Empresa Excelente Los mejores artĂculos publicados por ISOTools en noviembre de 2014
ISOTools Excellence. Software ISO Estrategia, Procesos, Personas. Resultados Excelentes
Más información en nuestra web www.isotools.org
El camino hacia la Excelencia
2
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
ÍNDICE DE CONTENIDOS
Contenidos noviembre 2014 ¿QUIÉNES SOMOS Y QUÉ HACEMOS? LA PLATAFORMA TECNOLÓGICA ISO 14001: ¿Qué documentación precisa la implementación de un Sistema de Gestión Ambiental? FENIX POWER adquiere la Plataforma Tecnológica ISOTools ISO 27001: Medios aplicados para comprobar la Seguridad de la Información ISO 9001: Un Sistema de Gestión de la Calidad responsable III Foro de Excelencia en Sanidad ISO 27001: Soluciones a las vulnerabilidades técnicas Decreto 1443 de 2014: Seguridad y Salud en el Trabajo para Colombia ISO 14001: Oportunidades de un Sistema de Gestión Medioambiental OHSAS 18001: Importancia de los procesos de comunicación, participación y consulta ISO 27001: Soluciones a las incidencias producidas en un Sistema de Gestión de Seguridad de la Información II Foro Nacional de Acreditación en Salud en Colombia ISO 9001: ¿Cómo documentar un Sistema de Gestión de la Calidad? Aprobado el borrador ISO/DIS 9001:2015 OHSAS 18001: Gestión de la documentación ISO 9001: El papel del Manual de la Calidad en la organización ISO 27001: Las TIC, más seguras que nunca ISO 14001: La importancia actual del Medio Ambiente OHSAS 18001: ¿Cómo elaborar un Plan de Emergencia? ISO 27001: Clave para la Continuidad de Negocio
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
3
Más información en nuestra web www.isotools.org
QUIÉNES SOMOS Y QUÉ HACEMOS
¿Quién está detrás del software para la gestión de la excelencia nº 1 a nivel mundial? Somos ISOTools Excellence, una consultora que ayuda a las organizaciones comprometidas con la calidad y la excelencia a optimizar sus modelos y sistemas de gestión, aportando soluciones innovadoras para la gestión de la estrategia, los procesos y las personas, facilitando su aplicación, haciéndolos accesibles, ágiles y medibles, y aportando resultados en el corto plazo, gracias a una plataforma tecnológica de desarrollo propio llamada ISOTools.
4
Consultoría Estratégica
Innovación Tecnológica
Expertos consultores al servicio de los clientes, que muestran de manera personalizada a cada organización, la alternativa más sencilla y práctica de operar generando un impacto real en los resultados y proporcionando una ventaja competitiva sostenible en el tiempo.
ISOTools apoya la labor de consultoría en su plataforma tecnológica, a través de la cual ofrece soluciones integrales, aplicando continuamente la innovación tecnológica como medio de adaptación a las necesidades del mercado, requisitos normativos y tipología de organización.
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
Software ISO, BSC y BPM
Software ISO, BSC y BPM Desarrollada en entorno Web con el objetivo de cumplir los requisitos de las normas ISO y de modelos de Acreditación y Excelencia, ISOTools resulta una herramienta ideal para implantar, mantener y mejorar continuamente los Sistemas de Calidad, Medio Ambiente, Riesgos Laborales, Seguridad de la Información, Seguridad Alimentaria, Modelos de Acreditación, Modelos de Excelencia como EFQM, Modelos de Planificación Estratégica: Balanced Scorecard, entre otros.
SOLUCIONES PARA TODOS LOS SECTORES
SISTEMAS DE GESTIÓN NORMALIZADOS
MODELOS DE GESTIÓN Y EXCELENCIA
MÓDULO BASE
¿Por qué elegir ISOTools?
¿Cómo es ISOTools?
> Resultados Excelentes: Ese es el principal beneficio que se obtiene del uso de ISOTools, el motivo por el que fue creado y el motor que impulsa a todos los que se encuentran detrás de la herramienta.
> Fácil de usar. ISOTools es, ante todo, usable e intuitivo. Diseñado para ser fácil. Cuenta con potentes funciones de roles y personalización.
> Eficacia y Efectividad. La información se encuentra centralizada, lo que aumenta la eficacia en la gestión. > Máximo retorno de la inversión: Invertir en ISOTools es invertir en mejora, y la mejora siempre deriva en beneficios. > Impacto positivo en el medio ambiente: Reduciendo el consumo de papel se respetan los recursos naturales. > Facilidad en la toma de decisiones: La herramienta ofrece una visión global de la organización que facilita la toma de toma de decisiones y las hace más certeras. > Gestión del conocimiento y mejora continua: ISOTools fortalece la retención del conocimiento sobre la propia organización y ayuda a las organizaciones a gestionar su información, de una manera sistemática y eficiente, permitiendo de esta forma el establecimiento de programas de mejora continua. > Ahorro de tiempo y costes: Se le puede dedicar más tiempo y recursos a lo que verdaderamente importa. > Mejora del trabajo en equipo: Y eso se ve reflejado en los resultados. > Satisfacción de los clientes: Los clientes son lo más importante de su negocio. Con las mejoras obtenidas por el uso de ISOTools la satisfacción de los clientes está garantizada.
> Flexible. Sea cual sea el tamaño de su organización o sector, ISOTools puede configurarse para satisfacer sus necesidades. > Funcional. En pocas palabras, esta aplicación líder posee múltiples funcionalidades y características. > Accesible. En su modalidad de contratación Cloud, ISOTools le permite llevar a cabo sus gestiones desde cualquier lugar con conexión a internet. > Integrable. ISOTools es un sistema de módulos fácilmente integrables que le convierten en una herramienta escalable y adaptable. > Confiable. ISOTools garantiza la integridad, seguridad y confidencialidad de los datos, salvaguardándolos mediante copias de seguridad. > Fiable. ISOTools es una herramienta con un gran bagaje, lo que la convierte en una solución de confianza ampliamente testeada. > Multidispositivo. Posibilita la gestión 360° de su organización desde cualquier lugar utilizando dispositivos móviles, ordenadores de sobremesa o tablets. > Asequible. No es necesaria una gran inversión. ISOTools es una de las soluciones más rentables del mercado en su área. > Multiligüe. Toda la información de la plataforma está disponible en varios idiomas
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
5
Más información en nuestra web www.isotools.org
ISO 14001: ISO 14001: ¿Qué documentación precisa ¿Qué documentaciónde precisa la implementación la implementación un de un deAmbiental? Gestión Ambiental? Sistema deSistema Gestión Para realizar la implementación de un Sistema de Gestión Ambiental según la ISO 14001, las organizaciones deben determinar todos los procedimientos implicados en la consecución de objetivos ambientales y por su puesto documentarlos. A continuación describiremos brevemente cada uno de los documentos que se deben elaborar para implantar correctamente un sistema de este tipo basado en el estándar internacional ISO14001: Política ambiental, en este documento se definen cada uno de los principios ambientales en los que se basan las organizaciones a la hora de desarrollar su actividad diaria. Manual de gestión ambiental: En el que se incluyen las normas aplicables, los principios, orientaciones y sugerencias implicados en la gestión ambiental y considerando en todo momento los objetivos establecidos por la organización. Procedimientos: Se trata de un grupo de documentos en los que se establece el modo de ejecutar aquellas actividades vinculadas con la gestión ambiental. Instrucciones Técnicas: A través de estos documentos se explica breve y claramente, las fases necesarias para comenzar, ejecutar y concluir una actividad. Registros ambientales: Este tipo de documentos constituyen la base documental que garantiza que la implementación del Sistema de Gestión Medioambiental se ha realizado correctamente. Ofrece certeza objetiva de las tareas desarrolladas y de los resultados logrados. En referencia a los documentos mencionados con anterioridad, estos deben cumplir con una serie de requerimien-
6
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
tos. Para que sean comprendidos por todas las personas tienen que ser legibles, además estar fechados, identificarlos fácilmente, estar perfectamente conservados y archivados. Del mismo modo, para acceder rápidamente a ellos tienen que estar localizables y para garantizar que son actuales, es necesario revisarlos periódicamente.
Política Ambiental Para la Política Ambiental, se precisa considerar los requisitos que mostramos a continuación: • Ser coherente con la dimensión de aquellos impactos ambientales originados por las actividades de la organización. • Plasmar un compromiso de mejora y de prevención ante aquellas actividades generadoras de contaminación. • Cumplir con la legislación aplicable en el momento y los reglamentos de carácter ambiental vigentes. • Definir objetivos y metas de tipo ambiental para la organización. • Estar documentada, implementada y disponible para cualquier empleado de la empresa o parte interesada. Además, la Política Ambiental debe: • Lograr que la organización continúe su actividad de un modo sostenible en lo referente al tema económico, a los aspectos relacionados con la conservación del entorno y/o la integración de la sociedad • Gestionar eficientemente los recursos naturales y energéticos empleados por la organización. • Reducir los desechos generados por la empresa.
Software ISO, BSC y BPM
• Tramitar las compras de materias primas utilizadas por la organización. A la hora de realizar una Política Ambiental, es muy posible que surjan dudas, por ello establecemos una serie de sugerencias: • La Dirección de la organización debe adquirir un compromiso desde el primer momento que da comienzo la implementación del SGMA. • La Dirección considerará a la Política Ambiental como documento de comunicación interna y externa, es decir para los trabajadores de la propia empresa y para el resto de partes interesadas. Cuando la organización lleva a cabo la implementación de la Política Ambiental se precisa:
jeta a modificaciones. Cuando estas se ejecuten, será imprescindible comunicar a todas las partes interesadas de la organización o externas a ella este tipo de cambios.
Manual de gestión ambiental El Manual de gestión ambiental tiene la obligación de contener: • Una manifestación que revele la Política Ambiental. • El organigrama de la organización. • Las tareas y procesos relacionados con el medio ambiente. • Declaraciones referidas a la información generada por el entorno de la empresa y las acciones correctivas a considerar.
Procedimientos
¿Qué documentación necesito para implantar con éxito un SGMA? • Definir las responsabilidades asumidas por las partes involucradas y activar las acciones oportunas para gestionar todas las etapas del sistema. • Garantizar que los trabajadores cuentan los la formación adecuada para su puesto de trabajo y para el cumplimiento de los requisitos ambientales de la actividad que desarrollan. • Conocer el modo en el que se le va a permitir el acceso a dicho documento, ya sean a los empleados o para el resto de partes interesadas que lo requieran. Tambien será necesario establecer la forma de difusión. En cuanto al último punto, el modo de difusión empleado para que el documento llegue a los trabajadores, se puede hacer uso de canales ya utilizados para otros temas como:
Al hablar de los procedimientos, como hemos mencionado anteriormente, nos referimos a un conjunto de documentos en los que queda establecido el modo en el que se debe desarrollar las organizaciones de la empresa relacionadas con la gestión del entorno. Queda reflejado cómo interactúan cada uno de los departamentos de la organización con el medio ambiente y se emplea con la finalidad de determinar verificaciones y mejoras en el sistema. Es imprescindible elaborar los procedimientos, ya que permite realizar una identificación correcta de las actividades que precisan de una base documental. Para lo cual, se considerará las prácticas ya empleadas, las consideraciones de los responsables del proceso y de los trabajadores involucrados y por supuesto de los requisitos ambientales. Un procedimiento tendrá en cuenta el objeto de la actividad desarrollada y su campo de aplicación, además debe dar respuesta a: • Qué se debe hacer • Quién debe hacerlo • Cuándo, dónde y cómo se debe hacer
• Las reuniones de los departamentos de la empresa.
• Qué materiales hay que emplear
• Jornadas colectivas.
• Cómo se debe controlar y registrar.
• Cursos de capacitación. Cuando la difusión se va a realizar externamente, se pueden utilizar diferentes medios como revistas, folletos informativos o la propia web de la organización. En todo momento la Política Ambiental se encuentra su-
Instrucciones técnicas Las Instrucciones Técnicas, como hemos dicho antes, describirán de un modo conciso y claro las fases a seguir para que dé comienzo y concluya una actividad. Por ello, se considerará:
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
7
Más información en nuestra web www.isotools.org
• Alcance • Restricciones • Trabajadores involucrados • Responsables de los resultados obtenidos • Registro Ambiental Este documento se encuentra formando parte del soporte documental para comprobar que la implementación del Sistema de Gestión Ambiental según laISO-14001 se ha realizado con éxito. Las organizaciones tienen que desencadenar una serie de pasos para elaborar un Registro Ambiental: • Lograr que sea un documento sencillo. • Eludir la gestión de documentos innecesarios. • Hacer uso de metodologías prácticas y de fácil uso.
