50 Excelentes Isotools 2014
Short Description
Descripción: calidad...
Description
Los 50 mejores artículos publicados a lo largo de 2014 en el blog “Calidad y Excelencia” de ISOTools Excellence
ÍNDICE
Los 50 Excelentes de ISOTools en 2014 ISOTools Excellence
4
Software ISO, BSC y BPM
4
Sistema modular
5
Propuesta de valor
6
Calidad
7
01. Requisitos necesarios para que las universidades obtengan...
8
02. Implantación de la ISO 9001 en el sector de la construcción
11
03. ¿Por qué certificarse con la nueva norma ISO 9001:2015? (12)
13
04. Cambios significativos en la nueva ISO 9001:2015 (13)
14
05. La identificación de los requisitos legales según la nueva ISO...
16
06. ISO 9001: ¿En qué principios se basan los Sistemas de Gestión...
17
07. ISO 9001: Fundamentos de los Sistemas de Gestión de la Calidad
22
08. ISO 9001: ¿Cómo documentar un Sistema de Gestión de la Calidad?
26
09. ISO 9001:2015, la Gestión del Riesgo
30
10. ISO 9001: Cómo gestionan las pymes los Riesgos
34
11. ISO 9001:2015 Factores externos e internos de la organización
37
12. Nueva ISO 9001 versión 2015: La importancia de la Participación...
41
13. Nueva ISO 9001:2015. Principios: Enfoque basado en hechos para...
42
Medio Ambiente
43
14. La Norma ISO 50001:2011 y la Gestión de la Energía
44
15. La importancia del Sistema de Gestión Ambiental en la ISO 14001
46
16. Los beneficios aportados por la norma ISO 14001 a las...
47
17. Términos y definiciones de la norma ISO 14001
48
18. ISO 14001: Costos asociados a una gestión ambiental inadecuada
49
19. ISO 14001: Conoce los fundamentos del Sistema de Gestión...
53
20. ISO 14001: ¿Qué documentación precisa la implementación de...
56
21. ISO 14001: Procesos que afectan a la Gestión Ambiental
61
22. ISO 14001: Pasos para implantar y diseñar un Sistema de...
65
Los 50 EXCELENTES de ISOTools en 2014
2
ÍNDICE
Seguridad y Salud Laboral
68
23. La importancia de la OHSAS 18001 dentro del sector turístico
69
24. OHSAS 18001 Origen y evolución
71
25. OHSAS 18001: Procedimiento de evaluación de riesgos
72
26. OHSAS 18001: Requisitos legales y otros requisitos de la norma
75
27. OHSAS 18001: ¿Cómo elaborar un Plan de Emergencia?
79
28. OHSAS 18001: Actividades de medición y seguimiento del...
83
29. ISO 45001: El nuevo estándar internacional sobre Seguridad...
86
30. OHSAS 18001: Identificación de No Conformidades...
90
31. OHSAS 18001: Control de los registros para SST
93
32. ¿Cuáles son los beneficios económicos que proporciona...
97
Seguridad de la Información
98
33. ¿Cómo implantar un SGSI en un PYME según la ISO 27001?...
99
34. ISO 27001: ¿Cómo es el proceso de implementación en...
102
35. ISO 27001: Seguridad en el intercambio de información
104
36. ISO 27001: La importancia de garantizar un acceso seguro a los...
109
37. ISO 27001: Soluciones a las vulnerabilidades técnicas
113
38. ISO 27001: Clave para la Continuidad de Negocio
116
39. ISO 27001: Cumplimiento de los requisitos legales en Seguridad...
121
40. ISO 27001 Procedimientos y responsabilidades para la gestión...
125
Sistemas de Gestión Integrados
127
41. ¿Qué contenidos debe incluir un Plan de Integración?
128
42. Sistemas integrados: Anexo SL
131
43. Evolución del alcance de los Sistemas de Gestión Integrados
137
44. Mapa de procesos de los Sistemas de Gestión Integrados
139
45. La automatización del sistema HSEQ
141
46. Sistemas Integrados de Gestión: Enfoques metodológicos para...
144
47. Sistemas integrados: ¿Qué metodología de integración es la ...
146
48. Estructura documental de los Sistemas de Gestión Integrados
150
Miscelánea
152
49. La aplicación de la norma ISO 39001 en las empresas...
153
50. ISO 22301: Buenas prácticas para la continuidad de negocio...
156
Los 50 EXCELENTES de ISOTools en 2014
3
VOLVER AL ÍNDICE
ISOTools EXCELLENCE
El software más fácil e intuitivo para la gestión ISO, BSC y BPM Compuesta de diferentes módulos, es un software escalable, flexible y adaptable a las necesidades de cada empresa u organización independientemente del tamaño y del sector en el que opere. Es un software que favorece la agilización y la mejora de los procesos, así como la accesibilidad y búsqueda rápida y fácil de la información.
Software ISO ¿QUÉ DICEN NUESTROS USUARIOS?
“Tener mediciones en tiempo real nos proporciona un gran control sobre el sistema, porque identificamos rápidamente dónde están los problemas y esto hace que la toma de decisiones sea oportuna.” Fabiana Iglesias Jefa de Calidad de YAVIC. Panamá.
Este Software ISO se desarrolla un entorno web con el objetivo de dar cumplimiento a los requisitos de las normas ISO. Es un software ideal, facilita a las organizaciones la implementación, mantenimiento y mejora continua de los Sistemas de Gestión ISO como Sistemas de Calidad (ISO 9001) , Medio Ambiente (ISO 14001) , Seguridad y Salud en el Trabajo (OHSAS 18001) y Seguridad de la Información (ISO 27001) .
Software BSC El Software Balance Scorecard es la herramienta perfecta para que la planificación estratégica se ejecute en función de las metas establecidas. El Balanced Scorecard, también conocido como Cuadro de Mando Integral o CMI, facilita el desarrollo, estructura y puesta en marcha de la estrategia a medio y largo plazo de una organización.
Software BPM El Software BPM consigue que las organizaciones administren de un modo más fácil los procesos, simplifica la gestión de proyectos y la gestión de cada uno de los procesos que intervienen. El uso de este software para la gestión por procesos logra impulsar los vínculos con las partes interesadas además de consolidar y mejorar continuamente los procesos.
CONTACTA CON UN CONSULTOR EXPERTO
Los 50 EXCELENTES de ISOTools en 2014
4
VOLVER AL ÍNDICE
ISOTools EXCELLENCE
Existe un ISOTools único para cada organización Estamos ante un sistema modular y totalmente parametrizable, que se adapta a las necesidades de cada organización. Cuenta con un módulo base que sirve como cimiento de otros módulos de soluciones que cubren distintas áreas, pensados para facilitar y agilizar la gestión de sistemas y modelos, y de esta forma poder dar cumplimiento a los requisitos de los mismos. Sea cual sea tu sector.
MÓDULO BASE
SISTEMAS DE GESTIÓN
MODELOS DE EXCELENCIA
Calidad
Estrategia
Medioambiente y energía
Procesos
Riesgos y Seguridad
Personas
Responsabilidad social
Evaluación y Resultados
CONTACTA CON UN CONSULTOR EXPERTO
Los 50 EXCELENTES de ISOTools en 2014
5
VOLVER AL ÍNDICE
ISOTools EXCELLENCE
+ 15 años + 15 países + 1000 clientes + 50000 accesos + 75000 usuarios
Mucho más que un software ISOTools Excellence es una consultora con más de 15 años de experiencia que ayuda a las organizaciones comprometidas con la calidad y la excelencia a: %% Optimizar sus modelos y sistemas de gestión aportando soluciones innovadoras para la gestión de la estrategia, los procesos y las personas. %% Facilitar su aplicación, haciéndolos accesibles, ágiles y medibles, y aportando resultados en el corto plazo, gracias a una plataforma tecnológica de desarrollo propio llamada ISOTools.
Somos Consultoría Estratégica
Somos Innovación Tecnológica
ISOTools Excellence está formado por expertos consultores al servicio de los clientes, que muestran de manera personalizada a cada organización, la alternativa más sencilla y práctica de operar generando un impacto real en los resultados y proporcionando una ventaja competitiva sostenible en el tiempo.
Esta labor de consultoría se apoya en su plataforma tecnológica, a través de la cual ofrece soluciones integrales, aplicando continuamente la innovación tecnológica como medio de adaptación a las necesidades del mercado, requisitos normativos y tipología de organización.
CONTACTA CON UN CONSULTOR EXPERTO
Los 50 EXCELENTES de ISOTools en 2014
6
VOLVER AL ÍNDICE
Calidad.
01
CALIDAD
Requisitos necesarios para que las universidades obtengan la certificación ISO 9001 Para obtener la certificación ISO 9001, las universidades deben cumplir con los requisitos establecidos en dicha norma. En general, las universidades deberán establecer, documentar y realizar el mantenimiento del Sistema de Gestión de Calidad y desarrollar sus actividades para conseguir la mejorar continuamente la eficacia del sistema basándose en los requisitos de la norma ISO9001. Por lo que las universidades deberán: %% Definir los procesos necesarios para el sistema de gestión de la calidad y su aplicación a través de la organización. %% Determinar la secuencia y relaciones existentes en los procesos. %% Identificar los criterios y métodos utilizados para garantizar la eficacia del desarrollo y control de estos procesos. %% Asegurar la existencia de recursos e información que son necesarios para la operación y el seguimiento de estos procesos. %% Realizar un seguimiento, medición y análisis de los procesos. %% Ejecutar la implementación de las acciones necesarias para alcanzar los resultados definidos y la mejora continua de los procesos. Cuando las universidades toman la decisión de contratar procesos que pueden causar efectos perjudiciales sobre la conformidad del producto con los requisitos. Si esto tuviese lugar, la universidad tendrá la responsabilidad de especificar esos procesos externos pertenecientes al Sistema de Gestión de la Calidad. La mayoría de las universidades que no consiguen implementar exitosamente el si Sistema de Gestión de la Calidad según la norma ISO-9001 es debido a la ausencia de compromiso por
Los 50 EXCELENTES de ISOTools en 2014
8
VOLVER AL ÍNDICE
Responsable de Calidad: ¿Estás preparado para el futuro? Descargue este e-book gratuito
DESCARGAR AHORA
01 parte de la organización. La obtención de la certificación no se limita al cumplimiento de los requerimientos de documentación y en la puesta en marcha del sistema de calidad, también es necesario que la alta dirección participe activamente en el proceso y comprendan que existe una necesidad de cambio, por lo que es necesario que se adopten las medidas oportunas para inculcar una cultura de calidad dentro de la organización. La probabilidad de éxito en la implantación del Sistema de Gestión de Calidad basado en la ISO9001 se incrementa cuando los miembros de la universidad participan en el proceso. [/div] Otras causas por las que las universidades no obtienen la certificación ISO 9001 se debe al establecimiento de objetivos por encima de la capacidad de la organización, por realizar una mala planificación o por la presencia de errores en la identificación y establecimiento de los procesos. La Plataforma Tecnológica ISOTools ayuda a las organizaciones a resolver de un modo muy completo los requisitos de la norma ISO 9001 de un modo muy sencillo.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/03/13/requisitos-necesarios-para-que-las-universidades-obtengan-la-certificacion-iso-9001/
Software para Sistema de Gestión de la Calidad
Ada la n ptado u 900 eva ISOa 1:20 15
DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
10
VOLVER AL ÍNDICE
02
CALIDAD
Implantación de la ISO 9001 en el sector de la construcción El estándar ISO 9001 se utiliza en las empresas del sector de la construcción para que éstas lleguen a ser más competitivas y puedan aumentar su mercado. La mayoría de los directores creen que la ISO-9001 solo se puede implantar en el sector manufacturero y que no se puede asociar al sector de la construcción. Esta idea no es así, debido a que el sector de la construcción es un sector el cual posee el mayor número de empresas certificadas. La norma ISO9001 es una herramienta que facilita la integración de la parte técnica, administrativa y humana asociada con la construcción a través de la adopción de un sistema de gestión de la calidad. Las empresas que forman parte del sector de la construcción llevan a cabo un Sistema de Gestión de la Calidad que incluye una serie de directrices operacionales. El Plan de Calidad es un documento que incluye el Sistema de Gestión de la Calidad de una obra y/o proyecto Los beneficios que obtienen las empresas con la implementación de la ISO 9001 son los siguientes: %% Disminución de los gastos administrativos y operativos. %% Mejoramiento del servicio de la calidad
Los 50 EXCELENTES de ISOTools en 2014
11
VOLVER AL ÍNDICE
02 %% Aumento de la competitividad. %% Alianzas estratégicas debido a la apertura de mercados internacionales. %% Establecimiento de una estructura organizacional flexible. %% Aumento de la confianza por parte de los clientes. %% Optimización de los recursos operativos, administrativos y humanos. Si las empresas no realizan los requerimientos del estándar ISO-9001, se enfrentarán a costes debido al: %% Retrasos en los plazos de entregas lo que provocará multas. %% Deficiencias en las empresas%% Número de horas, días o semanas empleadas en llevar a cabo reparaciones. %% Materiales y productos que son defectuosos. %% Mal empleo y desperdicios de los materiales. La Plataforma Tecnológica ISOTools va a ayudar a las organizaciones del sector de la construcción a realizar la automatización de manera más sencilla de los sistemas de gestión según la ISO 9001.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/04/28/implantacion-de-la-iso-9001-en-el-sector-de-la-construccion/
Software de Integración de Sistemas de Gestión DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
12
VOLVER AL ÍNDICE
03
CALIDAD
¿Por qué certificarse con la nueva norma ISO 9001:2015? Como ya sabemos se está revisando la norma ISO 9001 y está previsto que para el año 2015 salga una nueva versión con varías diferencias respecto de la actual, se pretende mejorar haciéndola más fácilmente entendible y aplicable. La nueva norma ISO 9001:2015 viene con algunas modificaciones con respecto a la norma que está vigente actualmente, con las que se desea proporcionar a las empresas la posibilidad de adoptar un Sistema de Gestión de la Calidad basado a la orientación de las organizaciones hacia el éxito sostenido a largo plazo y en la concienciación del cambio. Las organizaciones tras obtener la certificación de la futura norma ISO9001:2015, obtendrán una serie de beneficios: %% Acceder a clientes nuevos: debido a la mala situación económica que estamos atravesando la cartera de clientes de muchas empresas se ve afectada, principalmente porque muchos de los clientes recortan sus gastos. Ante esta situación, las empresas deciden implantar la ISO-9001:2015 en sus organizaciones para abrir nuevas puertas en el mercado y de este modo ampliar el acceso a trabajar con nuevos clientes. %% Imitar al líder: las empresas exponen y emplean sus certificaciones vigente, que en un futuro modificaran su certificación actual por la certificación de la nueva norma, como una herramienta de marketing para diferenciarse del resto y ofrecer confianza y verificar a sus clientes. Imitando estos casos de éxito lograremos objetivos propios. %% Revisar los procesos de trabajo: la adopción de un Sistema de Gestión de la Calidad de la mano de la nueva ISO 9001-2015, implica el control y la mejora de los procesos de trabajo. En consecuencia, la organización camina su actividad hacia las expectativas del cliente y a la cuota de mercado. La Plataforma Tecnológica ISOTools ayuda a que las organizaciones puedan cubrir con estos tres factores clave tras la adopción, sistematización, evaluación, control y verificación del nuevo estándar ISO9001: 2015 de una manera eficaz y eficiente.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/05/23/cuales-son-los-motivos-para-inclinarse-por-la-nuevanorma-iso-90012015/
Los 50 EXCELENTES de ISOTools en 2014
13
VOLVER AL ÍNDICE
04
CALIDAD
Cambios significativos en la nueva ISO 9001:2015 Durante este post se van a analizar los cambios más significativos que aparecerán en la nueva ISO 9001:2015. Los cambios que más influyen en las organizaciones es la orientación a las empresas de servicios, ya que se modifica el término producto por el de servicios y bienes, esto significa para muchas organizaciones muchas más facilidades a la hora de integrarse respecto a la calidad. Debido a esto las empresas van a experimentar un incremento de su prestigio, además de su cartera de clientes, ya que las empresas ofrecerán un servicio de mayor calidad aumentando las expectativas de los clientes. Otro cambio significativo se produce en el enfoque basado en los procesos, ya que puede ofrecer numerosas ventajas. Estos procesos tienen que estar bien definidos, integrados entre ellos, identificados los riegos, definidos los responsables del proceso, etc. Todo lo indicado en el párrafo anterior dará lugar a una mejora en el funcionamiento de la empresa, que ofrecerá rápidas soluciones y mejorará tanto rendimiento como la imagen. También, se ha llevado a cabo la supresión del término de acciones preventivas que en el nuevo Sistema de Gestión está considerado, en su más alto nivel de prevención, un sistema preventivo. Para esto, la organización se enfrentará a la Gestión de los Riesgos a través del análisis y señalización de los riesgos, así como de la creación de acciones o medidas para poder impedir que se produzcan. Como existen cambios y modificaciones continuas, la nueva norma ISO9001:2015 integra la gestión del cambio en la ISO 9001:2008. Actualmente es de vital importancia que las organizaciones tengan esto presente para que así puedan proporcionar los mejores servicios y bienes a sus clientes. Además, esto las ayudará a mejorar y mantener el rendimiento de sus Sistemas de Gestión de la Calidad.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools. org/2014/06/11/ cambios-significativos-en-la-nueva-iso-90012015/
Otra de las modificaciones es la mayor incidencia de la mejora continua en la nueva ISO9001:2015. Los auditores exigen mucho en lo que se refiere a este aspecto. Esta modificación quiere conseguir que las empresas empleen mayor número de instrumentos en la gestión de las oportunidades de mejora mediante una apropiada organización del desarrollo de las acciones. La Plataforma Tecnológica ISOTools es consciente de estos cambios, por lo que se pone a disposición de sus clientes para realizar de la mejor forma el desarrollo de las empresas.
