Si tu empresa de servicios TI quiere diferenciarse, ganar contratos con grandes clientes o dar el salto a la contratación pública, tarde o temprano aparece la pregunta: ¿cuánto cuesta implantar ISO 20000? La respuesta honesta es que depende de varios factores, pero en este artículo te damos rangos orientativos reales del mercado español en 2026, explicamos qué los mueve y qué puedes hacer para controlar el presupuesto desde el primer día.
Qué es la ISO/IEC 20000-1 y por qué la piden los clientes
La ISO/IEC 20000-1:2018 es el estándar internacional para la gestión de servicios de tecnologías de la información (ITSM). Define los requisitos que debe cumplir un Sistema de Gestión de Servicios TI (SGSTI): desde la planificación y el diseño de servicios hasta la gestión de incidencias, cambios, niveles de servicio y proveedores.
España es uno de los países europeos con mayor número de organizaciones certificadas en ISO 20000: según los datos del registro ISO Survey, el país figura de forma constante entre los líderes europeos en este estándar (fuente: ISO Survey). Esto refleja la madurez del sector TI español y la presión que ejercen los grandes clientes —banca, administración pública, gran distribución— para que sus proveedores de servicios gestionados acrediten esta norma.
A diferencia de lo que ocurre con ISO 9001, cuya implantación está muy extendida en todos los sectores, ISO 20000 es específica del ámbito TI: gestión de servicios en la nube, soporte técnico, desarrollo gestionado, operaciones de centro de datos, servicios de ciberseguridad, etc. Esto hace que el proceso de implantación requiera un consultor con doble perfil: conocimiento del estándar y conocimiento real de operaciones TI.
Partidas de coste: en qué se gasta realmente el dinero
El presupuesto total de un proyecto ISO 20000 se divide en tres grandes bloques:
- Consultoría de implantación: análisis de brechas (gap analysis), diseño del SGSTI, documentación de procesos, formación interna y acompañamiento en auditorías internas.
- Auditoría de certificación: las dos etapas (Stage 1 y Stage 2) que realiza el organismo certificador acreditado (AENOR, Bureau Veritas, SGS, Lloyd's Register, etc.). Esta partida la paga la empresa directamente al certificador.
- Coste interno: horas del equipo TI dedicadas al proyecto (responsable de calidad, responsable de operaciones, jefes de servicio). Este coste suele infravalorarse y es el que más varía entre empresas.
Rangos de precio orientativos del mercado español (2026)
Los datos siguientes son rangos de mercado orientativos obtenidos de la observación del sector en España; no representan tarifas de ninguna consultora en particular. El precio final depende del tamaño de la empresa, su madurez previa en ITSM y el alcance del certificado.
| Perfil de empresa | Empleados en TI | Madurez previa | Consultoría (rango orientativo) | Auditoría certificadora (rango orientativo) | Plazo estimado |
|---|---|---|---|---|---|
| Pyme TI sin procesos formales | 5-15 | Baja (sin ITIL ni ITSM) | 8.000 € – 14.000 € | 3.000 € – 5.500 € | 10-14 meses |
| Pyme TI con ITIL básico implantado | 15-40 | Media (procesos informales documentados) | 12.000 € – 22.000 € | 5.000 € – 9.000 € | 7-10 meses |
| Empresa mediana de servicios gestionados | 40-100 | Alta (ITIL v4, herramienta ITSM activa) | 18.000 € – 35.000 € | 8.000 € – 14.000 € | 5-8 meses |
Nota: Los rangos anteriores son orientativos para el mercado español en 2026. No incluyen el coste interno de horas del equipo, que puede oscilar entre 150 y 400 horas según el perfil de empresa. La auditoría de vigilancia anual y la re-certificación trienal tienen coste adicional.
Factores que más mueven el precio
1. Madurez previa en ITSM
El factor con mayor impacto en el presupuesto. Una empresa que ya trabaja con ITIL v4, tiene una herramienta ITSM activa (ServiceNow, Jira Service Management, Freshservice…) y documenta sus SLA tendrá un gap analysis favorable: es posible que el 60-70 % de los requisitos de ISO 20000 ya estén cubiertos en la práctica. En ese caso, la consultoría se centra en cerrar brechas documentales y preparar las auditorías internas, lo que reduce significativamente el tiempo y el coste.