VERSIÓN ONLINE http://www.isotools.org/2014/11/03/iso-14001-documentacion-implementacion-sistema-gestion-ambiental/
FENIX POWER adquiere la Plataforma Tecnológica ISOTools Fenix Power es una compañía de generación de energía eléctrica en ciclo combinado que cuenta con una central termoeléctrica ubicada en el distrito de Chilca, a 64 km de distancia de la ciudad de Lima, Perú. Esta zona en la actualidad constituye el polo energético del sur del país. Asimismo la capacidad de producción de su Planta representa el 10% de la energía que consume el país. En el marco del planeamiento estratégico que desarrolla la compañía y con la finalidad de dar cumplimiento a sus compromisos socio-ambientales, se estableció que Fenix Power buscará la obtención de la certificación trinorma en Calidad, Medio Ambiente, Seguridad y Salud Ocupacional. Es en este contexto que en marzo de 2013 se identificó la necesidad de implementar una herramienta informática que permitiera sistematizar, planificar y que otorgue dinamismo a los principales procesos de la compañía. En
8
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
Software ISO, BSC y BPM
este sentido Fenix Power decide contratar los servicios de ISOTools para cumplir con dicho objetivo. En el 2014, una vez culminada la fase de parametrización, se procedió a capacitar a todos los colaboradores de Fenix Power en el uso de la herramienta. En dichas sesiones han participado usuarios de todas las áreas de la empresa, como son: Operaciones, HSE, Administración y Finanzas, Asuntos Corporativos, Comercial y Gestión Humana. La herramienta tuvo buena acogida entre los colaboradores, principalmente por la amigabilidad de la misma. Esta característica simplificará la tarea diaria de documentación, gestión de KPI´s, registro de incidentes y acciones
correctivas, así como la gestión de diferentes formatos automatizados de los diferentes procesos, de acuerdo a lo enseñado en las pruebas. Fenix Power tiene como objetivo llegar a una gestión totalmente automatizada, que optimice sus recursos y sea accesible desde cualquier parte del mundo, para luego, llegar a la certificación a través del uso de ISOTools.
VERSIÓN ONLINE http://www.isotools.org/2014/11/04/fenix-power-plataforma-tecnologica-isotools/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
9
Más información en nuestra web www.isotools.org
ISO 27001: Medios aplicados para comprobar la Seguridad de la Información A lo largo de este artículo técnico vamos a observar los puntos necesarios de seguridad que se deben contener en los Sistemas de Gestión de la Información, así como el buen procesamiento de varias aplicaciones y los controles criptográficos. Lo que hay que tener presente principalmente para establecer la norma ISO 27001 es endurecer la seguridad del actual sistema informativo, el cual tiene incorporado un proceso de desarrollo, englobando el ciclo de vida del sistema informático. Debemos tener en cuenta la totalidad de objeciones que se obtienen para poder impulsar la seguridad, y así garantizarla, la cual está presente en los Sistemas de Gestión de Seguridad de la Información que implementan la norma ISO27001. Antes de extender o ampliar un Sistema de Gestión de Seguridad de la Información o SGSI, hay que tener muy enfocados y planificados los caracteres de seguridad. A lo largo de la primera etapa en la que se conoce el significado de los caracteres del proyecto, se debería englobar los requisitos de seguridad con el fin de obtenerla en el sistema informático. Si por un lado, en la etapa de diseño del sistema aplicamos los controles, el sistema resultaría mucho más económico y rápido, que por otro lado, aplicar dichos controles después de realizar el desarrollo del producto que se esté llevando a cabo. Para realizar productos más eficaces con el fin de obtener
10
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
mucha más calidad en ellos, es necesario que se concentren todos los requisitos para el desarrollo de una aplicación. Además se debería establecer un seguimiento a lo largo del proceso y a todos los productos con el fin de obtener una guía que presente los requisitos de seguridad, los cuales tienen que ser introducidos al proceso de negocio de la organización. En consecuencia, trabajando con un producto ya obtenido, se tendrían que plantear distintos caracteres de seguridad. Sin embargo, requisitos semejantes establecen un proceso formal de obtención, determinando un conjunto de pruebas para asegurar que se llevan a cabo perfectamente todos los requerimientos de seguridad definidos anteriormente según el Sistema de Gestión de Seguridad de la Información desarrollado en la norma ISO 27001:2013. Si no se llevan a cabo los requerimientos de seguridad, se tendría que considerar los distintos riesgos que implican la obtención del producto y la imposición dentro del sistema informático en la organización, si llegado el punto se determina anular la compra. Si se establecen todos los controles eficaces a lo largo del ciclo en el que el proceso se lleva a cabo, durante la entrada de datos, el procesamiento interno y en los datos de salida, se afirma que un procesamiento es óptimo para el total de aplicaciones que contiene la empresa. Por ello se consigue no producir distintos errores que se pudieran cometer, así como modificaciones que no estén autorizadas o fraudes.
Software ISO, BSC y BPM
Entre las principales fuentes de accidentes que se pudieran cometer destacamos los datos de entrada de las distintas aplicaciones. En el caso que se pueda dar la opción, se implantarían los distintos controles para poder admitir todos los datos, estableciendo una entrada a la aplicación y comprobando si los medios son los idóneos y apropiados.
me a los requerimientos generales de seguridad de la organización.
Hay distintos prototipos de inspecciones, como:
Con el fin de asegurar la correcta gestión de los distintos controles criptográficos que se pueden introducir, se considera necesario establecer una política basada en el uso de este prototipo de controles. Con la utilización de dichas inspecciones se obtiene integridad, confidencialidad, y el no repudio de la información.
• Inspección de lotes. • Formularios. • Permiso de entradas. • Documentos. • Fuente. • Inspección de balanceo, etc. Por ejemplo, podíamos comprobar de una manera rápida y fácil si los datos obtenidos para un DNI se corresponden con la letra establecida, esto permitiría no producir errores antes de que comience el procedimiento. Se pueden desarrollar conflictos que introducen distintos errores, así como llegar a producir corrupción de la información contenida en el procesamiento interno de la totalidad de pruebas pertenecientes a distintas aplicaciones. Con el fin de que no se produzca el daño en la información, se deben aplicar una serie de inspecciones de validación de los datos, y con ello se podrá: inspeccionar la secuencia, el rango, la completitud, el límite o el dígito de controles. Se podrán seleccionar los distintos controles que se enfoquen al procedimiento en función del estudio que se lleve a cabo de los riesgos. Del mismo modo, se pueden establecer una serie de inspecciones u otras dependiendo del tipo de aplicaciones que se lleven a cabo, las cuales garanticen la integridad de los distintos mensajes que producen las aplicaciones. Un control posible puede considerarse las técnicas utilizadas de cifrado. Los datos que presentan las aplicaciones a los integrantes tienen que estar formateados, presentados y entregados de forma que haya seguridad, así como consistencia. Como producto que debe salir del procedimiento, las referencias que pueden estar implementados son las resultantes de realizar los controles de seguridad que se ocupan de verificar la exactitud de los resultados. Las inspecciones criptográficas tienen que ser confor-
La introducción de algún control tiene que determinarse siempre conforme a la identificación de cualquier riesgo que la empresa no asume, y cuya inversión no puede llegar a más que el valor del activo el cual se protege, por lo que entonces no llegaría a ser rentable.
Los datos que se incluyan en la política tienen que estar sometidos al control y se tiene que saber qué tipo de algoritmos de encriptación se han establecido para cada uno de los casos, siendo a lo largo de la recuperación de información, la gestión, la legislación aplicable, las responsabilidades de cada proceso y la reglamentación. Es muy importante saber gestionar los distintos puntos clave que se desarrollan en una organización, para que las técnicas criptográficas sean muy eficaces. Se pueden utilizar técnicas de clave privada o de clave pública, en los dos casos se considera necesario la no comunicación de la misma, evitar la pérdida y la modificación periódica. Se debe establecer un procedimiento que exponga como se ha de llevar a cabo la generación de las claves y certificados, como se tiene que almacenar, como se debe actualizar, como se van a distribuir, o por consiguiente, revocar. Además se tiene que conocer la recuperación de la clave olvidada o pérdida, o en su caso, si se establece una modificación no permitida.
SGSI Este Sistema de Gestión de Seguridad de la Información o SGSI debe cumplir con los requisitos establecidos por la ISO 27001. Las organizaciones, no pueden olvidar que por pequeña que pueda ser la información manipulada, es necesaria la protección, ya que se considera muy importante, pues un despiste puede llegar a producir vulneraciones en el contenido de este sistema.
VERSIÓN ONLINE http://www.isotools.org/2014/11/05/iso-27001-medios-aplicados-seguridad-informacion/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
11
Más información en nuestra web www.isotools.org
ISO 9001: Un Sistema de Gestión de la Calidad responsable El Sistema de Gestión de la Calidad basado en la norma ISO 9001, está implementado en muchas organizaciones a nivel mundial, y continuamente nos preguntamos de qué manera se lleva a cabo ésta gestión de la calidad tan importante. Por lo tanto, para implantarlo, las organizaciones tienen que incluir procesos éticos, responder a la demanda de claridad que la sociedad reclama, así como llevar a cabo un sentido social. Hoy en día es fundamental progresar con el fin de reducir riesgos, mejorar la eficiencia y obtener un incentivo económico. Esta faceta social debe ser tenida en cuenta por la norma ISO9001, hasta en aquellas ocasiones en las que la organización cuente con un SGC certificado, con el fin de contener una serie de ventajas como pueden ser:
12
de desempeño y servirán a su vez para incrementar la satisfacción del cliente y de cualquier otra parte atraído. • Obtener la certeza y seguridad de que la empresa actúa favorablemente, con ello se consiguen los objetivos de la misma. No sería posible esta función sin que las metas de la norma ISO9001 estén ordenadas en consonancia con las metas de la empresa. Si no existe esta alineación, es posible que se cumplan las metas pero por otro lado, no estará colaborando ni facilitando su trayectoria. Por lo anteriormente expuesto, observamos importantes beneficios a la hora de establecer un Sistema de Calidad de Gestión socialmente transparente. Complementariamente en este sentido, un sistema de gestión incluirá:
• La reducción de la manera de realizar el trabajo. La perspectiva desarrollada en procesos que lleva a cabo el Sistema de Gestión de la Calidad ISO 9001 produce que los rendimientos sean más altos que los esperados, promoviendo una apuesta de valor con proveedores y clientes.
• Incremento de la innovación, aprendizaje organizacional y creatividad.
• Utilizar un mecanismo que gestiona con calidad el tratamiento de las actividades básicas de una empresa, ya que por éstas la empresa existe. El Sistema de Gestión de la Calidad ISO 9001 permite realizar de manera global el análisis de desempeño, detectando las oportunidades de mejora. Dichas oportunidades contribuirán significativamente en una evolución de los indicadores
• Incremento de la posición competitiva del mercado.
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
• Mejora de valor agregado y calidad a servicios y productos. • Optimización de la productividad. • Mayor retorno y eficiencia de la inversión inicial. A menudo nos preguntamos si el Sistema de Gestión de la Calidad es socialmente responsable; cuando una persona cualquiera, que en algún caso podría llegar a convertirse en un cliente potencial de una empresa, ve el concepto de certificación ISO 9001 conexo a una enti-
Software ISO, BSC y BPM
dad, podría pensar que esta cuenta con un Sistema de Gestión de la Calidad ISO-9001 profundamente socializado con sus metas y con el incremento de la calidad que ofrece la empresa en concepto de productos y servicios. Pero en ocasiones sucede que la norma ISO 9001 solo cubre procesos como los que se muestran a continuación: • Gestionar compras. • Presentar reportes a la Alta Dirección. • Mantener las Instalaciones. • Proveer recursos humanos y financieros. • Controlar el presupuesto de la organización. • Respetar y cumplir los requisitos internos de la organización. Como resultado de ello, el cliente no quedará satisfecho con la expectativa que llevo a cabo, ya que los clientes no son expertos en materia de gestión de calidad, pero no implica la capacidad de éstos de observar que la empresa no les facilita ni asegura la calidad ni mejora del producto que han adquirido o, que en futuro pueden adquirir.
La ISO 9001 necesita demostrar su capacidad para suministrar productos que satisfagan a los clientes si la relevancia del sistema solo contiene procesos como los definidos anteriormente, la empresa no podrá llegar a demostrar a sus clientes que pueden ofrecerles productos que satisfagan sus objetivos, ni incluso incrementar su satisfacción.
Las empresas, por lo tanto, crean erróneas expectativas en los clientes en estos casos, por el cual no nos encontramos delante de un sistema trasparente socialmente o ético.
Envueltos en estas particularidades, la certificación de Sistemas de Gestión de la Calidad ISO 9001 no cubre tanto el objeto como el campo de aplicación de esta norma, y por lo tanto no tendría que obtener el certificado del sistema, ya que no está cumpliendo con sus objetivos impuestos.
Desde un punto de vista moral, y por lo que dispone el capítulo 1 de ISO-9001, estos certificados no deberían de otorgarse, ya que según el objeto y campo de aplicación:
Esta incoherencia de ISO 9001:2008 no se ha tenido en cuenta, es un caso que ha quedado fuera de debate desde que la norma nació.
“Esta Norma Internacional contiene los requisitos para un Sistema de Gestión de la Calidad, cuando una organización:
Es discutible por parte de las organizaciones la gestión en su sistema de una herramienta ética y socialmente responsable o implementar falsas mediciones en base al Sistema de Calidad para conseguir un certificado que les beneficie prestigio.
• Necesita demostrar su capacidad para suministrar productos que satisfagan los requisitos legales, reglamentarios y de los clientes. • Desea aumentar la satisfacción de sus clientes mediante la eficacia de su sistema, incluyendo procesos para la mejora continua del sistema y la conformidad con los requisitos legales, reglamentarios y del cliente.” En el acontecimiento de la Futura ISO 9001:2015, y según el ISO/DIS 9001 la relevancia de un Sistema de Gestión de la Calidad es ajustable a similares supuestos, determinando la opción de ofrecer tanto servicios como productos. Llegado a este punto se puede establecer algún tipo de confusión, por lo que si el sistema de la empresa satisface las metas requeridas de ISO9001 establecidas a partir del apartado 4. La certificación le puede ser otorgada
SGC Un Sistema de Gestión de la Calidad o SGC transparente y ético se considera necesario para el propio bien de la empresa y con ella sus clientes. Estas empresas pueden utilizar herramientas tecnológicas que les permita gestionar el sistema más eficazmente, integrando aplicaciones que den respuestas a las metas o requisitos de la norma y les haga más llevadero el trabajo.
