• Author / Uploaded
• Alejandra Jimenez Garrido

• Categories
• Calidad (comercial)
• Planificación
• Software
• Gestión de la calidad
• Aplicación movil

Citation preview

Los 50 mejores artículos publicados a lo largo de 2015 en el blog “Calidad y Excelencia” de ISOTools Excellence

ÍNDICE

Los 50 Excelentes de 2015 ISOTools Excellence

4

Quality & Performance Management Software

4

Sistema modular

5

Propuesta de valor

6

Servicios

7

App ISOTools Normas ISO

8

Calidad

9

1. ¿Qué son los indicadores de calidad?

10

2. ¿En qué consiste el ciclo PHVA de mejora continua?

13

3. La ISO 9001:2015 se ha publicado

15

4. Un ejemplo sobre cómo elaborar el plan de calidad de un proyecto

20

5. 5 ejemplos de indicadores de calidad que no pueden faltar en tu plan

22

6. ¿Qué es la gestión operativa de una empresa y cómo mejorarla?

24

7. Fases para la elaboración del plan de calidad de un proyecto

27

8. Características que debe cumplir todo manual de calidad

31

9. ISO 9001:2015, COSO como metodología de gestión de riesgo

33

10. ¿Qué contenidos debe tener un manual de calidad?

37

11. ISO 9001:2015 Análisis del contexto interno y externo del SGC

39

12. ISO 9001:2015, metodología COSO III para la gestión de riesgos

44

13. Cómo, cuándo y por qué realizar una auditoría de calidad

47

14. Principales indicadores de evaluación del desempeño

50

15. ISO 9001:2015, desarrollo e implementación de la estrategia

55

16. ¿Cómo influye la calidad total en la productividad empresarial?

58

Medio Ambiente

60

17. ISO 14001: La verificación en el Sistema de Gestión Ambiental

61

18. ISO 14001: Estructura de la documentación de un SGA

65

19. ISO 14001: Procesos gestión de una auditoría de certificación

68

20. ¿Cómo obtener la certificación de la nueva norma ISO 14001?

71

21. ISO 14001: Los planes de formación para un SGA

73

22. Cambios en la ISO 14001:2015

77

23. Manuales PDF que te ayudan a implantar ISO 14001 en tu empresa

79

24. Cómo puede ayudar ISO 14001 en gestión de riesgos ambientales

81

Los 50 EXCELENTES de ISOTools en 2015

2

ÍNDICE

Seguridad de la Información

83

25. Cómo implantar eficazmente la norma ISO 27005

84

26. La familia de normas ISO 27000

87

27. ISO 27001: Pilares fundamentales de un SGSI

90

28. 4 documentos PDF para aprender sobre seguridad informática

93

29. ISO 27001: Pasos para implantación de la política de seguridad...

95

30. Cómo implementar un SGSI

99

31. ISO 27001: El papel de la alta dirección en un SGSI

102

32. ISO 27001: Seguridad informática y seguridad de la información

105

Seguridad y Salud Laboral

109

33. ¿Cómo elaborar un plan de seguridad y salud en el trabajo?

110

34. OHSAS 18001: Tipos de auditoría para las organizaciones

112

35. OHSAS 18001: Fases para su implementación

115

36. OHSAS 18001: Auditoría en los SG-SST

119

37. Manuales PDF del proceso de implementación de OHSAS 18001

123

38. OHSAS 18001: Idoneidad, eficacia y adecuación para una Revisión...

125

39. Cómo poner en marcha un plan integral de seguridad en las...

128

40. Cambios propuestos por la norma ISO 45001 sobre riesgos...

132

Miscelánea

134

41. Ejemplo práctico de construcción de un Balanced Scorecard

135

42. Tipos de certificaciones laborales que puede obtener tu empresa

138

43. ¿Cuáles son las funciones de un analista de riesgo?

141

44. Principales herramientas de gestión empresarial

143

45. ¿Por qué es importante la gestión de riesgos para tu empresa?

145

46. Cuáles son y en qué consisten los atributos de calidad en salud

147

47. ¿Cuáles son los principales modelos de excelencia?

150

48. Ventajas de aplicar el cuadro de mando integral en tu empresa

154

49. Cómo elegir los mejores indicadores de un Balanced Scorecard

156

50. Norma ISO 22000: explicación completa de su contenido

159

Los 50 EXCELENTES de ISOTools en 2015

3

VOLVER AL ÍNDICE

ISOTools EXCELLENCE

Quality & Performance Management Software Compuesta de diferentes módulos, es un software escalable, flexible y adaptable a las necesidades de cada empresa u organización independientemente del tamaño y del sector en el que opere. Es un software que favorece la agilización y la mejora de los procesos, así como la accesibilidad y búsqueda rápida y fácil de la información.

Software ISO ¿QUÉ DICEN NUESTROS USUARIOS?

“Tener mediciones en tiempo real nos proporciona un gran control sobre el sistema, porque identificamos rápidamente dónde están los problemas y esto hace que la toma de decisiones sea oportuna.” Fabiana Iglesias Jefa de Calidad de YAVIC. Panamá.

Este Software ISO se desarrolla un entorno web con el objetivo de dar cumplimiento a los requisitos de las normas ISO. Es un software ideal, facilita a las organizaciones la implementación, mantenimiento y mejora continua de los Sistemas de Gestión ISO como Sistemas de Calidad (ISO 9001) , Medio Ambiente (ISO 14001) , Seguridad y Salud en el Trabajo (OHSAS 18001) y Seguridad de la Información (ISO 27001) .

Software BSC El Software Balance Scorecard es la herramienta perfecta para que la planificación estratégica se ejecute en función de las metas establecidas. El Balanced Scorecard, también conocido como Cuadro de Mando Integral o CMI, facilita el desarrollo, estructura y puesta en marcha de la estrategia a medio y largo plazo de una organización.

Software BPM El Software BPM consigue que las organizaciones administren de un modo más fácil los procesos, simplifica la gestión de proyectos y la gestión de cada uno de los procesos que intervienen. El uso de este software para la gestión por procesos logra impulsar los vínculos con las partes interesadas además de consolidar y mejorar continuamente los procesos.

CONTACTA CON UN CONSULTOR EXPERTO

Los 50 EXCELENTES de ISOTools en 2015

4

VOLVER AL ÍNDICE

ISOTools EXCELLENCE

Existe un ISOTools único para cada organización Estamos ante un sistema modular y totalmente parametrizable, que se adapta a las necesidades de cada organización. Cuenta con un módulo base que sirve como cimiento de otros módulos de soluciones que cubren distintas áreas, pensados para facilitar y agilizar la gestión de sistemas y modelos, y de esta forma poder dar cumplimiento a los requisitos de los mismos. Sea cual sea tu sector.

MÓDULO BASE

SISTEMAS DE GESTIÓN

MODELOS DE EXCELENCIA

Calidad

Estrategia

Medioambiente y energía

Procesos

Riesgos y Seguridad

Personas

Responsabilidad social

Evaluación y Resultados

CONTACTA CON UN CONSULTOR EXPERTO

Los 50 EXCELENTES de ISOTools en 2015

5

VOLVER AL ÍNDICE

ISOTools EXCELLENCE

+ 15 años + 15 países + 1000 clientes + 50000 accesos + 75000 usuarios

Mucho más que un software ISOTools Excellence es una consultora con más de 15 años de experiencia que ayuda a las organizaciones comprometidas con la calidad y la excelencia a: %% Optimizar sus modelos y sistemas de gestión aportando soluciones innovadoras para la gestión de la estrategia, los procesos y las personas. %% Facilitar su aplicación, haciéndolos accesibles, ágiles y medibles, y aportando resultados en el corto plazo, gracias a una plataforma tecnológica de desarrollo propio llamada ISOTools.

Somos Consultoría Estratégica

Somos Innovación Tecnológica

ISOTools Excellence está formado por expertos consultores al servicio de los clientes, que muestran de manera personalizada a cada organización, la alternativa más sencilla y práctica de operar generando un impacto real en los resultados y proporcionando una ventaja competitiva sostenible en el tiempo.

Esta labor de consultoría se apoya en su plataforma tecnológica, a través de la cual ofrece soluciones integrales, aplicando continuamente la innovación tecnológica como medio de adaptación a las necesidades del mercado, requisitos normativos y tipología de organización.

CONTACTA CON UN CONSULTOR EXPERTO

Los 50 EXCELENTES de ISOTools en 2015

6

VOLVER AL ÍNDICE

ISOTools EXCELLENCE

+ 15 años + 15 países + 1000 clientes + 50000 accesos

¿Qué servicios ofrecemos a nuestros clientes?

+ 75000 usuarios

Para que el sistema pueda ser implementado y mantenido de forma rápida y sin incidencias, ISOTools Excellence ofrece esta lista de servicios de apoyo a todas las organizaciones que contratan la plataforma:

Capacitación Los consultores expertos de ISOTools Excellence ofrecen una formación personalizada a los clientes para que se familiaricen rápidamente con el manejo del software.

Soporte Profesionales siempre disponibles a través de vía telefónica y online para resolver cualquier duda / incidencia que pueda surgir.

Consultoría Nuestro equipo de consultores puede ayudarle a sacarle el máximo partido a ISOTools en su organización, antes, durante y después de la implementación, ofreciendo de esta forma un servicio global.

Y además: Integración ISOTools Excellence puede integrarse y convivir con otras aplicaciones que ya estén funcionando en tu organización. Dispone de interfaces y mecanismos para cambio de datos con aplicativos de otros proveedores.

Adaptaciones Toda organización posee sus particularidades, que muchas veces son la razón de la eficiencia de sus procesos y de su éxito en el mercado.

Migración de datos El proceso de migración de datos tiene como objetivo principal importar a la nueva aplicación los datos de su sistema de gestión actual.

CONTACTA CON UN CONSULTOR EXPERTO

Los 50 EXCELENTES de ISOTools en 2015

7

VOLVER AL ÍNDICE

ISOTools EXCELLENCE

+ 1000 DESCARGAS EN GOOGLE PLAY Y APP STORE

¿Conoces la nueva app ISOTools Normas ISO? En ISOTools Excellence nos hemos propuesto el reto de englobar en una sola app toda la información de interés relacionada con las normas ISO y sus recientes versiones. Por ello, tenemos el placer de presentar esta nueva herramienta, que los usuarios que ya se han descargado clasifican como el punto de información más completo sobre normas ISO que existe en la red. Esperamos que os sea de utilidad.

¿QUÉ DICEN LOS QUE YA LA HAN INSTALADO?

“Es una app imprescindible. Actualmente estoy inmersa en el proceso de transición de la norma ISO 9001:2015 y en ella encuentro mucho contenido actualizado con el que resuelvo mis dudas.” Raquel Toro

Los 50 EXCELENTES de ISOTools en 2015

8

VOLVER AL ÍNDICE

Calidad.

01

INDICADORES

¿Qué son los indicadores de calidad? Indicadores de calidad: una herramienta para controlar la calidad de los procesos Los indicadores de calidad son instrumentos de medición, de carácter tangible y cuantificable, que permiten evaluar la calidad de los procesos, productos y servicios para asegurar la satisfacción de los clientes. Dicho de otro modo, miden el nivel de cumplimiento de las especificaciones establecidas para una determinada actividad o proceso empresarial. Los indicadores de gestión miden, de manera global, el resultado final de las actividades empresariales basándose en un estándar, el cual responde al nivel de calidad objetivo que la empresa espera y desea alcanzar.

Características de los indicadores de calidad Idealmente, las  principales características que deben tener los indicadores de calidad son las siguientes: %% Ser realistas, es decir, directamente relacionados con las dimensiones significativas de la calidad del proceso, producto o servicio, %% En cuanto al número, deben ser pocos aunque suficientemente representativos de las áreas prioritarias o que requieren una supervisión constante de la gestión. %% Efectistas  y centrados en el verdadero impacto de la calidad. %% Visibles y fácilmente representables en forma de gráficos de fácil interpretación. %% Accesibles a las personas involucradas en las actividades medidas. %% Sensibles a las variaciones de los parámetros que se está midiendo. %% Sencillos de calcular y gestionar.

Clasificación de los indicadores de calidad Los indicadores pueden clasificarse en: %% Generales: índices de incumplimiento de requisitos sobre un servicio global.

Los 50 EXCELENTES de ISOTools en 2015

10

VOLVER AL ÍNDICE

01 %% Específicos: similares a los anteriores, pero referidos a un tipo de servicio concreto o a una casuística de fallos determinada. %% Ponderados: considerando una valoración, no necesariamente económica, de la importancia del fallo / incumplimiento.

Beneficios de la implantación de unos indicadores de calidad Existen muchos y variados motivos para implantar un sistema de indicadores, siendo estos los más destacables: %% Valorar la correcta aplicación de los recursos consumidos por las diferentes actividades de uso público y la adecuación de sus resultados a los requerimientos. %% Controlar y mejorar los procesos. %% Garantizar los resultados previstos. %% Mantener los estándares de calidad. %% Mejorar el nivel del servicio con el fin de lograr una  mayor satisfacción de los clientes. %% Orientar las actividades de mejora, mediante la implantación de acciones preventivas y el control de los resultados obtenidos %% Poder tomar las medidas correctoras y preventivas correspondientes.

La selección de los indicadores de calidad Los indicadores de calidad influyen sobre los indicadores de gestión, por lo que son de gran importancia para que la dirección de la empresa proponga acciones globales o de un departamento o área concreta. Su alto nivel de influencia en decisiones muy importantes para la organización otorga una gran importancia a su correcta selección.

Criterios de selección de indicadores Lo primero que hay que tener en cuenta es que los indicadores se deben implantar en: los procesos que sean más críticos por su alto nivel de influencia en la calidad del producto o servicio, en los circuitos más importantes a nivel de resultados o en aquellos procesos que están por debajo del nivel de calidad deseable o esperado. Por otro lado, no existe una norma fija en cuanto a número, pero por lo general se deben utilizar los que sean necesarios para mantener una visión clara e inequívoca del estado o situación de la actividad a controlar.

Definición e implantación de un sistema de indicadores de calidad Para  realizar la implantación operativa  de un indicador  es necesario que previamente se definan determinados aspectos como: datos a analizar, persona responsable de la gestión (normalmente es el jefe de equipo de los procesos afectados por el indicador) o el papel del gestor de calidad, el cual actuará como facilitador para ayudar a la implantación. Por último, destacaremos que en el momento de implementar los indicadores es muy importante el seguimiento de las siguientes recomendaciones: %% Utilizar indicadores gráficos de fácil interpretación. %% Colocar los indicadores en lugares visibles dentro de las zonas donde se realizan las actividades.

Los 50 EXCELENTES de ISOTools en 2015

11

VOLVER AL ÍNDICE

01 %% Que los indicadores sean gestionados por los responsables de los procesos o actividades medidas. %% Evitar las falsas alarmas como consecuencia de una sobredimensión del valor de dichos indicadores.

La plataforma ISOTools facilita selección, definición e implementación de indicadores de calidad Si el objetivo de su empresa es implantar una óptimo modelo de gestión apoyado en la implantación de los indicadores adecuados que le conduzca hacia la excelencia,  ISOTools le ofrece una eficaz solución mediante su avanzada plataforma tecnológica en la que se integran sistemas de gestión normalizados y modelos de excelencia.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/03/30/que-son-los-indicadores-de-calidad/

Software para Sistema de Gestión de la Calidad

Ada la n ptado u 900 eva ISOa 1:20 15

DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

12

VOLVER AL ÍNDICE

02

MEJORA CONTINUA

¿En qué consiste el ciclo PHVA de mejora continua? Ciclo PHVA: una herramienta de gestión plenamente vigente En la actualidad, las empresas tienen que enfrentarse a un  nivel tan alto de competencia  que para poder crecer y desarrollarse, y a veces incluso para lograr su propia supervivencia, han de mejorar continuamente, evolucionar y renovarse de forma fluida y constante. El ciclo PHVA de mejora continua es una herramienta de gestión presentada en los años 50 por el estadístico estadounidense Edward Deming. Tras varias décadas de uso, este sistema o método de gestión de calidad se encuentra plenamente vigente (ha sido adoptado recientemente por la familia de normas ISO) por su  comprobada eficacia  para: reducir costos, optimizar la productividad, ganar cuota de mercado e incrementar la rentabilidad de las organizaciones. Logrando, además, el mantenimiento de todos estos beneficios de una manera continua, progresiva y constante.

Las fases del ciclo PHVA Las siglas del ciclo o fórmula PHVA forman un acrónimo compuesto por las iniciales de las palabras Planificar, Hacer Verificar y Actuar. Cada uno de estos 4 conceptos corresponde a una fase o etapa del ciclo: %% Planificar: En la etapa de planificación se establecen objetivos y se identifican los procesos necesarios para lograr unos determinados resultados de acuerdo a las políticas de la organización. En esta etapa se determinan también los parámetros de medición que se van a utilizar para controlar y seguir el proceso. %% Hacer: Consiste en la implementación de los cambios o acciones necesarias para lograr las mejoras planteadas. Con el objeto de ganar en eficacia y poder corregir fácilmente posibles errores en la ejecución, normalmente se desarrolla un plan piloto a modo de prueba o testeo.

Los 50 EXCELENTES de ISOTools en 2015

13

VOLVER AL ÍNDICE

02 %% Verificar:  Una vez se ha puesto en marcha el plan de mejoras, se establece un periodo de prueba para medir y valorar la efectividad de los cambios. Se trata de una fase de regulación y ajuste. %% Actuar:  Realizadas las mediciones, en el caso de que los resultados no se ajusten a las expectativas y objetivos predefinidos, se realizan las correcciones y modificaciones necesarias. Por otro lado, se toman las decisiones y acciones pertinentes para mejorar continuamente el desarrollo de los procesos.

Un ciclo sin fin La principal característica de un ciclo PHVA es que no tiene un punto y final en el momento en que se obtenga un determinado resultado, sino que se crea una rueda continua en la que el ciclo se reinicia una y otra vez de manera periódica, generando de esta forma un proceso de mejora continua. Cada ciclo terminado, además de para conseguir mejoras hasta un cierto nivel en un determinado circuito o área de la empresa, debe servir también como fuente de aprendizaje para mejorar en cada paso y aprender de los errores. Esto significa que siempre se debe buscar la optimización de las acciones por medio del análisis de: indicadores, logros obtenidos y programas de mejora ya implementados.

Ventajas y desventajas del ciclo PHVA Las principales ventajas para las organizaciones de esta herramienta de gestión son: %% Por lo general, se consiguen mejoras en el corto plazo y resultados visibles. %% Se reducen los costos de fabricación de productos y prestación de servicios. %% Es un sistema que favorece una cuestión hoy en día vital para todas las empresas: incrementar la productividad y enfocar a la organización hacia la competitividad. %% Contribuye a la adaptación de los procesos a los avances tecnológicos. %% Permite detectar y eliminar procesos repetitivos. Entre sus puntos débiles encontramos: %% Cuando el mejoramiento se concentra en un área específica de la organización, se puede perder la perspectiva de interdependencia que existe entre los distintos departamentos y áreas de las organizaciones. %% Requiere de cambios importantes en toda la organización, lo que puede acarrear inversiones importantes en infraestructuras o recursos humanos. Es importante subrayar y no perder nunca de vista que la mejora continua consiste en desarrollar ciclos de mejora a todos los niveles de manera periódica, sin que la consecución de un determinado objetivo suponga el fin de proceso, sino más bien un desafío para seguir mejorando y lograr la excelencia. En esto consiste su verdadera esencia y filosofía.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/02/20/en-que-consiste-el-ciclo-phva-de-mejora-continua/

Los 50 EXCELENTES de ISOTools en 2015

14

VOLVER AL ÍNDICE

03

NUEVA ISO 9001:2015

La ISO 9001:2015 se ha publicado Transición a ISO 9001 2015 El 23 de septiembre de 2015, ISO (International Organization for Standardization) ha publicado la quinta versión de la norma ISO 9001. Si queremos hacer mención a la primera ISO 9001, hay que trasladarse al año 1987 cuando fue publicada y se convirtió en un estándar internacional de referencia para los Sistemas de Gestión de la Calidad (SGC). Las normas ISO son revisadas periódicamente con el objetivo de adaptar los requisitos a los cambios que se producen en el mercado y a las necesidades expresadas por los consumidores. Como se esperaba, ISO ha dado la noticia, cumpliendo con las fechas previstas para su publicación. Pero hasta que hemos podido ver a la luz el documento final de la norma, se ha trabajado mucho durante los últimos tres años. En concreto el proceso de revisión de la norma se inició en junio del año 2012, en esa reunión el comité ISO/TC 176 SC/2 se encargó de elaborar un documento de trabajo en el que quedaban incluidos los cambios que presentaría la norma. Durante ese mismo año, en diciembre, se aprobó el borrador de especificaciones y WD. Tras esto el comité empieza a elaborar el borrador CD, en el calendario lo situamos a mediados de 2013. Después de ser sometido a comentarios y a una votación, en junio del año 2014 se desarrolla el borrador DIS de la norma ISO 9001. En junio de un año después se logra la aprobación del último borrador, el FDIS. A partir del 23 de septiembre, aquellas organizaciones del sector público y privado que tengan

Los 50 EXCELENTES de ISOTools en 2015

15

VOLVER AL ÍNDICE

03 implantado un Sistema de Gestión de la Calidad según los requisitos de la ISO 9001 versión 2008, deberán comenzar el proceso de transición hacia la nueva ISO 9001:2015 y llevar a cabo la implementación de los nuevos requisitos previstos en esta reciente versión. La IAF (International Accreditation Forum), en colaboración con el ISO/TC 176/SC 2/WG 23 se ha encargado de elaborar un documento que sirve como guía para realizar con éxito la transición de la norma ISO 9001: 2008 a ISO 9001: 2015. LA finalidad de este documento es la prestación de asesoramiento a las partes interesadas en los acuerdos que hay que llevar a cabo para la transición a tener en cuenta antes de la implementación de la norma ISO 9001:2015. Las organizaciones tienen que entender que no deben esperar al último momento para proceder a la transición de ISO 9001:2008 a ISO 9001:2015, ya que el riesgo de perder la certificación se incrementa y esto puede suponer importantes perjuicios para la empresa. En estos momentos, las personas involucradas en los Sistemas de Gestión de la Calidad requieren de suficiente información para realizar la transición correctamente. Los responsables o cordinadores de calidad deberían saber que el Foro Internacional de Acreditación (IAF) junto con el Comité de ISO sobre Evaluación de la Conformidad (CASCO) han establecido una fase de transición de tres años desde la fecha de publicación de la norma ISO 9001 versión 2015. Como es de suponer, las certificaciones ISO 9001 versión 2008 dejaran de ser válidas una vez transcurridos estos tres años desde el 23 de septiembre de 2015. A continuación citaremos las recomendaciones que se encuentran en este documento para aquellas organizaciones que emplean la norma ISO 9001: 2008. %% Detectar las brechas de la organización para saber actuar y lograr el cumplimiento de los nuevos requisitos. %% Elaborar un plan de implementación. %% Facilitar formación y sensibilización apropiadas para todas las partes que generan un impacto en la eficiencia de la organización. %% Renovar el Sistema de Gestión de la Calidad con el que se cuente con el objetivo de cumplir los requisitos propuestos en la nueva ISO 9001 2015, además de verificar su eficacia. Pero realmente, ¿qué cambios tendrá la nueva versión de ISO 9001? A continuación haremos un breve resumen de los principales cambios que estarán presentes en la norma ISO 9001 versión 2015:

Estructura Se podría decir que es uno de los cambios más importantes que veremos en esta edición 2015. La estructura de la ISO 9001 se regirá por la Estructura de Alto Nivel que ya siguen otras normas como la ISO 27001, publicada en 2013.

Enfoque basado a procesos El apartado referido al enfoque basado a procesos lo encontramos en el 4.4 “Sistema de Gestión de la Calidad y sus procesos”. Este enfoque hace posible que se afiance la gestión y el control de las relaciones que existen entre los procesos y la estructura funcional de la empresa.

Los 50 EXCELENTES de ISOTools en 2015

16

VOLVER AL ÍNDICE

03 Lenguaje Desde la primera publicación la norma ISO 9001 se ha podido aplicar a cualquier organización sin que implique un problema el sector al que pertenece, pero ISO ha visto conveniente emplear un lenguaje simple y compresible por cualquier lector.

Análisis del contexto Surge un nuevo apartado, el 4. Contexto de la organización, que contempla la importancia de considerar y realizar un análisis del entorno social y económico por el que está influenciada la empresa. También considera la necesidad de tener en cuenta las relaciones con las partes interesadas internas y externas.

Pensamiento basado en riesgo Este pensamiento se extiende tanto en la definición, implementación, mantenimiento y mejora continua del sistema. Aunque en la norma no se especifica, se puede emplear la ISO 31000 para gestionar el riesgo.

Acciones preventivas Las acciones preventivas desaparecen, ya que es el Sistema Gestión se convierte en sí en un instrumento preventivo del SGC.

Partes interesadas Además de los clientes, ahora también se tienen en cuenta las necesidades expresadas por las partes interesadas 4.2 “Comprensión de las necesidades y expectativas de las partes interesadas”.

Representante de la Dirección Ya no es imprescindible el representante de la dirección y el peso reside en la dirección y así se ve en el apartado 5. “Liderazgo”.

Gestión del conocimiento Para todo lo vinculado con la gestión del conocimiento, deberemos acudir al nuevo 7.1.6 “Conocimiento organizacional”, la entidad será la responsable de definir que conocimiento es necesario para que la operatividad del sistema sea la adecuada.

Procesos externalizados Los temas de subcontratación de procesos o subprocesos a terceros se puede observar en el punto 8.4 “Control de los productos y servicios suministrados externamente”.

Competencia del personal La competencia del personal se trata en la cláusula 7.2 “Competencia”, para definir criterios de cada puesto de trabajo y las competencias asociadas a este. 

La automatización del Sistema de Gestión de la Calidad según la ISO 9001:2015 Con la publicación de la ISO 9001 2015, la preocupación por lograr con éxito la transición de la

Los 50 EXCELENTES de ISOTools en 2015

17

VOLVER AL ÍNDICE

03 ISO 9001:2008 a la 2015 incrementa por momentos entre los responsables y coordinadores de calidad. Pensando en estas empresas que ya cuentan con un certificado ISO 9001:2008 y que requieren de la adaptación de su SGC a la nueva versión, ISOTools ha actualizado su software a los nuevos requisitos de la norma ISO 9001:2015. ISOTools es un software escalable, flexible y adaptable a cada organización, teniendo en cuenta el tamaño y el sector en el que desarrolle su actividad.  Este software  facilita el proceso de implementación, automatización y mantenimiento de un Sistema de Gestión de la Calidad que opere según los requisitos establecidos por normas ISO como ISO 9001 y como hemos dicho, ya se encuentra actualizado según la última versión publicada a finales de septiembre de 2015. Está basado en los procesos y el ciclo PHVA (Planear – Hacer – Verificar – Actuar)  para alcanzar una mayor efectividad en la gestión de la documentación, también logra mejoras en la comunicación y minimiza tiempos y costos, consiguiendo un impacto real sobre la eficiencia, los costos y los resultados de la organización.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/09/23/norma-iso-9001-2015-publicada/

Software para Sistema de Gestión de la Calidad

Ada la n ptado u 900 eva ISOa 1:20 15

DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

18

VOLVER AL ÍNDICE

Diplomado Gestión de la Calidad ISO 9001:2015 Creamos profesionales que puedan actuar como líderes de la implementación del Sistema de Gestión de la Calidad

MATRICÚLATE AHORA

04

PLAN DE CALIDAD

Un ejemplo sobre cómo elaborar el plan de calidad de un proyecto La detección de fallos, obstáculos e inconvenientes suele ser el punto de giro para que muchos empresarios decidan implementar un plan de calidad. El concepto está definido y descrito en  la normativa ISO 9001 de Sistemas de Gestión de Calidad, en la que se proporciona un marco de acción que orienta a las empresas a mejorar los procesos que tienen lugar en cada una de sus áreas o departamentos. Se trata de un documento en el que se detalla cómo deben ser los procesos de mejora de calidad en una organización. Es decir, precisa la manera en que se llevarán a cabo las acciones para ello, las distintas etapas del proceso, los recursos disponibles y los grupos de trabajo que se encargarán de llevarlo a la práctica. De hecho, tal es la importancia de elaborar un plan de calidad adecuado, que el grupo ISO ha elaborado la norma 10005:2005 en la que se fijan las directrices para el diseño, la aplicación y la revisión de dichos planes.

Un ejemplo: elaborando un plan de calidad Como todo proceso, la implementación de un plan de calidad implica la fijación de unas etapas. Para hacer más ilustrativo el tema, recurriremos a un ejemplo concreto: el de una panadería recién inaugurada, cuyas ventas no acaban de despegar, y que aspira a posicionarse como una marca de referencia en su mercado.

1. Identificar la necesidad: Por absurdo que parezca, el primer paso para la elaboración de un plan de calidad es analizar si realmente es necesario un documento de estas características. En nuestro caso, el dueño de la panadería debe decidir si su intención es verificar si se cumplen las normas de calidad o, en cambio, si desea mostrar a terceros que su empresa cumple con los estándares básicos de calidad, algo que sin duda le dará prestigio.

2. Definir los requisitos: A nuestro panadero, cuyo principal problema es el bajo número de ventas, le interesan las dos cosas. A partir de ahora tendrá que definir los requisitos que no debe perder de vista para

Los 50 EXCELENTES de ISOTools en 2015

20

VOLVER AL ÍNDICE

04 llevar a cabo su plan da calidad. Por ejemplo, es necesario que revise aspectos como la legislación vigente, los requerimientos de los clientes, el rol de los proveedores, la capacitación de los empleados, los recursos disponibles, entre otros.

3. Establecer el alcance del plan: ¿Qué busca realmente nuestro panadero con la implementación de un plan de calidad? Antes hemos dicho que su objetivo es el mejoramiento de sus productos. Y así es, pero sólo en un primer nivel de acción. En el fondo, esta decisión siempre es la vía para otra cosa: ampliación del negocio, apertura a nuevos mercados, fabricación de productos más innovadores y sugerentes, entre otras posibilidades.

4. Preparación del plan: Qué duda cabe que nuestro panadero conoce muy bien su negocio. Sin embargo, para la elaboración de un plan de calidad es recomendable que recurra a un experto en el tema o a un equipo de trabajo en el que delegue responsabilidades. Esta persona o equipo se encargarán de recopilar toda la información necesaria para el plan.

5.  Contenido del plan de calidad: Superadas las etapas anteriores, es necesario que el panadero se siente con su equipo de colaboradores para plasmar en el papel el trabajo realizado hasta ahora. Recodemos: su estrategia es mejorar sus productos para, al mismo tiempo, aumentar su prestigio en el espectro comercial al que pertenece su negocio.

6. Revisión e implementación: Como última medida, es necesario que se realice una última revisión del plan de calidad antes de que se ponga en marcha. Nuestro panadero debe ponderar si cada una de las acciones allí contempladas le ayudará a mejorar la calidad de sus bollos y pasteles y si, en últimas, esto supondrá un aumento del prestigio del que hasta entonces carece en el mercado. En caso de ser aprobado, el plan entra en etapa de implementación.

Herramientas tecnológicas para la implementación y control de los modelos de Excelencia La última fase en la elaboración de un plan de calidad, sería su implementación en la empresa. Una puesta en marcha que tiene como principal objetivo mejorar la calidad de los procesos. Los planes de calidad forman parte de todos los modelo de excelencia, tanto de aquellos que se basan en la norma ISO 9001 como de los que se rigen por los requisitos establecidos en el modelo de Deming o en el modelo EFQM, entre otros. El uso de determinadas herramientas tecnológicas, como el software ISOTools, ayudan a la implementación de estos planes y a la mejora continua de los procesos.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/07/24/un-ejemplo-sobre-como-elaborar-el-plan-de-calidad-de-unproyecto/

Los 50 EXCELENTES de ISOTools en 2015

21

VOLVER AL ÍNDICE

05

INDICADORES

5 ejemplos de indicadores de calidad que no pueden faltar en tu plan El concepto de calidad suele estar asociado a la satisfacción que los productos generan en un público determinado. Y en cierta forma, es así. ¿Qué mejor que una necesidad cubierta de manera eficaz y oportuna? Sin embargo, a la hora de implementar un plan de gestión de calidad, es preciso mirar el término con más detenimiento y buscar indicadores de calidad que lo valoren. Porque la calidad, digámoslo claro, no sólo se mide al final de los procesos. También es necesario evaluarla en las fases iniciales e intermedias, cada una de las cuales aporta un valor específico a la cadena de labores que integran un proceso. Los indicadores de calidad cumplen esa función. Son instrumentos de medición que se emplean para evaluar la calidad de los procesos o productos. O dicho de otra manera, determinan el nivel de cumplimiento de los objetivos para los cuales se han desplegado una serie de actividades concretas.  Eso no quiere decir que cualquier herramienta sea un indicador de calidad. De hecho, para que un elemento adquiera tal función debe cumplir con ciertos requisitos. Entre los más significativos podemos mencionar los siguientes: %% Fáciles de capturar y aplicar. De nada vale un plan de calidad bien fundamentado si sus indicadores son ilegibles o no proporcionan información clara. %% Relevantes para la toma de decisiones. Es decir, que la información que aporten sirva para cumplir con los objetivos propuestos. No se trata de acumular herramientas y capturar cualquier tipo de datos. %% Visibles y accesibles. Por ejemplo, que resulten fáciles de clasificar o de plasmar en gráficos, diagramas o cuadros conceptuales.

Cinco ejemplos de indicadores de calidad Definidas sus características, a continuación presentamos algunos de los indicadores más empleados cuando se trata de medir la calidad de un producto:

Los 50 EXCELENTES de ISOTools en 2015

22

VOLVER AL ÍNDICE

05 1. Cobertura: Se define como la proporción entre el número de artículos disponibles en los mercados y las personas que demandan una necesidad que espera ser satisfecha. Este indicador es propio de proyectos que buscan penetrar de forma masiva entre los consumidores o que están pensados a largo plazo. Sin embargo, no siempre es así. A veces basta con que una empresa cubra los pocos frentes en los que suele desempeñarse para obtener un indicador positivo en términos de cobertura.

2. Eficacia: La eficacia no es otra cosa que la relación entre un producto disponible y la necesidad para la que ha sido creado. Cuando esta relación es positiva, la eficacia del producto es alta. Pero si la necesidad del cliente sigue sin ser atendida tras la adquisición de dicho producto, el indicador es negativo. Algo en el proceso ha fallado.

3. Valoración de ventas: El volumen de ventas es, sin duda, el elemento más empleado para medir la calidad de un producto. Vender mucho casi siempre es sinónimo de éxito: indica que el artículo ha tenido una buena acogida y que ha generado gran interés. No obstante, esta relación no supone en todos los casos un grado alto de calidad. Se puede vender mucho sin que el producto sea del todo bueno.

4. Satisfacción del cliente: De hecho, el siguiente paso tras la venta de un producto es la evaluación del grado de conformidad de quien lo ha adquirido. La venta no garantiza satisfacción. Numerosos ejemplos dan cuenta de ello. Al utilizar este indicador, las empresas deben desplegar varias vías de retroalimentación para poder evaluar con acierto lo que se conoce como la etapa de post-venta, que es crucial de cara a nuevas líneas de producción.

