Antònia Mas Pichaco
Enginyeria del Software III Sessió 4. Les Normes ISO
Antònia Mas Pichaco 1
Continguts
3 3
ISO/IEC 12207/Amd2:2004 ISO/IEC 15504:2006 (SPICE)
¨ La norma ISO 9001:2000
Antònia Mas Pichaco
¨ La normalització en el camp de l’Enginyeria del software ¨ Les normes de la família ISO relacionades amb processos de software
El procés de certificació segons la norma ISO 9001:2000
¨ La norma ISO 90003:2004 ¨ La Guía TickIT 2
1
Contexto de las labores de normalización
¨ ISO/IEC JTC1 SC7 Antònia Mas Pichaco
ISO: International Standards Organisation IEC: International Electrotechnical Commission JTC1: Joint Technical Committee 1: Information Technology SC7: Sub Commitee 7: Software and System Enginering
3
Actividades
¨ Proporcionar normas de calidad en ingeniería del software y sistemas que vayan al encuentro de las necesidades de los usuarios en mercados extensos. ¨ Gestionar el conjunto de normas de una forma efectiva a través de un marco documentado. ¨ Promocionar el uso de la normas aportando material de apoyo. ¨ Liderar la normalización de ingeniería del software y sistemas.
Antònia Mas Pichaco
Propósito del SC7
Contexto de las labores de normalización
¨ El desarrollo de un conjunto completo de normas integradas entre sí, y con un amplio consenso internacional y profesional. ¨ Iniciar actividades en cooperación con organizaciones internacionales y profesionales que elaboren normas ITU-T, IEEE, OMG, INCOSE, CASCO, ...
4
2
Estructura del SC7
Antònia Mas Pichaco
http://www.jtc1-sc7.org/
5
Contexto de las labores de normalización ¨ Procesos de ingeniería de software y de sistemas
Antònia Mas Pichaco
Normas que describen buenas prácticas de ingeniería del software y sistemas, así como otras normas para evaluar prácticas organizativas de ingeniería del software y sistemas 18 normas publicadas 9 proyectos activos Normas clave: ISO/IEC 15288 – System Life-cycle Processes ISO/IEC 12207 – Software Life-cycle processes ISO/IEC 15504 Series – Process assessment ISO/IEC 90003 – Guidlines for the application of ISO 9001 to Software 6
3
Normas relacionadas
Antònia Mas Pichaco 7
Normas clave
Antònia Mas Pichaco
8
4
Usuarios de las normas del SC7
Antònia Mas Pichaco
¨ Casas de Software y Sistemas ¨ Usuarios de sistemas de información corporativos ¨ Suministradores de sistemas de software embebido ¨ Suministradores de herramientas y métodos ¨ Educadores de ingeniería del software y sistemas ¨ Elaboradores de normas de dominios específicos 9
SWEBOK (Software Engineering Body of Knowledge)
Antònia Mas Pichaco
¨ En colaboración con la Computer Society del IEEE se está trabajando en elaborar una guía del Cuerpo de conocimiento de Ingeniería de Software, con el objetivo de publicarla como un ISO/IEC Technical Report ¨ 1 proyecto activo ISO/IEC DTR 19759 SWEBOK
¨ 1 grupo de estudio sobre certificación de profesionales 10
5
Antònia Mas Pichaco
La norma ISO 9001:2000
Las normas de la familia ISO 9000 ¨ Los orígenes de la norma ISO 9000 se remontan a la Segunda guerra mundial. Ante la necesidad de mejorar la eficacia de la actividad de la industria militar y ante la ausencia de controles de procesos y de productos, en el Reino Unido y Estados Unidos se adoptaron una serie de normativas. Estas iniciaron la normalización de procedimientos en los procesos de fabricación, elaboración y realización de los productos. ¨ Una vez terminada la Guerra las normativas siguieron vigentes y quedaron dentro del ámbito de lo que se llamaba “calidad”. Estas primeras normativas de calidad se basaban en asegurar por inspección que la producción cumplía con las especificaciones. ¨ Estas normativas fueron evolucionando y aumentaron su ámbito de aplicación: aeronáutica, centrales nucleares, etc. Todas estas especificaciones quedaron recogidas en una serie de normas de la OTAN denominadas AQAP "Allied Quality Assurance 12 Procedures" en 1968.
Antònia Mas Pichaco
Historia de la norma ISO 9000
11
6
¨ En 1979, se publicó en Gran Bretaña la normativa BS 5750 que es el primer estándar comercial de un sistema de aseguramiento de la calidad. Las normas BS 5750 sirvieron de base para las series ISO 9000. ¨ Las normas fueron publicadas por primera vez en 1987, por la ISO. ¨ Las normas deben ser revisadas al menos cada cinco años para determinar si deben mantenerse, revisarse o anularse. La última versión de las normas es del 2000 y sustituye a la versión de 1994. ¨ Una vez que la última versión de las normas es aprobada por la ISO, debe ser revisada y aprobada por el Comité Europeo de Normalización (CEN) para reafirmar su conformidad con el resto de normas de la Comunidad europea y poder ser aplicada.
Antònia Mas Pichaco
Historia de la norma ISO 9000
Las normas de la familia ISO 9000
Las normas de la familia ISO 9000 ¨ Para poder abarcar todas las posibles áreas de negocio, las normas de la familia ISO 9000, tuvieron que ser dotadas de un carácter muy general, y con ello, su aplicación en los distintos sectores se hacía ardua y difícil. Es por este motivo que la ISO ha ido publicando sucesivos estándares y guías de aplicación que ayudan a la implantación de las normas.
