Empresa Excelente Los mejores artĂculos publicados por ISOTools Excellence en enero de 2015
ISOTools Excellence. Software ISO Estrategia, Procesos, Personas. Resultados Excelentes
ISO 14001
Más información en nuestra web www.isotools.org
El camino hacia la Excelencia
2
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
ÍNDICE DE CONTENIDOS
Contenidos enero 2014 ¿QUIÉNES SOMOS Y QUÉ HACEMOS?
4
LA PLATAFORMA TECNOLÓGICA
5
ISO 14001: Planificación estratégica
6
ISO 27001: Seguridad informática y seguridad de la información
9
ISO 9001:2015, desarrollo e implementación de la estrategia
12
ISO 14001: Los planes de formación para un Sistema de Gestión Ambiental
14
OHSAS 18001: Idoneidad, eficacia y adecuación para una Revisión por la Dirección
16
ISO 9001:2015, COSO como metodología de gestión de riesgo
18
ISO 27001: Pilares fundamentales de un SGSI
20
ISO 14001: Estructura de la documentación de un Sistema de Gestión Ambiental
22
OHSAS 18001: Auditoría en los Sistemas de Gestión de Seguridad y Salud en el Trabajo
24
ISO 9001:2015, metodología COSO III para la gestión de riesgos
27
ISO 14001: La verificación en el Sistema de Gestión Ambiental
29
La familia de normas ISO 27000
31
OHSAS 18001: Tipos de auditoria para las organizaciones
33
ISO 9001:2015, los principios de la ISO 31000 para adecuar la Gestión de Riesgos
35
ISO 14001: Cómo controlar riesgos, hacer una auditoría interna y una revisión por la dirección
37
ISO 27001: Gestión de Seguridad de la Información mediante el modelo de pirámide
39
OHSAS 18001: Planificación de auditorías
41
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
3
Más información en nuestra web www.isotools.org
QUIÉNES SOMOS Y QUÉ HACEMOS
¿Quién está detrás del software para la gestión de la excelencia nº 1 a nivel mundial? Somos ISOTools Excellence, una consultora que ayuda a las organizaciones comprometidas con la calidad y la excelencia a optimizar sus modelos y sistemas de gestión, aportando soluciones innovadoras para la gestión de la estrategia, los procesos y las personas, facilitando su aplicación, haciéndolos accesibles, ágiles y medibles, y aportando resultados en el corto plazo, gracias a una plataforma tecnológica de desarrollo propio llamada ISOTools.
4
Consultoría Estratégica
Innovación Tecnológica
Expertos consultores al servicio de los clientes, que muestran de manera personalizada a cada organización, la alternativa más sencilla y práctica de operar generando un impacto real en los resultados y proporcionando una ventaja competitiva sostenible en el tiempo.
ISOTools apoya la labor de consultoría en su plataforma tecnológica, a través de la cual ofrece soluciones integrales, aplicando continuamente la innovación tecnológica como medio de adaptación a las necesidades del mercado, requisitos normativos y tipología de organización.
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
Software ISO, BSC y BPM
Software ISO, BSC y BPM Desarrollada en entorno Web con el objetivo de cumplir los requisitos de las normas ISO y de modelos de Acreditación y Excelencia, ISOTools resulta una herramienta ideal para implantar, mantener y mejorar continuamente los Sistemas de Calidad, Medio Ambiente, Riesgos Laborales, Seguridad de la Información, Seguridad Alimentaria, Modelos de Acreditación, Modelos de Excelencia como EFQM, Modelos de Planificación Estratégica: Balanced Scorecard, entre otros.
SOLUCIONES PARA TODOS LOS SECTORES
SISTEMAS DE GESTIÓN NORMALIZADOS
MODELOS DE GESTIÓN Y EXCELENCIA
MÓDULO BASE
¿Por qué elegir ISOTools?
¿Cómo es ISOTools?
> Resultados Excelentes: Ese es el principal beneficio que se obtiene del uso de ISOTools, el motivo por el que fue creado y el motor que impulsa a todos los que se encuentran detrás de la herramienta.
> Fácil de usar. ISOTools es, ante todo, usable e intuitivo. Diseñado para ser fácil. Cuenta con potentes funciones de roles y personalización.
> Eficacia y Efectividad. La información se encuentra centralizada, lo que aumenta la eficacia en la gestión. > Máximo retorno de la inversión: Invertir en ISOTools es invertir en mejora, y la mejora siempre deriva en beneficios. > Impacto positivo en el medio ambiente: Reduciendo el consumo de papel se respetan los recursos naturales. > Facilidad en la toma de decisiones: La herramienta ofrece una visión global de la organización que facilita la toma de toma de decisiones y las hace más certeras. > Gestión del conocimiento y mejora continua: ISOTools fortalece la retención del conocimiento sobre la propia organización y ayuda a las organizaciones a gestionar su información, de una manera sistemática y eficiente, permitiendo de esta forma el establecimiento de programas de mejora continua. > Ahorro de tiempo y costes: Se le puede dedicar más tiempo y recursos a lo que verdaderamente importa. > Mejora del trabajo en equipo: Y eso se ve reflejado en los resultados. > Satisfacción de los clientes: Los clientes son lo más importante de su negocio. Con las mejoras obtenidas por el uso de ISOTools la satisfacción de los clientes está garantizada.
> Flexible. Sea cual sea el tamaño de su organización o sector, ISOTools puede configurarse para satisfacer sus necesidades. > Funcional. En pocas palabras, esta aplicación líder posee múltiples funcionalidades y características. > Accesible. En su modalidad de contratación Cloud, ISOTools le permite llevar a cabo sus gestiones desde cualquier lugar con conexión a internet. > Integrable. ISOTools es un sistema de módulos fácilmente integrables que le convierten en una herramienta escalable y adaptable. > Confiable. ISOTools garantiza la integridad, seguridad y confidencialidad de los datos, salvaguardándolos mediante copias de seguridad. > Fiable. ISOTools es una herramienta con un gran bagaje, lo que la convierte en una solución de confianza ampliamente testeada. > Multidispositivo. Posibilita la gestión 360° de su organización desde cualquier lugar utilizando dispositivos móviles, ordenadores de sobremesa o tablets. > Asequible. No es necesaria una gran inversión. ISOTools es una de las soluciones más rentables del mercado en su área. > Multiligüe. Toda la información de la plataforma está disponible en varios idiomas
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
5
Más información en nuestra web www.isotools.org
ISO 14001: Planificación estratégica El elemento esencial de un Sistema de Gestión Ambiental basado en la norma ISO 14001 es, sin obtener ninguna duda, la identificación y evaluación de los aspectos ambientales. Incluso, este requisito de la norma nos facilitará sentar las bases para distintos requisitos, entre los que se encuentra la propia política ambiental, metas y programas, el establecimiento de objetivos, competencia, formación y toma de conciencia, control operacional, preparación y respuesta ante emergencias, seguimiento y medición, y evaluación del cumplimiento legal.
nados, entre otras, con alguna de las siguientes cuestiones:
Centrándonos en este requisito de la norma ISO-14001, identificación y evaluación de aspectos ambientales, la organización debe establecer un primer método de identificación de los aspectos ambientales derivados de sus actividades, procesos, productos y servicios, y posteriormente otro para efectuar una correcta evaluación, y clasificarlos a la importancia de su impacto ambiental asociado.
• Emisiones atmosféricas
En el momento en el que un aspecto ambiental produce un impacto tal que debe ser considerado por la organización, éste se dice que es significativo. Los aspectos ambientales significativos detectados en una organización deben tenerse en cuenta en el establecimiento posterior de los objetivos, metas y programas del Sistema de Gestión Ambiental. Los aspectos e impactos medioambientales están relacio-
6
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
• Uso de agua • Uso de energía • Utilización de productos químicos • Uso de materias primas y empleo de recursos naturales • Almacenaje • Vertidos • Generación de residuos • Contaminación y degradación del suelo • Riesgo de accidentes • Otros (vibraciones, ruido, olores, etc.) Para implantar un Sistema de Gestión Medioambiental una organización deberá disponer de uno o varios procedimientos para identificar y evaluar sus aspectos ambientales. Una forma sencilla de cumplir con este requisito de la norma es la conocida como el método de los procesos de flujo, en el cual cada actividad, proceso, producto o servicio de una organización es analizado individualmente para determinar cuáles son sus aspectos ambientales. El méto-
Software ISO, BSC y BPM
do podría estructurarse en los siguientes pasos: • La organización deberá identificar, de manera detallada, cada una de las actividades, procesos, productos o servicios con los que cuenta y además realizar un listado de las instalaciones, para posteriormente ir analizándolo todo. • Identificar los aspectos ambientales relacionados con cada una de las actividades, etapas de los procesos productivos, servicios, productos o instalaciones auxiliares de la organización. • Finalmente, la organización deberá identificar los impactos ambientales asociados a cada uno de los aspectos. Una vez identificados todos los aspectos e impactos ambientales de una organización, se hace necesaria la evaluación de cada uno de ellos para establecer su grado de significación conforme al Sistema de Gestión Ambiental basado en la norma ISO14001. La organización debe identificar los aspectos ambientales significativos Para contribuir en la implementación de un SGA, se expone un modelo que establece 5 criterios para calcular la significación de los impactos ambientales de una organización: • Relevancia del impacto identificado. • Gravedad. • Probabilidad. • Duración. • Reversibilidad. Todos los aspectos ambientales de una organización deberán ser evaluados atendiendo a estos criterios. Los aspectos ambientales calificados como significativos servirán para sentar las bases sobre las que se desarrolle el Sistema de Gestión Ambiental.
La organización debe identificar los aspectos ambientales significativos • Reglamentos, directivas, decisiones, recomendaciones y dictámenes procedentes de la Unión Europea. • Leyes, reales decretos legislativos, reales decretos ley, reales decretos, órdenes ministeriales y resoluciones procedentes del Estado español. • Las leyes y decretos procedentes de las distintas comunidades autónomas. • Las ordenanzas municipales. • Autorizaciones, permisos, declaraciones administrativas, etc. relacionado con el medio ambiente. Con el término “otros requisitos” se pretende ampliar este punto de la norma ISO-14001 a todos aquellos requisitos de carácter no legal que sean de aplicación en la organización. En consecuencia, para que el Sistema de Gestión Ambiental sea efectivo será necesario incluir la identificación de todas las regulaciones y acuerdos vinculantes de carácter no legal, incluyendo: • Requisitos o especificaciones de clientes, accionistas, etc. • Códigos de buenas prácticas ambientales.
Requisitos legales y otros requisitos
• Acuerdos con la Administración, etc.
Para poder implementar un Sistema de Gestión Medioambiental, una organización debe asegurar que ha identificado y tiene acceso a los requisitos legales y otros requisitos que pueda suscribir en relación con sus aspectos ambientales.
La organización que ha identificado adecuadamente todos los requisitos, deberá además establecer una sistemática para actualizar de forma periódica toda la información relacionada con ellos.
Será necesario describir la manera en la que la organización accede a los requisitos de carácter legal que le son de aplicación, relacionados con sus aspectos ambientales considerando todas las figuras legales posibles:
Con toda la información obtenida, la organización deberá elaborar y actualizar periódicamente: • Una lista con los requisitos legales aplicables y otros requisitos, clasificados por aspectos ambientales, la referencia legal o fuente de los mismos, el artículo o artí-
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
7
Más información en nuestra web www.isotools.org
culos pertinentes, las áreas de la empresa a las que se aplica y las posibles observaciones.
• Los requisitos legales y otros requisitos aplicables. • Los aspectos/impactos ambientales significativos.
• Un listado de las autorizaciones y licencias administrativas, indicando la referencia legal, el organismo encargado de su concesión, fecha y periodo de validez, así como observaciones en las que se incluya la documentación necesaria u otros requisitos para su concesión.
• Las opciones tecnológicas.
Objetivos, Metas y Programas
• Resultados de revisiones y auditorías anteriores.
La organización, con el fin de implantar correctamente un Sistema de Gestión Ambiental, establecerá, implementará y mantendrá al día objetivos y metas ambientales adecuados a los niveles y funciones de la organización, así como uno o varios programas para alcanzar dichos objetivos y metas.
Una vez definidos los objetivos y las metas ambientales, la organización debe dar un paso más y establecer las responsabilidades, plazos de consecución de objetivos y metas, observaciones y fechas de consecución, conformando un programa de gestión ambiental de esta manera.
Una vez identificados los aspectos e impactos ambientales significativos de la organización, es necesario establecer unas líneas de actuación para llevar a cabo un proceso de mejora continua de carácter ambiental. Los objetivos permiten a la organización marcar el nivel de mejora de la gestión ambiental para un periodo de tiempo determinado, proporcionando un marco para definir las actuaciones asociadas a la mejora del sistema. Las organizaciones deberán tener en cuenta a la hora de establecer sus objetivos respecto al SGA los siguientes puntos:
• Los condicionantes económicos, financieros, operacionales y comerciales. • La opinión de las partes interesadas.
Las acciones específicas contenidas en los programas de gestión deberán reflejar el orden de prioridad de los aspectos significativos de la empresa. Es necesario que las organizaciones integren y asuman dentro de su propia planificación estratégica los programas de gestión ambiental contemplando todos los objetivos y metas propuestos. La revisión de los programas debe realizarse periódicamente para comprobar si se han alcanzado los objetivos y metas propuestos para la implantación de un Sistema de Gestión Ambiental.
VERSIÓN ONLINE http://www.isotools.org/2015/01/01/iso-14001-planificacion-estrategica/
8
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
Software ISO, BSC y BPM
ISO 27001: Seguridad informática y Seguridad de la información
A lo largo de este artículo veremos la diferencia que existe entre seguridad informática y seguridad de la información. La norma ISO 27001 nos posibilita conocer la seguridad de la información gracias a la implantación de un Sistema de Gestión de Seguridad de la Información.
las vulnerabilidades de estos activos. Expuesto lo anterior, sí podemos realizar la determinación de los riesgos teniendo como referencia:
Seguridad informática
• Amenazas: rango de 3 a 5.
