ISO 9001:2000 - Sirve para una empresa de software?

Me realizaron esta pregunta hace unos días y la respuesta no es obvia para mi. 

En primer lugar hay que tener en claro que no hay una empresa de software genérica, pues dentro del software, hay productos que tienen grandes diferencias funcionales y criticidad.  Lo que puedo opinar es sobre Concepto que es una empresa que tiene algunos desarrollos mas o menos productizados y son usados por algunas empresas de america latina. Estamos certificados desde el 2003.

Que es ISO 9001:2000?. 
Son un conjunto de normas, que rigen la forma en que las organizaciones que las cumplan, deben crear su sistema de gestión de calidad.  En ellas se establecen que controles son obligatorios para los procesos de la empresa, que hay que hacer determinadas mediciones, chequeos con los clientes, etc. 

Originalmente se aplicaban a empresas industriales, por lo que adaptarlas a empresas de servicios o desarrollo de software era bastante traumatico, cosa que mejoró muchisimo con la version del año 2000. 

Para cumplir con las normas ISO 9001:2000 debe decir lo que hace (escribiendo un manual de calidad) y hacer lo que dice (pues se auditan los procesos, donde se chequean que se este cumpliendo con lo que esta determinado en el manual de calidad). 

Teniendo una certificación ISO 9001:2000 se producen productos de buena calidad?. 
El cumplimiento de la norma, no garantiza la calidad de los productos. Uno puede establecer un procedimiento y un manual de calidad, en donde se diga que lo que se va a fabricar es una porquería y si se cumple con los requisitos basicos, puede tener una porquería certificada. Por ejemplo, puedo decir en mi manual, que voy a instalar en mis clientes todos los programas que genere sin realizar absolutamente ningun testeo funcional. Si cumplo que lo que digo en mi manual de calidad, puedo certificar mi empresa, aunque el producto no tenga buena calidad. 

Entonces para que sirve?
Por lo pronto, la norma exige fijarse objetivos a nivel de la empresa. Creo que todas las empresas deben tener en forma mas o menos formal, que es lo que quieren que la empresa sea, y por lo tanto fijarse alguna meta en lo que tienen que realizar en el año. 

La norma exige también tener procesos y dichos procesos tienen puntos de control e indicadores. Por ejemplo se pueden tener : 
  • Proceso de atencion al cliente
  • Proceso de desarrollo de software
  • Proceso de testeo de software
  • Proceso de deployment
  • Capacitación de usuarios
  • Capacitación de los integrantes de la empresa
Para cada uno de estos procesos, hay que definir un procedimiento a seguir e indicadores de como se estan realizando estos procedimientos .

Tambien hay algunos mecanismos para el manejo de documentación, de forma de mantenerla actualizada y la obligación de que la dirección de la empresa tenga participación activa en los objetivos y calidad de la empresa. 

Otras de las cosas que la norma obliga, es a tener auditorias internas y una vez al año externas. Es algo muy bueno pues ayuda a tener controlados los procesos. 

Que es lo que hay que evitar?. 
Al haber trabajado para varias empresas que estan certificadas en calidad y al haber participado en la certificacion de Concepto, he visto que algunas veces se termina "trabajando para la norma", o sea, adaptando algun procedimiento a lo que dice la norma, sin pensar si se esta agregando valor al proceso en general.  

El procedimiento debe  pensarse para brindar lo maximo a la empresa y luego hacerle los ajustes necesarios para cumplir la norma y no al reves. Siempre se encuentran formas originales de cumplir las normas aportando al proceso. 

Cosas a tener en cuenta.
En una empresa de software, casi siempre existe una tensión grande, entre la innovación que hay que tener para mantenerse al dia con la tecnología y para entregar nuevas funcionalidades a los clientes y la entrega de productos sin defectos a los clientes (que se hace mas facil, cuando hay pocos cambios). 

Esta tensión inevitable,  y muchas veces se tiene una seccion de la empresa dedicada a la investigacion y otra al proceso de desarrollo, documentacion e instalacion. 

El cumplimiento de normas es mucho mas aprovechable, cuando hay procesos bien conocidos y repetibles, y los mismos pueden medirse y optimizarse. 

Es dificil establecer procesos repetibles para la innovación,  pues si se tuvieran, no se estaría haciendo algo realmente nuevo.  Por eso es bueno, que este proceso dentro del manual de calidad, tenga gran libertad de acción (o sea poco detalle de como se realiza) y recien introducir estas mejoras al proceso mas controlado, cuando ya se haya comprobado su eficacia. 

