

Si no conseguimos transmitir la idea, no solo obtenemos falta de colaboración durante las tareas de implementación, sino que se notará el desinterés en la poca asistencia a cursos y en los resultados negativos al momento de evaluar la efectividad de la capacitación.

7. ¿Estaban alineados los valores de la empresa al proceso de implementación ISO o hubo que hacer algún ajuste del tipo cultural? El ajuste fue gradual? Generó algún conflicto interno y/o externo?

Todo lo que comentas en tu pregunta sucede. Pensá que la implementación de un estándar requiere un nuevo orden en la Organización, adecuar distintos procesos (el principal y sus subprocesos o procesos de servicio que lo soportan), y todo esto va de la mano con instaurar una nueva cultura en la gente que es la que hace a la cultura de la Organización.

Por ello, es necesario realizar un estudio inicial referente a dos puntos de vista importantes de la Cultura de la Organización:

La cultura operativa/funcional: Puede verse a través de documentos (organigrama, procedimientos funcionales, certificaciones adquiridas, registros de cumplimiento de las mismas, métodos de registración de operaciones y funciones, etc.)

La cultura de los recursos humanos: A mi entender es la más importante para saber cómo iniciar un proyecto de implementación de estándares, es la de analizar como tratan y cumplen las personas con cada uno de los documentos arriba mencionados, nivel de compromiso, enfoque de interés (según los niveles que mencionamos)

Suele decirse que “crecer duele”, y avanzar hacia un nivel de madurez aceptable requiere de la Organización una capacidad adicional en quienes dirigen la implementación para llevar adelante y resolver los diferentes conflictos que puedan presentarse.

8. ¿Existió compromiso de la alta gerencia al momento de implementar ISO? Puede mencionar ejemplos de compromiso?

El implementar un estándar certificable de por sí es una decisión del Negocio, pero lo que debe de entenderse es que Compromiso puede tener dos visiones diferentes:

  1. Compromiso y delegación, cuando se toma la decisión pero todas las responsabilidades son derivadas en áreas de Organización y Métodos, Sistemas o Seguridad de la Información poniendo en cabeza de estas áreas responsabilidades de peso y comunicación que le son propias de la Dirección.

  2. Compromiso y acompañamiento, obviamente cuando la Dirección asume su compromiso por completo a través de sus comunicados y apoya las acciones de las áreas implementadoras.

Normalmente los hechos se inclinan por la primera visión, y se podrá ver claramente cuando aquellas tareas que hayamos planificado para cada una de las actividades empiezan a dilatarse en el tiempo debido a falta de colaboración interna, demoras en la aprobación de presupuestos o en la toma de decisiones, etc.

9. ¿Existió un objetivo claro de calidad para el staff antes de la implementación? Qué parámetro de calidad utilizaban antes de implementar ISO?

En cada proyecto se trabaja sobre la premisa de conseguir calidad en función de la eficiencia y la eficacia de los procesos para conseguir su objetivo, y como primer medida para ello se realiza un assessment para determinar cuál es el estado actual y posteriormente determinar los puntos críticos a desarrollar o adecuar.

Una vez determinado el baseline presentamos un informe donde, a partir de lo conocido, se establecen niveles asociados con las etapas de implementación y posteriormente con las etapas de madurez, marcando para cada una de ellas objetivos medibles. Estas definiciones son evaluadas y cerradas con el Staff, y así en conjunto acotamos el alcance del Objetivo de Calidad para la Organización.

Anterior a esto, en la mayoría de las Empresas se mantenían diferentes metodologías de medición de calidad, pudiendo haber una diferente por sector. Implementar un Sistema de Gestión de Calidad brinda el valor de centralizar en un solo estándar corporativo los procesos de Negocio de la Organización, alineando así a toda la Empresa con una metodología en común.

10. ¿Aporto la implementación de ISO a ordenar los procesos? Antiguamente cómo y quién los definía?

Históricamente los procesos estaban delineados y controlados por un área de Organización y Métodos, quien además de diagramarlo documentaba todo lo relacionado al mismo. Las Empresas más orientadas a esta metodología eran aquellas dedicadas a la producción fabril, ya que sus procesos industriales requieren especial atención, casualmente, para obtener productos de calidad.