Los 50 EXCELENTES de ISOTools en 2014
14
VOLVER AL ÍNDICE
Se acaba el tiempo, ¿Ya estás actualizado?
Con este curso online aprenderás todo lo que necesitas saber sobre la inminente ISO 9001:2015
MATRICÚLATE AHORA
05
CALIDAD
La identificación de los requisitos legales según la nueva ISO 9001:2015 Las empresas deben llevar un control exhaustivo durante la identificación y el mantenimiento de los requisitos legales que le pueden ser aplicados a la organización, puede ser entorno a la calidad del producto, al medio ambiente e incluso a la seguridad y salud en el trabajo. Las organizaciones pueden contar con indicadores que facilitan la comprobación del proceso, es decir, conocer si el proceso cumple con la misión que le ha sido asignada. Los indicadores pueden ser: %% Identificación de los requisitos legales: se puede proceder a medir el número de disposiciones que se encuentran identificadas o no identificadas. %% Comunicación y acceso a los requisitos legales: se puede medir cuan accesibles resultan los requisitos legales para las personas que deben tener conocimientos de estos. Las diferentes actividades que se pueden desarrollar en torno a este proceso son: %% Determinar cuáles son los requisitos legales vigentes, así como los reglamentos anexionados al producto ofrecido por la empresa. Se puede relacionar con la norma ISO 9001 de Gestión de la Calidad. %% Identificar los requisitos legales y los que han sido decretados por la misma empresa, que sean aplicables a los aspectos ambientales que pueden afectar sus actividades, servicios o productos. La norma con la que puede ser relacionado es la ISO 14001 de Gestión Ambiental. %% Se deben determinar los requisitos legales y los que estén relacionados con la seguridad y salud en el trabajo que puedan afectar a los trabajadores de la empresa. Se puede relacionar con la OHSAS 18001 de Seguridad y Salud en el Trabajo.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools. org/2014/06/13/ la-identificacion-de-los-requisitos-legales-segun-la-nueva-iso-90012015/
El principal objetivo de todo este proceso es que las organizaciones conozcan y comprendan cuales son los requisitos y las responsabilidades legales que se les pueden aplicar, se aconseja que tengan los procedimientos documentados para señalar y acceder a todos los requisitos legales a los que se encuentra sometida la actividad que realiza la organización en cualquiera de los tres campos mencionados anteriormente. [/div] La Plataforma Tecnológica ISOTools ayuda a las organizaciones a que adopten la nueva norma ISO 9001, ya que esta norma guía a las empresas en la continuidad durante el camino hacia la excelencia.
Los 50 EXCELENTES de ISOTools en 2014
16
VOLVER AL ÍNDICE
06
CALIDAD
ISO 9001: ¿En qué principios se basan los Sistemas de Gestión de la Calidad? Por todo esto, hay que entender la necesidad de ser conscientes y participes de los principios y fundamentos sobre los que se sustenta la ISO-9001, además de conocer su alcance y el motivo de los requisitos establecidos. Debido a la importancia de estos principios y fundamentos de la norma ISO 9001, vemos necesario destinar un artículo a hablar sobre ello:
Principios de Gestión de la Calidad según la ISO 9001 Estos principios se desarrollaron como herramientas para los altos directivos de la organización, con la finalidad de obtener mejoras en el desarrollo de la propia empresa. Para asegurar que un Sistema de Gestión de la Calidad funciona correctamente, es imprescindible realizar una evaluación imparcial de los principios utilizados por la organización y de los resultados obtenidos. Antes de continuar hablando sobre el tema, deberíamos de saber a qué principios de la calidad estamos haciendo referencia:
Enfoque al cliente Para una empresa, los clientes son el principal motivo de su existencia. Una buena organización no puede olvidar que gracias a los clientes de sus productos y/o servicios, es posible continuar con su actividad. Es por ello, que deberían esforzarse al máximo para garantizar siempre su satisfacción y cumplir con sus exigencias. Las empresas que quieren exhibir la aplicación y cumplimiento de este principio: %% Realizan procedimientos destinados a entender las necesidades y exigencias de los clientes. %% Establecen compromisos con los clientes, siempre teniendo en cuenta los objetivos establecidos por la empresa.
Los 50 EXCELENTES de ISOTools en 2014
17
VOLVER AL ÍNDICE
06 %% Deben de conocer las necesidades y exigencias de los clientes. %% Llevan a cabo mediciones de la satisfacción de sus clientes y toman medidas en función. Una organización que aplique y cumpla con el principio de enfoque a clientes: %% Incrementa sus ganancias y permiten dar respuestas rápidas a cualquier oportunidad que se le presente. %% Alinea los objetivos y metas definidas con las exigencias de los usuarios. %% Cuenta con un personal con los conocimientos y competencias necesarias para satisfacer a cualquier exigencia de los clientes. %% Desarrolla una cartera de clientes con la que es posible establecer tratos estratégicos.
Liderazgo En una organización, la responsabilidad de lograr y mantener un buen clima de trabajo es de los líderes de la propia empresa. La finalidad de tener un ambiente laboral adecuado, es que los empleados participen en la consecución de los objetivos y metas establecidos por la compañía. Una organización que pretenda demostrar la aplicación y cumplimiento del principio de liderazgo: %% Tiene en cuenta las necesidades de las partes interesadas o stakeholder. %% Cuenta con empleados que conocen a la perfección su papel en la organización y los objetivos a alcanzar. %% Define estrategias en consonancia con los objetivos y metas. %% Dispone de los recursos materiales y humanos necesarios. A través de la aplicación y cumplimiento de este principio de la calidad, la empresa: %% Motiva a sus trabajadores para que participen en el logro de los objetivos y metas. %% Difunde su visión y misión. %% Evalúa íntegramente todas las actividades desarrolladas.
Participación del personal Un personal implicado con las actividades y objetivos de la organización, da lugar al uso de sus capacidades para que ésta obtenga beneficios. Para garantizar la aplicación y cumplimiento del principio participación del personal los trabajadores: %% Conocen todas sus facultades y responsabilidades cuando tiene lugar un problema. %% Colaboran entre sí para intercambiar conocimientos y prácticas. %% Tienen el conocimiento de lo que supone su aportación en la organización y se someten a evaluaciones en función de los objetivos y metas. Para las organizaciones, este principio: %% Motiva e involucra al personal. %% Mejora la ejecución de la organización debido a la alta involucración del personal.
Los 50 EXCELENTES de ISOTools en 2014
18
VOLVER AL ÍNDICE
06 Enfoque basado en procesos Los resultados deseados por una organización se pueden alcanzar de un modo más eficaz gracias a la correcta gestión de procesos de las actividades y recursos desarrollados por la empresa. Si una organización desea manifestar la aplicación y cumplimiento del principio de enfoque basado en procesos: %% Define adecuadamente los procesos y responsabilidades. %% Define claramente las interfaces empeladas entre los procesos y funciones. %% Se evalúa los riesgos, resultados e impactos originados. Si una organización aplica dicho principio: %% Disminuye la inversión en temas de dinero y tiempo. %% Incrementa una notoria mejoría de los resultados. %% Establece constantemente objetivos y metas.
Enfoque de sistemas para la gestión Es de vital importancia, comprender los procesos interrelacionados como un único sistema de gestión. Esto hace posible que la eficacia y eficiencia del alcance de los objetivos de las empresas se incremente. Este principio de enfoque de sistemas para la gestión se demuestra: %% Utilizando sistemas que permitan obtener mediciones de las actividades y objetivos que favorecen el incremento de la eficacia y eficiencia. %% Comprendiendo las interdependencias existentes entre los procesos. Los beneficios que se pueden alcanzar como consecuencia de la aplicación: %% Cumplimiento de los objetivos y metas establecidas. %% Todos los esfuerzos se centran en los principales procesos de la empresa. %% El nivel de confianza sobre la eficacia y eficiencia de la compañía se incrementa.
Mejora continua Las organizaciones deberían ver la mejora continua como un objetivo constante al que habría que dar consecución. La garantía de cumplimiento del principio de mejora continua es posible: %% Siempre que la empresa tenga a los trabajadores mejor formados. %% Si los empleados tienen como objetivo mejorar continuamente los procedimientos y sistemas empleados que permiten ofrecer productos y/o servicios. %% Se realizan evaluaciones periódicas que hagan posible la identificación de áreas en las que se puede mejorar. La mejora continua es una potente herramienta que permite: %% Incrementar la ventaja competitiva y diferenciarse del resto. %% Responder rápidamente a cualquier oportunidad.
Los 50 EXCELENTES de ISOTools en 2014
19
VOLVER AL ÍNDICE
06 Enfoque basado en evidencias para la toma de decisiones Para adoptar las decisiones más correctas es imprescindible realizar análisis de los datos e información recabada. La aplicación y cumplimiento del principio se realiza a través de: %% La disposición de información real y detallada. %% El acceso a los datos e información necesaria. %% La ejecución de un análisis de estos datos, de este modo es posible adoptar las decisiones y acciones necesarias. Si se aplica dicho principio, una organización: %% Puede decantarse por la mejor decisión ya que está fundamentada en datos verídicos. %% Garantiza que las decisiones se han amparado en información y actuaciones verdaderas. %% Puede debatir criterios, resoluciones e incluso proceder a revisiones.
Gestión de relaciones con los proveedores Se tratan de relaciones favorables para la empresa y el proveedor, haciendo posible que esta relación origine un valor añadido. El principio se aplica y cumple si la empresa: %% Hace una selección de proveedores estratégicos para la empresa y establece una relación con ellos. %% Implanta un fundamento común sobre los recursos y competencias disponibles, además de las actividades desarrolladas para la mejora. Entre los beneficios que puede obtener una organización que aplique este principio, destacamos: %% El incremento de la aptitud para desarrollar valor entre la empresa y los proveedores. %% La posibilidad de dar respuestas inmediatas ante las oportunidades de mercado que se producen. %% La gestión optimizada de costos y recursos. Todos estos principios constituyen un sustento para los Sistemas de Gestión de la Calidad de la familia de normas ISO 9000.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/10/14/iso-9001-principios-sistemas-gestion-calidad/
Los 50 EXCELENTES de ISOTools en 2014
20
VOLVER AL ÍNDICE
Taller ISO 9001:2015 Enfoque basado en Riesgos
La capacitación que fortalecerá los Sistemas de Gestión de la Calidad
MATRICÚLATE AHORA
07
CALIDAD
ISO 9001: Fundamentos de los Sistemas de Gestión de la Calidad En el mundo empresarial, los Sistemas de Gestión de Calidad adquieren un papel muy importante. La norma ISO 9000 contiene una serie de fundamentos en los que se basan los Sistemas de Gestión de Calidad. Estos fundamentos hacen posible que el estándar internacional ISO 9001 se implante y desarrolle con éxito en cualquier tipo de organización, independientemente del sector económico al que pertenezca. Como ya hemos dicho anteriormente, la ISO 9000 agrupa los fundamentos de un Sistema de Gestión de la Calidad:
Base racional de los Sistemas de Gestión de la Calidad La base racional de los SGC es lo que permite que estos sistemas se mantengan, esto se debe a: %% Que actúan como herramientas de colaboración con las organizaciones para incrementar la satisfacción de sus clientes. %% La necesidad por parte de los clientes de exigir productos de calidad que cubran sus demandas. Es decir, se requiere que el producto cumpla con una serie de requisitos establecidos por el cliente o incluso por la propia empresa. %% El constante cambio que se produce en las necesidades y exigencias de los clientes con el tiempo. Además se incrementa la competitividad empresarial y nuevos avances tecnológicos, lo que hace necesario la mejora continua dentro de las organizaciones para garantizar la satisfacción de los clientes.