La totalidad de los especialistas en seguridad basan sus conocimientos y experticias sobre el aspecto técnico tradicional de la seguridad, esto es en las áreas IT, aunque bastantes de ellos consideran las cuestiones propias como el nuevo aspecto en las comunicaciones y que hace que actualmente se hable de TIC.
En el caso de que más tarde se pretenda determinar qué hacer con los distintos riesgos, en el mayor número de casos se persigue mitigar hasta conseguir un nivel aceptable, por lo que habrá que implantar las medidas de seguridad que se consideren oportunas para tal efecto.
Además de tener un enfoque técnico prácticamente, los especialistas únicamente se manejan con las vulnerabilidades y en parte con amenazas en forma de ataques, todo lo dicho no se considera suficiente para hablar de los riesgos correspondientes. Con el fin de establecer una evaluación de riesgos, se necesita realizar una evaluación a los activos, además de identificar cualquier amenaza que pueda aprovechar y explotar
• Activos: con un rango de 5 a 8. • Vulnerabilidades: rango de 3.
Si encontramos riesgos con características técnicas, el enfoque más eficaz es llevar a cabo un análisis gracias a los estándares técnicos o bien gracias a las normas internacionales, como la ISO 27002, en la que se realizan todos los controles necesarios y se determina el nivel en que se tiene que implantar para minimizar los riesgos que se encuentren a niveles aceptables. Hasta llegado este punto hablamos de seguridad informática. Este término es una traducción del inglés, information
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
9
Más información en nuestra web www.isotools.org
security, el sentido que recoge dicha problemática se aproxima más a términos como pueden ser “computer security” o network security”. Seguridad de la información Estamos ante un proceso en que se está produciendo modificaciones, por lo que el término Seguridad de la Información está tomando una traducción más acertada sobre information security. Aunque aún hay muchos especialistas que siguen nombrándolo según el enfoque técnico que hemos comentado anteriormente.
La evaluación de los activos no se encuentra al alcance de la mayoría de los técnicos. Los propietarios de los procesos de negocio son quienes pueden determinar un valor correcto de los mismos y de allí derivar a los valores de los activos que se utilizan en las distintas funciones que componen cada caso.
La Seguridad de la Información es muy extensa, por lo que no es sólo una cuestión técnica sino que supone una responsabilidad de la alta dirección de la empresa, así como de sus directivos.
Seguridad de la Información y Seguridad Informática
Tenemos que tomar en cuenta que el ambiente TIC está orientado al servicio y a la actuación en función de los procesos de negocio. Se diferencia de los procesos centrales de la misma empresa que constituyen el núcleo de los negocios de la empresa.
El desarrollo que se ha experimentado en cuanto a seguridad informática al de seguridad de la información, implica incrementar el campo de visión del marco de riesgos de negocio respectos a la perspectiva tradicional de seguridad técnica, fundamentada en las vulnerabilidades.
En el caso de no involucrarse las unidades activas y los líderes de negocio, como podrían ser, ejecutivos, directivos, etc. de las entidades, no podrá existir un plan de Seguridad de la Información, a partir de todos los riesgos determinados. Todo ello se lleva a cabo en el seno del sistema de dirección y control propio del gobierno corporativo.
En el entorno de la seguridad de la información los riesgos de negocio incluyen, no sólo las vulnerabilidades y las amenazas, sino que incluyen también el conjunto de factores que determinan los riesgos:
Se tiene que considerar los sujetos, los procesos y las funciones de negocio, además de la protección de todos los activos/recursos de la entidad impulsora, propietaria y beneficiaria de la Seguridad de la Información, dentro de un marco de responsabilidades compartidas.
• Amenazas
Se tienen que considerar la totalidad de los riesgos técnicos de TIC, además de que la seguridad se desarrolle por toda la empresa, es decir, son riesgos organizacionales, operacionales y físicos. Los riesgos operacionales son hoy en día más cruciales en lo referente a Seguridad de la Información. Las vulnerabilidades de este tipo de riesgo se expanden durante una amplia gama de grises, en conexión con el comportamiento humano y los juicios subjetivos de las personas, la resistencia al cambio, la cultura empresarial, la forma de comunicarse, etc. Establecer las distintas vulnerabilidades de una empresa es un proceso muy distinto a las mediciones o lecturas tomadas con los ordenadores, servidores, rúters, etc. como normalmente no se disponen de datos históricos suficientes, realizar un análisis exacto se hace muy complicado. El aná-
10
lisis es completado con información que se puede recabar y que corresponda con la información subjetiva surgida de las opiniones distintas. Dichas opiniones pueden ser identificadas y analizadas a través del método de investigación prospectiva, seguido muy de cerca por entrevistas personales que establecen el valor de estas opiniones.
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
• Activos • Vulnerabilidades Los riesgos de negocio que incluyen los riesgos organizacionales, operacionales, físicos y de sistemas TIC. Podemos conseguir un enfoque completo de seguridad de la información en la parte en la cual se considera los recursos necesarios para minimizar los riesgos dentro de un plan de seguridad, no se puede considerar un gasto sino una inversión para la empresa. Solicita de un análisis y determinar de una manera cuantificable el retorno de las inversiones en seguridad. Sistema de Gestión de Seguridad de la Información La implantación de un Sistema de Gestión de Seguridad de la Información en las empresas supone un paso más para garantizar a los usuarios que la información manipulada por dicha empresa se realiza bajo la máxima seguridad.
VERSIÓN ONLINE http://www.isotools.org/2015/01/05/iso-27001-seguridad-informatica-seguridad-informacion/
Software ISO, BSC y BPM
¿Se imagina un software capaz de convertir su sistema o modelo de gestión en algo sumamente ágil y sencillo?
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
11
Más información en nuestra web www.isotools.org
ISO 9001:2015, desarrollo e implementación de la estrategia ISO 9001:2015 presenta unas novedades, las cuales tiene expectantes a los profesionales de ámbito de la calidad.
el resultado deseado de su Sistema de Gestión de la Calidad”.
El análisis del contexto de nuestra entidad es una de las novedades mencionadas anteriormente. Se considera razonable que sepamos no hacer bien las cosas, sino hacerlas adecuadamente.
Este apartado lo podemos traducir en que cualquier entidad tendrá que concentrarse en sus factores estratégicos internos y externos, en aquello que es relevante para su propósito y tienen que deshacerse de cualquier barrera que no permita alcanzar los resultados requeridos.
La estrategia de nuestra entidad tiene que estar incluida en nuestro Sistema de Gestión de la Calidad. Dicho enfoque estratégico incrementará la eficacia del sistema que estamos liderando, nos ayuda a estructurar nuestros objetivos principales y a concentrarnos en actividades que nos conducirán al cumplimiento de los resultados que deseamos obtener. Esto se produce gracias a que comprendemos y entendemos la situación en la que nos situamos. El entorno de una entidad está constituido por factores internos y externos y por otros diferentes aspectos que pueden perjudicar a la misma entidad, A los productos o servicios, a las inversiones y a las partes interesadas. El ISO/DIS 9001, en su párrafo 4.1 Comprender la organización y su contexto, determina: “La organización debe determinar los factores internos y externos que son relevantes para su propósito y su dirección estratégica y que afecta a su capacidad para lograr
12
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
Los factores internos los podemos identificar como, entre otros, la cultura organizacional, la estructura organizativa, directrices aplicables a la organización, los productos y servicios, normas, roles y responsabilidades, flujos de información, políticas y objetivos, activos, capacidades de recursos y conocimiento, sistemas de información, procesos de toma de decisiones, etc. En cuanto a los factores externos los podemos identificar actitudes del consumidor, cuestiones climatológicas, factores sociales, la tecnología, políticas gubernamentales, impuestos, financiación, clientes, factores específicos del sector, guerras o conflictos, cuestiones monetarias, comercio internacional, entre otros. Se considera de bastante importancia que la entidad tenga claro e identifique cuáles son los factores a considerar en la implantación y planificación del Sistema de Gestión de la Calidad.
Software ISO, BSC y BPM
En el caso de no tomar en cuenta o dejarnos atrás algún factor de los más importantes puede afectar a la capacidad de la empresa para alcanzar los resultados esperados. Algunos ejemplos de factores internos y externos que perjudican al Sistema de Gestión de la Calidad basado en la ISO9001 podrían ser: • Clientes. • Empleados.
¿Qué factores se deben considerar en el desarrollo e implementación de la estrategia?
• Proveedores. • Inversionistas. • Medios de comunicación. • Competidores. En cuanto al análisis de contexto que propone ISO 9001:2015, supone una ayuda para tomar las decisiones estratégicas en la empresa con respecto al Sistema de Gestión de la Calidad. El proceso de trazado de la estrategia del Sistema de Gestión de Calidad engloba dos fases: desarrollo e implementación de la estrategia. Si nos centramos en el desarrollo de la estrategia tenemos que tener en cuenta estos cuatro elementos: • Qué vamos a hacer, qué productos y servicios vamos a ofrecer. • Para quién lo vamos a hacer, a qué clientes y mercados serviremos. • Por qué los usuarios nos comprarán, qué ventajas competitivas tendremos. • Dónde incidiremos, cuáles serán nuestros mercados prioritarios. Respecto a la implantación de la estrategia tenemos que tener en cuenta: • Cómo vamos a conseguir lo anterior, es decir el qué, el para quién, el por qué y el dónde. En el momento de tomar en cuenta decisiones estratégicas podemos plantear una serie de cuestiones que nos posibiliten este proceso, dichas cuestiones pueden ser: • ¿Qué factores externos sustentan nuestra estrategia y nuestro Sistema de Gestión de la Calidad según ISO 9001? • ¿Cómo nos vemos en el futuro? • ¿Qué medidas tendremos que emplear para evaluar
la eficacia de nuestro Sistema de Gestión de la Calidad baso en la ISO 9001? • ¿Qué criterios emplearemos para evaluar las oportunidades que tendrán nuestros nuevos productos o servicios? • ¿Qué valores orientarán a nuestro negocio? • ¿En cuáles de nuestras áreas de mercado tendremos que prestar una mayor atención o invertir más recursos? • ¿De qué modo el plan de implementación del Sistema de Gestión de Calidad que tenemos diseñado garantiza que los objetivos de la organización, de los procesos y personales dan apoyo a la estrategia? • ¿Qué tipo de clientes nuevos tendremos y cuáles de los ya existentes permanecerán con nosotros? • ¿Qué factores son los más significativos para nuestros clientes? • ¿Qué factores representan para nosotros una ventaja competitiva? • ¿En qué áreas nuevas de mercado habrá que prestar una mayor atención o invertir más recursos? Son cuestiones muy relevantes para que la empresa vaya hacia un buen tránsito. En post siguientes plantearemos algunos de los mecanismos que existen con el fin de conocer el contexto de la entidad, puede que la más conocida para nosotros sea la matriz FODA (Fortalezas, Oportunidades, Debilidades y Amenazas), pero se pueden encontrar muchas más.
VERSIÓN ONLINE http://www.isotools.org/2015/01/06/iso-9001-2015-desarrollo-implementacion-estrategia/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
13
Más información en nuestra web www.isotools.org
ISO 14001: Los planes de formación para un Sistema de Gestión Ambiental Para implementar un Sistema de Gestión Ambiental fundamentado en la norma ISO 14001, la dirección tendrá que garantizar siempre la disponibilidad de recursos que faciliten establecer, implementar, mantener y mejorar dicho sistema. El término recursos lo podemos interpretar, dependiendo de la madurez del sistema, recursos humanos, conocimientos especializados, equipos de medida y control, servicios financieros, contratación de servicios externos, etc. Este ámbito de la norma ISO14001 cobra mucha importancia, por lo que en él se puede apreciar el verdadero interés de la dirección en el Sistema de Gestión Ambiental o SGA. Tiene que estar definidos documentalmente y con detalle por parte de la dirección de la organización los puestos relevantes, desde el punto de vista del Sistema de Gestión Medioambiental. La dirección definirá uno (ante pequeñas o medianas empresas) o varios representantes (frente a grandes o complejas organizaciones), los cuales, independientemente de diversas responsabilidades dentro de la entidad, tendrán perfectamente definidas y documentadas sus funciones, responsabilidades y límites de autoridad con el fin de: • Garantizar día a día que el sistema sigue siendo conforme al modelo de esta norma internacional. • Informar a la dirección acerca del grado de aceptabilidad con que funciona el sistema, para que ésta, a lo largo del proceso de revisión, pueda incluir mejoras.