5. Competitividad: Hace referencia a la capacidad de las empresas para explotar aquellas cualidades que hacen distintos a sus productos. También tiene que ver con el nivel de adaptación a las dinámicas del mercado y a la capacidad de innovación y cambio. Un producto incapaz de competir es, por lo general, un producto de escasa calidad.

Mejora la calidad de tu empresa con la plataforma ISOTools ISOTools facilita la mejora continua de la gestión basada en indicadores de calidad. La plataforma para la gestión de la excelencia ISOTools permite automatizar los indicadores, seguirlos y medirlos, ofreciendo, de esta forma, una valiosa información que contribuye a la toma de decisiones y facilita  la mejora continua de los procesos.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/07/27/5-ejemplos-de-indicadores-de-calidad-que-no-pueden-faltar-en-tu-plan/

Los 50 EXCELENTES de ISOTools en 2015

23

VOLVER AL ÍNDICE

06

GESTIÓN OPERATIVA

¿Qué es la gestión operativa de una empresa y cómo mejorarla? Definición de gestión operativa La gestión operativa puede definirse como un modelo de gestión compuesto por un conjunto de tareas y procesos enfocados a la mejora de las organizaciones internas, con el fin de aumentar su capacidad para  conseguir los propósitos de sus políticas  y sus  diferentes objetivos operativos. Los objetivos operativos se derivan directamente de los objetivos tácticos, por lo que se encuentran involucradas cada una de la actividades de la cadena de valor interno. Por lo tanto, dentro de la gestión operativa quedan englobadas también las diversas gestiones de producción, distribución, aprovisionamiento, recursos humanos y financieros.

Alcance y funciones de la gestión operativa La gestión operativa abarca cambios no solamente en la estructura de la organización, sino también en el sistema de roles y funciones, lo cual tienen una notable influencia en cuestiones como la elección de personal directivo y mandos intermedios. Asimismo, la gestión operativa influye en los procesos de capacitación del personal, las relaciones entre los circuitos organizativos y la tecnología y la introducción de innovaciones técnicas y estratégicas acordes con los proyectos en curso. En línea con sus ámbitos de actuación, las principales funciones de la gestión operativa son:

Los 50 EXCELENTES de ISOTools en 2015

24

VOLVER AL ÍNDICE

06 %% Análisis de los servicios. Fundamentalmente en lo que se refiere a la concordancia entre los servicios ofrecidos o que se piensan ofrecer y los requerimientos de clientes y proveedores. También implica el cumplimiento de las especificaciones técnicas propias de cada producto o servicio y a las pruebas de su correcto funcionamiento. %% Análisis de los procesos. Gestión de los procesos técnicos y administrativos de la organización  y el estricto cumplimento de leyes y normativas relacionadas con el proceso de producción de artículos y prestación de servicios. %% Revisión de los modos de diseñar y dirigir. Enfoque estratégico basado en un proceso continuo y permanente de los procedimientos más eficaces para la realización de proyectos y la prestación de servicios, tratando de lograr los mejores resultados y la máxima productividad y rentabilidad con el fin de optimizar al máximo los recursos. En definitiva, la tarea esencial de la gestión operativa es el despliegue de recursos y capacidades para obtener resultados concretos. En lo que respecta a la definición de lo objetivos, estos deben ser acertados, realistas, concretos, cuantificables y medibles y que, sobre todo, se encuentren  alineados con: las  posibilidades de la organización, su  situación en el mercado, la posición que ocupa actualmente en relación a la competencia y sus posibilidades y expectativas en el corto, medio y largo plazo.

Cómo incrementar el valor de la gestión operativa La gestión operativa puede mejorarse significativamente implantando acciones y estrategias encaminadas a: %% Conseguir un aumento de la cantidad o la calidad de las actividades en relación a los recursos (personales, tecnológicos, de infraestructuras, etc.) empleados. %% Reducción de los costos fijos y extraordinarios para los niveles actuales de producción. %% Alcanzar una mejor identificación de los requerimientos y de la respuesta a las exigencias y expectativas de los clientes. %% Realizar los cometidos de la organización con mayor imparcialidad. %% Incrementar la disponibilidad de respuesta e innovación. Con el objeto de reestructurar las organizaciones actuales con los alineamientos y preceptos de una gestión operativa innovadora, los directivos de las empresas deben analizar cinco cuestiones principales: %% Decidir qué productos y servicios ofrecer y qué pautas de actuación llevar a cabo para comercializar y distribuir adecuadamente esos productos. %% Diseñar las operaciones necesarias para producir esos productos o servicios con la mejor calidad posible. %% Utilizar y ajustar los sistemas administrativos de su organización, e innovar en ellos, para aumentar la calidad, flexibilidad y productividad de los sistemas. %% Atraer colaboradores nuevos para la realización de los objetivos de la organización. %% Definir el tipo, grado y ubicación de las innovaciones que se consideren necesarias. Para conseguir todas estas metas es muy importante especificar la misión y los objetivos de la organización de forma simple, clara y general. A partir de este punto, se debe delimitar una jerarquía de finalidades y metas que sirvan para orientar y dirigir en la línea correcta las actividades operativas hasta llegar a los parámetros de calidad deseados en los pro-

Los 50 EXCELENTES de ISOTools en 2015

25

VOLVER AL ÍNDICE

06 ductos o servicios, dentro de unos márgenes adecuados de rentabilidad y productividad. La importancia de la gestión estratégica se incrementa cuando la aparición de cambios o conflictos en el sector, o bien de carácter legislativo o macro económico, hacen absolutamente necesaria la innovación para adaptarse al nuevo entorno con posibilidades de éxito.

La plataforma ISOTools facilita la implantación, mantenimiento y automatización de la gestión operativa Con la Plataforma Tecnológica ISOTools los diferentes elementos que componen la gestión del rendimiento corporativo pueden ponerse en marcha de forma sencilla permitiendo a la organización alcanzar sus objetivos estratégicos.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/03/26/que-es-la-gestion-operativa-de-una-empresa-y-como-mejorarla/

Software de Integración de Sistemas de Gestión DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

26

VOLVER AL ÍNDICE

07

PLAN DE CALIDAD

Fases para la elaboración del plan de calidad de un proyecto La necesidad de elaborar un plan de Calidad viene establecida en la normativa ISO 9001 sobre gestión de la calidad, donde se define el concepto de plan de calidad. El plan de Calidad es un documento a través del que se detalla cómo debe ser el proceso que garantice la calidad de los proyectos, productos o procesos. Este plan debe dar respuesta a cuestiones como qué acciones se llevarán a cabo, qué recurso serán necesarios o quienes serán los encargados de aplicar el plan. La importancia de diseñar un plan de calidad es tal, que ISO ha creado una norma al respecto  ISO 10005:2005 donde establece losas directrices a seguir para diseñar, revisar y aplicar un plan de calidad.

Fases del plan de calidad 1. Identificación de la necesidad de un plan de la calidad en la organización. El primer paso antes de comenzar a elabora cualquier plan de calidad, es determinar si realmente necesita desarrollar un plan de calidad y por qué. A través de estos planes se describe los procesos que debería llevar a cabo la empresa para cumplir con los requisitos de calidad, por lo que puede ser útil para aquellas empresas que necesiten demostrar a terceros cómo desarrollan la gestión de la calidad o para aquellas que necesiten verificar que se cumple con los requisitos establecidos. Los planes de calidad sirven como referente directo, por lo que, además de orientar la práctica pueden ser un gran instrumento de evaluación.

 2. Identificación de las entradas para el plan de la calidad.

Los 50 EXCELENTES de ISOTools en 2015

27

VOLVER AL ÍNDICE

07 Una vez decidida la necesidad de diseñar y poner en marcha el plan de calidad, es el momento de identificar las entradas para programar el plan, es decir, definir los requisitos que serán necesarios para su elaboración, relacionados con la legislación legal, los requerimientos de clientes, proveedores o inversores, recursos disponibles, la existencia de otros planes relevantes o aspectos relativos a la evaluación. 3. Definir el alcance del plan de la calidad. Es importante delimitar claramente el alcance que tendrá el plan. Con este fin se debe definir si está enfocado a un determinado proyecto o proceso además de descomponerlo en acciones para analizar y describir las características del mismo.

4. Preparación del plan de la calidad. La planificación del plan de calidad necesita de una persona encargada del proyecto, un responsable que se encargue de la coordinación y elaboración del mismo, y de un equipo de trabajo que colabore con él. Designar quién será esta persona y constituir el equipo de trabajo será el primer paso dentro de esta fase. El siguiente objetivo debe centrarse en recopilar toda la documentación necesaria para describir el plan. Mucha de esta información estará dentro de la documentación del sistema de calidad, por lo que sólo habrá que recuperarla. Es conveniente consensuar cómo se va a presentar y estructurar el plan de calidad, si se va a representar a través de una matriz o precisa estar más definido. Esto dependerá de las características del plan, su complejidad y de las necesidades de la empresa. Por otro lado, el plan debe tener un contenido coherente con el alcance,  con las especificaciones dadas por los clientes, proveedores o inversores y con las características de la empresa. Además, debe ser compatible con otros planes existentes.

 5. Contenido del plan de la calidad. En esta etapa se plasma sobre papel el plan de calidad que se va a desarrollar. En este documento deben reflejarse ciertos datos necesarios para el desarrollo posterior del plan. Los contenidos dependerán de las características del plan y de las necesidades de la empresa.  Sin embargo, a modo general, algunos de los elementos que se deberían expresar en este documento son: %% El alcance del plan. %% Los elementos de entrada. %% Los objetivos que se pretenden con el plan. %% La responsabilidad de la dirección. %% Cómo se llevará a cabo el control de los documentos, datos y del registro. %% La descripción de los recursos necesarios. %% Qué requisitos son necesarios. %% Cómo se llevará a cabo la comunicación tanto interna como externa. %% Aspectos relevantes sobre el diseño y desarrollo del plan, relativos al control de cambios o su implementación.

Los 50 EXCELENTES de ISOTools en 2015

28

VOLVER AL ÍNDICE

07 %% Especificar los requisitos y métodos que se utilizarán para el control y preservación el producto. %% Describir los procesos de control, seguimiento y medición que se pondrán en marcha. %% Aclarar si se llevará a cabo auditorías y describir cómo serán y cuándo tendrán lugar.

 6. Revisión, aceptación e implementación del plan de la calidad. La última fase en la elaboración del plan de calidad, será la revisión del mismo y su aprobación final. Tras esta etapa, el plan podrá comenzar a implementarse en la organización.

Ventajas del Software ISO La aplicación en tu empresa de Sistemas de Gestión de Calidad es más fácil y eficiente con herramientas como el Software ISO. Este software contribuye, además, a mejorar los procesos de comunicación, ahorrar tiempos y costos y a mejorar de manera continua.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/04/16/fases-para-la-elaboracion-del-plan-de-calidad-de-un-proyecto/

Software para Sistema de Gestión de la Calidad

Ada la n ptado u 900 eva ISOa 1:20 15

DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

29

VOLVER AL ÍNDICE

10 pasos para realizar la transición de ISO 9001:2008 a la nueva versión ISO 9001:2015 Descargue este e-book gratuito

DESCARGAR AHORA

08

MANUAL DE CALIDAD

Características que debe cumplir todo manual de calidad La implantación de un Sistema de Gestión de Calidad basado en la norma ISO 9001:2008, para garantizar la calidad de los productos o servicios y la mejora continua de los procesos, requiere de un manual de calidad que describa el modo en el que la organización va a adaptarse para cumplir con los requisitos que establece la norma. Para llevar  a cabo un eficaz sistema de gestión, las empresas necesitan reflexionar y describir cómo va a ser ese proceso, en qué políticas se van a basar, cuál va a ser su alcance, qué procedimientos se van a lleva a cabo o qué medidas de control se van a establecer. Todas estas preguntas encuentran su respuesta en el manual de calidad, un documento  obligatorio, que servirá de guía para la implementación, mantenimiento y mejora del  Sistema de Gestión de Calidad. La elaboración de este documento empresarial es un requisito básico para la obtención del certificado ISO 9001:2008. Sin embargo, no es éste su único valor. Toda empresa comprometida realmente con la calidad, necesita demostrar su responsabilidad por medio de  este archivo, a través del que se documenta todo el Sistema de Gestión de Calidad. En este manual se expresan tanto los requerimientos  internos, los del cliente como los requisitos necesarios para la certificación, si se desea obtener. A la hora de elaborar este documento, es necesario tener en cuenta algunas consideraciones: %% Es conveniente elaborar un único manual, aunque este puede estar estructurado por bloques en función del alcance que tenga. %% La estructura de este documento es flexible, pese a que exista unos contenidos mínimos. Cada empresa debe determinar qué contenido va a incluir en este documento, en función de sus necesidades y expectativas. %% Se debe detallar con claridad toda la información de la empresa, además de describir los procesos incluidos y las interacciones entre ellos.

Los 50 EXCELENTES de ISOTools en 2015

31

VOLVER AL ÍNDICE

08 Que elementos deben reflejarse en el manual de calidad LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools. org/2015/05/18/caracteristicas-que-debe-cumplir-todo-manual-de-calidad/

Todo manual de calidad ha de reflejar unos elementos mínimos que ayuden a visualizar los procedimientos que se van a llevar a cabo para el control de la calidad del producto o servicio ofertado por la compañía. Acorde a lo establecido en el apartado 4.2.2 de la norma ISO 9001, sobre el Manual de la Calidad, este documento debe incluir tres elementos mínimos, que son: %% El alcance del sistema de gestión. %% Los procedimientos establecidos para el sistema %% Una descripción de la interacción entre los procesos. No obstante, un eficaz manual de la calidad debería contener, además, otros datos que completen la información necesaria, como son:

Objetivo y alcance A través de este apartado se deben reflejar las metas que la compañía pretende con el establecimiento  del sistema de gestión de calidad que se ha establecido y con el desarrollo del manual de calidad. Por otro lado, las organizaciones deben meditar si el sistema de Gestión de Calidad se va a implementar en solo determinados procesos para ir introduciéndolo de manera gradual o si alcanzará a todos los departamentos y procesos de la organización y concretar a las personas que incumbirá. Además del alcance, en el documento se deben indicar también las posibles exclusiones junto a su debida justificación.

Responsables y funciones Siempre es interesante incluir este apartado aun cuando el tamaño de tu empresa es reducido, para dejar claro las responsabilidades y funciones de los principales responsables del sistema de gestión de calidad.

Política de calidad A través de este apartado la empresa manifiesta su compromiso con la calidad y define, de manera global, los principios en los que se fundamentarán sus métodos y estrategias para alcanzar los objetivos de calidad.

Descripción del Sistema de gestión de Calidad Es el apartado clave de todo el manual. En esta sección de deben describir con todo detalle los procesos que se llevan a cabo, las interacciones que se producen entre los procesos, los recursos necesarios para cada una de las tareas que se describen y los métodos e instrumentos de medición y control que se utilizarán para analizar y valorar el desarrollo de los procesos y poder introducir las mejoras necesarias. Este manual debe ser una guía de uso, un documento instructivo, que permita a cualquier persona (directivos, trabajadores, clientes, inversores, socios o auditores) conocer la forma de proceder y observar las medidas que se llevan a cabo  para asegurar la calidad en los procesos.

Los 50 EXCELENTES de ISOTools en 2015

32

VOLVER AL ÍNDICE

09

GESTIÓN DEL RIESGO

ISO 9001:2015, COSO como metodología de gestión de riesgo En la nueva norma ISO 9001:2015 la innovación que más está llamando la atención a los usuarios del Sistema de Gestión de Calidad es la gestión de riesgos. Numerosos profesionales se preparan para hacer frente a este nuevo proyecto de norma y puede ser que estén revisando estándares para la gestión de cualquier riesgo. En este artículo hablaremos de uno de estos estándares de riesgo, este es COSO. Podemos desglosar COSO como el Committee os Sponsoring Organization og Treadway Commission, y se crea en 1985 como consecuencia de las malas prácticas empresariales y los años anteriores de crisis. Lo que se pretendía con esta iniciática era llevar a cabo un liderazgo intelectual para la gestión de riesgo empresarial, la disuasión del fraude y el control interno. En el año 1992, se publica el denominado COSO I con el fin de ayudar a las organizaciones a evaluar y mejorar sus sistemas de control interno. Dicho informe definió al control interno como un proceso generado por la dirección y demás trabajadores de una entidad y diseñado para proporcionar un grado de seguridad adecuado para la consecución de objetivos respecto a: %% Confiabilidad de cualquier información financiera de la organización. %% Cumplimiento de la normativa aplicable. %% Eficacia y eficiencia en operaciones. %% Dicho estándar se disponía dividido en 5 capítulos, siendo éstos: %% Ambiente de control. %% Evaluación de Riesgos.

Los 50 EXCELENTES de ISOTools en 2015

33

VOLVER AL ÍNDICE

09 %% Actividades de control. %% Información y comunicación. %% Supervisión. En 2004, se publica COSO II o también, Enterprise Risk Management – Integrated Framework (ERM). Nosotros lo conocemos como Marco Integrado de Riesgos, el que extendió el concepto de control interno de COSO I a la gestión de riesgos en la que se implica a la totalidad de la plantilla de la entidad. Pasamos a tener de 5 componentes en COSO I, a 8 en COSO II, siendo éstos:

Ambiente de control Trata de los valores y filosofía de la entidad, este aspecto influye en la visión de los empleados de los riesgos y sus actividades de control. Es la base de sobre la que posicionan al resto de elementos, e influye fundamentalmente en los objetivos y en la estrategia.

Establecimiento de objetivos Se lleva a cabo el establecimiento de objetivos tanto estratégicos como operativos, de información y de cumplimiento. Tiene que establecerse antes de la identificación de posibles acontecimientos que dificulten su consecución. Tienen que alinearse con la estrategia de la empresa.

Identificación de eventos Nos interesa todo evento que pueda tener impacto sobre el cumplimiento de objetivos, pudiendo ser tanto negativos como positivos.

Evaluación de Riesgos Se basa en la identificación y análisis de los riesgos fundamentales en la consecución de objetivos. Es necesario para poder determinar el efecto que podrían tener, de materializarse, en la consecución de objetivos. Se llevaran a cabo técnicas cuantitativas y cualitativas. La evaluación del riesgo primero se centrará en el riesgo inherente y, a continuación de éste, en el riesgo residual.

Respuesta a los Riesgos La respuesta al riesgo será evaluada en base a cuatro clases: evitar, reducir, compartir y aceptar. En el momento que se tenga la respuesta al riesgo más correcta para una situación en cuestión, se efectuará otra evaluación del riesgo residual.

Actividades de control Se trata de políticas y procedimientos que aseguran la adecuada ejecución de acciones contra riesgos. Dichas actividades serán generadas en toda la entidad, a todos los niveles y funciones.

Información y comunicación La información tiene que estar disponible para la totalidad de niveles de la empresa, para no cometer errores en la identificación, evaluación al riesgo y no comprometa la consecución de objetivos.

Los 50 EXCELENTES de ISOTools en 2015

34

VOLVER AL ÍNDICE

09 Supervisión La supervisión consiste en el seguimiento de la metodología con el fin de garantizar que funciona adecuadamente y que está ofreciendo datos de calidad. COSO II es una metodología capaz de abordar la gestión de riesgos en las empresas desde un enfoque integrador y que signifique una gran oportunidad para crear valor para sus partes interesadas o stakeholders. COSO II define la gestión de riesgos corporativos de la siguiente manera: “La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda la organización y diseñado para identificar eventos potenciales que puedan perjudicar a ésta, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos”. La definición se caracteriza por: %% Proporciona seguridad. %% Ser un proceso continuo. %% Se orienta hacia la consecución de unos objetivos. %% Estar diseñada para identificar peligros potenciales y gestionar los riesgos. %% Se traslada a todos los niveles de la organización. En este ámbito, el modelo clasifica los objetivos de toda entidad en cuatro:

Objetivos estratégicos Son los objetivos generados desde el mayor nivel de la empresa y están conectados con la misión y visión de la misma.

Objetivos operativos Los objetivos operativos son aquellos relacionados con la eficacia y eficiencia de las operaciones de la entidad, sin olvidar los relativos al desempeño y la rentabilidad.

Objetivos relativos a la información suministrada a terceros Son objetivos que perjudican a la efectividad del reporting de información suministrada.

Objetivos relativos al cumplimiento regulatorio Incluye cualquier objetivo relacionado con el cumplimiento, por parte de la empresa, de todos los requisitos legales, reglamentarios y normativos y aplicables. COSO II interrelaciona cada uno de los objetivos antes descritos con los ocho elementos que lo llevan a cabo y que más arriba definimos. En último lugar es necesario nombrar los beneficios que aporta la aplicación de este modelo, cabe destacar: %% Ayuda a las exigencias normativas en la gestión y control de riesgos. %% Permite una respuesta más rápida y mejor a los cambios del entorno, a los mercados y a las partes interesadas.

Los 50 EXCELENTES de ISOTools en 2015

35

VOLVER AL ÍNDICE

09 %% Permite obtener un conocimiento íntegro de los riesgos de la organización. %% Mejora la reputación de la organización. %% Aumenta la probabilidad de éxito en la implantación de la estrategia. %% Proporciona un notable aumento de la credibilidad y confianza entre los mercados y grupos de interés. %% Hace de la toma de decisiones un proceso más seguro. %% Asigna mejor y más eficientemente los recursos para la gestión de riesgos y oportunidades. %% Ofrece una gestión eficaz del control sobre los riesgos. %% Identificación proactiva y aprovechamiento de oportunidades. %% Permite prever mejor los impactos de los riesgos que afectan a una organización. Como hemos podido observar, COSO II se orienta a la gestión del riesgo, materia que preocupa en el mundo de la calidad. La norma ISO9001:2015 no nos impondrá a usar ninguna metodología para este tema, por lo que evaluaremos esta opción entre otras y adoptaremos la que más nos convenga.

Sistema de Gestión de la Calidad Tal vez sea una favorable alternativa la automatización del Sistema de Gestión de la Calidad basado en la norma ISO 9001. Para llevarlo a cabo hay mecanismos como el Software ISOTools que facilitan la implementación, mantenimiento y control de todo el sistema, incluyendo así la gestión de riesgos. Para saber más sobre los Sistemas de Gestión de la Calidad puedes visitar: https://www.isotools.org/normas/calidad/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/01/12/iso-90012015-coso-como-metodologia-gestion-riesgo/

Software de Integración de Sistemas de Gestión DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

36

VOLVER AL ÍNDICE

10

GESTIÓN DEL RIESGO

¿Qué contenidos debe tener un manual de calidad? Uno de las principales objetivos de la revisión de la familia de normas ISO 9001 fue la adecuación de la gran cantidad de documentación requerida a los resultados y objetivos de los distintos procesos de cada organización. En definitiva, lo que se pretendía era crear una mayor flexibilidad para la elaboración del proceso documental. El documento más importante del Sistema de Gestión de la Calidad es el Manual de Calidad, el cual constituye el fundamento principal de todo el sistema. En la norma ISO 9001:2008, y en concreto en el apartado 4.2.2, se especifican los contenidos mínimos que debe contener dicho manual: %% Alcance del Sistema de Gestión de la Calidad, incluyendo detalles y justificación de cualquier exclusión. %% Procedimientos documentados establecidos en el Sistema de Gestión de Calidad, o bien referencias de los mismos. %% Descripción de la interacción de los procesos del Sistema de Gestión de Calidad.

 ¿Qué es para qué sirve un Manual de Calidad? Básicamente, se trata de un documento corporativo que expone los aspectos principales del sistema de calidad implantado por la empresa. Si así lo desea la organización, puede adoptar la forma de documento público que se puede presentar a clientes reales o potenciales, proveedores y otros agentes interesados. Sus finalidades principales son comunicar los logros y objetivos en el ámbito de la calidad de la organización para que se conozcan sus intenciones y compartir conocimientos y experiencias en el ámbito tanto interno como externo. Por otro lado, el manual de calidad permite a la empresa realizar un ejercicio de transparencia, conformidad e implicación con la consecución de altos niveles de calidad y mejora continua de acuerdo a una serie de parámetros previamente establecidos.

Los 50 EXCELENTES de ISOTools en 2015

37

VOLVER AL ÍNDICE

10 Contenidos recomendables en el Manual de Calidad LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools. org/2015/04/02/ que-contenidos-debe-tener-un-manual-de-la-calidad/

Como hemos comentado, la norma establece una serie de contenidos mínimos. Sin embargo, dado el carácter público de este manual es recomendable completarlo y ampliarlo con el fin de que puedan darse a conocer, de la mejor forma posible, aspectos interesantes relativos a la visión, misión y valores de la empresa con respecto a la calidad. A continuación presentamos un esquema que puede tomarse como referencia de la estructura de los contenidos de un Manual de Calidad: %% Título, alcance y campo de aplicación. %% Introducción sobre aspectos básicos, valores y filosofía de la organización y del propio manual. %% Política y objetivos de calidad. %% Mapa de procesos de la organización. %% Descripción de la estructura de la organización, responsabilidades y autoridades. %% Enumeración y definición de los distintos elementos del sistema de calidad. %% Adicionalmente, también se puede incluir un apéndice.

Formato y estructura Este aspecto es bastante flexible y depende en gran medida del tamaño y complejidad de cada empresa y de los fines del documento, ya que algunas organizaciones deciden ampliar su utilidad más allá de documentar sus sistemas de gestión de la calidad. Cada organización, por lo tanto, puede decidir libremente el alcance y ambición de su manual, lo que lógicamente influirá en su estructura, aspectos recogidos y extensión. Dado que el Manual de Calidad es un documento que constituye la base de todo sistema de calidad, es importante que vaya un paso por delante y que no se límite únicamente satisfacer los requisitos de la norma, incluyendo aspectos relativos a las necesidades de los clientes y de la propia organización.

La Plataforma ISOTools facilita la automatización de la norma ISO 9001 en Sistemas de Gestión de la Calidad La Plataforma Tecnológica ISOTools facilita la implementación, automatización y mantenimiento de los Sistemas de la Calidad, ofreciendo así mismo soluciones eficaces a la elaboración y gestión de los procesos documentales, entre los que se incluye el Manual de Calidad. ISOTools está diseñado para hacer más efectivo el manejo de la documentación, mejorar la comunicación y reducir tiempos y costos. De esta forma se consigue un impacto real sobre la eficiencia, los costos y los resultados de la organización. Este software permite optimizar su  Sistema de Gestión de Calidad  basado en la  ISO 9001 como camino hacia la excelencia e integrar la norma ISO9001 con otras normas, como OHSAS 18001 e ISO 14001, de una forma sencilla gracias a su estructura modular. Puede ampliar información en el enlace: https://www.isotools.org/normas/calidad/

Los 50 EXCELENTES de ISOTools en 2015

38

VOLVER AL ÍNDICE

11

ANÁLISIS DEL CONTEXTO

ISO 9001:2015 Análisis del contexto interno y externo del SGC El estándar ISO 9001:2015 se centra especialmente en el análisis del contexto, tanto interno como externo. Concretamente, si echamos un vistazo a la ISO/DIS 9001 vemos cómo la norma muestra la necesidad de determinar las cuestiones internas y externas convenientes al propósito de la empresa y que pueden afectar a su capacidad para alcanzar los resultados previstos de su Sistema de Gestión de la Calidad. Asimismo, hace referencia a qué elementos pueden formar parte del contexto de la organización tanto interno como externo. El conocimiento del contexto externo puede verse facilitado al considerar cuestiones que surgen del entorno legal, tecnológico, competitivo, cultural, social, de mercado y económico. Por otro lado, cuando nos referimos al conocimiento del contexto interno puede verse facilitado al tener en cuenta cuestiones relacionadas a los valores, conocimientos y desempeño de la empresa.

Análisis externo Además de los factores que ya hemos mencionado, que aparecen en el ISO/DIS 9001, podemos tener en cuenta otros como: %% El progreso económico del país, desarrollo, relaciones internacionales, crecimiento, cambios demográficos y culturales… %% Principios tecnológicos como avances, descubrimientos… %% Factores relacionados con los grupos objetivos de la empresa en cuestión como cambios en las necesidades de los usuarios, cambios en las percepciones o expectativas de los usuarios, cambios derivados de demandas ciudadanas…

Los 50 EXCELENTES de ISOTools en 2015

39

VOLVER AL ÍNDICE

11 %% Aspectos y circunstancias inter-institucionales: orientaciones de modernización de la gestión pública, interacción con el ministerio… Para controlar y valorar estos factores podemos utilizar herramientas como el POAM (Perfil de Oportunidades y Amenazas del Medio). Hay que recordar que hasta el momento, ISO 9001 no exige ningún tipo de herramienta. Este mecanismo permite identificar y valorar las oportunidades y amenazas poderosas de la empresa. Según su impacto o importancia, un grupo estratégico podrá determinar si el factor en cuestión supone una oportunidad o amenaza para la organización. Se trata de una base que, para definirla, se deben seguir los siguientes pasos: %% Determinar aspectos que puedan ser posibles amenazas u oportunidades de la empresa. %% Reunir, por factores, dichos elementos. %% Clasificar el factor como oportunidad o como amenaza. %% Priorizar y calificar las oportunidades y las amenazas. %% Considerar el impacto que tiene la oportunidad y/o la amenaza en la empresa y su actividad. %% Reconocer amenazas y oportunidades de acorde a su impacto de negocio. Además de la matriz POAM podemos utilizar lo que se denomina análisis competitivo. Este análisis es un proceso que consiste en relacionar la empresa con su entorno. Es de gran utilidad porque sirve para identificar fortalezas y debilidades de la empresa, al igual que oportunidades y amenazas de su mercado objetivo. Para ello debemos conocer: %% El éxito y la naturaleza de los cambios que pueda tener nuestra competencia. %% La respuesta que pueda dar la competencia ante nuevos movimientos estratégicos de otras empresas. %% La adaptación y reacción de nuestros competidores ante posibles cambios en su entorno.

Análisis interno El contexto interno, factor a incluir en el Sistema de Gestión de la Calidad de ISO 9001 versión 2015, de una empresa está condicionado por unos factores esenciales, algunos expuestos más arriba, y que condicionan el desempeño de la misma. Entre estos factores podemos destacar: %% Procesos, funciones. %% Tecnología disponible. %% Recursos financieros. %% Leyes orgánicas. %% Recursos humanos. %% Cultura organizacional, compromisos, valores. %% Áreas relevantes. %% Estructura formal. %% Redes de comunicación, tanto formales como informales.

Los 50 EXCELENTES de ISOTools en 2015

40

VOLVER AL ÍNDICE

Responsable de Calidad: ¿Estás preparado para el futuro? Descargue este e-book gratuito

DESCARGAR AHORA

11 Las organizaciones, por un lado, se sirven de auditorías para evaluar el desempeño de la organización comparado con el de la competencia. Normalmente, el análisis interno de la empresa complementa y valida dicha evaluación con un estudio detallado del entorno y de su competencia. De otro lado, existen herramientas como el Perfil de Capacidad Interna (PCI) que se utiliza para analizar las fortalezas y debilidades en relación con las oportunidades y amenazas que le presenta el medio externo. El Perfil de Capacidad Interna o PCI aborda cinco categorías: %% Capacidad directiva. %% Capacidad competitiva. %% Capacidad financiera. %% Capacidad tecnológica. %% Capacidad de talento humano. La elaboración de un PCI pasa por una serie de pasos, estos son:

Recoger toda la información sobre todas las capacidades objeto de análisis Es importante conseguir y procesar información sobre cada una de las capacidades que van a formar parte del PCI.

Formar los grupos estratégicos. Los grupos estratégicos podemos formarlos de diferentes modos: %% Según la estructura organizacional. %% Por grupos estratégicos. %% Participación total. En relación a este último tipo se procede a desarrollar una encuesta general, haciendo partícipe a todos los miembros de la empresa. Los resultados de estas encuestas se analizan en grupos por áreas funcionales y se integran en un diagnóstico corporativo. Cuanto más amplia es la participación, mayor es la integración y el compromiso que existen con el plan estratégico.

Identificar fortalezas y debilidades Una de las tareas es que será imprescindible identificar todas las fortalezas y debilidades existentes en la organización. Una recomendación es desarrollar una tormenta de ideas, completa y exhaustiva, en la que formen parte todos los grupos estratégicos. Debido a que los componentes que participan en el diagnóstico estratégico conocen sobradamente a la empresa, con este ejercicio de tormenta de ideas las fortalezas y debilidades identificadas serán las más correctas.

Aglutinar las debilidades y fortalezas identificadas en directivas, financieras, competitivas, tecnológicas o de talento humano Calificar y priorizar las fortalezas y debilidades

Los 50 EXCELENTES de ISOTools en 2015

42

VOLVER AL ÍNDICE

11 Tras la lluvia de ideas, se deben seleccionar los factores claves que representen las fortalezas y debilidades de la organización. Normalmente se realiza un análisis de Pareto que nos permite identificar el 20% de los factores que explican el 80% de fortalezas y debilidades de la entidad. Si optamos por la encuesta general de la que hablábamos anteriormente, la priorización la podemos realizar mediante un análisis equilibrado de los resultados. La calificación será realizada usando la escala alta, media y baja. Si se realiza en grupo se deberá llegar a un consenso para obtener la calificación definitiva.

Considerar y calificar el impacto de las mismas en el negocio Interpretar la matriz identificando sus fortalezas y debilidades según el impacto en la empresa Estos son algunos ejemplos que las empresas pueden emplear para realizar el análisis del contexto y así responder a uno de los requisitos de la futura ISO 9001:2015, aunque existen otros. La organización es la que en última instancia tiene que decidir que mecanismo utilizar.

Sistema de Gestión de la Calidad Para realizar estas matrices existen herramientas que facilitan el trabajo y la interpretación de las mismas. Un ejemplo es el Software ISOTools, que cuenta con una aplicación específica para estas cuestiones y además permite automatizar el Sistema de Gestión de la Calidad ISO 9001, obteniendo ventajas y logrando resultados excelentes. Para saber más sobre los Sistemas de Gestión de la Calidad puedes visitar: https://www.isotools.org/normas/calidad/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/02/10/iso-90012015-analisis-contexto-interno-y-externo-sgc/

Los 50 EXCELENTES de ISOTools en 2015

43

VOLVER AL ÍNDICE

12

GESTIÓN DEL RIESGO

ISO 9001:2015, metodología COSO III para la gestión de riesgos La nueva norma ISO 9001:2015 habla especialmente acerca de la gestión de riesgos, que es una de las novedades más destacadas en los círculos profesionales de la calidad. En artículos anteriores hemos comentado de una de los mecanismos o metodologías que podremos emplear para llevar a cabo esta gestión, haciendo referencia a COSO I y COSO II. La tercera versión, COSO III, se publicó en el año 2013. Este renovado Marco Integrado de Gestión de Riesgos incluye novedades como estas: %% Aumenta la confianza en cuanto a la eliminación de riesgos y consecución de objetivos. %% Mejora la agilidad de los Sistemas de Gestión de Riesgos en su adaptación con los entornos. %% Aporta mayor claridad referente a la comunicación y la información. Dicho Marco Integrado COSO III, proporciona mayor cobertura de riesgos en las entidades. Las modificaciones más significativas son las que cuenta, desde COSO II son, estructuradas por componentes:

Entorno de control Nos encontramos con cinco principios que detallan: la importancia de la integridad y valores éticos, la importancia del modo de operar de la administración y su filosofía, la relevancia de contar con una estructura organizativa, una adecuada asignación de responsabilidades y el valor de las políticas de recursos humanos. %% Se aclaran las relaciones entre los elementos que componen el control interno para subrayar la relevancia del entorno de control.