¨ Estas normas han sido adoptadas por múltiples países a través de sus correspondientes organismos de normalización nacionales, consiguiendo una armonización a escala internacional.
Antònia Mas Pichaco
Historia de la norma ISO 9000
13
Así en España, el comité es el de Gestión de la calidad CTN066, y la denominación es UNE-EN-ISO 9000.
¨ En el ámbito nacional, AENOR, Asociación Española de Normalización, las ha denominado UNE 66-900. 14
7
La antigua familia ISO 9000:1994 ¨ En la antigua familia ISO 9000, la diferencia entre ISO 9000, 9001, 9002, 9003 y 9004 se encontraba en el grado de cobertura en el ciclo de creación de un producto. Antònia Mas Pichaco
Así, la norma ISO 9000 era la que indicaba los criterios generales de aplicación del resto de normas de la familia 9000, entre ellos el criterio de selección de la norma a utilizar a la hora de certificar un sistema. La norma ISO 9001 cubría las áreas de diseño y desarrollo, producción, instalación y mantenimiento de un producto. La ISO 9002 cubría sólo las áreas de producción e instalación La ISO 9003 cubría únicamente el aseguramiento de la calidad en la inspección final y las pruebas. La norma ISO 9004 contenía una serie de criterios especiales para la aplicación de las normas en ciertos sectores de naturaleza más heterogénea como, por ejemplo, en el sector de servicios, encaminados a la mejora continua de la calidad.
¨ En el caso específico del desarrollo de software, la norma ISO/IEC 9000-3:1997 constituía una guía de implantación de la norma ISO 9001:1994 para el desarrollo, suministro y mantenimiento del software. ¨ Con la aparición de la última versión en el año 2000, las normas ISO 9001, 9002 y 9003 se unificaron en una sola, tomando el nombre de ISO 9001:2000. 15
La norma ISO 9001:2000 Incorpora un título revisado en el cual ya no se incluye el término Aseguramiento de la calidad y se destaca el hecho de que incluye los requisitos del Sistema de Gestión de Calidad (SGC).
Necesita demostrar su capacidad para proporcionar de forma coherente productos que satisfagan los requisitos del cliente y los reglamentos aplicables. Aspira a aumentar la satisfacción del cliente a través de la aplicación eficaz del sistema, incluyendo los procesos para la mejora continua del sistema y el aseguramiento de la conformidad con los requisitos del cliente.
Antònia Mas Pichaco
¨ La norma ISO 9001:2000 especifica los requisitos para un sistema de gestión de calidad cuando una organización:
16
8
¨
¨
¨
¨ ¨ ¨ ¨
La norma ISO 9001:2000 ¨
¨ ¨
¨ ¨
La norma ISO 9001, a partir de la versión del 2000, promueve la adopción de un enfoque basado en procesos, cuando se desarrolla, implementa y mejora la eficacia de un SGC. En un enfoque basado en procesos se modela el funcionamiento de la organización como una serie de procesos y sus interacciones. Un proceso se puede considerar como una actividad que utilizando recursos transforma los elementos de entrada en resultados. Frecuentemente la salida de un proceso constituye directamente el elemento de entrada del siguiente proceso. Los resultados deseados se alcanzan más eficientemente cuando los recursos y las actividades relacionadas se gestionan como un proceso. Una ventaja del enfoque basado en procesos es el control continuo que proporciona sobre los procesos individuales dentro del sistema de procesos, así como 18 sobre su combinación e interacción.
Antònia Mas Pichaco
Orientación a procesos de la norma ISO 9001
¨
Organización orientada al cliente. Las organizaciones dependen de sus clientes y por tanto, deben comprender sus necesidades presentes y futuras, cumplir con sus requisitos y esforzarse en exceder sus expectativas. Liderazgo. Los líderes establecen la unidad de propósito y dirección de la organización. Deben crear y mantener un ambiente interno, en el cual el personal pueda llegar a involucrarse totalmente para lograr los objetivos de la organización. Participación de todo el personal. El personal, con independencia del Nivel de la organización en el que se encuentre, es la esencia de la organización, y su total implicación posibilita que sus capacidades sean usadas para el beneficio de la organización. Orientación del sistema hacia la gestión. Identificar, mantener y gestionar un sistema de procesos interrelacionados mejora la eficiencia y la eficacia de una organización. La mejora continua. Debe ser el objetivo permanente de la organización. Orientación objetiva hacia la toma de decisiones. Las decisiones efectivas se basan en la información obtenida a partir del procesamiento y análisis de los datos. Relaciones mutuamente beneficiosas con los proveedores. Una organización y sus proveedores son interdependientes y una relación mutuamente benéfica intensifica la capacidad de ambos en crear valor. Enfoque a procesos. Los resultados deseados se alcanzan más eficientemente cuando los recursos y las actividades relacionadas se 17 gestionan como un proceso.