Requisitos para los Sistemas de Gestión de la Calidad Estos requisitos quedan establecidos en la actual ISO 9001 y se puede emplear en los Sistemas de Gestión de la Calidad de cualquier organización.
Los 50 EXCELENTES de ISOTools en 2014
22
VOLVER AL ÍNDICE
07 Enfoque Sistémico de la Calidad La posibilidad de aplicar la calidad a través de sistemas de gestión, permite que las organizaciones realicen estudios a los requerimientos exigidos por los clientes, establezcan procesos que favorecen la fabricación de productos o prestación de servicios con las características deseadas por el cliente y por supuesto, mantengan un control exhaustivo de estos procesos. Con los Sistemas de Gestión de la Calidad basados en la ISO-9001, se puede afirmar que las organizaciones generan una seguridad a los clientes y a la empresa en lo relativo a: %% La competencia para abastecer productos que cumplan con los requisitos de los clientes. %% Proyectar confianza en los proyectos, competencia y calidad. %% Fomentar la mejora continua. Entre otros elementos, la gestión organizacional está constituida por el Sistema de Gestión de Calidad basado en la ISO 9001. Este SGC se orienta en la consecución de los resultados vinculados con la calidad de los productos y servicios. Además del Sistema de Gestión de Calidad, existen como ya hemos mencionado otros elementos que pueden integrarse totalmente con dicho sistema. Este hecho permite facilidades en aspectos tan importantes como la planificación, designación de recursos, definición de objetivos y análisis de la eficacia de toda la organización.
Enfoque basado en procesos Podemos empezar definiendo un proceso como toda actividad que realiza una transformación de recursos. El concepto de enfoque basado en procesos engloba aquellas actividades de detección y manejo de procesos y su interacción. El enfoque basado en procesos requiere de la identificación y gestión de los procesos interrelacionados, por lo tanto se trata de un enfoque muy apropiado para que las compañías trabajen eficazmente.
Política de la calidad y objetivos de la calidad Esta política y objetivos de la calidad se convierten en elementos clave a la hora de guiar una empresa. Básicamente se encargan de establecer cuáles son los resultados que desea obtener la organización y facilitan la definición y uso de recursos para alcanzarlos. En todo momento, los objetivos de calidad serán reales y estarán alineados con la política. Del mismo modo, serán ponderables para contrastar su nivel de alcance. Los objetivos de calidad se relacionan con el resto de objetivos definidos por la organización, ya sean de tipo económico, de seguridad, etc. Cuando las organizaciones cumplen con los objetivos determinados, se consigue mejoras en la calidad del producto o servicio prestado, en la competencia operacional de la propia organización, en su desarrollo económico.
Papel de la alta dirección dentro de los Sistemas de Gestión de la Calidad Es responsabilidad de la alta dirección obtener y mantener un clima laboral que favorezca la participación de los empleados en el Sistema de Gestión de la Calidad o SGC para que éste se desarrolle con eficacia.
Los 50 EXCELENTES de ISOTools en 2014
23
VOLVER AL ÍNDICE
07 Los altos directivos tienen varias funciones que ejecutar, entre las que destacamos: %% Elaborar y sustentar la política y objetivos de la calidad. %% Impulsar el entendimiento, motivación e involucración de los trabajadores. %% Contrastar que todos los empleados de la empresa desarrolla sus actividades para cumplir con la satisfacción de los trabajadores. %% Dar garantía de que el sistema funciona de un modo eficiente y eficaz. %% Decidir conforme a las acciones que permitan mejoras sobre el SGC.
Documentación La documentación es un recurso fundamental para la organización, aunque supone más papeleo administrativo, es muy importante para lograr una comunicación adecuada de las intenciones y decidir por unas acciones u otras. Será responsabilidad de la organización, establecer la extensión y medios utilizados para generar documentación. La documentación se debería de llevar a cabo para generar un valor añadido a la organización.
Evaluación de los SGC Se establecerá al responsable de la evaluación del Sistema de Gestión de la Calidad ISO 9001, el cual deberá plantearse una serie de preguntas para cada uno de los procesos que serán sometidos a dicha evaluación. %% ¿Se ha realizado una adecuada identificación y definición del proceso? %% ¿Se han designado responsabilidades? %% ¿El personal encargado del proceso tiene las competencias necesarias? %% ¿Se trata de un proceso eficaz que permite lograr los resultados marcados? La realización de la evaluación del SGC de la organización, se puede realizar a través de: %% Revisiones. %% Auditorias. %% Autoevaluaciones. Independientemente del método de evaluación empleado, los resultados se someterán a una comprobación siempre que sea necesario definir oportunidades de mejora del proceso.
Mejora continua Las organizaciones optan por la mejora continua, esto se produce ya que permite aumentar considerablemente el cumplimiento de las exigencias y necesidades de los clientes y por lo tanto, garantizan su satisfacción. Para ello, se precisa del desarrollo de determinadas actividades, entre ellas: %% Estudiar y evaluar la situación real de la organización. %% Detectar oportunidades de mejora para la empresa. %% Investigar alternativas que hagan posible el cumplimiento de objetivos. %% Elegir alternativas.
Los 50 EXCELENTES de ISOTools en 2014
24
VOLVER AL ÍNDICE
07 %% Realizar la implementación de dichas alternativas. %% Valorar los resultados obtenidos. %% Concretar las modificaciones definidas. La actividad principal que consigue que la gestión de la organización se desarrolle de forma eficaz, es entender y analizar los fundamentos bajo los cuales se sustenta el Sistema de Gestión de la Calidad de la organización.
Sistema de Gestión de la Calidad Un Sistema de Gestión de Calidad se trata de una herramienta ideal para aquellas organizaciones que desean que sus productos y servicios cumplan con los máximos estándares de calidad y así lograr y mantener la satisfacción de sus clientes. Para saber más sobre los estándares de calidad puede visitar: https://www.isotools.org/ normas/calidad/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/10/22/iso-9001-fundamentos-sistemas-gestion-calidad/
Software para Sistema de Gestión de la Calidad
Ada la n ptado u 900 eva ISOa 1:20 15
DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
25
VOLVER AL ÍNDICE
08
CALIDAD
ISO 9001: ¿Cómo documentar un Sistema de Gestión de la Calidad? Dentro de la entidad, ISO-9001 presenta cierta flexibilidad para seleccionar la manera en la que documentar el SGC, posibilitando así que cada empresa desarrolle la mínima cantidad de documentación necesaria para exponer la planificación, operación, inspección de procesos e implementación de mejora continua. La documentación debe de agregar valor a las actividades de una entidad y permitir la ejecución de las mimas. Por el contrario, lo que no debe ocurrir es que la documentación sea el motivo para contribuir a generar burocracia, ya que en estos casos la calidad no existe. Los fines de la documentación en una organización comúnmente son: %% Notificación de una información. %% Evidencia de la conformidad. %% Compartir conocimientos. Según ISO9001, un documento es la información y su medio de soporte, encontrando éstos en cualquier formato o soporte como pueden ser por ejemplo: %% En una fotografía. %% En una muestra patrón. %% En papel. %% Soporte electrónico. Sin embargo, nos preguntamos cuáles son los documentos que se recogen en un Sistema de Gestión de Calidad. Lo exponemos a continuación.
Los 50 EXCELENTES de ISOTools en 2014
26
VOLVER AL ÍNDICE
Cuadro de Mando Integral: Balanced Scorecard Descargue este e-book gratuito
DESCARGAR AHORA
08 %% Manuales: Documentos con la información relativa al desarrollo del sistema de gestión. %% Planes: Documentos en los que se detalla la aplicación del SGC en un producto. %% Especificaciones: Documentos en los que quedan definidos los requisitos a cumplir por los productos o servicios. %% Guías: Documentos voluntarios, que proporcionan recomendaciones para llevar a cabo actividades. %% Procesos: Documentos informativos sobre los procedimientos que hay que realizar para que tengan lugar ciertos acontecimientos. En estos documentos se incluyen una serie de actividades imprescindibles para lograr los resultados deseados, los insumos y bienes. %% Procedimientos: Documentos en los que se indica la forma de proceder ante una actividad. %% Registros: Documentos que proporcionan certezas de las actividades desarrolladas y de los resultados conseguidos. La documentación en cada empresa será a nivel de detalle y extensión impuesto por esta. Se establecen una serie de requisitos propuestos por ISO 9001 que debe reunir la documentación de este Sistema de Gestión de la Calidad. La manera de documentar y su sistema de control están relacionados con factores como estos: %% Competencia del personal de la entidad. %% Complejidad de procesos. %% Requisitos legales y reglamentarios aplicables. %% Nivel de detalle que haya que demostrar en el cumplimiento de los requisitos del SGC de la entidad. %% Tipo y tamaño de la entidad. %% Requisitos de clientes. %% Complejidad de productos. ISO9001 lo que solicita y requiere de la entidad es implantar, documentar, mantener e implementar el Sistema de Gestión de la Calidad y aumentar su eficacia normalmente según los requisitos que la norma contiene. La documentación que debe añadir el Sistema de Gestión de la Calidad se recoge en el artículo 4.2.1. Generalidades de ISO 9001:2008, esta es: %% La Declaración de la Política de Calidad y de Objetivos de Calidad. %% El Manual de Calidad. %% Los procedimientos y registros que la norma requiere. %% Los documentos que la organización establezca para asegurar la eficacia de la planificación, operación y control de sus procesos. %% Los registros que la norma requiera. La documentación respecto a la declaración de la política de calidad, ISO-9001 conceptualiza sus requisitos en el artículo 5.3. Dichos requisitos son los siguientes: %% Ser revisada para que no pierda su adecuación.
Los 50 EXCELENTES de ISOTools en 2014
28
VOLVER AL ÍNDICE
08 %% Incluir un compromiso de cumplimiento de los requisitos y de mejora continua de la eficacia del Sistema de Gestión de la Calidad ISO 9001. %% Ser adecuada al propósito de la entidad. %% Establecer un marco de referencia para crear y revisar los fines de calidad. %% Ser comunicada y entendida en el seno de la entidad. En cuanto a los objetivos de calidad, también se requiere una serie de requisitos, los cuales aparecen definidos en el artículo 5.4.1 de la norma. Dichos requisitos necesarios para lograr los objetivos del deben ser: %% Medibles y coherentes con la política. %% Establecidos en las funciones y niveles pertinentes de la organización. Si hablamos sobre la futura ISO 9001:2015, las consideraciones expuestas anteriormente la encontramos en el artículo 5.2 para los requisitos de la política de calidad y al artículo 6.2 para los requisitos de los objetivos de la calidad. Esta versión futura del SGC traslada las indicaciones sobre la información documentada a un artículo nuevo, el 7.5, indicando el tipo de información que debe incluir nuestro Sistema de Gestión de la Calidad. La documentación de un Sistema de Gestión de la Calidad o SGC no debería ser un tema complicado, ya que dicho sistema no supone un aumento de burocracia, como hemos visto en este artículo. Hay herramientas que automatizan la gestión y se podrían utilizar como mecanismo para la gestión de toda la documentación que el sistema requiere.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/11/19/iso-9001-documentar-sistema-gestion-calidad/
Software de Integración de Sistemas de Gestión DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
29
VOLVER AL ÍNDICE
09
CALIDAD
ISO 9001:2015, la Gestión del Riesgo La nueva norma ISO 9001:2015 se encuentra reforzada por el concepto de riesgo. Dicho término va a ser muy valorado en la revisión 2015 de la norma. Podemos observar en el ISO/DIS 9001 que el término riesgo viene para quedarse. Toda persona que se posicione al mando de un Sistema de Gestión de Calidad tiene que tener bien definido el concepto de riesgo. Con el fin de facilitarlo, contamos con la norma ISO 9000:2005 de fundamentos y vocabulario. Se trata de un estándar que va a ser actualizado en 2015 también y tenemos que tenerlo siempre presente a la hora de trabajar con este tipo de sistema de gestión. Por lo cual, en 2015 dispondremos de la revisión de la norma que aplica los Sistemas de Gestión de la Calidad, así como la norma de fundamentos y vocabulario que contendrá los fundamentos imprescindibles para aplicar y entender ISO 9001:2015. El borrador de la norma ISO/DIS 9001:2015 plantea la definición de riesgo y una serie de notas vinculadas a esta definición: “Riesgo: Efecto de la incertidumbre Nota 1: Un efecto es una desviación de lo esperado – positiva o negativa. Nota 2: La incertidumbre es el estado, aunque sea parcial, de la deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia, o probabilidad. Nota 3: El riesgo se caracteriza a menudo por referencia a posibles eventos (Guía ISO 73. 3.5.1.3) y consecuencias (Guía ISO 73. 3.6.1.3), o una combinación de éstos. Nota 4: El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la probabilidad asociada (Guía ISO 73. 3.6.1.1) de ocurrencia.”