Los 50 EXCELENTES de ISOTools en 2015

44

VOLVER AL ÍNDICE

12 %% Se incrementa la información sobre el gobierno corporativo de una entidad, apreciando diferencias en estructuras, requisitos, sectores y tipos de entidades. %% Se refuerza la supervisión del riesgo, así como la relación entre el riesgo y su respuesta.

Evaluación de riesgos %% Se amplía la categoría de objetivos de reporte. %% Se señala que la evaluación de riesgos incluye: identificación, análisis y respuesta a los riesgos. %% Se incluyen conceptos como velocidad y persistencia de riesgos, como criterios de evaluación. %% Se tiene en cuenta la tolerancia al riesgo en la evaluación de niveles aceptables de riesgo. %% Se considera el tipo de riesgo conectado a las fusiones, adquisiciones y externalizaciones. %% Se amplía la consideración de riesgo al fraude.

Actividades de control %% Se señala que las actividades de control vienen determinadas por procedimientos y políticas. %% Se tiene en cuenta el rápido cambio y la evolución de la tecnología. %% Se acentúa la diferenciación entre controles automáticos y controles generales de tecnología.

Información y comunicación %% Se puntualiza la importancia de la calidad de la información dentro del sistema de control interno. %% Se penetra en la necesidad de información y comunicación entre la entidad y terceras partes. %% Se exalta el impacto de los requisitos legales sobre seguridad y protección de la información. %% Se muestra el impacto de la tecnología y otros medios de comunicación en la rapidez y calidad del flujo de información.

Actividades de monitoreo y supervisión %% Se hace más clara la terminología, a través de la definición de dos categorías de actividades de monitoreo: evaluaciones independientes y evaluaciones continuas. %% Se ahonda en la relevancia del uso de proveedores de servicios externos y la tecnología. La administración de riesgos en la versión anterior era uno de los elementos básicos del control interno con el que podíamos alcanzar una eficacia y eficiencia de las operaciones, el cumplimiento de las leyes, normas y/o reglamentos y la confiabilidad de los reportes. Esto es porque el sistema de Gestión de Riesgos no es independiente del sistema de control interno, ya que se encuentran integrados. Esto se podría decir también en sentido inverso. COSO III se publica 9 años después de COSO II, una versión actualizada y mejorada. Esta revisión de la metodología admite cualquier cambio y mejora que se introdujeron en COSO II, salvo que los elementos quedan reducidos a cinco, por lo que dejan de hacer referencia explícita a:

Los 50 EXCELENTES de ISOTools en 2015

45

VOLVER AL ÍNDICE

12 %% Establecimiento de objetivos. %% Identificación de eventos. %% Respuesta a los riesgos. Sin embargo, el elemento correspondiente a evaluación de riesgos, sí admite de forma indiscutible que la dicha evaluación tendrá que incluir: %% Identificación de cada uno de los riesgos. %% Análisis de riesgos. %% Respuesta precisa a los riesgos. Asimismo, como elemento novedoso, se da protagonismo a conceptos como puede ser la tolerancia al riesgo en la evaluación de niveles aceptables de riesgo, y se incluyen otros como la velocidad y persistencia de los riesgos, siendo motivos para evaluar la criticidad de los mismos. Por otra parte, cuando se hablan de mejoras de este Marco actualizado, se manifiesta que se encuentra acompañado de dos nuevos documentos: el relativo al control interno de la información financiera externa (ICEFR) y los mecanismos de evaluación a utilizar para poder valorar la eficacia del control interno. Esto último parece olvidar que en 2006 COSO publicó el documento “Control Interno para la información financiera para pequeñas y medianas empresas cotizadas”, así como en 2009, la “Guía para la Supervisión de Sistemas de Control Interno”. Las empresas que se encuentren  trabajando con COSO tienen que saber que esta versión de la metodología de gestión de riesgos es la vigente en la actualidad, quedando derogadas las versiones anteriores, del mismo modo que las entidades al implementar ISO 9001:2015 quieran utilizar este mecanismo para aplicar la gestión de riesgos que exige la norma.

Sistema de Gestión de la Calidad Los Sistemas de Gestión de la Calidad suelen certificarse bajo el estándar ISO 9001, para conocer otras normas relativas a la calidad, puedes visitar: https://www.isotools.org/normas/ calidad/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/01/19/iso-90012015-metodologia-coso-iii-gestion-riesgos/

Los 50 EXCELENTES de ISOTools en 2015

46

VOLVER AL ÍNDICE

13

AUDITORÍAS

Cómo, cuándo y por qué realizar una auditoría de calidad La eficaz implantación de un Sistema de Gestión de Calidad en una organización requiere de técnicas y sistemas de control, que aseguren el cumplimiento de los requisitos necesarios para garantizar la calidad de los servicios o productos que se elaboran. La valoración de los Sistemas de Gestión de la Calidad suelen efectuarse a través de tareas rutinarias. Estas actividades se llevan a cabo de manera continua con el propósito de controlar, medir y valorar el desarrollo de los procesos empresariales. Sin embargo, en ocasiones es conveniente realizar una evaluación más específica, para certificar que las acciones y los resultados obtenidos a través de los procesos de calidad son los esperados, comprobar que el sistema de gestión se ejecuta según lo planificado y asegurar si el sistema es realmente eficaz para alcanzar los objetivos de  calidad definidos. Este análisis y valoración se realiza a través de una auditoría de calidad.

Tipos de auditorías Las auditorias de calidad deben ser comprendidas como una herramienta para la mejora de los Sistemas de Gestión de Calidad. A través de este procedimiento, se analiza si las empresas cumplen realmente con lo establecido en la norma ISO 9001 e identifica aquellos puntos o aspectos que deben ser mejorados para alcanzar los fines deseados. Para llevar a cabo esta valoración, se toman como referencia diferentes documentos, como los manuales de calidad, procedimientos u otros manuales y planes  que puedan resultar de interés, y se valoran conforme a una serie de criterios, que determinarán la conformidad o no conformidad de la auditoría. Las auditorias se pueden clasificar en base a diferentes criterios, como la calidad de los procesos o del producto. Sin embargo, lo más común es diferenciar las auditorías en función de si la persona encargada de este proceso pertenece o no a la empresa:

Los 50 EXCELENTES de ISOTools en 2015

47

VOLVER AL ÍNDICE

13 %% Auditoria interna. En este tipo de auditoría, es la misma empresa la encargada de revisar su sistema para verificar si cumplen, o no, con  lo establecido en los estándares ISO. Los responsables de llevar a cabo las tareas de recopilación y análisis de la información son, por tanto, trabajadores pertenecientes a la empresa. Para garantizar la objetividad de este proceso, es conveniente que la persona responsable de la auditoria no tenga relación directa con las actividades auditadas. %% Auditoria externa, en la que la evaluación la lleva a cabo una persona ajena a la empresa. Por norma general  la realiza una empresa contratada bien por la misma empresa, para que les ayude a detectar posibles déficits, desviaciones o  riesgos que puedan amenazar la eficacia del sistema de calidad.

Cómo y cuándo llevar a cabo una auditoría Con independencia de si el auditor es miembro interno o no de la organización, ésta persona debe tener la formación necesaria y disponer de los conocimientos mínimos para poder llevar a cabo la auditoría de manera eficaz, además de contar con los recursos y el apoyo necesario por parte de la organización. Por otro lado, para llevar a cabo esta evaluación, se debe seguir una serie de pasos que garanticen su correcto desarrollo. Así, lo primero será determinar el alcance de la auditoría  y establecer los métodos que se llevaran a cabo y los criterios que se utilizarán para el desarrollo de este análisis. Respecto a cuándo es más conveniente emprender este procedimiento, se pueden identificar cuatro momentos clave: %% En el momento que esté programada. En los planes de calidad y manuales, se debe establecer en qué momento concreto se llevarán a cabo las auditorías. Si se realizarán cada semestre, cada año, cada dos años, etc. %% Siempre que sea solicitado  y se considere necesario. En ocasiones son los clientes o los inversores quienes demandan este análisis. %% Siempre que se produzcan cambios importantes en el Sistema de Gestión de la Calidad. %% Cuando se detecten fallos y problemas de calidad y sea necesario valorar el origen de los mismos.

Por qué solicitar una auditoria. Ventajas Con independencia del tipo de auditoria que se lleve a cabo, este proceso puede ser demandado bien por la propia compañía que desee conocer la eficacia de su Sistema de Gestión de la Calidad, o por otros agentes, como inversores o  clientes. Pero ¿para qué solicitar una auditoria? ¿Qué ventas tiene? %% Asegura que se cumplen con todos los requisitos legales y con las condiciones establecidas en la normativa internacional ISO 9001 sobre Sistemas de Gestión de la Calidad. %% Analiza si existe cualquier tipo de deficiencia u omisión en la descripción de los procesos que se llevan a cabo. %% Identifica si las tareas se ejecutan conforme se redacta en el proceso, o si, por el contrario, no se tienen en cuenta las instrucciones dadas. %% Valora la actualización de los documentos, detectando aquellos que no han sido modificados y, por tanto, no reflejan la nueva forma de proceder.

Los 50 EXCELENTES de ISOTools en 2015

48

VOLVER AL ÍNDICE

13 %% Contribuye a la mejora continua de los procesos, al detectar los errores cometidos y poder introducir las rectificaciones y mejoras oportunas. %% Permite demostrar a terceros el cumplimiento y la eficacia del Sistema de Gestión de Calidad. %% Mejora la imagen de la compañía frente a clientes, proveedores e inversores o accionistas. %% Favorece la obtención del certificado de calidad.

ISOTools, el software que te ayuda a superar las auditorias ISOTools es un software diseñado para optimizar los Sistemas de Gestión de la Calidad, tanto aquellos basados en los estándares como ISO 9001 como aquellos otros basados en otros modelos de excelencia. Gracias a las funciones de ISOTools, el seguimiento y control de los requisitos necesarios para superar las auditorias es más sencillo y fácil. Además, ISOTools facilita otra serie de ventajas, como la mejora de la comunicación interna o una mayor rentabilidad.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/05/19/como-cuando-y-por-que-realizar-una-auditoria-de-calidad/

Software para Sistema de Gestión de la Calidad

Ada la n ptado u 900 eva ISOa 1:20 15

DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

49

VOLVER AL ÍNDICE

14

INDICADORES

Principales indicadores de evaluación del desempeño El Balanced Scorecard: una herramienta metodológica para evaluar el desempeño Una de las principales herramientas metodológicas con que cuentan las empresas para traducir la estrategia en un conjunto de medidas, ligadas a objetivos concretos y con visión de conjunto, que ayudan a monitorizar el desempeño de una organización es el Balanced Scorecard (BSC). Además de favorecer la administración de la compañía,  si se implementa de la forma adecuada y siguiendo las etapas correctas con el BSC es posible conseguir otra serie de ventajas como: %% Lograr que los empleados se alineen con la visión de la empresa. %% Comunicar de forma efectiva a todo el personal los objetivos corporativos y la forma de cumplirlos. %% Redefinir la estrategia en base a resultados. %% Traducción de la visión y estrategias en acciones concretas. %% Favorecer la creación de valor futuro. %% Mejorar la capacidad de análisis y la introducción de unos indicadores cuantificables y útiles. %% Mejorar el desempeño laboral, la rentabilidad y la productividad individual y colectiva.

¿Qué es el desempeño y cómo se mide? Definido de una forma muy general, el desempeño es la forma en que lo trabajadores realizan su trabajo. Para evaluarlo se utilizan una serie de indicadores (indicadores de desempeño) que sirven para analizar factores como: rendimiento, productividad, habilidades organizativas, capacidad de liderazgo y de trabajo en equipo, etc.

Los 50 EXCELENTES de ISOTools en 2015

50

VOLVER AL ÍNDICE

14 Por lo tanto,un indicador de desempeño es la expresión cuantitativa construida a partir de una serie de variables objetivas y medibles que proporcionan un medio sencillo y fiable para medir logros, reflejar los cambios vinculados con las acciones del programa y monitorear resultados.

Indicadores estratégicos e indicadores de gestión Los indicadores pueden ser de dos tipos: indicadores estratégicos e indicadores de gestión.

Indicador estratégico Las principales características de un indicador estratégico son: %% Miden el grado de cumplimiento de los objetivos de las políticas de las empresas. %% Contribuye a corregir o fortalecer las estrategias y la orientación de los recursos. %% Impactan de manera directa en las estrategias y áreas de enfoque de las organizaciones.

Indicador de gestión  Se considera que un indicador es de gestión cuando: %% Mide el logro de los procesos y actividades y los avances conseguidos. %% Incluye datos sobre actividades y componentes.

Ejemplos de indicadores Para cada perspectiva del BSC (financiera, del cliente, interna o de innovación y aprendizaje) se utilizan unos indicadores diferentes. Estos son los más utilizados: Perspectiva financiera %% Cuota de mercado. %% Crecimiento de los ingresos. %% Tasa de beneficios. %% Retorno de la inversión. %% Valor económico agregado. %% Rentabilidad sobre capital empleado. %% La gestión de costes de funcionamiento. %% Coeficiente de explotación y las tasas de siniestralidad. %% Objetivos corporativos. %% Supervivencia. %% Rentabilidad. %% Crecimiento. %% Ahorro de costes de proceso. %% Aumento del retorno sobre los activos. %% Crecimiento de las ganancias. %% Flujo de caja.

Los 50 EXCELENTES de ISOTools en 2015

51

VOLVER AL ÍNDICE

10 pasos para realizar la transición de ISO 9001:2008 a la nueva versión ISO 9001:2015 Descargue este e-book gratuito

DESCARGAR AHORA

14 %% Coeficiente de rentabilidad neta. %% Ingresos por ventas. %% Crecimiento en los ingresos por ventas. %% Reducción de costes. %% Precio de la acción. %% Crecimiento en los ingresos por ventas. %% Reducción de costes. %% Precio de la acción. %% Rentabilidad de los fondos de los accionistas. Perspectiva del cliente %% Índice de satisfacción del cliente. %% Índice de reincidencia en las compras. %% Cuota de mercado. %% Entregas a tiempo. %% Cantidad de quejas. %% Tiempo medio para procesar los pedidos. %% Pedidos devueltos. %% Compras efectuadas por nuevos clientes. %% Valor percibido del dinero. Perspectiva interna %% Mejoras en la eficiencia. %% Reducción de los costes unitarios. %% Reducción de residuos. %% Aumento de la utilización de la capacidad de los empleados. %% Aumento de la productividad. %% Porcentaje de productos defectuosos. %% Cantidad de residuos reciclados. Perspectiva de la innovación y aprendizaje %% Número de nuevos productos. %% Porcentaje en las ventas de nuevos productos. %% Inversión en capacitación. %% Número de habilidades estratégicas aprendidas. %% I + D como porcentajes de las ventas. %% Número de sugerencias de los empleados.

Los 50 EXCELENTES de ISOTools en 2015

53

VOLVER AL ÍNDICE

14 ISOTools: Software para Balanced Scorecard Con la Plataforma ISOTools es posible gestionar el Balanced Scorecard y los indicadores de desempeño asociados de manera sencilla y visual, consiguiendo optimizar la estrategia de su empresa hacia el logro de los objetivos definidos. Con este software es posible alinear los objetivos individuales de sus trabajadores y los de los distintos departamentos de manera que trabajen en un única dirección: la marcada por la misión, valores e intereses generales de su empresa.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/09/14/principales-indicadores-de-evaluacion-del-desempeno/

Software para Sistema de Gestión de la Calidad

Ada la n ptado u 900 eva ISOa 1:20 15

DESCÚBRELO

Software de Integración de Sistemas de Gestión DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

54

VOLVER AL ÍNDICE

15

ESTRATEGIA

ISO 9001:2015, desarrollo e implementación de la estrategia ISO 9001:2015 presenta unas novedades, las cuales tiene expectantes a los profesionales de ámbito de la calidad. El análisis del contexto de nuestra entidad es una de las novedades mencionadas anteriormente. Se considera razonable que sepamos no hacer bien las cosas, sino hacerlas adecuadamente. La estrategia de nuestra entidad tiene que estar incluida en nuestro Sistema de Gestión de la Calidad. Dicho enfoque estratégico incrementará la eficacia del sistema que estamos liderando, nos ayuda a estructurar nuestros objetivos principales y a concentrarnos en actividades que nos conducirán al cumplimiento de los resultados que deseamos obtener. Esto se produce gracias a que comprendemos y entendemos la situación en la que nos situamos. El entorno de una entidad está constituido por factores internos y externos y por otros diferentes aspectos que pueden perjudicar a la misma entidad, A los productos o servicios, a las inversiones y a las partes interesadas. El ISO/DIS 9001, en su párrafo 4.1 Comprender la organización y su contexto, determina:  “La organización debe determinar los factores internos y externos que son relevantes para su propósito y su dirección estratégica y que afecta a su capacidad para lograr el resultado deseado de su Sistema de Gestión de la Calidad”. Este apartado lo podemos traducir en que cualquier entidad tendrá que concentrarse en sus factores estratégicos internos y externos, en aquello que es relevante para su propósito y tienen que deshacerse de cualquier barrera que no permita alcanzar los resultados requeridos. Los factores internos los podemos identificar como, entre otros, la cultura organizacional, la estructura organizativa, directrices aplicables a la organización, los productos y servicios, normas, roles y responsabilidades, flujos de información, políticas y objetivos, activos, capacidades

Los 50 EXCELENTES de ISOTools en 2015

55

VOLVER AL ÍNDICE

15 de recursos y conocimiento, sistemas de información, procesos de toma de decisiones, etc. En cuanto a los factores externos los podemos identificar actitudes del consumidor, cuestiones climatológicas, factores sociales, la tecnología, políticas gubernamentales, impuestos, financiación, clientes, factores específicos del sector, guerras o conflictos, cuestiones monetarias, comercio internacional, entre otros. Se considera de bastante importancia que la entidad tenga claro e identifique cuáles son los factores a considerar en la implantación y planificación del Sistema de Gestión de la Calidad. En el caso de no tomar en cuenta o dejarnos atrás algún factor de los más importantes puede afectar a la capacidad de la empresa para alcanzar los resultados esperados. Algunos ejemplos de factores internos y externos que perjudican al Sistema de Gestión de la Calidad basado en la ISO9001 podrían ser: %% Clientes. %% Empleados. %% Proveedores. %% Inversionistas. %% Medios de comunicación. %% Competidores. En cuanto al análisis de contexto que propone ISO 9001:2015, supone una ayuda para tomar las decisiones estratégicas en la empresa con respecto al Sistema de Gestión de la Calidad. El proceso de trazado de la estrategia del Sistema de Gestión de Calidad engloba dos fases: desarrollo e implementación de la estrategia. Si nos centramos en el desarrollo de la estrategia tenemos que tener en cuenta estos cuatro elementos: %% Qué vamos a hacer, qué productos y servicios vamos a ofrecer. %% Para quién lo vamos a hacer, a qué clientes y mercados serviremos. %% Por qué los usuarios nos comprarán, qué ventajas competitivas tendremos. %% Dónde incidiremos, cuáles serán nuestros mercados prioritarios. Respecto a la implantación de la estrategia tenemos que tener en cuenta: %% Cómo vamos a conseguir lo anterior, es decir el qué, el para quién, el por qué y el dónde. En el momento de tomar en cuenta decisiones estratégicas podemos plantear una serie de cuestiones que nos posibiliten este proceso, dichas cuestiones pueden ser: %% ¿Qué factores externos sustentan nuestra estrategia y nuestro Sistema de Gestión de la Calidad según ISO 9001? %% ¿Cómo nos vemos en el futuro? %% ¿Qué medidas tendremos que emplear para evaluar la eficacia de nuestro Sistema de Gestión de la Calidad baso en la ISO 9001? %% ¿Qué criterios emplearemos para evaluar las oportunidades que tendrán nuestros nuevos productos o servicios?

Los 50 EXCELENTES de ISOTools en 2015

56

VOLVER AL ÍNDICE

15 %% ¿Qué valores orientarán a nuestro negocio? %% ¿En cuáles de nuestras áreas de mercado tendremos que prestar una mayor atención o invertir más recursos? %% ¿De qué modo el plan de implementación del Sistema de Gestión de Calidad que tenemos diseñado garantiza que los objetivos de la organización, de los procesos y personales dan apoyo a la estrategia? %% ¿Qué tipo de clientes nuevos tendremos y cuáles de los ya existentes permanecerán con nosotros? %% ¿Qué factores son los más significativos para nuestros clientes? %% ¿Qué factores representan para nosotros una ventaja competitiva? %% ¿En qué áreas nuevas de mercado habrá que prestar una mayor atención o invertir más recursos? Son cuestiones muy relevantes para que la empresa vaya hacia un buen tránsito. En post siguientes plantearemos algunos de los mecanismos que existen con el fin de conocer  el contexto de la entidad, puede que la más conocida para nosotros sea la matriz FODA (Fortalezas, Oportunidades, Debilidades y Amenazas), pero se pueden encontrar muchas más.

Sistemas de Gestión de la Calidad Podemos encontrar algunos mecanismos que dan la posibilidad de automatizar el Sistema de Gestión de la Calidad ISO-9001. Uno de estos mecanismos es el Software ISOTools que, gracias a su flexibilidad, funcionalidad, fiabilidad y accesibilidad, entre sus numerosas características, permite el trabajo de la gestión del sistema y elude pérdidas o errores en el mismo. Para saber más sobre los Sistemas de Gestión de la Calidad puedes visitar: https://www.isotools.org/normas/calidad/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/01/06/iso-9001-2015-desarrollo-implementacion-estrategia/

Software para Sistema de Gestión de la Calidad

Ada la n ptado u 900 eva ISOa 1:20 15

DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

57

VOLVER AL ÍNDICE

16

CALIDAD TOTAL

¿Cómo influye la calidad total en la productividad empresarial? La relación entre calidad y productividad Con anterioridad a las teorías de Deming, normalmente se había considerado que la calidad y la productividad tenían una relación negativa, considerándose que al aumentar la calidad se reducía la productividad. Esta reducción de la productividad se argumentaba porque el tiempo y recursos que se dedicaban a realizar las inspecciones reducía los esfuerzos directos en producción. Sin embargo, Deming se encargó de exponer por primera vez una relación positiva y directa entre calidad y productividad, demostrando que el incremento de la calidad reduce los costos por una reducción de errores, averías a solucionar y reclamaciones de los clientes, entre otras cuestiones. La calidad total o excelencia significa aportar valor al cliente, en forma de unas condiciones de uso del producto o servicio superiores a las expectativas que el propio usuario espera recibir. Si además se consigue un precio accesible, o menor al esperado por el cliente, hablamos de valor agregado, puesto que se le ofrece más de lo esperado en las mejores condiciones posibles. Por otro parte, la productividad es la relación entre la producción obtenida por un sistema productivo y los recursos utilizados. También puede definirse como la relación entre los resultados y el tiempo utilizado para obtenerlos, es decir, cuanto menor sea el tiempo que lleve a obtener el resultado deseado, mas productivo es el sistema. La relación entre calidad y productividad es muy directa, de ahí la necesidad de las organizaciones de contar con métodos eficaces de mejora, control, evaluación y medición de sus estrategias de mejora continua y de productividad. Para ello se utilizan indicadores objetivos de producción de unidades específicas y costos asociados de mano de obra, materiales, gastos en infraestructuras, etc.

Los 50 EXCELENTES de ISOTools en 2015

58

VOLVER AL ÍNDICE

16 ¿Cómo pueden las organizaciones fusionar productividad con calidad? Las organizaciones deben entender la productividad con calidad como una oportunidad para integrar sistemas y modelos mejora continua, tanto en el esquema organizacional como en los distintos circuitos y procesos, emprendiendo acciones de detección sistemática de errores y áreas mejorables. La productividad con calidad constituye una filosofía de trabajo que implica disciplina y constancia para conseguir mejorar los resultados y mantenerlos en el tiempo. Es necesario tener en cuenta múltiples factores que giran alrededor de un eje central: ofrecer satisfacción plena al cliente. Una de las mejores formas de ligar eficazmente productividad con calidad es consiguiendo una acreditación de un Modelo de Excelencia, puesto que además de conseguir reconocimiento por parte de los clientes, grupos de interés (steakholders) y la sociedad en general, la empresa entrará en un circuito de autoevaluación. Esto le permitirá detectar sus errores y necesidades a nivel de formación, capacitación y transformación de procesos.

Productividad y competitividad La productividad es, asimismo, un factor determinante para la competitividad de las empresas y, en un sentido más amplio y general, del  tejido empresarial de todo un país. Debe entenderse, por lo tanto, como el mejoramiento de la capacidad productiva y del entorno general, buscando la eficiencia, es decir, mejorando el producto, los salarios etc., a ser posible sin restar calidad a ningún otro indicador. Hoy en día una empresa no es productiva y competitiva si no cumple con calidad, producción, bajos costos, tiempos, estándares, eficiencia, innovación, nuevos métodos de trabajo, tecnología, y muchos otros conceptos que provocan que cada día el binomio productividad y competitividad sea más importante en el corto y medio plazo. Por lo tanto, en toda organización la productividad, competitividad y calidad son tres conceptos y procesos que van de la mano, constituyendo un trío de claves íntimamente ligadas para tener éxito en un entorno marcado por la globalización y la gran competitividad a todos los niveles.

ISOTools es la plataforma tecnológica que facilita la adaptación a los Modelos de Excelencia A través de la Plataforma Tecnológica ISOTools las organizaciones tienen a su alcance la evaluación constante de su adaptación a los diferentes Modelos de Excelencia. Las diferentes aplicaciones de las que consta ISOTools ayudan al análisis de la situación actual y los resultados a alcanzar, el establecimiento de prioridades, la puesta en marcha de acciones específicas y la evaluación de los resultados logrados.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/06/05/como-influye-la-calidad-total-en-la-productividad-empresarial/

Los 50 EXCELENTES de ISOTools en 2015

59

VOLVER AL ÍNDICE

Medio Ambiente y Energía.

17

VERIFICACIÓN

ISO 14001: La verificación en el Sistema de Gestión Ambiental En este texto vamos a hablar sobre el procedimiento desarrollado por la empresa para realizar la verificación de la norma ISO 14001 a la hora de implantar un Sistema de Gestión Ambiental.

Seguimiento y medición El objetivo que se persigue con la verificación en la norma ISO14001 a la hora de implementar un Sistema de Gestión Ambiental es la instauración de todos los procedimientos necesarios para poder medir, de forma segura y regular, todas las características que existen en las actividades y operaciones que puedan generar un impacto negativo sobre el medio ambiente. Además, se intenta fijar las normas que tienen que cumplirse para llevar a cabo la calibración y el mantenimiento de los distintos equipos de medición con los que cuenta la empresa. Los procesos de medición con los que cuenta la empresa deben reunir los suficientes parámetros para que sea fiable el seguimiento del cumplimiento de la legislación y el proceso de mejora continua. La empresa desarrolla uno o varios procedimientos en los que se deben contemplar todas las variables clave de las distintas actividades relacionadas con el correcto funcionamiento y los aspectos significativos de todas las instalaciones. Además, el proceso de medición y seguimiento debe quedar contemplado con el acondicionamiento de todos los controles operacionales que se llevan a cabo gracias a los aspectos significativos, es decir, el estado de las metas ambientales, los objetivos y el cumplimiento de los requisitos legales aplicables. La entidad o empresa es la encargada de elaborar los documentos que controlen el proceso de calibración y mantenimiento de los equipos de medida relacionados con las actividades que están sujetas a los procesos de seguimiento y medición. Los documentos especifican la periodicidad de los seguimientos, las mediciones y las calibraciones, además de la metodología empleada para llevarlas a cabo y los responsables de dichos procedimientos que deberán realizar un informe final. El periodo de tiempo en que se deben realizar los seguimientos y las mediciones debe ser coherente con los requisitos legales que se les pueden aplicar.

Los 50 EXCELENTES de ISOTools en 2015

61

VOLVER AL ÍNDICE

17 Los registros obtenidos por las empresas durante el proceso de seguimiento y medición de la norma ISO14001 deben incluir siempre el resultado de las mediciones y de las calibraciones que, en su caso, deberán contener como mínimo la calibración del equipo, la incertidumbre de las medidas realizadas y la identificación inequívoca del equipo utilizado para llevar a cabo la medición. Cuando la empresa utiliza sus propios medios para llevar a cabo la medida y el registro debe contener, además, todos los datos de su trazabilidad y los patrones aceptados. Si las medidas se realizan por parte de las entidades acreditadas tiene que obtenerse una evidencia de la acreditación para poder realizar análisis contrastados en todo momento. Por lo que en este caso, se toma por bueno el procedimiento de calibración y la trazabilidad de todos los patrones para llevar a cabo el análisis para lo que está acreditada la empresa. Los registros que se obtienen se utilizarán en la empresa para poder identificar los diferentes indicadores de comportamiento y usarlos a la hora de implementar las acciones correctivas y preventivas impuestas por la norma ISO-14001, estimando el cumplimiento de los objetivos y las metas del Sistema de Gestión Ambiental. Además podrán conocer si está mejorando el desempeño ambiental de la organización.

Evaluación del cumplimiento legal La organización tiene que llevar a cabo diferentes procedimientos para poder demostrar que cumple irrefutablemente con el compromiso de cumplir con todos los requisitos legales y otros requisitos legales que les son aplicables. La empresa debe realizar evaluaciones cada cierto tiempo con el fin de mantener todos sus registros actualizados con los resultados que va obteniendo. La evaluación del cumplimiento legal guarda mucha similitud en la norma ISO 14001 con el seguimiento y la medición, aunque se establecen necesidades diferenciadas en cada procedimiento para cada requisito que puede encontrarse documentado o no. Cuando los procedimientos de seguimiento y medición de la ISO 14001, se encuentran relacionados con los requisitos legales u otros requisitos, la empresa tendrá que poner especial atención en demostrar que cumplen todos los requisitos. Para ellos, se puede editar un formato que contenga toda la lista de requisitos legales y otros requisitos y contemplar todos los indicadores que te dicen cuándo, dónde y quién los ha verificado.

No Conformidad, Acción Correctiva y Acción Preventiva La organización tiene que establecer una sistemática que le facilite la identificación, la comunicación y la gestión adecuada de todos los fallos reales que se producen en el Sistema de Gestión Ambiental basado en la norma ISO14001, además de aplicar las acciones preventivas o correctivas, según sea el caso, para evitar o corregir los fallos potenciales. Una No Conformidad se puede entender como todo tipo de incumplimiento de lo exigido por cualquiera de los requisitos que genera el Sistema de Gestión Ambiental o que infrinja los principios en los que nos basamos. La forma de actuar ante una No Conformidad es la siguiente: la organización debe poner remedio a todos los daños ambientales producidos, además deberá solucionar las causas que generaron dicho daño (Acción Correctiva) y si es posible se debe evitar que tal situación se produzca nuevamente (Acción Preventiva).

Los 50 EXCELENTES de ISOTools en 2015

62

VOLVER AL ÍNDICE

¿Conoce los cambios y novedades de la nueva versión de ISO 14001? Descargue este e-book gratuito

DESCARGAR AHORA

17 La empresa tiene que disponer de uno o varios procedimientos escritos donde se describe el origen y la detección de las No Conformidad, el tratamiento que se les debe dar, y los análisis y las resoluciones de las no conformidades. Una vez realizado esto, la empresa puede establecer las Acción Correctiva y Acción Preventiva que estime oportunas, además de realizar el seguimiento necesario para comprobar la eficacia y comunicarla. Además, el registro de evidencias  se debe mantener ya que demuestra el cumplimiento de las pautas descritas.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/01/20/iso-14001-verificacion-sistema-gestion-ambiental/

Software para Sistema de Gestión Ambiental

Ada la n ptado 140 ueva IS a 01:2 O 015

DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

64

VOLVER AL ÍNDICE

18

DOCUMENTACIÓN

ISO 14001: Estructura de la documentación de un Sistema de Gestión Ambiental Cualquier entidad tendrá que crear, almacenar y mantener actualizada la totalidad de documentación que se estima necesaria para su Sistema de Gestión Ambiental (SGA) fundamentado en la norma ISO 14001. Habitualmente, la organización incluye en un manual de gestión ambiental, todos los elementos básicos e importantes del sistema. Dicho manual es el elemento básico del Sistema de Gestión Ambiental, y en él se describe las responsabilidades, obligaciones, el alcance del propio sistema, así como la estructura organizativa. Además, se recogen todos los recursos y métodos específicos, generales, conocimientos, procedimientos o todo aquel documento que desarrolle las exigencias del sistema o sea necesario para el mismo. Incluso, el manual incluirá la política ambiental, los objetivos y fines de la entidad. El manual responderá a la totalidad de preguntas ligadas con el Sistema de Gestión Medioambiental ya que en este documento se cuenta con toda la información importante y destacada para saber lo que se necesitaría hacer, el cómo, cuándo y a quién se le pueden pedir las responsabilidades al respecto. Toda la documentación tendrá que aparecer muy especificada, lo bastante como para describir los elementos referentes y centrales del SGA, sus interacciones y proporcionar orientación acerca de dónde obtener información más específica respecto a una operación puntual del Sistema de Gestión Ambiental basado en la ISO14001. Dependiendo de la entidad, la documentación se podrá guardar tanto en papel como en formato digital. Normalmente, la forma de estructurar la documentación del sistema es en forma piramidal.

Nivel I: Se conforma del manual del Sistema de Gestión Medioambiental. En dicho texto, se detalla la política ambiental y se utiliza como guía para así documentar las responsabilidades y funciones principales, especificar las relaciones del sistema, los objetivos generales y ofrecer orientación acerca de la documentación de referencia. En este escrito se reflejan la totalidad de los documentos que conforman el sistema y sirve de base para el desarrollo de los procedimientos específicos y generales.

Los 50 EXCELENTES de ISOTools en 2015

65

VOLVER AL ÍNDICE

18 Nivel II: En el segundo nivel de esta pirámide se encuentran los procedimientos. En este documento se detallan los métodos a aplicar y los criterios a seguir para alcanzar con los requisitos necesarios para implantar adecuadamente un SGA. Cada uno de los capítulos de este manual está desarrollado por uno o varios procedimientos, e incluso en cada capítulo se tiene que hacer referencia a los procedimientos que lleva a cabo.

Nivel III: En el tercer nivel se recogen los procedimientos específicos del sistema y orientaciones técnicas. Se trata de documentos de un nivel más concreto acerca de aspectos puntuales del funcionamiento del Sistema de Gestión Ambiental.