Antònia Mas Pichaco
Los 8 principios básicos de la norma ISO 90001
La norma ISO 9001:2000
9
Con la orientación a procesos se consigue comprender mejor la organización, controlarla a base de la obtención de medidas de los resultados del desempeño y eficacia de los procesos, y alcanzar la mejora continua de los procesos en base a mediciones objetivas. ¨
Dentro de una organización existen tres tipos de procesos:
Procesos estratégicos. Los procesos estratégicos son los procesos encargados de dirigir el funcionamiento de la organización. Procesos clave o de negocio, son los procesos encargados de la realización del producto o servicio que sea la finalidad de la organización. Por ejemplo: En una panadería serían los procesos relacionados con la fabricación y venta de pan y pasteles. Procesos de soporte, son los procesos necesarios para que puedan realizarse los procesos anteriores.
Antònia Mas Pichaco
Orientación a procesos de la norma ISO 9001
La norma ISO 9001:2000
La norma ISO 9001:2000 Mejora continua del sistema de gestión de calidad
Clientes
Gestión de recursos
Requisitos
Leyenda
Satisfacción
Medición, análisis y mejora
Realización del producto
Antònia Mas Pichaco
Responsabilidad de la dirección
Clientes
El modelo del sistema de gestión de calidad
19
Producto
Actividades que aportan valor Flujo de información
20
10
Uno de los objetivos del SGC es satisfacer las necesidades de los clientes. El seguimiento de la satisfacción del cliente requiere la evaluación de la información relativa a la percepción del cliente acerca de si la organización ha cumplido sus requisitos. ¨ El modelo del SGC se basa en la filosofía PDCA Plan – Do – Check - Act, que también es conocida como el Ciclo de Deming (Deming 1982), que puede resumirse en: Plan, Planificar. Establecer los objetivos y procesos necesarios para conseguir resultados de acuerdo con los requisitos del cliente y las políticas de la organización. Gestión de recursos. Do, Hacer. Implementar los procesos. Realización del producto. Check, Verificar. Realizar el seguimiento, la medición de los procesos y de los productos respecto a las políticas, los objetivos y los requisitos, e informar del resultado. Medición, análisis y mejora. Act, Tomar decisiones. Mejorar continuamente el desempeño de los procesos. Responsabilidad de la dirección.
Antònia Mas Pichaco
El modelo del sistema de gestión de calidad
La norma ISO 9001:2000
21
La norma ISO 9001:2000 1. Objeto y campo de aplicación 2. Normas para consulta 3. Términos y definiciones 4. Sistema de gestión de la calidad 5. Responsabilidad de la dirección 6. Gestión de los recursos 7. Realización del producto 8. Medición, análisis y mejora
Antònia Mas Pichaco
La norma especifica el SGC, por medio de requisitos que indican qué tiene que hacer el SGC, pero no cómo lograrlo. Los requisitos son flexibles y algunos de ellos se pueden omitir dependiendo de las necesidades o características de cada organización. La norma ISO 9001 está dividida en ocho puntos, de los cuales, los cinco últimos definen los requisitos del SGC.
22
11
Describe los requisitos generales del sistema de gestión de la calidad de la norma, de la documentación y de los registros. La documentación que exige la norma es: ¨
¨
¨
¨
La norma ISO 9001:2000 Describe todas las responsabilidades de la dirección con el SGC. ¨ ¨ ¨ ¨
¨
¨
5.1. Compromiso de la dirección. La alta dirección debe dar evidencia de su compromiso con el desarrollo e implementación del sistema de gestión de la calidad, así como con la mejora continua de su eficacia. 5.2. Enfoque al cliente. La alta dirección debe asegurarse de que los requisitos del cliente se determinan y se cumplen con el propósito de aumentar la satisfacción del cliente. 5.3. Política de calidad. La alta dirección debe asegurarse que la política de calidad es adecuada, es comunicada y entendida dentro de la organización, y es revisada para su continua adecuación. 5.4. Planificación. La alta dirección debe asegurarse de que los objetivos de calidad son pertinentes y que la planificación del SGC se realiza con el fin de cumplir los requisitos generales del SGC y se mantiene su integridad cuando se realizan cambios en éste. 5.5. Responsabilidad, autoridad y comunicación. La alta dirección debe asegurarse de que las responsabilidades y autoridades están definidas y son comunicadas dentro de la organización. Debe designar un miembro de la dirección quién, con independencia de otras responsabilidades, tomará la responsabilidad del SGC. 5.6. Revisión de la dirección. La alta dirección debe, a intervalos planificados, revisar el SGC de la organización, para asegurarse de su conveniencia, adecuación y eficacia continua. Deben mantenerse registros de las revisiones por la dirección.
Antònia Mas Pichaco
5. Responsabilidad de la dirección
¨
La declaración de una política de calidad y de los objetivos de la calidad. La política de calidad es el documento por el que la organización se compromete explícitamente a cumplir con los requisitos de la norma y a la mejora continua del sistema. Un manual de calidad. El manual de calidad es el documento donde se describe el SGC de la organización. Incluye el alcance del SGC, incluyendo los detalles y la justificación de cualquier exclusión, los procedimientos documentados establecidos para el SGC, o referencias al mismo y una descripción de la interacción entre los procesos del SGC. Los procedimientos documentados impuestos por la norma. Estos procedimientos satisfacen los requisitos que impone la norma a la organización: Gestión de los RRHH, control de las normas, planificación en la realización del producto ... Los documentos necesarios para asegurar la eficaz planificación, operación y control de todos procesos de la organización. Son los documentos generados para gestionar la empresa según el enfoque por procesos, como exige la norma. Los registros requeridos por la norma. Los registros de la calidad son las evidencias que demuestran documentalmente el funcionamiento del sistema de calidad. El SGC debe garantizar su identificación, 23 almacenamiento, protección y recuperación.