Los 50 EXCELENTES de ISOTools en 2014
30
VOLVER AL ÍNDICE
09 A continuación analizaremos la naturaleza del riesgo mediante un ejemplo. Una organización está pensando comprar 4000 kg de una materia prima determinada, pero puede ser que la estabilidad de la moneda varíe y que mañana se reduzca el costo y pueda comprar por el mismo precio 4250 kg. Tenemos un presupuesto fijo que, en el caso de comprar hoy, conseguiremos 4000 kg de materia prima para producir lo que el usuario ha requerido. Sin embargo, existe la incertidumbre de que cambie la condición de la moneda y en cambio, no podamos comprar la cantidad que necesitamos y que con nuestro propio presupuesto no alcancemos a la cantidad solicitada para satisfacer la demanda. El efecto de dicho riesgo puede que sea positivo o negativo. La entidad en cuestión tendrá que informarse acerca de la estabilidad de la moneda y así realizar la compra en el oportuno momento. El concepto de riesgo, durante todo el ISO/DIS 9001, viene acompañado del término “oportunidades”, pero asombrosamente no añade su concepto. En el caso de buscar el concepto de oportunidad, veremos que no es más que un riesgo que tendría un efecto favorable sobre algo, como puede ser un resultado esperado. En el ejemplo expuesto anteriormente sería oportunidad el aprovechamiento de la bajada de la moneda. Si recogemos la nota 4 de la definición de riesgo que inserta ISO/DIS 9001:2015, observaremos que para calcular la magnitud de todo riesgo tendremos que combinar las consecuencias de su materialización y la probabilidad de que se produzca. Del producto de los dos elementos se consigue el valor del riesgo. Son riesgos de tipo operacional los riesgos que vamos a tratar con ISO9001, es decir, riesgos que están conectados con los procesos, operaciones y actividades que se llevan a cabo en la organización (medición del desempeño de los procesos, compras, procesos operativos, gestión de proveedores, comunicación interna, auditorías del sistema de gestión, etc.). No estamos hablando ni de riesgos a contemplar por situaciones de emergencia como un incendio o una inundación, ni de riesgos laborales. A través de las siguientes prácticas podremos probar que el sistema de gestión de riesgos de nuestra empresa está integrado en el Sistema de Gestión de la Calidad y está cumpliendo los requisitos impuestos por ISO-9001: %% La dirección cree que el sistema de gestión de riesgos es una oportunidad para poder mejorar la productividad de la organización y no es un mero trámite. %% Esta creencia se traslada a la totalidad de los procesos, departamentos y mandos intermedios de la entidad. %% Hay una cultura de gestión de riesgos a todos los niveles. %% Las actividades respecto a la gestión de riesgos está planificada. %% La gestión de riesgos se añade en la agenda de la revisión del sistema de gestión. %% La dirección pone recursos para la gestión de riesgos: económicos, formación, etc. %% Si el sistema de gestión de riesgos funciona, estamos mitigando riesgos en la compañía. %% Tenemos que tener cuidado con dejarnos llevar por la gestión del riesgo, es cierto que es uno de los cambios más relevantes de la versión 2015 de ISO 9001, pero no debemos perder el objetivo esencial de la norma, la calidad.
Los 50 EXCELENTES de ISOTools en 2014
31
VOLVER AL ÍNDICE
09 La gestión del riesgo en un sistema como el Sistema de Gestión de la Calidad basado en la ISO9001 incrementa su eficacia pero, en cambio, no su calidad, por lo que la calidad se fundamenta en la confianza de cumplir sus requisitos.
Sistemas de Gestión de la Calidad En el momento de determinar la gestión del riesgo, lo podemos practicar como tradicionalmente se ha hecho o a través de mecanismos que nos simplifican y facilitan el trabajo, llevando a cabo la automatización del Sistema de Gestión de Calidad. Para saber más sobre los Sistemas de Gesitón de Calidad puedes visitar: https://www.isotools.org/normas/calidad/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/12/15/iso-9001-2015-gestion-riesgo/
Software para Sistema de Gestión de la Calidad
Ada la n ptado u 900 eva ISOa 1:20 15
DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
32
VOLVER AL ÍNDICE
Auditor Interno ISO 9001:2015
Aprende a interpretar la norma ISO 9001:2015 en el contexto de una auditoría interna
MATRICÚLATE AHORA
10
CALIDAD
ISO 9001: Cómo gestionan las pymes los Riesgos Basándonos en el concepto de riesgos, tanto en el borrador de la ISO 9001 como el ISO/ DIS 9000:2015 de fundamentos y vocabulario (3.7.4), plantean la siguiente definición de riesgo: “Efecto de la incertidumbre en un resultado esperado” que, a su vez, deriva a una serie de connotaciones: %% Un efecto es una desviación de lo esperado (positiva o negativa). %% La incertidumbre es el estado, aunque sea parcial, de la deficiencia de información relacionada con la comprensión o el conocimiento de un evento, su consecuencia o probabilidad. %% El riesgo se caracteriza, a menudo, por referencia a potenciales “eventos” y “consecuencias”, o una combinación de ambos. %% El riesgo se expresa, la mayoría de las veces, en términos de una combinación de las consecuencias de un evento y la “probabilidad” de ocurrencia asociada. %% El término “riesgo” se utiliza, en ocasiones, cuando solo existe la posibilidad de consecuencias negativas. La próxima versión de la norma ISO 9001incorpora lo que conocemos como “pensamiento basado en el riesgo”. Esto hace que, al tener en cuenta los riesgos de toda la empresa, mejore o aumente la posibilidad de obtener los objetivos que tenemos determinados. Además, a través de esta reflexión basada en el riesgo, podemos ver cómo la productividad se hace más resistente y los clientes, por su parte, podrán estar tranquilos de que van a recibir un servicio o producto adecuado a lo que están esperando. Con este pensamiento basado en el riesgo, ISO 9001:2015 hará que las empresas puedan:
Los 50 EXCELENTES de ISOTools en 2014
34
VOLVER AL ÍNDICE
10 %% Establecer unos cimientos sólidos de entendimientos propios. %% Constituir una cultura proactiva basada en la mejora. %% Asegurar la existencia de una coherencia de calidad en los servicios y bienes que ofrecen a sus clientes. %% Enriquecer tanto la satisfacción de los clientes como su confianza. Puede que algún lector se pregunte en qué radica la gestión del riesgo. La gestión del riesgo es el desarrollo de poder pensar sistemáticamente sobre cada uno de los posibles problemas, riesgos o desastres antes de que éstos acontezcan. Una vez que obtenemos este planteamiento, el siguiente paso es entablar los medios adecuados para hacer frente a su encontronazo o impacto, reducirlos considerablemente u obviarlos. Un apunte básico en la gestión de riesgos es ser objetivo. Por ejemplo, la posibilidad de que un camión se estrelle contra nuestra oficina es muy pequeña. No obstante, el riesgo de que un equipo que contiene documentación esencial para la empresa sufra algún deterioro puede ser más real. Otro ejemplo, es que cuando realizamos envíos frecuentes de lotes de producto de gran tamaño, tengamos un rechazo de producto por el cliente más elevado. Para conocer más a fondo la gestión del riesgo tenemos que preguntarnos, ¿Qué podemos hacer para evitarlo?, ¿Qué puede salir mal en nuestra organización?, ¿Qué haremos si algo de eso sucede?… No es una tarea complicada la que tendremos hacer cuando se dé a conocer la versión 2015 de la norma ISO9001, aunque es cierto que no todos los riesgos se pueden prever. Aunque tengamos en nuestra empresa procesos perfectamente diseñados y trabajadores con muchísimos años de experiencia y entrenamiento, puede llegar un cliente que no sepa muy bien lo que quiere de nosotros y, además, no lo expresa correctamente. Son riesgos a los que diariamente nos tenemos que enfrentar. Hablamos de este tipo de riesgos porque son riesgos que las empresas no pueden prever. Es decir, no podremos prever cómo reaccionarán nuestros clientes ni tampoco la solidez del entorno económico. Y de ahí, pueden aparecer puntuales no conformidades que ni el propio auditor sabría cómo prever. La norma ISO-9001 del 2015 no supondrá que utilicemos, por ejemplo, ISO 31000 ni otra herramienta, cada empresa decidirá qué metodologías empleará pero esta norma es una buena forma de gestionar correctamente los riesgos. La publicación del ISO/DIS 9001 ha traído consigo muchas cuestiones como ¿qué es la gestión del riesgo?, ¿la gestión del riesgo sustituye verdaderamente a las acciones preventivas?, ¿cómo podremos manejar la gestión del riesgo?… El pensamiento basado en el riesgo siempre ha estado contenido en la norma ISO 9001 aunque en esta versión que está por venir del 2015 está incluido de forma más manifiesta. Al menos así se nos comunica en la introducción del ISO/DIS 9001. El término riesgo no viene solo en el ISO/DIS 9001, viene siempre acompañado del término “oportunidades”. Podemos encontrar ambos términos en cláusulas como: %% Número 4. Contexto de la organización. Constituye que la empresa deberá determinar
Los 50 EXCELENTES de ISOTools en 2014
35
VOLVER AL ÍNDICE
10 las oportunidades y los riesgos del contexto de la misma que puedan intervenir o afectar en la consecución de sus objetivos. %% Número 5. Liderazgo. La alta dirección se verá obligada a garantizar el seguimiento de la anterior cláusula. %% Número 6. Planificación. Nos encontraremos con que la empresa tendrá que aprobar medidas para la identificación de oportunidades y riesgos. %% Número 8. Operación. La empresa tendrá que implementar procesos que aborden oportunidades y riesgos. %% Número 9. Evaluación del desempeño. Aquí veremos que la organización deberá analizar, monitorear, medir y evaluar tanto oportunidades como riesgos. %% Número 10. Mejora. Nos encontraremos que la empresa deberá incluir la mejora desde el punto de vista de los cambios generados por la gestión de riesgos y oportunidades. El pensamiento basado en el riesgo es un concepto que se trabaja a lo largo de la nueva versión de ISO 9001, según el borrador ISO/DIS 9001. Lo que hasta ahora se conocen como acciones preventivas, estaban planteadas para hacer frente a las cuestiones que tienen una cierta probabilidad de afectar a la calidad de nuestros servicios o productos. La inclusión del riesgo en los Sistemas de Gestión de la Calidad de la futura ISO 9001:2015 hará que el sistema mire hacia delante y de un modo pro-activo. Esto permite hacer frente a los posibles riesgos que existan en una organización, algo sin duda muy útil en las empresas.
Sistema de Gestión de la Calidad Para saber más sobre los Sistemas de Gestión de Calidad, puedes visitar: https://www. isotools.org/normas/calidad/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/12/22/iso-9001-como-gestionan-pymes-riesgos/
Los 50 EXCELENTES de ISOTools en 2014
36
VOLVER AL ÍNDICE
11
CALIDAD
ISO 9001:2015 Factores externos e internos de la organización El estándar internacional ISO 9001:2015 presenta una serie de novedades, las cuales tiene expectantes a los profesionales del ámbito de la calidad y a las organizaciones que desean o ya tienen implementado un Sistema de Gestión de la Calidad. Cuenta con una novedad en el análisis del contexto de nuestra entidad. Es razonable que sepamos no solo hacer adecuadamente las cosas, sino también hacer las cosas correctas. La estrategia de nuestra entidad tiene que estar incluida en nuestro Sistema de Gestión de la Calidad basado en la norma ISO 9001. Este enfoque estratégico incrementará la eficacia del sistema que estamos liderando, nos ayuda a organizar nuestros intereses principales y a concentrarnos en actividades que nos conducirán al logro de los resultados que queremos obtener. Esto sucede gracias a que comprendemos y entendemos la situación en la que nos encontramos, esto es entramos en contexto. En una empresa, el entorno se encuentra formado por factores internos y externos, así como por otros aspectos que pueden perjudicar a la misma organización, los productos o servicios, a las inversiones y a las partes interesadas. El ISO/DIS 9001, en su párrafo 4.1 Comprender la organización y su contexto, especifica: “La organización debe determinar los factores internos y externos que son relevantes para su propósito y su dirección estratégica y que afecta a su capacidad para lograr el resultado deseado de su Sistema de Gestión de la Calidad”. Esto se puede traducir en que la entidad tendrá que concentrarse en sus factores estratégicos internos y externos, en aquello que se considera relevante para su fin y tiene que deshacerse de la totalidad de las barreras que no pueden alcanzar los resultados deseados. Los factores internos pueden ser, entre otros, los productos y servicios, roles y responsabili-
Los 50 EXCELENTES de ISOTools en 2014
37
VOLVER AL ÍNDICE
11 dades, políticas y objetivos, la cultura organizacional, directrices aplicables a la organización, normas, la estructura organizativa, flujos de información, activos, procesos de toma de decisiones, capacidades de recursos y conocimiento, sistemas de información, etc. Por otra parte, entre los factores externos podemos identificar, entre otros, cuestiones climatológicas, actitudes del consumidor, cuestiones monetarias, factores sociales, comercio internacional, políticas gubernamentales, impuestos, clientes, la tecnología, guerras o conflictos, financiación, factores específicos del sector, etc. Se considera de especial importancia que la entidad tenga claro e identifique qué factores se pueden considerar en la implementación y planificación del Sistema de Gestión de la Calidad. No se debe tomar en cuenta o dejarnos atrás algún factor de los más importantes que puedan perjudicar a la capacidad de la organización para alcanzar los resultados esperados. A continuación exponemos algunos ejemplos de factores internos y externos que pueden afectar al Sistema de Gestión de Calidad: %% Medios de comunicación. %% Competidores. %% Clientes. %% Proveedores. %% Inversionistas. %% Empleados. El análisis de contexto que plantea ISO 9001:2015 se presenta como una ayuda para tomar las decisiones estratégicas en la entidad con respecto al Sistema de Gestión de la Calidad. El proceso de trazado de la estrategia del Sistema de Gestión de la Calidad según la norma ISO 9001 está formado por dos etapas: desarrollo e implementación de la estrategia. Durante la primera etapa, en cuanto al desarrollo de la estrategia, tenemos que considerar cuatro elementos: %% Qué vamos a hacer, qué productos y servicios vamos a ofrecer. %% Para quién lo vamos a hacer, a qué clientes y mercados serviremos. %% Por qué los clientes nos comprarán, qué ventajas competitivas tendremos. %% Dónde incidiremos, cuáles serán nuestros mercados prioritarios. Con respecto a la segunda etapa, implementación de la estrategia, tendremos que tener en cuenta: %% Cómo vamos a lograr lo anterior, esto es el qué, el para quién, el por qué y el dónde. En el momento de tomar decisiones estratégicas podemos plantear ciertas cuestiones con el fin de facilitar este proceso, dichas preguntas son: %% ¿Qué valores orientarán a nuestro negocio? %% ¿Cómo nos vemos en el futuro? %% ¿Qué factores externos sustentan nuestra estrategia y nuestro Sistema de Gestión de la Calidad ISO-9001?
Los 50 EXCELENTES de ISOTools en 2014
38
VOLVER AL ÍNDICE
La adopción de un enfoque basado en procesos Descargue este e-book gratuito
DESCARGAR AHORA
11 %% ¿Qué tipo de clientes nuevos tendremos y cuáles de los ya existentes permanecerán con nosotros? %% ¿Qué criterios emplearemos para evaluar las oportunidades que tendrán nuestros nuevos productos o servicios? %% ¿Qué factores son los más significativos para nuestros clientes? %% ¿Qué factores representan para nosotros una ventaja competitiva? %% ¿En cuáles de nuestras áreas de mercado tendremos que prestar una mayor atención o invertir más recursos? %% ¿En qué áreas nuevas de mercado habrá que prestar una mayor atención o invertir más recursos? %% ¿Qué medidas tendremos que emplear para evaluar la eficacia de nuestro Sistema de Gestión de la Calidad ISO9001? ¿De qué modo el plan de implementación del Sistema de Gestión de la Calidad que tenemos diseñado garantiza que los objetivos de la organización, de los procesos y personales dan apoyo a la estrategia? Se consideran preguntas muy relevantes para que la entidad vaya hacia un camino correcto. En próximos artículos presentaremos algunos de los mecanismos que existen para conocer el contexto de la entidad, quizás el mecanismo más conocido sea la matriz DAFO (debilidades, amenazas, fortalezas y oportunidades), pero se pueden encontrar muchos más.