Nivel IV: Por otra parte, en este apartado se detalla toda la documentación que tiene que formar parte del SGA según ISO-14001 y que no se encuentra recogida en ninguno de los niveles anteriormente mencionados. Destacan los registros del Sistema de Gestión Ambiental que proceden del uso de los formatos incluidos en los procedimientos o planes de actuación (de auditoría, plan de formación, etc.). En el momento en el que se desarrollen los cuatro niveles de la empresa de la documentación del Sistema de Gestión Ambiental, se tiene que hablar acerca del control de la misma cuya responsabilidad cae en la misma empresa que tendrá que determinar y mantener al día uno o varios procedimientos con el fin de controlar la documentación de su SGA. Es necesario que la documentación de un Sistema de Gestión Ambiental fundamentado en la norma ISO14001 se encuentre localizada, se apruebe y revise cuando sea conveniente y retirada cuando se encuentre ambigua u obsoleta. La documentación tiene que identificarse fácilmente (nombre, número o referencia de los documentos), encontrarse accesible en el momento que se precise (distribuyendo copias en los lugares detallados), añadir fechas de edición, además de estar revisada y actualizada totalmente. En algunos casos, el archivo del documento ya antiguo sirve para satisfacer un requisito legal. En dicho caso, este texto tiene que identificarse de una manera adecuada. La organización tiene el deber de explicar los procedimientos a seguir para saber cómo se efectuará la distribución, revisión y aprobación, identificación y retirada de los documentos obsoletos. Un sujeto tiene que encargarse de esta gestión documental para revisar los textos y garantizar que no se contradicen con algún requisito o requerimiento de la norma y, posteriormente, llevar a cabo su aprobación. El archivo de los documentos se mantendrá, a lo largo de al menos tres años de vigencia del certificado ISO 14001, aunque alguno de ellos se quede en situación de desuso. Cualquier documentación que se produzca y genere como consecuencia de la aplicación de los procedimientos del Sistema de Gestión Ambiental que no establezca registros del sistema y aquella documentación externa que perjudique a la gestión ambiental, serán controlados, así como analizados. El fin que se persigue en el control de la documentación es determinar los controles necesarios para garantizar que los aspectos ambientales se trabajan correctamente, minimizando los impactos ambientales relacionados, identificando las actividades que pueda n ocasionar colisión con el medio ambiente tanto en los servicios como en los procesos de producción.

Los 50 EXCELENTES de ISOTools en 2015

66

VOLVER AL ÍNDICE

18 La organización tendrá que determinar las actividades y operaciones que se encuentren ligadas con los aspectos ambientales representativos para llevar a cabo un correcto control, de acuerdo con su política ambiental, objetivos y fines. Para contribuir a ello, la entidad podrá hacer uso de la lista de aspectos ambientales: %% Almacenaje. %% Vertidos. %% Uso de energía. %% Utilización de productos químicos. %% Riesgos de accidentes. %% Uso de agua. %% Generación de residuos. %% Uso de materias primas y empleo de recursos naturales. %% Emisiones atmosféricas. %% Contaminación y degradación del suelo. %% Otros (ruido, olores, vibraciones, impacto visual, biodiversidad, etc.). Continuamente, se tendrán que describir la manera en la que llevarán a cabo estas actividades y actuaciones para que los impactos ambientales que produzcan se pudieran considerar controlados o no lleguen a generarse. Para ello, se debería realizar una planificación, elaborar los criterios necesarios para decidir si se están desenvolviendo en base a lo planeado y determinar métodos de corrección. El control de las operaciones tiene que englobar a las operaciones de mantenimiento, así como a proveedores y subcontratistas en sus actividades ligadas a la organización en particular. Además, es importante que los procedimientos de control operacional se informen a cualquier proveedor y subcontratista, así como el mantenimiento de un registro de tal comunicación. Asimismo, si la organización ve necesario incluir a los proveedores y subcontratistas ambientales en el procedimiento de evaluación, tendrá que establecer los criterios medioambientales que se exigen y tener control del análisis y de su mantenimiento. Algunas actividades en las que se requiere un control operacional pueden ser: los vertidos, las emisiones atmosféricas, proveedores, subcontratistas, la gestión de residuos, el almacenamiento de productos químicos, etc.

Sistema de Gestión Ambiental Los Sistema de Gestión Ambiental que trabajan bajo la norma ISO 14001, se pueden gestionar de un modo ágil y eficaz a través de herramientas tecnológicas como ISOTools, para saber más sobre este tipo de Sistemas de Gestión puedes visitar el siguiente enlace: https:// www.isotools.org/normas/medio-ambiente/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/01/14/iso-14001-estructura-documentacion-sistema-gestion-ambiental/

Los 50 EXCELENTES de ISOTools en 2015

67

VOLVER AL ÍNDICE

19

AUDITORÍAS

ISO 14001: Procesos para la gestión de una auditoría de certificación Cuando una organización implementa un Sistema de Gestión Ambiental según la norma ISO 14001, debe tomar la última decisión de certificarlo ya que para ello, la organización debe solicitar la certificación al organismo acreditado para tal fin. En el momento en el que se ha seleccionado a la empresa certificadora, la organización debe definir un plan de alcance de la certificación solicitada, es decir, debe exponer el conjunto de actividades específicas que realiza durante los emplazamientos de la organización y bajo una gerencia muy bien definida. Igualmente, la organización tiene que comprometerse con la empresa certificadora a la hora de aprobar las medidas que hagan falta para que se pueda desarrollar la pertinente evaluación y utilizar la certificación que consiga de acuerdo con lo que establezca el certificador. Es importante también que la organización que solicita la auditoría facilite todos los datos requeridos por el certificador. Por ello, antes de efectuar la auditoría de certificación, la empresa certificadora tiene que ser consciente de: %% Los datos generales que hacen referencia a la empresa corporativa, es decir, el nombre, recursos humanos y técnicos, dirección, etc. %% La estructura general y el alcance del Sistema de Gestión Ambiental a certificar. %% Documentación de los elementos fundamentales del Sistema de Gestión Ambiental (manual, procedimientos y otros documentos). Cuando la documentación necesaria se encuentra en conocimiento de la empresa certificadora, ésta gestionará un plan de actividades de análisis y comunicará al solicitante la relación de miembros que conformarán al equipo auditor para que éste muestre su conformidad. La organización certificadora tiene que designar un equipo auditor competente para analizar toda la documentación recogida del solicitante y para desarrollar la auditoria en su nombre. La empresa de certificación en el momento de designar el equipo auditor debe asegurarse

Los 50 EXCELENTES de ISOTools en 2015

68

VOLVER AL ÍNDICE

19 de que disponen de las competencias técnicas para poder desempeñar su tarea de la mejor forma posible y que no presente ningún interés que pueda modificar su criterio y proceder de un modo parcial y diferenciador. La misión del equipo auditor, durante todo el proceso de auditoría, es examinar la estructura de la organización, los procedimientos de la misma y la política ambiental ya que deben confirmar que cumples con todos los requisitos aplicables dentro del alcance de la certificación y comprobar, de este modo, que los procedimientos se encuentran establecidos y permiten tener la confianza necesaria en su Sistema de Gestión Ambiental.

La auditoría ISO 14001 Para desarrollar la auditoría de certificación del Sistema de Gestión Ambiental basado en la norma ISO14001 se suele dividir en dos fases:

Fase I Por lo general, esta fase no se lleva a cabo en las propias instalaciones de la empresa solicitante ya que durante su ejecución se realizan principalmente funciones de revisión de la documentación del Sistema de Gestión Ambiental. Cuando se inicia esta fase, el solicitante entregará toda la documentación relacionada con el Sistema de Gestión Ambiental a la entidad certificadora para que ésta pueda reflexionarla con detenimiento. La revisión llevada a cabo por la empresa de certificación se encuentra encaminada a asegurar que el solicitante se ha identificado y evaluado todos sus aspectos ambientales de una forma adecuada, que posee de todas las licencias y permisos de carácter ambiental necesarios, el diseño de sus Sistema de Gestión Ambiental satisface su política ambiental, que ha realizado una auditoría interna y las revisiones por la gerencia se han realizado correctamente y responde a las comunicaciones importantes de las partes externas interesadas. Dependiendo de la empresa certificadora, durante esta primera fase pueden ser exigidos todos los registros las No Conformidades del sistema y registros de las revisiones por la dirección o de comunicaciones, para su evaluación detallada, aunque por lo general suele llevarse a cabo la Fase II.

Fase II El objetivo principal de esta etapa es identificar y recoger toda la información necesaria para realizar la auditoría y confirmar que el Sistema de Gestión Ambiental se encuentra conforme con todos los requisitos de la norma y se alcanzan los objetivos derivados de la política de la empresa. En esta etapa se tiene que realizar obligatoriamente en las instalaciones del solicitante y se analizará la implementación de todos los elementos de la norma, con excepción de los que ya se encuentren completamente auditados y de una forma satisfactoria durante la Fase I. El equipo auditor, después de una reunión inicial, visitará las instalaciones y centrará sus investigaciones en los siguientes aspectos: %% Reconocer los aspectos ambientales y la posterior determinación de su importancia. %% Métodos que aseguran el cumplimiento con los requisitos legales y otros suscritos por la organización.

Los 50 EXCELENTES de ISOTools en 2015

69

VOLVER AL ÍNDICE

19 %% Las metas y objetivos derivados del proceso de evaluación. %% El control operacional. %% La medición, seguimiento, información de resultados y la revisión frente a los objetivos y metas fijados. %% Determinar y analizar las no conformidades y la puesta en práctica de acciones preventivas y correctivas. %% Auditoría interna y revisión por la gerencia. %% Compromiso de la dirección con la política ambiental. %% Relacionar la política, los aspectos ambientales y sus impactos asociados, objetivos y metas, responsabilidades, programas, procedimientos, resultados de la actuación, auditorías internas y revisiones. Una vez finalizada la auditoria in situ, el equipo auditor tiene que mantener una reunión con la alta dirección de la organización antes de abandonar sus instalaciones. En esta reunión, se comentará o se dejará por escrito todos los resultados de la auditoría en lo que se refiere al cumplimiento por parte de la organización que formule las preguntas que crea oportunas sobre los criterios y las conclusiones en los que se basa el equipo auditor. Terminado el proceso de auditoría in situ, el equipo auditor tiene que hacer entrega a la entidad de certificación un informe donde se recojan todos los hallazgos referentes al cumplimiento por parte de la organización de todos los requisitos de la certificación.

Sistema de Gestión Ambiental Aunque no es obligatorio, la certificación ISO 14001 para el Sistema de Gestión Ambiental de la organización es un elemento diferenciador que permite distinguir a una empresa de un sector de su competencia. Para saber más sobre los Sistemas de Gestión Ambientales puedes visitar: https://www.isotools.org/normas/medio-ambiente/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/02/09/iso-14001-procesos-para-la-gestion-de-una-auditoria-decertificacion/

Los 50 EXCELENTES de ISOTools en 2015

70

VOLVER AL ÍNDICE

20

CERTIFICACIÓN

¿Cómo obtener la certificación de la nueva norma ISO 14001? La normativa ISO 14001 es una herramienta que permite a las organizaciones aplicar un sistema de Gestión Medioambiental (SGMA) para medir el impacto que generan sus productos y servicios en el entorno en el que operan. Este estándar internacional ofrece los requisitos necesarios para que la implantación de este tipo de sistemas de gestión se realicen de la forma más eficiente posible.

¿Cómo puedo obtener la certificación ISO 14001? La normativa ISO 14001 se ha actualizado a la versión 2015. Desde su última revisión, empresas de todos los sectores de la economía se han beneficiado con la implantación de un sistema de gestión de impacto medioambiental. No sólo ha significado aumentar el prestigio de las marcas en sus respectivos mercados y un mayor reconocimiento por parte de los consumidores. Internamente, también ha supuesto ventajas en cuanto al ahorro de costes, la integración de procesos de mejora continua y la puesta en marcha de políticas de salud y seguridad, aspectos sin duda vinculados al aspecto medioambiental. En términos generales, la versión 2015 de la norma supone profundizar en temas como la simplificación de la documentación respectiva, que en muchos casos es tan compleja que no puede llevarse a la práctica, además de poner el foco en los avances registrados por cada compañía y establecer una relación más estrecha con el sistema de gestión de calidad de la norma ISO 9001. Sin embargo, el proceso de certificación no sufrirá novedades significativas. Los pasos para obtener la certificación seguirán siendo los mismos que hasta el momento, salvo por las dos o tres acotaciones referidas en el párrafo anterior. Dichos pasos son en total ocho y pueden describirse de la siguiente manera:

Los 50 EXCELENTES de ISOTools en 2015

71

VOLVER AL ÍNDICE

20 1. Voluntad de certificarse: LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools. org/2015/09/27/ como-obtener-la-certificacion-de-la-nueva-norma-iso-14001/

Puede sonar obvio, pero sin el reconocimiento inicial de querer certificarse no hay garantía de que el proceso salga adelante. Y dicho reconocimiento implica unos motivos y unos objetivos concretos.

2. Planificación: Al reconocimiento le sigue la aplicación, que no es otra cosa que la estimación preliminar que se realiza sobre los aspectos medioambientales relacionados con la organización.

3. Formación y capacitación: El personal que realiza la valoración pertenece a la compañía y debe contar con la formación suficiente para llevar a cabo dichas tareas. Tiene que saber lo que hace, cómo lo hace y a través de qué indicadores evaluarlo.

4. Documentación: El sistema de gestión ambiental debe estar respaldado por documentos que describan los objetivos del mismo, la justificación y sus aspectos esenciales. Es una especie de referente teórico.

5. Puesta en marcha del sistema: Si en el apartado anterior se describía el proceso en un plano abstracto, ahora es el momento de llevarlo a la práctica. Es un momento clave, pues deben quedar implementadas todas las exigencias de la norma ISO 14001, así como el registro de los resultados obtenidos.

6. Auditoría interna: Tan pronto se ha puesto en marcha el sistema de gestión ambiental, ISO solicita la realización de una auditoría interna en la compañía, la cual va a confirmar o no el buen desarrollo de las prácticas implementadas. Esta auditoría también la realizan integrantes de la empresa o, en su defecto, miembros de consultoras contratadas para tal fin por la gerencia.

7. Auditoría externa: Si la auditoría interna arroja resultados positivos y confirma el buen desarrollo del ciclo de gestión ambiental, la siguiente etapa consiste en solicitar una nueva auditoría, esta vez externa y a manos de especialistas de ISO, que es la entidad certificadora.

8. Certificación y seguimiento: Si la auditoría externa también es favorable, la empresa tendrá la certificación en gestión medioambiental de la norma ISO 14001, la cual tiene una validez de tres años. Sin embargo, el equipo de certificación externa realizará anualmente visitas de seguimiento para comprobar el buen estado del sistema.

Utilidad del Sistema de Gestión Ambiental Un Sistema de Gestión Medio Ambiental (SGMA) contribuye, entre otras cosas, a dar cumplimiento a las leyes vigentes, al análisis de los principales riesgos en este terreno y a la definición de métodos de trabajo para alcanzar los objetivos. La herramienta de ISOTools permite enlazar la norma ISO 14001 con otras afines, como por ejemplo la ISO 9001, la ISO 27001 y la OHSAS 18001, además de facilitar el empleo del SGMA y su mantenimiento y seguimiento.

Los 50 EXCELENTES de ISOTools en 2015

72

VOLVER AL ÍNDICE

21

FORMACIÓN

ISO 14001: Los planes de formación para un Sistema de Gestión Ambiental Para implementar un Sistema de Gestión Ambiental fundamentado en la norma ISO 14001, la dirección tendrá que garantizar siempre la disponibilidad de recursos que faciliten establecer, implementar, mantener y mejorar dicho sistema. El término recursos lo podemos interpretar, dependiendo de la madurez del sistema, recursos humanos, conocimientos especializados, equipos de medida y control, servicios financieros, contratación de servicios externos, etc. Este ámbito de la norma ISO14001 cobra mucha importancia, por lo que en él se puede apreciar el verdadero interés de la dirección en el Sistema de Gestión Ambiental o SGA. Tiene que estar definidos documentalmente y con detalle por parte de la dirección de la organización los puestos relevantes, desde el punto de vista del Sistema de Gestión Medioambiental. La dirección definirá uno (ante pequeñas o medianas empresas) o varios representantes (frente a grandes o complejas organizaciones), los cuales, independientemente de diversas responsabilidades dentro de la entidad, tendrán perfectamente definidas y documentadas sus funciones, responsabilidades y límites de autoridad con el fin de: %% Garantizar día a día que el sistema sigue siendo conforme al modelo de esta norma internacional. %% Informar a la dirección acerca del grado de aceptabilidad con que funciona el sistema, para que ésta, a lo largo del proceso de revisión, pueda incluir mejoras. Se considera muy significativo que, aparte de definir adecuadamente las responsabilidades y funciones clave del SGA, la alta dirección comunique esto a la totalidad de sujetos que trabajen en la empresa o en su nombre. Por otro lado, la entidad tiene que realizar las acciones de sensibilización y formación necesarias con el fin de que todo el personal asuma sus funciones en el desarrollo del Sistema de Gestión Ambiental.

Los 50 EXCELENTES de ISOTools en 2015

73

VOLVER AL ÍNDICE

Responsabilidad Social Corporativa (RSC) Descargue este e-book gratuito

DESCARGAR AHORA

21 Los trabajadores o cualquier sujeto que realice tareas para la empresa tienen que poseer los conocimientos necesarios sobre los impactos ambientales que puedan ocasionar, para poder actuar adecuadamente en cualquier momento. Para ello, es necesario que el personal haya recibido formación adecuada. Todos los trabajadores de la entidad tienen que ser conscientes de la importancia de cumplir todas las obligaciones del Sistema de Gestión Ambiental, de los beneficios para el medio ambiente derivados de sus actuaciones, de los inconvenientes de no hacerlo, así como su papel como elemento integrante del sistema. Todos los puestos de trabajo no son iguales, existen unos puestos de trabajo llamados puestos clave. Según el nivel de responsabilidad en las decisiones a tomar o las actividades que puedan generar en relación con los impactos ambientales la entidad identificará esos puestos clave, cuya formación será más específica. Se considera necesario identificar cualquier necesidad de formación relacionada con los aspectos ambientales y el propio SGA, y analizar si los sujetos necesitan conocimientos y experiencia específica para llevar a cabo sus puestos. La entidad tiene que posibilitar la formación que identifique como necesaria para eliminar los impactos ambientales eludibles y tiene que mantener los registros asociados. La entidad, en el desarrollo de este apartado de la norma, ha de contar con una sistemática documentada que dé respuestas a: %% La manera de identificar las necesidades de formación del personal. %% La manera de documentar los métodos de formación seleccionados para cumplir con las necesidades detectadas y su alcance. La entidad se ocupará, aparte de definir los requisitos de formación y experiencia requerida para la realización de funciones que puedan influir en la gestión ambiental, asegurándose de que el personal que ocupa esos puestos cumple efectivamente con los requisitos necesarios. A los trabajadores o sujetos que trabajen en nombre de la entidad, se les tiene que comunicar: %% La política ambiental y la importancia de mantener una conformidad con ella y con los procedimientos y requisitos del Sistema de Gestión Ambiental. %% Los aspectos ambientales significativos, los impactos reales o potenciales asociados con su trabajo y las ventajas ambientales derivadas de su comportamiento, %% Su responsabilidad en el seno del SGA. %% Las consecuencias derivadas de la falta de cumplimiento de los procedimientos. De esta manera, cada sujeto sabrá en cualquier momento qué tiene que hacer en conexión con la gestión ambiental de la empresa, pudiendo verificarlo, comprobarlo e incluso corregirlo. La empresa, con el fin de poner en práctica los contenidos de este apartado de la norma, puede realizar un plan de formación que le ayude a llevar un control de las actividades formativas indicando los objetivos, tipos de formación, los plazos de consecución, el seguimiento, las fechas de control, colectivo receptos, recursos y la periodicidad de la actuación. La formación puede provenir de distintas fuentes. Entre los métodos de formación más destacados se encuentran los relacionados con el puesto de trabajo (formación directa por un

Los 50 EXCELENTES de ISOTools en 2015

75

VOLVER AL ÍNDICE

21 superior o a través de rotación de oficios de igual nivel y responsabilidad) o con los externos (sustitución temporal y conferencias, seminarios, cursos, etc.). La entidad tiene que establecer las vías de comunicación necesarias para garantizar que toda la información relacionada con sus aspectos ambientales y con el propio Sistema de Gestión Ambiental se transmite correctamente a todas las partes interesadas. En este punto hay dos tipos de comunicación en la empresa: la interna y la externa. Estos dos tipos de comunicación tendrán que quedar plasmados en uno o varios procedimientos, teniendo en cuenta la comunicación interna entre las distintas áreas, accionistas, departamentos, etc. de la empresa y la externa entre las partes interesadas (administración, sociedad, etc.), reparando en el alcance de ésta. Para que la información de naturaleza ambiental llegue a quien la precisa a fin de decidir o actuar en el seno de la empresa, se tienen que prever y hacer funcionar métodos de comunicación interna. El procedimiento o los procedimientos, en el caso que sean varios, que la empresa desarrolle para alcanzar con este objetivo tendrán que incluir el mecanismo por el que la empresa comunica internamente, a cualquier nivel, la información relativa a los aspectos ambientales y el Sistema de Gestión Ambiental. También, se tendrá que indicar cómo se conservarán evidencias de dicha comunicación, las que pasarán a ser registros del sistema.

SGA El Sistema de Gestión Ambiental o SGA es una importante herramienta, para saber más sobre estos sistemas puedes visitar: https://www.isotools.org/normas/medio-ambiente/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/01/07/iso-14001-planes-formacion-sistema-gestion-ambiental/

Software para Sistema de Gestión Ambiental

Ada la n ptado 140 ueva IS a 01:2 O 015

DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

76

VOLVER AL ÍNDICE

22

NOVEDADES

Cambios en la ISO 14001:2015 El éxito comercial de las compañías no tiene por qué entrar en contradicción con sus responsabilidades medioambientales. Por el contrario, son dos elementos que pueden llegar a complementarse como las piezas de un puzle. Con el fin de detallar la relación entre los dos conceptos, la Organización Internacional de Normalización (ISO) publicó en 2004 la norma ISO 14001, cuyo tema principal es la gestión ambiental de recursos y procesos y que, en la actualidad, es empleada por más de 285.000 organizaciones en todo el mundo. En líneas generales, se trata de cambios propuestos para que las empresas orienten sus actividades hacia un adecuado marco medioambiental. Sin embargo, dado que en el actual contexto han irrumpido con fuerza conceptos como el «marketing verde» o la «responsabilidad social empresarial», los representantes de ISO han tenido que implementar reformas que complementen los postulados incluidos en la primera versión de la norma. Esta nueva versión de la norma ISO 14001 se publicará en septiembre de este año y en ella se incluirán las siguientes novedades: %% La nueva versión incluirá los principios de la norma ISO 26000, que es una guía de Responsabilidad Social a través de la cual se espera generar un acercamiento con los principios de la Gestión Ambiental. %% Del mismo modo, la norma ISO 14000 se acercará al Reglamento EMAS, que es su equivalente en la Unión Europea en cuanto a soluciones factibles y mejoras reales de las actuaciones medioambientales. %% Se fortalece la gestión del riesgo en el plano medioambiental a través de una serie de herramientas y métodos de supervisión de los procesos. El objetivo es el buen empleo de los recursos naturales y la prevención de desastres. %% Asimismo, la versión 2015 de la norma permite un análisis más completo de los impactos medioambientales que pueden generar las prácticas empresariales y, a la vez,

Los 50 EXCELENTES de ISOTools en 2015

77

VOLVER AL ÍNDICE

22 informa de la importancia de que los miembros de las organizaciones trabajen en sintonía con los objetivos corporativos. %% Otro aspecto que se amplía es el cumplimiento del marco legal vigente por parte de las empresas, que están en la obligación de acoplarse a los requerimientos de orden local, regional y nacional en temas medioambientales. En este apartado también entran otros requisitos externos de carácter voluntario. %% La nueva versión también apuesta por una mayor implicación de los grupos de interés, es decir, de todos aquellos que intervienen en la conciliación de los intereses generados en torno a la preservación del medioambiente.

 El período de transición a la ISO 14001:2015 Una de las mayores preocupaciones de las empresas certificadas con ISO 14001:2004 radica en cómo se llevará a cabo el proceso de actualización a los postulados de la nueva versión, la cual entrará a operar en septiembre de este año. A continuación detallamos algunas consideraciones sobre la transición y otros aspectos a tener en cuenta en este proceso: %% Las empresas que ya tengan la certificación ISO 14001 disponen de un plazo de 3 años para hacer la transición a la versión 2015. Hasta que llegue ese momento, es necesario que, al menos, cuenten con los postulados de la 14001: 2008. %% La renovación del certificado no tendrá ningún coste adicional. Sin embargo, se trata de una decisión que puede sufrir modificaciones. %% Para iniciar el proceso de transición no es necesario que se efectúen simultáneamente las auditorías por parte de los expertos de ISO. Las empresas pueden actualizarse por su cuenta. Eso sí, es necesario advertir que esto puede traer gastos adicionales y la elaboración de calendarios adaptados a tal fin. %% Si una compañía desea saber qué tan lejos se encuentra de los requisitos incluidos en la nueva versión de la norma, se recomienda la contratación de un servicio de consultoría. El diagnóstico que arroje dicho servicio ayudará a identificar las zonas o puntos más críticos de los procesos.

Mejora la Gestión ambiental de tu empresa con ISOTools Las nuevas tecnologías no sólo han facilitado la gestión de los procesos de calidad, también la de aquellos relacionados con el cuidado y respeto del medio ambiente. Herramientas como ISOTools, permiten un mayor seguimiento y control de los procesos que  relacionados con el medio ambiente y ayuda a las empresas a cumplir con la normativa y los requerimientos establecidos por la norma ISO 14000. Además, con ISOTools, adaptarse a los cambios establecidos en la nueva normativa es mucho más fácil y simple.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/07/22/cambios-en-la-norma-iso-140012015/

Los 50 EXCELENTES de ISOTools en 2015

78

VOLVER AL ÍNDICE

23

RECURSOS GRATUITOS

Manuales en PDF que te ayudan a implantar ISO 14001 en tu empresa El principal aporte de la norma ISO 14001 es proporcionar a las empresas una vertiente verde, es decir, de impacto medioambiental y sostenibilidad de los entornos en los que operan. Conocerla es fundamental para potenciar el carácter de responsabilidad social de las organizaciones.

La importancia de conocer los requisitos medioambientales En las últimas décadas ha quedado patente la necesidad de profundizar en las políticas globales de conservación del medioambiente. Los riesgos para el planeta son muchos, como la desaparición de especies animales, el aumento de enfermedades, la migración generalizada hacia ciertas zonas del mundo, entre otros. En la actualidad, ninguna empresa puede sustraerse a esta cuestión. Aun cuando su labor comercial no tenga una relación directa con el cuidado de los recursos naturales o la sostenibilidad de los entornos, es necesario que esté al tanto de los avances en torno a la normativa, las leyes, las iniciativas y las políticas cuyo círculo de aplicación sea de carácter local, regional, nacional o mundial. La norma ISO 14001 se encuentra a la vanguardia de los estándares sobre sistemas de Gestión Medio Ambiental (SGMA). Conocerla es, pues, un requisito indispensable, en especial para todas aquellas organizaciones comprometidas con el cuidado del medio ambiente, que desean contribuir a la sostenibilidad y el buen uso de los recursos naturales. Aquí te exponemos cuatro textos en formato PDF que te pueden interesar para profundizar mejor en el conocimiento de esta norma:

Los 50 EXCELENTES de ISOTools en 2015

79

VOLVER AL ÍNDICE

23 1. ‘Implantación de la norma ISO 14001 en las empresas’ Editado por el proyecto de participación ciudadana Línea Verde, el módulo 3 de este documento se centra en desglosar el proceso de implementación de dicha norma en cualquier empresa. Sin desconocer las singularidades de cada caso, explica detalladamente cuáles son los pasos esenciales para poder aplicar a un proceso de este tipo y obtener la certificación correspondiente. Al final, cierra con un apartado dedicado a los principales beneficios de un SGMA en empresas del campo financiero, de los seguros y de la Administración.

2. ‘Norma ISO 14001: Sistema de Gestión Ambiental El grupo consultor ACMS ha elaborado una guía con los principales aspectos de la norma en cuestión. Tras enunciar algunas consideraciones generales, avanza hacia los principales beneficios que supone en las empresas, aspectos claves, un listado de requisitos y, finalmente, la metodología de trabajo necesaria de cara a la certificación de los especialistas de ISO.

3. ‘Antecedentes y actualización de la revisión 2015’ Si aún desconoces cuáles serán las novedades introducidas en la versión 2015 de la norma ISO 14001 sobre gestión medioambiental, este documento elaborado por la British Estándar Institution (BSI Group) te acerca a ellas. Además de un repaso general por las características del estándar, el texto explora las razones que han llevado a una revisión de la última versión y especifica cuáles serán los cambios, desglosándolos en un esquema de cláusulas. Tras esto, el documento formula un escenario a corto y mediano plazo con algunas consideraciones para las empresas, anticipa algunos pasos del Comité de Evaluación de ISO en torno al tema medioambiental e incluye un calendario de transición de la norma que se prolonga hasta el año 2018.

4. ‘Novedades de la norma ISO 14001: 2015’ En el mismo sentido que el texto anterior, la entidad EQA enumera los cambios incluidos en la versión 2015 de la norma para luego abordarlos cada uno según su temática: contexto, comunicación transparente, tipo de lenguaje, desempeño empresarial, enfoque de ciclo de vida, entre otros. Para el cierre, el documento aclara las principales dudas sobre cómo será el proceso de transición para las organizaciones que hayan sido certificadas en gestión medioambiental en los últimos años y quieran adaptarse a la nueva versión. También para aquellas que se encuentren en proceso de implementación de un SGMA.

Consideraciones el sistema de Gestión Medio Ambiental El nuevo borrador de la norma ISO 14001 sobre Sistemas de Gestión Medio Ambiental (SGMA) plantea algunas modificaciones en relación a la presente versión. Conocerlos y evaluarlos es un requisito indispensable para poder llevar a la práctica las acciones que fomenten el desarrollo sostenido en las empresas. Existen herramientas informáticas que, además de facilitar la implementación de estas normas, ayudan a identificar los aspectos con un mayor impacto medioambiental en las empresas y plantean una estructura modular sencilla y comprensible para cualquier usuario.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/09/29/manuales-en-pdf-que-te-ayudan-a-implantar-iso-14001-entu-empresa/

Los 50 EXCELENTES de ISOTools en 2015

80

VOLVER AL ÍNDICE

24

RIESGOS AMBIENTALES

Cómo puede ayudar la ISO 14001 en la gestión de riesgos ambientales La norma ISO 14001:2015, de gestión medioambiental, sirve de guía y orientación para que las empresas puedan tener un conocimiento exhaustivo del impacto sobre el medio ambiente de cada una de sus actividades. El principal instrumento de este conocimiento es el diseño e implementación de un Sistema de Gestión Ambiental, el cual permite avanzar hacia un desarrollo sostenible donde el progreso y el beneficio económico convivan en equilibrio con el respeto y la conservación del medio ambiente.

La identificación de impacto ambiental La norma ISO 140012015 asesora a las empresas de cualquier sector y línea de negocio sobre cuáles son los distintos elementos a considerar para determinar los aspectos ambientales de sus diferentes actividades. Los  principales factores a tener en cuenta  para identificar las repercusiones sobre el medo ambiente de las distintas actividades de una empresa son los siguientes: %% Los procesos de producción de los productos y servicios, así como los cambios y las modificaciones que se produzcan. %% Determinación de las emergencias y situaciones inusuales susceptibles de tener lugar de forma razonable. %% La estructura organizacional, responsabilidades, prácticas y recursos que son necesarios desarrollar, implementar y mantener en la política ambiental. %% Los criterios y requisitos necesarios para auditar los sistemas de gestión ambiental. %% La norma ISO 14001:2015 garantiza que lo aspectos ambientales se identifican de forma exacta y que son relevantes para el negocio.

Los 50 EXCELENTES de ISOTools en 2015

81

VOLVER AL ÍNDICE

24 LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools. org/2015/12/07/ como-puede-ayudarla-iso-14001-en-lagestion-de-riesgosambientales/

Las empresas más interesadas en la adopción de esta norma son aquellas relacionadas, directa o indirectamente, con la generación de productos o servicios que interactúan, o pueden hacerlo, con el medio ambiente. Por ejemplo. los sectores químico y de la construcción pueden producir impactos muy negativos para el medio ambiente si no se identifican de forma correcta y se gestionan en consecuencia. No obstante, la necesidad de implantar una gestión medioambiental eficiente es común a todas las organizaciones, con independencia de su sector de actividad, puesto que, de forma progresiva y constante, las normativas de cada país aumentan sus exigencias ambientales.

Funcionamiento de la norma ISO 14001 La implantación de esta norma de divide en las siguientes etapas: 1) Revisión por la Dirección. Los máximos responsables de la empresa deben considerar la posible necesidad de cambios en la política, objetivos y otros elementos del Sistema de Gestión Ambiental, con el fin de lograr el compromiso de toda la organización en un mejoramiento continuo en este tema. 2) Definición de una política ambiental. La norma exige que la Dirección  de la compañía realice una declaración sobre sus intereses y principios en materia ambiental. 3) Planeación. En esta etapa, la norma ISO 14001 exige realizar una valoración de los aspectos ambientales de cada una de las actividades a las que se dedica la empresa. 4) Implantación y operación. Teniendo en cuenta todos los requisitos legales y normativos, se deben poner en marcha  las acciones preventivas necesarias, incluyendo la preparación y control de documentos relacionados con el medio ambiente y el control operacional. 5) Medición y seguimiento del desempeño. A través de los indicadores idóneos, se debe realizar una evaluación y verificación de los resultados, poniendo en marcha las acciones correctivas en caso de no conformidad con los resultados obtenidos. Esta etapa incluye: control de registros, auditorías internas y auditorías externas para obtener y mantener la certificación.

Principales ventajas de la adopción de la ISO 14001 %% Mejora de la imagen interna y externa de la empresa. %% Se potencia la innovación y la productividad su organización. %% Reducción de costos en la gestión de residuos. %% Eliminación de barreras a la exportación. %% Se facilita el cumplimiento de la legislación vigente, reduciéndose el riesgo de enfrentarse a litigios y sanciones. %% Se aumentan las posibilidades de obtener subvenciones y otras ayudas.

Software de automatización para ISO 14001 Con ISOTools es muy sencillo identificar y evaluar los aspectos del negocio que tienen un impacto en el medio ambiente. Además, la norma ISO 14001 es sencilla de implantar, mantener y automatizar con la Plataforma Tecnológica ISOTools, ya que esta se encuentra totalmente actualizada a la nueva versión.

Los 50 EXCELENTES de ISOTools en 2015

82

VOLVER AL ÍNDICE

Seguridad de la Información.

25

IMPLANTACIÓN

Cómo implantar eficazmente la norma ISO 27005 La norma ISO 27005 es el estándar internacional que se ocupa de la gestión de los riesgos relativos a la seguridad de información. La norma suministra las directrices para la gestión de riesgos, apoyándose fundamentalmente en los requisitos sobre esta cuestión definidos en la ISO 27001. Se trata de una norma  aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización y sustituye a las la normas ISO / IEC TR 13335-3:1998 e ISO / IEC TR 13335-4:2000 de Gestión de la Información y Comunicaciones Tecnología de Seguridad. El aumento en el uso de tecnologías de la información puede posibilitar brechas o fisuras en aspectos de seguridad con respecto a su utilización, por ello se hace necesaria una gestión de la información desde una perspectiva tecnológica a tres niveles: aseguramiento y control sobre la infraestructura (nivel físico), los sistemas de información (nivel lógico) y las medidas organizacionales (factor humano) desde la perspectiva tecnológica.