Antònia Mas Pichaco
4. Sistema de Gestión de la Calidad
La norma ISO 9001:2000
24
12
La organización debe determinar y proporcionar los recursos necesarios para implementar y mantener el SGC y mejorar continuamente su eficacia, y aumentar la satisfacción del cliente mediante el cumplimiento de sus requisitos.
¨
¨
¨
6.1. Recursos humanos. El personal que realice trabajos que afecten a la calidad del producto debe ser competente con base en la educación, formación, habilidades y experiencia apropiadas. 6.2. Infraestructuras. La organización debe determinar, proporcionar y mantener la infraestructura necesaria para lograr la conformidad con los requisitos del producto. 6.3 Ambiente de trabajo. La organización debe determinar y gestionar el ambiente de trabajo necesario para lograr la conformidad con los requisitos del producto.
Antònia Mas Pichaco
6. Gestión de recursos
La norma ISO 9001:2000
La norma ISO 9001:2000 Este punto contiene todos los requisitos que se imponen a los procesos de la organización relacionados con su actividad principal. La actividad de la organización será suministrar unos productos o prestar unos determinados servicios a sus clientes. ¨
¨
¨
¨ ¨ ¨
7.1. Planificación de la realización del producto. La organización debe planificar y desarrollar los procesos necesarios para la realización del producto. La planificación de la realización del producto debe ser coherente con los requisitos de los procesos del sistema de gestión de la calidad. 7.2. Procesos relacionados con el cliente. La organización debe determinar los requisitos relacionados con el producto. Estos requisitos estarán formados por los requisitos explícitos dados por el cliente, los requisitos implícitos, cuando sean conocidos, los requisitos legales y reglamentarios relacionados con el producto, y cualquier requisito adicional determinado por la organización. 7.3. Diseño y desarrollo. La organización debe planificar y controlar el diseño y el desarrollo del producto. Durante esta planificación se debe determinar las etapas pertenecientes al diseño y al desarrollo del producto, la revisión, verificación y validación de estos procesos, y designar las responsabilidades y autoridades de los participantes. 7.4. Compras. Los requisitos para las compras se aplican a las compras que afecten a la calidad de los productos de la organización. 7.5. Producción y prestación del servicio. La organización debe controlar la producción y la prestación del servicio. Se deben planificar y llevar a cabo bajo condiciones controladas. 7.6. Control de los dispositivos de seguimiento y de medición. La organización, cuando sea posible, debe verificar la conformidad del producto utilizando dispositivos de seguimiento y de medición. 26
Antònia Mas Pichaco
7. Realización del producto
25
13
La organización debe planificar e implementar los procesos de seguimiento, medición, análisis y mejora necesarios para demostrar la conformidad del producto realizado, asegurase de la conformidad del SGC y mejorar continuamente su eficacia.
¨
8.1. Seguimiento y medición. La norma impone la necesidad de realizar diferentes tipos de seguimiento y medición:
La Satisfacción del cliente. La organización debe realizar el seguimiento de la información relativa a la percepción del cliente con respecto al cumplimiento de sus requisitos. Auditoría interna. La organización debe llevar a cabo a intervalos planificados auditorías internas para determinar si el SGC es conforme y se ha implementado y se mantiene de manera eficaz. Seguimiento y medición de los procesos. Se deben aplicar métodos para el seguimiento, y cuando sea posible, la medición de los procesos. Estos métodos deben demostrar la capacidad de los procesos para alcanzar los resultados planificados. Seguimiento y medición del producto. La organización debe medir y hacer un seguimiento de las características del producto para verificar que cumple los requisitos del mismo.
Antònia Mas Pichaco
8. Medición, análisis y mejora
La norma ISO 9001:2000
La norma ISO 9001:2000 ¨
¨ ¨
8.2. Control del producto no conforme. La organización debe asegurarse de que los productos no conformes con los requisitos, se identifican y se controlan para prevenir su uso o entrega no intencional. Cuando se corrige un producto no conforme, se debe volver someter a una nueva verificación para demostrar su conformidad con los requisitos. 8.3 Análisis de datos. La organización debe determinar, recopilar y analizar los datos apropiados para demostrar la idoneidad del SGC y para evaluar dónde puede realizarse la mejora continua. 8.4 Mejora. La mejora del SGC se compone de tres tipos de acciones:
Mejora continua. La organización debe mejorar continuamente la eficacia del SGC mediante el uso de la política de calidad, los objetivos de la calidad, los resultados de las auditorías, el análisis de datos, las acciones correctivas y preventivas y la revisión por la dirección. Acciones correctivas. La organización debe tomar acciones para eliminar las causas de no conformidades con objeto de que no vuelvan a ocurrir. Acciones preventivas. La organización debe determinar acciones para eliminar las causas de no conformidades potenciales para prevenir su ocurrencia. Para las acciones correctivas y preventivas se debe establecer un 28 procedimiento documentado para tratarlas.