Sistema de Gestión de la Calidad Si está interesado en conocer más sobre los Sistemas de Gestión de la Calidad basados en la norma ISO 9001, puedes visitar el siguiente enlace https://www.isotools.org/normas/ calidad/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/12/30/iso-90012015-factores-externos-e-internos-de-la-organizacion/
Los 50 EXCELENTES de ISOTools en 2014
40
VOLVER AL ÍNDICE
12 CALIDAD
Nueva ISO 9001 versión 2015: La importancia de la Participación del Personal La participación del personal es uno de los principios de calidad englobados en el borrador de la Nueva ISO 9001: 2015. Este principio es el tercero que encontramos en el borrador, en concreto se esta en el Anexo A de dicho borrador. La participación del personal se describe en el borrador como algo imprescindible, las organizaciones deberán contar con personas capacitadas y que adquieran un compromiso para lograr mejoras en la organización. Es necesario contar con la participación de todo el personal de la organización, para que la gestión sea eficaz y eficiente sin que suponga ningún esfuerzo. Es muy importante conocer que va a suponer que el personal de la organización participe en la gestión. Por ello creemos necesario comentar cuales son las funciones que llevara a cabo el personal: %% Identificar cuáles son las competencias y limitaciones a las que el personal se debe enfrentar en el desarrollo de sus actividades. %% Evaluacion de la realización de las funciones del personal de un modo periódico, basándose en sus metas y objetivos. %% Exponer sus experiencias y conocimientos. %% Adoptar conciencia de lo importante que es desempeñar sus funciones correctamente y las consecuencias que le suponen a la organización. %% Responsabilizarse de los posibles problemas que puedan surgir y tomar decisiones para determinar cuál es la solución más correcta.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools. org/2014/01/17/ nueva-iso-9001-version-2015-participacion-del-personal/
%% Establecer una actitud proactiva para identificar cuáles son las necesidades en temas de formación y asé definir el modo de elevar sus conocimientos, competencias y experiencias. %% Establecer un dialogo en relación a los problemas o cualquier tema sea interesante para la gestión de la organización. Las organizaciones deben comprometerse en la aplicación de este principio, es la solución perfecta para que su personal se motive, comprometa, incremente su capacidad de innovación y creatividad. Es el único modo de conseguir que los trabajadores participen activamente y colaboren en el proceso de la mejora continua.
Los 50 EXCELENTES de ISOTools en 2014
41
VOLVER AL ÍNDICE
13
CALIDAD
Nueva ISO 9001:2015. Principios: Enfoque basado en hechos para la toma de decisiones En el Anexo A del borrador de la Nueva ISO 9001 versión 2015 se hace mención al enfoque basado en hechos para la toma de decisiones, uno de los principios de esta norma. En dicho borrador, el enfoque basado en hechos para la toma decisiones se muestra: %% Descripción: Las decisiones que se toman basadas en el análisis y evaluación de datos e información son más propensas a conseguir los resultados deseados. %% Justificación: La toma de decisiones implica cierta incertidumbre y subjetividad. Es imprescindible llevar el análisis a la mayor objetividad y confianza posible para tomar la decisión correcta. ¿Somos conscientes de lo que implica el enfoque basado en hechos para la toma de decisiones cuando se gestiona una organización? Principalmente, este principio conlleva: %% El acceso a los datos requeridos por cualquier parte interesada. %% Adoptar decisiones y proceder conforme al análisis, experiencia e intuición. %% Asegurar que la información manejada es verificable y precisa. %% Establecer un análisis de la información y datos mediante una metodología correcta.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools. org/2014/02/28/ nueva-iso-90012015enfoque-basado-en-hechos-para-la-toma-dedecisiones/
Las organizaciones que aplican el principio del enfoque basado en hechos para la toma de decisiones logra ventajas competitivas, principalmente permite adoptar decisiones basadas en datos e información comprobable y fidedigna, aumentar la capacidad de mostrar la eficacia de las decisiones a través de datos objetivos y el incremento de aptitud para revisar, cuestionar y modificar las opiniones y decisiones. ISOTools es la Plataforma Tecnológica permite una gestión basada en hechos para adoptar la decisión más oportuna, dando la posibilidad de lograr una excelente gestión de los recursos humanos y de la estructura organizacional.
Los 50 EXCELENTES de ISOTools en 2014
42
VOLVER AL ÍNDICE
Medio Ambiente y Energía.
14
MEDIO AMBIENTE Y ENERGÍA
La Norma ISO 50001:2011 y la Gestión de la Energía En el siguiente monográfico hablamos sobre la norma ISO 50001, Sistemas de Gestión de la Energía (SGEn) y de las ventajas que aporta a aquellas organizaciones que deciden llevar a cabo su implantación. En ella quedan establecidos los requisitos que debe tener un sistema de gestión de la energía en una organización para que su desempeño energético mejore, consiga aumentar la eficiencia energética y reduzca los impactos ambientales. Gracias a la estructura de la norma ISO 50001, el SGEn se puede integrar fácilmente con otros sistemas de gestión debido a las similitudes estructurales que comparten. Este sistema de gestión se basa en el concepto de mejora continua según el ciclo Deming o PHVA, como ocurre con el resto de normas ISO. En el desarrollo del texto comprenderá como la implementación de la norma ISO 50001 permitirá a las organizaciones obtener mejoras en su desempeño energético, incrementar su eficiencia energética y reducir las emisiones que favorecen al efecto invernadero entre otras ventajas. Un SGEn basado en la norma ISO 50001 logra mejorar la eficiencia energética de las organizaciones, aunque también es muy importante que las organizaciones incorporen el uso de nuevas tecnologías. La Plataforma Tecnológica ISOTools se convierte en la herramienta perfecta para las organizaciones que se inician en el proceso de implementación, mantenimiento y automatización del estándar internacional ISO 50001. ISOTools es un sistema de fácil uso, además cuenta con un equipo de profesionales del sector de consultoría e informática a su plena disposición a lo largo de todo el proceso.
DESCARGAR MONOGRÁFICO
Los 50 EXCELENTES de ISOTools en 2014
44
VOLVER AL ÍNDICE
¿Conoce los cambios y novedades de la nueva versión de ISO 14001? Descargue este e-book gratuito
DESCARGAR AHORA
15
MEDIO AMBIENTE Y ENERGÍA
La importancia del Sistema de Gestión Ambiental en la ISO 14001 Cada día aumentan las organizaciones que se preocupan por demostrar su concienciación con el medioambiente. Para ello, disminuyen la influencia de sus actividades, servicios y productos en el medio ambiente, conforme a su política ambiental y a sus objetivos. Todo lo indicado anteriormente se lleva a cabo en torno a la legislación vigente, que cada día es más severa tanto en políticas económicas como en el fomento de la protección del medioambiente, ya que se ha producido un incremento de la concienciación de las empresas respecto al mayor cuidado del medioambiente. Para evaluar el desempeño ambiental en las empresas se están realizando auditorías ambientales. Pero estas auditorías no son suficientes para afirmar que las empresas están actuando según la norma ISO 14001. Además, deben de cumplir otros requisitos legales y su política ambiental. Para que una organización sea eficiente tiene que estar dentro de un Sistema de Gestión Integrado. El estándar ISO14001 va a hacer que las organizaciones lleven a cabo y adopten una política y objetivos ambientales, sin olvidar los requisitos legales. El estándar procura que sea aplicable a todas las empresas independientemente del tipo, del tamaño, zona geográfica, cultural y social. El éxito del Sistema de Gestión Ambiental dependerá del compromiso de la alta dirección. La finalidad que busca la norma ISO-14001 es la protección del medioambiente haciendo posible que se lleve a cabo el desarrollo socioeconómico de las poblaciones.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools. org/2014/04/30/la-importancia-del-sistemade-gestion-ambientalen-la-iso-14001/
La diferencia más destacada de la segunda edición de dicha norma frente a la primera es que la segunda se expresa con una mayor claridad, lo que hace que se pueda entender más fácilmente. Incluso, se ha tenido presente la norma ISO 9001 para que sea más compatibles dando lugar a un beneficio mayor a los usuarios de dichas normas. La mayor diferencia entre una norma internacional y una norma no certificable, es que la primera indica las exigencias necesarias para que el Sistema de Gestión Ambiental se pueda certificar, mientras que por otro lado la no certificable nos indica la orientación para adaptar, establecer o mejorar el Sistema de Gestión Ambiental. La Plataforma Tecnológica ISOTools es una herramienta que permite de una manera sencilla implantar, mantener y automatizar la norma ISO 14001, optimizando el Sistema de Gestión hacia la excelencia.
Los 50 EXCELENTES de ISOTools en 2014
46
VOLVER AL ÍNDICE
16 MEDIO AMBIENTE Y ENERGÍA
Los beneficios aportados por la norma ISO 14001 a las administraciones públicas El estándar internacional ISO 14001 puede ser implantando por las empresas del sector público, proporcionándoles numerosas ventajas como puede ser una de ellas la modernización de su gestión. Para conseguir dichas ventajas las administraciones públicas deben certificarse bajo la norma ISO14001. Las administraciones públicas se actualizan cada día para poder asegurar una respuesta a la sociedad, debido a que está sufre cambios cada día. Uno de los instrumentos usados para hacer frente a la sociedad tan cambiante son las normas ISO. En este artículo nos vamos a centrar en la norma ISO-14001 aplicada en las administraciones públicas. Con la norma ISO 14001 las administraciones públicas podrán verificar a la sociedad su compromiso con el medio ambiente. Cada día, aumenta el número de ciudadanos que se preocupan por el cuidado y protección del medio ambiente, por ello, las administraciones deben de dar ejemplo, haciendo un buen uso de los recursos naturales, respetando a la naturaleza, evitando el deterioro con el medioambiente, entre otros. La mayor preocupación que existe es la degradación del medio que se está produciendo, así las administraciones públicas y la sociedad en general trabajan para reducir este deterioro del medio ambiente. El Sistema de Gestión Ambiental adoptado bajo el estándar internacional ISO14001 tienen la finalidad de: %% Cumplir con la legislación vigente. %% Establecer los procedimientos y políticas ambientales para poder alcanzar los objetivos fijados.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools. org/2014/06/02/ los-beneficios-aportados-por-la-norma-iso-14001-a-las-administraciones-publicas/
%% Señalar los efectos que se llevan a cabo en las actividades de la empresa en el medioambiente. %% Saber cual es el volumen de residuos generados, que una organización puede asumir. %% Proporcionar información a la sociedad del comportamiento de la organización con respecto al medio ambiente. ISOTools, es una Plataforma Tecnológica, que facilita la implantación, sistematización y evaluación de la norma internacional ISO-14001, así como facilitar el mantenimiento y la gestión de forma eficaz.
Los 50 EXCELENTES de ISOTools en 2014
47
VOLVER AL ÍNDICE
17
MEDIO AMBIENTE Y ENERGÍA
Términos y definiciones de la norma ISO 14001 En el siguiente vídeo se definen las palabras más utilizadas en la norma internacional ISO 14001, con el principal objetivo de facilitar la compresión de los conceptos básicos.
VER VÍDEO ISO 14001: TÉRMINOS Y DEFINICIONES
Los 50 EXCELENTES de ISOTools en 2014
48
VOLVER AL ÍNDICE
18
MEDIO AMBIENTE Y ENERGÍA
ISO 14001: Costos asociados a una gestión ambiental inadecuada La ISO 14001 para los Sistemas de Gestión Medio Ambiental o SGMA, se convierte en una herramienta clave para las organizaciones que desean que sus actividades se desarrollen respetando plenamente el entorno que le rodea. A través de los SGMA, es posible gestionar todos los elementos de la organización relacionados con el medio ambiente. En este post trataremos de aclarar en concreto, los aspectos asociados a la contabilidad ambiental. Cuando utilizamos el término contabilidad ambiental, se hace referencia a los elementos que forman parte de las cuentas de una organización, derivados de los impactos originados sobre el medio ambiente. En la contabilidad ambiental de una organización considera: %% La contabilidad de los pasivos eventuales. %% La contabilidad de activos y lanzamientos de capital. %% El análisis de los costos asociados aquellos departamentos en los que se gestiona la energía, los residuos y la conservación del medio ambiente. %% La inversión imprescindible para incluir todos los elementos ambientales. %% El desarrollo de sistemas contables que permitan abarcar los departamentos encargados de temas ambientales. %% Las evaluaciones sobre la inversión y los beneficios obtenidos del programa de mejora ambiental. %% Ejecutar técnicas en el ámbito contable que declaren los activos y pasivos de la organización y al mismo tiempo los costos ambientales. Los problemas ambientales requieren de supervisión, además es necesario elaborar y ejecutar políticas y medidas ambientales para hacerles frente. Las actuaciones realizadas para mitigar o eliminar estos problemas, suponen un costo que se gestiona desde la administración ambiental de la organización. En definitiva, se podría afirmar que la administración ambiental es la responsable de vigilar y mejorar el desempeño ambiental de la organización. En la norma ISO 14001, se incluyen los requisitos necesarios para que una organización implante con éxito un Sistema de Gestión Ambiental. Estos requisitos permiten gestionar correctamente los aspectos ambientales de la organización, ya que todos se basan en la política ambiental y los objetivos establecidos por la propia empresa.
Los 50 EXCELENTES de ISOTools en 2014
49
VOLVER AL ÍNDICE
18 Los responsables de la administración ambiental de una organización tienen varias funciones, entre las que destacamos: %% Supervisar y elaborar políticas ambientales. %% Definir los objetivos a conseguir por la empresa. %% Establecer el ciclo de vida. %% Desarrollar y sustentar en el tiempo el Sistema de Gestión Ambiental de la organización basándolo en normas internacionales como ISO14001. %% Cumplir con la legislación vigente. %% Realizar evaluaciones del impacto que supone el desarrollo de su actividad sobre el medio. %% Hacer uso de la ecoetiqueta. %% Reducir la producción de deshechos. %% Llevar a cabo programas preventivos para evitar la contaminación. %% Fomentar la investigación y desarrollo de tecnologías limpias. %% Poner en marcha el desarrollo ambiental. Después de lo comentado hasta el momento, podemos decir que el trabajo de los responsables de la administración ambiental, auditores y asesores externos puede verse perturbado. El grado de involucración de los responsables de la administración ambiental en los SGMA se puede identificar a través de un mapeo en el que se consideran todos los a los que debe enfrentarse la organización. La implementación de un Sistema de Gestión Medioambiental en una organización basado en la ISO-14001 es garantía de que el trabajo de los responsables de la contaduría mejorará. A continuación hablaremos de los diferentes tipos de contables y de las responsabilidades que deben llevar a cabo si no cuentan con un SGMA.