Metodología de aplicación Esta norma no recomienda una metodología concreta, puesto que dependerá de una serie de factores relativos a cada empresa que se plantee implantarla como por ejemplo: el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI) o el sector comercial de la propia industria. No obstante, como otras normas ISO y sistemas basados en procesos, un método considerado válido y, por lo tanto, recomendable es utilizar como base el modelo PHVA con la finalidad de establecer un proceso de gestión que se enfoque en la mejora continua siguiendo el siguiente esquema:

Los 50 EXCELENTES de ISOTools en 2015

84

VOLVER AL ÍNDICE

Responsable de Calidad: ¿Estás preparado para el futuro? Descargue este e-book gratuito

DESCARGAR AHORA

25 Planificar Se establecen los objetivos, procesos y procedimientos para el proceso de gestión de riesgos tecnológico, con el objeto de conseguir unos resultados acordes con las políticas y objetivos globales de la organización.

Hacer Corresponde a la implementación y operación de los controles, procesos y procedimientos e incluye la operación e implementación de las políticas definidas.

Verificar Se trata de evaluar y medir el desempeño de los procesos contra la política y los objetivos de seguridad e informar sobre los resultados.

Actuar  Consiste en establecer la política para la gestión de riesgos tecnológicos e implementar los cambios requeridos para la mejora de los procesos.

Los cuatro pasos de la implantación Basándose en el modelo anterior, una forma de implantar con éxito un Sistema de Gestión de Seguridad de la Información consiste en establecer una hoja de ruta basada en cuatro pasos:

1) Establecimiento de plan de comunicación interno y externo El plan de comunicación se debe realizar a nivel interno (áreas de la organización, empleados, directivos, socios) y externo (clientes, proveedores, entes reguladores), teniendo en cuenta las definiciones sobre la existencia del riesgo, los objetivos de la gestión, el informe de los avances del proceso y todo aquello que se considere necesario. Los medios a usar para comunicar el proceso de gestión dependen de las necesidades y disponibilidad de la organización.

2) Definición del contexto organizacional El objetivo de esta etapa es conocer a la organización para determinar qué puede afectarla a nivel interno y externo, qué elementos se requieren proteger y, de acuerdo a los recursos actuales, cómo podría darse esa protección hasta establecer un nivel de riesgo aceptable.

3) Valoración de los riesgos tecnológicos En la etapa de valoración de riesgos se identifican los activos que se quieren proteger y sus debilidades, así como las amenazas a las cuales se encuentran expuestos. En este punto se recomiendan posibles controles de mitigación de los riesgos.

4) Tratamiento de riegos tecnológicos En la etapa de tratamiento de riesgos se establece e implementan las acciones a llevar a cabo para mitigar los riesgos encontrados y lograr riesgos residuales aceptables por la organización. Dentro de las acciones a tomar encontramos principalmente: reducir, aceptar, eliminar y transferir.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/10/05/como-implantar-eficazmente-la-norma-iso-27005/

Los 50 EXCELENTES de ISOTools en 2015

86

VOLVER AL ÍNDICE

26

SEGURIDAD DE LA INFORMACIÓN

La familia de normas ISO 27000 La  Organización Internacional de Estandarización  (ISO) recoge un extenso número de normas dentro de la familia de ISO 27000. Cada norma tiene reservado una número dentro de una serie que van desde 27000 hasta 27019 y de 27030 a 27044. Vamos a realizar un repaso por todas las normas de la serie: Esta estandarización contiene las definiciones y los términos que se utilizarán durante toda la serie 27000. Para aplicar cualquier normativa necesita conocer un vocabulario perfectamente definido, por lo que así evitaremos cualquier mala interpretación de conceptos técnicos y gestión. Esta norma es gratuita a diferencia de las demás de la serie de normas que sí que suponen un coste para su implementación.

ISO 27001 La última versión de esta norma fue publicada en el año 2013. Es la norma principal de toda la serie ya que incluye todos los requisitos del Sistema de Gestión de Seguridad de la Información en las organizaciones. La ISO 27001 sustituye a la BS 7799-2 estableciendo unas condiciones de adaptación para aquellas empresas que se encuentren certificadas bajo esta última. En el Anexo A se enumeran los objetivos de control y los análisis que desarrolla la norma ISO27001 para que se puedan seleccionar las empresas durante el progreso de sus Sistemas de Gestión de Seguridad de la Información. La empresa podrá argumentar el hecho de no aplicar los controles que no se encuentren implementados ya que no es obligatorio.

ISO 27002 Es un manual de buenas prácticas en la que se describen los objetivos de control y las evaluaciones recomendables en cuanto a la seguridad de la información. Esta norma no es certificable. En ella podemos encontrar 39 objetivos de control y 133 controles agrupados en 11 dominios diferentes. Como se ha mencionado anteriormente, la norma ISO 27001 incluye un anexo que resume todos los controles que podemos encontrar en la norma ISO 27002.

ISO 27003 Es un manual para implementar un Sistema de Gestión de Seguridad de la Información y además, nos da la información necesaria para la utilización del ciclo PHVA (viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”) y todos los requerimientos de sus diferentes fases. El origen de esta norma se encuentra en el Anexo B de la norma

Los 50 EXCELENTES de ISOTools en 2015

87

VOLVER AL ÍNDICE

26 BS7799-2 y  en la serie de documentos publicados a lo largo de diferentes años con recomendaciones y guía de implementación.

ISO 27004 En este estándar se especifican las técnicas de medida y las métricas que son aplicables a la determinación de la eficacia de un Sistema de Gestión de Seguridad de la Información y los controles relacionados. Las métricas se utilizan para la medición de los componentes de las fases “implementar y utilizar” del ciclo deming.

ISO 27005 Esta normativa establece las diferentes directrices para la gestión de los Riesgos en la Seguridad de la Información. Se trata de una norma de apoyo a los conceptos generales que vienen especificados en la ISO 27001 y se encuentra diseñada para ayudar a aplicar, de una forma satisfactoria, la seguridad de la información basada en un enfoque de gestión de riesgos. Para comprender a la perfección esta norma es necesario conocer todos los conceptos, modelos, procesos y términos descritos en la norma ISO-27001 e ISO 27002. Dicha norma se puede aplicar a todo tipo de organizaciones que tienen la intención de  gestionar todos los riesgos que se puedan dar en la empresa en temas de seguridad de la información.

ISO 27006 Este estándar específica todos los requisitos para lograr la acreditación de las entidades de auditoría y certificación de Sistema de Gestión de Seguridad de la Información. ISO 27006 se trata de una versión revisada de la EA-7/03 (requisitos para la acreditación de entidades) que añade a la ISO/IEC 17021 (requisitos para entidades de auditoría y certificación de Sistemas de Gestión), los requisitos específicos de la ISO 27001 y los del Sistema de Gestión de Seguridad de la Información. Asimismo, esta norma ayuda a interpretar todos los criterios de acreditación de ISO/IEC 17021 cuando se aplican en organismos de certificación de la norma ISO 27001, pero no se trata de una norma de acreditación por sí misma.

ISO 27007 Es  un manual de auditoría de un Sistema de Gestión de Seguridad de la Información. Es un estándar Internacional el cual ha sido creado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

ISO 27011 Es una guía de gestión de seguridad de la información específica para telecomunicaciones Ha sido elaborada conjuntamente con la Unión Internacional de Telecomunicaciones (ITU).

ISO 27031 Es una guía de continuidad de negocio basada en las tecnologías de la información y las comunicaciones. Explica los principios y conceptos de la tecnología de información y comunicación (TIC), la preparación para que continúe el negocio, y la descripción de los procesos y métodos necesarios para señalar e identificar todos los aspectos que sirvan para mejorar la preparación de las TIC de una empresa con la finalidad de garantizar la continuidad del negocio.

ISO 27032 Es un texto relativo a la ciber-seguridad. Se trata de un estándar que garantiza directrices de seguridad que desde la organización ISO han asegurado que “proporcionará una colabo-

Los 50 EXCELENTES de ISOTools en 2015

88

VOLVER AL ÍNDICE

26 ración general entre las múltiples partes interesadas para reducir riesgos en Internet”. Más concretamente, ISO/IEC 27032 proporciona un marco seguro para el intercambio de información, el manejo de incidentes y la coordinación para hacer más seguros los procesos.

ISO 27033 Es una norma derivada de la norma de seguridad ISO/IEC 18028 de la red. Esta norma da una visión general de seguridad de la red y de los conceptos asociados. Explica las definiciones relacionadas y aporta orientación de la gestión de la seguridad de la red. Consiste en 7 partes: %% Gestión de seguridad de redes %% Arquitectura de seguridad de redes %% Marcos de redes de referencia %% Aseguramiento de las comunicaciones entre redes mediante gateways %% Acceso remoto %% Salvaguardia de comunicaciones en redes mediante VPNs %% Diseño e implementación de seguridad en redes.

ISO 37034 Es una guía de seguridad en aplicaciones.

ISO 27799 Se trata de un estándar de Gestión de Seguridad de la Información dentro del sector sanitario aplicado a la norma ISO 17799 (actual ISO 27002). Dicha norma no es desarrollada por el subcomité JTC1/SC27 sino que la lleva a cabo el comité técnico TC 215. Esta normativa define las directrices necesarias para apoyar la interpretación y la aplicación en la salud informática de la norma ISO 27002 y es un complemento a dicha norma. Esta especifica un conjunto detallado de controles y directrices de buenas prácticas para la gestión de la seguridad de la información por las empresas del sector sanitario.

SGSI Los Sistemas de Gestión  de Seguridad de la Información o SGSI, son un recurso que permiten a las organizaciones garantizar que todos los activos de la empresa están siendo manipulados adecuadamente y que no hay riesgos de fugas de información. Para saber más sobre otros sistemas de gestión de riesgo y seguridad puedes visitar: https:// www.isotools.org/normas/riesgos-y-seguridad/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/01/21/familia-normas-iso-27000/

Los 50 EXCELENTES de ISOTools en 2015

89

VOLVER AL ÍNDICE

27

SEGURIDAD DE LA INFORMACIÓN

ISO 27001: Pilares fundamentales de un SGSI El estándar ISO 27001  establece todos los requisitos necesarios a la hora de implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en cualquier tipo de empresa. La parte más importante de una empresa es la información. Evidentemente, la empresa contará con otro tipo de activos que también tendrán una destacada importancia, pero si la organización tiene algún problema en la Seguridad de la Información, ésta no podrá recuperarla. Esa es la principal razón por la que las empresas deben dedicar parte de su esfuerzo en garantizar la seguridad de la información corporativa. Habitualmente, la gestión de la Seguridad de la Información en una empresa se encuentra desorganizada, por lo que no cuenta con un criterio común, es decir, cada departamento de la organización cuenta con sus propios procedimientos y políticas, que han sido constituidas sin contar con las necesidades generales de la empresa e incluso podemos hablar de que se encuentran alejadas de los objetivos del negocio. Implementar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 es la manera más eficiente de poder conseguir la coordinación y gestión necesaria para alcanzar los objetivos de la organización y además puede conseguir que la organización salga mucho más reforzada. Un Sistema de Gestión de Seguridad de la Información según la ISO27001 genera una garantía con la que sabemos que poder realizar una adecuada gestión de la seguridad de la información en la organización. Para ello, se debe realizar un tratamiento según los diferentes niveles de riesgos cosechados como consecuencia de considerar los distintos efectos que se pueden producir sobre la información de la organización.

Los 50 EXCELENTES de ISOTools en 2015

90

VOLVER AL ÍNDICE

27 El Sistema de Gestión de Seguridad de la Información según la norma ISO-27001 genera un proceso de mejora continua y de gran flexibilidad frente a los cambios que se pueden producir en la empresa refiriéndonos a los procesos de negocio y a la tecnología, ya que ésta avanza a una gran velocidad. El SGSI se basa en tres pilares fundamentales: %% Confidencialidad: es la garantía de acceso a la información de los usuarios que se encuentran autorizados para tal fin. %% Integridad: es la preservación de la información completa y exacta. %% Disponibilidad: es la garantía de que el usuario accede a la información que necesita en ese preciso momento. El Sistema de Gestión de Seguridad de la Información tiene que tener en cuenta los tres pilares fundamentales para realizar el tratamiento de los riesgos de la organización ya que la implementación de los controles de seguridad son los activos de la organización. Sistema de Gestión de Seguridad de la Información Implantar un Sistema de Gestión de Seguridad de la Información se encuentra basado en la norma ISO-27001. Este estándar internacional presenta un sistema de gestión basado en el ciclo de Deming: Planificar, Hacer, Verificar y Actuar, cuyas siglas en inglés son PHVA. El ciclo Deming o ciclo PHVA,  supone la implementación de un Sistema de Gestión que se centra en la mejora continua que requiere de una constate evolución para adaptarse a los cambios que se producen en la organización e intentar conseguir el mayor nivel de eficacia operativa. Procedemos a describir todas las actividades que realizan en cada una de las cuatro fases del ciclo Deming (PHVA): %% Planificar: durante esta fase tiene lugar la creación de un Sistema de Gestión de Seguridad de la Información, con la definición del alcance y la política de seguridad. Para comenzar debemos realizar una análisis de riesgos que refleje la situación actual de la entidad. Una vez realizado el análisis obtendremos unos resultados que definirán el plan de tratamiento de riesgos que conlleva la implementación en la empresa de unos controles de seguridad con el objetivo de mitigar los diferentes riesgos no asumidos por la dirección. %% Hacer: durante esta fase de la implementación nos centramos en el plan de tratamiento de riesgos, es decir, su ejecución. Se debe incluir la formación y la conciencias de los trabajadores de la organización en materia de seguridad y deben conocer la definición de métricas e indicadores que se utilizarán para evaluar la eficacia de los diferentes controles implementados. %% Verificar: esta fase conlleva la realización de diferentes tipos de revisión en los que se comprobarán la correcta implementación del Sistema de Gestión de Seguridad de la Información según ISO 27001. Para ello, se deben realizar auditorías internas independientes y objetivas, además de llevar a cabo una revisión global del Sistema de Gestión de Seguridad de la Información por la alta dirección de la empresa, persiguiendo el fin de marcarse nuevas metas a cumplir durante el próximo ciclo del SGSI. %% Actuar: El resultado obtenido de las revisiones debe quedar reflejado en la definición e implementación de las diferentes acciones correctivas, preventivas o de mejora con las que se consigue avanzar en la consecución del Sistema de Gestión de Seguridad de la Información siendo un sistema eficaz y eficiente. Para implementar un Sistema de Gestión de Seguridad de la Información  que se deben

Los 50 EXCELENTES de ISOTools en 2015

91

VOLVER AL ÍNDICE

27 utilizar las dos normas, es decir, la ISO 27001 en la que se describe el ciclo PHVA de gestión de sistemas y el estándar internacional ISO27002 en la que encontramos la guía de implantación de los diferentes tipos de controles de seguridad. La norma tiene 11 dominios diferentes de controles que pretenden cubrir todos los ámbitos de una entidad donde debe existir la seguridad de la información. Los dominios se encuentran divididos en 39 objetivos de control que, a su vez, abarcan 133 controles de seguridad. Se deben seleccionar los diferentes controles que se deben llevar a cabo para definir el plan de tratamiento de riesgos, se debe nutrir de los 133 controles que encontramos en la norma ISO 27002. El anexo A del estándar internacional ISO27001 engloba una lista con los diferentes controles que sirven de unión entre ambas normas internacionales.

SGSI La Seguridad de la Información en las organizaciones se ha convertido en un motivo de preocupación y compromiso. Para saber más sobre los Sistemas de Riesgos y Seguridad puedes visitar: https://www.isotools.org/normas/riesgos-y-seguridad/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/01/13/iso-27001-pilares-fundamentales-sgsi/

Software para Sistema de Gestión de Seguridad de laInformación DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

92

VOLVER AL ÍNDICE

28

RECURSOS GRATUITOS

4 documentos en pdf para aprender sobre seguridad informática La seguridad informática es una rama de la ingeniería de sistemas que se encarga de coordinar acciones para proteger la integridad y la privacidad de la información que ha sido almacenada en un sistema informático. La normativa ISO 27001 se encarga de plantear prácticas para la implementación de sistemas que permitan mitigar los riesgos a los que se exponen dichos sistemas.

¿En qué consiste la seguridad informática? Proteger la integridad de la información no sólo es una cuestión de almacenamiento. Está bien ordenarla y clasificarla, pero no es suficiente. Las amenazas que rondan a los datos tienen estrategias sofisticadas. Los virus informáticos, por ejemplo, son programas dañinos que se instalan en la memoria RAM de los ordenadores del usuario e impiden el normal acceso a la información que allí reposa. También están los denominados hackers o profesionales del saqueo informático, que se encargan de bloquear los sistemas para acceder a bases de datos confidenciales y usar dicha información para fines desconocidos. Todas las empresas tienen información de carácter confidencial. En mayor o menor medida, las empresas  deben poner en marcha sistemas de protección para no verse afectadas por estos sofisticados programas de saqueo, sobre todo cuando la información implica un elemento importante dentro de sus actividades comerciales. Cualquier sistema de seguridad informática que se ponga en marcha en una empresa u organización debe apuntar a cuatro principios básicos:

1. Confidencialidad: Habla del carácter privado de los datos almacenados en un sistema informático. Es especialmente aplicable cuando los equipos operan físicamente distantes del centro de operaciones de la empresa.

Los 50 EXCELENTES de ISOTools en 2015

93

VOLVER AL ÍNDICE

28 2. Integridad: LEE ESTE ARTÍCULO EN EL BLOG https://www. isotools.org/2015/09/22/4-documentos-en-pdf-para-aprender-sobre-seguridad-informatica/

Se refiere a la validez y la consistencia de la información. Los sistemas deben, por lo tanto, evitar duplicidades y velar por una buena sincronización.

3. Disponibilidad: Se trata de la continuidad de acceso a los datos por parte los usuarios. El objetivo es velar por la permanencia del sistema informático.

Algunos PDF’s sobre la seguridad informática Para conocer más de cerca todo lo relacionado con la seguridad informática y el buen tratamiento de los datos y la información, existen algunos textos que pueden ayudarte a ampliar tus conocimientos. Reseñemos cuatro de los más destacados:

1. ‘Seguridad Cibernética en América Latina y el Caribe’ Editado por la Organización de Estados Americanos (OEA), este texto habla de las tendencias en materia de seguridad informática en los países de América Latina y el Caribe. Dedica un apartado al planteamiento de prácticas efectivas para luchar contra hackers y otras amenazas y especifica el grado de protección en el que se encuentran 29 países de la zona.

2. ‘Seguridad informática: mitos y realidades’ Este texto es de la Asociación Latinoamericana de Profesionales de la Seguridad Informática (ALAPSI) tras la VII reunión de responsables en el área, que tuvo lugar en la ciudad de San Pedro Sula (Honduras). Habla de la relación entre los sistemas de seguridad informática e Internet y plantea soluciones efectivas que provienen de las nuevas tecnológicas. A la vez, desmonta algunos mitos que en la actualidad impiden que muchas empresas se sumen a la lucha generalizada contra los sistemas piratas y de robo de información.

3. ‘Gestión de incidentes en Seguridad Informática’ Tras realizar un repaso general del tema, el proyecto AMPARO pone el foco en cómo gestionar los incidentes que se puedan presentar en torno a la seguridad informática. Para ello, enuncia una serie de procesos y esboza recomendaciones y modelos que pueden ser aplicados en las organizaciones ante incidentes de estas características.

4. Reporte se seguridad: América Latina 2015 Editado por el Laboratorio de Investigación de ESET Latinoamérica, este texto examina las principales preocupaciones de las empresas en los países de la zona y realiza un ejercicio comparativo entre unos y otros. Además, ahonda en el tipo de incidentes y en las medidas que tomaron las organizaciones para reducir los efectos negativos de virus y otros ataques informáticos. En el apartado final, los autores exponen los principales avances en la materia y esbozan un panorama general de la seguridad informática en un capítulo dedicado a las conclusiones extraídas tras el trabajo documental del reporte.

Función de los Sistemas de Riesgos Corporativos La seguridad informática hace parte de las actividades vinculadas a los Sistemas de Riesgos Corporativos. Este modelo de gestión está centrado en minimizar, reducir y, en la medida de lo posible, eliminar las principales amenazas a las que se exponen las compañías durante la ejecución de sus labores diarias. El uso de instrumentos software, como ISOTools, puede hacer más efectiva la coordinación e implementación de aquellas prácticas que promueven un sistema de seguridad informática.

Los 50 EXCELENTES de ISOTools en 2015

94

VOLVER AL ÍNDICE

29

RECURSOS GRATUITOS

ISO 27001: Pasos para la implantación de la política de seguridad y los procedimientos Durante la lectura de este post conocerá mejor cómo debe realizar una política o un procedimiento de seguridad en el momento de implementar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001. Gracias a la experiencia y a los conocimientos que tenemos sobre este tema, podemos mostrarle los pasos que se deben de seguir y que pueden ser utilizados en cualquier tipo de empresa, independientemente de su actividad o tamaño. Asimismo, se pueden aplicar a otros tipos de Sistemas de Gestión que no tienen por qué estar relacionados con el estándar ISO 27001. En primer lugar, debemos de estudiar los requisitos del sistema, es decir, tenemos que saber si hay alguna legislación que nos obligue a incluir algún elemento específico por escrito (como, por ejemplo, pudiera ser el contrato de un cliente). Igualmente, debemos conocer la legislación que nos influye y, sobre todo, los documentos con los que ya cuenta nuestra entidad. Sin olvidar, todos los requisitos de la norma ISO-27001, siempre y cuando se tenga la intención de cumplirlas. En segundo lugar, debemos tener en cuenta todos los resultados recibidos del análisis de riesgos que determinará todos los temas que se deben abordar en el documento -hablamos del grado-, es decir, es probable que sea necesario clasificar la información de acuerdo a la confidencialidad. Este último paso puede tener menor importancia dependiendo de si el procedimiento o la política no se encuentra relacionada con la seguridad de la información o la continuidad del

Los 50 EXCELENTES de ISOTools en 2015

95

VOLVER AL ÍNDICE

La norma ISO 27001: Aspectos clave de su diseño e implantación Descargue este e-book gratuito

DESCARGAR AHORA

29 negocio. Los principios de gestión de riesgos se pueden aplicar a distintas áreas de la empresa, como pueden ser: %% Gestión de la Calidad ISO 9001 %% Gestión Ambiental ISO 14001, etc. El siguiente y tercer paso es alinear y optimizar los documentos del Sistema de Gestión de Seguridad de la Información basado en la ISO 27001 ya que es fundamental conocer la cantidad total de documentos. Lo buen es administrar un solo documento, especialmente si el grupo de lectores se dirige al mismo. No es aconsejable redactar un documento de cien páginas ya que no se puede administrar de una forma coherente. Es importante tener en cuenta el cuidar minuciosamente la alineación de los documentos con otros que se encuentren redactados de forma muy similar, ya que es posible definir los temas que ya han sido definidos en otro documento. Por ello, es muy importante conocer si se debe ampliar el documento ya existente o redactar uno nuevo. En el caso de que tengamos que redactar un nuevo documento sobre un tema que ya se encuentre en otro, debes asegurarte de no repetirte y no escribir el mismo tema en los dos documentos. En este caso, sería una pesadilla actualizar los dos documentos. En el momento que sea necesario, es mucho mejor que un documento haga referencia a otro pero sin repetir lo mismo. El cuarto paso sería el de la estructura del documento, es decir, la empresa tiene que definir un formato para todos sus documentos, debe tener disponible una plantilla con las fuentes, los encabezados, los pies de página, la distancia en los márgenes y demás aspectos predeterminados. En el caso de que ya tenga implementada la norma ISO 27001, tiene que respetar el procedimiento para controlar los documentos. El tipo de procedimiento no define el formato en el que se debe encontrar el documento sino que genera las reglas para su aprobación, distribución, etc. El quinto paso será el de redactar el documento. El criterio que debemos seguir es que cuanto más pequeña sea la organización y menores los riesgos, menos complejo será el documento. No nos sirve de nada redactar un extenso y completo documento que nadie leerá. Las personas que lean el documento, le prestarán la atención adecuada en función del tiempo del que dispongan y la cantidad de líneas que se encuentre. Un buen sistema es involucrar a los empleados en la redacción o facilitándoles que aporten información a la hora de redactar el mismo. De esta forma, comprenderán lo necesario que es. El sexto paso es conseguir la aprobación del documento ya que, una vez que esté redactado, lo importante es que se apruebe el documento. Además, se debe conocer quién es la persona con suficiente poder en la organización para poder aprobar el documento. La persona con suficiente poder para aprobarlo debe comprenderlo, aprobarlo y requerir activamente su implementación. Parece un aspecto sencillo pero no lo es. Este paso es el que genera más fracasos durante la implementación. El último paso que debemos seguir es la capacitación y la concienciación de sus empleados. Este paso  puede ser el más importante pero, por desgracia, es el que más se olvida. Los empleados deben encontrarse mucho más involucrados en el proceso ya que si solo reciben cambios que le van a hacer trabajar más no lo van a recibir con el suficiente interés.

Los 50 EXCELENTES de ISOTools en 2015

97

VOLVER AL ÍNDICE

29 Por todo esto, es fundamental explicarles a los trabajadores por qué es necesaria la política de seguridad de la información o los procedimientos. Tanto es así que es importante no solo para la organización sino también para todas las personas que trabajan en ésta. De vez en cuando hace falta capacitar a los empleados ya que sería incorrecto que asumieran responsabilidades sin contar con la preparación y conocimientos necesarios. Aunque parezca que se ha llegado al final de la implementación de sus documentos, no es así. No es suficiente contar con una política de seguridad y un procedimiento perfecto, sino que lo más importante es mantenerlo. El documento debe ser actualizado y mejorado continuamente, y de eso, se tiene que responsabilizar alguien. Normalmente suele ser la misma persona que lo redacta. No es suficiente con contar con una buena plantilla para poder redactar los documentos necesarios, sino que se necesita un enfoque sistemático para poder contar con la política de seguridad o los procedimientos exitosos. Lo necesario es realizar un enfoque sistemático a la hora de llevar a cabo la implementación del Sistema de Gestión de Seguridad de la Información según la norma ISO-27001. Como conclusión debemos tener claro que el documento no es un fin en sí mismo, es solo una herramienta para poder realizar las actividades y los procesos sin problemas.

SGSI Los Sistemas de Gestión de Seguridad de la Información o SGSI garantizan la seguridad de la información de las organizaciones. Las empresas no solamente están sometidas a este tipo de riesgos, por ello os invitamos a visitar el siguiente enlace y conocer las diferentes normativas relacionadas con los riesgos y seguridad: https://www.isotools.org/normas/riesgos-y-seguridad/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/02/12/iso-27001-pasos-implantacion-politica-seguridad-procedimientos/

Software para Sistema de Gestión de Seguridad de laInformación DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

98

VOLVER AL ÍNDICE

30

RECURSOS GRATUITOS

Cómo implementar un Sistema de Gestión de Seguridad de la Información La ISO 27001 es una norma internacional que permite el aseguramiento de la confidencialidad e integridad de los datos y de la información de cualquier organización,  así como de los sistemas que la procesan. Esto permite a las organizaciones salvaguardar la información que custodian, sobre todo en la red y formatos digiales, evaluando objetivamente los riesgos y definiendo una serie de medidas para eliminarlos o reducirlos al máximo. En base a esta norma certificada, cualquier empresa puede establecer un sistema de seguridad, teniendo que seguir para ello los siguientes pasos:

Determinar la política a seguir Una vez la Dirección de la organización esté suficientemente involucrada y comprometida con el proyecto, el siguiente paso consiste en definir: %% El tipo de política de seguridad de la información que se quiere llevar a cabo. %% Objetivos y metas lo más concretos posible en materia de seguridad. %% Recursos a utilizar. %% Definición de responsabilidades.

Selección de un método para la evaluación y análisis de riesgos Es necesario elegir un modelo de evaluación de riesgos para conocer los peligros potenciales y de qué forma dichos riesgos pueden afectar a la información confidencial y los sistemas informáticos de la empresa. Finalmente, también hay que valorar la probabilidad de que ese peligro potencial se convierta en una realidad. Es importante que, a partir de ese modelo, la empresa sea capaz de:

Los 50 EXCELENTES de ISOTools en 2015

99

VOLVER AL ÍNDICE

30 %% Evaluar los riesgos relacionados con confidencialidad, integridad y disponibilidad. %% Determinar criterios que definan qué se entiende por riesgo aceptable. %% Estimar los diferentes niveles de riesgo y sus consecuencias asociadas. %% Determinar si los riesgos son aceptables o si requieren una acción siguiendo criterios de aceptabilidad previamente definidos. %% Valorar los costos de la eliminación de riesgos.

Definir acciones y objetivos para gestionar los riesgos El siguiente paso consiste en la definición de la acciones necesarias para contrarrestar dichos riesgos y su implantación. En este proceso se deben tener en cuenta los criterios de riesgos aceptables e inaceptables, así como obligaciones legales, regulatorias y contractuales.

Implementación de la ISO 27001 Tomando como base esta norma certificada se deben realizar, entre otras, las siguientes acciones: %% Una descripción de la gestión de riesgos donde se detalla la planificación de: acciones, recursos, responsabilidades y el orden de prioridad con respecto a la seguridad de la información. %% Un plan de gestión de riesgos para alcanzar los objetivos incluyendo la financiación y la asignación de funciones y responsabilidades. %% Las medidas necesarias para alcanzar los objetivos. %% Planes de capacitación de los profesionales. %% Implementación del sistema y gestión de los recursos.

Concienciación de los empleados y asignación de recursos Para implementar con éxito un Sistema de Gestión de Seguridad se deben asignar recursos suficientes, tanto económicos como de infraestructura técnica, personal y tiempo. También es importante que los empleados que trabajan con el sistema de gestión de seguridad de la información, por ejemplo con el mantenimiento del sistema, la documentación o la seguridad sean formados correctamente. Finalmente, todos los empleados deben estar suficientemente concienciados de los riesgos  y medidas para su prevención, poniendo todo de su parte para eliminarlos o minimizarlos.

Realizar controles internos Para garantizar que el sistema de gestión de seguridad de la información es efectivo y lo seguirá siendo el el futuro, la norma ISO 27001 incluye los siguientes requisitos: %% Ejecutar auditorías internas. %% La Dirección debe realzar evaluaciones periódicas del Sistema de Gestión de Seguridad la información para asegurar que el sistema permanece completo y, de forma paralela, facilitar los procedimientos para encontrar errores e implantar mejoras .

Los 50 EXCELENTES de ISOTools en 2015

100

VOLVER AL ÍNDICE

30 La Plataforma ISOTools facilita la automatización de la ISO 27001 La ISO27001 para los SGSI es un norma sencilla de gestionar de forma automatizada con la Plataforma Tecnológica ISOTools. Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad en la Información.  De manera complementaria, esta plataforma permite poner en práctica los controles establecidos en ISO 27002, así como los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/08/13/como-implementar-un-sistema-de-gestion-de-seguridad-de-la-informacion/

Software para Sistema de Gestión de Seguridad de laInformación DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

101

VOLVER AL ÍNDICE

31

ALTA DIRECCIÓN

ISO 27001: El papel de la alta dirección en un SGSI La implicación de la alta gerencia de la organización es uno de los principales componentes para poder implementar un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001. Desde un primer momento, tenemos que asumir que el Sistema de Gestión de Seguridad de la Información afecta a la gestión del negocio y requiere que todas las acciones futuras y las decisiones que se tomen solo las puedan desarrollar la alta dirección de la organización. No podemos considerar que el Sistema de Gestión de Seguridad de la Información o SGSI sea una cuestión meramente tecnológica o técnica de los niveles inferiores de la empresa sino todo lo contrario, la gerencia debe tener la responsabilidad de gestionar los riesgos y los impactos del negocio. Desde el punto de vista del alcance del Sistema de Gestión de Seguridad de la Información, el término dirección de la organización debe estar contemplado siempre. Las tareas fundamentales del Sistema de Gestión de Seguridad de la Información que ISO 27001 asignan a la dirección en que se detallan los siguientes elementos:

Compromiso con la dirección La alta dirección de la entidad debe comprometerse con la implementación, establecimiento, operación, monitorización, mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información. Para ello, se pueden llevar a cabo las siguientes iniciativas: %% Desarrollar una política de seguridad de la información. %% Garantizar el cumplimiento de planes y objetivos de Sistema de Gestión de Seguridad de la Información. %% Constituir roles y responsabilidades de seguridad de la información. %% Informar a la empresa la importancia de alcanzar los objetivos de seguridad de la información y de cumplir con la política de seguridad.

Los 50 EXCELENTES de ISOTools en 2015

102

VOLVER AL ÍNDICE

31 %% Designar todos los recursos necesarios para llevar a cabo el SGSI. %% Determinar todos los criterios de aceptación de riesgos y sus correspondientes niveles. %% Asignar los recursos suficientes para todas las fases del SGSI. %% Garantizar que se realizan todas las auditorías internas. %% Llevar a cabo revisiones periódicas del SGSI.

Asignación de recursos Para que se realicen todas las actividades vinculadas con el Sistema de Gestión de la Seguridad de la Información, es fundamental designar los recursos necesarios. Es tarea de la alta dirección la de garantizar que cuentan con los suficientes medios para: %% Operar, establecer, implementar, monitorizar, revisar y mantener el Sistema de Gestión de Seguridad de la Información. %% Poder asegurar que todos los procedimientos de seguridad de la información apoyan a los requerimientos de negocio. %% Detallar todos los requerimientos necesarios para cumplir con la legislación vigente. %% Suministrar todos los controles implementados de una forma correcta. %% Desarrollar todas las revisiones cuando sea necesario. %% Mejorar la eficiencia del Sistema de Gestión de Seguridad de la Información.

Formación y concienciación Para conseguir el éxito de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO-27001 es fundamental contar con dos elementos muy básicos como son la formación y la concienciación en Seguridad de la Información. Por ello, la alta gerencia de la organización debe garantizar que todos los empleados tengan sus responsabilidades asignadas y definidas en el SGSI. Por lo que se deberá: %% Decidir las competencias necesarias que debe tener cada trabajador de la empresa en función de las tareas que vaya a desempeñar. %% Complacer las necesidades mediante planes de formación. %% Analizar y evaluar la eficiencia de las acciones que ha desarrollado. %% Conservar todos los registros de estudios, formación, habilidades, experiencia y cualificación. La alta dirección tiene que garantizar que todos los empleados relevantes se involucren y se conciencien de la importancia de las actividades relacionadas con la seguridad de la información y el grado de contribución a la consecución de los objetivos del Sistema de Gestión de Seguridad de la Información.