VERSIÓN ONLINE http://www.isotools.org/2014/11/06/iso-9001-sistema-gestion-calidad-responsable/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
13
Más información en nuestra web www.isotools.org
III Foro de Excelencia en Sanidad El próximo miércoles 12 de noviembre, tendrá lugar el III Foro de Excelencia en Sanidad “Liderando para Ser Excelentes” en el Salón de Actos del Hospital Ramón y Cajal de Madrid. En esta ocasión, el Servicio Madrileño de Salud será el anfitrión de la jornada que dará comienzo a las 9:00 horas. Durante el III Foro de Excelencia en Sanidad se conocerá como el Modelo EFQM de Excelencia permite alinear la estrategia, procesos, indicadores y resultados de la organización, y el modo de expresarlo como Memoria Conceptual. En este evento tendrá lugar una mesa de experiencias en la que se compartirán las buenas prácticas en Liderazgo de Hospitales que ostentan un Sello de Excelencia Europea de 500+ como el Hospital de Guadarrama, el Hospital Plató y el Hospital Universitario Fundación Jiménez Díaz. A lo largo de esta trayectoria, 44 expertos del sector han colaborado a través de 7 grupos de trabajo, en el desarrollo de instrumentos de gestión. Del mismo modo, han contribuido en la identificación de mejores prácticas e indicadores que faciliten procesos de intercambio y benchmarking. Tras cuatro años de trabajos en los que han participado los distintos grupos de trabajo, se ha conseguido evolucionar a través del desarrollo de aspectos clave para mejorar la gestión en el sector sanitario. Además es la oportunidad para hacer un cómputo de estos aspectos, mostrar los re-
14
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
sultados obtenidos y contribuir con contenidos interesantes para todos los miembros del colectivo sanitario. En el III Foro de Excelencia en Sanidad participaran 34 organizaciones del sector sanitario, tanto del ámbito público como privado. En el año 2010, el Club de Excelencia en Gestión constituyó el Foro de Excelencia en Sanidad, con la finalidad de ser la referencia en todo lo que respecta al Modelo EFQM de Excelencia en el sector sanitario. El 11 de abril de 1991 se fundó el Club Excelencia en con el nombre de Club Gestión de Calidad. Se trata de una asociación privada y sin ánimo de lucro que desde sus inicios ha tomado como referencia a la EFQM (European Foundation for Quality Management). Las consultoras de referencia del Club de Excelencia en Gestión forman parte junto a otras Entidades Certificadoras y Organizaciones Autonómicas de la llamada “Coalición para la Excelencia”. ISOTools Excellence, es una de las organizaciones de consultoría y servicios profesionales que constituyen uno de los más relevantes grupos de interés para el Club Excelencia en Gestión. VERSIÓN ONLINE http://www.isotools.org/2014/11/10/iii-foro-excelencia-sanidad/
Software ISO, BSC y BPM
ISO 27001: Soluciones a las vulnerabilidades técnicas
El Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 colabora en el control a la entrada de los archivos que contengan información sensible sobre la Seguridad de la Información eludiendo errores o problemas de cierta integración o confidencialidad. Dichos archivos sensibles son: • Código fuente de cualquier programa. • Archivos de proyectos de TI. • Ficheros de sistemas. Mediante un procedimiento que se ocupe del control del cambio de software, se debería de llevar a cabo el proceso de cambiar el código de los sistemas operativos. Antes de dicho cambio, la actualización tiene que ser demostrada y se debería comprobar que se guarde una copia de seguridad de la anterior versión, por si en algún caso fuese necesaria una reparación. A través de un administrador de sistemas que esté técnicamente cualificado debería de establecerse la instalación, así como dejar un registro con la totalidad de actuaciones que se hayan realizado. Si en otro caso, el software es conseguido, la persona que no llegó a venderlo tiene que facilitar el servicio técnico. Todas las actividades del proveedor tienen que ser supervisadas o revisadas en el momento que este se encuentre prestando sus servicios a la empresa, permitiendo al pro-
veedor sólo el acceso a los sistemas que se consideran oportunos para realizar su labor correctamente. Se considera realmente necesario usar los datos más similares para asegurar la fiabilidad en las pruebas que se realizan a los sistemas, tanto en volumen como en calidad, y sobre los que se obtengan en el entorno de la producción. Por otro lado, se tienen que instaurar ciertos controles, más o menos iguales a los que quedan implantados para saber los datos de producción, que son empleados para preservar perfectamente los datos, y al mismo tiempo, eliminarlos cuando su uso haya finalizado. La Ley Orgánica de Protección de Datos establece que se debe evitar la utilización de datos de carácter personal reales. El código establecido como fuente de los programas debe estar preservado con el fin de evitar las entradas no autorizadas que de manera maliciosa puedan ser manipuladas o que se puedan dar por error. Se tendrían que restringir la entrada a personas lejanas al desenvolvimiento de las aplicaciones. Es verdaderamente importante contar con un contrato por parte de la organización externa a la que se le adquiere la aplicación, aunque ésta no sea la que desarrolla las aplicaciones que emplea, ya que siempre tiene que disponer de un código fuente que esté libre y el dueño del código tiene que quedar notorio desde el principio. En el momento en el que se interrumpe el contrato con la empresa proveedora, ésta podrá dejar las fuentes a
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
15
Más información en nuestra web www.isotools.org
cualquier empresa siempre y continuando de igual forma, será de fácil realización el desarrollo y mantenimiento de la herramienta. Resulta imprescindible realizar un control del entorno que se ocupa de la producción de proyectos y asistencia técnica, y con ello es necesario que estén informados de los cambios del sistema acordado que son demostradas para que no se puedan ocasionar accidentes conectados con la seguridad. De lo anterior se deduce que sería muy útil introducir la norma ISO27001. Las modificaciones que se puedan establecer en cualquier software utilizado por la empresa puede que altere el funcionamiento de su sistema operativo. Para conseguir que no se produzca esta situación, se tiene que implantar un procedimiento de control de cambios, con el cual se consigue reducir los daños potenciales en los sistemas informativos. Conforme a estos motivos se debe llevar a cabo procesos de implementación de controles, control de calidad e implantación, pruebas, procesos de documentación y de especificación. A la hora de implementar un Sistema de Gestión de Seguridad de la Información, establecer un registro de la totalidad de acciones realizadas se considera muy importante, ya que en el momento de encontrar alguna contrariedad, se pueden examinar las etapas y encontrar a los responsables y la fuente del accidente. A lo largo de un procedimiento de control de cambio, hay que tener en cuenta cómo afecta ese cambio en los sistemas de gestión de otros sistemas con los que existe alguna relación. Las modificaciones o cambios deberían producirse con bastante tiempo ya que se tienen que formular pruebas suficientes en los distintos sistemas para asegurar que funciona perfectamente y que las modificaciones realizadas no perjudican a los controles. Instalar las actualizaciones del software disponibles de los productos que se han comprado no siempre resulta necesario, por lo que sólo tienen que actualizarse cuando sea necesario. Por tanto, dentro de lo posible, se deben utilizar las aplicaciones adquiridas sin realizar cambios sobre ella si no es un caso extremadamente necesario y realizándose siempre por el proveedor, manteniendo una copia del software original. La totalidad de las modificaciones que se produzcan en el software adquirido de terceros, se tiene que someter a un proceso de control de cambios aprobado.
16
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
Los canales ignorados u ocultos son canales de trasmisión de datos que no se encuentran a simple vista, por lo tanto es muy posible que se puedan llegar a producir importantes fugas de información. Para evitar las pérdidas de información, es necesario implantar controles como: las actividades personales, el escaneo de los medios de comunicación, protección contra virus troyanos y supervisar los recursos. Si, en cualquier caso, el software se ubica externalizado, tenemos que encontrar en el contrato la propiedad y derechos del código, considerar sobre posibles terceros que colaboran por iniciativa de la organización subcontratada y probar y certificar su calidad. A menudo observamos nuevas vulneraciones técnicas que pueden llegar a dañar a los sistemas que tienen incorporados las empresas. Estas vulnerabilidades publicadas se tienen que gestionar, además de detectarlas de manera interna en la empresa. La gestión del sistema se debe iniciar con toda la información conseguida de las vulnerabilidades, se debe establecer las medidas oportunas para resolver los principales problemas que se muestran en la organización, así como analizar los riesgos de los activos. Se tiene que realizar la gestión de la organización con un inventario de activos completos y actualizados. En el instante en el que se consiga un remedio para que se solucione estas vulnerabilidades del sistema se debe proceder a ejecutar el procedimiento de control de cambios. Si se da el caso de que no se pueda reconocer algún remedio oportuno, en función de la vulnerabilidad de esta, se podrá dejar de utilizar o impedir el sistema dañado, así como aumentar los controles de monitorización. SGSI Los Sistemas de Gestión de Seguridad de la Información o SGSI son herramientas que permiten a las organizaciones gestionar eficientemente los riesgos que se producen en las organizaciones.
VERSIÓN ONLINE http://www.isotools.org/2014/11/11/iso-27001-soluciones-vulnerabilidades-tecnicas/
Software ISO, BSC y BPM
Decreto 1443 de 2014: Seguridad y Salud en el Trabajo para Colombia Desde el pasado 31 de julio de 2014 con la publicación del Decreto 1443, en Colombia se aborda de otra forma el tema de seguridad y salud ocupacional. El Decreto 1443 establece que todas las organizaciones, independientemente de su tamaño tiene la obligación de implementar un Sistema de Gestión de Seguridad y Salud en el Trabajo, también conocido como SG-SST. Este Decreto se fundamenta en la norma OHSAS 18001 y en él quedan establecidos una serie de plazos para que las organizaciones adopten dicho decreto. En concreto, el artículo 37 establece: “Los empleadores deberán sustituir el Programa de Salud Ocupacional por el Sistema de Gestión de la Seguridad y Salud en el Trabajo (SG-SST) para lo cual, a partir de la publicación del presente decreto deberán dar inicio a las acciones necesarias para ajustarse a lo establecido en esta disposición y tendrán unos plazos para culminar la totalidad del proceso, contados a partir de la entrada en vigencia del presente decreto, de la siguiente manera: a) Dieciocho meses para las empresas de menos de diez trabajadores. b) Veinticuatro meses para las empresas con diez a doscientos trabajadores. c) Treinta meses para las empresas de doscientos uno o más trabajadores.” Para dar cumplimiento a estos plazos, las organizaciones deben considerar el promedio de número total de em-
El Decreto 1443 de 2014, obliga a implantar un SG-SST a todas las empresas de Colombia pleados del año anterior a la fecha de publicación de este decreto, sin tener en cuenta el tipo de contratación. Eso siempre quedará certificado por la persona que representa legalmente a la organización. Según queda reflejado en este decreto, hasta que no se venzan los plazos definidos por el artículo 37, las organizaciones tienen la obligación de dar cumplimiento con los requisitos establecidos por la resolución nº 1016 del año 1989. Desde ISOTools os seguiremos manteniendo informados sobre las claves de este Decreto y la importancia de implementar un Sistema de Gestión de Seguridad y Salud Ocupacional. VERSIÓN ONLINE http://www.isotools.org/2014/11/12/decreto-1443-2014-seguridad-salud-trabajo-colombia/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
17
Más información en nuestra web www.isotools.org
ISO 14001: Oportunidades de un Sistema de Gestión Medioambiental Cuando implementamos un Sistema de Gestión Medioambiental desarrollado según la norma ISO-14001 nos podemos encontrar una serie de oportunidades:
Te ofrece la posibilidad de entrar a los concursos públicos que exigen tener implantado un Sistema de Gestión Ambiental.
• Disminución en el uso de materias primas y energía
Mayores opciones de crear grandes inversiones, así como mejora el control de costos y generar nuevas ventajas de negocio. Además mejora del desarrollo de nuevas tecnologías y productos nuevos.
• Aumento de la eficacia ambiental • Reducción de costes a lo largo del tratamiento Podemos obtener un mayor porcentaje de oportunidades, a la hora de implantar un Sistema Ambiental si nos centramos más en los puntos destacados, como estas: • Realizar registros que avalen el comportamiento ambiental de la organización. • Mayor confianza de las partes interesadas, como pueden ser, accionistas, inversores, trabajadores, proveedores, etc. • Anticiparse a los problemas ambientales que nos podamos encontrar, evitando que aparezcan estos. • Simplifica el cumplimiento de la legislación vigente y la política ambiental de la organización. • Ayuda a la organización a disminuir la contaminación emitida. Con el fin de especificar más las oportunidades mencionadas anteriormente, las vamos a agrupar en distintos ámbitos, como el marketing, legislación, comercialización, imagen, producción, inversiones y costos ambientales y gestión.
Marketing Posibilita la adaptación de las distintas demandas de los clientes del mercado, como puede ser la divulgación de la certificación en ISO 14001:2004.
