Recertificación ISO 9001 en un área de proyectos de tecnología de información

1. Introducción

Los estándares de sistemas de gestión especifican prácticas que ayudan a las organizaciones a mejorar su desempeño y fomentar una cultura organizacional de autoevaluación y mejora continua. La Organización Internacional de Estandarización (ISO por sus siglas en inglés) ha generado más de 25,000 estándares internacionales, siendo ISO 9001 el más ampliamente adoptado por organizaciones de todo tipo y tamaño en el mundo (ISO, 2023). Ver Tabla 1 en Anexo A. Las áreas de tecnología de la información y comunicación (TIC) de las instituciones de educación superior de México están implementando sistemas de gestión basados principalmente en estándares ISO 9001, ISO 27001 e ISO 20000, y el 42% de las instituciones participantes en el estudio nacional acerca de las TIC, indican tener certificada la función de TIC en ISO 9001:2015 (Castañeda, 2022).

En el 2011, un área de la UNAM concretó la certificación de su marco de trabajo para administrar proyectos y desarrollar software con calidad a través de la aplicación de buenas prácticas técnicas y de gestión bajo el estándar ISO 9001 (UNAM, 2011). Para la implementación articulada de prácticas y la documentación inicial de procesos se tomó como primer referente el modelo MoProSoft, esto debido a su sencillez e idoneidad para áreas pequeñas de desarrollo de software, y por su alineación con CMM e ISO 9001 (Oktaba etal., 2005). A partir de ello, la adopción del estándar ISO 9001 ha brindado flexibilidad para extender la cobertura del marco de trabajo a otro tipo de actividades, y al tener mayor madurez a nivel mundial, se tiene la posibilidad de elegir entre un amplio conjunto de organismos certificadores en México con costos accesibles; además, su esquema de renovación trianual y el seguimiento periódico a través de auditorías de seguimiento anuales, contribuye a garantizar que los procesos se mantienen operando y en mejora continua (EMA, 2023).

En el 2023 se realizó la más reciente auditoría de recertificación que ha permitido dar continuidad a esta certificación por 13 años ininterrumpidos, además de ganar experiencia para facilitar su adopción, optimizar la documentación y adecuarse a los cambios del entorno. El propósito de este reporte técnico es compartir cuáles fueron las principales etapas del proceso, e identificar las actividades clave que se realizaron para obtener la recertificación en la norma de un sistema de gestión de calidad enfocado actualmente a la gestión y desarrollo de proyectos de tecnología de la información.

2. Desarrollo técnico

La adopción del estándar ISO 9001:2015 comprende la implementación de un sistema de gestión de calidad (SGC), que es definido como un conjunto de elementos relacionados para dirigir y controlar las actividades de una organización con la finalidad de alcanzar sus objetivos de calidad (Organización Internacional de Normalización, 2015). Este sistema de gestión lo entendemos en la práctica como un marco de trabajo integrado por procesos, políticas y responsabilidades definidas, soportado por recursos (humanos, de infraestructura y de información) que en conjunto orientan el actuar de la organización para cumplir sus objetivos, sistematizar sus prácticas clave y satisfacer los requerimientos de sus clientes, usuarios, directivos y demás involucrados con los productos o servicios que ofrece. Para realizar la renovación de certificación ante un organismo externo, es necesario que el sistema de gestión de calidad demuestre el cumplimiento de los requisitos señalados en los numerales 4 al 10 de la norma (Anexo A, Tabla 2) y de los requisitos internos propios de la organización (ISO, 2015). A diferencia de una auditoría inicial en la que se evalúa el cumplimiento mínimo de requisitos de una organización que está iniciando con la implementación de su SGC, o de una auditoría de seguimiento para constatar que el sistema se encuentra operando, en una auditoría de renovación trianual, la organización debe demostrar la operación madura de su sistema de gestión para que el organismo certificador evalúe el cumplimiento de los requisitos con más profundidad (AENOR, 2023).

2.1 Metodología

A continuación se describen las fases y buenas prácticas que se llevaron a cabo para renovar la certificación un sistema de gestión de calidad enfocado a la gestión y desarrollo de proyectos de TIC. Si bien no se explica el cumplimiento detallado de todos los requisitos del estándar, se presentan las actividades que se consideran más significativas (Figura 1) y que se realizan a la par de la operación sustantiva del área, en este caso, referente a la gestión y desarrollo de proyectos de tecnología de la información.