Revisión de Sistema de Gestión de Seguridad de la Información La tarea que se le debe a signar a la alta dirección de la organización es que, al menos una vez al año, revise el Sistema de Gestión de Seguridad de la Información, para poder garantizar que continúa siendo eficaz, eficiente y adecuado. Para ello, la gerencia debe recibir una serie de información para ayudarle en esa toma de decisiones y entre ellas destacamos las siguientes:

Los 50 EXCELENTES de ISOTools en 2015

103

VOLVER AL ÍNDICE

31 %% Amenazas o vulnerabilidades que no sean trasladadas adecuadamente en evaluaciones de riesgos anteriores. %% Los resultados de las mediciones de eficacia. %% Resultados de las auditorías y revisiones del SGSI. %% Controlar todas las partes interesadas. %% Productos, técnicas o procedimientos que puedan ser útiles para mejorar el rendimiento y eficiencia del SGSI. %% Comunicar el estado de las distintas acciones preventivas y correctivas. %% El estado de las acciones iniciadas a raíz de las diversas revisiones anteriores de la dirección de la organización. %% Cualquier cambio que puede afectar al Sistema de Gestión de Seguridad de la Información. %% Obtener recomendaciones de mejora. Por otra parte, si nos centramos en todas las informaciones, la gerencia tiene que revisar el Sistema de Gestión de Seguridad de la Información y tomar las decisiones relativas y oportunas a: %% Enriquecer y desarrollar la eficiencia del Sistema de Gestión de Seguridad de la Información. %% Actualización del plan de tratamiento de riesgos y de la evaluación de riesgos. %% Cambiar los controles y procedimientos que afecten a la seguridad de la información. De esta forma, obtendremos como respuesta cambios internos o externos en los requisitos de los negocios. %% Necesidad de recursos. %% Mejorar la forma de medir la eficacia de los controles.

Sistema de Gestión de Seguridad de la Información Los Sistemas de Gestión de Seguridad de la Información pueden gestionarse a través de herramientas tecnológicas como ISOTools que cuenta con una serie de aplicaciones específicas para esta temática tales como evaluación de riesgos de seguridad de la información o aplicaciones de autodiagnóstico que dan la posibilidad de automatizar la implantación y mantenimiento de la norma ISO-27001. Para conocer más sistemas relacionados con los riesgos y la seguridad puedes visitar: https:// www.isotools.org/normas/riesgos-y-seguridad/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/02/04/iso-27001-papel-alta-direccion-sgsi/

Los 50 EXCELENTES de ISOTools en 2015

104

VOLVER AL ÍNDICE

32

SEGURIDAD DE LA INFORMACIÓN

ISO 27001: Seguridad informática y seguridad de la información A lo largo de este artículo veremos la diferencia que existe entre seguridad informática y seguridad de la información. La norma ISO 27001 nos posibilita conocer la seguridad de la información gracias a la implantación de un Sistema de Gestión de Seguridad de la Información.

Seguridad informática La totalidad de los especialistas en seguridad basan sus conocimientos y experticias sobre el aspecto técnico tradicional de la seguridad, esto es en las áreas IT, aunque bastantes de ellos consideran las cuestiones propias como el nuevo aspecto en las comunicaciones y que hace que actualmente se hable de TIC. Además de tener un enfoque técnico prácticamente, los especialistas únicamente se manejan con las vulnerabilidades y en parte con amenazas en forma de ataques, todo lo dicho no se considera suficiente para hablar de los riesgos correspondientes. Con el fin de establecer una evaluación de riesgos, se necesita realizar una evaluación a los activos, además de identificar cualquier amenaza que pueda aprovechar y explotar las vulnerabilidades de estos activos. Expuesto lo anterior, sí podemos realizar la determinación de los riesgos teniendo como referencia: %% Activos: con un rango de 5 a 8. %% Vulnerabilidades: rango de 3. %% Amenazas: rango de 3 a 5. En el caso de que más tarde se pretenda determinar qué hacer con los distintos riesgos, en el mayor número de casos se persigue mitigar hasta conseguir un nivel aceptable, por lo que habrá que implantar las medidas de seguridad que se consideren oportunas para tal efecto. Si encontramos riesgos con características técnicas, el enfoque más eficaz es llevar a cabo un

Los 50 EXCELENTES de ISOTools en 2015

105

VOLVER AL ÍNDICE

32 análisis gracias a los estándares técnicos o bien gracias a las normas internacionales, como la ISO 27002, en la que se realizan todos los controles necesarios y se determina el nivel en que se tiene que implantar para minimizar los riesgos que se encuentren a niveles aceptables. Hasta llegado este punto hablamos de seguridad informática. Este término es una traducción del inglés, information security, el sentido que recoge dicha problemática se aproxima más a términos como pueden ser “computer security” o network security”.

Seguridad de la información Estamos ante un proceso en que se está produciendo modificaciones, por lo que el término Seguridad de la Información está tomando una traducción más acertada sobre information security. Aunque aún hay muchos especialistas que siguen nombrándolo según el enfoque técnico que hemos comentado anteriormente. La Seguridad de la Información es muy extensa, por lo que no es sólo una cuestión técnica sino que supone una responsabilidad de la alta dirección de la empresa, así como de sus directivos. Tenemos que tomar en cuenta que el ambiente TIC está orientado al servicio y a la actuación en función de los procesos de negocio. Se diferencia de los procesos centrales de la misma empresa que constituyen el núcleo de los negocios de la empresa. En el caso de no involucrarse las unidades activas y los líderes de negocio, como podrían ser, ejecutivos, directivos, etc. de las entidades, no podrá existir un plan de Seguridad de la Información, a partir de todos los riesgos determinados. Todo ello se lleva a cabo en el seno del sistema de dirección y control propio del gobierno corporativo. Se tiene que considerar los sujetos, los procesos y las funciones de negocio, además de la protección de todos los activos/recursos de la entidad  impulsora, propietaria y beneficiaria de la Seguridad de la Información, dentro de un marco de responsabilidades compartidas. Se tienen que considerar la totalidad de los riesgos técnicos de TIC, además de que la seguridad se desarrolle por toda la empresa, es decir, son riesgos organizacionales, operacionales y físicos. Los riesgos operacionales son hoy en día más cruciales en lo referente a Seguridad de la Información. Las vulnerabilidades de este tipo de riesgo se expanden durante una amplia gama de grises, en conexión con el comportamiento humano y los juicios subjetivos de las personas, la resistencia al cambio, la cultura empresarial, la forma de comunicarse, etc. Establecer las distintas vulnerabilidades de una empresa es un proceso muy distinto a las mediciones o lecturas tomadas con los ordenadores, servidores, rúters, etc. como normalmente no se disponen de datos históricos suficientes, realizar un análisis exacto se hace muy complicado. El análisis es completado con información que se puede recabar y que corresponda con la información subjetiva surgida de las opiniones distintas. Dichas opiniones pueden ser identificadas y analizadas a través del método de investigación prospectiva, seguido muy de cerca por entrevistas personales que establecen el valor de estas opiniones. La evaluación de los activos no se encuentra al alcance de la mayoría de los técnicos. Los propietarios de los procesos de negocio son quienes pueden determinar un valor correcto de los mismos y de allí derivar a los valores de los activos que se utilizan en las distintas funciones que componen cada caso.

Los 50 EXCELENTES de ISOTools en 2015

106

VOLVER AL ÍNDICE

32 Seguridad de la Información y Seguridad Informática El desarrollo que se ha experimentado en cuanto a seguridad informática al de seguridad de la información, implica incrementar el campo de visión del marco de riesgos de negocio respectos a la perspectiva tradicional de seguridad técnica, fundamentada en las vulnerabilidades. En el entorno de la seguridad de la información los riesgos de negocio incluyen, no sólo las vulnerabilidades y las amenazas, sino que incluyen también el conjunto de factores que determinan los riesgos: %% Activos %% Vulnerabilidades %% Amenazas Los riesgos de negocio que incluyen los riesgos organizacionales, operacionales, físicos y de sistemas TIC. Podemos conseguir un enfoque completo de seguridad de la información en la parte en la cual se considera los recursos necesarios para minimizar los riesgos dentro de un plan de seguridad, no se puede considerar un gasto sino una inversión para la empresa. Solicita de un análisis y determinar de una manera cuantificable el retorno de las inversiones en seguridad.

Sistema de Gestión de Seguridad de la Información La implantación de un Sistema de Gestión de Seguridad de la Información  en las empresas supone un paso más para garantizar a los usuarios que la información manipulada por dicha empresa se realiza bajo la máxima seguridad. Para saber más sobre los Sistemas de Riesgos y Seguridad puedes visitar el siguiente enlace: https://www.isotools.org/normas/riesgos-y-seguridad/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/01/05/iso-27001-seguridad-informatica-seguridad-informacion/

Los 50 EXCELENTES de ISOTools en 2015

108

VOLVER AL ÍNDICE

Seguridad y Salud Laboral.

33

PLAN DE SEGURIDAD

¿Cómo elaborar un plan de seguridad y salud en el trabajo? OHSAS 18001 es una normativa de origen británico que contempla los requisitos para la adopción de un Sistema de Gestión de Seguridad y Salud en el Trabajo. Es decir, su principal objetivo es ayudar a las organizaciones a identificar los riesgos derivados de sus procesos internos e implementar soluciones preventivas.

¿En qué consiste un Plan de Seguridad? Entre los documentos más importantes con los que debe contar una empresa, el Plan de Seguridad Laboral ocupa un lugar destacado. En él se recogen las directrices para identificar y gestionar los riesgos ligados a la actividad comercial de cada compañía, ya sean riesgos internos o externos. También conocido como Plan de Riesgos Laborales, debe estar integrado en la gestión de cada organización y reflejarse en un documento escrito que sirva de consulta tanto para los miembros de la empresa como para terceras personas, por ejemplo los auditores, las autoridades sanitarias y los representantes de los trabajadores. El ítem fundamental para su desarrollo es la actividad de la empresa. No es lo mismo elaborar un Plan de Riesgos Laborales para una constructora que para una compañía de vigilancia. Las necesidades y los riesgos son distintos en cada caso. Los principales elementos que debe incluir dicho plan son: %% Identificación de la actividad productiva de la empresa. %% Estructura organizativa. %% Número de departamento y de trabajadores. %% Prácticas existentes para la gestión y prevención de riesgos y accidentes. %% Política y objetivos de la empresa en el área de prevención.

Pasos para la elaboración de un Plan de Seguridad Como hemos dicho anteriormente, el proceso de elaboración de un Plan de Seguridad varía en función de las necesidades y objetivos de cada empresa. Sin embargo, una lista estándar incluiría algunos pasos como los que mencionamos a continuación:

Los 50 EXCELENTES de ISOTools en 2015

110

VOLVER AL ÍNDICE

33 Definición de la Política de Seguridad: No basta con las buenas intenciones de las empresas. Es necesario definir una política corporativa en materia de prevención de riesgos y dejarla por escrito en un primer apartado del Plan de Seguridad. Es como una especie de introducción del documento definitivo.

Formación y toma de conciencia: Los trabajadores de la organización deben estar bien preparados para el proceso de elaboración del Plan de Seguridad. Sobre todo, deben tener claro qué es un riesgo laboral y cómo identificarlo en los procesos de la empresa. ¿Quién mejor que ellos mismos para saber cuáles son las principales amenazas?

Asignación de responsabilidades: Cuando el ciclo formativo haya concluido, los líderes del proceso deben asignar responsabilidades a los miembros seleccionados. No necesariamente tienen que participar todos, aunque sí es fundamental que estén al tanto de lo que se lleva a cabo. El proceso debe ser estructural.

Evaluación de las condiciones y riesgos: Es la parte neurálgica del proceso. En ella, los miembros del equipo evalúan las condiciones de trabajo que imperan en la organización, identifican los riesgos reales y potenciales y se realizan un diagnóstico sobre ellos.

Investigación: Las conclusiones de la evaluación darán paso a la investigación de las causas de los riesgos reales o potenciales. Más que buscar responsables directos, la idea es centrarse en eliminar los detonantes de dichos riesgos y buscar soluciones para mitigar su impacto y prevenirlos. Recordemos, la función del Plan de Seguridad Laboral es sobre todo preventiva y a largo plazo.

Documentación: Todo lo que surja de estas jornadas de evaluación e investigación debe aparecer en un documento base, que será el Plan de Seguridad. La última etapa consiste en la redacción y adaptación del mismo, pues el objetivo es que se convierta en un texto de consulta para miembros de la organización y terceras personas.

El plan de seguridad, pieza clave en el proceso de implementación Un plan de seguridad y salud laboral, es el primer paso para la implementación del Sistema de Gestión de Riesgos y Seguridad incluido en la normativa OHSAS 18001. En él deben quedar claras las necesidades de las empresas en el área de Riesgos Laborales y cada una de las etapas en las que se dividirá el proceso. Si quieres garantizar los resultados de esta etapa, puedes hacer uso de la plataforma ISOTools, que te ofrece recursos para la identificación los de riesgos laborales a los que están sometidos los trabajadores, las empresas  y la sociedad en general.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/10/21/como-elaborar-un-plan-de-seguridad-y-salud-en-el-trabajo/

Los 50 EXCELENTES de ISOTools en 2015

111

VOLVER AL ÍNDICE

34

AUDITORÍAS

OHSAS 18001: Tipos de auditoría para las organizaciones La norma OHSAS 18001 determina los requerimientos para un Sistema de Gestión de la Seguridad y Salud en el Trabajo (SST), destinados a permitir que una empresa controle sus riesgos para la SST y mejore su ejercicio de la SST. Certificar e implantar un Sistema de Gestión de la Seguridad y Salud en el Trabajo según OHSAS 18001 permite a las empresas: %% Cumplir la legislación en materia de prevención, integrando ésta última en los procesos de la empresa, lo que conlleva una disminución de los costos y sanciones administrativas derivadas de su incumplimiento, además de una mejora de la gestión interna de la empresa y de la comunicación entre organización con el trabajador, las administraciones y partes interesadas. %% Reducir la frecuencia de siniestros laborales y aumentar la productividad, controlando, evaluando y analizando los riesgos asociados a cada puesto de trabajo, y evitando las causas que originan los accidentes y las enfermedades en el trabajo. La percepción de un entorno laboral más seguro por los trabajadores conlleva una disminución de las enfermedades, bajas o absentismo laboral, una reducción progresiva de la siniestralidad, un aumento de la productividad y un descenso de sanciones y gastos innecesarios. %% Promover una cultura preventiva mediante la integración de la prevención en el sistema general de la empresa (exigido por ley) y el compromiso de todos los trabajadores con la mejora continua en el desempeño de la SST. El estándar OHSAS 18001 puede ser examinado según tres tipos de auditorías que comentaremos en este post. Hablamos de auditorías de primera parte, de segunda y de tercera parte.

Auditoría OHSAS 18001 de primera parte Son conocidas igualmente como auditorías internas y en la mayoría de casos son realizadas por la empresa, aunque también es una actividad que se puede sub-contratar. Consisten en auditorías de una organización o parte de ella que se ejecutan según los requisitos establecidos en la cláusula 4.5.5 de la norma OHSAS-18001.

Los 50 EXCELENTES de ISOTools en 2015

112

VOLVER AL ÍNDICE

34 En este capítulo, la normativa expresa que la empresa debe asegurarse de que las auditorías internas del Sistema de Gestión de Seguridad y Salud en el Trabajo (SST) llevadas a cabo en la organización se realizan periódicamente para:

Determinar si nuestro Sistema de Gestión de SST OHSAS18001: %% Se adapta a las disposiciones planificadas para la gestión de la SST, incluyendo los requisitos de la norma. %% Ha sido instaurado correctamente y se mantiene igual. %% Es lo suficientemente eficiente para cumplir con los objetivos y la política de la organización.

Proporcionar información sobre el resultado obtenido en la auditoría. Estos resultados sirven para establecer, implementar, planificar y mantener programas de auditoría, sin olvidar tener en cuenta además las evaluaciones de riesgos de las actividades de la organización. Por otro lado, OHSAS 18001 también indica que es necesario contar con uno o varios procedimientos de auditoría que traten sobre: %% Requisitos, responsabilidades y competencias para proyectar y ejecutar estas auditorías, comunicar los resultados y mantener los registros ligados a dichas auditorías. %% La especificación de los criterios de auditoría, el alcance de la misma, la frecuencia y los métodos empleados. Este tipo de auditorías son planificadas para trabajar, como hemos citado arriba, sobre la base de un programa establecido en los distintos departamentos de la entidad. El objetivo de todo esto es garantizar que se respetan las actividades del Sistema de Gestión de Seguridad y Salud en el Trabajo y los requisitos de la norma OHSAS-18001. Como último fin es promover la mejora continua del sistema.

Auditoría OHSAS 18001 de segunda parte Son también conocidas como auditorías a proveedores. Las realiza el cliente sobre éstos. El objetivo principal de este tipo de auditorías es minimizar los riesgos del negocio ligados a las compras, subcontrataciones, out-sourcing y la gestión de la cadena de suministro. Normalmente, una empresa acepta el hecho de que su proveedor tiene el certificado del Sistema de Gestión de Seguridad y Salud en el Trabajo según la norma OHSAS18001 como prueba del cumplimiento con los requisitos de la SST, y no realiza ningún tipo de auditoría. Pero si el proveedor posee un Sistema de Gestión de Seguridad y Salud Ocupacional que no está certificado, es aconsejable que la organización ejecute las auditorías correspondientes, contando con el equipo auditor cualificado pertinente. Estas auditorías también necesitan de la preparación de un programa. De ellas resultan acciones correctivas que el auditado tendrá que aceptar e implantar. En este caso, la empresa auditada debería aceptar las acciones correctivas propuestas por el auditor ya que de él depende la valoración del proveedor.

Auditoría OHSAS 18001 de tercera parte También conocidas como auditorías de certificación. Son ejecutadas por una entidad au-

Los 50 EXCELENTES de ISOTools en 2015

113

VOLVER AL ÍNDICE

34 LEE ESTE ARTÍCULO EN EL BLOG https://www. isotools. org/2015/01/22/ ohsas-18001-tipos-de-auditoria-para-las-organizaciones/

ditora independiente, ajena a la organización auditada. Este tercer tipo de auditoría es mucho más formal y se realiza para obtener el certificado de conformidad con los requisitos del estándar OHSAS 18001. En este caso, el auditor no puede aconsejar a la organización auditada sobre las acciones correctivas que deben tomar. Existen dos fases en las que se divide el desarrollo de este tipo de auditoría:

Fase primera o fase inicial. En esta primera fase se realiza la planificación de la auditoría. Sirve, además, como evaluación para comprobar si el sistema es sólido y si tiene la madurez suficiente para conseguir el certificado. Suele ser una etapa fácil, pues normalmente este tipo de auditorías siguen una rutina ya modelada.

Fase segunda o fase principal. Consiste en una auditoría completa del sistema. Se enfoca en valorar la adecuación, capacidad y eficacia del Sistema de Gestión de Seguridad y Salud Laboral según el estándar OHSAS-18001. Estas auditorías, incluyendo los tres tipos, siempre se desarrollan para lograr unos propósitos, entre ellos destacamos: %% Para seleccionar un subcontratista. %% Para comprobar el funcionamiento de un subcontratista a lo largo de la duración del contrato o del desarrollo de un proyecto. %% Para comprobar el funcionamiento y las mejoras del sistema. %% Para resolver un problema. Las actividades de esta auditoría son examinadas para aclarar e identificar las causas de un problema en el Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la norma OHSAS18001. %% Para obtener la certificación del sistema OHSAS 18001. Las actividades de auditoría, incluyendo los tres tipos anteriormente mencionados, del  Sistema de Gestión de Seguridad y Salud en el Trabajo según OHSAS 18001 van a estar alineadas en cumplir con unos objetivos: %% Determinar áreas de mejora. %% Eficacia del Sistema de Gestión de SST. %% Conformidad del Sistema de Gestión de Seguridad y Salud Ocupacional. %% Cumplir con los requisitos legales. %% Evaluar subcontratistas.

Sistema de Gestión de Seguridad y Salud Laboral Existen diversas normas sobre Riesgos y Seguridad, para saber más sobre ellos puedes visitar: https://www.isotools.org/normas/riesgos-y-seguridad/

Los 50 EXCELENTES de ISOTools en 2015

114

VOLVER AL ÍNDICE

35

IMPLEMENTACIÓN

OHSAS 18001: Fases para su implementación La norma OHSAS 18001 se puede aplicar en cualquier tipo de empresa, independientemente del sector que sea y el tamaño que tenga. En ocasiones, nos encontramos perdidos a la hora de implantar un Sistema de Gestión de Seguridad y Salud en el Trabajo (SG-SST) y no sabemos por dónde empezar. Desde este post, vamos a describir una secuencia de 10 fases que pueden ayudarnos a poner en marcha este proyecto.

Fase 1: Conformidad de la dirección En esa fase, la alta dirección será la protagonista de la Gestión de la Seguridad y Salud en el Trabajo y, por ello, resulta imprescindible que contemos con el compromiso e involucración de la gerencia en la implementación de la norma OHSAS-18001. Como empresa, debemos tener claro con qué fin se inicia este proceso de implementación de la norma. El objetivo es llevar a cabo un sistema de gestión basado en la OHSAS18001 para lograr la mejora continua de la seguridad y salud en el trabajo.

Fase 2: Plan de Prevención Antes de la implementación de la norma, si la organización cuenta con un Plan de Prevención se debe analizar para después comprobar si está correctamente instalado o si solo es un documento inservible.

Fase 3: Nombramiento del responsable La empresa tiene la obligación de designar ciertos miembros de la alta dirección para que gestionen el correcto funcionamiento del Sistema de Gestión de Seguridad y Salud en el Trabajo. Deben tratarse de personas que tengan la suficiente autoridad para poder actuar como les convenga en cualquier situación que se produzca en el desarrollo del sistema. Sin embargo, la persona nombrada como responsable, en ocasiones, podrá delegar determinados deberes y funciones sin eludir su responsabilidad de dirigir la gestión de la Seguridad y Salud en el Trabajo en la organización.

Los 50 EXCELENTES de ISOTools en 2015

115

VOLVER AL ÍNDICE

35 Fase 4: Comité de implantación La puesta en marcha del Sistema no debería recaer solo en la figura de una única persona. Es por ello, que se recomienda crear un Comité aunque no sea un requisito propio de la norma. De esta forma, se consigue integrar el funcionamiento del Sistema de Gestión de Seguridad y Salud Ocupacional según la norma OHSAS 18001 en todos los estamentos. El fin de este Comité será comprobar la interacción de los procedimientos entre las distintas áreas de la empresa y lo idoneidad de su aplicación.

Fase 5: Manual de gestión, procedimientos, instrucciones y fichas Aunque no se trate de un requisito de la norma OHSAS-18001, normalmente es necesario elaborar un manual para el desarrollo del sistema de gestión. Este manual estará formado por instrucciones, procedimientos y/o fichas que deben ser didácticas, aplicables y simples. Deberá estar disponible y accesible para que cualquier miembro de la empresa pueda consultarlo y se compondrá al menos de: %% Presentación. %% Política de SST. %% Programas y objetivos de Seguridad y Salud en el Trabajo. %% Constitución de las funciones y responsabilidades de cada uno de los componentes de la organización. %% Actividades del Plan de Prevención y su programación como evaluación de riesgos, vigilancia de la salud, formación… %% Planificación anual de la Seguridad y Salud en el Trabajo. %% Información de las instrucciones y procedimientos del Sistema de Gestión de Seguridad y Salud en el Trabajo según la OHSAS-18001.

Fase 6: Formación En esta fase se pretende que las personas encargadas de realizar las actividades en la empresa estén capacitadas para que las realicen correctamente. Nos referimos a sesiones de formación tales como: charlas divulgativas a los empleados, cursos para la línea de mando, etc.

Fase 7: Implantación del sistema Antes de todo, es fundamental, fijar una fecha que sea comunicada a todos los componentes de la empresa y, a partir de ahí, el Comité de Implantación y otros miembros que hayan designado la alta dirección comenzarán a realizar el seguimiento de la aplicación y funcionamiento del Sistema de Gestión. Este personal elegido deberá portar una solución en caso de que surgiera duda o conflicto.

Fase 8: Auditoría interna Esta es una de las fases de obligado cumplimiento. Pasaremos a este apartado una vez que el Sistema de Gestión de SST fundamentado en la OHSAS 18001 esté correctamente implantado.

Los 50 EXCELENTES de ISOTools en 2015

116

VOLVER AL ÍNDICE

35 El procedimiento de auditoría interna deberá incluir quién está capacitado para llevar a cabo estas actividades, y las actitudes y aptitudes que deberán tener. La periodicidad de una auditoria interna deberá ser, por lo menos, una vez al año. Realizada dicha auditoría interna, se generará un informe de auditoría, señalando todos los hallazgos encontrados.

Fase 9: Revisión por la dirección Tras la finalización de la fase 8, se procederá a mostrar los resultados del informe generado a la alta dirección para que efectúe su revisión, quedando ésta debidamente documentada. Es aconsejable que la revisión por parte de la dirección sea trimestral aunque en la norma no está especificado como un requisito obligatorio.

Fase 10: Auditoría externa y certificación Esta última fase es voluntaria y consiste en someter al Sistema de Gestión de Seguridad y Salud en el Trabajo basado en el estándar OHSAS-18001 a una auditoría externa, que será realizada por una organización externa y ajena a la entidad. La finalidad de la auditoría externa y certificación es la verificación de la correcta implantación del estándar OHSAS 18001. Este tipo de auditorías se realizan normalmente en dos fases: %% Fase inicial y revisión de la documentación. %% Fase de certificación. Una vez que el Sistema de Gestión de Seguridad y Salud Laboral está certificado, anualmente se ejecutará una auditoría externa de seguimiento, y cada 3 años se llevará a cabo otra auditoría, en este caso, de renovación del certificado.

Sistema de Gestión de Seguridad y Salud Ocupacional Para garantizar la Seguridad y Salud Ocupacional, las organizaciones recurren asiduamente a la norma OHSAS 18001. La preocupación por los riesgos y la seguridad van en incremento, os dejamos un enlace con las normas que pueden ayudar en esta gestión: https://www. isotools.org/normas/riesgos-y-seguridad/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/02/05/ohsas-18001-fases-para-implementacion/

Los 50 EXCELENTES de ISOTools en 2015

117

VOLVER AL ÍNDICE

La norma OHSAS 18001 Descargue este e-book gratuito

DESCARGAR AHORA

36

AUDITORÍAS

OHSAS 18001: Auditoría en los Sistemas de Gestión de Seguridad y Salud en el Trabajo OHSAS 18001 se considera una norma auditable. El concepto de auditor aparece en la norma ISO 19011:202 descrita cono la “persona con la competencia (atributos personales y aptitud demostrada para aplicar conocimientos y habilidades) para llevar a cabo una auditoría”. Hay que distinguir entre auditorías internas y externas de OHSAS18001, teniendo en cuenta: %% Auditores internos, son los auditores que forman parte de la organización que va a ser auditada. Se trata de empleados que, independientemente de las funciones que desarrollan en su empresa, asumen el cargo de auditores internos respecto de aquellas áreas, funciones y departamentos en los cuales no tienen responsabilidad alguna. %% Auditores externos, son los auditores que no pertenecen a la entidad del auditado. Nos estamos refiriendo a entidades o a individuos que son contratados por el usuario para que realicen una auditoria en su misma entidad, o bien en la entidad de uno de sus subcontratistas o proveedores en su representación. Con el fin de seleccionar un equipo auditor OHSAS 18001, se tendrá que garantizar que el equipo seleccionado cuente con todas las competencias incluyendo: %% Conocimientos generales sobre el desarrollo de auditorías. %% Habilidades en el esquema de seguridad y salud laboral, OHSAS18001. %% Competencia para comprender los procedimientos específicos relacionados (capacidad técnica). %% Saber identificar y entender los requerimientos legales y reglamentarios ligados con las instalaciones y actividades de la organización. Además, es importante tener en cuenta las siguientes aptitudes: %% Aceptación por parte del auditado. %% Desarrollo profesional. %% Imparcialidad e independencia.

Los 50 EXCELENTES de ISOTools en 2015

119

VOLVER AL ÍNDICE

36 %% Cuestiones culturales. %% Disponibilidad. %% Capacidad de trabajo en equipo. %% Conocimiento del lenguaje de la auditoría. %% Formación necesaria. Las funciones y obligaciones del auditor del Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la norma OHSAS-18001 son las que mencionamos a continuación: %% Comunicar los resultados de las observaciones de la auditoría tanto de forma oral como escrita. %% Cumplir con los requisitos de la auditoría y realizar la gestión de ésta según los procedimientos del cliente y al plan de auditoría acordados. %% Mantener la documentación necesaria de la auditoria. %% Actuar de modo ético. %% Estar atento en todas aquellas situaciones donde la evaluación del cumplimiento requiera mayor análisis. %% Trabajar dentro de las tareas asignadas y del marco del alcance de la auditoría. %% Recopilar y analizar las evidencias necesarias para valorar el cumplimiento del Sistema de Gestión de la Seguridad y Salud en el Trabajo OHSAS18001 (SST) con los criterios de auditoría. %% Inspeccionar las observaciones de la auditoría. %% Conservar la confidencialidad. %% Planificar y desempeñar de manera eficiente y eficaz las responsabilidades asignadas. %% Comunicar y aclarar los requisitos de la auditoría, así como a los auditados. %% Ayudar a entender los requisitos de OHSAS 18001 como Sistema de Gestión de la SST u otros documentos que determinen los criterios de auditoría. %% Comprobar la eficiencia de las operaciones de corrección desarrolladas como consecuencia de la auditoría, siempre que sean necesarias. %% Ayudar y cooperar con el auditor líder.

Responsabilidades adicionales del auditor líder OHSAS 18001 (líder del equipo auditor) Se llama auditor líder OHSAS 18001 al responsable de todos los procesos de la auditoría y tiene que comprobar que todos los objetivos de la auditoría se han llevado a cabo. Además, es el encargado de gestionar toda la auditoría, y por esa misma razón, tiene que contar con la competencia de liderazgo y gestión. Es el responsable de las decisiones finales ligado al desarrollo de la auditoría y la distribución y categorización de los hallazgos al tiempo que proporcionará las recomendaciones finales. Por ello, las responsabilidades adicionales del auditor líder OHSAS18001 añaden: %% Englobar toda la información destacable requerida para llevar a cabo la auditoria.

Los 50 EXCELENTES de ISOTools en 2015

120

VOLVER AL ÍNDICE

36 %% Trabajar en la selección de componentes del equipo auditor. %% Preparar el plan de auditoría y asignar las tareas a cada uno de los miembros del equipo. %% Comprobar que la totalidad de  documentos del trabajo requerido están preparados. %% Revisar que los documentos del Sistema de Gestión de Seguridad y Salud en el Trabajo son los acordes con lo que estamos trabajando. %% Representar al equipo auditor ante el cliente que va a ser auditado. %% Presidir las reuniones de apertura y cierre. %% Garantizar que el proceso de auditoría se desarrolla según lo previsto, incluyendo la necesidad de incluir nuevas personas en el equipo si fuera necesario. %% Garantizar que el equipo auditor realiza reuniones organizadas y coordinadas regularmente. %% Asegurar   que se comunica con transparencia los resultados de las auditorías y de sus conclusiones (incluyendo aquellos hallazgos de una No Conformidad crítica). %% Presentación del informe final de la auditoría.

El perfil ideal del auditor OHSAS 18001 Entre los caracteres ideales del auditor destacan los siguientes: %% Diplomático. %% Paciente. %% Dialogante. %% Formado. %% Autocrítico. %% Honesto. %% Analítico. A los auditores  de OHSAS18001, se le pueden sumar otros colaboradores, como: auditores en prácticas, traductores e intérpretes, o incluso, observadores. Estos últimos habitualmente suelen ser: %% Personal de la entidad auditora cuya intención es evaluar al auditor con vistas a su registro y cualificación. %% Personas de la misma organización auditada que han manifestado su deseo de participar en la auditoría para su formación personal y profesional. %% Personas representantes de algún comprador. Estos observadores tienen que mantenerse imparciales en lo que se refiere al desarrollo de la auditoría y no interferir en su ejecución. Su presencia tiene que estar autorizada por la dirección de la entidad auditada.

Evaluación de las características del auditor OHSAS 18001 Dicha evaluación se hace efectiva a través de una serie de parámetros que engloban aptitudes profesionales (cultura, bases técnicas, formación específica y experiencia previas), aptitudes

Los 50 EXCELENTES de ISOTools en 2015

121

VOLVER AL ÍNDICE

36 intelectuales (comprensión, memoria, intuición, capacidad de juicio, sentido de la organización y detección de errores), comportamiento social (honestidad, autocrítica, sentido de la responsabilidad, discreción firmeza, entereza, disciplina, carácter, espíritu de equipo, iniciativa, decisión, sociabilidad, espíritu de progreso y formación) y aptitudes físicas (salud, presencia, dinamismo y resistencia).

Bases fundamentales del auditor para el éxito de una auditoría del Sistema de Gestión de Seguridad y Salud en el Trabajo Para abordar adecuadamente una auditoría del Sistema de Gestión de la SST según OHSAS 18001, el auditor tiene que tener en cuenta unas premisas que tienen que ser perseguidas a lo largo de la ejecución de la misma: %% Preparación: La calidad de la preparación determina la calidad de la auditoría: %% Analizar la documentación. %% Preparar las listas de comprobación. %% Estar formado. %% Saber expresarse: Para que entiendan sus preguntas, razonamientos y opiniones. %% Saber escuchar: Saber pensar y callarse en nuestra opinión y en nuestra respuesta. Ser conscientes de nuestras actitudes, comportamientos e influencia. %% Saber hacer hablar: Para poder profundizar, reenfocar y detallar los temas de interés.

Sistema de Gestión de la SST Los Sistemas de Gestión de Seguridad y Salud en el Trabajo o SST son uno de los sistemas sobre riesgos y seguridad. Para saber más sobre ellos puedes visitar:  https://www. isotools.org/normas/riesgos-y-seguridad/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/01/15/ohsas-18001-auditoria-sistemas-gestion-seguridad-salud-trabajo/

Los 50 EXCELENTES de ISOTools en 2015

122

VOLVER AL ÍNDICE

37

RECURSOS GRATUITOS

Manuales en pdf sobre el proceso de implementación de OHSAS18001 OHSAS  18001 es un estándar orientado al control de riesgos y accidentes laborales en aquellas empresas que deseen asumir sus directrices. Su objetivo es proporcionar las bases necesarias para aplicar un Sistema de Gestión de Seguridad y Salud Laboral, así como recomendar y orientar a las empresas en este terreno.

¿En qué consiste la gestión de riesgos laborales? La gestión de accidentes, fallos o eventos asociados a las prácticas de las empresas deben ser recogida en un plan de prevención y actuación. A estas acciones, coordinadas e integradas con la estrategia global de cada organización, es a lo que se le denomina Gestión de Riesgos Laborales. En esencia son políticas, procedimientos y prácticas que permiten evaluar los riesgos que pueden afectar el buen funcionamiento de las empresas y su personal y, en etapas posteriores, desarrollar medidas concretas para contrarrestarlos. Salvo en algunas ocasiones, un riesgo laboral nunca desaparece del todo. La labor de las empresas en este sentido consiste en gestionarlos, mitigarlos, reconducirlos o, cuando sea el caso, revertirlos para que reporten algún beneficio. El principal valor añadido de las organizaciones que implementan un sistema de estas características radica en la adopción de un sistema integral de prevención, que permite, entre otras cosas, la reducción de costes, la adecuada gestión de recursos y la oportuna intervención ante eventuales fallos.

