Llega el momento en la vida de una organización en la que decide adoptar un modelo ISO de referencia. Y puestos a hacerlo bien, habrá que certificarse. Por ello necesitaremos escoger entre las empresas certificadoras aquella que más nos convenga.

Empresas Certificadoras

Empresas Certificadoras

Ante el gran número de empresas certificadoras, que son distintas a empresas auditoras. El mercado está cayendo y actualmente las empresas certificadoras están realizando campañas agresivas de marketing muy orientadas al precio, pero es sólo el precio lo que nos interesa?

Escogiendo la norma por la que nos certificaremos

Lo primero que tenemos que hacer es escoger la norma a certificarnos. En la gestión informática hablamos de ISO 20000 y la ISO 27001. Aunque la norma que mas certificaciones tiene, es la ISO9001.

ISO 9001

Estándar por el que se certifican procesos. Aunque en su última revisión requiere implantar un modelo de valoración estratégica de la situación.

En las empresas TI, nos viene bien tener un sistema de quejas/sugerencias así como la vía de identificar procesos para entregar servicios y productos. Destacaría la importancia de control, sea cual sea la metodología utilizada o la forma de hacer escogida. Control significa tener conocimiento de los resultados para tomar decisiones en interés de los clientes (personas o empresas).

En este sentido, muchas empresas certificadoras suelen equivocar el objetivo de control, con el objetivo de justificación para la auditoría. Este no es objetivo de empresa.

ISO 20000

Establece un Sistema de Gestión sobre los Servicios de Tecnologías de Información (si buscas encuentras SGSTI). Es la referencia para empezar a aplicar ITIL en las organizaciones. Cada día más implantada. Hay que tener en cuenta que lo que deberemos certificar es un servicio de TI.

ISO 27001

Se trata de la definición del Sistema de Gestión de la Seguridad de la Información (lo que se conoce por SGSI). Esta norma establece la necesidad de controlar el nivel de riesgo. No significa que seas más seguro, se trata de conocer el nivel de seguridad que tienes.

Escogiendo la certificadora

El sistema de certificación aceptado, identifica que cada pais dispone de una entidad acreditadora. Esta entidad es estatal y en el caso de España, se trata de ENAC (Inglaterra UKAS, Alemania DAR…). Es decir, la empresa certificadora, ha de acreditar cada uno de los certificados que emite a ENAC (para la ISO 20000 una acreditación, para la ISO 27001 otra).

Dicho esto los criterios pueden ser los siguientes:

  • La certificadora está acreditada por ENAC. La Administración Pública utiliza este detalle en los pliegos de concursos públicos.
  • El precio por Auditoría, teniendo en cuenta el número de jornadas. Cuantas más jornadas, mejor.
  • Si estas cambiando de empresa certificadora, el coste de traspaso de certificado y el esfuerzo que requerirán por tu parte. Hay que hacer varios escritos y mostrar el Sistema de Gestión, lo que puede resultar en una jornada.
  • Experiencia en el ámbito de actividad de la certificación (experiencia en el sector, tamaño de empresa, tamaño de clientes, etc.)

Tendríais en cuenta algo más?

El hecho de que tenga más o menos renombre, no es un punto que pueda afectar a la toma de decisiones. Aunque si que habría que tener en cuenta las noticias sobre la pérdida de la acreditación, de la que ya han habido casos.

Actualizando en base a la experiencia entre las empresas certificadoras

(Actualizado agosto 2017) A veces ocurre que por circunstancias de la vida toca cambiar de empresa certificadora. La comodidad de conocer al auditor/auditora, los típicos chascarrillos, las triquiñuelas que siempre empleamos…

Ante el cambio que he vivido, he tenido la suerte de encontrarme con una empresa desconocida para mí hasta el momento de llevar a cabo la auditoría. Auditoría que obvió el apartado documental del procedimiento y se remitió a los hechos, indicios y evidencias de las acciones. Una manera de auditar que eliminaba el valor del procedimiento escrito y se lo daba al valor de los hechos/evidencias.