14
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
Se considera muy significativo que, aparte de definir adecuadamente las responsabilidades y funciones clave del SGA, la alta dirección comunique esto a la totalidad de sujetos que trabajen en la empresa o en su nombre. Por otro lado, la entidad tiene que realizar las acciones de sensibilización y formación necesarias con el fin de que todo el personal asuma sus funciones en el desarrollo del Sistema de Gestión Ambiental. Los trabajadores o cualquier sujeto que realice tareas para la empresa tienen que poseer los conocimientos necesarios sobre los impactos ambientales que puedan ocasionar, para poder actuar adecuadamente en cualquier momento. Para ello, es necesario que el personal haya recibido formación adecuada. Todos los trabajadores de la entidad tienen que ser conscientes de la importancia de cumplir todas las obligaciones del Sistema de Gestión Ambiental, de los beneficios para el medio ambiente derivados de sus actuaciones, de los inconvenientes de no hacerlo, así como su papel como elemento integrante del sistema. Todos los puestos de trabajo no son iguales, existen unos puestos de trabajo llamados puestos clave. Según el nivel de responsabilidad en las decisiones a tomar o las actividades que puedan generar en relación con los impactos ambientales la entidad identificará esos puestos clave, cuya formación será más específica. Se considera necesario identificar cualquier necesidad de formación relacionada con los aspectos ambientales y el
Software ISO, BSC y BPM
propio SGA, y analizar si los sujetos necesitan conocimientos y experiencia específica para llevar a cabo sus puestos. La entidad tiene que posibilitar la formación que identifique como necesaria para eliminar los impactos ambientales eludibles y tiene que mantener los registros asociados. La entidad, en el desarrollo de este apartado de la norma, ha de contar con una sistemática documentada que dé respuestas a: • La manera de identificar las necesidades de formación del personal. • La manera de documentar los métodos de formación seleccionados para cumplir con las necesidades detectadas y su alcance. La entidad se ocupará, aparte de definir los requisitos de formación y experiencia requerida para la realización de funciones que puedan influir en la gestión ambiental, asegurándose de que el personal que ocupa esos puestos cumple efectivamente con los requisitos necesarios. A los trabajadores o sujetos que trabajen en nombre de la entidad, se les tiene que comunicar: • La política ambiental y la importancia de mantener una conformidad con ella y con los procedimientos y requisitos del Sistema de Gestión Ambiental. • Los aspectos ambientales significativos, los impactos reales o potenciales asociados con su trabajo y las ventajas ambientales derivadas de su comportamiento, • Su responsabilidad en el seno del SGA. • Las consecuencias derivadas de la falta de cumplimiento de los procedimientos. De esta manera, cada sujeto sabrá en cualquier momento qué tiene que hacer en conexión con la gestión ambiental de la empresa, pudiendo verificarlo, comprobarlo e incluso corregirlo. La empresa, con el fin de poner en práctica los contenidos de este apartado de la norma, puede realizar un plan de formación que le ayude a llevar un control de las actividades formativas indicando los objetivos, tipos de formación, los plazos de consecución, el seguimiento, las fechas de control, colectivo receptos, recursos y la periodicidad de la actuación. La formación puede provenir de distintas fuentes. Entre los métodos de formación más destacados se encuentran los relacionados con el puesto de trabajo (formación directa por un superior o a través de rotación de oficios de igual nivel y responsabilidad) o con los externos (sustitu-
La entidad dará formación a los empleados para mitigar o eliminar impactos ambientales ción temporal y conferencias, seminarios, cursos, etc.). La entidad tiene que establecer las vías de comunicación necesarias para garantizar que toda la información relacionada con sus aspectos ambientales y con el propio Sistema de Gestión Ambiental se transmite correctamente a todas las partes interesadas. En este punto hay dos tipos de comunicación en la empresa: la interna y la externa. Estos dos tipos de comunicación tendrán que quedar plasmados en uno o varios procedimientos, teniendo en cuenta la comunicación interna entre las distintas áreas, accionistas, departamentos, etc. de la empresa y la externa entre las partes interesadas (administración, sociedad, etc.), reparando en el alcance de ésta. Para que la información de naturaleza ambiental llegue a quien la precisa a fin de decidir o actuar en el seno de la empresa, se tienen que prever y hacer funcionar métodos de comunicación interna. El procedimiento o los procedimientos, en el caso que sean varios, que la empresa desarrolle para alcanzar con este objetivo tendrán que incluir el mecanismo por el que la empresa comunica internamente, a cualquier nivel, la información relativa a los aspectos ambientales y el Sistema de Gestión Ambiental. También, se tendrá que indicar cómo se conservarán evidencias de dicha comunicación, las que pasarán a ser registros del sistema.
VERSIÓN ONLINE http://www.isotools.org/2015/01/07/iso-14001-planes-formacion-sistema-gestion-ambiental/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
15
Más información en nuestra web www.isotools.org
OHSAS 18001: Idoneidad, eficacia y adecuación para una Revisión por la Dirección El Sistema de Gestión de Seguridad y Salud Laboral basado en la norma OHSAS 18001 tiene como último elemento la Revisión por la Dirección. Es el elemento que pone fin al ciclo de mejora continua, a través de “Actuar” (A). Lo podemos definir como un “examen” de la entidad en el cual se analizan los datos y la información que suministra el sistema. Se considera un elemento de elevada utilidad ya que sirve para conseguir conclusiones que posibilitan la toma de decisiones dirigidas hacia la obtención de acciones de mejora. La alta dirección es la responsable de esta revisión, y se ocupará de revisar el Sistema de Seguridad y Salud en el Trabajo según la OHSAS-18001 de la entidad para asegurar su adecuación, conveniencia y eficacia. Dicha revisión tendrá como elementos de entrada los siguientes: • Resultados de auditorías y demás evaluaciones. Auditorías tanto internas como externas y evaluaciones como las relativas al cumplimiento de requisitos legales, reglamentarios y normativos aplicables. • Resultados de procesos de participación y consulta con los empleados. • Comunicaciones procedentes de las partes interesadas. • El desempeño de la Seguridad y Salud en el Trabajo de la misma entidad. • Grado de cumplimiento de los objetivos.
16
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
• Estado de acciones correctivas y preventivas. • Estado de las investigaciones de incidentes. • Seguimiento de las acciones nacidas de las revisiones por la dirección anteriores. • Cualquier otra modificación en las circunstancias. Cambios como la evolución de los requisitos legales y cualquier otro relacionado con la Seguridad y Salud Laboral y las oportunidades de mejora.
Resultado de auditorías El resultado de auditorías es uno de los elementos de entrada, tanto internas como externas. Estas auditorías ofrecen una serie de resultados que tendremos que analizar, sin limitarnos solamente a las No Conformidades. Los aspectos a analizar serían: • Causas. • Acciones repetitivas. • Gravedad de las no conformidades y sus efectos. • Áreas en las que se produjeron.
Comunicaciones de las partes interesadas Es fundamental tener en cuenta en la revisión las comunicaciones obtenidas por las partes interesadas, ya sean proveedores, vecinos, gobernación, etc. Se tendrá que incidir sobre aquellas comunicaciones de carácter legal, especialmente sin son infracciones legales que en las que haya incurrido la entidad e impliquen la
Software ISO, BSC y BPM
apertura de expedientes sancionadores. Este tipo de comunicaciones pueden llevar a la necesidad de implementar metodologías que requieran inversiones para obtenerlas.
Acciones correctivas y preventivas Tanto las acciones preventivas como las acciones correctivas son mecanismos que aportan mejoras importantes en la empresa, por lo que tienen que ser impulsadas desde la dirección. Tiene que existir un responsable de seguimiento de la totalidad de acciones emprendidas que, aparte de impulsarlas, apoye a todas las áreas de la entidad en su implantación, seguimiento y análisis. Con el fin de definir estas acciones se suelen usar unas fuentes de información, pudiendo variar de una entidad a otra, siendo las más usuales: • Incidentes y accidentes.
La importancia de la Revisión por la Dirección en los Sistemas de Gestión de Seguridad y Salud.
• Propuestas de mejora.
Es un mecanismo útil para desarrollar una comparativa entre dos ejercicios. Lo que se busca es identificar derivas posibles del Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la norma OHSAS 18001.
• Variaciones previstas o ya producidas.
Análisis de cambios
• Resultado de auditorías.
Los responsables principales tienen que participar en esta revisión por la dirección, de tal manera que se le permita la identificación de los mismos al nivel de toda la empresa.
• Comunicaciones externas. • Análisis de objetivos de Seguridad y Salud Ocupacional.
• Revisiones del sistema medioambiental. Tienen que prevalecer las actuaciones orientadas a anticiparse a todo problema a otras que se ejecutan para corregirlos. Esto se traduce en que es preferible potenciar la instauración de medidas preventivas respecto a las medidas correctivas. Analizando estas acciones extraeremos información como: • Nivel de eficacia de las acciones propuestas. • Costos provenidos de las incidencias, al igual que beneficios derivados de las acciones a ejecutar. • Grado de cumplimiento asignados en un principio a cada acción. • Departamentos afectados.
Resulta fundamental la identificación de las modificaciones previstas con el fin de planificar la implementación de los mismos. Los resultados de una revisión por la dirección, tienen que ser afines con el compromiso de mejora continua de la empresa e incluso añadir la totalidad de decisiones y acciones relativas a cambios en el desempeño de la Seguridad y Salud Ocupacional, los objetivos de política de Seguridad y Salud Laboral y los recursos y otros elementos distintos del propio Sistema de Gestión de Seguridad y Salud en el Trabajo. Toda revisión tendría que centrarse en la idoneidad, eficacia y adecuación del Sistema de Gestión.
• Causas, especificadas por tipología y carácter preventivo.
Seguimiento de revisiones anteriores De la revisión por la dirección resultará un informe que se utilizará en las siguientes revisiones del sistema.
VERSIÓN ONLINE http://www.isotools.org/2015/01/08/ohsas-18001-idoneidad-eficacia-adecuacion-revision-direccion/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
17
Más información en nuestra web www.isotools.org
ISO 9001:2015, COSO como metodología de gestión de riesgo En la nueva norma ISO 9001:2015 la innovación que más está llamando la atención a los usuarios del Sistema de Gestión de Calidad es la gestión de riesgos. Numerosos profesionales se preparan para hacer frente a este nuevo proyecto de norma y puede ser que estén revisando estándares para la gestión de cualquier riesgo. En este artículo hablaremos de uno de estos estándares de riesgo, este es COSO. Podemos desglosar COSO como el Committee os Sponsoring Organization og Treadway Commission, y se crea en 1985 como consecuencia de las malas prácticas empresariales y los años anteriores de crisis. Lo que se pretendía con esta iniciática era llevar a cabo un liderazgo intelectual para la gestión de riesgo empresarial, la disuasión del fraude y el control interno. En el año 1992, se publica el denominado COSO I con el fin de ayudar a las organizaciones a evaluar y mejorar sus sistemas de control interno. Dicho informe definió al control interno como un proceso generado por la dirección y demás trabajadores de una entidad y diseñado para proporcionar un grado de seguridad adecuado para la consecución de objetivos respecto a: • Confiabilidad de cualquier información financiera de la organización. • Cumplimiento de la normativa aplicable.
Pasamos a tener de 5 componentes en COSO I, a 8 en COSO II, siendo éstos: Ambiente de control Trata de los valores y filosofía de la entidad, este aspecto influye en la visión de los empleados de los riesgos y sus actividades de control. Es la base de sobre la que posicionan al resto de elementos, e influye fundamentalmente en los objetivos y en la estrategia. Establecimiento de objetivos Se lleva a cabo el establecimiento de objetivos tanto estratégicos como operativos, de información y de cumplimiento. Tiene que establecerse antes de la identificación de posibles acontecimientos que dificulten su consecución. Tienen que alinearse con la estrategia de la empresa. Identificación de eventos Nos interesa todo evento que pueda tener impacto sobre el cumplimiento de objetivos, pudiendo ser tanto negativos como positivos. Evaluación de Riesgos
• Actividades de control.
Se basa en la identificación y análisis de los riesgos fundamentales en la consecución de objetivos. Es necesario para poder determinar el efecto que podrían tener, de materializarse, en la consecución de objetivos. Se llevaran a cabo técnicas cuantitativas y cualitativas. La evaluación del riesgo primero se centrará en el riesgo inherente y, a continuación de éste, en el riesgo residual.
• Información y comunicación.
Respuesta a los Riesgos
• Supervisión.
La respuesta al riesgo será evaluada en base a cuatro clases: evitar, reducir, compartir y aceptar. En el momento que se tenga la respuesta al riesgo más correcta para una situación en cuestión, se efectuará otra evaluación del riesgo residual.
• Eficacia y eficiencia en operaciones. Dicho estándar se disponía dividido en 5 capítulos: Ambiente de control. • Evaluación de Riesgos.
En 2004, se publica COSO II o también, Enterprise Risk Management – Integrated Framework (ERM). Nosotros lo
18
conocemos como Marco Integrado de Riesgos, el que extendió el concepto de control interno de COSO I a la gestión de riesgos en la que se implica a la totalidad de la plantilla de la entidad.
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
Software ISO, BSC y BPM
Actividades de control
Objetivos relativos a la información suministrada a terceros
Se trata de políticas y procedimientos que aseguran la adecuada ejecución de acciones contra riesgos. Dichas actividades serán generadas en toda la entidad, a todos los niveles y funciones.
Son objetivos que perjudican a la efectividad del reporting de información suministrada.
Información y comunicación La información tiene que estar disponible para la totalidad de niveles de la empresa, para no cometer errores en la identificación, evaluación al riesgo y no comprometa la consecución de objetivos. Supervisión La supervisión consiste en el seguimiento de la metodología con el fin de garantizar que funciona adecuadamente y que está ofreciendo datos de calidad. COSO II es una metodología capaz de abordar la gestión de riesgos en las empresas desde un enfoque integrador y que signifique una gran oportunidad para crear valor para sus partes interesadas o stakeholders. COSO II define la gestión de riesgos corporativos de la siguiente manera: “La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la organización y diseñado para identificar eventos potenciales que puedan perjudicar a ésta, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos”.
Objetivos relativos al cumplimiento regulatorio Incluye cualquier objetivo relacionado con el cumplimiento, por parte de la empresa, de todos los requisitos legales, reglamentarios y normativos y aplicables. COSO II interrelaciona cada uno de los objetivos antes descritos con los ocho elementos que lo llevan a cabo y que más arriba definimos. En último lugar es necesario nombrar los beneficios que aporta la aplicación de este modelo, cabe destacar: • Ayuda a las exigencias normativas en la gestión y control de riesgos. • Permite una respuesta más rápida y mejor a los cambios del entorno, a los mercados y a las partes interesadas. • Permite obtener un conocimiento íntegro de los riesgos de la organización. • Mejora la reputación de la organización. • Aumenta la probabilidad de éxito en la implantación de la estrategia. • Proporciona un notable aumento de la credibilidad y confianza entre los mercados y grupos de interés. • Hace de la toma de decisiones un proceso más seguro.