Manuales para implementar la norma OHSAS 18001 La norma OHSAS 18001 es un estándar de referencia que establece las directrices para implementar un Sistema de Gestión de Seguridad y Salud Laboral. Conocerlo es casi una obligación para las empresas que estén interesadas en reforzar esta área y adoptar un sistema de prevención integral.

Los 50 EXCELENTES de ISOTools en 2015

123

VOLVER AL ÍNDICE

37 LEE ESTE ARTÍCULO EN EL BLOG https://www. isotools. org/2015/11/20/ manuales-en-pdf-sobre-el-proceso-de-implementacion-de-ohsas-18001/

Para ello, existen numerosas fuentes de investigación que pueden servir de guía. Una de las más directas son los documentos elaborados por instituciones y organismos que intervienen en la Gestión de Riesgos Laborales como los siguientes: 

a) Manual Práctico de Implementación (Gerard Balcells Dalmau) Elaborado bajo el auspicio de Fremap (Mutua Colaboradora con la Seguridad Social y del Ministerio de Empleo y Seguridad Social en España), es uno de los manuales de referencia para guiar a las empresas que deseen implementar la norma OHSAS 18001. El autor hace un repaso por los aspectos más importantes del estándar y profundiza en las diez fases que debe tener todo proceso de implementación de un Sistema de Gestión de Seguridad y Salud Laboral. Además, proporciona valiosa bibliografía al respecto.

b) Guía práctica de integración de las normas OHSAS 18000 (Fundación para la Prevención de Riesgos Laborales) Tras un detallado repaso por las características de la norma OHSAS 18001, este texto relaciona el estándar con las legislaciones vigentes para el caso de España y con otras normativas en la materia. Aparte, presenta ejemplos concretos para el desarrollo de un Sistema de Gestión de Seguridad y Salud Laboral en cualquier empresa.

c) Manual de Implementación según OHSAS  18001 (Sector de intervención social) Entidades como Comisiones Obreras, UGT, Aesap y la Fundación para la Prevención de Riesgos Laborales han elaborado este manual  en el que se describen detalladamente los momentos que deben seguir las organizaciones en su proceso de implementación de un Sistema de  de Gestión de Seguridad y Salud Laboral. Para cerrar el documento, los autores señalan sus principales beneficios.

d) OHSAS 18001: implantación (Instituto Nacional de Higiene y Seguridad en el Trabajo) A través de este documento, el INHST elabora una serie de reflexiones y orientaciones sobre el proceso de implementación de la norma OHSAS 18001 en las organizaciones. Lo ha dividido en tres entregas que abordan los aspectos elementales de este proceso y señalan algunas recomendaciones. También proporciona recursos gráficos que ayudan a visualizar el alcance y las distintas fases del proceso

Proceso de implementación de la norma OHSAS 18001 La implementación de un Sistema de  Gestión de Seguridad y Salud Laboral requiere de unas etapas claramente definidas desde el inicio. Aunque existen diferencias en los métodos de aplicación del estándar, el objetivo final debe ser la puesta en marcha de prácticas eficaces, adecuadas y sostenibles. Al ser especialmente complejo, este proceso puede apoyarse en herramientas digitales que optimicen la verificación, el seguimiento y la intervención. El software ISOTools es un recurso que desarrolla tales funciones y, además, enmarca las prácticas dentro de la lógica del ciclo PHVA (Planear, Hacer, Verificar y Actuar).

Los 50 EXCELENTES de ISOTools en 2015

124

VOLVER AL ÍNDICE

38

REVISIÓN POR LA DIRECCIÓN

OHSAS 18001: Idoneidad, eficacia y adecuación para una Revisión por la Dirección El Sistema de Gestión de Seguridad y Salud Laboral basado en la norma OHSAS 18001 tiene como último elemento la Revisión por la Dirección. Es el elemento que pone fin al ciclo de mejora continua, a través de “Actuar” (A). Lo podemos definir como un “examen” de la entidad en el cual se analizan los datos y la información que suministra el sistema. Se considera un elemento de elevada utilidad ya que sirve para conseguir conclusiones que posibilitan la toma de decisiones dirigidas hacia la obtención de acciones de mejora. La alta dirección es la responsable de esta revisión, y se ocupará de revisar el Sistema de Seguridad y Salud en el Trabajo según la OHSAS-18001 de la entidad para asegurar su adecuación, conveniencia y eficacia. Dicha revisión tendrá como elementos de entrada los siguientes: %% Resultados de auditorías y demás evaluaciones. Auditorías tanto internas como externas y evaluaciones como las relativas al cumplimiento de requisitos legales, reglamentarios y normativos aplicables. %% Resultados de procesos de participación y consulta con los empleados. %% Comunicaciones procedentes de las partes interesadas. %% El desempeño de la Seguridad y Salud en el Trabajo de la misma entidad. %% Grado de cumplimiento de los objetivos. %% Estado de acciones correctivas y preventivas. %% Estado de las investigaciones de incidentes. %% Seguimiento de las acciones nacidas de las revisiones por la dirección anteriores.

Los 50 EXCELENTES de ISOTools en 2015

125

VOLVER AL ÍNDICE

38 %% Cualquier  otra modificación en las circunstancias. Cambios como la evolución de los requisitos legales y cualquier otro relacionado con la Seguridad y Salud Laboral y las oportunidades de mejora.

Resultado de auditorías El resultado de auditorías es uno de los elementos de entrada, tanto internas como externas. Estas auditorías ofrecen una serie de resultados que tendremos que analizar, sin limitarnos solamente a las No Conformidades. Los aspectos a analizar serían: %% Causas. %% Acciones repetitivas. %% Gravedad de las no conformidades y sus efectos. %% Áreas en las que se produjeron.

Comunicaciones de las partes interesadas Es fundamental tener en cuenta en la revisión las comunicaciones obtenidas por las partes interesadas, ya sean proveedores, vecinos, gobernación, etc. Se tendrá que incidir sobre aquellas comunicaciones de carácter legal, especialmente sin son infracciones legales que en las que haya incurrido la entidad e impliquen la apertura de expedientes sancionadores. Este tipo de comunicaciones pueden llevar a la necesidad de implementar metodologías que requieran inversiones para obtenerlas.

Acciones correctivas y preventivas Tanto las acciones preventivas como las acciones correctivas son mecanismos que aportan mejoras importantes en la empresa, por lo que tienen que ser impulsadas desde la dirección. Tiene que existir un responsable de seguimiento de la totalidad de acciones emprendidas que, aparte de impulsarlas, apoye a todas las áreas de la entidad en su implantación, seguimiento y análisis. Con el fin de definir estas acciones se suelen usar unas fuentes de información, pudiendo variar de una entidad a otra, siendo las más usuales: %% Incidentes y accidentes. %% Comunicaciones externas. %% Análisis de objetivos de Seguridad y Salud Ocupacional. %% Propuestas de mejora. %% Variaciones previstas o ya producidas. %% Resultado de auditorías. %% Revisiones del sistema medioambiental. Tienen que prevalecer las actuaciones orientadas a anticiparse a todo problema a otras que se ejecutan para corregirlos. Esto se traduce en que es preferible potenciar la instauración de medidas preventivas respecto a las medidas correctivas.

Los 50 EXCELENTES de ISOTools en 2015

126

VOLVER AL ÍNDICE

38 Analizando estas acciones extraeremos información como: %% Nivel de eficacia de las acciones propuestas. %% Costos provenidos de las incidencias, al igual que beneficios derivados de las acciones a ejecutar. %% Grado de cumplimiento asignados en un principio a cada acción. %% Departamentos afectados. %% Causas, especificadas por tipología y carácter preventivo.

Seguimiento de revisiones anteriores De la revisión por la dirección resultará un informe que se utilizará en las siguientes revisiones del sistema. Es un mecanismo útil para desarrollar una comparativa entre dos ejercicios. Lo que se busca es identificar derivas posibles del Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la norma OHSAS 18001.

Análisis de cambios Los responsables principales tienen que participar en esta revisión por la dirección, de tal manera que se le permita la identificación de los mismos al nivel de toda la empresa. Resulta fundamental la identificación de las modificaciones previstas con el fin de planificar la implementación de los mismos. Los resultados de una revisión por la dirección, tienen que ser afines con el compromiso de mejora continua de la empresa e incluso añadir la totalidad de decisiones y acciones relativas a cambios en el desempeño de la Seguridad y Salud Ocupacional, los objetivos de política de Seguridad y Salud Laboral y los recursos y otros elementos distintos del propio Sistema de Gestión de Seguridad y Salud en el Trabajo. Toda revisión tendría que centrarse en la idoneidad, eficacia y adecuación del Sistema de Gestión.

Sistema de Gestión de Seguridad y Salud en el Trabajo Es muy importante conocer todos los Sistemas de Gestión de Riesgos y Seguridad, entre los que destacamos el Sistema de Gestión de Seguridad y Salud en el Trabajo. Puedes visitar este enlace para saber más sobre riesgos y seguridad:  https://www.isotools.org/normas/ riesgos-y-seguridad/

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/01/08/ohsas-18001-idoneidad-eficacia-adecuacion-revision-direccion/

Los 50 EXCELENTES de ISOTools en 2015

127

VOLVER AL ÍNDICE

39

PLAN INTEGRAL DE SEGURIDAD

Cómo poner en marcha un plan integral de seguridad en las empresas ¿Qué se entiende por seguridad integral? La seguridad  integral empresarial se caracteriza, principalmente, por una concepción activa en materia de seguridad, tratando siempre de mantener la iniciativa en el logro de los máximos niveles de protección. Para conseguir este objetivo es necesario poner en marcha un sistema de gestión de prevención de riesgos laborales. La correcta implantación en una organización de un sistema de seguridad integral permite controlar los riesgos y accidentes, reducir costes y maximizar el desempeño de los trabajadores. Además, se consigue mejora la imagen interna (de los propios empleados) y externa (con proveedores, clientes reales y potenciales y grupos de interés).

Principales riesgos de las empresas Los riesgos más importantes que pueden afectar a las empresas se pueden clasificar en los siguientes ámbitos: %% Accidentes de trabajo y enfermedades profesionales. %% Seguridad informática. %% Higiene Industrial. %% Incendios y otros daños. %% Intrusión y robo. %% Medio Ambiente. Una manera eficaz de organizar un plan integral de seguridad es, en función de las condiciones particulares de cada empresa (tamaño, organización, niveles de riesgo…), estructurar las distintas áreas en uno o varios departamentos de seguridad.

Los 50 EXCELENTES de ISOTools en 2015

128

VOLVER AL ÍNDICE

La norma OHSAS 18001 Descargue este e-book gratuito

DESCARGAR AHORA

39 En cualquier caso, siempre se debe buscar la coordinación, tanto a nivel funcional como operativo, de todas las áreas, tratando de alinear los aspectos de seguridad con la misión, valores, filosofía y objetivos generales de la organización. Remarcar que se ha de tener especialmente en consideración la repercusión financiera que puedan llegar a tener las medidas implantadas, mediante la aplicación de la denominada gerencia de riesgos.

Hoja de ruta de implantación de un sistema de seguridad integral Las actuaciones que normalmente serán necesarias para poner en práctica un programa de seguridad integral en una empresa de cierto tamaño y con riesgos considerables son las siguientes:

1) Definición del programa Lo primero que hay que hacer es realizar un análisis inicial con el objetivo de evaluar el grado de cumplimiento de las prácticas de una empresa en materia de prevención de riesgos laborales. En definitiva, dicho análisis consiste en identificar la situación en que se enmarca la empresa para el establecimiento posterior de un programa de actuaciones, el cual debe estar enmarcado en una  política de prevención adaptada a las características de cada empresa u organización.

2) Establecimiento de una política en prevención de riesgos Una vez realizada la evaluación y detección de las necesidades de la empresa con sus puntos fuertes y débiles, se hace necesaria la definición de una política preventiva lo más concreta y detallada posible que incluya, entre otras cuestiones: el modelo preventivo, los recursos disponibles y la asignación de funciones y responsabilidades.

3) Definición y control de las medidas La tercera actuación consiste en la definición de las medidas a tomar con un carácter proactivo, con el objetivo de adelantarse a las situaciones de peligro y así neutralizarlas o mitigarlas antes de que ocurran. Asimismo, se deben seleccionar y establecer los puntos de control para comprobar que se están consiguiendo los objetivos de prevención previstos, así como realizar los ajustes necesarios en el caso de que se detecten desvíos significativos o situaciones mejorables. Además de las medidas funcionales, como la implantación de métodos de trabajo seguros y la repartición equitativa de la cargas de trabajo, también hay que considerar criterios operacionales como: %% Incorporación de las medidas de seguridad más avanzadas en diseño de las nuevas instalaciones. %% Revisión y control de sistemas de seguridad. %% Mantenimiento preventivo, orden y limpieza de instalaciones.

4) Información y formación Se debe establecer un programa permanente y en constante actualización de formación e información de todos los empleados de la empresa en cuestiones como:

Los 50 EXCELENTES de ISOTools en 2015

130

VOLVER AL ÍNDICE

39 %% Riesgos a los que están expuestos. %% Medidas y actividades de prevención. %% Medidas de protección colectiva e individual. Es importante ejercer un debido control y adaptación en relación a los perfiles profesionales, velando porque todos los trabajadores tengan las actitudes y aptitudes necesarias para poder desarrollar su trabajo en las mejores condiciones de seguridad.

La Plataforma ISOTools facilita la gestión integral de riesgos La Plataforma Tecnológica ISOTools puede ayudarle a definir e implantar un sistema integral de seguridad, de una forma sencilla y práctica, integrando normas como la OHSAS 18001, la ISO 9001 o la ISO 14001.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/12/09/como-poner-en-marcha-un-plan-integral-de-seguridaden-las-empresas/

Software para Sistema de Gestión de Seguridad y Salud Laboral DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

131

VOLVER AL ÍNDICE

40

FUTURA ISO 45001

Cambios propuestos por la norma ISO 45001 sobre riesgos corporativos La norma ISO 45001, que se publicará en el año 2016, será un estándar que contendrá los requisitos básicos para la implementación de un Sistema de Gestión de Seguridad y Salud en el Trabajo. Una vez esté vigente, podrá relacionarse con otras normativas, como por ejemplo ISO 9001 o ISO 14001.

Justificación de la norma ISO 45001. ¿Por qué se publica? La primera razón que mueve a la Organización Internacional de Estandarización (ISO) para publicar este nuevo estándar es la de reemplazar a OHSAS 18001, que en realidad es una norma de origen británico y que, pese a gozar de reconocimiento mundial, no pertenece a la familia normativa de ISO. Este último detalle resulta de suma importancia si se tiene en cuenta que un número no desapercibido de empresas en el mundo aspiran a la triple certificación ISO: Gestión Ambiental, Gestión de Calidad y Seguridad y Salud en el Trabajo. Al no existir una normativa de referencia en este último aspecto, las empresas deben remitirse a OSHAS 18001, de la cual existen cerca de 40 versiones internacionales que circulan en más de 127 países en el mundo. De ahí la necesidad de publicar un estándar propio en relación a la Seguridad y Salud en el Trabajo y, más aún, de alinearla con otras normas como ISO 9001 e ISO 14001.

¿Cuáles son los cambios que incluirá la norma ISO 45001? La Organización Internacional de Estandarización (ISO) aprovechará esta circunstancia para

Los 50 EXCELENTES de ISOTools en 2015

132

VOLVER AL ÍNDICE

40 LEE ESTE ARTÍCULO EN EL BLOG https://www. isotools. org/2015/11/25/ cambios-propuestos-por-la-norma-iso-45001-sobre-riesgos-laborales/

introducir algunos cambios sobre la Gestión de Seguridad y Salud en el Trabajo tal y como hasta ahora lo recoge la norma OSHAS 18001. Para empezar, ISO 45001 tendrá una estructura basada en los sistemas de gestión que han sido descritos por el Anexo SL, un documento que facilita la compatibilidad entre las normas de la familia ISO. Ahora bien, en cuanto al contenido, ISO 45001 supone la aparición de nuevos conceptos que hasta el momento no se habían tenido en cuenta en el momento de implementar un Sistema de Seguridad y Salud en el Trabajo. Los más importantes son:

1. Ampliación del contexto: El primer cambio con respecto a OHSAS 18001 está en la ampliación del contexto de la organización, en el que se incluirán aspectos externos como el cambio en las relaciones laborales, las nuevas tecnologías, los nuevos materiales y hasta el contacto entre las empresas y sus socios y contratistas. Hasta ahora, el contexto estaba muy determinado por los elementos internos de las organizaciones o de entornos inmediatos y daba poca importancia a otros factores circundantes en los entornos.

2. Liderazgo: ISO 45001 también ampliará el término de liderazgo, entendido hasta ahora como las prácticas ejercidas exclusivamente por altos directivos o gerentes. En la nueva norma, se incluirán el papel de los colaboradores y del personal del Sistema de Gestión que de una u otra forma está vinculado a la seguridad en el trabajo.

3. Información documentada: La más reciente versión de OHSAS 18001 es del año 2007, lo cual queda en evidencia cuando la norma habla de «registros» y «documentación» al referirse a los procesos de recolección de información. Ocho años después, tras los avances tecnológicos en este campo y los retos de una información más ágil y precisa, es más adecuado hablar de las herramientas que pueden ayudar a procesar dichos datos. Es decir, en la nueva norma la sistematización jugará un papel determinante.

4. Acción preventiva: A su vez, la nueva norma plantea la eliminación del concepto de «acción preventiva», dado que, según el Anexo SL, se sobreentiende que las empresas lo han incorporado en su accionar al haber implementado un Sistema de Gestión de Seguridad y Salud Ocupacional. Por tanto, ya no se hablará de prevención como tal, sino que cualquier referencia a este concepto estará incluida dentro del sistema anteriormente citado.

Actualización del Sistema de Seguridad y Salud en el Trabajo La norma ISO 45001 será, entonces, la oportunidad perfecta para que las organizaciones adapten su Sistema de Seguridad y Salud en el Trabajo. La precisión de algunos conceptos y la inclusión de otros nuevos, harán más eficaces las labores de control sobre las diferentes amenazas a los que se enfrenta el personal de las empresas. Al igual que con OHSAS 18001, la plataforma ISOTools permitirá una implementación eficaz de la norma ISO 45001. Además de vincularla con normas similares, permitirá alinearla con la legislación vigente para cada caso.

Los 50 EXCELENTES de ISOTools en 2015

133

VOLVER AL ÍNDICE

Miscelánea

41

BALANCED SCORECARD

Ejemplo práctico de construcción de un Balanced Scorecard El Balanced Scorecard (BSC), conocido también como Cuadro de Mando Integral (CMI), está considerado como uno de los modelos de gestión y planificación más importantes existentes en la actualidad por su capacidad para resolver los problemas a los que, día a día, se enfrentan los directivos de las empresas y organizaciones, tanto grandes como de pequeño y mediano tamaño (PYMES). El BSC es un modelo de gestión que traduce la estrategia en objetivos relacionados, medidos a través de indicadores y ligados a una planes de acción que permiten alinear las distinta áreas de la empresa y el desempeño profesional de sus empleados.

Las fases de un proyecto de implantación de un BSC Aunque el modelo de gestión de un BSC pueda resultar aparentemente sencillo, como punto de partida es importante clarificar que la adopción del CMI por parte de una organización debe considerarse un proyecto a largo plazo, ya que se trata de un modelo de gestión, no de una herramienta de control, por lo que implica un cambio en la cultura empresarial. Para que realmente haya cambios positivos, el CMI debe tomarse como punto de referencia para el análisis de la gestión, del apoyo y de la toma de decisiones. Estas son las principales fases para la correcta implantación del cuadro de mando integral.

Fase de planificación Como en todo nuevo proyecto que se inicia en una empresa, es necesario definir y dimensionar una serie de aspectos que condicionarán su desarrollo y éxito final. Todo esto  debe quedar reflejado en un plan de proyecto en el que se fijará el alcance del mismo, el presupuesto y los puntos claves de su desarrollo.

Los 50 EXCELENTES de ISOTools en 2015

135

VOLVER AL ÍNDICE

41 En esta fase inicial se debe seleccionar también el equipo de trabajo, con sus cargos, funciones y roles. Es muy importante contar con representantes de todos los departamentos de la empresa implicados, procurando también que el número de integrantes no sobrepase los diez. Las herramientas más utilizadas en esta fase son la Cadena de Valor de Porter, que sirve para identificar la secuencia de los procesos necesarios para entregar a los clientes los productos y servicios de la compañía, y el Análisis DAFO , que es un análisis combinado de la capacidades internas de la organización (Fortalezas y Debilidades) con el ambiente externo (Oportunidades y Amenazas). Por último, esta fase deberá concluir con un plan de comunicación, en el que se detallarán las acciones a realizar durante toda la ejecución del proyecto.

Fase de desarrollo Esta será la fase central del proceso, en la que toman forma todos los elementos que constituyen el BSC. Como primer paso se deben desarrollar o confirmar los siguientes elementos clave: declaración de la misión, visión y valores y de los puntos básicos de la estrategia. El siguiente paso será la definición de los objetivos estratégicos enmarcados en cada una las perspectivas. Esta fase es de gran importancia y debe realizarse con una implicación elevada de la dirección de la empresa. A continuación debe comenzar a definirse el mapa estratégico, indicando con claridad las relaciones causa-efecto entre los objetivos estratégicos elegidos anteriormente. Una vez definido y validado el mapa estratégico, es el momento de establecer los indicadores que permitirán medir el grado de consecución de los objetivos estratégicos. En este punto es importante recordar que no se deben emplear un número muy elevado de elementos, pues puede resultar confuso y distorsionar la medición. A continuación, se han de establecer las metas para cada indicador. Este proceso no es trivial, por lo que deberá ser consensuado y validado con los expertos en cada una de las áreas de negocio. Llegados a este punto, es conveniente reunir en un único documento el diseño del mapa estratégico, detallando además los indicadores que se emplearán y sus metas asociadas. Finalmente, se definirán las iniciativas estratégicas que permitirán alcanzar los objetivos previamente definidos, estableciendo además un orden de prioridad de ejecución según la importancia de las mismas. A nivel de herramientas, se utilizan mapas estratégicos y el BSC, además del sistema Stratex, con el fin de crear una categoría específica para estos datos estratégicos. Para llevar a cabo todo este proceso se debe implementar un sistema Informático automatizado que ofrezca soporte al CMI y se integre con el resto de sistemas de información de la empresa.

Fase de control y seguimiento En esta fase, se diseñan un conjunto de procedimientos para seguir el funcionamiento del CMI diseñado. Para ello, de forma periódica en función de los ciclos de medición establecidos en cada nivel, se evaluará la implantación del CMI, monitoreando el sistema en tiempo real y perfeccionándolo si se considera necesario.

Los 50 EXCELENTES de ISOTools en 2015

136

VOLVER AL ÍNDICE

41 En estas etapa es fundamental la organización de reuniones de análisis estratégico, donde se analizan, discuten y se toman decisiones sobre la estrategia de la empresa y reuniones de análisis operativo, que tienen como objetivos solucionar, rápida y eficazmente, problemas concretos y analizar información de los tableros de control operativo.

ISOTools: Software BSC La plataforma ISOTools convierte al Balanced Scorecard o BSC en un modelo de gestión muy visual y sencillo de implantar, mantener y automatizar.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/03/23/ejemplo-practico-de-construccion-de-un-balanced-scorecard/

Software de Integración de Sistemas de Gestión DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

137

VOLVER AL ÍNDICE

42

CERTIFICACIONES

Tipos de certificaciones laborales que puede obtener tu empresa La ISO (International Organization for Standartization) es una organización de carácter internacional que nació a mediados del siglo pasado con un fin concreto: estandarizar una serie de normas para crear un marco común internacional de referencia. Con este propósito, la organización ha ido unificando criterios y creando normas que garanticen la seguridad y calidad de los procesos, productos y servicios, por medio de una certificación de carácter voluntario, que avala que se cumplen los requisitos establecidos. Los estándares ISO no son normas obligatorias que hay que cumplir de manera estricta. Éstas son voluntarias, es la empresa quien decide implementarla, y proporcionan una serie de directrices, especificaciones y requisitos para guiar a las empresas en su implementación. Estas normas responden a necesidades planteadas por el mercado, tanto empresas como consumidores y son desarrolladas por un comité compuesto por expertos, quienes basándose en sus conocimientos y experiencias de éxito, componen la norma, que deberá ser votada y aprobada por los miembros de la ISO. En la actualidad ISO cuenta con la participación de 163 países y ha desarrollado más de 19.500 normas internacionales dirigidas al mundo empresarial. La obtención de esta certificación es voluntaria, las empresas pueden desarrollar su gestión acorde a las directrices de ISO y no solicitar el correspondiente certificado. Sin embargo, la certificación es el único medio de demostrar que cumple con los estándares ISO y garantizar la seguridad y calidad de los procesos, productos y servicios de la empresa.

Tipos de certificados Los certificados son documentos que avalan un hecho, en este caso, garantizan que se cumplen con los estándares establecidos en una normativa ISO concreta. Sin embargo, algunas de las normas ISO no son certificables, es decir, su cumplimiento no conlleva la obtención de este reconocimiento. A pesar de que se las denomina popularmente  “certificaciones ISO”, en realidad la certificación no la emite esta entidad. Los certificados son emitidos por organizaciones de certificación externos, ajenos a ISO.

Los 50 EXCELENTES de ISOTools en 2015

138

VOLVER AL ÍNDICE

42 LEE ESTE ARTÍCULO EN EL BLOG https://www. isotools. org/2015/04/15/ tipos-de-certificaciones-laborales-que-puede-obtener-tu-empresa-2/

Las certificaciones se estructuran en diferentes áreas y campos, así se pueden observar certificados dirigidos al campo de la salud, de la alimentación o englobados dentro de campos como la gestión del medio ambiente o la gestión de la seguridad. Existen ciertas certificaciones que pueden ser aplicadas en todas las empresas, con independencia de su sector y tamaño. Estas son:

Gestión de la calidad %% Certificado ISO 9001 Sistemas de Gestión de la Calidad. Es quizá uno de los certificados más populares y valorados. A través de esta certificación, se garantiza la calidad y mejora continua tanto en los productos como en los servicios que ofrece y reafirma su compromiso con la calidad.

Gestión Ambiental %% Certificado ISO 14001 Sistemas de Gestión Ambiental. La certificación avala la puesta en marcha de procesos que cuidan y respetan el medioambiente. %% Certificado ISO 5001 Sistemas de Gestión Energética, que asegura que un uso eficiente de la energía por parte de la empresa, que se caracteriza por la reducción de emisiones contaminantes y de costes.

Gestión De Riesgos Y Seguridad %% Certificado OHSAS 18001 Sistemas de Gestión de Seguridad y Salud en el  Trabajo. A través de la certificación de esta norma, que  se encuentra en proceso de revisión y en breve se denominará ISO 45001:2016, se acredita que la empresa ha desarrollado una política y estrategias que garantizan la seguridad y salud de sus trabajadores. %% Certificado ISO 22301 Sistemas de Gestión de Continuidad de Negocio, que garantiza el desarrollo de métodos y prácticas que aseguran que la empresa continuará funcionando ante circunstancias adversas. %% Certificado ISO 27001 Sistemas de Gestión de Seguridad de la Información. Con esta certificación las empresas confirman el establecimiento de medidas y estrategias para controlar y proteger la información que poseen. %% Certificado ISO 31000 Sistemas de Gestión De Riesgos, con la que se demuestra el uso de técnicas que promueven la identificación y el control eficaz de riesgos.

Gestión de la Responsabilidad Social %% Certificado SA 8000 Gestión de la Responsabilidad. Bajo esta certificación, la empresa confirma su compromiso con los derechos de sus trabadores y el bienestar de éstos. La certificación avala que cumple con los requisitos establecidos por la norma, referente al trabajo infantil, trabajos forzosos, la seguridad y salud laboral o sobre el horario de trabajo y su remuneración.

Sistemas Integrados de Gestión Estos certificados son compatibles entre sí, por lo que una empresa puede implementar uno o varios sistemas de Gestión. En este último caso se habla de sistemas integrados. La integración de estos sistemas de gestión, estén o no certificados, es más fácil con el apoyo de la plataforma tecnológicas ISOTools. Este Software te proporciona todas las herramientas necesarias para simplificar y mejorar la puesta en marcha de estos estándares, de manera eficaz.

Los 50 EXCELENTES de ISOTools en 2015

139

VOLVER AL ÍNDICE

43

CERTIFICACIONES

¿Cuáles son las funciones de un analista de riesgo? Analizar y cuantificar los riesgos a los que se exponen las empresas y entidades financieras en las distintas operaciones que llevan a cabo: esta es la principal función de un analista de riesgo. Para cumplir con sus objetivos, estos profesionales realizan un diagnóstico de la situación financiera de la empresa. Dichos riesgos pueden ser básicamente de los siguientes tipos: %% Operacionales, que son los problemas derivados de una gestión financiera inapropiada. %% De liquidez, por la necesidad de disponer de fondos %% De mercado. %% De endeudamiento. %% Falta de crédito.

Otras tareas habituales %% Analizar las operaciones financieras de riesgo mediante el estudio de su evolución financiera, de sus estados contables y de su rating o clasificación de la solvencia. %% Consolidar la información financiera y estadística de una empresa o entidad mediante el análisis y el estudio de informes sectoriales y de coyuntura económica. %% Desarrollar la normativa interna de riesgos de la organización para la que trabaja. %% Tomar decisiones sobre la viabilidad de los proyectos de la entidad financiera o empresa, estableciendo objetivos a corto y a largo plazo a partir del análisis de la información generada. %% Identificar posibles alternativas de actuación: inversiones, operaciones financieras, etc.

Perfil profesional Los analistas de riesgo cuenta con uno o varios de los siguientes títulos reglados: %% Licenciatura o Grado en Administración y Dirección de Empresas. %% Licenciatura o Grado en Economía. %% Licenciatura o Grado en Ciencias Actuariales y Financieras. %% Diplomatura  Ciencias Empresariales.

Los 50 EXCELENTES de ISOTools en 2015

141

VOLVER AL ÍNDICE

43 %% Grados en Ciencias Sociales y Jurídicas. LEE ESTE ARTÍCULO EN EL BLOG https://www. isotools. org/2015/08/17/ cuales-son-las-funciones-de-un-analista-de-riesgo/

Además, para trabajar en una entidad financiera es muy recomendable que el analista cuente con la siguiente formación específica: %% Curso de formación en riesgos de Basilea II (actualizaciones de las recomendaciones emitidas por el Comité de Supervisión Bancaria de Basilea I). %% Master in Busines Administration (MBA) en banca y finanzas. %% Curso superior de analista de riesgos en entidades financieras.

Principales riesgos a analizar en la entidades financieras Frecuentemente, las actividades profesionales de los analistas de gestión de riesgos tienen lugar en divisiones especializadas en bancos comerciales, bancos de inversión, gestoras de fondos de inversión y compañías de seguros. Esto implica la aplicación de metodologías de evaluación y mitigación de los efectos derivados de amenazas procedentes de variables observables en los mercados financieros. En finanzas, el concepto de riesgo hace referencia, básicamente, a la posibilidad de que ocurra un evento que se traduzca en pérdidas para los participantes: inversores, prestamistas o accionistas. Casi todos los riegos de las entidades financieras pueden englobarse en alguno de los siguientes grupos: %% Riesgo de mercado, el cual está asociado a las fluctuaciones de los precios de determinadas variables financieras. En relación a este tipo de riesgo se distingue, por un lado, el riesgo de tipo de interés, este es consecuencia de la volatilidad de los tipos de interés. Por otro lado está el riesgo de cambio, susceptible de producirse por la volatilidad del mercado de divisas. %% El riesgo de crédito se puede producir por dos posibles circunstancias. La posibilidad de que una de las partes de un contrato financiero no asuma sus obligaciones, o bien posibles rebajas en las calificaciones crediticias por parte de las agencias de rating, lo que altera el diferencial de crédito en los mercados. %% El riesgo de liquidez, referido a dos circunstancias. En primer lugar, el hecho de que una de las partes de un contrato financiero no pueda obtener la liquidez necesaria para asumir sus obligaciones. El segundo problema es la falta de profundidad de mercado, entendida como la ausencia de suficientes posiciones compradoras y vendedoras para cada nivel de precio. %% El riesgo operativo, el cual  se refiere a la posibilidad de sufrir pérdidas debido a la inadecuación o a fallos de los procesos, el personal y los sistemas internos, o bien a causa de acontecimientos externos. En esta definición se incluye el riesgo legal, y quedan excluidos los riesgos clasificados como estratégicos y de reputación.

ISOTools ayuda a la realización y seguimiento del diagnóstico en las organizaciones La Plataforma Tecnológica ISOTools permite que las organizaciones conozcan el grado de madurez de su Sistema de Gestión a través de la aplicación de autodiagnóstico. De este modo, las empresas pueden identificar sus puntos débiles y adoptar las medidas correctivas oportunas para convertir estas debilidades en fortalezas.

Los 50 EXCELENTES de ISOTools en 2015

142

VOLVER AL ÍNDICE

44

GESTIÓN EMPRESARIAL

Principales herramientas de gestión empresarial: funcionamiento y características La gestión es un elemento fundamental para que cualquier organización pueda lograr sus metas y objetivos de todo tipo. El éxito de cualquier modelo de gestión depende, en primer lugar, de una correcta planificación, pero para poder ejecutar la misma también son necesarias una serie de herramientas que permitan optimizar su desarrollo, encauzándolo en la dirección más adecuada. Las herramientas de gestión más importantes con los que cuentan las empresas son los sistemas y modelos de gestión. Estos sistemas facilitan el control de todos los procesos y actividades de una empresa, apoyándose en sistemas informáticos con el objetivo de automatizar los procesos, integrar los diversos profesionales y áreas de las empresa, facilitar el trabajo colaborativo, alinear objetivos y, en definitiva, ganar en eficacia y productividad.

Principales herramientas de gestión Las principales herramientas de gestión empresarial son las siguientes:

Balanced Scorecard El Balanced Scorecard (BSC) o Cuadro de Mando Integral (CMI) es una herramienta de gestión que, a través de la medición del cumplimiento de los objetivos estratégicos de las empresas permite evaluar, mediante una serie de indicadores controlados por un software específico, el desempeño global de la organización. Los principales aspectos que controla el BSC son: las finanzas (ingresos y costos), la calidad (producto, atención al cliente,servicio postventa), los procesos internos y la capacitación del personal.

Calidad Total La calidad total, también conocida como gestión de la calidad total, es una filosofía, cultura o estilo de gerencia que involucra a todos los miembros de una organización en el mejoramiento continuo de la calidad en todos los aspectos de la empresa. En la calidad total todos los miembros de la organización buscan mejorar la calidad de forma continua y gradual, no sólo en los productos, sino también en todos los aspectos de la empresa tales como: en los trabajadores, en los insumos, en los procesos, en la atención al cliente, y en los proveedores.