Por lo tanto, la certificación bajo la norma ISO 9001:2000 es muy buena para lo que es captura de requerimientos, analisis, programación, atención al cliente, documentacion e instalación, pues es algo que la empresa debe hacer en forma controlada y repetible. 

Debe usarse con cuidado para el estudio de nuevas tecnologías, betatesting o cualquier proceso que no esté maduro en la organización. 

Conclusión. 
Para nosotros, la aplicación de la norma nos ha dado buenos resultado. Nos permitió ordernar varias de nuestros proceso y además nos dio un marco consistente para la mejora en el tiempo.
Después del segundo año, las auditorías no causan ningún stress en la organización y creo que esto es muy bueno. 

PD: El post quedó muy largo. Si tengo ganas despues escribo sobre algunas diferencias entre CMM (de donde usamos algunas cosas) y ISO 9001. 

PD2: Uno de los problemas mas grandes que encontramos es en la nomenclatura que utiliza la norma que no es la misma que usamos en el dia a dia. Por ejemplo, los terminos de validación, verificación a veces se chocan y mezclan con los de testeo, pruebas y chequeo con el cliente. 

Verificación
confirmación mediante la aportación de evidencia objetiva de que se han cumplido los requisitos de diseño especificados

Validación
confirmación mediante la aportación de evidencia objetiva de que se han cumplido los requisitos para una utilización o aplicación específica prevista

Comentarios

  1. Me gustaría aportarte con referencias de mi blog, Gestión Calidad para ISO 9001:2000. Te invito a que revisen Gestión de Calidad. Espero que sea un aporte interesante.

    ResponderBorrar
  2. Totalmente en desacuerdo con "Uno puede establecer un procedimiento y un manual de calidad, en donde se diga que lo que se va a fabricar es una porquería y si se cumple con los requisitos basicos, puede tener una porquería certificada". Sencillamente es mentira. Si no haces pruebas sobre el software que desarrollas tendrás no conformidades en bastantes puntos de la norma. Otra cosa es que engañes al auditor y haya empresas certificadas que presten mal servicio; que las hay muchas.

    ResponderBorrar
  3. Miwesly:
    La norma te obliga a probar tu software y a mostrar que esas pruebas son exitosas. Tambien se exige que se cumpla con lo que el cliente pidio.

    Con estas dos exigencias, si las llevamos hasta un punto irracional, se puede lograr un software de porqueria certificado iso 9000.

    Porque? Por que los clientes pueden no exigirme un buen software y yo puedo poner que mis pruebas sean tan poco exigentes que pasen, si logro que mi programa compile.

    En general, una empresa que certifica no va a querer hacer estas cosas, pues no tiene sentido la inversion de tiempo y dinero para hacer las cosas mal, pero sostengo que el cumplir la norma, no garantiza buen software, sino un software que cumple con el proceso que se establece en el manual de calidad. Si el proceso es malo, o no garantiza buenos resultados, el software puede ser malo tambien, y estar certificado.

    Gracias por el comentario.

    ResponderBorrar
  4. La norma ISO 9001 y los entes certificadores NO SIRVEN PARA NADA. La certificación de los SGC es un negocio de porquería. NO SIRVE, NO SIRVE, NO SIRVE!!! Dejen de defender lo indefendible, las auditorías hacen agua por todos lados!!! Cumplir con todos los ridiculísimos caprichos de la norma y peor aún, de los auditores, es burocracia plena. POR FAVOR!!! Abran los ojos y acepten las cosas como son!

    ResponderBorrar
    Respuestas
    1. Anonimo:
      Discrepo con tu opinion.
      Entiendo el punto en el que dices que hay un negocio montado detras de las normas, y es cierto. Pero de ahi, a decir que no sirven, hay un paso enorme.

      Si te preocupas en adaptar lo que piden los auditores (que no siempre es racional) en algo que sirva a la empresa, te puedo asegurar que estar certificado sirve.

      Lo que no se puede es TRABAJAR PARA LAS NORMAS, o sea hacer algo solo porque las normas los piden, sino que hay que lograr trabajar dentro de ellas de forma productiva.

      He visto muchas empresas que terminan haciendo tareas muy burocraticas para cumplir con la norma, pero en mi empresa hemos tratado de evitar esto y lo estamos logrando (en la mayoria de los casos).

      Soy uno de los que paga por las auditorias y por tener un sistema de calidad y te puedo asegurar que no estoy arrepentido de haberlo hecho, pues es bueno saber que todo esta auditado al menos una vez al año.