Por el contrario, una empresa que presta soporte técnico de forma reactiva, sin catálogo de servicios ni acuerdos de nivel de servicio formalizados, necesita construir el SGSTI desde cero: definir el catálogo, diseñar los procesos de gestión de incidencias y de cambios, establecer el plan de capacidad y el de continuidad, y crear toda la documentación requerida por la norma. Eso multiplica las horas de consultoría.
2. Alcance del certificado
ISO 20000 permite certificar un alcance parcial: solo los servicios TI que la empresa quiera incluir. Una pyme que gestiona dos o tres servicios bien definidos (p. ej., soporte de puesto de trabajo y gestión de redes para un sector concreto) puede mantener el alcance acotado, lo que simplifica la auditoría y reduce honorarios de certificación. Ampliar el alcance a más servicios, localizaciones o líneas de negocio encarece proporcionalmente.
3. Número de sedes y empleados en alcance
Los organismos certificadores calculan sus honorarios de auditoría en función del número de jornadas de auditor, que a su vez depende del número de personas en alcance y del número de sedes. Una pyme con un único centro de trabajo y equipo de 10 personas pagará auditorías notablemente más baratas que una con 80 personas distribuidas en tres provincias.
4. Modalidad de consultoría: presencial vs. remota
Desde la pandemia, el trabajo de consultoría ISO se ha adaptado al formato remoto. La consultoría 100 % online o híbrida puede reducir los honorarios de implantación entre un 20 % y un 35 % respecto al modelo presencial tradicional, sin merma apreciable en la calidad del resultado final, siempre que el equipo interno esté comprometido y disponible para las sesiones virtuales.
5. Certificación conjunta con ISO 27001
Muchas pymes TI abordan ISO 27001 e ISO 20000 en paralelo, ya que comparten estructura de alto nivel (HLS/Anexo SL), requisitos de gestión de riesgos, control de documentos y auditorías internas. Hacerlos conjuntamente puede suponer un ahorro de entre el 20 % y el 30 % en consultoría respecto a dos proyectos independientes, y los organismos certificadores suelen ofrecer descuentos en auditorías integradas. Si tu empresa ya tiene ISO 27001 y quiere añadir ISO 20000, la parte de infraestructura del sistema de gestión está amortizada: solo hay que adaptar los procesos específicos de ITSM.
Si quieres valorar ese escenario combinado, te recomendamos consultar nuestro servicio de consultoría ISO 20000 para ver cómo se puede estructurar el proyecto según tu situación de partida.
Cómo se estructura un proyecto típico de ISO 20000 en una pyme TI
Fase 1 — Diagnóstico y planificación (4-6 semanas)
El primer paso es el gap analysis: confrontar la situación actual de la empresa con todos los requisitos de la norma ISO/IEC 20000-1:2018. El resultado es un informe de brechas que prioriza los procesos que necesitan más trabajo y sirve como hoja de ruta del proyecto. En esta fase también se define el alcance del certificado, que debe estar perfectamente delimitado antes de empezar a construir documentación.
Fase 2 — Diseño e implantación del SGSTI (3-8 meses)
Se construyen o adaptan los procesos requeridos por la norma: catálogo de servicios, acuerdos de nivel de servicio (SLA) con clientes y contratos de apoyo (OLA/UC) con proveedores, gestión de incidencias y peticiones, gestión de cambios, gestión de problemas, gestión de la configuración, planificación de capacidad y disponibilidad, y gestión de la continuidad del servicio. Cada proceso necesita un procedimiento documentado y evidencias de su funcionamiento real.
Fase 3 — Auditoría interna y revisión por la dirección (4-6 semanas)
Antes de presentarse ante el organismo certificador, la norma exige al menos un ciclo completo de auditoría interna y una revisión formal por parte de la dirección. La consultoría acompaña en la preparación de estas actividades y en el cierre de las no conformidades detectadas.
Fase 4 — Auditoría de certificación Stage 1 y Stage 2
El organismo certificador acreditado por ENAC realiza primero una revisión documental (Stage 1) y después una auditoría en profundidad de la implantación real (Stage 2). Si no se detectan no conformidades mayores, se emite el certificado. El certificado tiene validez de tres años, con auditorías de vigilancia anuales intermedias.
Organismos certificadores acreditados en España
Para que la certificación ISO 20000 tenga plena validez, el organismo que la emite debe estar acreditado por ENAC (Entidad Nacional de Acreditación) para el esquema de gestión de servicios TI. Los principales en España son AENOR, Bureau Veritas Certification, SGS ICS, Lloyd's Register, TÜV SÜD y DNV. Antes de firmar con un certificador, conviene comparar honorarios de auditoría y disponibilidad de auditores con experiencia real en ITSM, ya que la diferencia de precio entre organismos puede superar el 30 %.