Considero que la existencia de ISO 9001 ha generado un estándar común para la implementación de un Sistema de Gestión de Calidad que, más allá de las particularidades del tipo de industria que lo aplique, en gran medida aporta a la comunidad mayores conocimientos que hace que los niveles de madurez en cada proceso puedan acelerarse.

11. ¿Los empleados entienden la razón por la cual modificaron su forma de trabajo? Cuánto tiempo les tomó entender el cambio? Hubo resistencias? Se dio algún conflicto interdepartamental?

No necesariamente todos lo entienden. El entendimiento es algo progresivo, que fluye desde la aceptación como propio de cada etapa del proyecto. Si no se crea un ambiente colaborativo es muy difícil de hacer que se entienda o se respete la nueva forma de trabajo.

Bajo condiciones estándar de concientización y trabajo en equipo interdisciplinario, el plazo de implementación y posterior certificación puede ser de aproximadamente un 1 año. Durante este período se establecen actividades de concientización y capacitación que acompañan cada etapa de la implementación.

En algunos casos que las personas entiendan este cambio excede este período de tiempo, teniendo en cuenta que depende de la Organización en cuanto a tipo de industria, cantidad de empleados, etc., y ese plazo puede estar entre 3 a 5 años para alcanzar un nivel de madurez aceptable y una gimnasia metodológica que no requiera mayores esfuerzos de entendimiento.

El organizarse a través de estándares siempre trae acarreado algún tipo de conflicto interdepartamental, ya que cuando tenemos por objetivo adecuar procesos y normalizar esto implica redefinir roles y responsabilidades, crear nuevas áreas, fusionar otras, cambio de personal, modificar permisos y accesos, etc.

Por ello es muy importante la comunicación y la motivación, ya que se requiere trabajar con el miedo y los sitios de confort utilizados por los empleados hasta este momento; cambiar su realidad y modificar sus costumbres no es tarea fácil.

12. ¿En qué forma la organización cumple y excede las expectativas de los clientes (antes y después de la implementación)? Cómo mide la satisfacción del cliente? Cuál era el nivel de satisfacción de los clientes antes de implementar ISO? Y luego de la implementación?

Hay condiciones estándar que identifican cual es el tipo de servicio deseado por parte de los Clientes, y que es brindado a través del proceso que se ha elegido certificar. La Organización cumple cuando asegura en forma inicial la expectativa básica que espera recibir un Cliente y la excede en función de la aplicabilidad de la mejora continua al proceso certificado. Esto se refiere a la implementación de mejoras operativas y elevar el nivel de cumplimiento general respecto del proceso en su fase inicial.

La satisfacción del Cliente puede medirse a través de encuestas de distintos tipos, y la Organización puede optar por métodos adecuados para el monitoreo del proceso, ya sea por medios tecnológicos o manuales cuando corresponda. Estos métodos demuestran la capacidad de los procesos para lograr los resultados proyectados.

En la mayoría de las empresas en las cuales me ha tocado realizar un assessment o implementar un SGC los niveles de calidad en la prestación de servicios era aceptable, pero al unificar un criterio de tratamiento y respuesta enfocada a la Calidad se han superado las expectativas iniciales de los Clientes, generando una mejor imagen para la Empresa y siendo una herramienta de valor para crecer comercialmente.

13. ¿Qué fue lo que cambió luego de la implementación?

Principalmente el flujo interno de operación en el proceso certificado y una sustancial mejora en los procesos que le brindan servicio, ya que como dijimos se ven obligados a alinearse a la metodología para poder asegurar disponibilidad y continuidad de servicio. Además de mejorar notablemente la imagen de la Empresa frente a la comunidad.

14. ¿Cómo considera que afectó la ISO a la cartera de clientes? ¿Por qué cree que ocurrió?

Afecto en forma positiva creando fidelidad en quienes ya pertenecían a la cartera de Clientes y a su vez nuevos Clientes por haber mejorado su imagen en el mercado. Esto ocurre debido a que la implementación de estándares requiere un movimiento Corporativo por parte de las Empresas, lo que se reproduce en mayor fuerza y coordinación en cualquier actividad que se emprenda.

Buenos Aires, 07 de Agosto de 2014


Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB

http://fabiandescalzo.wix.com/seguridadinformacion

https://www.linkedin.com/in/fabiandescalzo

http://www.slideshare.net/fabiandescalzo

https://twitter.com/fabiandescalzo

Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker
bottom of page