18
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
Legal Lograr mejoras en el cumplimiento de las obligaciones que la entidad tiene, tanto materiales como formales, las cuales son exigidas por las normas ambientales que se le pueda aplicar y posibilita la adaptación a las distintas modificaciones a las que tiene que enfrentarse. Se reducen los riesgos de incumplimiento de la legislación aplicable, por lo que disminuyen directamente los daños que se puedan producir en el medio ambiente. Disminuye los riesgos ante demandas por la responsabilidad civil de la entidad, así como la responsabilidad penal. Elude que la empresa llegue a tener litigios con la administración u otras organizaciones por competencia desleal. Aumenta la confianza de los accionistas, inversores, compañías de seguros y legisladores, por lo cual incrementará la relación de la empresa con estas personas aumentando la capacidad de negocio.
Comercialización Facilita las estrategias de diferenciación de los distintos productos que la entidad ofrece, con lo cual mejora su competencia frente a otras empresas que intercambian productos similares.
Software ISO, BSC y BPM
Imagen Aumenta la imagen notablemente de la organización tanto interna como externamente.
Producción Aumenta los procesos productivos que se establecen en la entidad al mejorar estos puntos: • Controles en la eficacia de los procesos. • La reducción del consumo del consumo de agua. • Aprovechamiento de los residuos y minimizar su producción. • Rebajar el consumo de agua en la organización. • El control y el ahorro que se realiza con las materias primas. Enriquece la incorporación de nuevas tecnologías y desarrollos, los cuales mejoran notablemente la producción. Del mismo modo se consigue reducir los costos productivos.
Inversiones y costos ambientales Posibilita el establecimiento de los costos ambientales ya que figura como la actividad que realiza la entidad. Se incrementa la entrada a las ayudas económicas que difunden los estados para la protección del medio ambiente. Reducción de los costos empleados en no establecer la gestión adecuadamente. Minimiza las posibilidades de incrementar costos que procedan de las actuaciones dañosas de terceros y que, por siguiente, perjudiquen al medio ambiente.
de distintas acciones encaminadas en conseguir la máxima racionalidad en la totalidad de procesos de decisión relativos a la mejora del medio ambiente, la conservación, la defensa y la protección. La norma ISO-14001 introduce la estructura organizativa de la totalidad de la estructura organizativa de la empresa, genera responsables para los distintos procesos, facilita la planificación de las actividades y se tienen que establecer procedimientos con los que se creen recursos que son usados para desarrollar, revisar, implementar y mantener al día la política ambiental. Se deben incluir todos los objetivos en la política ambiental. Los Sistemas de Gestión Medioambiental son muy diversos y se tienen que adoptar por la empresa de manera voluntaria, éstos pueden ser: • EMAS: es el sistema de la Unión Europea, nació en el año 2001, de Ecogestión y Auditoría Ambiental. Se encuentra abierto a cualquier organización que desee mejorar su comportamiento con respecto del medio ambiente. • ISO 14001: pertenece la familia de normas ISO 14000, generadas por la Organización Internacional de Normalización (ISO). La ISO es un organismo privado no gubernamental que genera normas voluntarias para el sector privado, y que comenzó en el año 1993 su tarea de estandarizar la gestión ambiental. La acreditación que se entrega a una empresa que ha establecido con éxito un Sistema de Gestión Ambiental es la certificación ambiental. Para ello debe demostrar por medio de auditorías que cumplen con la legislación aplicable, su aptitud para prever y controlar los efectos que pueden generar las actividades de la entidad en el medio ambiente.
Se rebajan las primas de seguros en asuntos de responsabilidad civil que se encuentran relacionados con el impacto ambiental.
Forman parte del Sistema Ambiental los siguientes documentos:
Gestión
• Registros ambientales.
Dentro de la gestión global de la organización, ésta debe incluir la gestión ambiental.
• Manuales de gestión ambiental.
La plantilla que trabaja en la empresa puede colaborar aportando creatividad y cooperando, siendo la empresa la que impulse dicha colaboración. Se pueden añadir distintos Sistemas de Gestión como: Sistemas de Gestión de Seguridad y Salud en el Trabajo, Sistema de Gestión de la Seguridad de la Información, Sistema de Gestión de Calidad, etc.
• Procedimientos funcionales.
• Instrucciones técnicas. • Política ambiental.
VERSIÓN ONLINE http://www.isotools.org/2014/11/13/iso-14001-oportunidades-sistema-gestion-medioambiental/
Se puede definir la Gestión Ambiental como un conjunto
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
19
Más información en nuestra web www.isotools.org
OHSAS 18001: Importancia de los procesos de comunicación, participación y consulta El Sistema de gestión de Seguridad y Salud en el Trabajo basado en la norma OHSAS 18001 está formado por una serie de procesos de comunicación, participación y consulta que tienen una finalidad esencial para la entidad. Por medio de dichos procesos se investiga fomentar la participación activa de la totalidad de la plantilla de la entidad en las mejores prácticas de la SST y el apoyo a la política de seguridad y los fines de SST. Los procesos de comunicación son fundamentales en la entidad, ya que sostienen el flujo de información en todos los niveles de la organización, pudiendo ser flujos laterales, verticales u horizontales. Por otro lado, la consulta es la herramienta por la cual se accede al debate, compuesto por la dirección y otras personas de la empresa, con el fin de establecer conjuntamente cuestiones relativas a la Seguridad y Salud en el Trabajo según la OHSAS18001. Esto supone intercambiar visiones e información con la finalidad de encontrar soluciones adecuadas a los imprevistos o perjuicios de la entidad en esta materia.
20
• Promover la participación e implantación en los trabajadores de una mentalidad preventiva en conexión de actitudes y buenas prácticas. • Integrar la participación en todos los niveles de la organización, ya sea interna o externamente, como puede ser en el caso de los subcontratistas. • Sistematizar la totalidad los canales de comunicación externos.
Comunicación OHSAS 18001:2007 requiere que se desarrollen, mantengan e implementen procedimientos, en cuestión con la comunicación, para: • Relacionarse con los contratistas y cualquier otro visitante que entre a las instalaciones de trabajo. • Recibir, documentar y responder a las comunicaciones de las partes interesadas pertinentes. • Ejecutar una adecuada comunicación interna entre todos los niveles y funciones de una empresa.
Dentro de SG-SST, la participación es un proceso fundamental por el cual los trabajadores de la entidad, así como cualquier persona que resulte afectada por las actividades laborales puedan extender y observar constantemente las prácticas de Seguridad y Salud Ocupacional establecidas por la norma OHSAS 18001 e incluso su gestión.
Se debe establecer de forma efectiva la comunicación, tanto interna como externamente, para el adecuado desarrollo del Sistema de Seguridad y Salud en el Trabajo. Por lo cual, cualquier notable información en base a la SST va a ser difundida por el canal correcto y recibida y emitida por la persona adecuada.
Por tanto, los procesos de comunicación, participación y consulta permiten:
En cuanto a la comunicación interna, debe ser canalizada de manera correcta por todos los niveles de la empresa,
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
Software ISO, BSC y BPM
siendo un flujo seguro y correcto con el fin de evitar las pérdidas importantes de información. Con esta comunicación, la plantilla de la organización podrá conocer, en cualquier momento, los temas más relevantes de la certificación OHSAS 18001, de la misma manera que los empleados podrán comunicar a la alta dirección de los imprevistos que se puedan causar. Comúnmente las comunicaciones internas pueden ser:
La importancia que tienen la comunicación, participación y consulta en un SG-SST
• Comunicaciones de accidentes o incidentes. • Sobre riesgos. • Sugerencias para mejorar.
Consulta y participación
• Convocatorias para cursos de formación o reuniones.
Resaltar la importancia de cualquier consulta, ya que se considera un tema importante a la hora de evitar perjuicios y errores en la entidad.
• Sobre la política de SSO de la organización. • Sobre el progreso de la eliminación de peligros. La entidad también tendrá que establecer algunos mecanismos de comunicación en el caso de contar con contratistas o visitantes. La magnitud de este modelo de comunicación sólo incluye los riesgos de Seguridad y Salud Laboral establecidos por la norma OHSAS 18001 acordados conjuntamente entre las partes implicadas. Antes del comienzo de cualquier actividad del contratista, se tiene que probar el alcance seguro de la comunicación, y será sobre información relativa a controles operacionales, prácticas seguras de trabajo, etc. Siempre conectado con el trabajo concreto que se va a ejecutar. Para los asistentes, la comunicación adecuará a señales de aviso y barreras de seguridad, como cualquier otro comunicado oral o escrito que les comunique sobre las precauciones destinadas a tomar en la instalación a lo largo de su visita. En el caso de realizar una comunicación externa, la entidad debe incluir la metodología de uso para recibir, documentar y responder a las partes interesadas en ello. Dentro de las partes interesadas recalcamos las autoridades, aseguradoras, población local, el público en general, clientes, grupo de ecologistas o proveedores y subcontratistas. Los modelos de comunicación externa más habituales, referente al Sistema de Gestión de la SST, son:
Un requisito significativo en la Seguridad y Salud Ocupacional OHSAS 18001 son estas consultas ligadas a la participación de los trabajadores. Se considera necesario mantener, establecer e implantar procedimientos con el fin de: • Realizar consultas a los contratistas cuando sucedan cambios que afecten a su SSO. • Implicarse en el desarrollo y la revisión de las políticas y objetivos de Seguridad y Salud en el Trabajo. • Identificar peligros, evaluación de riesgos y determinar controles. • Actuar ante cambios que afectan a la SST. • Participar en investigación de incidentes. En base a lo anterior expuesto, es fácil reconocer la importancia que tienen considerada estos tres procesos en una empresa, refiriéndose en este artículo en Seguridad y Salud Ocupacional, por lo que no se debería ignorar ningún problema que ponga en riesgo la comunicación, participación y consulta.
SST Con la finalidad de proporcional una comunicación, participación y consulta más eficaces se pueden utilizar unos mecanismos que automatizan la Sistema de Gestión de la Seguridad y Salud en el Trabajo o SST.
• Aspectos específicos del Sistema de Gestión de Seguridad y Salud en el Trabajo, a las partes interesadas. • Comunicaciones ligadas a trámites de licencias y autorizaciones a la administración. • Multas administrativas causadas por incidencias en Seguridad y Salud en el Trabajo.
VERSIÓN ONLINE http://www.isotools.org/2014/11/14/ohsas-18001-importancia-procesos-comunicacion-participacion-consulta/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
21
Más información en nuestra web www.isotools.org
ISO 27001: Soluciones a las incidencias producidas en un Sistema de Gestión de Seguridad de la InInformación En el seno de un Sistema de Seguridad de la Información desarrollado en la norma ISO 27001 de una organización, podemos encontrar una serie de incidentes y puntos débiles, y a continuación deben ser comunicados o notificados al responsable con el fin de iniciar una adecuada gestión.
Notificación de incidentes Un incidente debe encontrarse adecuadamente documentado mediante un procedimiento formal, el proceso con el que se notifican o comunican los puntos débiles. Además este tiene que encontrarse al alcance de la totalidad de la plantilla de la entidad, así como a todas las partes que se consideren convenientes. Se debe conceptualizar claramente en el procedimiento, cómo tienen que proceder a notificar la incidencia y cómo debe ser el procedimiento para dar una respuesta y escalado, es decir, los pasos a seguir en el caso de que el trabajador encuentre cualquier incidencia que perjudique a la seguridad de la información de la empresa. A continuación, debe comunicar este problema al responsable para que éste evalúe el perjuicio y lleve a cabo el procedimiento para resolverlo. En el caso de no poder solucionar el problema él mismo, debe escalarlo a rangos superiores, para que de una forma rápida y eficaz puedan dar respuesta a cualquier incidencia. Por lo dicho anteriormente, se hace necesario poseer de un sujeto con la misión de ser el punto de contacto, es decir, debe ser una persona con capacidad y disponibili-
22
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
dad para poder gestionar todos los eventos que sucedan, además de ser una persona conocida por toda la plantilla de la empresa. A este sujeto responsable asociado al sistema correspondiente se le tiene que comunicar lo más pronto posible los diferentes puntos débiles que se originen en la empresa, haciéndolo tanto los trabajadores que allí se hallen como terceras personas. Se debe contar con un registro de notificaciones en la entidad, en el cual se recojan las incidencias detectadas, así como las personas que colaboran en el escalado a la hora de identificarlas. En la empresa se tiene que comprobar qué persona pudo estar implicada con el daño causado de forma intencionada, como también ese perjuicio que puede llegar a causar y las distintas implicaciones legales asociadas.