La definición se caracteriza por:
• Asigna mejor y más eficientemente los recursos para la gestión de riesgos y oportunidades.
• Proporciona seguridad.
• Ofrece una gestión eficaz del control sobre los riesgos.
• Ser un proceso continuo.
• Identificación proactiva y aprovechamiento de oportunidades.
• Se orienta hacia la consecución de unos objetivos. • Estar diseñada para identificar peligros potenciales y gestionar los riesgos. • Se traslada a todos los niveles de la organización. En este ámbito, el modelo clasifica los objetivos de toda entidad en cuatro: Objetivos estratégicos Son los objetivos generados desde el mayor nivel de la empresa y están conectados con la misión y visión de la misma.
• Permite prever mejor los impactos de los riesgos que afectan a una organización. Como hemos podido observar, COSO II se orienta a la gestión del riesgo, materia que preocupa en el mundo de la calidad. La norma ISO9001:2015 no nos impondrá a usar ninguna metodología para este tema, por lo que evaluaremos esta opción entre otras y adoptaremos la que más nos convenga.
Objetivos operativos Los objetivos operativos son aquellos relacionados con la eficacia y eficiencia de las operaciones de la entidad, sin olvidar los relativos al desempeño y la rentabilidad.
VERSIÓN ONLINE http://www.isotools.org/2015/01/12/iso-90012015-coso-como-metodologia-gestion-riesgo/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
19
Más información en nuestra web www.isotools.org
ISO 27001: Pilares fundamentales de un SGSI El estándar ISO 27001 establece todos los requisitos necesarios a la hora de implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en cualquier tipo de empresa. La parte más importante de una empresa es la información. Evidentemente, la empresa contará con otro tipo de activos que también tendrán una destacada importancia, pero si la organización tiene algún problema en la Seguridad de la Información, ésta no podrá recuperarla. Esa es la principal razón por la que las empresas deben dedicar parte de su esfuerzo en garantizar la seguridad de la información corporativa. Habitualmente, la gestión de la Seguridad de la Información en una empresa se encuentra desorganizada, por lo que no cuenta con un criterio común, es decir, cada departamento de la organización cuenta con sus propios procedimientos y políticas, que han sido constituidas sin contar con las necesidades generales de la empresa e incluso podemos hablar de que se encuentran alejadas de los objetivos del negocio. Implementar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 es la manera más eficiente de poder conseguir la coordinación y gestión necesaria para alcanzar los objetivos de la organización y además puede conseguir que la organización salga mucho más reforzada.
20
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
Un Sistema de Gestión de Seguridad de la Información según la ISO27001 genera una garantía con la que sabemos que poder realizar una adecuada gestión de la seguridad de la información en la organización. Para ello, se debe realizar un tratamiento según los diferentes niveles de riesgos cosechados como consecuencia de considerar los distintos efectos que se pueden producir sobre la información de la organización. El Sistema de Gestión de Seguridad de la Información según la norma ISO-27001 genera un proceso de mejora continua y de gran flexibilidad frente a los cambios que se pueden producir en la empresa refiriéndonos a los procesos de negocio y a la tecnología, ya que ésta avanza a una gran velocidad. El SGSI se basa en tres pilares fundamentales: • Confidencialidad: es la garantía de acceso a la información de los usuarios que se encuentran autorizados para tal fin. • Integridad: es la preservación de la información completa y exacta. • Disponibilidad: es la garantía de que el usuario accede a la información que necesita en ese preciso momento. El Sistema de Gestión de Seguridad de la Información tiene que tener en cuenta los tres pilares fundamentales para realizar el tratamiento de los riesgos de la organiza-
Software ISO, BSC y BPM
ción ya que la implementación de los controles de seguridad son los activos de la organización. Sistema de Gestión de Seguridad de la Información Implantar un Sistema de Gestión de Seguridad de la Información se encuentra basado en la norma ISO-27001. Este estándar internacional presenta un sistema de gestión basado en el ciclo de Deming: Planificar, Hacer, Verificar y Actuar, cuyas siglas en inglés son PHVA. El ciclo Deming o ciclo PHVA, supone la implementación de un Sistema de Gestión que se centra en la mejora continua que requiere de una constate evolución para adaptarse a los cambios que se producen en la organización e intentar conseguir el mayor nivel de eficacia operativa. Procedemos a describir todas las actividades que realizan en cada una de las cuatro fases del ciclo Deming (PHVA): 1. Planificar: durante esta fase tiene lugar la creación de un Sistema de Gestión de Seguridad de la Información, con la definición del alcance y la política de seguridad. Para comenzar debemos realizar una análisis de riesgos que refleje la situación actual de la entidad. Una vez realizado el análisis obtendremos unos resultados que definirán el plan de tratamiento de riesgos que conlleva la implementación en la empresa de unos controles de seguridad con el objetivo de mitigar los diferentes riesgos no asumidos por la dirección. 2. Hacer: durante esta fase de la implementación nos centramos en el plan de tratamiento de riesgos, es decir, su ejecución. Se debe incluir la formación y la conciencias de los trabajadores de la organización en materia de seguridad y deben conocer la definición de métricas e indicadores que se utilizarán para evaluar la eficacia de los diferentes controles implementados. 3. Verificar: esta fase conlleva la realización de diferentes tipos de revisión en los que se comprobarán la correcta implementación del Sistema de Gestión de Seguridad de la Información según ISO 27001. Para ello, se deben realizar auditorías internas independientes y objetivas, además de llevar a cabo una revisión global del Sistema de Gestión de Seguridad de la Información por la alta dirección de la empresa, persiguiendo el fin de marcarse nuevas metas a cumplir durante el próximo ciclo del SGSI. 4. Actuar: El resultado obtenido de las revisiones debe quedar reflejado en la definición e implementación de las diferentes acciones correctivas, preventivas o de mejora con las que se consigue avanzar en la consecución del Sistema de Gestión de Seguridad de la Información siendo un sistema eficaz y eficiente.
El ciclo PHVA en un Sistema de Gestión de Seguridad de la Información Para implementar un Sistema de Gestión de Seguridad de la Información que se deben utilizar las dos normas, es decir, la ISO 27001 en la que se describe el ciclo PHVA de gestión de sistemas y el estándar internacional ISO27002 en la que encontramos la guía de implantación de los diferentes tipos de controles de seguridad. La norma tiene 11 dominios diferentes de controles que pretenden cubrir todos los ámbitos de una entidad donde debe existir la seguridad de la información. Los dominios se encuentran divididos en 39 objetivos de control que, a su vez, abarcan 133 controles de seguridad. Se deben seleccionar los diferentes controles que se deben llevar a cabo para definir el plan de tratamiento de riesgos, se debe nutrir de los 133 controles que encontramos en la norma ISO 27002. El anexo A del estándar internacional ISO27001 engloba una lista con los diferentes controles que sirven de unión entre ambas normas internacionales. SGSI La Seguridad de la Información en las organizaciones se ha convertido en un motivo de preocupación y compromiso.
VERSIÓN ONLINE http://www.isotools.org/2015/01/13/iso-27001-pilares-fundamentales-sgsi/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
21
Más información en nuestra web www.isotools.org
ISO 14001: Estructura de la documentación de un Sistema de Gestión Ambiental Cualquier entidad tendrá que crear, almacenar y mantener actualizada la totalidad de documentación que se estima necesaria para su Sistema de Gestión Ambiental (SGA) fundamentado en la norma ISO 14001. Habitualmente, la organización incluye en un manual de gestión ambiental, todos los elementos básicos e importantes del sistema. Dicho manual es el elemento básico del Sistema de Gestión Ambiental, y en él se describe las responsabilidades, obligaciones, el alcance del propio sistema, así como la estructura organizativa. Además, se recogen todos los recursos y métodos específicos, generales, conocimientos, procedimientos o todo aquel documento que desarrolle las exigencias del sistema o sea necesario para el mismo. Incluso, el manual incluirá la política ambiental, los objetivos y fines de la entidad. El manual responderá a la totalidad de preguntas ligadas con el Sistema de Gestión Medioambiental ya que en este documento se cuenta con toda la información importante y destacada para saber lo que se necesitaría hacer, el cómo, cuándo y a quién se le pueden pedir las responsabilidades al respecto. Toda la documentación tendrá que aparecer muy especificada, lo bastante como para describir los elementos referentes y centrales del SGA, sus interacciones y proporcionar orientación acerca de dónde obtener información más específica respecto a una operación puntual del Sistema de Gestión Ambiental basado en la ISO14001. Dependiendo de la entidad, la documentación se podrá guardar tanto en papel como en formato digital. Normalmente, la forma de estructurar la documentación del sistema es en forma piramidal. Nivel I: Se conforma del manual del Sistema de Gestión Medioam-
22
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
biental. En dicho texto, se detalla la política ambiental y se utiliza como guía para así documentar las responsabilidades y funciones principales, especificar las relaciones del sistema, los objetivos generales y ofrecer orientación acerca de la documentación de referencia. En este escrito se reflejan la totalidad de los documentos que conforman el sistema y sirve de base para el desarrollo de los procedimientos específicos y generales. Nivel II: En el segundo nivel de esta pirámide se encuentran los procedimientos. En este documento se detallan los métodos a aplicar y los criterios a seguir para alcanzar con los requisitos necesarios para implantar adecuadamente un SGA. Cada uno de los capítulos de este manual está desarrollado por uno o varios procedimientos, e incluso en cada capítulo se tiene que hacer referencia a los procedimientos que lleva a cabo. Nivel III: En el tercer nivel se recogen los procedimientos específicos del sistema y orientaciones técnicas. Se trata de documentos de un nivel más concreto acerca de aspectos puntuales del funcionamiento del Sistema de Gestión Ambiental. Nivel IV: Por otra parte, en este apartado se detalla toda la documentación que tiene que formar parte del SGA según ISO-14001 y que no se encuentra recogida en ninguno de los niveles anteriormente mencionados. Destacan los registros del Sistema de Gestión Ambiental que proceden del uso de los formatos incluidos en los procedimientos o planes de actuación (de auditoría, plan de formación, etc.). En el momento en el que se desarrollen los cuatro niveles de la empresa de la documentación del Sistema de Ges-
Software ISO, BSC y BPM
tión Ambiental, se tiene que hablar acerca del control de la misma cuya responsabilidad cae en la misma empresa que tendrá que determinar y mantener al día uno o varios procedimientos con el fin de controlar la documentación de su SGA.
de la lista de aspectos ambientales:
Es necesario que la documentación de un Sistema de Gestión Ambiental fundamentado en la norma ISO14001 se encuentre localizada, se apruebe y revise cuando sea conveniente y retirada cuando se encuentre ambigua u obsoleta. La documentación tiene que identificarse fácilmente (nombre, número o referencia de los documentos), encontrarse accesible en el momento que se precise (distribuyendo copias en los lugares detallados), añadir fechas de edición, además de estar revisada y actualizada totalmente.
• Utilización de productos químicos.
En algunos casos, el archivo del documento ya antiguo sirve para satisfacer un requisito legal. En dicho caso, este texto tiene que identificarse de una manera adecuada. La organización tiene el deber de explicar los procedimientos a seguir para saber cómo se efectuará la distribución, revisión y aprobación, identificación y retirada de los documentos obsoletos. Un sujeto tiene que encargarse de esta gestión documental para revisar los textos y garantizar que no se contradicen con algún requisito o requerimiento de la norma y, posteriormente, llevar a cabo su aprobación. El archivo de los documentos se mantendrá, a lo largo de al menos tres años de vigencia del certificado ISO 14001, aunque alguno de ellos se quede en situación de desuso. Cualquier documentación que se produzca y genere como consecuencia de la aplicación de los procedimientos del Sistema de Gestión Ambiental que no establezca registros del sistema y aquella documentación externa que perjudique a la gestión ambiental, serán controlados, así como analizados. El fin que se persigue en el control de la documentación es determinar los controles necesarios para garantizar que los aspectos ambientales se trabajan correctamente, minimizando los impactos ambientales relacionados, identificando las actividades que pueda n ocasionar colisión con el medio ambiente tanto en los servicios como en los procesos de producción. La organización tendrá que determinar las actividades y operaciones que se encuentren ligadas con los aspectos ambientales representativos para llevar a cabo un correcto control, de acuerdo con su política ambiental, objetivos y fines. Para contribuir a ello, la entidad podrá hacer uso
• Almacenaje. • Vertidos. • Uso de energía. • Riesgos de accidentes. • Uso de agua. • Generación de residuos. • Uso de materias primas y empleo de recursos naturales. • Emisiones atmosféricas. • Contaminación y degradación del suelo. • Otros (ruido, olores, vibraciones, impacto visual, biodiversidad, etc.). Continuamente, se tendrán que describir la manera en la que llevarán a cabo estas actividades y actuaciones para que los impactos ambientales que produzcan se pudieran considerar controlados o no lleguen a generarse. Para ello, se debería realizar una planificación, elaborar los criterios necesarios para decidir si se están desenvolviendo en base a lo planeado y determinar métodos de corrección. El control de las operaciones tiene que englobar a las operaciones de mantenimiento, así como a proveedores y subcontratistas en sus actividades ligadas a la organización en particular. Además, es importante que los procedimientos de control operacional se informen a cualquier proveedor y subcontratista, así como el mantenimiento de un registro de tal comunicación. Asimismo, si la organización ve necesario incluir a los proveedores y subcontratistas ambientales en el procedimiento de evaluación, tendrá que establecer los criterios medioambientales que se exigen y tener control del análisis y de su mantenimiento. Algunas actividades en las que se requiere un control operacional pueden ser: los vertidos, las emisiones atmosféricas, proveedores, subcontratistas, la gestión de residuos, el almacenamiento de productos químicos, etc.