Antònia Mas Pichaco
8. Medición, análisis y mejora
27
14
¨
¨
¨ ¨
Ayuda a centrar la organización a producir con calidad. Con la implantación de un SGC se consigue aumentar el conocimiento de la dirección sobre el funcionamiento de la organización. Aumenta la confianza de los clientes en la organización. El SGC puede ser validado, y obtener una certificación que, en el caso de las empresas, mejora su competitividad en el mercado. Por ejemplo, un certificación de calidad permite conseguir más puntos en los concursos para proyectos de la administración pública. Crea un lenguaje común en la organización, se consigue una mejor gestión del conocimiento colectivo. Reduce el tiempo de adaptación del personal nuevo. El SGC define de forma escrita y detallada cuales son las tareas de cada puesto. Gracias a esta documentación el personal nuevo sabe qué tiene que hacer.
Antònia Mas Pichaco
Beneficios de la implantación de la norma ISO 9001
La norma ISO 9001:2000
La norma ISO 9001:2000 ¨
¨
¨
Determina las responsabilidades de cada uno en la cadena productiva y registra todo el proceso para verificar dónde se producen los fallos. La norma obliga a identificar que trabajadores realizan los procesos y obliga a guardar registros de la realización de estos procesos. De esta forma cuando se produce un fallo en la actividad, se puede estudiar dónde se produjo. Puede disminuir el conjunto de los gastos productivos, al aumentar la eficacia. Con el SGC se consigue una mayor control de la organización, porque los procesos de la organización están documentados y medidos. Gracias a ello, se pueden mejorar, aumentando su eficacia. Puede contribuir a superar una situación anterior de desorganización productiva. El SGC impone la normalización de los procesos de la organización.
Antònia Mas Pichaco
Beneficios de la implantación de la norma ISO 9001
29
30
15
Antònia Mas Pichaco
El proceso de certificación según la norma ISO 9001:2000
31
La certificación del SGC según la norma ISO 9001:2000
Antònia Mas Pichaco
¨ Con la implantación de un SGC se consigue que la organización funcione de forma correcta. ¨ Con la certificación del SGC se consigue que alguien garantice que la organización funciona de forma correcta. ¨ La certificación manifiesta que el SGC de la organización es conforme a la norma. ¨ La certificación es la acción llevada a cabo por una entidad reconocida como independiente de las partes interesadas, mediante la que se manifiesta la conformidad de una empresa, producto, proceso, servicio o persona con los requisitos definidos en normas o especificaciones técnicas. ¨ La certificación la realizan empresas privadas acreditadas por entidades oficiales, que garantizan que las certificaciones se hayan realizado bajo un sistema de total imparcialidad, transparencia y objetividad. ¨ El organismo oficial de acreditación de entidades certificadoras en España es ENAC (ENtidad oficial de ACreditación). ENAC tiene acuerdos multinacionales de reconocimiento con la IAF (International Accreditation Forum), gracias a los cuales, sus acreditaciones son reconocidas internacionalmente. 32
16
La certificación del SGC según la norma ISO 9001:2000
No hay evidencia de la satisfacción de los clientes. No se cumplen los métodos de operación definidos en las instrucciones de trabajo o procedimientos. No se registra en los formatos aprobados la información de los procesos. No se mantienen y analizan los registros para lograr la mejora continua.
Antònia Mas Pichaco
¨ El proceso de certificación, se compone de una revisión de la documentación de calidad y una auditoria. Una vez obtenida la certificación, ésta es válida durante cuatro años y se realizan visitas anualmente para comprobar que el SGC se mantiene de forma correcta. ¨ La certificación puede ser cancelada durante una de las revisiones si se detecta que:
¨ El proceso de certificación es similar para todas las empresas certificadoras, aunque algunas pueden imponer requisitos extras a la empresa auditada. ¨ Las principales empresas de certificación en España son AENOR, BuroVeritas y DNV.
La certificación del SGC según la norma ISO 9001:2000 AENOR está acreditada por la Entidad Nacional de Acreditación (ENAC) para la certificación de sistemas de la calidad ISO 9001, de sistemas de gestión medioambiental ISO 14000, verificación medioambiental y sistemas de la calidad QS 9001 para el sector de automoción. En cuanto a la certificación de productos está acreditada para la certificación de 22 sectores.
Antònia Mas Pichaco
El proceso de certificación según AENOR
33
34
17
¨ Marca AENOR de Empresa Registrada. Es una marca de conformidad con normas. Con ella se da a entender que el sistema de gestión de la calidad de la organización licenciataria a la que se concede es objeto de las auditorías y controles establecidos en el sistema de certificación y que AENOR ha obtenido la adecuada confianza en su conformidad con la Norma UNE-EN ISO 9001.
Antònia Mas Pichaco
El proceso de certificación según AENOR
La certificación del SGC según la norma ISO 9001:2000
¨ Adicionalmente, AENOR entrega, junto con el certificado de Registro de Empresa, el certificado IQNet que facilita el reconocimiento internacional del certificado de AENOR.
La certificación del SGC según la norma ISO 9001:2000 ¨ L'Agència de Qualitat Universitària de les Illes Balears rep l'acreditació AENOR La delegada d'AENOR a les Illes Balears, Eva Subirà, lliurarà al conseller d'Educació i Cultura, Francesc Fiol, i a la rectora de la UIB, Montserrat Casas, l'acreditació AENOR ISO 9001:2000 de qualitat de gestió atorgada a l’AQUIB.