Los 50 EXCELENTES de ISOTools en 2015

143

VOLVER AL ÍNDICE

44 Reingeniería de procesos LEE ESTE ARTÍCULO EN EL BLOG https://www. isotools. org/2015/04/27/ principales-herramientas-de-gestion-empresarial-funcionamiento-y-caracteristicas/

La  reingeniería  o reingeniería de procesos es una técnica o herramienta de gestión que consiste en reinventar o rediseñar los procesos de una empresa de una forma radical, poniendo en marcha medidas críticas es aspectos básicos y altamente influyentes como los costos, la calidad, el servicio y la rapidez. No se trata de hacer algunas mejoras o implantar pequeñas correcciones y modificaciones sobre procesos ya implementados, sino de poner en marchas sistemas y circuitos de funcionamiento totalmente nuevos, que implican importantes cambios tecnológicos, nuevas inversiones y replanteamientos muy importantes en la forma de funcionar y realizar los diversos trabajos y tareas.

Empowerment El empowerment o empoderamiento  consiste en delegar, otorgar o transmitir poder, autoridad y responsabilidad a los trabajadores o equipos de trabajo de una empresa para aumentar su autonomía para que puedan tomar decisiones importantes y ejecutar tareas sin necesidad de consultar u obtener la aprobación de sus superiores.Outsourcing El outsourcing, también conocido como subcontratación o externalización, se basa en la contratación de terceros (profesionales u otras empresas) para que realicen actividades, funciones o procesos complementarios. El outsourcing posibilita transferir actividades, funciones o procesos a empresas especializadas, lo que puede redundar en un trabajo de mayor calidad y a menor costo, logrando así una mayor eficiencia y eficacia. Otra ventaja de esta herramienta de gestión es que permite a las empresas concentrarse en sus actividades, funciones o actividades principales o esenciales, evitando la dispersión y permitiendo una mayor concentración de esfuerzos y objetivos, lo que permite la generación de ventaja competitiva.

Benchmarking En esta ocasión, nos encontramos ante una técnica o herramienta que consiste en el seguimiento y comparación de empresas similares o del mismo ámbito sector de actividad. El fin del Benchmarking es evaluar sus productos, servicios, procesos y otros aspectos y realizar una comparación minuciosa y detallada y de carácter analítico con los nuestros y con los de las otras empresas. Con la aplicación del Benchmarking es posible identificar los puntos fuertes de la competencia y adaptarlos a la nuestra, poniendo en marcha las mejoras oportunas. Esto no significa un acción de simple copia, sino que la intención debe ser tomar como referencia los mejores aspectos de otras empresas con el fin de detectar errores propios o áreas de mejora.

La Plataforma ISOTools facilita la implantación de los diversas herramientas y modelos de gestión La plataforma ISOTools es un software de gestión que da respuesta a las necesidades reales de empresas y organismos comprometidos con la mejora continua y la excelencia y que busquen rentabilizar, de forma rápida y eficaz, sus sistemas y herramientas de gestión.

Los 50 EXCELENTES de ISOTools en 2015

144

VOLVER AL ÍNDICE

45

GESTIÓN DE RIESGOS

¿Por qué es importante la gestión de riesgos para tu empresa? Una de las tareas clave en la dirección de empresas es la gestión de riesgos. Este término se refiere a todas aquellas acciones que buscan proteger y crear valor dentro de una compañía para alcanzar los objetivos propuestos y mejorar su competitividad. Por «riesgo empresarial» entendemos todos los elementos que pueden generar incertidumbre o inestabilidad al interior de una empresa. Sin embargo, el riesgo no siempre tiene que suponer una amenaza, también puede generar oportunidades que la empresa debe ser capaz de identificar y aprovechar. Generalmente se habla de riesgos económicos o financieros, pero este término también puede aplicarse a labores como inversiones, medios de financiación, operaciones de arbitraje, políticas empresariales, modelos de contratación, entre otros. Una de las herramientas que las empresas tienen a su disposición para establecer un sistema de gestión de riesgos eficaz dentro de sus organizaciones, es la norma ISO 31000, establecida por la Organización Internacional de Normalización (ISO). Se trata de una norma internacional que establece principios y estrategias sobre la gestión del riesgo en cualquier campo comercial y que puede ser aplicada por las organizaciones más allá de su tamaño, naturaleza o actividad. ¿Cuáles son las ventajas de incorporar una política de gestión de riesgos? ¿Cómo se beneficia la empresa que la aplica? ¿Dónde y cómo se ven los aportes?

Proceso de gestión de riesgos. ¿En qué consiste? La norma ISO 31000 señala, en su texto introductorio, que todas las actividades comerciales de una empresa generan riesgos. Esto, antes que ser un aspecto negativo, sienta las bases para una política corporativa orientada a la valoración de los procesos. Es decir, incorpora el riesgo como parte fundamental de la labor comercial. De acuerdo a esto, toda empresa debe tener en cuenta tres aspectos a la hora de consolidar un plan de gestión de riesgos:

Los 50 EXCELENTES de ISOTools en 2015

145

VOLVER AL ÍNDICE

45 LEE ESTE ARTÍCULO EN EL BLOG https://www. isotools. org/2015/03/13/ por-que-es-importante-la-gestion-deriesgos-para-tu-empresa/

%% El contexto. Es decir, el entorno que rodea la actividad comercial de la empresa, tanto a nivel interno como externo. El objetivo es determinar qué estrategias de mercado son más adecuadas en cada caso. %% Valoración de riesgos. Que es, en pocas palabras, la definición de los elementos que lo generan, así como sus causas y efectos. %% Tratamiento. Una vez establecidos esos riesgos y analizados sus efectos, la empresa debe dar otro paso y plantear estrategias para aminorarlos o, en el mejor de los casos, suprimirlos. Este proceso de gestión de riesgo se completa con otros dos procesos, como son: %% Comunicación y consulta, considerado como el punto de partida para establecer las estrategias de riesgo que se llevarán a cabo. Este intercambio de información debe ser constante y estar presente en todas las etapas del proceso, para analizar la situación en cada momento y tomar las decisiones de actuación. Sólo así se podrá garantizar una eficiente gestión del riesgo. %% Monitoreo y revisión, parte esencial para la gestión del riesgo. Sólo a través de un seguimiento continuo y control exhaustivo es posible identificar a tiempo las posibles amenazas y oportunidades que se generan y desarrollar medidas que permitan la mejora de las herramientas, métodos y procesos que se llevan a cabo. Este seguimiento debe ser continuo, presente en todas las etapas, y  abarcar todos los procesos de gestión del riesgo, para que realmente sea efectivo.

Importancia de la gestión de riesgos El establecimiento de  un Sistema de Gestión de Riesgos en la empresa, supone una serie de ventajas adicionales para la empresa %% Favorece la identificación de amenazas, obstáculos y oportunidades. %% Aumenta las posibilidades de alcanzar los objetivos. Los procesos que tengan más seguimiento y control tienden a ser más exitosos. %% Impulsa la proactividad. Incorporada la labor de gestión de riesgos, los jefes de departamento y los empleados en general asumen una actitud más dinámica para la consecución de objetivos. %% Mejora las labores de administración de una empresa. %% La empresa mejora su eficacia en la asignación de recursos para la gestión del riesgo. Es decir, ya no es un gasto que se efectúa de manera improvisada. Lo más común es que se destine una pequeña parte del presupuesto. %% Mejora la adaptación de la empresa al entorno social y económico al que pertenece. Identificar los riesgos permite acercarse al contexto. %% Potencia la confianza de los grupos de interés. %% Facilita la toma de decisiones. %% Fomenta la capacidad de transformación de la empresa.

Software ISOTools Automatizar la Gestión de los Riesgos Corporativos con la plataforma ISOTools te facilitará la gestión global de los riesgos, mejorar la identificación de oportunidades y amenazas y minimizar las pérdidas, entre otras ventajas.

Los 50 EXCELENTES de ISOTools en 2015

146

VOLVER AL ÍNDICE

46

CALIDAD EN SALUD

Cuáles son y en qué consisten los principales atributos de calidad en salud Los ejes de la acreditación en salud La adopción de un modelo de acreditación en salud supone una gran oportunidad para conseguir alcanzar los nuevos estándares de calidad que los usuarios demandan. Al mismo tiempo, se potencia la confianza y la comunicación entre las distintas partes interesadas: la administración los profesionales y los usuarios, fortaleciendo la transparencia y autonomía en las decisiones estrictamente sanitarias y de gestión y facilitando la mejora continua y el correcto seguimiento de los procesos. Actualmente, la acreditación en salud se sustenta en cuatro pilares básicos de amplio alcance, los cuales precisan de la implicación de los directivos de los sistemas sanitarios y del conjunto de profesionales,  así como de una serie de transformaciones importantes a nivel organizativo y de medición de resultados y objetivos. Estos cuatro pilares o ejes son:

Satisfacción del paciente o cliente El objetivo principal de los servicios de salud no debe ser otro que lograr la máxima satisfacción del cliente, la cual está directamente relacionada y condicionada por una serie de atributos: %% Seguridad. Conjunto de medidas estructurales, orgnanizativas y protocolarias encaminadas a reducir el riesgo de que el paciente pueda sufrir algún evento adverso durante la atención sanitaria. %% Eficiencia. Nivel de competencia de los profesionales encargados de la atención del paciente.

Los 50 EXCELENTES de ISOTools en 2015

147

VOLVER AL ÍNDICE

46 %% Disponibilidad. Tiene que ver con las facilidades con que se encuentra el usuario al utilizar los servicios de salud. %% Oportunidad. Estados operativos de los servicios y opciones terapéuticas que en un momento dado puede llegar a precisar un usuario. %% Pertinencia. Es la garantía de que los usuarios reciban, en todo momento, los servicios que requieran para tratar su patología con las mayores garantías de éxito. %% Efectividad. Grado de acierto y éxito en las opciones terapéuticas finalmente elegidas para tratar al paciente. %% Aceptabilidad. Nivel de acuerdo y coincidencia de los pacientes con el trato recibido por parte de los profesionales y tratamiento ejecutado. %% Competencia. Medición de las competencias profesionales de los agentes implicados en los centros de salud. %% Coordinación. Comunicación fluida entre los distintos profesionales, centros y departamentos que integran el sistema de salud. %% Continuidad. Posibilidad de recibir las intervenciones requeridas de manera fluida y secuencial, sin interrupciones innecesarias.

Humanización de la atención Tan importante para la evolución positiva de un paciente son los métodos terapéuticos empleados, como el trato recibido por su médico, enfermeros y resto del personal. El respeto y los valores éticos son aspectos cruciales de cualquier sistema sanitario, además de un derecho fundamental para cualquier persona.

Gestión de la tecnología La tecnología médica ha sufrido un avance espectacular en la última década, mejorando las posibilidades diagnósticas y permitiendo intervenciones cada vez menos invasivas. Pero una deficiente gestión de los recursos tecnológicos puede reducir notablemente los niveles de eficiencia y efectividad. Enfoque de riesgo Este cuarto pilar tiene que ver con la valoración de los factores de cada usuario a la hora de abordar las distintas posiblidades y métodos terapéuticos disponibles.

Los métodos de evaluación Un aspecto fundamental en los modelos de acreditación y excelencia es la evaluación de los distintos parámetros. En el ámbito de salud, las últimas tendencias de evaluación incluyen los siguientes: %% Trazabilidad del paciente. %% Análisis de circunstancias y casuísticas de los eventos adversos. %% Sistematización y simultaneidad de entrevistas. %% Análisis de la cultura organizacional. %% Farmacovigilancia y tecnovigilancia. %% Funcionamiento de los comités de salud.

Los 50 EXCELENTES de ISOTools en 2015

148

VOLVER AL ÍNDICE

46 %% Reportes de calidad y tendencia de indicadores. %% Análisis de historias clínicas.

Aspectos críticos a mejorar A nivel general, existen una serie de factores críticos o áreas de mejora recurrentes en muchos sistemas y centros de salud. Entre ellos podríamos destacar: problemas de sincronización y articulación entre centros y departamentos, exceso de comités, reuniones y responsables, reticencias a los cambios organizaciones y en los procesos, circuitos o protocolos, organizaciones deficientes, sobre todo en la distribución del personal o cargas de trabajo excesivas en algunas áreas.

ISOTools le ayuda a gestionar los atributos de calidad en el modelo de acreditación Los modelos de acreditación son herramientas que ayudan a fomentar la calidad de los servicios que se prestan a los usuarios y ciudadanos, y que se basan  las mediciones objetivas de los indicadores y atributos. La plataforma ISOTools le puede ayudar en la gestión de estas acreditaciones.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/06/10/cuales-son-y-en-que-consisten-los-principales-atributos-decalidad-en-salud/

Software para Sistema de Gestión de la Calidad

Ada la n ptado u 900 eva ISOa 1:20 15

DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

149

VOLVER AL ÍNDICE

47

MODELOS DE EXCELENCIA

¿Cuáles son los principales modelos de excelencia? En las últimas décadas, el concepto de Calidad Total se ha ido introduciendo en la filosofía de las empresas. Su objetivo no es otro que plantear herramientas de gestión inteligente para afrontar los retos de un mercado cada vez más exigente y competitivo. Los métodos tradicionales de gestión resultan insuficientes en el escenario actual, sobre todo si se tiene en cuenta que los consumidores cada vez tienen un papel más activo en los procesos y que sus demandas se han modificado sustancialmente. Actualmente asistimos a un escenario empresarial con numerosas herramientas para la gestión inteligente. Sin embargo, todas tienen en común la adaptación de los procesos de calidad a la estructura empresarial. La elección de uno u otro depende del tipo de organización, de la naturaleza de los proyectos y de los objetivos planteados. ¿Cuáles son los principales modelos de gestión de excelencia? ¿En qué consisten? ¿Qué criterios siguen para la mejora continua de los procesos?

Principales modelos de Excelencia De la diversidad de métodos que pueden utilizarse para implantar sistemas de gestión de la calidad en las empresas, cabe destacar cuatro, que guardan una característica común: constituyen las bases y criterios para evaluar los premios de excelencia que llevan su propio nombre. Estos premios de excelencia nacieron con el fin de promover la calidad empresarial, bien a nivel nacional, como es el caso de los premios Deming de Japón, como continental. Con este fin, cada premio se fundamenta en una serie de criterios y procesos de evaluación, que les permite conocer su situación actual y tomar las medidas oportunas para realizar las acciones de mejora necesarias.

1. Método Deming: Su objetivo principal es la aplicación de las teorías de Control Total de la Calidad. Fue diseñado por el doctor Deming Prize y desarrollado desde 1951  por la Unión Japonesa de Científicos e Ingenieros (JUSE).

Los 50 EXCELENTES de ISOTools en 2015

150

VOLVER AL ÍNDICE

Implantación de los estándares de seguridad alimentaria Descargue este e-book gratuito

DESCARGAR AHORA

47 El foco está puesto en la evaluación de las distintas áreas de la empresa para determinar si se han obtenido buenos resultados tras la implantación del control de calidad. Para ello, plantea diez aspectos básicos mediante los cuales se puede realizar dicha valoración: %% Políticas y objetivos. %% Organización Operativa. %% Educación y diseminación. %% Flujo de información. %% Calidad de productos y procesos. %% Estandarización. %% Gestión y control. %% Garantía de calidad de funciones, sistemas y métodos. %% Resultados. %% Planes para el futuro.

2. Modelo Malcome Bladrige: Ante la masiva llegada de productos japoneses a Estados Unidos en la década de los 80, el país norteamericano se vio obligado a mejorar la calidad de sus productos para poder competir. En dicho proceso, las compañías eliminan cargos burocráticos y se centran en una filosofía de permanente revisión de sus procesos, invirtiendo más recursos en las pruebas de calidad y en acciones que hagan visibles las necesidades de los clientes. Este modelo plantea una interacción permanente de siete criterios: %% Liderazgo. %% Plan estratégico. %% Clientes y mercado objetivo. %% Recursos Humanos. %% Administración. %% Resultados. %% Información y análisis.

3. Modelo EFQM de excelencia: Este modelo tiene su origen en la Fundación Europea para la Gestión de Calidad (EFQM por sus siglas en inglés), organismo que fue creado en 1988 por 14 importantes compañías europeas que buscaban optimizar sus procesos de calidad interna. Su esquema es similar al del modelo de Malcome Bladrige, pero el énfasis está puesto en el liderazgo de los altos directivos y gerentes para impulsar el trabajo eficiente en los empleados, la política y estrategia empresarial y las alianzas y recursos. Para medir el impacto de un producto, los resultados se dividen en cinco criterios básicos: %% Lo conseguido por la empresa durante el proceso. %% Lo logrado con respecto a los objetivos de la organización. %% Lo conseguido por los competidores.

Los 50 EXCELENTES de ISOTools en 2015

152

VOLVER AL ÍNDICE

47 %% Lo conseguido por organizaciones referentes en el campo comercial. %% Las relaciones causa-efecto entre agentes y resultados.

4. Modelo Iberoamericano de Excelencia en la calidad Este método, creado en 1999 por la Fundación Iberoamericana para la Gestión de la Calidad (FUNDIBEQ), tiene una gran similitud con el modelo EFQM, dado que lo toma como base. El modelo Iberoamericano se compone de nueve criterios que se estructuran en proceso facilitadores, que recoge los cinco primeros, y resultados. %% Liderazgo y estilo de gestión. %% Política y estrategia. %% Desarrollo de las personas. %% Recursos asociados. %% Clientes. %% Resultados de clientes. %% Resultado del desarrollo de las personas. %% Resultados de sociedad. %% Resultados globales.

Modelos de gestión La plataforma ISOTools simplifica la implantación de estos modelos de excelencia y optimiza sus resultados.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/03/11/cuales-son-los-principales-modelos-de-excelencia/

Los 50 EXCELENTES de ISOTools en 2015

153

VOLVER AL ÍNDICE

48

ESTRATEGIA

Ventajas de aplicar el cuadro de mando integral en tu empresa El Cuadro de Mando Integral (CMI), o Balanced Scorecard, es una herramienta  de gestión empresarial que favorece el diseño, implantación, control  y evaluación de nuevas estrategias que favorezcan el desarrollo y crecimiento de la organización. La globalización de los mercados hace que las empresas se vean en la necesidad de diseñar nuevas estrategias que les permita ser más competitivas y diferenciarse de sus competidores, para continuar creciendo. Sin embargo, el desarrollo de estas tácticas precisa de herramientas concretas que faciliten la consecución de estos nuevos objetivos. En la actualidad existen métodos diversos que las empresas pueden poner en marcha con este fin. Entre ellos, uno de los más destacados por sus resultados positivos, es el Cuadro de Mando Integral, un instrumento que cuenta con más de veinte años de historia y que ha demostrado ser eficaz para cualquier tipo de empresas, con independencia de su tamaño o sector.

Características del  CMI El Cuadro de Mando Integral se basa en una serie de perspectivas en las que se enmarcan los objetivos estratégicos que persigue. Por norma general se habla de cuatro perspectivas, aunque en función de las necesidades de la empresa pueden ser más. Para medir y valorar la consecución de estos objetivos estratégicos, las empresas deben seleccionar y definir indicadores de gestión diferentes por cada objetivo y perspectiva. %% Perspectiva del cliente,  a través de la que se pretende conocer y mejorar el nivel de satisfacción de este sector. %% Perspectiva interna.  Es decir, los recursos que son necesarios para alcanzar los objetivos. %% Perspectiva de procesos. Viene determinada por la propuesta de valor. Se compone de procesos como la formación, la innovación o el servicio de postventa. %% Perspectiva financiera. Se centra en aspectos de tipo económico y se analiza a través de indicadores como el ROI o los beneficios ingresados.

Los 50 EXCELENTES de ISOTools en 2015

154

VOLVER AL ÍNDICE

48 Ventajas de aplicar el CMI LEE ESTE ARTÍCULO EN EL BLOG https://www. isotools. org/2015/04/07/ ventajas-de-aplicarel-cuadro-de-mando-integral-en-tuempresa/

La aplicación del Balanced Scorecard conlleva una serie de ventajas para las empresas que lo implementan en sus procesos. Esta herramienta: %% Ofrece una visión global de la situación de la empresa.  Al recoger información continua desde diferentes perspectivas permite observar, de manera global, las características más representativas de la empresa %% Permite conocer la situación concreta en la que se encuentra la organización. Además, la información analizada describe la situación exacta en la que se encuentra la empresa. %% Facilita  el control de la evolución de la compañía. Gracias a los indicadores y al seguimiento y análisis que se lleva a cabo, se puede prever las futuras consecuencias y actuar para evitar o minimizar riesgos y corregir desviaciones. %% Alinea los objetivos estratégicos con los de cada sector o departamento, de tal forma que se dirigen todos los esfuerzos hacia la misma meta. %% Favorece la comunicación de la estrategia a desarrollar y, por tanto, su implementación. Para la aplicación efectiva del CMI es fundamental una eficaz comunicación. Todos los integrantes deben conocer las estrategias que se van a llevar a cabo y colaborar en la consecución de los objetivos. %% Promueve la motivación e implicación de los trabajadores. Al hacerles partícipes, en todo momento del proceso, los trabajadores se sienten parte integrante y están más motivados.

El proceso de implementación del CMI La implementación de este modelo en la gestión empresarial, requiere de un análisis previo, que permita determinar la situación de salida y definir los objetivos que se pretenden alcanzar. Para diseñar las estrategias que se van a llevar a cabo, es decir, aquellas medidas que facilitarán la mejora y crecimiento empresarial, es necesario descomponer los procesos y analizar cuáles son aquellos que realmente confieren valor añadido tanto al producto como a la empresa. Tras este análisis, una vez definido el mapa estratégico, llega el momento de seleccionar los indicadores o KPI (Key Performance Indicators), que ayudarán al control y seguimiento de los mismos. A través de los indicadores se mide el desempeño de cada uno de los procesos y su adecuada evolución. Estos indicadores proporcionan información de interés de manera continua y facilita la prevención o intervención, en caso preciso, al indicar qué proceso no están resultando efectivos. Este proceso es uno de los más importantes en la implementación del CMI, pues una selección de indicadores poco representativos no ofrecerá la información buscada, y por tanto, impedirá que se alcancen los resultados deseados. Por otro lado, se debe diseñar el plan de acción y comunicarlo a toda la organización. El conocimiento por parte de todos los miembros de la organización es fundamental para alcanzar los objetivos estratégicos. Por último, es necesario llevar un seguimiento y control continuo, para detectar posibles desviaciones o riesgos y analizar qué procesos se pueden mejorar.

Los 50 EXCELENTES de ISOTools en 2015

155

VOLVER AL ÍNDICE

49

ESTRATEGIA

Cómo elegir los mejores indicadores de un Balanced Scorecard (BSC) El Balanced Scorecard (BSC) o Cuadro de Mando Integral (CMI) es un modelo de gestión estratégica que permite a las empresas tener una visión general, conjunta e interrelacionada de los distintos objetivos de la empresa. Para ello, esta herramienta se apoya en una serie de indicadores que permiten ligar los objetivos de la organización con unos planes de acción concretos. El Balanced Scorecard (BSC) es una herramienta que permite implementar la estrategia y la misión de una empresa a partir de un conjunto de medidas de actuación. Desde su divulgación en 1992 por sus dos autores, Robert Kaplan y David Norton, ha sido incorporada a los procesos de gerencia estratégica de un gran número de organizaciones de todo tipo de tamaños y ubicaciones, en especial de EEUU, Europa y Asia.

Los indicadores en el BSC Los indicadores configuran una parte muy importante del BSC, ya que esta herramienta se apoya en una serie de ellos para poder ligar los objetivos de la empresa con planes de acción concretos. A través de los indicadores, los BSC consiguen controlar y monitorizar tanto los objetivos de las empresas como las diferentes áreas de negocio.

Tipos de indicadores La principal característica del BSC es que es capaz de ofrecer un visión global de las empresa. Dicha visión integral y de gran alcance afecta también a los indicadores utilizados, los cuales van más allá de los aspectos exclusivamente cuantitativos o tangibles, como por ejemplo el número de ventas o la rentabilidad, valorando también aspectos intangibles, pero igualmente importantes en el medio y largo plazo como: la satisfacción de los clientes, la gestión ambiental o el bienestar de los empleados. Esto significa que, al menos potencialmente, existe un número increíblemente alto de indicadores. Si utilizamos una clasificación basada en el tipo de perspectiva utilizada por cada organización, podríamos diferenciar entre tres grandes clases de indicadores:

Los 50 EXCELENTES de ISOTools en 2015

156

VOLVER AL ÍNDICE

49 1) Indicadores de productividad Dentro de este punto de vista se analizan todos los procesos internos de la organización para obtener el rendimiento esperado y la satisfacción de los clientes. En este grupo se incluye aquellos indicadores que tienen que ver con la calidad del proceso, como por ejemplo: %% Calidad del producto. %% Coste del producto. %% Eficiencia del proceso de fabricación. %% Tiempos de entrega. %% Indicadores de seguridad e higiene. %% Calidad de materias primas. %% Repetitividad de los procesos. %% Mantenimiento de productos. %% Indicadores medioambientales.

2) Indicadores de la perspectiva del cliente Aquí entraría en juego cualquier indicador que diera solución a satisfacer las necesidades de los clientes, así como mejorar nuestra cuota de mercado. Algunos indicadores relevantes dentro de esta perspectiva son: %% Fidelidad del cliente. %% Satisfacción del cliente. %% Calidad  percibida de nuestro producto o servicio. %% Imagen que tienen los clientes de nosotros. %% Calidad del servicio postventa y de atención al cliente.

3) Indicadores de la perspectiva financiera En este grupo se incluirían todos aquellos indicadores que tienen que ver con la contabilidad y las finanzas, en especial aquellos factores que reflejan la situación económica de la empresa en un momento determinado: %% Ampliaciones de capital. %% Salidas a bolsa, fusiones o absorciones. %% Creación de filiales. %% Gestión del riesgo. %% Indicadores de ventas. %% Indicadores de liquidez. %% Nivel de endeudamiento.

Claves para seleccionar los indicadores La primera y más importante regla es que no se deben empezar a desarrollar los indicadores hasta que los objetivos estratégicos no estén claramente definidos en el mapa estratégico y validados por el equipo de líderes.

Los 50 EXCELENTES de ISOTools en 2015

157

VOLVER AL ÍNDICE

49 En el momento en que cada objetivo haya sido decidido y claramente entendido por todos los actores implicados, la organización habrá logrado establecer el alcance y los límites de lo que necesita medir, y será cuando procederá a identificar y seleccionar los indicadores. Una buena estrategia puede ser la siguiente: %% Realizar un brainstorming (comparación) de los indicadores potenciales. Por lo general, hay entre 2 y 5 indicadores posibles para cada objetivo y de cada indicador se deben  revisar diversos aspectos y realizarse las siguientes preguntas: ¿Ayuda el indicador a entender el desempeño estratégico y comunicar los resultados a los empleados? ¿El indicador es cuantificable y repetible? ¿Puede actualizarse con la frecuencia suficiente como para ser significativo, por ejemplo mensual o trimestralmente? ¿Pueden establecerse metas de mejoras cuantificables? o ¿Alienta y codifica las responsabilidades? %% En función del análisis anterior, seleccionar un listado final con los indicadores que, de forma consensuada entre todas las personas que lideren el BSC, se consideren más óptimos. %% Relacionar cada indicar con su objetivo correspondiente.

ISOTools: Software para Balanced Scorecard La plataforma ISOTools convierte al Balanced Scorecard en un modelo de gestión muy visual y sencillo de implantar, mantener y automatizar.

LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2015/05/27/como-elegir-los-mejores-indicadores-de-un-balanced-scorecard/

Software de Integración de Sistemas de Gestión DESCÚBRELO

Los 50 EXCELENTES de ISOTools en 2015

158

VOLVER AL ÍNDICE

50

INOCUIDAD ALIMENTARIA

Norma ISO 22000: explicación completa de su contenido Norma ISO 22000: una garantía de calidad en las distintas fases de la cadena alimentaria El objetivo principal de la norma ISO 22000, de Sistemas de Gestión de Inocuidad Alimentaria, es garantizar la seguridad alimentaria en todos los procesos implicados desde el lugar de producción del alimento hasta que es consumido. Por lo tanto, el alcance de esta norma es la totalidad de las fases de la cadena de suministro de los productos de alimentación.

Ventajas y objetivos de la norma Las principales ventajas derivadas de su implantación son las siguientes: %% Especificidad de requisitos para la industria alimentaria, puesto que es una norma pensada exclusivamente para este campo. %% Posibilidad de aplicación a toda la cadena alimentaria, con lo que cubre todos los posibles peligros que pueden provocar que un alimento no sea inocuo. %% Aceptación a nivel internacional, al estar elaborada por una organización reconocida en numerosos países. %% Cobertura de los aspectos de calidad y seguridad alimentaria exigidos por las normas de certificación de seguridad alimentaria de las diferentes asociaciones de distribuidores. %% Compatibilidad para su integración con otras normas ISO, como las de las series 9000 o las 14000 en un Sistema de Gestión Integrado de Calidad, Seguridad Alimentaria y Medioambiental. %% Evitar la duplicación de documentación de los diferentes sistemas de calidad y seguridad alimentaria, al integrarlos todos en el mismo sistema de gestión.

Los 50 EXCELENTES de ISOTools en 2015

159

VOLVER AL ÍNDICE

50 Objetivos La norma ISO 22000 persigue una serie de objetivos, entre los que se pueden destacar: %% Conseguir una mejor protección del consumidor, con lo que se aumenta su confianza en los productos y empresas, mediante sus mecanismos de seguridad alimentaria. %% Mejorar la cooperación entre los distintos estamentos relacionados con la industria alimentaria, tanto privados como oficiales, a nivel nacional e internacional, por medio de los requisitos de comunicación y gestión. %% Contribuir a reforzar los mecanismos de seguridad alimentaria del sector, armonizando requisitos y criterios. %% Optimizar los procesos a lo largo de la cadena alimentaria, reduciendo los costes por el análisis de los fallos en los productos e implantado procesos de mejora continua.

Contenidos de la norma ISO 22000 En términos generales, su contenido se agrupa en tres grandes bloques: %% Requisitos para un Sistema de Gestión de Seguridad Alimentaria. %% Requisitos para un Sistema de Análisis de Peligros y Puntos de Control Crítico (APPCC). %% Requisitos para un programa de Planes de Prerrequisitos Sistema de Gestión de la Inocuidad de los Alimentos. A partir de estos bloques, el contenido completo de la norma se distribuye en los siguientes apartados: %% Objeto y campo de aplicación. %% Referencias normativas. %% Términos y definiciones. %% Sistema de Gestión de la Inocuidad de los Alimentos. %% Responsabilidad de la Dirección. %% Gestión de recursos. %% Planificación y realización de productos inocuos. %% Validación Verificación y Mejora del Sistema de Gestión de la Inocuidad de los Alimentos. Integración de la normativa UNE-EN ISO 22000:2005 en un sistema de gestión de calidad ISO 9001:2008. Incluye también tres Anexos de carácter informativo: %% Anexo A: Correspondencia entre ISO 22000:2005 e ISO 9001:2000. %% Anexo B: Correspondencia entre los Principios APPCC e ISO 22000:2005. %% Anexo C: Referencias del Codex Alimentarius sobre ejemplos de medidas de control (Prerrequisitos, GMP, etc).

Objeto y campo de aplicación De una forma genérica, informa de los requisitos para que una empresa alimentaria demuestre que cumple con la normativa legal aplicable a su actividad y que controla los

Los 50 EXCELENTES de ISOTools en 2015

160

VOLVER AL ÍNDICE

La norma ISO 31000. El valor de la gestión de riesgos en las organizaciones Descargue este e-book gratuito

DESCARGAR AHORA

50 posibles peligros de seguridad alimentaria derivados de sus productos y procesos. LEE ESTE ARTÍCULO EN EL BLOG https://www. isotools. org/2015/06/30/ norma-iso-22000-explicacion-completa-de-su-contenido/

Referencias normativas En lo relativo a los requisitos de gestión sigue las pautas y la estructura de las normas de la serie ISO 9000:2000 de sistemas de gestión de la calidad.

Términos y definiciones Son básicamente los mismos que los contenidos en la ISO 9000, aunque existen algunos específicos señalados en la norma ISO 22000:2005.

Sistema de gestión de la inocuidad de los alimentos La norma especifica que la organización debe: «Establecer, documentar, implementar y mantener un sistema eficaz de gestión de la inocuidad de los alimentos y actualizarlo cuando sea necesario, de acuerdo con los requisitos de esta norma internacional».

Responsabilidad de la Dirección Como en todo sistema de gestión de calidad o de seguridad alimentaria, no es posible tener éxito en el proyecto si no se cuenta con un impulso y un respaldo total por parte de la Alta Dirección de la empresa.

Gestión de recursos El Sistema de Gestión de la Inocuidad de los Alimentos, como toda actividad empresarial, necesita la asignación de recursos para su desarrollo, implementación, mantenimiento y mejora. Esta provisión de medios debe abarcar los campos de: Recursos Humanos, Infraestructura y  Ambiente de Trabajo.

Planificación y realización de productos inocuos La empresa alimentaria debe: “Planificar y desarrollar los procesos necesarios para la realización de productos inocuos”. En esto se incluyen: los Programas de Prerrequisitos, los Prerrequisitos Operativos y el Plan APPCC.

Validación, verificación y mejora del sistema de gestión de la inocuidad de los alimentos Esta parte del contenido tiene que ver con la integración de la normativa UNE-EN ISO 22000:2005 en un sistema de gestión de calidad ISO 9001:2008 31. La Norma ISO 22000:2005 establece que: «El Equipo de la Inocuidad de los Alimentos debe planificar e implementar los procesos necesarios para validar las medidas de control y/o las combinaciones de medidas de control, y para verificar y mejorar el sistema de gestión de la inocuidad de los alimentos».

Controla el Riesgo y la Seguridad de tu empresa con la plataforma ISOTools La plataforma tecnológica ISOTools integra una serie de funciones, basadas en el ciclo PHVA, que facilita  el control de los riesgos y aumenta la seguridad  de los procesos que se llevan a cabo, dos procesos esenciales para garantizar la inocuidad de los alimentos conforme a la norma ISO 22000 y otros estándares afines.

Los 50 EXCELENTES de ISOTools en 2015

162

VOLVER AL ÍNDICE

ISOTools EXCELLENCE

Presencia mundial, apoyo local

ISOTools Chile www.isotools.cl +56 2 2632 1376

ISOTools Colombia www.isotools.com.co +57 1 3470048

ISOTools México www.isotools.com.mx +52 5536263909

ISOTools Argentina

ISOTools Brasil

ISOTools Ecuador

ISOTools España

+54 11 4943 6310

+55 11 2677 – 4528

+593-2-2236970

+34 957 102 000

ISOTools Guatemala

ISOTools Bolivia

ISOTools Panamá

ISOTools Costa Rica

+57 1 3470048

+511 4444932

+57 1 3470048

+57 1 3470048

ISOTools Portugal

ISOTools Rep. Dominicana

ISOTools USA

ISOTools Uruguay

+351 253 273 245

+1 829 956 1217

+1 3057777950

+598 – 2623 6656

Los 50 EXCELENTES de ISOTools en 2015

ISOTools Perú www.isotools.pe +52 5536263909

163

VOLVER AL ÍNDICE

Quality & Performance Management Software

www.isotools.org (+34) 957 102 000