VERSIÓN ONLINE http://www.isotools.org/2015/01/14/iso-14001-estructura-documentacion-sistema-gestion-ambiental/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
23
Más información en nuestra web www.isotools.org
OHSAS 18001: Auditoría en los Sistemas de Gestión de Seguridad y Salud en el Trabajo OHSAS 18001 se considera una norma auditable. El concepto de auditor aparece en la norma ISO 19011:202 descrita cono la “persona con la competencia (atributos personales y aptitud demostrada para aplicar conocimientos y habilidades) para llevar a cabo una auditoría”.
• Habilidades en el esquema de seguridad y salud laboral, OHSAS18001.
Hay que distinguir entre auditorías internas y externas de OHSAS18001, teniendo en cuenta:
• Saber identificar y entender los requerimientos legales y reglamentarios ligados con las instalaciones y actividades de la organización.
• Auditores internos, son los auditores que forman parte de la organización que va a ser auditada. Se trata de empleados que, independientemente de las funciones que desarrollan en su empresa, asumen el cargo de auditores internos respecto de aquellas áreas, funciones y departamentos en los cuales no tienen responsabilidad alguna.
24
• Competencia para comprender los procedimientos específicos relacionados (capacidad técnica).
Además, es importante tener en cuenta las siguientes aptitudes: • Aceptación por parte del auditado. • Desarrollo profesional.
• Auditores externos, son los auditores que no pertenecen a la entidad del auditado. Nos estamos refiriendo a entidades o a individuos que son contratados por el usuario para que realicen una auditoria en su misma entidad, o bien en la entidad de uno de sus subcontratistas o proveedores en su representación.
• Imparcialidad e independencia.
Con el fin de seleccionar un equipo auditor OHSAS 18001, se tendrá que garantizar que el equipo seleccionado cuente con todas las competencias incluyendo:
• Conocimiento del lenguaje de la auditoría.
• Conocimientos generales sobre el desarrollo de auditorías.
Las funciones y obligaciones del auditor del Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
• Cuestiones culturales. • Disponibilidad. • Capacidad de trabajo en equipo.
• Formación necesaria.
Software ISO, BSC y BPM
norma OHSAS-18001 son las que mencionamos a continuación: • Comunicar los resultados de las observaciones de la auditoría tanto de forma oral como escrita. • Cumplir con los requisitos de la auditoría y realizar la gestión de ésta según los procedimientos del cliente y al plan de auditoría acordados. • Mantener la documentación necesaria de la auditoria. • Actuar de modo ético. • Estar atento en todas aquellas situaciones donde la evaluación del cumplimiento requiera mayor análisis.
¿Conoces las responsabilidades de un auditor líder OHSAS 18001?
• Trabajar dentro de las tareas asignadas y del marco del alcance de la auditoría. • Recopilar y analizar las evidencias necesarias para valorar el cumplimiento del Sistema de Gestión de la Seguridad y Salud en el Trabajo OHSAS18001 (SST) con los criterios de auditoría. • Inspeccionar las observaciones de la auditoría. • Conservar la confidencialidad. • Planificar y desempeñar de manera eficiente y eficaz las responsabilidades asignadas. • Comunicar y aclarar los requisitos de la auditoría, así como a los auditados. • Ayudar a entender los requisitos de OHSAS 18001 como Sistema de Gestión de la SST u otros documentos que determinen los criterios de auditoría. • Comprobar la eficiencia de las operaciones de corrección desarrolladas como consecuencia de la auditoría, siempre que sean necesarias. • Ayudar y cooperar con el auditor líder.
Responsabilidades adicionales del auditor líder OHSAS 18001 (líder del equipo auditor) Se llama auditor líder OHSAS 18001 al responsable de todos los procesos de la auditoría y tiene que comprobar que todos los objetivos de la auditoría se han llevado a cabo. Además, es el encargado de gestionar toda la auditoría, y por esa misma razón, tiene que contar con la competencia de liderazgo y gestión. Es el responsable de las decisiones finales ligado al desarrollo de la auditoría y la distribución y categorización de los hallazgos al tiempo que proporcionará las recomendaciones finales. Por ello, las responsabilidades adicionales del auditor líder OHSAS18001 añaden:
• Englobar toda la información destacable requerida para llevar a cabo la auditoria. • Trabajar en la selección de componentes del equipo auditor. • Preparar el plan de auditoría y asignar las tareas a cada uno de los miembros del equipo. • Comprobar que la totalidad de documentos del trabajo requerido están preparados. • Revisar que los documentos del Sistema de Gestión de Seguridad y Salud en el Trabajo son los acordes con lo que estamos trabajando. • Representar al equipo auditor ante el cliente que va a ser auditado. • Presidir las reuniones de apertura y cierre. • Garantizar que el proceso de auditoría se desarrolla según lo previsto, incluyendo la necesidad de incluir nuevas personas en el equipo si fuera necesario. • Garantizar que el equipo auditor realiza reuniones organizadas y coordinadas regularmente. • Asegurar que se comunica con transparencia los resultados de las auditorías y de sus conclusiones (incluyendo aquellos hallazgos de una No Conformidad crítica). • Presentación del informe final de la auditoría.
El perfil ideal del auditor OHSAS 18001 Entre los caracteres ideales del auditor destacan los siguientes: • Diplomático. • Paciente.
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
25
Más información en nuestra web www.isotools.org
• Dialogante. • Formado. • Autocrítico. • Honesto. • Analítico. A los auditores de OHSAS18001, se le pueden sumar otros colaboradores, como: auditores en prácticas, traductores e intérpretes, o incluso, observadores. Estos últimos habitualmente suelen ser: • Personal de la entidad auditora cuya intención es evaluar al auditor con vistas a su registro y cualificación. • Personas de la misma organización auditada que han manifestado su deseo de participar en la auditoría para su formación personal y profesional. • Personas representantes de algún comprador. Estos observadores tienen que mantenerse imparciales en lo que se refiere al desarrollo de la auditoría y no interferir en su ejecución. Su presencia tiene que estar autorizada por la dirección de la entidad auditada.
y detección de errores), comportamiento social (honestidad, autocrítica, sentido de la responsabilidad, discreción firmeza, entereza, disciplina, carácter, espíritu de equipo, iniciativa, decisión, sociabilidad, espíritu de progreso y formación) y aptitudes físicas (salud, presencia, dinamismo y resistencia). Bases fundamentales del auditor para el éxito de una auditoría del Sistema de Gestión de Seguridad y Salud en el Trabajo Para abordar adecuadamente una auditoría del Sistema de Gestión de la SST según OHSAS 18001, el auditor tiene que tener en cuenta unas premisas que tienen que ser perseguidas a lo largo de la ejecución de la misma: • Preparación: La calidad de la preparación determina la calidad de la auditoría: • Analizar la documentación. • Preparar las listas de comprobación. • Estar formado. • Saber expresarse: Para que entiendan sus preguntas, razonamientos y opiniones.
Evaluación de las características del auditor OHSAS 18001
• Saber escuchar: Saber pensar y callarse en nuestra opinión y en nuestra respuesta.
Dicha evaluación se hace efectiva a través de una serie de parámetros que engloban aptitudes profesionales (cultura, bases técnicas, formación específica y experiencia previas), aptitudes intelectuales (comprensión, memoria, intuición, capacidad de juicio, sentido de la organización
• Ser conscientes de nuestras actitudes, comportamientos e influencia. • Saber hacer hablar: Para poder profundizar, reenfocar y detallar los temas de interés.
VERSIÓN ONLINE http://www.isotools.org/2015/01/15/ohsas-18001-auditoria-sistemas-gestion-seguridad-salud-trabajo/
26
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
Software ISO, BSC y BPM
ISO 9001:2015, metodología COSO III para la gestión de riesgos
La nueva norma ISO 9001:2015 habla especialmente acerca de la gestión de riesgos, que es una de las novedades más destacadas en los círculos profesionales de la calidad.
Entorno de control
En artículos anteriores hemos comentado de una de los mecanismos o metodologías que podremos emplear para llevar a cabo esta gestión, haciendo referencia a COSO I y COSO II.
• Nos encontramos con cinco principios que detallan: la importancia de la integridad y valores éticos, la importancia del modo de operar de la administración y su filosofía, la relevancia de contar con una estructura organizativa, una adecuada asignación de responsabilidades y el valor de las políticas de recursos humanos.
La tercera versión, COSO III, se publicó en el año 2013. Este renovado Marco Integrado de Gestión de Riesgos incluye novedades como estas:
• Se aclaran las relaciones entre los elementos que componen el control interno para subrayar la relevancia del entorno de control.
• Aumenta la confianza en cuanto a la eliminación de riesgos y consecución de objetivos.
• Se incrementa la información sobre el gobierno corporativo de una entidad, apreciando diferencias en estructuras, requisitos, sectores y tipos de entidades.
• Mejora la agilidad de los Sistemas de Gestión de Riesgos en su adaptación con los entornos. • Aporta mayor claridad referente a la comunicación y la información. Dicho Marco Integrado COSO III, proporciona mayor cobertura de riesgos en las entidades. Las modificaciones más significativas son las que cuenta, desde COSO II son, estructuradas por componentes:
• Se refuerza la supervisión del riesgo, así como la relación entre el riesgo y su respuesta.
Evaluación de riesgos - Se amplía la categoría de objetivos de reporte. - Se señala que la evaluación de riesgos incluye: identificación, análisis y respuesta a los riesgos.
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
27
Más información en nuestra web www.isotools.org
Se incluyen conceptos como velocidad y persistencia de riesgos, como criterios de evaluación.
control interno, ya que se encuentran integrados. Esto se podría decir también en sentido inverso.
Se tiene en cuenta la tolerancia al riesgo en la evaluación de niveles aceptables de riesgo.
COSO III se publica 9 años después de COSO II, una versión actualizada y mejorada. Esta revisión de la metodología admite cualquier cambio y mejora que se introdujeron en COSO II, salvo que los elementos quedan reducidos a cinco, por lo que dejan de hacer referencia explícita a:
Se considera el tipo de riesgo conectado a las fusiones, adquisiciones y externalizaciones. Se amplía la consideración de riesgo al fraude.
Actividades de control • Se señala que las actividades de control vienen determinadas por procedimientos y políticas.
• Establecimiento de objetivos. • Identificación de eventos. • Respuesta a los riesgos.
• Se tiene en cuenta el rápido cambio y la evolución de la tecnología.
Sin embargo, el elemento correspondiente a evaluación de riesgos, sí admite de forma indiscutible que la dicha evaluación tendrá que incluir:
• Se acentúa la diferenciación entre controles automáticos y controles generales de tecnología.
• Identificación de cada uno de los riesgos.
Información y comunicación
• Respuesta precisa a los riesgos.
• Se puntualiza la importancia de la calidad de la información dentro del sistema de control interno. • Se penetra en la necesidad de información y comunicación entre la entidad y terceras partes. • Se exalta el impacto de los requisitos legales sobre seguridad y protección de la información. • Se muestra el impacto de la tecnología y otros medios de comunicación en la rapidez y calidad del flujo de información.
Actividades de monitoreo y supervisión • Se hace más clara la terminología, a través de la definición de dos categorías de actividades de monitoreo: evaluaciones independientes y evaluaciones continuas. • Se ahonda en la relevancia del uso de proveedores de servicios externos y la tecnología. La administración de riesgos en la versión anterior era uno de los elementos básicos del control interno con el que podíamos alcanzar una eficacia y eficiencia de las operaciones, el cumplimiento de las leyes, normas y/o reglamentos y la confiabilidad de los reportes. Esto es porque el sistema de Gestión de Riesgos no es independiente del sistema de
• Análisis de riesgos. Asimismo, como elemento novedoso, se da protagonismo a conceptos como puede ser la tolerancia al riesgo en la evaluación de niveles aceptables de riesgo, y se incluyen otros como la velocidad y persistencia de los riesgos, siendo motivos para evaluar la criticidad de los mismos. Por otra parte, cuando se hablan de mejoras de este Marco actualizado, se manifiesta que se encuentra acompañado de dos nuevos documentos: el relativo al control interno de la información financiera externa (ICEFR) y los mecanismos de evaluación a utilizar para poder valorar la eficacia del control interno. Esto último parece olvidar que en 2006 COSO publicó el documento “Control Interno para la información financiera para pequeñas y medianas empresas cotizadas”, así como en 2009, la “Guía para la Supervisión de Sistemas de Control Interno”. Las empresas que se encuentren trabajando con COSO tienen que saber que esta versión de la metodología de gestión de riesgos es la vigente en la actualidad, quedando derogadas las versiones anteriores, del mismo modo que las entidades al implementar ISO 9001:2015 quieran utilizar este mecanismo para aplicar la gestión de riesgos que exige la norma.
VERSIÓN ONLINE http://www.isotools.org/2015/01/19/iso-90012015-metodologia-coso-iii-gestion-riesgos/
28
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
Software ISO, BSC y BPM
ISO 14001: La verificación en el Sistema de Gestión Ambiental
En este texto vamos a hablar sobre el procedimiento desarrollado por la empresa para realizar la verificación de la norma ISO 14001 a la hora de implantar un Sistema de Gestión Ambiental.
Seguimiento y medición El objetivo que se persigue con la verificación en la norma ISO14001 a la hora de implementar un Sistema de Gestión Ambiental es la instauración de todos los procedimientos necesarios para poder medir, de forma segura y regular, todas las características que existen en las actividades y operaciones que puedan generar un impacto negativo sobre el medio ambiente. Además, se intenta fijar las normas que tienen que cumplirse para llevar a cabo la calibración y el mantenimiento de los distintos equipos de medición con los que cuenta la empresa.
que se deben contemplar todas las variables clave de las distintas actividades relacionadas con el correcto funcionamiento y los aspectos significativos de todas las instalaciones. Además, el proceso de medición y seguimiento debe quedar contemplado con el acondicionamiento de todos los controles operacionales que se llevan a cabo gracias a los aspectos significativos, es decir, el estado de las metas ambientales, los objetivos y el cumplimiento de los requisitos legales aplicables.