Antònia Mas Pichaco
El proceso de certificación según AENOR
35
Dia: dilluns, 7 de maig de 2007
36
18
¨ Análisis de la documentación. La documentación de carácter general del sistema de gestión de la calidad de la empresa es sometida a un análisis por parte de los auditores, reflejando en un informe las observaciones detectadas. Esta fase puede realizarse en la empresa o en las oficinas de la empresa certificadora, según la decisión de la empresa. Si la documentación es conforme se pasa a la etapa siguiente, sino el auditor indica las causas de la no conformidad y, según el tipo de desconformidades, se da un tiempo para subsanarlas y se vuelve a enviar la documentación. Como noconformidad se entiende a un incumplimiento de un requisito especificado en el SGC.
Antònia Mas Pichaco
El proceso de certificación según AENOR
La certificación del SGC según la norma ISO 9001:2000
La certificación del SGC según la norma ISO 9001:2000 ¨ Visita previa (Optativo). Los auditores visitan la empresa con los siguientes objetivos: Comprobar el grado de implantación y adecuación del sistema de gestión la calidad de la empresa. Coordinar el plan de auditoria inicial. Las auditorías no se realizan por sorpresa, sino que se planifican y se avisa con antelación a los afectados. La planificación se incluye en el “Plan de auditoria”. Aclarar cuantas dudas pueda tener la empresa sobre el proceso de certificación.
Antònia Mas Pichaco
El proceso de certificación según AENOR
37
38
19
¨
Auditoria inicial. El equipo auditor evalúa en detalle mediante una auditoria en las instalaciones de la organización auditada la implantación del SGC. Esta auditoria se realiza mediante entrevistas al personal implicado en sus puestos de trabajo. El objetivo es cuádruple: Comprobar que se cumple cada uno de los requisitos de la norma. Comprobar que se conoce y respeta la política de la empresa y sus procedimientos. Evaluar la corrección de las prácticas implantadas frente al sistema definido. Comprobar que el sistema de gestión contribuye a la consecución de los objetivos definidos por la propia compañía.
Antònia Mas Pichaco
El proceso de certificación según AENOR
La certificación del SGC según la norma ISO 9001:2000
¨ Completada la Auditoria Inicial, se emite el “Informe de auditoria” que recoge los detalles de la misma y las no-conformidades detectadas.
La certificación del SGC según la norma ISO 9001:2000 ¨ Plan de acciones correctoras. La empresa auditada dispone de un plazo de tiempo establecido por los auditores para corregir las no-conformidades que aparecen en el “Informe de auditoria” y presentar a la empresa certificadora el “Plan de acciones correctoras”. En él se indica cómo se han corregido las noconformidades y se incluye la documentación necesaria que evidencie la implantación de las correcciones.
Antònia Mas Pichaco
El proceso de certificación según AENOR
39
40
20
¨ Evaluación y Certificado. Los servicios de la empresa certificadora evalúan el informe de auditoria y el plan de acciones correctoras, procediendo en el caso de ser correcto, a la concesión del Certificado de Registro de Empresa y del Certificado IQNet. Este certificado tiene una validez de cuatro años y esta sujeto a unas condiciones de mantenimiento. Para cumplir con estas condiciones, se acordará con la empresa certificadora un plan de auditorías periódicas. ¨ En el caso de existir no-conformidades críticas o que la certificadora no de por correcto el plan de acciones correctoras, entonces se tendría que realizar otra auditoria extraordinaria transcurrido un plazo mínimo de seis meses.
Antònia Mas Pichaco
El proceso de certificación según AENOR
La certificación del SGC según la norma ISO 9001:2000
La certificación del SGC según la norma ISO 9001:2000 Inicio
Análisis de la documentación
Visita previa
Informe de la auditoria
Auditoría extraordinaria
Auditoría del sistema de gestión
No
¿ Existen no conformidades?
Antònia Mas Pichaco
El proceso de certificación según AENOR
41
Sí
Respuesta a las no conformidades
Plan de acciones correctivas
Evaluación y decisión
No
¿ Cumple los requisitos?
Sí
Concesión del certificado
Fin
42
21
La certificación del SGC según la norma ISO 9001:2000
Estas certificaciones únicamente tenían en cuenta los aspectos que debía cumplir el SGC sin plantearse la mejora continua de los procesos. La certificación ISO 9001 garantizaba que los procesos se realizaban, pero no que se llevaban a cabo adecuadamente. La Norma especificaba las acciones que debían llevarse a cabo pero no indicaba cómo debía realizarse, es decir, no planteaba el camino de mejora del proceso. En general, era muy costoso para la propia empresa establecer la política, la infraestructura, los medios y los procedimientos necesarios para garantizar la mejora continua de sus procesos.
Antònia Mas Pichaco
¨ En su momento, las certificaciones basadas en el estándar ISO 9000 y en su extensión para el software ISO 9000-3, no fueron muy tenidas en cuenta dentro del marco de la mejora continua del proceso de software, principalmente debido a que:
43
La certificación del SGC según la norma ISO 9001:2000
¨ Actualmente, con la nueva versión de la Norma, su orientación a procesos y a la mejora continua de éstos, parece que se está consiguiendo una mayor apuesta de las empresas por la mejora real de sus procesos, aunque los beneficios competitivos y de marketing que les ofrece la obtención del certificado siguen siendo un objetivo prioritario y totalmente lícito para todas las organizaciones, especialmente en el campo de las 44 pequeñas y medianas empresas.