Contables financieros: %% Combaten los problemas asociados a evaluaciones, balances, eventualidades, etc. %% Hacen frente a las pérdidas económicas originadas por los procedimientos realizados para la gestión y vigilancia de los deshechos. %% Elaboran informes con periodicidad anual, en los cuales se contemplen el desempeño ambiental de la organización. %% Refuerzan las relaciones con las entidades financieras y otras similares.
Contables gerenciales %% Tienen la responsabilidad de analiza y valorar los costos y beneficios ambientales obtenidos. %% Deben incluir los costos e inversión que se va a utilizar en un futuro para la mejora ambiental. %% Tienen la obligación de desarrollar programas para efectuar un correcto análisis de los costos que implica la mejora de la eficiencia.
Los 50 EXCELENTES de ISOTools en 2014
50
VOLVER AL ÍNDICE
La Gestión Ambiental se enfrenta a cambios relevantes este año.
Con este curso online aprenderás todo lo que necesitas saber sobre la NUEVA ISO 14001:2015
MATRICÚLATE AHORA
18 %% Elaboran informes sobre la mejora ambiental de la organización.
Contables de sistemas: %% Realizan modificaciones sobre los Sistemas de Información Gerencial y Financiera.
Contables de proyectos: %% Evalúan las inversiones de la organización. %% Llevan a cabo auditorías ambientales. %% Realizan evaluaciones ambientales para comprobar que se alcanzan los objetivos.
Contables que actúan como auditores internos: %% Deben incluir la auditoría ambiental a los programas de auditoria interna de la organización. Las actividades ejecutadas por las organizaciones provocan en numerosas ocasiones serios impactos sobre el entorno que lo rodea, convirtiéndose en una amenaza para la sociedad. La respuesta inmediata por parte de la organización a los problemas ambientales que pueda originar, asegura que el daño sea menor. El responsable de la administración ambiental verá como los inconvenientes derivados de ejecutar medidas correctivas incrementan considerablemente la inversión, por lo que no ven la rentabilidad. Para evitar que los presupuestos destinados a solventar este tipo de problemas sean demasiado elevados, es importante que las organizaciones adopten medidas preventivas que inviten a realizar actividades que favorezcan la protección del medio ambiente. A menudo se piensa que los responsables de la administración ambiental, no deben participar en ninguno de los departamentos en los que se implanta el Sistema de Gestión Ambiental. Se trata de un pensamiento equivocado, como hemos podido comprobar, la involucración en el inicio de la implantación de un SGMA por parte de un contable asegura que dicho sistema se potencie y su implantación culmine con el éxito deseado por la organización, además de lograr reducir los costos destinados a este tipo de problema.
Sistema de Gestión Medio Ambiental Las organizaciones apuestan cada día más por la implementación de SGMA basadas en estándares internacionales como la norma ISO 14001. La obtención del certificado ISO14001, asegura el cumplimiento de requisitos que favorecen la mejora del desempeño ambiental de la organización. Si le interesan los Sistemas de Gestión Ambientales y desea conocer más, puede encontrar más información en el siguiente enlace https://www.isotools.org/ normas/medio-ambiente/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/10/15/iso-14001-costos-asociados-a-una-gestion-ambiental-inadecuada/
Los 50 EXCELENTES de ISOTools en 2014
52
VOLVER AL ÍNDICE
19
MEDIO AMBIENTE Y ENERGÍA
ISO 14001: Conoce los fundamentos del Sistema de Gestión Ambiental La ISO 14001 tiene su origen a consecuencia del renovado interés de la sociedad por los cambios que se están dando en el medio ambiente. Las empresas no solo están tomando conciencia del cuidado que se debe llevar a cabo con respecto al planeta, sino que también quieren cumplir con la legalidad y las normas que se originan del mismo, pues son éstas las que provocan en mayor medida el deterioro de nuestro hábitat. Actualmente, el medio ambiente está creando un nuevo factor estratégico para las empresas. Es muy importante que éstas sepan cómo integrarlo correctamente en la gestión de sus sistemas y que además no interfieran en los objetivos de corto, medio y largo plazo. La norma ISO 14001 para los Sistema de Gestión Ambiental consigue que esta integración sea posible. Esta norma, expide un certificado que es concedido por una entidad social que tiene reconocimiento en un dominio mundial. El certificado en cuestión, acredita que la empresa está llevando a cabo una actividad respetuosa con el medio ambiente. Es durante un Sistema de Gestión Ambiental donde se dan lugar un conjunto de operaciones para que se llegue a conseguir la mejor coherencia a lo largo del procedimiento con relación a la mejora del medio ambiente, la protección, defensa, conservación del mismo, que se fundamenta en organizar los datos multidisciplinares disponibles de los ciudadanos. Nos podemos aproximar a esta gestión ambiental desde diferentes puntos de vista, como pueden ser: %% Social: este punto se refiere a la consecución de las actividades recreativas, paisajísticas, ecoturísticas, agroambientales, etc.
Los 50 EXCELENTES de ISOTools en 2014
53
VOLVER AL ÍNDICE
19 %% Económico: construir una fuente de bienestar económico ocasionando una sostenibilidad entre la cultura y la sociedad, además se persigue que las actividades que se lleven a cabo cumplan con los objetivos esperados. %% Ecológico: es importante conservar los recursos naturales y la biodiversidad, incluso se exige hacer hincapié en el cuidado de los ecosistemas, la capacidad de carga del ecosistema y generar externalidades positivas. Es ahora cuando toca hablar de las bases de la gestión ambiental: %% Llevar a cabo una actividad en un ecosistema: aunque los sistemas naturales sea capaces de filtrar una gran cantidad de índices de contaminación, hay que ser consciente de la cantidad de capacidad de carga de los ecosistemas locales. %% Colaboración: hace referencia aaquellos organismos y personas que están afectadas por los planes ambientales y que además tienen que intervenir en la formación. Los problemas ambientales que son producidos de manera limítrofe no se adjuntan. %% Si contaminas, pagas: según se ha establecido, quien hace un daño en el medio ambiente debe hacerse responsable económicamente de los costos que se generen de la reparación. Es por eso, que se deben introducir mejoras industriales y aptitudes de trabajo con el objetivo de minimizar la contaminación y los residuos que se generen. %% Prudencia: En caso de estar dubitativo a la hora de llevar a cabo una acción que no sabemos su consecuencia, es más inteligente ir con prudencia. Toma importancia el poder comparar los efectos nocivos de manera científica, antes de que sea demasiado tarde y hacerlo ante cualquier actividad la cual desconozcamos su impacto ambiental. %% Preparativos: es necesario contar con un plan para regular todos los aspectos ambientales para poder controlar la contaminación, pues así, se puede prevenir contaminar de un medio a otro. La comunidad local debe integrar un control ambiental en todas sus actividades, para así poder prepararse adecuadamente antes una situación peligrosa que llegue a no tener marcha atrás. El Sistema de Gestión Medioambiental puede ser utilizado por la empresa para facilitar la gestión ambiental. Aportará una visión y análisis sobre el mecanismo de este proceso para que asegurar que las actividades se llevan a cabo de una forma a acorde con el reglamento y la política ambiental que se haya requerido por la organización. En el SGMA se incluye la organización, planificación de todas las funciones que se llevaran a cabo por la compañía, las responsabilidades, los procesos, los procedimientos y los recursos que se necesitan implementar o desarrollar, incluyendo estar al día con la política medioambiental. Cuando una empresa establece un SGMA, adquiere unos compromisos: %% Reconocer las obligaciones legales y los impactos ambientales que se encuentran asociados a sus actividades, servicios o productos. %% Promover la responsabilidad de la dirección de la compañía y de los empleados en la defensa del medio. %% Conseguir el ciclo de vida para poder realizar actividades que no influyan negativamente sobre el medio ambiente. %% Generar sistemas que facilitan el alcance de los objetivos medioambientales. %% Incentivar a que los proveedores trabajen según los requisitos de los Sistemas de Gestión Ambiental.
Los 50 EXCELENTES de ISOTools en 2014
54
VOLVER AL ÍNDICE
19 %% Analizar todos los resultados obtenidos basándonos en la política ambiental y lo objetivos fijados por la compañía. El Sistema de Gestión Medio Ambiental es muy diverso y las empresas lo acogen libremente. Existen diferentes tipos, que pueden ser: %% ISO 14001: fue realizada por la Organización Internacional de Normalización (ISO) que es un organismo privado no gubernamental, que genera normas voluntarias y pertenece a la familia de normas ISO 14000. %% EMAS: en este sistema, de la Unión Europea del año 2001, se lleva a cabo la eco gestión y las auditorias del medio, tiene el plazo abierto para que cualquier organización que esté interesada en la protección del medio ambiente, pueda unirse fácilmente. Respecto a la auditoria del Sistema de Gestión Ambiental, decir que es un proceso el cual, verifica de una manera mecánica e informada la obtención y análisis de las pruebas que nos determinan si el sistema de gestión de una empresa cumple con las normas legales marcadas por la organización y se relaciona con los objetivos de la dirección. SGMA Esta certificación medioambiental verifica que una entidad tiene posee un Sistema de Gestión Ambiental, de manera que pueda fácilmente demostrar que ésta cumple con la norma, y no solo eso, sino que también se determina que tiene intención de prevenir la contaminación generada de su actividad y que se interesa por poner los medios que sean necesarios para eliminar los efectos que la compañía produce en el medio ambiente. Si desea conocer más acerca de los Sistemas de Gestión Ambientales, le puede interesar: https://www.isotools.org/normas/medio-ambiente/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/10/28/iso-14001-fundamentos-sistema-gestion-ambiental/
Software para Sistema de Gestión Ambiental
Ada la n ptado 140 ueva IS a 01:2 O 015
DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
55
VOLVER AL ÍNDICE
20
MEDIO AMBIENTE Y ENERGÍA
ISO 14001: ¿Qué documentación precisa la implementación de un Sistema de Gestión Ambiental? Para realizar la implementación de un Sistema de Gestión Ambiental según la ISO 14001, las organizaciones deben determinar todos los procedimientos implicados en la consecución de objetivos ambientales y por su puesto documentarlos. A continuación describiremos brevemente cada uno de los documentos que se deben elaborar para implantar correctamente un sistema de este tipo basado en el estándar internacional ISO14001: %% Política ambiental, en este documento se definen cada uno de los principios ambientales en los que se basan las organizaciones a la hora de desarrollar su actividad diaria. %% Manual de gestión ambiental: En el que se incluyen las normas aplicables, los principios, orientaciones y sugerencias implicados en la gestión ambiental y considerando en todo momento los objetivos establecidos por la organización. %% Procedimientos: Se trata de un grupo de documentos en los que se establece el modo de ejecutar aquellas actividades vinculadas con la gestión ambiental. %% Instrucciones Técnicas: A través de estos documentos se explica breve y claramente, las fases necesarias para comenzar, ejecutar y concluir una actividad. %% Registros ambientales: Este tipo de documentos constituyen la base documental que garantiza que la implementación del Sistema de Gestión Medioambiental se ha realizado correctamente. Ofrece certeza objetiva de las tareas desarrolladas y de los resultados logrados. En referencia a los documentos mencionados con anterioridad, estos deben cumplir con una serie de requerimientos. Para que sean comprendidos por todas las personas tienen que ser legibles, además estar fechados, identificarlos fácilmente, estar perfectamente conservados y archivados. Del mismo modo, para acceder rápidamente a ellos tienen que estar localizables y para garantizar que son actuales, es necesario revisarlos periódicamente.
Los 50 EXCELENTES de ISOTools en 2014
56
VOLVER AL ÍNDICE
Responsabilidad Social Corporativa (RSC) Descargue este e-book gratuito
DESCARGAR AHORA
20 Política Ambiental Para la Política Ambiental, se precisa considerar los requisitos que mostramos a continuación: %% Ser coherente con la dimensión de aquellos impactos ambientales originados por las actividades de la organización. %% Plasmar un compromiso de mejora y de prevención ante aquellas actividades generadoras de contaminación. %% Cumplir con la legislación aplicable en el momento y los reglamentos de carácter ambiental vigentes. %% Definir objetivos y metas de tipo ambiental para la organización. %% Estar documentada, implementada y disponible para cualquier empleado de la empresa o parte interesada. Además, la Política Ambiental debe: %% Lograr que la organización continúe su actividad de un modo sostenible en lo referente al tema económico, a los aspectos relacionados con la conservación del entorno y/o la integración de la sociedad %% Gestionar eficientemente los recursos naturales y energéticos empleados por la organización. %% Reducir los desechos generados por la empresa. %% Tramitar las compras de materias primas utilizadas por la organización. A la hora de realizar una Política Ambiental, es muy posible que surjan dudas, por ello establecemos una serie de sugerencias: %% La Dirección de la organización debe adquirir un compromiso desde el primer momento que da comienzo la implementación del SGMA. %% La Dirección considerará a la Política Ambiental como documento de comunicación interna y externa, es decir para los trabajadores de la propia empresa y para el resto de partes interesadas. Cuando la organización lleva a cabo la implementación de la Política Ambiental se precisa: %% Definir las responsabilidades asumidas por las partes involucradas y activar las acciones oportunas para gestionar todas las etapas del sistema. %% Garantizar que los trabajadores cuentan los la formación adecuada para su puesto de trabajo y para el cumplimiento de los requisitos ambientales de la actividad que desarrollan. %% Conocer el modo en el que se le va a permitir el acceso a dicho documento, ya sean a los empleados o para el resto de partes interesadas que lo requieran. Tambien será necesario establecer la forma de difusión. En cuanto al último punto, el modo de difusión empleado para que el documento llegue a los trabajadores, se puede hacer uso de canales ya utilizados para otros temas como: %% Las reuniones de los departamentos de la empresa. %% Jornadas colectivas. %% Cursos de capacitación.
Los 50 EXCELENTES de ISOTools en 2014
58
VOLVER AL ÍNDICE
20 Cuando la difusión se va a realizar externamente, se pueden utilizar diferentes medios como revistas, folletos informativos o la propia web de la organización. En todo momento la Política Ambiental se encuentra sujeta a modificaciones. Cuando estas se ejecuten, será imprescindible comunicar a todas las partes interesadas de la organización o externas a ella este tipo de cambios.
Manual de gestión ambiental El Manual de gestión ambiental tiene la obligación de contener: %% Una manifestación que revele la Política Ambiental. %% El organigrama de la organización. %% Las tareas y procesos relacionados con el medio ambiente. %% Declaraciones referidas a la información generada por el entorno de la empresa y las acciones correctivas a considerar.