Los procesos de medición con los que cuenta la empresa deben reunir los suficientes parámetros para que sea fiable el seguimiento del cumplimiento de la legislación y el proceso de mejora continua.
La entidad o empresa es la encargada de elaborar los documentos que controlen el proceso de calibración y mantenimiento de los equipos de medida relacionados con las actividades que están sujetas a los procesos de seguimiento y medición. Los documentos especifican la periodicidad de los seguimientos, las mediciones y las calibraciones, además de la metodología empleada para llevarlas a cabo y los responsables de dichos procedimientos que deberán realizar un informe final. El periodo de tiempo en que se deben realizar los seguimientos y las mediciones debe ser coherente con los requisitos legales que se les pueden aplicar.
La empresa desarrolla uno o varios procedimientos en los
Los registros obtenidos por las empresas durante el pro-
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
29
Más información en nuestra web www.isotools.org
Cómo hacer el seguimiento y medición de un Sistema de Gestión Ambiental ceso de seguimiento y medición de la norma ISO14001 deben incluir siempre el resultado de las mediciones y de las calibraciones que, en su caso, deberán contener como mínimo la calibración del equipo, la incertidumbre de las medidas realizadas y la identificación inequívoca del equipo utilizado para llevar a cabo la medición. Cuando la empresa utiliza sus propios medios para llevar a cabo la medida y el registro debe contener, además, todos los datos de su trazabilidad y los patrones aceptados. Si las medidas se realizan por parte de las entidades acreditadas tiene que obtenerse una evidencia de la acreditación para poder realizar análisis contrastados en todo momento. Por lo que en este caso, se toma por bueno el procedimiento de calibración y la trazabilidad de todos los patrones para llevar a cabo el análisis para lo que está acreditada la empresa. Los registros que se obtienen se utilizarán en la empresa para poder identificar los diferentes indicadores de comportamiento y usarlos a la hora de implementar las acciones correctivas y preventivas impuestas por la norma ISO14001, estimando el cumplimiento de los objetivos y las metas del Sistema de Gestión Ambiental. Además podrán conocer si está mejorando el desempeño ambiental de la organización.
Evaluación del cumplimiento legal La organización tiene que llevar a cabo diferentes procedimientos para poder demostrar que cumple irrefutablemente con el compromiso de cumplir con todos los requisitos legales y otros requisitos legales que les son aplicables. La empresa debe realizar evaluaciones cada cierto tiempo con el fin de mantener todos sus registros actualizados con los resultados que va obteniendo. La evaluación del cumplimiento legal guarda mucha similitud en la norma ISO 14001 con el seguimiento y la medición, aunque se establecen necesidades diferenciadas en
30
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
cada procedimiento para cada requisito que puede encontrarse documentado o no. Cuando los procedimientos de seguimiento y medición de la ISO 14001, se encuentran relacionados con los requisitos legales u otros requisitos, la empresa tendrá que poner especial atención en demostrar que cumplen todos los requisitos. Para ellos, se puede editar un formato que contenga toda la lista de requisitos legales y otros requisitos y contemplar todos los indicadores que te dicen cuándo, dónde y quién los ha verificado.
No Conformidad, Acción Correctiva y Acción Preventiva La organización tiene que establecer una sistemática que le facilite la identificación, la comunicación y la gestión adecuada de todos los fallos reales que se producen en el Sistema de Gestión Ambiental basado en la norma ISO14001, además de aplicar las acciones preventivas o correctivas, según sea el caso, para evitar o corregir los fallos potenciales. Una No Conformidad se puede entender como todo tipo de incumplimiento de lo exigido por cualquiera de los requisitos que genera el Sistema de Gestión Ambiental o que infrinja los principios en los que nos basamos. La forma de actuar ante una No Conformidad es la siguiente: la organización debe poner remedio a todos los daños ambientales producidos, además deberá solucionar las causas que generaron dicho daño (Acción Correctiva) y si es posible se debe evitar que tal situación se produzca nuevamente (Acción Preventiva). La empresa tiene que disponer de uno o varios procedimientos escritos donde se describe el origen y la detección de las No Conformidad, el tratamiento que se les debe dar, y los análisis y las resoluciones de las no conformidades. Una vez realizado esto, la empresa puede establecer las Acción Correctiva y Acción Preventiva que estime oportunas, además de realizar el seguimiento necesario para comprobar la eficacia y comunicarla. Además, el registro de evidencias se debe mantener ya que demuestra el cumplimiento de las pautas descritas.
VERSIÓN ONLINE http://www.isotools.org/2015/01/20/iso-14001-verificacion-sistema-gestion-ambiental/
Software ISO, BSC y BPM
La familia de normas ISO 27000
La Organización Internacional de Estandarización (ISO) recoge un extenso número de normas dentro de la familia de ISO 27000. Cada norma tiene reservado una número dentro de una serie que van desde 27000 hasta 27019 y de 27030 a 27044. Vamos a realizar un repaso por todas las normas de la serie: Esta estandarización contiene las definiciones y los términos que se utilizarán durante toda la serie 27000. Para aplicar cualquier normativa necesita conocer un vocabulario perfectamente definido, por lo que así evitaremos cualquier mala interpretación de conceptos técnicos y gestión. Esta norma es gratuita a diferencia de las demás de la serie de normas que sí que suponen un coste para su implementación.
ISO 27001 La última versión de esta norma fue publicada en el año 2013. Es la norma principal de toda la serie ya que incluye todos los requisitos del Sistema de Gestión de Seguridad de la Información en las organizaciones. La ISO 27001 sustituye a la BS 7799-2 estableciendo unas condiciones de adaptación para aquellas empresas que se encuentren certificadas bajo esta última. En el Anexo A se enumeran los objetivos de control y los análisis que desarrolla la norma ISO27001 para que se puedan seleccionar las empresas durante el progreso de sus Sistemas de Gestión de Seguridad de la Información. La empresa podrá argumentar el hecho de no aplicar los controles que no se encuentren implementados ya que no es obligatorio.
ISO 27002
Es un manual de buenas prácticas en la que se describen los objetivos de control y las evaluaciones recomendables en cuanto a la seguridad de la información. Esta norma no es certificable. En ella podemos encontrar 39 objetivos de control y 133 controles agrupados en 11 dominios diferentes. Como se ha mencionado anteriormente, la norma ISO 27001 incluye un anexo que resume todos los controles que podemos encontrar en la norma ISO 27002.
ISO 27003 Es un manual para implementar un Sistema de Gestión de Seguridad de la Información y además, nos da la información necesaria para la utilización del ciclo PHVA (viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”) y todos los requerimientos de sus diferentes fases. El origen de esta norma se encuentra en el Anexo B de la norma BS7799-2 y en la serie de documentos publicados a lo largo de diferentes años con recomendaciones y guía de implementación.
ISO 27004 En este estándar se especifican las técnicas de medida y las métricas que son aplicables a la determinación de la eficacia de un Sistema de Gestión de Seguridad de la Información y los controles relacionados. Las métricas se utilizan para la medición de los componentes de las fases “implementar y utilizar” del ciclo deming.
ISO 27005 Esta normativa establece las diferentes directrices para la gestión de los Riesgos en la Seguridad de la Información. Se
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
31
Más información en nuestra web www.isotools.org
trata de una norma de apoyo a los conceptos generales que vienen especificados en la ISO 27001 y se encuentra diseñada para ayudar a aplicar, de una forma satisfactoria, la seguridad de la información basada en un enfoque de gestión de riesgos. Para comprender a la perfección esta norma es necesario conocer todos los conceptos, modelos, procesos y términos descritos en la norma ISO-27001 e ISO 27002. Dicha norma se puede aplicar a todo tipo de organizaciones que tienen la intención de gestionar todos los riesgos que se puedan dar en la empresa en temas de seguridad de la información.
ISO 27032 Es un texto relativo a la ciber-seguridad. Se trata de un estándar que garantiza directrices de seguridad que desde la organización ISO han asegurado que “proporcionará una colaboración general entre las múltiples partes interesadas para reducir riesgos en Internet”. Más concretamente, ISO/ IEC 27032 proporciona un marco seguro para el intercambio de información, el manejo de incidentes y la coordinación para hacer más seguros los procesos.
ISO 27006
ISO 27033
Este estándar específica todos los requisitos para lograr la acreditación de las entidades de auditoría y certificación de Sistema de Gestión de Seguridad de la Información. ISO 27006 se trata de una versión revisada de la EA-7/03 (requisitos para la acreditación de entidades) que añade a la ISO/ IEC 17021 (requisitos para entidades de auditoría y certificación de Sistemas de Gestión), los requisitos específicos de la ISO 27001 y los del Sistema de Gestión de Seguridad de la Información. Asimismo, esta norma ayuda a interpretar todos los criterios de acreditación de ISO/IEC 17021 cuando se aplican en organismos de certificación de la norma ISO 27001, pero no se trata de una norma de acreditación por sí misma.
Es una norma derivada de la norma de seguridad ISO/IEC 18028 de la red. Esta norma da una visión general de seguridad de la red y de los conceptos asociados. Explica las definiciones relacionadas y aporta orientación de la gestión de la seguridad de la red.
ISO 27007 Es un manual de auditoría de un Sistema de Gestión de Seguridad de la Información. Es un estándar Internacional el cual ha sido creado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).
ISO 27011 Es una guía de gestión de seguridad de la información específica para telecomunicaciones Ha sido elaborada conjuntamente con la Unión Internacional de Telecomunicaciones (ITU).
ISO 27031 Es una guía de continuidad de negocio basada en las tecnologías de la información y las comunicaciones. Explica los principios y conceptos de la tecnología de información y comunicación (TIC), la preparación para que continúe el negocio, y la descripción de los procesos y métodos necesarios para señalar e identificar todos los aspectos que sirvan para mejorar la preparación de las TIC de una empresa con la
32
finalidad de garantizar la continuidad del negocio.
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
Consiste en 7 partes: • Gestión de seguridad de redes • Arquitectura de seguridad de redes • Marcos de redes de referencia • Aseguramiento de las comunicaciones entre redes mediante gateways • Acceso remoto • Salvaguardia de comunicaciones en redes mediante VPNs • Diseño e implementación de seguridad en redes.
ISO 37034 Es una guía de seguridad en aplicaciones.
ISO 27799 Se trata de un estándar de Gestión de Seguridad de la Información dentro del sector sanitario aplicado a la norma ISO 17799 (actual ISO 27002). Dicha norma no es desarrollada por el subcomité JTC1/SC27 sino que la lleva a cabo el comité técnico TC 215. Esta normativa define las directrices necesarias para apoyar la interpretación y la aplicación en la salud informática de la norma ISO 27002 y es un complemento a dicha norma. Esta especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la seguridad de la información por las empresas del sector sanitario. VERSIÓN ONLINE http://www.isotools.org/2015/01/21/familia-normas-iso-27000/
Software ISO, BSC y BPM
OHSAS 18001: Tipos de auditoria para las organizaciones
La norma OHSAS 18001 determina los requerimientos para un Sistema de Gestión de la Seguridad y Salud en el Trabajo (SST), destinados a permitir que una empresa controle sus riesgos para la SST y mejore su ejercicio de la SST. Certificar e implantar un Sistema de Gestión de la Seguridad y Salud en el Trabajo según OHSAS 18001 permite a las empresas: • Cumplir la legislación en materia de prevención, integrando ésta última en los procesos de la empresa, lo que conlleva una disminución de los costos y sanciones administrativas derivadas de su incumplimiento, además de una mejora de la gestión interna de la empresa y de la comunicación entre organización con el trabajador, las administraciones y partes interesadas. • Reducir la frecuencia de siniestros laborales y aumentar la productividad, controlando, evaluando y analizando los riesgos asociados a cada puesto de trabajo, y evitando las causas que originan los accidentes y las enfermedades en el trabajo. La percepción de un entorno laboral más seguro por los trabajadores conlleva una disminución de las enfermedades, bajas o absentismo laboral, una reducción progresiva de la siniestralidad, un aumento de la productividad y un descenso de sanciones y gastos innecesarios. • Promover una cultura preventiva mediante la integración de la prevención en el sistema general de la empresa (exigido por ley) y el compromiso de todos los trabajadores con la mejora continua en el desempeño de la SST. El estándar OHSAS 18001 puede ser examinado según tres
tipos de auditorías que comentaremos en este post. Hablamos de auditorías de primera parte, de segunda y de tercera parte.
Auditoría OHSAS 18001 de primera parte Son conocidas igualmente como auditorías internas y en la mayoría de casos son realizadas por la empresa, aunque también es una actividad que se puede sub-contratar. Consisten en auditorías de una organización o parte de ella que se ejecutan según los requisitos establecidos en la cláusula 4.5.5 de la norma OHSAS-18001. En este capítulo, la normativa expresa que la empresa debe asegurarse de que las auditorías internas del Sistema de Gestión de Seguridad y Salud en el Trabajo (SST) llevadas a cabo en la organización se realizan periódicamente para: Determinar si nuestro Sistema de Gestión de SST OHSAS18001: • Se adapta a las disposiciones planificadas para la gestión de la SST, incluyendo los requisitos de la norma. • Ha sido instaurado correctamente y se mantiene igual. • Es lo suficientemente eficiente para cumplir con los objetivos y la política de la organización. • Proporcionar información sobre el resultado obtenido en la auditoría. Estos resultados sirven para establecer, implementar, planificar y mantener programas de auditoría, sin olvidar tener en cuenta además las evaluaciones de riesgos de las actividades de la organización.