Antònia Mas Pichaco
Las certificaciones de calidad basadas en el estándar ISO 9000 sólo proporcionaban un aprobado o un suspenso cuando lo deseable de un método es que proporcione un perfil detallado de los puntos fuertes y débiles de la empresa en la producción de software, que permitan así establecer un plan de mejora para cumplir el estándar. Estas certificaciones eran casi siempre vistas por la empresa que las obtenía, únicamente como una ventaja clara frente a sus competidoras, en lugar de buscar la mejora de los procesos de la organización y del entorno de trabajo.
22
La certificación del SGC según la norma ISO 9001:2000
Antònia Mas Pichaco
¨ Según datos del sitio Web de AENOR, únicamente se han certificado según la norma ISO 9001 en todo el territorio español, 82 empresas del sector del desarrollo del software durante los últimos 5 años, desde el 2000 hasta el 2004. ¨ Según el Instituto Nacional de Estadística, el número total de empresas del sector “Consultoría de aplicaciones informáticas y suministro de programas de informática” era, a finales del 2004, de 12.187 empresas. Así pues, el número de empresas certificadas según ISO 9001 en este sector a finales del año 2004 representaba, aproximadamente, un 0,7%. Quizás este dato pueda resultar indicativo para deducir el grado de importancia que la empresa de desarrollo de software española dedica a la tenencia de este certificado. 45
Antònia Mas Pichaco
La norma ISO 90003:2004
46
23
La norma ISO/IEC 90003:2004
Antònia Mas Pichaco
¨ La versión vigente de la norma ISO/IEC 90003:2004 Software Engineering – Guidelines for the Application of ISO 9001:2000 to Computer Software, tiene sus orígenes en la antigua ISO 9000-3:1997 Guía para la aplicación de la norma ISO 9001:1994 al desarrollo, suministro, instalación y mantenimiento del software. ¨ Este estándar internacional, tal y como su nombre indica, ofrece una guía para la aplicación de la norma ISO 9001:2000 en empresas de desarrollo de software. ¨ Para cada apartado de la norma ISO 9001:2000, ofrece una descripción de la interpretación o adaptación que debe realizarse en el caso de las empresas de desarrollo de software. El apartado más amplio es, con diferencia, el punto 7 de la norma: Realización del producto, que es donde se detallan los aspectos relacionados con el desarrollo de software. También se amplían algunos aspectos del punto 8: Medición, Análisis y Mejora.
La norma ISO/IEC 90003:2004 ¨ 7.1 Planning of product realization. The organization shall plan and develop the processes needed for product realization. Planning of product realization shall be consistent with the requirements of the other processes of the quality management system. ¨ In planning product realization, the organization shall determine the following, as appropriate: a) quality objectives and requirements for the product; b) the need to establish processes, documents, and provide resources specific to the product; c) required verification, validation, monitoring, inspection and test activities specific to the product and the criteria for product acceptance; d) records needed to provide evidence that the realization processes and resulting product meet requirements
Antònia Mas Pichaco
ISO 9001:2000, Quality management systems — Requirements
47
¨ The output of this planning shall be in a form suitable for the organization's method of operations. ¨ NOTE 1 A document specifying the processes of the quality management system (including the product realization processes) and the resources to be applied to a specific product, project or contract, can be referred to as a quality plan. ¨ NOTE 2 The organization may also apply the requirements given in 7.3 to the development of product realization processes. 48
24
ISO 90003:2004 Guidelines. 7.1.1 Software life cycle
¨ Processes, activities and tasks should be planned and performed using life cycle models suitable to the nature of a software project, considering size, complexity, safety, risk and integrity. ISO 9001:2000 is intended for application irrespective of the life cycle models used and is not intended to indicate a specific life cycle model or process sequence. ¨ Design and development can be an evolutionary process and procedures may therefore need to be changed or updated as the project progresses, after consideration of changes to related activities and tasks. ¨ Consideration should be given to the suitability of the design and development method for the type of task, product or project and the compatibility of the application, the methods and the tools to be used. For products where failure may cause injury or danger to people, or damage or corruption of property or the environment, design and development of such software should ensure definition of specific design and development requirements that specify desired immunity from, and response to, potential failure conditions. ¨ Software development planning should result in a definition of what products are to be produced, who is to produce them, and when they are to be produced (see 7.3.1). Software quality planning at the project/product level should result in a description of how specific 49 products are to be developed, assessed or maintained.
Antònia Mas Pichaco
La norma ISO/IEC 90003:2004 ¨ Quality planning provides the means for tailoring the application of the quality management system to a specific project, product or contract. Quality planning may include or reference generic and/or project/product/contractspecific procedures, as appropriate. Quality planning should be re-visited along with the progress of design and development, and items concerned with each stage should be completely defined when starting that stage. Quality planning may be reviewed and agreed by all organizations concerned in its implementation, as appropriate. ¨
¨
NOTE 1 A document that describes quality planning may be an independent document (entitled quality plan), a part of another document, or composed of several documents, including a design and development plan. NOTE 2 ISO/IEC 12207[11] and ISO/IEC 12207:1995/Amd.1:2002[12] include quality planning and development planning as a single planning activity leading to the creation of project management plan(s). A mapping table is provided in Annex B, to show how the items in 7.1.1 and 7.3.1 are satisfied by the related items in ISO/IEC 12207:1995, 5.2.4.5, 5.3.1.4 and 6.3.1.3.