2.1.1 Planeación del ciclo anual de mejora

La adopción de un sistema de gestión es una tarea permanente, pero es recomendable marcar ciclos anuales. Tanto su implementación como su evolución puede ser tratada como un proyecto con tiempos y entregables específicos (Ingason, 2015). En este caso, este ciclo de recertificación fue previsto como un proyecto más dentro del plan de trabajo anual del área y en los programas académicos de sus colaboradores. Se diseñó un calendario específico, tomando en consideración los siguientes aspectos: a) los hitos de proyectos comprometidos y las cargas de trabajo del personal involucrado; b) la fecha sugerida por el organismo certificador para la auditoría externa de renovación; y c) el entorno de la institución y sus plazos administrativos.

Figura 1

Actividades realizadas para la recertificación de un sistema de gestión de calidad ISO 9001 enfocado a un área de desarrollo de proyectos de TIC

Dentro de la declaración de principios de gestión de calidad señalados en las normas ISO se encuentra el liderazgo, que entre otros elementos, se refiere a crear un ambiente interno en el cual las personas estén involucradas y comprometidas en unidad de propósito, a proveer los recursos necesarios, asegurar que las responsabilidades y autoridades sean asignadas, comunicadas y a fomentar la discusión para alinear las metas en las distintas funciones y niveles (Organización Internacional de Normalización, 2018). Por ello, se acordó un esquema de roles y responsabilidades, ya que los sistemas de gestión de calidad operan con el mismo personal, de acuerdo con sus funciones y áreas de especialidad que desempeñan cotidianamente. En la Figura 2 se muestra el esquema implementado en este caso, donde una de las figuras a notar es el denominado “Grupo Directivo” que equivale a lo que la ISO denomina como “alta dirección” pero no visto como una sola persona, sino como un equipo de líderes de todas las áreas quienes participan activamente en el SGC.

Figura 2

Esquema de roles y responsabilidades del SGC de proyectos TIC

2.1.2 Análisis de la organización

Las organizaciones son sistemas complejos, abiertos y dinámicos. En su interior interactúan diversos componentes, y además se retroalimentan con el exterior para permanecer o readaptarse en su entorno (García, 2022). Conocer las capacidades reales de la organización, comprender el papel que juega en su entorno y quiénes son afectados positiva o negativamente con sus resultados, son puntos medulares para tener una orientación a la calidad (ISO, 2018). En ese sentido, como cada año, se realizó un ejercicio reflexivo sobre el área, en el que se contempló: 1) El análisis de las fortalezas, debilidades y retos, considerando el contexto institucional y nacional, mediante una adaptación del denominado análisis FODA. 2) La identificación de las partes interesadas, sus expectativas respecto al desempeño del área y cómo se están cumpliendo o se pretenden cumplir1.

La metodología de estas prácticas es muy simple, su valor radica en la reflexión objetiva y honesta que se realiza de manera conjunta con representantes clave para contar con un punto de partida realista que permita el establecimiento de líneas de acción viables en el área.

2.1.3 Revisión del enfoque y alcance del SGC

Tres elementos clave que definen el enfoque y cobertura de un sistema de gestión de calidad son: 1) La política de calidad, al ser la directriz mediante la cual la organización declara explícitamente su compromiso con la calidad y la mejora continua en el marco de los productos o servicios que ofrece. 2) Los objetivos de calidad que expresan metas específicas cuantificables en relación con la calidad. 3) El alcance del sistema de gestión, que refiere a las áreas, ubicaciones, productos o servicios, y procesos o actividades, que están contempladas para cumplir con la política y objetivos de calidad de la organización (Abuhav, 2017). Periódicamente se debe asegurar que la política, los objetivos y el alcance sean relevantes y vigentes para la organización, en función de su contexto y lo que esperan sus partes interesadas (ISO,2015). La renovación de una certificación es un momento idóneo para ajustar la orientación del SGC, ya que marca el inicio de un nuevo ciclo trianual, y el organismo auditor emite un nuevo certificado.