Procedimientos Al hablar de los procedimientos, como hemos mencionado anteriormente, nos referimos a un conjunto de documentos en los que queda establecido el modo en el que se debe desarrollar las organizaciones de la empresa relacionadas con la gestión del entorno. Queda reflejado cómo interactúan cada uno de los departamentos de la organización con el medio ambiente y se emplea con la finalidad de determinar verificaciones y mejoras en el sistema. Es imprescindible elaborar los procedimientos, ya que permite realizar una identificación correcta de las actividades que precisan de una base documental. Para lo cual, se considerará las prácticas ya empleadas, las consideraciones de los responsables del proceso y de los trabajadores involucrados y por supuesto de los requisitos ambientales. Un procedimiento tendrá en cuenta el objeto de la actividad desarrollada y su campo de aplicación, además debe dar respuesta a: %% Qué se debe hacer %% Quién debe hacerlo %% Cuándo, dónde y cómo se debe hacer %% Qué materiales hay que emplear %% Cómo se debe controlar y registrar.
Instrucciones técnicas Las Instrucciones Técnicas, como hemos dicho antes, describirán de un modo conciso y claro las fases a seguir para que dé comienzo y concluya una actividad. Por ello, se considerará: %% Alcance %% Restricciones %% Trabajadores involucrados %% Responsables de los resultados obtenidos
Los 50 EXCELENTES de ISOTools en 2014
59
VOLVER AL ÍNDICE
20 Registro Ambiental Este documento se encuentra formando parte del soporte documental para comprobar que la implementación del Sistema de Gestión Ambiental según laISO-14001 se ha realizado con éxito. Las organizaciones tienen que desencadenar una serie de pasos para elaborar un Registro Ambiental: %% Lograr que sea un documento sencillo. %% Eludir la gestión de documentos innecesarios. %% Hacer uso de metodologías prácticas y de fácil uso.
Sistema de Gestión Ambiental Si te ha gustado este artículo y quieres saber más sobre el Sistemas de Gestión Ambiental, puede visitar https://www.isotools.org/normas/medio-ambiente/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/11/03/iso-14001-documentacion-implementacion-sistema-gestion-ambiental/
Software para Sistema de Gestión Ambiental
Ada la n ptado 140 ueva IS a 01:2 O 015
DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
60
VOLVER AL ÍNDICE
21
MEDIO AMBIENTE Y ENERGÍA
ISO 14001: Procesos que afectan a la Gestión Ambiental En el momento de implantar un Sistema de Gestión Medioambiental fundamentado en la norma ISO 14001 hay que tener en cuenta los procesos por los que se ve afectado y son los siguientes:
Normalización La normalización es una acción que tiene que determinar las disposiciones destinadas a usos comunes y reiterados, para obtener un nivel de ordenación favorable dentro del contexto dado, pudiendo ser éste económico, tecnológico o político. Las normas son documentos que se determinan a través de un consenso y las cuales son aprobadas por un reconocido organismo que instituye, para usos reiterados y comunes, las características, las reglas o los criterios para las distintas actividades que realice y procura conseguir un nivel favorable de ordenación en el seno del contexto determinado. Entre las distintas organizaciones, los usuarios y las administraciones, la norma ISO14001 presenta un lenguaje común de comunicación, llegando a ser un gran mecanismo para llevar a cabo el desarrollo industrial de los países. Se utiliza la norma para incrementar la calidad de la Gestión Ambiental de las entidades, aumentando la competitividad en los mercados nacionales e internacionales, así como ayudar a preservar el medio ambiente. Actualmente existen gran variedad de normas, para cada materia se puede encontrar una norma. Por ello, se normaliza las características y la composición de las materias primas, la maquinaria utilizada, la prevención de riesgos laborales, los métodos de ensayo, de los productos industriales, la gestión de la calidad o la gestión ambiental. Los estándares internacionales son confeccionados por un organismo de normalización internacional. Se denominan ISO las normas internacionales, y son confeccionadas por la Organización Internacional de Normalización. Ésta nació en el año 1947 con el fin de desarrollar actividades de normalización en el ámbito mundial, posibilitando internacionalmente la cooperación y el intercambio tecnológico y científico. A la organización ISO lo conforman los organismos de normalización de cada país.
Los 50 EXCELENTES de ISOTools en 2014
61
VOLVER AL ÍNDICE
21 Las normas regionales son elaboradas por organismos normalizadores regionales, de manera muy similar a como lo establecen los organismos internacionales. Poniendo un ejemplo, en el ámbito Europeo se encuentra el Comité Europeo de Normalización (CEN) como responsable de confeccionar las normas. En el seno de ese Comité se encuentran la totalidad de países de la Unión Europea y las normas son reconocidas con el prefijo EN. Sin embargo, las normas nacionales son confeccionadas por organismos normalizadores del país concretamente, como por ejemplo, en España se confía a la Asociación Española de Normalización y Certificación (AENOR), por lo que se trata de un organismo reconocido para llevar a cabo ésta actividad y además, sus normas se encuentran reconocidas con el prefijo UNE.
Certificación En cuanto a la certificación ISO 14001, es una actividad llevada a cabo por una organización reconocida como independiente de la organización que quiera certificarse en su caso, con las que se mantiene la conformidad de la entidad, del servicio o de las personas que tienen que cumplir todos los requisitos definidos en las normas, las especificaciones técnicas o el producto. Uno de los dispositivos que tiene la entidad para asegurar que desarrollan su actividad en total respeto con el entorno es la certificación bajo un Sistema de Gestión Medioambiental fundamentado en la norma ISO14001 por parte de la organización, ya que están sometidos a los controles exhaustivos para eludir contaminación en el medio ambiente. En el momento que la entidad certificadora da su visto bueno a la empresa que ha implantado un Sistema de Gestión Ambiental, dicha entidad de otorga un sello externo que certifica este hecho. Dicho sello y las condiciones de uso son exclusivos para cada uno de los organismos certificadores.
Acreditación Por otro lado, la acreditación es un procedimiento por el que un Organismo Autorizado identifica que una organización tiene las competencias necesarias para llevar a cabo una determinada actividad de evaluación de la conformidad. Como por ejemplo, en España, la Entidad Nacional de Acreditación (ENAC) es la que se encarga de acreditar. En este caso se encargaría de acreditar las certificaciones de Sistemas de Gestión Ambiental. La entidad acreditadora es la encargada de evaluar las competencias técnicas de los organismos de certificación, afirmando que todos los requisitos se disponen identificados internacionalmente, es decir, se encuentran normalizados. La Guía 66 de ISO/IEC del año 1999 es la norma en la que podemos encontrar la totalidad de los requisitos de competencia técnica de los organismos certificadores de Sistemas de Gestión Medioambiental. Anteriormente fue la norma europea EN 45012:1998. Actualmente, todos los organismos acreditados para poder certificar los Sistemas de Gestión Ambientales son alrededor de veinte en España. Para realizar la acreditación, el organismo autorizado tiene las siguientes obligaciones: %% Deben determinar los planes de vigilancia y seguimientos por parte de los agentes acreditados. %% Se ocupan de editar y publicar anualmente catálogos actualizados de los agentes acreditados.
Los 50 EXCELENTES de ISOTools en 2014
62
VOLVER AL ÍNDICE
Cuadro de Mando Integral: Balanced Scorecard Descargue este e-book gratuito
DESCARGAR AHORA
21 %% Tienen que establecer todos los periodos de validez de las acreditaciones. %% Tiene que tramitar y resolver todas las demandas de acreditación que se soliciten. El procedimiento que tienen que seguir las entidades con el fin de obtener la acreditación es: %% Petición inicial: El organismo que quiera acreditarse tiene que trasladar una petición al organismo acreditador. %% Revisión de la petición: El organismo tiene que realizar un estudio de admisibilidad con que juzgar si se puede seguir con el proceso de acreditación. Una vez se ha juzgado, el organismo recibe el resultado de su petición. %% Evaluación: la evaluación se realiza por un equipo de expertos, compuesto por un responsable de evaluación y por varios evaluadores técnicos. %% Examen del informe de evaluación: El informe de evaluación es investigado por una comisión de acreditación. La decisión de acreditación se toma con la opinión favorable de esta comisión. %% Certificado de acreditación: una vez se ha dado el visto bueno por la comisión de acreditación se deben preparar los documentos siguientes: el certificado de acreditación y el alcance de certificación.
Sistema de Gestión Ambiental Para tener más información sobre los Sistemas de Gestión Ambiental y las normas relacionadas con el medio ambiente puedes visitar: https://www.isotools.org/normas/medio-ambiente/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/12/09/iso-14001-procesos-afectan-gestion-ambiental/
Software de Integración de Sistemas de Gestión DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
64
VOLVER AL ÍNDICE
22
MEDIO AMBIENTE Y ENERGÍA
ISO 14001: Pasos para implantar y diseñar un Sistema de Gestión Ambiental Dicha norma cuenta con gran cantidad de ventajas, pero la más importante es el hecho de que se pueda integrar con diferentes Sistemas de Gestión de una forma más fácil, por lo que encontramos normas que posibilitan la realización de auditorías conjuntas entre distintos sistemas de gestión.Para que se desarrolle adecuadamente el Sistema de Gestión Ambiental basado en la norma ISO14001, se considera necesario que se cumplan diversos requisitos, para los que se impone una concreta metodología, prestando una cierta libertad a las entidades. La empresa debe contar para el desarrollo de un Sistema de Gestión Medioambiental con: %% Los recursos materiales y humanos necesarios para alcanzar los objetivos ambientales propuestos. %% Una estructura organizada, en la que se debe definir claramente las funciones y las responsabilidades de los puestos de trabajo que se encuentren relacionados con el medio ambiente. %% La planificación de las actividades y las mejoras, impuestas por la política ambiental, los objetivos y las metas ambientales adecuadas. %% Documentos en los que se desarrolle la metodología implantada en la organización. El Sistema Ambiental fundamentado en la norma ISO-14001 se dispone estructurado en cinco grandes módulos, los cuales son: %% Política ambiental. %% Planificación. %% Implementación y operación. %% Verificación. %% Revisión por la dirección.
Los 50 EXCELENTES de ISOTools en 2014
65
VOLVER AL ÍNDICE
22 La norma se encuentra fundamentada en el principio de mejora continua, dicho principio se basa en un modelo circular que reside en Planificar-Hacer-Verificar-Actuar que fue desarrollado por Walter A. Shewhart y publicitado más tarde por Edward Deming. El prototipo se conoce como el ciclo de Shewhart/Deming y por sus siglas en ingles se como PDCA o por sus siglas en español por ciclo PHVA. Implantar un Sistema de Gestión Medioambiental fundamentado en la norma ISO 14001, así como en el principio de mejora continua, se corresponde con el sistema cíclico que van evolucionándose y adaptando con el tiempo. El esquema nos permite observar cada uno de los módulos de los que se estructura la norma ISO 14001. Los objetivos y propósitos generales de los cinco grandes módulos pueden concretarse y resumirse de la siguiente manera: %% La política ambiental dispone la estructura necesaria para poder determinar los objetivos y las metas ambientales. %% La planificación establece los objetivos y los procesos necesarios para alcanzar los resultados necesarios de acuerdo con la política ambiental de la organización, identificándose las consecuencias sobre el medio ambiente y estudiándose el acondicionamiento a esta. %% La implementación radica en generar los contenidos de los procesos del Sistema de Gestión Ambiental para comprobar el grado de implantación y eficacia. %% La revisión por la dirección supone la evaluación del sistema, ya que de esta surgirán las decisiones para llevar a cabo la mejora continua del Sistema de Gestión Medioambiental.
Diseño e implementación En el momento de implantar y diseñar un SGA, éste se puede llevar a cabo en distintos pasos:
Paso I: Compromiso ambiental y planificación del proceso Las funciones de los sujetos involucrados en la implementación de un Sistema de Gestión Ambiental se deben determinar, ya que supone uno de los puntos clave para lograr el éxito. El caso de formar un equipo de trabajo integrado por sujetos de los distintos departamentos que forma la empresa es interesante, así como contar con una asesoría externa a la entidad especializada que guie la implementación del SGA. La dirección de la empresa tiene que respaldar mayoritariamente el proyecto. Además, debe conocer en que consta un Sistema de Gestión Medioambiental, los objetivos que persigue, así como los recursos necesarios para llevarlo a cabo. En el momento de finalizar con la totalidad de preparativos, el paso siguiente debe ser realizar un calendario donde fijemos todos los plazos aproximados para la consecución de los distintos requisitos del SGA.
Paso II: La revisión ambiental inicial Este siguiente paso no se considera obligatorio, pero en cambio, sí muy recomendable para implantar un Sistema de Gestión Ambiental basado en la norma ISO-14001. Antes de comenzar a desarrollar un sistema, es necesario contar con la mayor información con el fin de determinar cuáles son los impactos ambientales derivados de las actividades, servicios y productos de la empresa.
Los 50 EXCELENTES de ISOTools en 2014
66
VOLVER AL ÍNDICE
22 Le corresponde al equipo de gestión ambiental la revisión ambiental organizada por la entidad o al equipo consultor externo contratado para la misma finalidad.
Paso III: Implantación del SGA Con el fin de desarrollar de manera adecuada este paso, es necesario que se cumplan la totalidad de los requisitos de la norma ISO-14001. Para llevar a cabo de forma adecuada la implantación del SGA se tiene que normar a sujetos responsables del mismo. Cada una de las personas puede crear las figuras que considere necesarias para posibilitar la implantación del sistema.
Paso IV: Certificación del Sistema de Gestión Ambiental Es posible la certificación de un Sistema de Gestión Ambiental si este se ha desarrollado fundamentándose en los requisitos específicos de la norma y cumple todos ellos. La certificación es la prueba externa que se utiliza para mostrar a las partes interesadas que una organización ha implementado un SGA con éxito. Para conseguir el certificado es necesario que el Sistema de Gestión Medioambiental tenga una madurez, ya que la certificación necesita de registros que evidencien un comportamiento concorde con los puntos marcados en la norma ISO 14001. En el momento anterior de conseguir el certificado, la entidad tiene que realizar una auditoría interna con el fin de comprobar el estado en el que se encuentra su SGA, de esta manera se podrán detectar las No Conformidades o el incumplimiento de algunos requisitos y áreas que necesitan una mejora. La Alta Dirección tiene que evaluar los resultados obtenidos de la auditoría y en base a estos, tomar las decisiones que crean convenientes. Un Sistema de Gestión Ambiental basado en la norma ISO 14001 permite a las organizaciones desarrollar sus actividades respetando en todo momento el entorno que le rodea.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/12/17/iso-14001-pasos-para-implantar-y-disenar-sistema-gestion-ambiental/
Los 50 EXCELENTES de ISOTools en 2014
67
VOLVER AL ÍNDICE
Seguridad y Salud Laboral.