      Borrar
  5. En mi trabajo el auditor viene a ver como va la empresa y siempre le encuentra alguna cosa para arreglar. Cuando nos adaptamos a lo que pide el auditor nos vuelve a encontrar otra cosa distinta. No entiendo por que no nos dice de una vez todo lo que esta "mal" en vez de hacernos perder TANTO tiempo con tantas auditorias... Para mi estos "sistemas de calidad" no son otra cosa que NEGOCIO. La empresa en donde estoy existe desde el año 93 (es una PYMES) y siempre funciono de 10 sin estas auditorias ridiculas. Incluso sobrevivio al 2001 y cada día crece mas. Para lo unico que sirve la ISO 9001 es para decir: "Estoy certificado por ISO 9001, mi empresa funciona bien!"... Para mi es pura y exclusivamente una perdida de tiempo y dinero que se podria aprovechar para otras cosas Un saludo, Juan.

    ResponderBorrar
  6. Lo que debemos preocuparnos, antes de esclavizarnos de la norma, es mejorar los productos y servicios que le vamos a ofrecer al cliente. Investigar, innovar, estudiar las necesidades del cliente, invertir en tecnología para el desarrollo de nuevos productos. Llenar formatos, requisitos, y demás documentos de la norma, son solo burocracia, para eso ponga a la secretaria a hacer ese trabajo.

    ResponderBorrar
  7. Anonimo, tratar de mejorar los productos y servicios, es algo indispensable para lograr que las empresas se mantengan vigentes con el tiempo.
    La ISO9000 puede ayudar en esa tarea. Si ves las tareas relacionadas con la ISO, solo como "llenar formatos, requisitos y demas documentos", puede ser que el sistema de calidad de tu empresa no este bien adaptado a la realidad de ustedes.
    Por ejemplo, llevar un registro de los proveedores y evaluarlos al menos una vez al año, parece algo bastante razonable.
    Tambien conozco empresas que estan certificadas, en las cuales se realizan los registros unicamente para cumplir con la certificacion y no porque se vea que aporte valor al proceso.

    ResponderBorrar
    Respuestas
    1. Es lo que pasa acá, se certifica solo para tener el sello, a nadie le interesa mucho el SGC. Hubo una pregunta que un Auditor no me pudo contestar con claridad (su respuesta fue muy vaga...) Yo en la empresa tengo UN solo proveedor para un producto (se le compra directamente al fabricante, que trae sus productos de afuera) pero sin embargo la norma me obliga a medirlo... Mi pregunta, de que me sirve medir un solo proveedor si no puedo elegir otro?... La respuesta del auditor fue: "Para poder entender como funciona el proveedor y asi adaptar mis procedimientos"... ok, tengo que YO adaptar mis procedimientos solo por UN proveedor???, me parece una locura. Incluso con el tema de las trabas a las importaciones ese proveedor no puede traer productos y los plazos de entrega se vuelven eternos. Cuando antes demoraban 30 días ahora demoran 120, entonces la medicion que hago sobre ese proveedor va a arrojar resultados negativos por un agente externo que ni el ni yo podemos controlar. La nueva respuesta del auditor fue: "Y si, eso vas a tener que tenerlo en cuenta en tus procedimientos"... Y si las trabas a la importacion se vuelven mas permeables y entran productos, pero luego de un tiempo vuelve a haber trabas.. como hago?... la respuesta fue: "Vas a tener que adaptar en cada caso tus procedimientos"... Ok, por cada vez que haya un cambio tengo q adaptar mis procedimientos para medir a mi UNICO proveedor el cual incumple con los plazos de entrega por un tema AJENO a el y a mi empresa... La respuesta del auditor fue: Si...
      Carece completamente de lógica, esa medicion no me va a ayudar a saber si es mejor o peor proveedor (dejando de lado que no puedo comprarle a otro), sino que me va a llevar todavia mas trabajo cambiando mis procedimientos para adaptarlos segun las trabas a las importaciones... Lo que se puede hacer con un simple llamado telefonico preguntando cuando llegan los productos se transforma en un engorroso y sin sentido trabajo de andar cambiando procedimientos segun las importaciones. Me parece demasiado burocratico. La ISO 9001 puede ser util como SGC, ayudar en los procesos de tu empresa, pero tambien los vuelve tediosos y te obliga a realizar documentación sin sentido.