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
33
Más información en nuestra web www.isotools.org
Por otro lado, OHSAS 18001 también indica que es necesario contar con uno o varios procedimientos de auditoría que traten sobre: Requisitos, responsabilidades y competencias para proyectar y ejecutar estas auditorías, comunicar los resultados y mantener los registros ligados a dichas auditorías. La especificación de los criterios de auditoría, el alcance de la misma, la frecuencia y los métodos empleados. Este tipo de auditorías son planificadas para trabajar, como hemos citado arriba, sobre la base de un programa establecido en los distintos departamentos de la entidad. El objetivo de todo esto es garantizar que se respetan las actividades del Sistema de Gestión de Seguridad y Salud en el Trabajo y los requisitos de la norma OHSAS-18001. Como último fin es promover la mejora continua del sistema.
Auditoría OHSAS 18001 de segunda parte Son también conocidas como auditorías a proveedores. Las realiza el cliente sobre éstos. El objetivo principal de este tipo de auditorías es minimizar los riesgos del negocio ligados a las compras, subcontrataciones, out-sourcing y la gestión de la cadena de suministro. Normalmente, una empresa acepta el hecho de que su proveedor tiene el certificado del Sistema de Gestión de Seguridad y Salud en el Trabajo según la norma OHSAS18001 como prueba del cumplimiento con los requisitos de la SST, y no realiza ningún tipo de auditoría. Pero si el proveedor posee un Sistema de Gestión de Seguridad y Salud Ocupacional que no está certificado, es aconsejable que la organización ejecute las auditorías correspondientes, contando con el equipo auditor cualificado pertinente. Estas auditorías también necesitan de la preparación de un programa. De ellas resultan acciones correctivas que el auditado tendrá que aceptar e implantar. En este caso, la empresa auditada debería aceptar las acciones correctivas propuestas por el auditor ya que de él depende la valoración del proveedor.
Auditoría OHSAS 18001 de tercera parte También conocidas como auditorías de certificación. Son ejecutadas por una entidad auditora independiente, ajena a la organización auditada. Este tercer tipo de auditoría es mucho más formal y se realiza para obtener el certificado de conformidad con los requisitos del estándar OHSAS 18001. En este caso, el auditor no puede aconsejar a la organización auditada sobre las acciones correctivas que deben tomar.
34
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
Existen dos fases en las que se divide el desarrollo de este tipo de auditoría:
Fase primera o fase inicial. En esta primera fase se realiza la planificación de la auditoría. Sirve, además, como evaluación para comprobar si el sistema es sólido y si tiene la madurez suficiente para conseguir el certificado. Suele ser una etapa fácil, pues normalmente este tipo de auditorías siguen una rutina ya modelada.
Fase segunda o fase principal. Consiste en una auditoría completa del sistema. Se enfoca en valorar la adecuación, capacidad y eficacia del Sistema de Gestión de Seguridad y Salud Laboral según el estándar OHSAS-18001. Estas auditorías, incluyendo los tres tipos, siempre se desarrollan para lograr unos propósitos, entre ellos destacamos: • Para seleccionar un subcontratista. • Para comprobar el funcionamiento de un subcontratista a lo largo de la duración del contrato o del desarrollo de un proyecto. • Para comprobar el funcionamiento y las mejoras del sistema. • Para resolver un problema. Las actividades de esta auditoría son examinadas para aclarar e identificar las causas de un problema en el Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la norma OHSAS18001. • Para obtener la certificación del sistema OHSAS 18001. Las actividades de auditoría, incluyendo los tres tipos anteriormente mencionados, del Sistema de Gestión de Seguridad y Salud en el Trabajo según OHSAS 18001 van a estar alineadas en cumplir con unos objetivos: • Determinar áreas de mejora. • Eficacia del Sistema de Gestión de SST. • Conformidad del Sistema de Gestión de Seguridad y Salud Ocupacional. • Cumplir con los requisitos legales. • Evaluar subcontratistas.
VERSIÓN ONLINE http://www.isotools.org/2015/01/22/ohsas-18001-tipos-de-auditoria-para-las-organizaciones/
Software ISO, BSC y BPM
ISO 9001:2015, los principios de la ISO 31000 para adecuar la Gestión de Riesgos
En la próxima versión de la ISO 9001 que sale a la luz este año exigirá una gestión de riesgos como se está trabajando durante estos últimos meses. Uno de los estándares que se puede utilizar es la ISO 31000 que es una norma que establece los principios para implementar, diseñar y mantener una gestión de riesgos ordenada y transparente de cualquier forma de riesgo y en cualquier entorno o contexto. La norma ISO 31000 define al riesgo refiriéndose tanto a las situaciones positivas de riesgo (oportunidades) como negativas (pérdidas). En este sentido y como hemos podido comprobar, la ISO 31000 puede adaptarse a cualquier tipo de riesgo ya sea de infraestructura, financiero, operación o de mercado. Esta generalización de riesgos supone que esta norma no está enfocada para otro tipo de Sistema de Gestión ni para un grupo de organizaciones o sector puntal. Realmente ha sido pensada para ofrecer una estructura de mejores prácticas para aquellas actuaciones vinculadas con la gestión del riesgo. Asimismo, para las organizaciones que tienen que usar una metodología de gestión de riesgos, es una herramienta muy útil porque les permite añadir numerosos Sistemas de Gestión.
El objetivo de ISO 31000 es el de facultar todas las tareas estratégicas, de gestión y operaciones de una empresa a través de funciones, proyectos y procesos alineados a un conjunto común de fines sobre gestión de riesgos. La estructura de esta norma está compuesta de tres elementos clave para que la gestión de riesgos sea transparente, sistemática, efectiva y creíble. Los elementos de los que hablamos son: • Elementos principales de la gestión de riesgos. • Entorno de trabajo para la gestión de riesgos. • Desarrollo de gestión de riesgos. Principios de ISO 31000 para la gestión de riesgos • Originar y cuidar el valor. • Incluirse en todos los proceso de la empresa. • Formar parte de todos los procesos de toma de decisiones. • Englobar totalmente la incertidumbre. • Tratarse de un método sistemático, estructurado y oportuno. • Basarse en la mejor información de la que se disponga. • Relacionarse tanto al contexto como al perfil de riesgos
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
35
Más información en nuestra web www.isotools.org
de la empresa. • Tener en cuenta factores humanos y culturales. • Ser una normativa transparente e inclusiva. • Tratarse de un estándar dinámico, interactivo y sensible al cambio. • Facilidad para llevar a cabo la mejora continua. Marco de trabajo para la gestión de riesgos con ISO 31000 Este segundo elemento fundamental podemos llamarlo “marco de trabajo o marco de referencia”, cuyo fin es incluir el proceso de gestión de riesgos en el corazón de la empresa. Según la norma, se recomienda implementar, desarrollar y mejorar de forma continuada este marco de referencia, para poder incluir y adaptar el proceso de gestión de riesgos en la alta dirección, gestión, informes de procesos, políticas, en la estrategia organizacional, en la planificación, cultura de la empresa y valores de la misma. Este marco de trabajo sigue las directrices del ciclo PHVA, precedido de una etapa de mandato y compromiso de la dirección. La norma cuenta con una serie de mandatos que la alta gerencia debe cumplir para asegurar la eficacia en la gestión de riesgos. Para ello es fundamental que la gerencia se comprometa y lleve a cabo una planificación estratégica rigurosa.
El tercer elemento clave de ISO 31000 es el proceso de gestión de riesgos. Este proceso cuenta con tres etapas: análisis y evaluación de riesgos, establecimiento del contexto, evaluación de riesgos, constituida por la identificación y el tratamiento de los riesgos. La base fundamental en la que se sustenta la norma es el establecimiento del contexto en el que opera la organización. Hablamos de contexto tanto interno como externo. En este sentido, se trata de los entornos correspondientes en los que la entidad quiere alcanzar sus objetivos, establecer el proceso de gestión de riesgos y definir los criterios de evaluación de los mismos. A la hora de seleccionar la opción de tratamiento de riesgos, la norma ISO 31000 ofrece una lista de posibles elecciones, que se pueden aplicar de forma individual o concurrente. Se trata de: • Evitar el riesgo, tomando la decisión de no comenzar o no continuar la actividad que desemboca en el riesgo en cuestión. • Aceptar o aumentar el riesgo para poder concretar una oportunidad. • Remover la fuente del riesgo. • Cambiar la probabilidad. • Cambiar las consecuencias o impactos.
Estos mandatos de los que hablamos pueden resumirse en:
• Compartir el riesgo con terceros, incluyendo contratos y financiación del riesgo.
• Definir y firmar la política de gestión de riesgos.
• Retener el riesgo por decisión propia.
• Constituir unos indicadores de desarrollo que vayan alineados con los de la empresa en cuestión.
Este proceso de gestión de riesgos se cierra gracias a la interconexión de las etapas mencionadas anteriormente (establecimiento del contexto, evaluación de riesgos, constituida por la identificación, análisis y evaluación de riesgos, y el tratamiento de los riesgos) y a la comunicación y consulta por un lado y el monitoreo y revisión por otro.
• Asegurar el alineamiento de los fines de la gestión de riesgos con las estrategias y objetivos de la entidad. • Reafirmar las conformidades de tipo legal y regulatoria. • Designar responsabilidades en relación a las diferentes áreas y niveles de la organización. • Asegurar que se disponen de todos los recursos necesarios para llevar a cabo correctamente la gestión de riesgos. • Comunicar los beneficios de la gestión de riesgos a todas las partes interesadas. • Garantizar que se mantiene el marco de trabajo adecuado en la organización.
36
Proceso de gestión de riesgos
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
Para el caso de la gestión de riesgos inmersa en ISO 9001:2015, esta metodología es una de las opciones propuestas. Cada organización decidirá la que mejor se adapte a sus necesidades. En el actual borrador de la norma ISO/ DIS 9001, no se exige ninguna metodología en concreto. VERSIÓN ONLINE http://www.isotools.org/2015/01/26/iso-9001-principios-iso31000-para-adecuar-gestion-riesgos/
Software ISO, BSC y BPM
ISO 14001: Cómo controlar riesgos, hacer una auditoría interna y una revisión por la dirección
La norma ISO 14001 proporciona todos los requisitos necesarios con el fin de implantar un Sistema de Gestión Ambiental de manera satisfactoria, entre ellos podemos encontrar, la auditoría interna, la revisión por la dirección y el control de riesgos.
La empresa, contiene distintos procedimientos redactados en los que se especifica cómo se tiene que dar respuesta a la identificación, recuperación, conservación, protección, el tiempo que tiene que estar archivada y la disposición de los registros del Sistema de Gestión Ambiental.
Control de riesgos
La sistemática general es que los registros tienen que mantenerse a lo largo de un periodo de tiempo no inferior a tres años, como requisito para la certificación ISO 14001, o a lo largo de un periodo superior a estos tres años en el supuesto de que haya algún requisito legal aplicable ha dicho registro (por ejemplo, los documentos ligados con el control y el seguimiento de los residuos peligrosos tiene que estar archivados durante cinco años).
La organización debe definir las actuaciones que va a llevar a cabo para identificar, conservar y eliminar la totalidad de registros que demuestran la conformidad respecto a los requisitos de la norma ISO14001 y su Sistema de Gestión Ambiental. Normalmente los registros se buscan como documentos de todo tipo. La acción que produce la evidencia del cumplimiento de algún requisito que genera la norma ISO14001 del Sistema de Gestión Medioambiental se tiene que generar en un registro nuevo. Si la entidad ya ha implantado adecuadamente el Sistema de Gestión Ambiental, a lo largo de la elaboración de los distintos procedimientos que llevan a cabo cada capítulo del manual de gestión ambiental, se añaden dentro del punto referido a los registros. La totalidad de registros junto con toda la información que la organización crea conveniente, tienen que tener un control que asegure el cumplimiento del apartado de la norma ISO14001.
Auditoría interna La organización debe diseñar distintos programas que evalúen de manera periódica el funcionamiento, la eficacia en el seno del Sistema de Gestión Ambiental y la adecuación de los requisitos producidos por la norma ISO 14001. La auditoría interna es un proceso independiente, documentado y sistémico con el que se obtienen evidencias y se evalúan de una manera objetiva para determinar así el nivel de cumplimiento de todos los criterios en los que se fundamenta el Sistema de Gestión Ambiental obtenido por la entidad.
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
37
Más información en nuestra web www.isotools.org
La empresa es la encargad de garantizar las auditorías periódicamente, debe definir cuál será el alcance y el método de auditoría que será el conveniente para determinar si el SGA cumple con todos los requisitos de la norma ISO14001 y se encuentra adecuadamente implantado, incluso tiene que informar, en todo momento, acerca de los resultados obtenidos tras la auditoría a la alta dirección de la empresa. El Sistema de Gestión Ambiental, para llevar a cabo las auditorías, se tiene que encontrar en un grado avanzado en la implantación, esto es, que haya superado la fase de diseño, siendo capaz la organización de utilizar o requerir listas de comparación, entrevistas personales con los distintos trabajadores de la entidad, cuente con documentación del SGA, política ambiental, registros de datos, etc. La entidad tiene que elaborar distintos procedimientos de auditoría en el que se tienen que determinar de forma clara todos los requerimientos necesarios para la cualificación del auditor o auditores, las personas responsables, la planificación, preparación y realización de las auditorías, así como de su conservación y comunicación de los resultados obtenidos de dichas auditorías. El Sistema de Gestión Medioambiental fundamentado en la norma ISO14001 tiene que ser objeto de la auditoría en su totalidad, aunque se puede llevar a cabo por partes, esto es, dividiendo la empresa en distintas parcelas y auditando por separado los diferentes aspectos y la gestión. En el momento en el que se define el alcance de la auditoría, la entidad puede determinar cuáles serán los emplazamientos, los elementos del sistema o las actividades que considere oportunas. Como mínimo ha de realizarse una auditoría al año, aunque no hay una frecuencia fija para llevarla a cabo, debiendo encontrarse perfectamente definida por la entidad en función a los resultados de auditorías anteriores o del grado de control existente acerca de los distintos aspectos ambientales y el grado de implantación de la totalidad del Sistema de Gestión Ambiental. A lo largo del proceso de selección de los auditores, la entidad tiene que optar por llevar a cabo la auditoría con el personal de la misma empresa, por lo que para garantizar la objetividad y la imparcialidad a lo largo de todo el proceso, este tiene que estar libre de responsabilidades a lo largo de su actividad como auditor. Sin embargo, si la empresa decide optar por contratar a personal de fuera de la entidad, auditores externos, estos tendrán que tener las competencias oportunas y poder llevar a cabo la auditoría
38
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
de manera imparcial y objetiva. Para llevar a cabo una auditoría interna se pueden utilizar personal de la misma entidad o se puede contratar a personal ajeno a ésta. En cambio, para generar una auditoría externa debe ser realizada siempre por personas ajenas a la entidad y se les denomina como auditores externos. Con el fin de apoyar a las entidades en el momento de realizar auditorías pueden consultar la norma ISO 19011 “Directrices para la auditoría de los Sistemas de Gestión de la Calidad y/o Ambiental”.