Gestión de incidentes Además de conceptualizar el procedimiento de comunicación, se tendría que requerir un procedimiento de gestión de las incidencias, así como atribuir las responsabilidades necesarias. Los procedimientos deben ser inspeccionados cada periodo de tiempo para mantenerlos al día con el fin de conocer los resultados producidos y las modificaciones que en la organización se establecen. Todo ello se debe incluir en el proceso de manera continua del Sistema de Gestión de Seguridad de la Información desarrollado en la norma ISO-27001. A lo largo del procedimiento de gestión, tenemos que considerar las respuestas que se tienen que dar a cualquier
Software ISO, BSC y BPM
incidencia que pueda establecerse en nuestro sistema de información. Se deberían de tener en cuenta las acciones de contingencias que se tienen que decidir y, analizar las distintas causas que se ha proporcionado el incidente, planificar e implementar las acciones correctivas necesarias para que no vuelva a producirse, comunicar a las personas implicadas en el proceso, y con ello se deben tomar registro y pruebas de auditoria. Por las personas recomendadas y autorizadas de la entidad, deben de llevarse a cabo las acciones de contingencia y reflejarse en un registro donde se encuentren todos los detalles, los cuales se usarán para que en un futuro se pueda estudiar e investigar. La herramienta utilizada para saber si se deben realizar cambios en los procedimientos de respuesta o para implantar nuevos controles de seguridad es la evaluación. En el caso de que el incidente lleve a tomar medidas legales se consideraría necesario demostrar las responsabilidades de los actos que se han producido. Para ello, se debe agrupar todas las pruebas posibles de auditoría, gestionar su custodia y presentarla cuando sean pedidas en el formato que exija el oportuno reglamento. Un ejemplo de lo expuesto anteriormente, sería el robo de información confidencial por parte de un trabajador, que en este caso sería necesario el uso de medidas legales. A continuación exponemos lo que podría ser un ejemplo fácil sobre el proceso de gestión de incidente en una entidad: Un sujeto manifiesta la existencia de una incidencia que perjudica a la seguridad de los datos de carácter personal o a las medidas de seguridad de estos, con lo que debe comunicárselo a la persona responsable de seguridad que haya establecido la entidad. Para llegar a este fin se deben establecer estos datos: • Tipo de incidencia. • Día y hora en la que se ha producido. • Sujeto que comunica la incidencia. • Sujeto destinataria de la notificación. • Efectos derivados de la incidencia. Mediante el envío de un correo electrónico con acuse de recibo debe remitirse la notificación, con lo que podemos garantizar la recepción del correo. En el caso del conocimiento de cualquier incidencia por parte del responsable de seguridad, éste debe establecer las medidas necesarias para corregir esos perjuicios pro-
¿Cómo solucionar una incidencia de su Sistema de Gestión de Seguridad de la Información? ducidos, y en el caso de no tener la capacidad establecida para ello, se debería de derivar la responsabilidad al departamento correcto para que la incidencia pueda ser solucionada lo más rápido y eficaz posible. Finalmente el responsable de seguridad tiene que realizar un seguimiento de la incidencia para afirmar que ha sido solucionada. En el registro adecuado debe quedar registrada la incidencia. Una vez que queda registrada se deben dar más datos como las medidas establecidas para solucionar el perjuicio ocasionado. Se deben contener los siguientes apartados: • Nombre completo de la persona que realiza la notificación de la incidencia. • Nombre completo de la persona a quien se notifica la incidencia, en este caso el responsable de seguridad. • Tipo y descripción de la incidencia. • Efectos que se han derivado de la incidencia. • Fecha en la que se produjo la incidencia. • El seguimiento que se realiza a la incidencia (estado en el encuentra la incidencia, persona que resuelve la incidencia, fecha y descripción de la resolución).
Sistema de Gestión de Seguridad de la Información El Sistema de Gestión de Seguridad de la Información es uno de los Sistemas de Riesgos y Seguridad que pueden emplear las organizaciones con la finalidad de disminuir e incluso eludir dichos riesgos y garantizar la seguridad de la propia empresa. VERSIÓN ONLINE http://www.isotools.org/2014/11/17/iso-27001-soluciones-incidencias-sistema-gestion-seguridad-informacion/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
23
Más información en nuestra web www.isotools.org
ISO 9001: ¿Cómo documentar un Sistema de Gestión de la Calidad? ISO 9001 solicita un Sistema de Gestión de la Calidad documentado, y no en cambio un sistema de documentos burocrático. Con ello no se requiere generar un volumen excesivo de documentación, ya que si esto ocurre sería porque la misma empresa en el proceso de implementación de la ISO 9001:2008 produjo gran cantidad de burocracia, y en ese caso algo no se estará realizando adecuadamente. Dentro de la entidad, ISO-9001 presenta cierta flexibilidad para seleccionar la manera en la que documentar el SGC, posibilitando así que cada empresa desarrolle la mínima cantidad de documentación necesaria para exponer la planificación, operación, inspección de procesos e implementación de mejora continua. La documentación debe de agregar valor a las actividades de una entidad y permitir la ejecución de las mimas. Por el contrario, lo que no debe ocurrir es que la documentación sea el motivo para contribuir a generar burocracia, ya que en estos casos la calidad no existe. Los fines de la documentación en una organización comúnmente son: • Notificación de una información. • Evidencia de la conformidad. • Compartir conocimientos.
24
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
Según ISO9001, un documento es la información y su medio de soporte, encontrando éstos en cualquier formato o soporte como pueden ser por ejemplo: • En una fotografía. • En una muestra patrón. • En papel. • Soporte electrónico. Sin embargo, nos preguntamos cuáles son los documentos que se recogen en un Sistema de Gestión de Calidad. Lo exponemos a continuación. Manuales: Documentos con la información relativa al desarrollo del sistema de gestión. Planes: Documentos en los que se detalla la aplicación del SGC en un producto. Especificaciones: Documentos en los que quedan definidos los requisitos a cumplir por los productos o servicios. Guías: Documentos voluntarios, que proporcionan recomendaciones para llevar a cabo actividades. Procesos: Documentos informativos sobre los procedimientos que hay que realizar para que tengan lugar ciertos acontecimientos. En estos documentos se incluyen una serie de actividades imprescindibles para lograr los resultados deseados, los insumos y bienes.
Software ISO, BSC y BPM
Procedimientos: Documentos en los que se indica la forma de proceder ante una actividad. Registros: Documentos que proporcionan certezas de las actividades desarrolladas y de los resultados conseguidos. La documentación en cada empresa será a nivel de detalle y extensión impuesto por esta. Se establecen una serie de requisitos propuestos por ISO 9001 que debe reunir la documentación de este Sistema de Gestión de la Calidad. La manera de documentar y su sistema de control están relacionados con factores como estos: • Competencia del personal de la entidad.
¿Sabemos qué documentos son los necesarios en un Sistema de Gestión de la Calidad ISO 9001?
• Complejidad de procesos.
• Establecer un marco de referencia para crear y revisar los fines de calidad.
• Requisitos legales y reglamentarios aplicables.
• Ser comunicada y entendida en el seno de la entidad.
• Nivel de detalle que haya que demostrar en el cumplimiento de los requisitos del SGC de la entidad.
En cuanto a los objetivos de calidad, también se requiere una serie de requisitos, los cuales aparecen definidos en el artículo 5.4.1 de la norma. Dichos requisitos necesarios para lograr los objetivos del deben ser:
• Tipo y tamaño de la entidad. • Requisitos de clientes. • Complejidad de productos. ISO9001 lo que solicita y requiere de la entidad es implantar, documentar, mantener e implementar el Sistema de Gestión de la Calidad y aumentar su eficacia normalmente según los requisitos que la norma contiene. La documentación que debe añadir el Sistema de Gestión de la Calidad se recoge en el artículo 4.2.1. Generalidades de ISO 9001:2008, esta es: • La Declaración de la Política de Calidad y de Objetivos de Calidad. • El Manual de Calidad. • Los procedimientos y registros que la norma requiere. • Los documentos que la organización establezca para asegurar la eficacia de la planificación, operación y control de sus procesos. • Los registros que la norma requiera. La documentación respecto a la declaración de la política de calidad, ISO-9001 conceptualiza sus requisitos en el artículo 5.3. Dichos requisitos son los siguientes:
• Medibles y coherentes con la política. • Establecidos en las funciones y niveles pertinentes de la organización. Si hablamos sobre la futura ISO 9001:2015, las consideraciones expuestas anteriormente la encontramos en el artículo 5.2 para los requisitos de la política de calidad y al artículo 6.2 para los requisitos de los objetivos de la calidad. Esta versión futura del SGC traslada las indicaciones sobre la información documentada a un artículo nuevo, el 7.5, indicando el tipo de información que debe incluir nuestro Sistema de Gestión de la Calidad.
Sistema de Gestión de la Calidad La documentación de un Sistema de Gestión de la Calidad o SGC no debería ser un tema complicado, ya que dicho sistema no supone un aumento de burocracia, como hemos visto en este artículo. Hay herramientas que automatizan la gestión y se podrían utilizar como mecanismo para la gestión de toda la documentación que el sistema requiere.
• Ser revisada para que no pierda su adecuación. • Incluir un compromiso de cumplimiento de los requisitos y de mejora continua de la eficacia del Sistema de Gestión de la Calidad ISO 9001. • Ser adecuada al propósito de la entidad.
VERSIÓN ONLINE http://www.isotools.org/2014/11/19/iso-9001-documentar-sistema-gestion-calidad/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
25
Más información en nuestra web www.isotools.org
Aprobado el borrador ISO/DIS 9001:2015 La norma ISO 9001:2015 ha pasado a su última fase de revisión: la de aprobación. Tras una reunión celebrada por el comité TC/CS, un 90 por ciento de los votos se ha posicionado a favor de la aprobación del último borrador de la norma ISO/DIS 9001:2015. Este hecho da valor suficiente para pasar a la siguiente fase que es el “Proyecto Final de la Norma Internacional o FDIS” que se dará a conocer a finales de enero de 2015. El pasado 5 de noviembre, el organismo ISO (International Organization for Standardization) comunicó que se había aprobado el último borrador de la norma ISO 9001 para los Sistemas de Gestión de la Calidad tras la votación en positivo de la mayoría del comité valorador. Durante el periodo del 10 de julio al 10 de octubre de
26
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
2014, se había establecido lo que se conoce como la etapa de consultaque comienza con la presentación del borrador de la norma ISO DIS 9001. Terminado este plazo, y según los procedimientos establecidos por ISO, se sometió a voto el proyecto planteado para esta norma. Para su aprobación, se necesitaban los siguientes requisitos: el hecho de que dos tercios de los miembros del comité estuvieran a favor y que no se recibieran más de una cuarta parte de los votos en contra. El resultado final fue del casi 90 por ciento de los votos a favor de la aprobación. Valor suficiente para pasar a la siguiente fase: Proyecto Final de Norma Internacional o FDIS, documento que dará paso a la publicación final de la norma.
Software ISO, BSC y BPM
Con esta noticia tan satisfactoria que se ha recibido, ISO informa que entramos en el periodo de aprobación. Ahora, la Secretaría Central distribuirá el Proyecto de Norma Internacional (FDIS) a los distintos organismos miembros de ISO con el fin de conseguir una postura afirmativa o negativa en el plazo máximo de dos meses. Según este dato, en enero de 2015 se conocería este borrador final de la norma. Si durante estos dos meses se recibiera algún otro comentario sobre la ISO-9001, ya no se tendrá en cuenta en esta revisión sino que será tenido en cuenta para la siguiente revisión de la norma. El siguiente paso es que los expertos del subcomité ISO revisarán la norma a través de todos los comentarios publicados y recibidos durante el periodo de consulta del DIS con el objetivo de elaborar un proyecto final que, aproximadamente en enero de 2015, estará listo para su votación.
Resumen del proceso Este proceso de revisión comenzó a raíz de la necesidad de mejorar la utilidad y envergadura de ISO 9001 con el único fin de que las organizaciones que la aplicasen no perdieran su eficacia y pudieran mejorar los servicios que ofrecen a los clientes. A este proceso se le denomina etapa de propuesta. Seguidamente, si la propuesta es aceptada se entra en el periodo de preparación. Se comienza con la elaboración del primer borrador de la norma, que es elaborado por un grupo de expertos que lo remitirán al comité para que den su aprobación. La siguiente fase es la del comité, quienes elaboran un Comité Draft o CD, borrador que debe ser distribuido para recabar comentarios y observaciones que, tras la votación correspondiente, servirán para incluirlos o no en el DIS. Tras la votación de la etapa del comité se obtiene el ISO/ DIS 9001, borrador al que tenemos acceso actualmente, y de nuevo se abre un plazo de tiempo para recibir los comentarios y observaciones pertinentes. Esta última, que es la etapa de consulta, es la que hemos abandonado tras recibir esta noticia. Y si todo se desarrolla según lo previsto, en septiembre de 2015 habrá finalizado la revisión de ISO 9001 y podremos empezar a trabajar con ella. Según declaraciones del presidente del subcomité ISO responsable de revisar la norma, Nigel Croft, “estamos en
En enero de 2015 se conocería el borrador final de la norma ISO 9001 el camino correcto”, cumpliendo con las fechas previstas para la publicación de ISO 9001:2015. Además, añade que la futura versión en la que se está trabajando, se basa especialmente en tres conceptos fundamentales: El concepto del enfoque basado en procesos, que ya tuvo éxito en ISO9001 versión 2008. La metodología del PHVA: Planificar, Hacer, Verificar y Actuar. El pensamiento basado en el riesgo, novedad en la versión 2015 de ISO-9001, y que tiene el objetivo de prevenir la aparición de resultados no deseados. ISO 9001 es una de las normas estrella de ISO, muy conocida e implantada por todo el mundo ya que existen más de 1,1 millones de certificados en todo el mundo. Mediante sus requisitos, proporciona a las organizaciones la opción de demostrar que pueden ofrecer a susclientes productos y servicios de buena calidad. Por otro lado, ISO9001 ayuda a las organizaciones a optimizar sus procesos y ser más eficientes en sus actividades. ISO-9001 es asequible a cualquier tipo de organización, independientemente del tipo y tamaño que sea. Además esta norma ha servido de inspiración a una serie de documentos elaborados para sectores específicos como el sector de la automoción, sector médico o sector público.
VERSIÓN ONLINE http://www.isotools.org/2014/11/20/aprobado-borrador-iso-dis-9001-2015/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
27
Más información en nuestra web www.isotools.org
OHSAS 18001: Gestión de la documentación OHSAS 18001 constituye un Sistema de Gestión de Seguridad y Salud Laboral que produce una serie de documentos esenciales para su adecuado funcionamiento. Dicha documentación si no es controlada puede transformarse en un obstáculo para el sistema más que un soporte para el mismo. La documentación solicitada por OHSAS18001 se encuentra recogida en el texto normativo estándar, el cual debe incluir: • Documentos y registros solicitados por la norma OHSAS-18001. • Documentos y registros determinados por la misma entidad con el fin de lograr la eficacia de la planificación, operación y control de los procesos ligados a la gestión de los riesgos de seguridad y salud ocupacional.