2.1.4 Revisión de la documentación eje del SGC

La documentación de un sistema de gestión es un elemento importante porque permite pasar de una cultura oral a una cultura escrita (Gutiérrez Roa Correa Espianal, 2016). A diferencia de las versiones anteriores, la versión actual de la ISO 9001 es más flexible en sus requisitos de gestión documental. La extensión y profundidad de la información documentada la determina cada organización en función de su tamaño, complejidad de procesos y la competencia de su personal (ISO, 2015). El sistema documental ha ido madurando adaptándose a la dinámica del área y actualmente la principal documentación del SGC tiene la estructura esquematizada en la Figura 3, y comprende: 1) El manual de calidad en el que se narra la operación del SGC en función de los requisitos de la ISO 9001. 2) Los procedimientos para la gestión y desarrollo de proyectos que describen las actividades, roles y productos de la gestión de proyectos, y que si bien toman elementos de algunos referentes reconocidos como es el PMBOK o la ISO 25001, están ajustados a la realidad del área, comprendiendo las etapas de inicio, planeación detallada, realización, seguimiento y cierre. Estos procedimientos se complementan con políticas para la creación, actualización, organización, almacenamiento y respaldo de la información. 3) Como resultado de la operación del SGC, en la base de la pirámide se encuentran los registros, es decir las evidencias de las actividades y proyectos realizados.

Figura 3

Arquitectura documental del sistema de gestión de calidad para la gestión de proyectos de TI

2.1.5 Auditoría interna anual

Las auditorías internas son una herramienta para evaluar y mejorar el desempeño de la organización y deben realizarse en intervalos planificados (ISO, 2018). El equipo auditor tiene definido un procedimiento para este fin, que contempla la planeación, realización y seguimiento de las auditorías. Se realizó una auditoría interna enfocada a verificar el cumplimiento de las prácticas en un subconjunto de proyectos del área. La auditoría interna permitió identificar un conjunto de hallazgos que fueron analizados y atendidos, previo a la auditoría externa de recertificación.

2.1.6 Revisión anual de resultados del SGC por parte del grupo directivo

ISO 9001:2015 establece que “la alta dirección de la organización debe revisar el sistema de gestión de la calidad a intervalos planificados para asegurarse de su conveniencia, adecuación, eficacia y alineación continua con la dirección estratégica de la organización”, e indica los diversos puntos que debe comprender esta revisión. Los temas más significativos que se revisaron conjuntamente en el grupo directivo fueron: 1) La retroalimentación de las partes interesadas, es decir, el conjunto de opiniones verbales y escritas expresadas por los directivos y usuarios, así como los resultados de algunas encuestas aplicadas. 2) La evaluación del cumplimiento de los objetivos, relativos al desarrollo de los proyectos realizados por el área y a metas internas del SGC. 3) El estado de los hallazgos derivados de las auditorías y las acciones acordadas para su atención. 4) La revisión de las capacidades de la organización en cuanto a sus recursos humanos, sus instalaciones y su infraestructura tecnológica, para valorar los avances y necesidades en este tema.

2.1.7 Auditoría externa anual

El ecosistema de los estándares ISO está diseñado para que un organismo independiente otorgue un certificado que avale ante terceros y a nivel internacional, que la organización cumple con requisitos de un estándar (Organización Internacional de Normalización, 2023). Además, una revisión externa en 9001 brinda la posibilidad de contar con una opinión objetiva del desempeño del sistema de gestión de la organización. En el caso expuesto, el ciclo de recertificación concluyó con la auditoría externa por parte de la entidad certificadora elegida para tal fin, que consistió en una visita en sitio de dos días, en la que un auditor independiente entrevista a los diversos colaboradores del área: la dirección, los participantes en los proyectos auditados y quienes intervienen en la operación del SGC, además de analizar las evidencias presentadas para concluir con la emisión de un informe de auditoría.

2.2 Resultados

Aplicando la metodología descrita se logró la recertificación satisfactoria del sistema de gestión de calidad para un nuevo trienio. Los proyectos que estuvieron contemplados dentro del sistema de gestión de calidad fueron desarrollados y concluidos de acuerdo con el propósito específico de cada uno; su documentación se encuentra organizada en el repositorio electrónico del área conforme a las políticas definidas, y se resguarda el registro de si la satisfacción de los usuarios y de las partes involucradas es buena e incluso excelente. Por otra parte, si bien los hallazgos que se identifican en las auditorías no deben apreciarse como algo negativo al ser espacios de mejora que fortalecen a la organización, también su reducción es un indicador de que el SGC está operando y los colaboradores en todos los niveles están participando en ello, siendo la primera ocasión en que el organismo auditor reportó cero observaciones.