Revisión por la dirección La dirección de la empresa tiene que evaluar la efectividad y el acondicionamiento del SGA a las necesidades de la entidad y modificarlo si fuera necesario. La dirección puede recopilar la información requerida desde el punto de vista del funcionamiento del Sistema de Gestión Ambiental, para poder revisarlo a lo largo de intervalos planificados y garantizar su adecuada implementación. La información más significativa puede venir dada por las auditorías, las evaluaciones de cumplimiento legal y otros requisitos, el cumplimiento de los objetivos y las metas, las comunicaciones externas, el estado de mantenimiento de las acciones correctivas y preventivas, etc. La realización de la revisión por la dirección por parte de la gerencia de la empresa tiene que contemplar la totalidad del Sistema de Gestión Ambiental y tiene que llevarse a cabo en distintos periodos de tiempo. La frecuencia de revisión del sistema tiene que contar con una periodicidad, la cual de estar previamente establecida y documentada. Una vez finalizada la revisión, se procede a la obtención de conclusiones y líneas de mejora dentro del mismo Sistema de Gestión Ambiental basado en la ISO 14001. Si la gerencia de la empresa lo considera oportuno, podrá llevar a cabo cambios dentro del SGA. La revisión por la dirección se convierte en uno de los mecanismos clave a lo largo del proceso de mejora continua. La organización tiene que mantener archivados la totalidad de los registros que proporcionen evidencia de la realización de la revisión por la dirección.
VERSIÓN ONLINE http://www.isotools.org/2015/01/27/iso-14001-como-controlar-riesgos-hacer-auditoria-interna-y-revision-direccion/
Software ISO, BSC y BPM
ISO 27001: Gestión de Seguridad de la Información mediante el modelo de pirámide
La abreviación de SGSI corresponde al Sistema de Gestión de Seguridad de la Información ISO 27001. Entendemos como información a todo el conjunto de datos de suma importancia que están organizados y salvaguardados por la organización, independientemente de la forma en la que la entidad guarde o transmita la información, el origen de la misma y la fecha de elaboración. La Seguridad de la Información basada en la norma ISO27001 se fundamenta en la preservación de su confidencialidad, disponibilidad e integridad, además de todos los sistemas incluidos en su tratamiento, dentro de la organización. Además, podemos contar con los siguientes términos que constituyen la base sobre la que se fundamenta todo el Sistema de Gestión de Seguridad de la Información: • Confidencialidad: la información no está a disposición ni debe ser revelada a ciertos individuos, entidades o procesos que no se encuentren autorizados. • Integridad: especificar la exactitud y la complejidad de la información. • Disponibilidad: el acceso y la utilización de la información y de los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos que se encuentren autorizados. Garantizar la seguridad de la información supone gestio-
narla correctamente, hacer una utilización del proceso sistemático, documentado y conocido por toda la organización desde un enfoque de riesgo empresarial. Este proceso es el que constituye un Sistema de Gestión de Seguridad de la Información basada en la norma ISO-27001. La información, los procesos y los sistemas que hacen uso del Sistema de Gestión de Seguridad de la Información, son unos activos muy importantes de la empresa. La confidencialidad, integridad y disponibilidad de la información son esenciales para mantener a un alto nivel la rentabilidad, competitividad, conformidad legal e imagen empresarial necesarios para alcanzar los fines marcados por la entidad y asegurar el beneficio económico. La empresa y sus Sistemas de Gestión de Seguridad de la Información están expuestos continuamente a un elevado número de amenazas. Aprovechándose alguna de estas vulnerabilidades, la empresa puede sufrir violaciones de la información mediante espionaje, fraude, sabotaje o vandalismo. Algunos ejemplos de estos casos son: los virus informáticos, el “hacking” o los ataques de denegación de servicio, pero también consideramos riesgos el hecho de sufrir incidentes de seguridad de la información causados voluntaria o involuntariamente por parte de la propia organización. La adaptación dinámica y puntual de las variaciones en las
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
39
Más información en nuestra web www.isotools.org
condiciones del entorno, cumplir con la legalidad, la protección de los objetivos de negocio con el que poder asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales del Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 que son de gran ayuda durante la gestión de las empresas. La seguridad alcanzada mediante los medios técnicos es insuficiente e ilimitada por sí misma. La gestión de la seguridad tiene que contar con la presencia y participación de toda la organización, la alta dirección debe estar al frente del proyecto teniendo en cuenta a los clientes y a los proveedores de bienes y servicios. En el modelo de gestión de la seguridad de la información se deben contemplar unos recursos adecuados y la implementación y la planificación de controles de seguridad basada en una evaluación de riesgos y la medición de la eficiencia de los mismos. El Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 establece todos los procedimientos y las políticas en relación a los objetivos de negocio de la organización con el fin de mantener a la organización en el mínimo nivel de riesgo de exposición. En este sentido, en el SGSI, la organización conoce todos los riesgos a los que se encuentra sometida su información, las debe asumir e intentar reducir los riesgos manteniendo y controlando la sistemática definida, documentada y conocida por todos los componentes de la empresa. Además, se debe revidar y mejorar continuamente. Podemos trasladar el modelo de pirámide de cuatro niveles desde el ámbito de la Gestión de la Calidad según la norma ISO 9001, al modelo de Seguridad de la Información basado en la norma ISO 27001 de la siguiente forma:
Nivel 1 “Manual de Seguridad” Se trata del documento que sugiere y dirige todo el sistema, el que expone y determina todas las interacciones, el alcance, las responsabilidades, las políticas, los objetivos y directrices principales, etc. del Sistema de Gestión de Seguridad de la Información.
Nivel 2 “Procedimientos”
Son documentos a nivel operativo que aseguran que se lleve a cabo eficazmente la planificación, operación y el control de todos los procesos de seguridad de la información.
Nivel 3 “Instrucciones, Checklists y Formularios” Hablamos de documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.
Nivel 4 “Registros” Son los documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del Sistema de Gestión de Seguridad de la Información ya que se encuentran relacionados a los documentos de los tres niveles anteriores. Algunos conceptos básicos que debemos conocer: • Alcance del SGSI: entorno de la empresa que queda sometido al Sistema de Gestión de Seguridad de la Información en que se incluye la identificación de todas las dependencias, límites y relaciones que existen entre el alcance y aquellas partes que no se hayan tenido en cuenta. • Política y objetivos de seguridad de la información: hablamos de un documento con el contenido genérico que establece el compromiso de la dirección y el enfoque de la empresa en la gestión de la Seguridad de la Información. • Procedimientos y mecanismos de control que soportan el SGSI: son procedimientos que regulan el propio funcionamiento del SGSI. • Enfoque de evaluación de riesgos: se describe la metodología que se va a emplear. • Informe de evaluación de riesgos: estudio proporcionado de la aplicación de la metodología de evaluación anteriormente mencionada a los activos de información de la empresa. • Plan de tratamiento de riesgos: se trata del documento en el que se identifican las acciones que tiene que llevar a cabo la dirección, los RRHH, los responsables y las prioridades para gestionar los riesgos.
VERSIÓN ONLINE http://www.isotools.org/2015/01/28/iso-27001-gestion-seguridad-informacion-mediante-modelo-piramide/
40
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
Software ISO, BSC y BPM
OHSAS 18001: Planificación de auditorías
El estándar OHSAS 18001 es una de las normativas más extendida por todo el mundo. Aunque se trata de un estándar británico, numerosos países la han aplicado. La empresa que implanta y certifica la OHSAS 18001 obtiene una buena reputación e imagen, entre otros aspectos destacables. Igualmente, estamos hablando de un Sistema de Gestión de la Seguridad y la Salud en el Trabajo (SST) que: • Posibilita la gestión preventiva en entidades localizadas en distintos ámbitos geográficos. • Reduce el número de accidentes. • Aminora las sanciones, materiales perdidos y control de riesgos en el trabajo. • Promueve una actitud proactiva y responsable. • Favorece y motiva la participación de los miembros en tareas preventivas. • Sostiene a la empresa viva y productiva en el análisis de riesgos. Estos aspectos característicos suponen que la normativa OHSAS 18001 sea sometida a una auditoría y se certifique. La planificación del tipo que sea es un factor clave para conseguir los objetivos previstos y deseados. Cuando hablamos de auditorías, si no existe una buena planificación puede que no se consigan resultados satisfactorios, ni lo-
gremos ejecutar una auditoría con éxito. Por esta razón, vamos a ver qué pasos debemos seguir para planificar una auditoría de nuestro Sistema de Gestión de Seguridad y Salud en el Trabajo OHSAS 18001.
Preparación del plan Lo primero que hay que hacer es fijar unas fechas que satisfagan a todo el personal involucrado en el proceso de certificación OHSAS 18001 y que se les informe con suficiente antelación para poder llevarlo a cabo. El plan de auditoría debe ser lo suficientemente competente como para garantizar que los objetivos de la auditoría se van a alcanzar. Además, debe elaborarse de tal forma que especifique el método que se va a utilizar a la hora de realizar la auditoría. Este plan de auditoría debe incluir la definición de cada una de las funciones y responsabilidades del equipo auditor así como su asignación. Se recomienda que el plan no sea demasiado exigente y severo en los tiempos. Dos aspectos que deben tenerse en cuenta para desarrollar la planificación de una auditoría del Sistema de Gestión de Seguridad y Salud en el Trabajo según OHSAS-18001 son la complejidad y el tiempo. Son dos elementos muy distintos cuando hablamos de auditorías iniciales, de seguimiento o si son auditorías internas o externas.
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
41
Más información en nuestra web www.isotools.org
Sin embargo, hay más aspectos a considerar. Estos son:
18001, la mayoría de las organizaciones cuentan con él.
• Objetivos de la auditoría.
Además del manual, los auditores solicitan también los procedimientos o documentos de las áreas que van a auditar y los informes de auditorías anteriores.
• Criterios de auditoría y documentos de referencia. • Alcance de auditoría, considerando en este punto la estructura de la organización, la estructura preventiva y los procesos de auditarse. • Fechas y lugares donde se realizarán las actividades de auditoría. • Estimación de la duración de las actividades de la auditoría, teniendo en cuenta las reuniones con la alta dirección. • Reuniones de coordinación. • Funciones y responsabilidades de cada uno de los miembros del equipo auditor. • Asignación de recursos requeridos para las áreas críticas de auditoría.
Preparación de los documentos de trabajo Además de los documentos de trabajo que debemos preparar para una auditoría del Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la OHSAS18001, incluimos también los siguientes aspectos: • Realización de un listado de comprobación o verificación. • Preparación de los formatos en los que registrar información, hallazgos, reuniones, etc. • Estándares y especificaciones correspondientes. • Directrices. El auditado debe tener una copia del plan de auditoría para que cuente con la mayor cantidad posible de información antes de someterse a la auditoría. Se trata de un mecanismo que crea confianza y cooperación entre auditor y auditado. Ya que nos estamos preparando para la auditoría del Sistema de Gestión de Seguridad y Salud en el Trabajo en función de la OHSAS 18001 podemos hablar sobre la documentación que probablemente nos exijan. Para comenzar a tomar contacto con el Sistema de Gestión de Seguridad y Salud en el Trabajo implantado bajo la norma OHSAS 18001 del auditado es aconsejable solicitar la documentación básica. Con esta información, el auditor podrá comenzar con el examen y valoración del sistema. Cuando hablamos de auditorías internas, comúnmente se solicita el manual de gestión de la Seguridad y Salud en el Trabajo (SST) que, aunque no es obligatorio según OHSAS
42
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en enero de 2015
En la mayoría de los casos, es recomendable, solicitar a la organización auditada la evaluación de riesgos aplicada en los puestos de trabajo y áreas que se van a auditar, así como los listados de requerimientos legales de aplicación. En el caso de auditorías externas, necesitamos mucho más. En primer lugar, la entidad auditora requiere una visita inicial para poder tomar contacto y familiarizarse con aspectos y elementos de la organización auditada como, por ejemplo, equipos, riesgos, actividades, personal implicado, etc. Después de esta visita y, según los resultados obtenidos, se acuerdan los detalles que serán incluidos en el plan de auditorían de la OHSAS18001. Desde este post se han explicado los numerosos aspectos que debe tener en cuenta un auditor del Sistema de Gestión de Seguridad y Salud Laboral para llevar a cabo su auditoría de la mejor forma posible. Esperemos les haya sido de utilidad.
VERSIÓN ONLINE http://www.isotools.org/2015/01/29/ohsas-18001-planificacion-auditorias/
Sotware ISO, BSC y BPM
• • • • • • • •
España México Panamá Perú Portugal Uruguay Venezuela Ecuador
www.isotools.org (+34) 902 361 231
• • • • • • • •
Argentina Bolivia Brasil Chile Colombia Costa Rica Rep. Dominicana Estados Unidos
Presencia Global Apoyo Local