      JUAN

      Borrar
    2. Juan:
      Entiendo el punto de vista y se que esos problemas pueden pasar.
      El caso de tener solo un proveedor, puede definirse que no es necesario evaluarlo.
      Por ejemplo, para nosotros Artech, es proveedor de nuestra herramienta de desarrollo (GeneXus).
      Es el creador y el unico proveedor de la misma, no tenemos opcion mas que comprarle a ellos, si queremos usar GeneXus. Aun asi, los evaluamos todos los años, pues esto nos obliga a compararlo con otras herramientas de desarrollo. De esta forma, podemos ver si nuestra empresa esta usando herramientas competitivas o no.
      Creo que aunque se tenga un unico proveedor, en algunos casos es bueno evaluarle todas las compras, porque se puede negociar con el mejoras en las entregas o al menos justificar decisiones propias.

      Una cosa que veo es que la percepcion del valor de las normas ISO9000 depende mucho del nivel que se tenga en la piramide de la empresa, pues los niveles mas operativos tienden a no valorar las tareas, mientras que los niveles mas gerenciales si le encuentran valor a las mismas tareas.

      Borrar
    3. Enrique:

      No creo que se necesite de una evalucación para negociar mejores en las compras. Si al encargado de compras le paso un informe sobre datos de como negociar las compras me va a mirar con cara de "En serio?". El negociador actua por instito, por experiencia... no por un papel en donde le muestro determinadas estadisticas (por ejemplo) y yo creo que a ISO eso es lo que le molesta, no puede entender que no todo se tiene que documentar. Yendome a un extremo, pareciera que tengo que mandarle un mail al encargado de mi sector informandole el horario en el que salgo a comer y el horario en el que vuelvo para que todo quede archivado y documentado según el manual de procedimientos en vez de decirle: "Che Marce, me voy a almorzar..."
      Yo creo que la ISO descarta que exista comunicación directa entre personas fuera de lo que es una documentación, un registro, etc. Para ISO si no esta documentado, no sirve. Insisto, exceso de burocracia. No tienen en cuenta las relaciones interpersonales, la confianza entre colegas, todo se basa en datos y registros.

      Borrar
    4. Para negociar una compra, no se necesita evaluar. Lo que se necesita (para algunos insumos) es tener registro de cuando se atraso un proveedor al entregar productos que son criticos, para mi proceso.
      Si no lo son o hay varios proveedores y lo consigo en el mercado, no es critico. Pero si es un producto del cual depende mi produccion, es fundamental poder controlar que todo se entregue a tiempo y saber que fue lo que se atraso y cuando se atraso. Lo que creo que esta mal en tu ejemplo, es que esa tarea de registro y uso de la informacion, la tiene que hacer quien compra y le tiene que encontrar utilidad la persona que compra y quienes gestionan los materiales. Si aun no lo entienden asi, posiblemente todavia tengan oportunidades de mejora en los procesos para optimizar y no hacer tan pesadas dichas compras.

      Tambien hay que tener un poco de criterio para evaluar lo que te dicen los auditores. Por ejemplo a nosotros nos pusieron una observacion, porque no teniamos evaluadas las compras de las UPS. En toda la historia de Concepto hemos comprado 3 UPS y no la veiamos como criticas (aun seguimos sin verlo). Entonces decidimos no seguir dicha observacion y dejar la compra de las UPS por fuera de la evaluacion de proveedores.

      Borrar
    5. Enrique, pedirle al encargado de compras que haga una evaluación es practicamente imposible. Esta es una PYMES, por lo tanto el encargado de compras es el gerente de administración y de RRHH, asi que si le asigno una tarea más me va a tirar la norma por la cabeza! jejeje. Para mi ISO esta mas orientado a empresas grandes, lo cual no significa que una PYMES no pueda certificar, sino que el auditor externo debería tener en cuenta que no poseemos los mismos recursos que una multinacional. Yo soy el unico en el sector de calidad (me tiraron el fardo a mi solito) y poseeo tambien otras tareas relacionadas a infraestructura y ventas. Si yo decido que la evaluación de proveedores no es una herramienta útil dentro de la empresa el auditor externo me va a levantar una NC sin tener en cuenta si el proceso me sirve o no. Lamentablemente se rigen pura y exclusivamente por la norma (la tienen tatuada en el pecho).

      Borrar

Publicar un comentario

1) Lee el post
2) Poné tu opinión sobre el mismo.
Todos los comentarios serán leidos y la mayoría son publicados.

Entradas más populares de este blog

La nefasta influencia del golero de Cacho Bochinche en el fútbol uruguayo

Aplicación monolítica o distribuida?

Funcionalidades de GeneXus que vale la pena conocer: DATE Constants.