Antònia Mas Pichaco
ISO 90003:2004 Guidelines. 7.1.2 Quality planning
La norma ISO/IEC 90003:2004
¨ Software quality planning at the project level should address the following: 50
25
¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨ ¨
a) inclusion of, or reference to, the plans for development (see 7.3.1); b) quality requirements related to the product and/or processes; c) quality management system tailoring and/or identification of specific procedures and instructions, appropriate to the scope of the quality manual and any stated exclusions (ISO 9001:2000, 1.2); d) project-specific procedures and instructions, such as software test specifications detailing plans, designs, test cases and procedures for unit, integration, system and acceptance testing (see 8.2.4); e) methods, life cycle model(s), tools, programming language conventions, libraries, frameworks and other reusable assets to be used in the project; f) criteria for starting and ending each project stage; g) types of review, and other verification and validation activities to be carried out (see 7.3.4, 7.3.5 and 7.3.6); h) configuration management procedures to be carried out (see 7.5.3); i) monitoring and measurement activities to be carried out; j) the person(s) responsible for approving the outputs of processes for subsequent use; k) training needs in the use of tools and techniques, and scheduling of the training before the skill is needed; l) records to be maintained (see 4.2.4); m) change management, such as for resources, timescale and contract changes.
Antònia Mas Pichaco
ISO 90003:2004 Guidelines. 7.1.2 Quality planning
La norma ISO/IEC 90003:2004
La norma ISO/IEC 90003:2004 ¨ Quality planning, however abbreviated, is particularly useful to clarify limited quality objectives for software being designed for a limited purpose. Examples of limited-purpose software include proof-of-concept demonstration prototypes, a research computation used only by its designer, an interim solution lacking features such as security or full operational performance that will be implemented in a future output, and onetime data analysis reports. ¨ Limited-purpose software should be tested in ways that are consistent with its planned use to reduce the possible occurrence of unintended omissions and errors. ¨ NOTE 3 For further general guidance related to ISO 9001:2000, 7.1, see the following: — ISO/IEC 12207:1995[11], 5.2.4 (planning), 5.3.1 (development process implementation), and 6.1 to 6.8, and ISO/IEC 12207:1995/Amd.1:2002[12], F.2 (supporting life cycle processes); — ISO/IEC 9126-1:2001[5]; — ISO/IEC 14598-2[14]; — ISO/IEC TR 15846:1998[27], 6.2 (planning of configuration management); — ISO/IEC TR 16326:1999[30], 6.2.2 (planning of project management).
Antònia Mas Pichaco
ISO 90003:2004 Guidelines. 7.1.2 Quality planning
51
52
26
La Guía TickIT
Antònia Mas Pichaco
¨ Como resultado de un informe encargado por el DTI (Department of Trade and Industry) del Reino Unido, que documentaba el estado de la calidad de software y de su aplicación en las empresas de desarrollo, se pudo observar que había cierto desinterés de los productores de software en adoptar la norma ISO 9000, y que sus argumentos en contra se centraban en el alto Nivel de generalidad de la Norma y en que la terminología que se utilizaba resultaba de difícil interpretación para este tipo de empresas. Así pues, el Gobierno de la nación y a través de la BCS (British Computer Society), decidió iniciar el proyecto TickIT en el año 1991. ¨ El principal objetivo de TickIT era proporcionar un marco de gestión de calidad para las empresas de desarrollo de software, que contemplara un conjunto de procedimientos de soporte a la evaluación y certificación según la norma ISO 9001. El resultado fue la elaboración de una Guía adaptada a tales necesidades y orientada al mercado británico. ¨ Actualmente está en funcionamiento la quinta y última versión de la Guía (TickIT 2001), que fue publicada al mismo tiempo que la ISO 9001:2000, siendo necesaria una gran revisión de las versiones anteriores para poder dar soporte a los nuevos requisitos de gestión de calidad del estándar. En la Guía se puede encontrar todo un conjunto de material de soporte, entre el que se incluyen: 53
La Guía TickIT ¨
¨
¨ ¨ ¨
¨
Antònia Mas Pichaco
¨
Guías actualizadas y mejoradas para la interpretación y aplicación de la ISO 9001:2000 al desarrollo de software. Proporcionan información detallada sobre cómo implantar un SGC en este sector. La Guía TickIT además ayuda en la definición de métricas específicas para los procesos de este tipo de empresas. Una información general sobre la aplicación de TickIT en la mejora de procesos de software, orientada a la obtención de la certificación de calidad según la norma ISO 9001:2000. Referencias bien detalladas de todos los procesos del ciclo de vida del software según la norma ISO/IEC 12207, para que puedan utilizarse como ayuda en la aproximación orientada a procesos de los sistemas de gestión de calidad de las empresas. Guías actualizadas y mejoradas para los proveedores. Guías actualizadas y mejoradas para los auditores. Guías actualizadas y mejoradas para los clientes de los sistemas software, centradas en motivar al cliente en la participación de las diferentes actividades, para así poder obtener la calidad del producto y del servicio deseado. Casos de estudio que muestran cómo las empresas más grandes han utilizado otros modelos de mejora de procesos tales como el modelo CMM, SPICE, o incluso el modelo de excelencia europeo EFQM. 54
27