ROI: por qué las pymes TI recuperan la inversión
La ISO 20000 no es un sello decorativo. En el mercado TI español, tener el certificado activo abre puertas concretas:
- Licitaciones públicas: los pliegos de contratación de servicios gestionados de TI para administraciones públicas, hospitales y universidades incluyen con frecuencia ISO 20000 como requisito de solvencia técnica o criterio de valoración.
- Contratos con grandes empresas: banca, seguros, utilities y gran distribución exigen cada vez más ISO 20000 a sus proveedores de servicios gestionados como condición de homologación de proveedor.
- Reducción de incidencias repetitivas: el proceso de gestión de problemas que exige la norma obliga a ir a la causa raíz, no solo a resolver el síntoma. Las empresas que lo aplican con rigor reportan una reducción notable de incidencias recurrentes en los 12-18 meses posteriores a la certificación.
- Mejor gestión de proveedores: la norma exige controlar los OLA y UC con subcontratistas; esto reduce los problemas de calidad que vienen del exterior de la organización.
ISO 20000 e ISO 27001: la combinación más habitual en pymes TI
En la práctica, la mayoría de las pymes TI que se plantean ISO 20000 ya tienen o están pensando en ISO 27001 (seguridad de la información). Ambas normas comparten la estructura de alto nivel de Anexo SL, lo que permite unificar el sistema de gestión, las auditorías internas y buena parte de la documentación. Si tienes ISO 27001 vigente, añadir ISO 20000 es significativamente más económico que construirla de cero, porque el 40-50 % del sistema de gestión ya está en marcha.
Desde Summum, llevamos desde 2007 acompañando a empresas de servicios TI en la implantación de sistemas de gestión, con especial experiencia en proyectos combinados ISO 27001 + ISO 20000 para pymes con sede en Castilla y León y Canarias. La certificación la emite siempre un organismo acreditado por ENAC; nosotros preparamos a tu equipo para llegar a esa auditoría con las máximas garantías.
Preguntas frecuentes
¿ISO 20000 es obligatoria por ley en España?
No, ISO 20000 no es una norma de obligado cumplimiento legal en España. Su implantación es voluntaria. Sin embargo, en determinados contextos se convierte en un requisito de facto: los pliegos de licitación de contratos de servicios TI en el sector público la incluyen cada vez más como criterio de solvencia técnica, y muchas grandes corporaciones privadas la exigen a sus proveedores de servicios gestionados como condición de homologación. En ese sentido, «voluntaria» no significa «opcional» si quieres acceder a determinados mercados.
¿Cuánto tarda en obtenerse el certificado desde cero?
Para una pyme sin madurez previa en ITSM, el plazo realista desde el inicio del proyecto hasta la emisión del certificado es de 10 a 14 meses. Si la empresa ya trabaja con ITIL y tiene procesos documentados, ese plazo puede reducirse a 6-9 meses. Los plazos más cortos que se publicitan en el mercado (3-4 meses) corresponden a empresas con sistemas de gestión muy maduros y alcances muy acotados; no son representativos de la mayoría de pymes.
¿Qué ocurre si el auditor encuentra no conformidades?
Durante la auditoría Stage 2, el auditor puede detectar no conformidades mayores (el proceso no existe o no funciona de forma sistémica) o no conformidades menores (el proceso existe pero tiene deficiencias puntuales). Las menores se cierran en un plazo acordado con el organismo certificador, generalmente 30-90 días, aportando evidencias de corrección. Las mayores requieren una visita adicional del auditor para verificar el cierre, lo que genera coste adicional. Una buena preparación previa —con una auditoría interna rigurosa— minimiza el riesgo de encontrar no conformidades mayores el día de la auditoría oficial.
¿El certificado ISO 20000 tiene fecha de caducidad?
Sí. El certificado ISO 20000 emitido por un organismo acreditado tiene una validez de tres años. Durante ese período, el organismo realiza auditorías de vigilancia anuales (generalmente de menor duración que la auditoría inicial) para verificar que el sistema de gestión sigue funcionando. Al final del tercer año, se realiza una auditoría de re-certificación completa. Los costes de vigilancia y re-certificación deben incluirse en el presupuesto plurianual del proyecto.