3. Conclusiones

El estándar ISO 9001 puede ser adoptado por cualquier organización que requiera mejorar de manera integral su gestión y la calidad de sus productos o servicios, por lo que no sólo implica procesos técnicos afines a la naturaleza de la operación, sino aspectos organizacionales y estratégicos. La implementación de este tipo de estándares no implica que de inmediato se logre una excelencia operacional, pero sí establece condiciones para generar una cultura de autoevaluación, orientación a resultados y mejora continua, en la medida que la organización tenga una unidad de propósito y cada uno de sus integrantes se comprometa de manera genuina con ello. Un factor fundamental para el éxito en este tipo de iniciativas -en teoría y en la práctica- es el apoyo e involucramiento de los líderes de la organización, al establecer una visión, proporcionar las facilidades necesarias, así como participar activamente en los procesos y las evaluaciones.

Implementar la ISO 9001 con enfoque en la gestión y desarrollo de proyectos de TIC que como actividad sustantiva implica procesos intelectuales y creativos para generar resultados únicos e irrepetibles, tiene el reto de diseñar procesos de trabajo que equilibren la consistencia de resultados, la calidad técnica y a la vez, la flexibilidad y agilidad. Las prácticas presentadas pueden servir como referente a otras organizaciones afines para contar con una guía general de lo que implica una certificación o recertificación en este ámbito.

4. Agradecimientos

Es importante señalar que esta iniciativa fue impulsada desde su inicio y a la fecha por la dirección de área y la dirección general, como es lo idóneo en este tipo de iniciativas. Además, han intervenido la mayoría de los colaboradores del área desde su ámbito particular de acción, por lo que los resultados no vienen de un esfuerzo individual, sino colectivo. Al ser una lista extensa de nombres, resumo el agradecimiento en general a todo el equipo de la Dirección de Colaboración y Vinculación de la DGTIC de la UNAM.

REFERENCIAS BIBLIOGRÁFICAS

Abuhav, I. (2017). ISO 9001: 2015 - A Complete Guide to Quality Management Systems. CRC Press.

AENOR México (2023). Sistemas de Gestión de la Calidad ISO 9001. https://www.aenormexico.com/certificacion/calidad/iso-9001

AENOR México (2023). Proceso de certificación. https://www.aenor.com/certificacion/certificacion-de-organizaciones-servicios-y-sistemas/proceso-de-certificacion

Castañeda de León, L.M., Díaz Novelo, C. H. (2022) y Navarrete Terán, G.E. La gestión eficiente de las TI, signo de la madurez digital. En Ponce López, J.L., Castañeda de León, L.M. y López Valencia, F. (Coords.). Estado actual de las tecnologías de la información y comunicación en las Instituciones de educación superior en México: estudio 2022. (pp 51-218) México: Asociación Nacional de Universidades e Instituciones de Educación Superior.

EMA. (2023). Entidad Mexicana de Acreditación, A.C. https://www.ema.org.mx

García L., E. (2022). Las organizaciones como sistemas complejos. Stratega Business Magazine. https://strategamagazine.com/las-organizaciones-como-sistemas-complejos/

Gutiérrez Roa, F., Correa Espianal, A. (2016). Documentación de un Sistema de Gestión de Calidad. Memorias de la Décimo Quinta Conferencia Iberoamericana en Sistemas, Cibernéticae Informática (CISCI). https://www.iiis.org/CDs2016/CD2016Summer/papers/CA109WA.pdf

Ingason, H. T. (2015). Best Project Management Practices in the Implementation of an ISO 9001 Quality Management System. Procedia - Social and Behavioral Sciences, 194, 192-200. https://doi.org/10.1016/j.sbspro.2015.06.133

Organización Internacional de Normalización (2015). Sistemas de gestión de la calidad - Requisitos. ISO 9001:2015

Organización Internacional de Normalización (2018). Gestión de la calidad. Calidad de una organización. Orientación para lograr el éxito sostenido. ISO 9004:2018

Organización Internacional de Normalización (2023). ISO: Global standards for trusted goods and services. https://www.iso.org

Luna González, A. C. (2014). Administración estratégica. Grupo Editorial Patria.

Oktaba, H., Alquicira Esquivel, C., Su Ramos, A., Martínez Martínez, M. M., Quintanilla Osorio, G., Ruvalcaba López, M., López Lira Hinojo, F., Rivera López, M. E., Orozco Mendoza, M. J., Fernández Ordóñez, Y., Flores Lemus, M. Á. (2005). Modelo de Procesos para la Industria de Software: MoProSoft. https://doi.org/10.13140/2.1.2229.5043

PMI. (2017). Guía de los fundamentos para la Dirección de Proyectos (Guía del PMBOK). Sexta edición. P. M. Institute, Ed.