La configuración de estas instrucciones varía según las necesidades de la empresa y del personal que la conforma. Podemos encontrarnos instrucciones en diagramas de flujo, formato papel, vídeos, etc. Las inspecciones que se añaden en OHSAS 18001 son un modelo especial de documento, cuyo cometido es añadir evidencias de desarrollo de procesos. Normalmente suele ser el modelo de documento más abundante en SG-SST. OHSAS 18001:2007 posibilita a las empresas que elijan el modelo y extensión de sus documentos, aunque dependerán en gran medida de: • Competencia del personal.
• Política y objetivos de Seguridad y Salud Ocupacional.
• Tipo y tamaño de la organización.
• Descripción del alcance del Sistema de Gestión de Seguridad y Salud en el Trabajo.
• Complejidad e interacción de procesos.
Descripción de los principales elementos del Sistema de Gestión de SST OHSAS 18001 y su interacción. En el Sistema de Gestión de Seguridad y Salud Ocupacional encontramos unos procedimientos documentados que detallan la gestión de los procesos. En esta explicación se conceptúan las actividades que se llevan a cabo en cada proceso, las personas que aparecen involucradas en ellos y sus responsabilidades, los controles que se ejecutan para asegurar que los resultados obtenidos son acordes a los fines, etc. Existen además unas instrucciones que pueden definirse de diversas formas según la entidad, y que describen
28
detalladamente una actividad en cuestión. La función principal de estas instrucciones es dar apoyo técnico al progreso de los procesos.
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
Debe estar sometida a un control la totalidad de documentación de la entidad referente al sistema. Por lo que la empresa tendrá que implementar, mantener y establecer procedimientos para: • Posibilitar una adecuada identificación, control y distribución de la documentación de origen externo y que la misma organización considera necesaria para la planificación y operación del Sistema de Gestión de la SSO basado en la OHSAS 18001. • Revisar y actualizar documentos cuando se crea conveniente. • Aprobar documentos en relación a su adecuación para poder emitirlos correctamente.
Software ISO, BSC y BPM
• Asegurar que los documentos se mantienen legibles e identificables. • Prevenir el uso de documentación ya obsoleta y aplicar una identificación adecuada para el caso de que dicha documentación se quiera conservar por cualquier motivo. • Permitir que las versiones correspondientes a los documentos que se utilizan están disponibles. Dichas prácticas posibilitan disponer de una inspección sobre aquellos documentos que versan sobre el buen hacer de la entidad. También permiten mantener informados a la totalidad de la plantilla de la entidad, afirmando que el trabajo se realiza de un modo fiable y no cometiendo errores. Los modelos más frecuentes de controles ligados a la documentación del Sistema de Gestión de Seguridad y Salud Laboral se detallan a continuación.
Revisión, aprobación y emisión de documentos La empresa tiene que contar con una serie de prácticas de revisión y aprobación de documentos que se efectúen antes de cualquier emisión de los mismos. Especialmente se tienen que definir los sujetos autorizados que efectuarán la revisión y aprobación. Dichos sujetos tendrán que contar con la autoridad y formación bastante para poder realizar dichas labores. También, se considera necesario señalar cuál será la evidencia para demostrar que la revisión y aprobación han sido resueltas por los sujetos designados. Comúnmente esta evidencia no es otra que la firma de los responsables en dichos documentos. En el caso de que la documentación esté en formato electrónico hay que denominar otras alternativas, y como posible se podría utilizar la firma electrónica. Esta comprobación y aprobación no se aplica sólo a documentos nuevos, si no puede ser necesaria también la aplicación en documentos que se vayan a actualizar.
Control de los cambios en los documentos La empresa tiene que contar con una sistemática que de ello derive comprender las modificaciones sufridas en un documento cada vez que se actualiza éste. Con ello se consigue mantener la adecuación del documento durante toda su permanencia. Con ello se tendrá que establecer un control sobre las revisiones que se produzcan para reconocer la versión vigente de un documento, elemento esencial para no llegar a hacer uso de versiones antiguas.
¿Qué documentación es necesaria en el Sistema de Gestión de Seguridad y Salud Laboral? Distribución de los documentos En los puntos de uso de la entidad la totalidad de la documentación del Sistema de Gestión de la Seguridad y Salud en el Trabajo según la OHSAS 18001 tiene que estar utilizable en todos los puntos de uso de la entidad. Los documentos que se ubiquen en esos puntos tienen que estar identificables y legibles. Debe estar disponible la información en caso necesario, sea cual sea la situación, incluso en situaciones de emergencia. Aquí es muy importante resaltar documentación como el caso de los planos de ingeniería de las plantas, las fichas de seguridad de materiales peligrosos, etc.
Documentos de origen externo Las empresas suelen manejar documentos de origen externo los cuales son reglamentos, manuales de instrucciones de equipos y máquinas, procedimientos de trabajo, leyes y directivas, listas de precios, etc. Los documentos tienen que ser controlados por la entidad y serán distribuidos a todos los sujetos envueltos en ellos.
Control de documentos obsoletos Si se da el caso de necesidad en base a la necesidad de conservar documentación antigua se tendrá que identificar correctamente para no poder confundirla con la vigente. Dicha identificación tiene que ser clara e indeleble para asegurar su utilidad no intencionado.
VERSIÓN ONLINE http://www.isotools.org/2014/11/21/ohsas-18001-gestion-documentacion/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
29
Más información en nuestra web www.isotools.org
ISO 9001: El papel del Manual de la Calidad en la organización En la versión ISO 9001:2008 se añade entre los requisitos o características de la norma, la necesidad de tener un Manual de la Calidad. Normalmente este Manual de la Calidad se compone de ocho capítulos y su contenido suele ser una copia del tomo de la norma, como por ejemplo, nos podemos encontrar: “En esta organización cumplimos con los requisitos de la revisión por la dirección cuando, en periodos predeterminados, revisamos…”. A veces es un documento insufrible para las organizaciones. De esta manera el Manual de la Calidad que añade ISO9001 se transforma en un documento de cientos de páginas, incluso de varios textos, arduo, que no aporta suficiente valor ni utilidad a la gestión de la calidad. Estamos ante un documento que nos ocupa tiempo en elaborarlo pero sin embargo, no sirve para nada; no convence a nadie pero ISO 9001:2008 reclama que tiene que ser mantenido, comunicado, distribuido, etc. En el caso de cuestionar a una entidad el por qué elaboraron este documento, nos podemos encontrar con varias respuestas: • Del lado del consultor: De esta manera fue como certifiqué a mis clientes anteriores. • De parte del experto de calidad: En mi anterior trabajo nos certificamos de esta manera. • De parte de cualquier implicado: De esta forma lo piden los auditores, aunque no valga para nada.
30
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
• De cualquier implicado: Porque así lo exige la norma ISO 9001. En el punto 4.2 Requisitos de la documentación de la norma ISO9001, incluye al Manual de la Calidad a través de la documentación solicitada por el Sistema de Gestión de Calidad, y al mismo tiempo constituye que este documento tiene que incluir: • Los procedimientos documentados y constituidos para el Sistema de Gestión de Calidad. • La descripción a través de los procesos del Sistema de Gestión de la Calidad. • El alcance del Sistema de Gestión de la Calidad, determinando detalles y justificación de cualquier exclusión realizada. Estas advertencias son las que se tienen que seguir en el momento de confeccionar el Manual de la Calidad, no las de reeditar la norma de manera que el documento se transforme en un texto incómodo. Por otra parte, ISO 9000:2005 conceptúa al Manual de la Calidad como el documento en el que determina el Sistema de la Calidad de una empresa, y además incluye que puede distorsionarse en detalle y formato de una a otra para adecuarse al tamaño y complejidad de cada una en peculiaridad. De cada manual, el formato y estructura es decisión de la entidad, pero dependerá del tamaño y complejidad en que se base la misma.
Software ISO, BSC y BPM
Puede ser que algunas empresas puedan decantarse por usar un Manual de la Calidad destinado a otros objetivos, no solamente a documentar el sistema. Por otra parte, puede haber entidades que se disponen a favor de añadir la descripción de todo su Sistema de Gestión de la Calidad en un único manual, y otras usan un conjunto de estos manuales. Si la organización ya cuenta con un manual de la entidad antes de implantar su SGC basado en la norma ISO 9001, una buena alternativa sería adecuarlo para que contemple lo que la norma exige y no establecer otro que no posea ninguna utilidad. En seguida exponemos un ejemplo de Manual de la Calidad no excediendo más de 12 páginas: • Cubierta del manual donde se mostrará el título del mismo y logotipo de la entidad. • Página 1: Nota del Director General de la empresa en el que exhiba su compromiso con la calidad. Se puede incluir también una pequeña historia y visión de la organización. • Página 2: Una explicación de la misión, objetivos estratégicos y fines de la empresa. • Páginas 3 y 4: Especificación de los procesos que componen la cadena de valor de la entidad y los que permiten el desarrollo y entrega de los productos a los usuarios. • Páginas 5 y 6: Interacción de los procesos que permiten que el Sistema de Gestión la Calidad sea eficiente. Se puede mostrar con dos diagramas bien diseñados que, por ejemplo, ilustren el flujo de información desde que el usuario se pone en contacto con la organización hasta que se le entrega su producto y servicio, se factura y se cobra. • Páginas 7 y 8: La estructura de la organización. Se podrá hablar de la empresa y su plantilla, se explicará cómo formulan las competencias necesarias para cumplir con la eficacia del personal, cómo se selecciona y capacita, cómo se le asignan sus responsabilidades y se evalúa su desempeño. La totalidad de trabajadores de la organización son responsables de mantener la calidad en las actividades que realizan, y por tanto de la calidad de los productos y servicios que ofrece la entidad. • Páginas 9 y 10: Se podría indicar qué métodos y herramientas utiliza la empresa para garantizar la calidad de productos y servicios, medir y monitorear el desempe-
¿Sabías que en la ISO 9001:2015 el Manual de la Calidad no se menciona? ño de los procesos, establecer análisis de resultados y empezar con las acciones de mejora. • Páginas 11 y 12: Si la entidad tiene implementados métodos y procedimientos específicos para la gestión y operación del sistema de la empresa, se puede citar cuales son y además hacer referencia a los manuales donde están situados. Si existiera alguna exclusión también se puede justificar aquí. • Contracubierta con la fecha de impresión. Dichos manuales son útiles para la plantilla de la empresa como una introducción a la organización y a su Sistema de Gestión de la Calidad, así como para los usuarios con la meta de que sepan de qué trata la empresa y conozcan el alcance de su satisfacción. Con la presencia de ISO 9001:2015, este documento va a dejar de ser demandado por la norma, y por lo tanto se abreviará la documentación del Sistema de Gestión de la Calidad.
SGC Los Sistemas de Gestión de la Calidad o SGC basados en la norma ISO 9001 solicita una documentación que lo apoye y le garantice soporte. Puede ser que, algunas veces la utilidad de esta documentación sea un tema complicado, por lo cual, el uso de herramientas que automaticen el SGC podría ser una buena opción para realizar el trabajo más fácil.
VERSIÓN ONLINE http://www.isotools.org/2014/11/24/iso-9001-papel-manual-calidad-organizacion/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
31
Más información en nuestra web www.isotools.org
ISO 27001: Las TIC, más seguras que nunca El precipitado desarrollo de las nuevas tecnologías de la información y la comunicación ha provocado que las empresas se modernicen a pasos agigantados. Actualmente, las TIC viven una revolución tecnológica causada por el uso generalizado de móviles y redes sociales, ligada a un avance en las tecnologías conocidas como SMAC (las siglas inglesas de social, móvil, analíticas y nube). Gracias a la Asociación Española de Normalización (AENOR), entidad líder en certificación de Sistemas de Gestión, Productos y Servicios, y responsable del desarrollo y difusión de las normas UNE, España cuenta ya con la traducción de la última versión de la norma UNE-ISO/IEC 27001:2014 dedicada a la gestión de la seguridad de la información en las empresas. Esta norma es un referente para miles de CIOS: Chief Information Officer y CISO: Chief Information Security Officer de todo el mundo con la que pretenden asegurar la confidencialidad, integridad y disponibilidad de un Sistema de Información. Según varios estudios, los riesgos tecnológicos se posicionan en primer lugar como la principal preocupación de muchas empresas u organizaciones frente a otros riesgos de tipo económico, ambiental, geopolítico o social. Los riesgos más identificados son: fraude, robo de la información y de datos; daños o pérdidas de información de las infraestructuras críticas y los conocidos ciberataques. Según AENOR, más de 22.000 organizaciones en 105 países confían en la nueva ISO 27001 como una herramienta eficaz para establecer controles en este ámbito de la tecnología.
32
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
En un reciente estudio sobre la norma ISO 27001 elaborado por la Asociación Española de Empresas de Electrónica, Tecnologías de la Información y Comunicación (AMETIC), destaca la “satisfacción y alta valoración de las direcciones generales, personal, clientes y proveedores de aquellas empresas que implantado y, actualmente, mantienen el Sistema de Gestión de Seguridad de la Información según la Norma ISO/IEC 27001”.
Novedades La nueva versión de esta norma adopta el concepto de “Estructura de Alto Nivel” bajo el Anexo SL utilizado en todas las normas de Sistemas de Gestión que posibilita su incorporación con otros sistemas (calidad, medio ambiente o salud en el trabajo) de forma más sencilla. Para ello, se pide a las entidades que reflexionen y estudien más sobre el contexto en el que trabajan y las necesidades de las partes interesadas. Asimismo, concede mayor importancia a la definición de objetivos de seguridad. Otra novedad es que la nueva versión de la norma intensifica y refuerza la mejora continua, fundamentándose en el ciclo Deming o PHVA (Planificación, Hacer, Verificar y Actuar) También, destaca una mayor consideración y relevancia de la organización, al liderazgo y compromiso de los directivos y a las necesidades de las partes interesadas. Así como una mayor relevancia a la definición y seguimiento de los objetivos de seguridad de la información. En este sentido, las empresas deben identificar dichos objetivos y establecer qué controles lo cumplen. La nue-
Software ISO, BSC y BPM
va versión ISO27001 incluye 114 controles respecto a los 133 de la ISO/IEC 27001:2005 que estudian reforzar los análisis relacionados a la criptografía y con los proveedores.
Riesgos En la nueva versión UNE-ISO/IEC 27001:2014 se trabaja por minimizar los riesgos y amenazas en los Sistemas de la Información a través de la figura “dueño del riesgo” que tiene la responsabilidad suficiente para aprobar el riesgo establecido y el plan del riesgo. Lo importante de todo esto, es que hay que buscar la mayor eficacia en la aplicación de la seguridad de la información siempre orientada a los objetivos de la empresa. AENOR tiene vigente más de 300 certificados en nueve países de Europa y Latinoamérica. Antes de que finalice el año 2015, las empresas certificadas deberán haber
Más de 22.000 organizaciones en 105 países confían en la nueva ISO 27001 realizado los pasos de transición a los requisitos de la última versión. Esta norma contempla una mayor orientación hacia la “ciberseguridad” y los “ciberriesgos” tanto en el mundo empresarial (ISO 27001-ISO 27002) como en el ámbito de los procesos industriales (ISO 27001-SCADA).
VERSIÓN ONLINE http://www.isotools.org/2014/11/25/iso-27001-tic-mas-seguras-que-nunca/
ISO 14001: La importancia actual del Medio Ambiente Con el fin de implantar un Sistema de Gestión Medioambiental de manera amena en una empresa, la norma ISO14001 facilita los requisitos necesarios para ello. La norma ISO-14001 gestiona el medio ambiente, pero previamente tenemos que saber el significado del concepto medio ambiente para poder abordar de una manera mucho más fácil otros temas relacionados con éste. A continuación lo definimos: Medio Ambiente es el conjunto de circunstancias culturales, económicas, físicas, sociales, químicos y biológicos que envuelven a los seres vivos. Con este concepto reflejamos el sentido que adquiere el medio ambiente, por lo que no sólo incluimos cualquier elemento que nos rodea, sino que también se tienen que añadir las interrelaciones entre los distintos componentes que forman parte de él.
A lo largo de las últimas décadas, el medio ambiente ha tenido un papel más principal, pasando a formar parte del debate social y político de la una parte importante de todos los países. El interés ocasionado ha alcanzado un punto crítico y, en consecuencia seguir menoscabando el medio ambiente se caracteriza por ser una gran amenaza para los ciudadanos de nuestro planeta. Las primeras convecciones, acuerdos internacionales y primeros informes que se llevaron a cabo en materia ambiental florecieron a partir de la segunda mitad del siglo XX. Esto llevó a que se creara una conciencia social que se expande cada vez más. En cuanto a todos los informes que se han generado desde que empezó la preocupación por el medio ambiente, podemos destacar los siguientes:
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
33
Más información en nuestra web www.isotools.org
• El protocolo de Kyoto en el año 1997.
• Universidades.
• La segunda Cumbre de la Tierra, llevada a cabo en Johannesburgo en el año 2002.
• Centros de investigación.
• El informe “Our Common Future”, que es más conocido como informe Brundtland, que fue publicado por la Comisión de la ONU sobre medio ambiente y desarrollo en 1987.
Las incongruencias ambientales instauran la necesidad de implantar soluciones a distintos niveles. En el primer nivel está el individuo que tiene que reducir el consumo y ahorrar recursos naturales. En el segundo nivel, están las empresas que deben de limitar al mínimo la contaminación que ocasiona, debe mejorar la calidad ambiental de sus actividades, servicios y productos. Y en el tercer nivel, están las Administraciones Públicas, las cuales deben regular un comportamiento tolerante con el medio ambiente.
• A lo largo de la Cumbre de la Tierra, celebrada en Río de Janeiro en el año 1992. Se llega a la conclusión a lo largo del año 1987, que el desarrollo humano requiere conservar en un estado aceptable a la biosfera con el fin de que pueda existir en un futuro. Se tienen que implantar medidas a largo plazo que garanticen un desarrollo sostenible. El concepto desarrollo sostenible es muy utilizado en la actualidad, y señala un tipo de desarrollo que posibilite satisfacer las necesidades de los seres vivos que viven en el planeta actualmente, sin involucrar la capacidad de que las futuras generaciones satisfagan las suyas. La Gestión Medioambiental es un conjunto de decisiones tomadas, así como acciones orientadas para lograr el desarrollo sostenible. El objetivo principal que persigue la Gestión Ambiental es incrementar los niveles de calidad ambiental y se deben de acordar medidas oportunas para eludir y subsanar las actividades que estimulan una degradación, además de potenciar los recursos ambientales y la capacidad de respuesta que muestra el medio ambiente. La Gestión del Medioambiente debe ser un proceso continuo, de manera que posibilite el diseño y la ejecución de políticas ambientales, programación y planificación de acciones que faciliten conseguir las metas establecidas o reglamentar las normas que conecten sus actividades, apoyan la realización de estudios o investigaciones sobre la situación en la cual se encuentra el medio ambiente, las alternativas que podemos encontrar para impulsar la mejora del medio ambiente y como se deben gestionar los recursos naturales. Tienen que decidirse acciones de conservación, vigilancia, control, aprovechamiento racional y recuperación.
La Gestión Ambiental tiene que hacer alusión a la totalidad de actuaciones que colaboran en cumplir con todos los requisitos que señala la legislación ambiental vigente, tiene que reducir todos sus impactos sobre el medio ambiente y los seres vivos que habitan en él, mejorar la protección ambiental, así como el control de sus actividades, productos y servicios. La gestión empresarial, desde siempre, se ha centrado en la capacidad que tiene una empresa en agrupar los factores mercantiles, la motivación de los trabajadores, la calidad de producto, etc. sin tener en cuenta el perjuicio que se podría estar causando al medio ambiente. Actualmente, el medio ambiente es un componente muy competitivo, ya que puede producir beneficios económicos. La política ambiental contribuye a reducir los costos, a generar beneficios, así como posicionar a la organización en el mercado laboral, con ventajas competitivas frente a otras empresas las cuales no dispongan de una política ambiental determinada. La organización no está únicamente sometida a presiones de opinión pública, administrativa, legislativa o económica, sino que también se tienen que someter a los accionistas, proveedores, clientes, inversionistas, aseguradoras, etc. Por estas presiones, se han ido notando modificaciones en relación existente entre el medio ambiente y la industria, consideradolo como un factor competitivo, por lo que permite la obtención de ingresos asociados.
• Sector productivo privado y público.
La política interna de los Sistemas de Gestión Ambiental fundamentados en la norma ISO 14001, es uno de los grandes cambios que podemos encontrar en las organizaciones, ya que ha pasado de ofrecer actitudes defensivas a proactivas.
• Asociaciones.
La relación entre medio ambiente y organización ha su-
A través de los distintos sectores que colaboran a lo largo de la Gestión Medioambiental, encontramos: • Administraciones públicas.
34
• Población en general.
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
Software ISO, BSC y BPM
El medio ambiente se ha transformado en una función estratégica que tiene que ser integrada a la política de la totalidad de empresas.
frido numerosas modificaciones, que han dado lugar a la aparición de mecanismos específicos, como pueden ser los Sistemas de Gestión Ambiental, las auditorías ambientales, la contabilidad ambiental, etc. El medio ambiente se ha transformado en una función estratégica que tiene que ser integrada a la política de la totalidad de empresas.
Sistema de Gestión Ambiental Hoy en día los Sistemas de Gestión Ambiental pasan a ser una herramienta competitiva para las organizaciones, dando la posibilidad de desarrollar sus actividades respetando el entorno.
VERSIÓN ONLINE http://www.isotools.org/2014/11/26/iso-14001-importancia-actual-medio-ambiente/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
35
Más información en nuestra web www.isotools.org
OHSAS 18001: ¿Cómo elaborar un Plan de Emergencia? En cuanto a Seguridad y Salud Laboral, OHSAS 18001 es una norma bastante completa. Se trata de una norma confeccionada con el fin de hacer de las entidades un espacio más fiable tanto para los subcontratistas, proveedores, visitantes o los propios trabajadores. En la materia de Seguridad y Salud Ocupacional, la norma OHSAS 18001 considera de gran importancia que la empresa posea un plan de emergencias, por tratar este tema muy de cerca. OHSAS 18001 añade un apartado en relación a este aspecto: Preparación y respuesta ante emergencias. La probabilidad de la existencia de incidentes o situaciones de emergencia que pongan en riesgo la SST tiene que quedar determinada por la empresa. Las medidas para prevenir y mitigar accidentes y enfermedades de trabajo se consideran esenciales en este ámbito. En base a ello, la empresa deberá implantar unos procedimientos para detallar y responder a situaciones de emergencia potenciales, y es aquí donde se encuentra la necesidad del plan de emergencia. A la hora de confeccionar planes de emergencia se considera necesario observar los requerimientos de los sujetos interesados, como pueden ser los vecinos o los servicios de emergencia. Los planes de emergencia tienen que ser inducidos a pruebas habituales, conocidas como simulacros, que comprueben el funcionamiento de éstos y la eficacia para responder a los casos de emergencia. Todos los sujetos interesados estarán comprometidos con estos simulacros.
36
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
Los planes de emergencia conectados a OHSAS 18001 harán frente a todo incidente de la empresa, constituyen una parte muy importante del sistema y por ello tienen que ser revisados para no perder su idoneidad y adecuación. Se tendrán localizadas las actividades de la empresa que son peligrosas para la plantilla de trabajadores y para su entorno en el cual se ubica. Con ello, la empresa determinará procedimientos de actuación que señalen las directrices a seguir en una situación de emergencia y se comprometa a una reducción de sus consecuencias.
Identificación de situaciones de emergencia Un paso importante para constituir un plan de emergencia de un Sistema de Gestión de Seguridad y Salud Laboral, es determinar qué situaciones producen una situación de emergencia. Los casos de emergencia más habituales en una empresa son, entre otros: • Desastres naturales. • Explosiones. • Contacto con sustancias peligrosas. • Incendios. • Derrames. Un caso de emergencia es cualquiera que no sea habitual, que se produzca dentro de la entidad en el curso de la ejecución operacional y que pueda producir perjuicios a los trabajadores o a los bienes materiales de la organización. Una vez que identifiquemos estos casos de emergencia,
Software ISO, BSC y BPM
tenemos que evaluar los efectos posibles que poseen para poder determinar los planes de emergencia correctos. En el momento que conocemos las situaciones más significativas, gracias a la evaluación de los efectos, la empresa tendrá que establecer planes de emergencia apropiados para evitar o reducir impactos alrededor de la SSO en el caso de que se materialicen.
Establecimiento de respuestas ante emergencias La empresa conceptuará los procedimientos y planes de emergencia de los que nos estamos refiriendo, y también tienen la obligación de preservarlos y actualizados. Se considera conveniente que los procedimientos tengan en cuenta las consecuencias que puedan producir las condiciones anómalas de funcionamiento, las situaciones de emergencia y los accidentes. En los planes de emergencia algunos de los elementos claves son: • Estructura organizativa y responsabilidades en los casos de emergencia: Como el personal es el responsable de ejecutar la actuación, es necesario que sepa su función en cada momento. Por ello, responsabilidades y estructura son factores fundamentales en el plan de emergencia. • Listado del personal clave: El personal clave tendrá que conocer su posición y obligaciones en estas situaciones, así como ser conocido por toda la empresa. • Especificaciones de los servicios de urgencias: En el caso que se dé una situación de emergencia, se requiere la intervención de organismos como bomberos, médicos, etc. La empresa tendrá que determinar qué servicios son los que intervienen, así como sus funciones y responsabilidades. • Planes de comunicación interna y externa: Un elemento esencial en toda situación de emergencia es la comunicación. Se considera necesario que todos los recursos intervengan en la solución, así como conocedores del inconveniente. • Acciones aplicables a diferentes situaciones de emergencia: Tienen que darse unas actuaciones que solucionen las consecuencias posibles de un impacto de SST estimulado por una situación de emergencia. Tiene que ser una actuación clara y transparente con el fin de eludir malentendidos que puedan agravar el problema.
¿Cuáles son los elementos clave de un Plan de Emergencia? • Información sobre materiales peligrosos: En el caso de existir necesidad en la empresa de manipular sustancias o materiales peligrosos se considera necesario que haya un plan de emergencias relativo a ello, con el fin de que se eludan peligros para los trabajadores que los manejan o se encuentren expuestos a sus efectos. • Planes de formación y de comprobación de la eficacia de las acciones tomadas: Se recomienda que se acuerden en el propio plan formaciones para el personal de la empresa respecto a cómo tendrían que actuar en caso de situaciones de emergencia.