UNAM. (2011). Entrega la EQA certificación ISO 9001:2008 a la DGTIC de la UNAM. Boletín UNAM-DGCS-497. https://www.dgcs.unam.mx/boletin/bdboletin/2011_497.html

Anexo A

Tabla 1

Los 10 estándares ISO más adoptados en México y en el mundo

Estándar		Temática	Certificados en el mundo	Certificados en México
1	ISO 9001	Calidad	1,265,216	8,895
2	ISO 14001	Ambiental	529,853	2,708
3	ISO 45001	Seguridad y salud en el trabajo	397,339	1,692
4	ISO 27001	Seguridad de la información	71,549	385
5	ISO 22000	Seguridad alimentaria	45,459	263
6	ISO 13485	Dispositivos médicos	29,543	132
7	ISO 50001	Energía	27,765	54
8	ISO 20000	Servicios	27,009	113
9	ISO 37001	Anti soborno	5,969	145
10	ISO 22301	Continuidad del negocio	3,200	35

Nota: Esta tabla se integró a partir de los datos de la ISO Survey 2022, disponibles en https://www.iso.org/the-iso-survey.html

Tabla 2

Índice de requisito de la norma ISO 9001:2015

Rubro		Requisitos generales
4	Contexto de la organización	4.1 Comprensión de la organización y su contexto 4.2 Comprensión de las necesidades y expectativas de las partes interesadas 4.3 Determinación del alcance del sistema de gestión de calidad 4.4. Sistemas de gestión de calidad y sus procesos
5	Liderazgo	5.1 Liderazgo y compromiso 5.1.1 Generalidades 5.1.2 Enfoque al cliente 5.2 Política 5.2.1 Establecimiento de la política de la calidad 5.2.2 Comunicación de la política de la calidad 5.3 Roles, responsabilidades y autoridades de la organización
6	Planificación	6.1 Acciones para abordar riesgos y oportunidades 6.2 Objetivos de calidad y planificación para lograrlos 6.2 Planificación de los cambios
7	Apoyo	7.1 Recursos 7.1.1 Generalidades 7.1.2 Personas 7.1.3 Infraestructura 7.1.4 Ambiente para la operación de los procesos 7.1.5 Recursos de seguimiento y medición 7.1.6 Conocimiento de la organización 7.2 Competencia 7.3 Toma de conciencia 7.4 Comunicación 7.5 Información documentada 7.5.1 Generalidades 7.5.2 Creación y actualización 7.5.3 Control de la información documentada
8	Operación	8.1 Planificación y control operacional 8.2 Requisitos para los productos y servicios 8.2.1 Comunicación con cliente 8.2.2 Determinación de los requisitos para los productos y servicios 8.2.3 Revisión de los requisitos para los productos y servicios 8.2.4 Cambios en los requisitos para los productos y servicios 8.3 Diseño y desarrollo de los productos y servicios 8.3.1 Generalidades 8.3.2 Planificación del diseño y desarrollo 8.3.3 Entradas para el diseño y desarrollo 8.3.4 Controles del diseño y desarrollo 8.3.5 Salidas del diseño y desarrollo 8.3.6 Cambios del diseño y desarrollo 8.4 Control de los procesos, productos y servicios suministrados externamente 8.4.1 Generalidades 8.4.2 Tipo y alcance del control 8.4.3 Información para los proveedores externos 8.5 Control de los procesos, productos y servicios suministrados externamente 8.5.1 Control de la producción y la provisión del servicio 8.5.2 Identificación y trazabilidad 8.5.3 Propiedad perteneciente a los clientes o proveedores externos 8.5.4 Preservación 8.5.5 Actividades posteriores a la entrega 8.5.6 Control de los cambios 8.6 Liberación de los productos y servicios 8.7 Control de las salidas no conformes
9	Evaluación del desempeño	9.1 Seguimiento, medición, análisis y evaluación 9.1.1 Generalidades 9.1.2 Satisfacción del cliente 9.1.3 Análisis y evaluación 9.2 Auditoría interna 9.3 Revisión por la dirección 9.3.1 Generalidades 9.3.2 Entradas de la revisión por la dirección 9.3.3 Salidas de la revisión por la dirección
10	Mejora	10.1 Generalidades 10.2 No conformidades y acción correctiva 10.3 Mejora continua