Prueba periódica de los planes de emergencia La prueba habitual es muy útil, ya que posibilita conocer si dichos planes son adecuados para corregir situaciones de emergencia. Estas pruebas se realizarán: • Periódicamente, mediante simulacros. • Cada vez que se produzca una situación de emergencia, para comprobar si es necesario incluir algún cambio.
Revisión de los métodos de respuesta Los Sistemas de Gestión de Seguridad y Salud en el Trabajo basados en la norma OHSAS 18001 necesitan retroalimentar los planes de emergencia y su respuesta a ella. Para llevarlo a cabo se sirve de actuaciones de revisión, mejoras, actualizaciones, etc. Dicha retroalimentación puede producirse a través de: • Revisiones por la dirección. • Por cambios organizacionales. • En resultado de acciones correctivas y preventivas. • Por un cambio en los requisitos legales. Toda modificación se comunicará al personal perjudicado y se controlará si se tienen que establecer acciones formativas. VERSIÓN ONLINE http://www.isotools.org/2014/11/27/ohsas-18001-como-elaborar-plan-emergencia/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
37
Más información en nuestra web www.isotools.org
ISO 27001: Clave para la Continuidad de Negocio La norma ISO 27001 es un suplemento óptimo para la Continuidad de Negocio, ya que simplifica la reacción ante la interrupción de las actividades que establece la empresa y resguarda la totalidad de los procesos críticos de negocio de los efectos que pueden ocasionar los desastres o perjuicios importantes que se den en los Sistemas de Información, así como asegurar una reiniciación lo más pronto posible. Se debe de llevar a cabo un procedimiento de Gestión de la Continuidad de Negocio para reducir los posibles efectos que se puedan generar en la organización y poder recuperarse de pérdidas de activos de información. Estos efectos pueden presentarse como resultados de desastres naturales, fallos en los equipos, acciones intencionadas y accidentes, por lo que tienen que compaginar los controles precautorios y de recuperación. En el seno de dicho procedimiento se tienen que reconocer todos los procesos críticos de negocio y se debe integrar la totalidad de requisitos del Sistema de Gestión de Seguridad de la Información basado en la norma ISO27001. Los efectos que producen los desastres, los fallos de seguridad, la disponibilidad del servicio y las pérdidas de servicio deben estar sometidos al análisis de los efectos empresariales. Incluso debe desarrollarse e implementarse los planes de seguimiento de la empresa para asegurar una reanudación veloz y oportuna de la parte integral del proceso global de continuidad del negocio y de otros procesos de gestión de la organización. En la Gestión de la Continuidad del Negocio se tienen que incluir los controles globales con el fin de identificar y disminuir todos los riesgos posibles, e incluso desarrollar un proceso en el cual se genere la evaluación de riesgos. Es necesario limitar las consecuencias que producen los incidentes perjudiciales y asegurar que la Seguridad de la Información es la adecuada para fundamentar todos los procesos empresariales que se consideren disponibles.
38
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
Sobre el Plan de Continuidad del Negocio podemos poner un claro ejemplo:
Identificar los activos críticos Tenemos que reconocer en base a la disponibilidad. Analizar el impacto de interrupción En cuestión del modelo de amenazas consideradas a lo largo del análisis de riesgos, puede que tomemos distintas opciones: • Tratar el tipo de riesgo. • Procedimiento de continuidad de negocio. • No hacer nada. • Finalizar la actividad. Quien decide sobre los casos en los que se tiene que realizar un procedimiento de continuidad de negocio es el comité de empresa.
Identificar a los responsables Se debe adjudicar un Responsable de Seguridad en el rol de gestor del proceso y se encarga de coordinar las distintas actividades en relación con la Gestión de la Continuidad del Negocio.
Estimar la estrategia de recuperación La persistencia de los servicios TI puede lograrse mediante medidas preventivas, que evita que se suspensión de los servicios o que se recuperen los distintos niveles del servicio en el menor periodo posible. • Acciones preventivas. • Acciones de recuperación.
Definición de recursos para recuperarse Cuando se concrete el alcance, tras realizar un análisis de riesgos y vulnerabilidades, a continuación se tiene que
Software ISO, BSC y BPM
conceptuar una estrategia de prevención y recuperación, considerando necesario atribuir y organizar los recursos necesarios globales. • Programa de Prevención de Riesgos. • Programa de Gestión de Emergencias. • Programa de Recuperación. En cuanto al Programa de Prevención de Riegos: el objetivo es el de eludir o reducir el impacto de los desastres que se podrán llegar a producir en la infraestructura. Conforme a las medidas se pueden determinar: • Duplicar Sistemas Críticos.
• Recuperar todos los datos y reiniciar el servicio. Los procedimientos de recuperación, dependen en gran medida de las contingencias y de las alternativas de recuperación con la que se cuente.
Establecer los procedimientos Por la dirección de la empresa se tienen que aprobar tanto los procedimientos de contingencia como los de continuidad de negocio. En cada procedimiento se tiene que insertar: • La persona encargada de comenzar el proceso.
• Políticas de Backups.
• Las condiciones perfectas para que se comience el proceso.
• Almacén de datos distribuidos.
• Escalar los accidentes.
• Sistemas de Seguridad pasivos.
• Organizar a los trabajadores.
• Sistema de Alimentación Eléctrica alternativa.
• Gestionar el incidente.
Entre las personas que conforman la entidad suelen provocarse reacciones de pánico en cuanto a los incidentes, perjudicando a la producción de la entidad e causando daños más graves que el propio incidente. Con lo cual, es muy importante que la mencionada situación de emergencia esté determinada mediante los responsables, así como que se conozcan a la perfección las labores que debe desarrollar cada sujeto, siguiendo los protocolos de actuación dependiendo de la situación que se dé.
• Mantener las actividades.
Los programas de gestión de emergencias deben tener en cuenta aspectos como:
• Supervisar que se logren todos los acuerdos que se han contratado con terceras personas.
• Informar a la totalidad de los clientes y usuarios de la interrupción que se puede estar provocando y de la degradación del servicio ofrecido.
• Revisar todos los sistemas críticos.
• Deben existir protocolos de actuación que pongan en marcha el plan de recuperación que se corresponda.
Pruebas y revisión de procedimientos
• Evaluar el impacto de la contingencia de la infraestructura. • Atribuir funciones de emergencia al personal de la empresa. En los casos en los que se producen interrupciones en el servicio, su control es vital, por lo que llega el momento de poner en funcionamiento todos los procedimientos de recuperación con los que se cuente.
• Implementar las prioridades de recuperación. La manera de eludir las diferentes interrupciones de negocio que se puedan ocasionar, son las siguientes: • Contratar un seguro que englobe todos los deterioros. • Revisar la política de blackup. • Contratar servicios de “housing” con el proveedor.
• Garantizar que se restablezca la alimentación eléctrica.
Cada cierto tiempo se tienen que elaborar informes en los cuales se incluyan la totalidad de información que sea relevante para la entidad global.
Difusión y concienciación Se tiene que implementar un calendario periódico en los cuales se establezcan pruebas a los programas de recuperación y otro calendario en los que describan los cursos de formación basándose en todos los protocolos de actuación en posición de emergencia.
El programa de recuperación debe insertar lo siguiente: • Volver a organizar al personal involucrado en el incidente. • Establecer los sistemas de hardware y software necesarios.
VERSIÓN ONLINE http://www.isotools.org/2014/11/28/iso-27001-clave-continuidad-negocio/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
39
Más información en nuestra web www.isotools.org
Profesionales sanitarios intercambiaron impresiones en el II Foro Nacional de Acreditación en Salud en Colombia Profesionales del sector sanitario participaron en el II Foro Nacional de Acreditación en Salud en Colombia celebrado durante los días 25 y 26 de noviembre en el Centro de Convenciones del Hotel AR Salitre en Bogotá (Cundinamarca). Bajo el título “La promoción de la salud y la prevención de la enfermedad en la perspectiva de la acreditación en salud”, este foro fue organizado por el Organismo Nacional de Normalización de Colombia (ICONTEC) y tenía como objetivo dar a conocer los decretos 903 de 2014 y la resolución 2082 de 2014, las novedades sobre acreditaciones en salud, la visión del fomento y prevención de la acreditación en salud, las gestiones en el Plan Nacional de Mejoramiento de la Calidad en Salud y la modernización de un Sistema de Información para la Calidad. Este encuentro, dirigido a profesionales sanitarios, pretendía entablar un aprendizaje conjunto, compartir experiencias y desarrollar el Sistema de Acreditación en Salud. Además, se hablaron otros temas como de la importancia de las guías de manejo clínico como parte de las garantías de entrada de la Acreditación en Salud, las buenas acciones de las instituciones atestiguadas en la promoción de la salud y la prevención de la enfermedad en los distintos niveles, así como las propuestas de control de calidad dirigidas a la generación de cultura de seguridad. Durante los días del II Foro Nacional de Acreditación en Salud en, se desarrolló un programa muy completo de conferencias que comenzó el 25 de noviembre a las 7 pm con la inscripción de las personas que asistieron. A continuación se realizó la conferencia del doctor José Luis Ortiz del Ministerio de Salud y Protección Social sobre “Avances en los
40
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
lineamientos de un Plan Nacional de Mejoramiento de la Calidad en Salud”, otra titulada “Situación actual de la Acreditación en Salud en Colombia. El énfasis en promoción y prevención” impartida por el director nacional de Acreditación en Salud (ICONTEC). Más tarde, la jornada prosiguió con la ponencia “Sistema de información para la calidad de la atención en salud” con la doctora María Lucía Grueso del Ministerio de Salud y Protección Social y la charla del doctor del Instituto de Evaluación Tecnológica en Salud (IETS), Jaime Hernán Rodríguez, sobre “Guías de manejo clínico en la acreditación, un enfoque de promoción y prevención desde el Instituto de Evaluación Tecnológica en Salud (IETS)”. Por la tarde, Yesid Ramírez, doctor de Educación sector salud de ICONTEC, comenzó la ronda de ponencias con su charla sobre “La seguridad del paciente en promoción y prevención”. Luego la integrante de la Asociación Colombiana de Hospitales y Clínicas, Paola Ortiz, dió las fórmulas de “Cómo prevenir los eventos adversos, a través de la construcción de cultura de la calidad: la experiencia del galardón Hospital Seguro”. A continuación dejamos una píldora del vídeo de Yesid Ramírez, doctor de Educación sector salud de ICONTEC durante el II Foro Nacional de Acreditación en Salud: Más tarde, le siguió la conferencia del doctor profesional de Normalización de ICONTEC, Andrés Hernández, que abordó la Norma Técnica de Calidad “Quirófano Seguro” para culminar la jornada la doctora de SCARE, Olga Cubides, que explicó las “Recomendaciones para abordar un evento adverso y evitar problemas jurídicos”.
Software ISO, BSC y BPM
El siguiente y último día, los diferentes participantes hablaron, en primera mano, de sus propias experiencias en este sector bajo el título “Experiencias en promoción de la salud y prevención de la enfermedad de instituciones acreditadas en salud”. Estos son: componentes e integrantes de la Fundación Javeriana de Servicios Médico Odontológicos Interuniversitarios “Carlos Marquez Villegas” Javesalud; Virrey Solís IPS; Hospital Pablo VI Bosa E.S.E; Hospital San Francisco de Viotá E.S.E; Clínica Universidad de la Sabana; Fundación Clínica Shaio; Fundación Hospital Infantil Universitario de San José y el Instituto de Ortopedia Infantil Roosevelt. Todos los interesados en asistir a este II Foro Nacional de Acreditación en Salud pudieron hacer su pre-inscripción a través de la página web www.icontec.org en su sección de foros y eventos o por medio de su ejecutivo de cuentas. Los asistentes disfrutaron de un certificado de asistencia, memorias digitales, almuerzos durante los dos días en el que dura el foro, la obtención del libro “Acreditación en salud, diez años de avances” y la norma, requisitos para la gestión de seguridad en servicios quirúrgicos. ISOTools Colombia ISOTools Colombia participó como patrocinador durante el II Foro Nacional de Acreditación en Salud en Colombia e invitó a visitar su stand para dar a conocer su Software ISO, una herramienta 100% parametrizable para aquellas organizaciones comprometidas con la calidad y la mejora continua. Además, durante los días en los que se celebró el II Foro Nacional de Acreditación en Salud, ISOTools Colombia organizó dos sorteos: Día 25 de noviembre, durante el refrigerio 2 cupos para el curso Futura ISO 9001:2015.Adelantarse a los Cambios Clave. Día 26 de noviembre, durante el refrigerio Una Tablet con acceso desde cualquier lugar y momento, totalmente gratuito, a la aplicación Autoevaluación de la Plataforma Tecnológica ISOTools durante 6 meses.
VERSIÓN ONLINE http://www.isotools.com.co/profesionales-sanitarios-intercambiaron-impresiones-ii-foro-nacional-acreditacion-salud-colombia/
ISOTools Empresa Excelente Los mejores artículos publicados por ISOTools Excellence en noviembre de 2014
41
Sotware ISO, BSC y BPM
• • • • • • • •
España México Panamá Perú Portugal Uruguay Venezuela Ecuador
www.isotools.org (+34) 902 361 231
• • • • • • • •
Argentina Bolivia Brasil Chile Colombia Costa Rica Rep. Dominicana Estados Unidos
Presencia Global Apoyo Local