23
SEGURIDAD Y SALUD EN EL TRABAJO
La importancia de la OHSAS 18001 dentro del sector turístico La norma OHSAS 18001 es la encargada de gestionar la Seguridad y Salud en el Trabajo, como cualquier otro estándar internacional está dirigido a todas las empresas con el fin de proteger lo máximo posible a los trabajadores durante su jornada laboral. La principal relación que existe entre el sector turístico y la OHSAS18001, es que cada día este sector se preocupa más por la seguridad de sus trabajadores. Lo que se consigue con el estándar internacional OHSAS-18001 es disminuir muy significativamente los accidentes que se pueden dar mientras los empleados se encuentran en su puesto de trabajo, por lo que esto supone más seguridad para los empleados y una reducción de gastos para la empresa, se evitan bajas temporales de los empleados y permite que se cumpla la legislación, por lo que se evitan multas. La implantación y certificación de la norma OHSAS 18001 en el sector es algo que queda de mano de la empresa, ya que no es obligatoria. Si una empresa se encuentra certificada con la norma se generaran beneficios como pueden ser, un aumento de confianza en los usuarios de sus servicios, etc. Para conseguirse la Seguridad y Salud en el Trabajo se debe contar con un espacio de trabajo sano, en el cual existan las siguientes condiciones básicas: %% Donde se presenten condiciones de trabajo justas para los trabajadores. %% Las actividades llevadas a cabo por los empleados sean asignadas con dignidad. %% La participación de los trabajadores en el Sistema de Seguridad y Salud en el Trabajo es muy importante, dejando que expongan las mejoras que ellos creen más oportunas.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools. org/2014/05/07/la-importancia-de-la-ohsas-18001-dentro-del-sector-turistico/
Los daños que se pueden generar en los trabajadores van a depender principalmente del puesto de trabajo que ocupen, la zona donde se encuentren y los materiales con los que trabaje. La alta dirección es la que tiene que decidir los medios apropiados con los que garantizar la Seguridad y Salud en el Trabajo para sus empleados. La OHSAS18001 cobra mayor relevancia cuando los trabajadores del sector turístico tienen que enfrentarse a situaciones peligrosas, como pueden ser la realización de deportes de riesgo, viajes en diferentes sistemas de locomoción, guías turísticos que viajan a países exóticos pudiendo contraer enfermedades, etc.
Los 50 EXCELENTES de ISOTools en 2014
69
VOLVER AL ÍNDICE
8 problemas de integrar normas ISO Descarga e-book gratuito
DESCARGAR AHORA
24
SEGURIDAD Y SALUD EN EL TRABAJO
OHSAS 18001 Origen y evolución OHSAS 18001 es un estándar que ha sufrido muchas variaciones desde que se pensara en materia de Prevención de Riesgos Laborales. Actualmente ISO está trabajando en la elaboración de una norma que sustituirá a OHSAS 18001, será la ISO 45001. Esta nueva norma contendrá los requisitos para implementar un Sistema de Gestión de la SST en cualquier organización que así lo desee.
VER VÍDEO OHSAS 18001: ORIGEN Y EVOLUCIÓN
Los 50 EXCELENTES de ISOTools en 2014
71
VOLVER AL ÍNDICE
25
SEGURIDAD Y SALUD EN EL TRABAJO
OHSAS 18001: Procedimiento de evaluación de riesgos Los Sistemas de Seguridad y Salud Ocupacional basados en la OHSAS18001 le dan un papel principal a estos aspectos, por lo tanto, la empresa debe adoptar metodologías de trabajo adecuadas. En primer lugar, las organizaciones tienen la obligación de detectar los peligros vinculados al desarrollo de su actividad. Tras esto, en necesario evaluar dichos riesgos y peligros para analizar la transcendencia que ha tenido aquellos riesgos que no se han podido eludir. Con esta evaluación, es posible adoptar las medidas más oportunas. Según establece la OHSAS-18001, las organizaciones deberían de tener en cuenta durante la identificación de peligros y evaluación de riesgos los propios peligros y riesgos, además de los controles, documentos, etc. La evaluación de los riesgos, está formada por varias etapas: %% Análisis del riesgo: Durante esta etapa tiene lugar la identificación de los peligros de la organización. Además se valora la dimensión que ha tenido el riesgo a través de una estimación de la posibilidad de que tenga lugar ese peligro y el resultado de que se produzca. Gracias a esto, conoceremos la trascendencia del riesgo dentro de la organización. %% Estimación del riesgo: Para realizar esta estimación es necesario tomar la valoración que tiene y compararla con el nivel de riesgo que está admitido. Los resultados de esta estimación permiten decidir si el riesgo puede ser asumido o no por la compañía. Las organizaciones pueden estimar que un riesgo es aceptable, si considerando la política de seguridad y salud en el trabajo y otra clase de requerimientos legales, estos se encuentra dentro de niveles que puede tolerar. Si tras esta valoración, el riesgo es considerado como inaceptable, es imprescindible establecer una serie de medidas que permitan reducirlo hasta niveles aceptables. Se designa gestión del riesgo, a la evaluación del riesgo y al control del riesgo. La información obtenida de identificar los peligros, evaluar los riesgos y establecer los controles, se debe emplear durante la implantación y desarrollo del SG-SST.
Los 50 EXCELENTES de ISOTools en 2014
72
VOLVER AL ÍNDICE
25 Cuando es necesario adoptar medidas de control, se debe: %% Minimizar o suprimir el riesgo, para ello se deben ejecutar acciones preventivas desde el inicio del desarrollo de la actividad, además de dar formación y protección a todos los trabajadores de la organización. %% Realizar controles periódicos de las condiciones de la propia organización, incluyendo la metodología de trabajo empleada y el estado de salud de los empleados. Los Sistemas de Seguridad y Salud en el Trabajo están basados fundamentalmente en la evaluación de riesgos, por lo que se debe realizar en cada uno de los lugares de trabajo de la compañía, teniendo en cuenta: %% Las circunstancias de trabajo. %% Las condiciones de los trabajadores que ocupan ese puesto. En los puestos de trabajo se realizará la evaluación de riesgos cuando: %% Estos sufran modificaciones debido a la selección de ciertos equipos, productos químicos, tecnologías, etc. %% Las condiciones de trabajo se vean modificadas. %% Un nuevo empleado que posea ciertas particularidades que origine que sea más vulnerable al lugar de trabajo, se incorpore a la plantilla. Además de estos casos, las organizaciones deben realizar una evaluación de riesgos siempre que se hayan identificado actividades que produzcan lesiones a la salud de los empleados o cuando las acciones preventivas desarrolladas no sean las apropiadas. Para esto: %% Se investigaran las causas que han provocado lesiones sobre los trabajadores. %% Se tendrán en cuenta las actividades realizadas para mitigar y controlar los riesgos. %% Se analizara la situación epidemiológica de los trabajadores. En definitiva, las organizaciones son las responsables de gestionar periódicamente una evaluación de riesgos. En los Sistemas de Gestión de Seguridad y Salud Ocupacional basados en la OHSAS 18001, se registrarán las evaluaciones y siempre quedará documentada la siguiente información relativa a cada uno de los puestos de trabajo: %% Reconocimiento de los peligros. %% Identificación del lugar de trabajo. %% Riesgos materiales. %% Listado de trabajadores perjudicados. %% Resultado de las evaluaciones de riesgos realizadas con anterioridad. %% Alusión a los criterios y procedimientos empleados durante la evaluación de riesgos. Aunque la evaluación de riesgos es un requerimiento de la norma OHSAS18001, hay que mencionar que existen diversos tipos: %% Evaluación de riesgos exigida por la legislación determinada. %% Evaluación de riesgos para aquellos casos en los que no exista una legislación determinada. %% Evaluación de riesgos en los que es necesario unos métodos concretos de análisis. %% Evaluación genérica de riesgos.
Los 50 EXCELENTES de ISOTools en 2014
73
VOLVER AL ÍNDICE
25 En muchas de las ocasiones, los riesgos producidos en las organizaciones derivan de problemas en sus instalaciones o equipamientos. Es por esto, que se han elaborado legislaciones referidas a este tema tanto a nivel nacional como local y será necesario tenerlas en cuenta durante la evaluación de riesgos. En algunos momentos, se producen riesgos laborales que no están amparados por ningún tipo de legislación. En estos casos es posible emplear guías o normas técnicas que señalan procedimientos para realizar la evaluación. Como ejemplo, podemos hacer referencia a la ISO 10075, que considera los principios ergonómicos correspondientes con la carga de trabajo mental. La norma OHSAS 18001 para los Sistemas de Gestión de Seguridad y Salud Laboral, incluye la evaluación del riesgo como un procedimiento. Al mismo tiempo existe otra norma de esta familia, la OHSAS 18002 que contiene los instrumentos y metodologías de evaluación del riesgo para: %% Catálogo de verificación/cuestionarios. %% Matrices de riesgos. %% Tablas de clasificación / votos. %% Análisis de los modos y efectos de fallo (AFME). %% Estudios de peligros y operabilidad (HAZOP). %% Estrategia de evaluación de la exposición. %% Análisis de Pareto. La gestión de los riesgos laborales es un tema al que hacen especial atención las organizaciones, las cuales están cada día más comprometidas con la protección de sus trabajadores y por garantizar un puesto de trabajo seguro.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/10/20/ohsas-18001-procedimiento-evaluacion-riesgos/
Los 50 EXCELENTES de ISOTools en 2014
74
VOLVER AL ÍNDICE
26
SEGURIDAD Y SALUD EN EL TRABAJO
OHSAS 18001: Requisitos legales y otros requisitos de la norma En el momento en el que una organización decide implantar un Sistema de Gestión de Seguridad y Salud en el Trabajo según la norma OHSAS18001 esta puede encontrar con una serie de dudas sobre cómo debe afrontar algunos aspectos de la norma en sí misma. Durante este artículo nos centraremos a explicar los dos puntos que hemos citado anteriormente %% Requisitos legales y otros %% Objetivos y programas
Requisitos legales y otros La norma OSHAS 18001 dentro de su apartado requisitos legales y otros requisitos determina la obligación que tienen las empresas a la hora de establecer una política de Seguridad y Salud en el Trabajo donde introduzca todos los compromisos relacionados con los requisitos legales que le afecten directamente. Para poder llevar esto a cabo la empresa debe realizar una serie de procedimientos que generen respuesta a: %% Los requisitos legales que se deben identificar. %% Todos los requisitos legales que sean aplicables. %% Las personas responsables de identificar los requisitos legales. %% El momento en el que se debe identificar los requisitos. %% Donde se deben identificar los requisitos. Como bien sabemos no existen dos empresas iguales, por lo que cada una debe establecer sus propios procedimientos de actuación, dentro del propio Sistema de Gestión SST basado en OHSAS 18001, con los que puedan responder a las preguntas que hemos mencionado anteriormente basándose en los peligros, actividades, etc.
Los 50 EXCELENTES de ISOTools en 2014
75
VOLVER AL ÍNDICE
Responsable de Calidad: ¿Estás preparado para el futuro? Descargue este e-book gratuito
DESCARGAR AHORA
26 Requisitos legales y otros que se deban identificar Dentro de todos los requisitos legales que podemos encontrar existen: directivas, leyes, reglamentos, permisos, autorizaciones, licencias, legislación local, etc. Pero debemos tener en cuenta otro tipo de requisitos, como pueden ser: contratos, prácticas del sector, acuerdos con partes interesadas, etc.
Responsables para identificar los requisitos legales En el momento en que se crea la necesidad de identificar los requisitos legales que se le pueden aplicar a la organización en relación a la seguridad y salud en el trabajo de los empleados, la empresa debe designar una persona que cuente con la competencia y autoridad apropiada para que sea el responsable de dicha identificación. Puede darse la situación de que se designar dichas tareas a más de una persona. La persona que finalmente se encargue de realizar dicha labor puede ser perfectamente la persona responsable del departamento de seguridad y salud ocupacional de la organización, es decir, puede ser el técnico de prevención de la organicen e incluso el responsable del Sistema de Gestión de Seguridad y Salud en el Trabajo OHSAS18001 o un trabajador de la organización. En los procedimientos se deben incluir y definir los responsables de recibir toda la información sobre los requisitos legales y otros requisitos que se hayan identificado, la vía por la que lo recibirá y asegurar que se genere una comunicación de que se ha llevado a cabo con éxito.
Cómo se deben identificar los requisitos legales La manera de identificar todos los requisitos queda de mano de cada organización, cada una debe decir cómo realizará dicha identificación y utilizar sus recursos disponibles, siempre que se encuentren dentro de los requisitos que expone la norma OHSAS-18001. Sea cual sea la manera en la que se identifiquen los requisitos, la empresa tiene que estar al tanto de en qué momento se encuentran sus actividades referentemente a la legislación que se le puede aplicar, además del resto de requisitos identificados. Identificar los requisitos debe estar garantizado, ya que dichos requisitos son utilizados como entradas de los procesos.
Cuándo se debe identificar los requisitos Tiene que formar parte del procedimiento sobre la identificación de los requisitos de la empresa en el mismo momento en que sea necesario realizar dicha labor. El momento idóneo para llevar a cabo dicha identificación: %% En el mismo momento en que se procede a identificar los peligros y la evaluación de riegos. %% Durante el periodo de tiempo fijado por la empresa para revisar la legislación, tarea que podría ser mensual o trimestral. Los intervalos de tiempo los fija la misma organización y deben coincidir con la publicación de la nueva legislación que le influya. De cualquier forma, una empresa tiene que cambiar la periodicidad, incrementando o disminuyendo los intervalos de tiempo en los que debe revisar la legislación, para que siempre este de acuerdo a las necesidad de su Sistema de Gestión SST según OHSAS 18001.
Los 50 EXCELENTES de ISOTools en 2014
77
VOLVER AL ÍNDICE
26 Dónde se identifican los requisitos legales Cada empresa, debe identificar sus peligros en seguridad y salud en el trabajo, la evaluación de riesgos, medidas de control, los equipos, los empleados, el país donde trabajen… se puede obtener información sobre los diferentes requisitos que se puede aplicar en diferentes fuentes. La fuente de información puede venir dada por la Organización Internacional del Trabajo, por internet, por instituciones relacionadas con la seguridad y salud operacional.
Objetivos y programas La norma OHSAS18001 dentro de su apartado objetivos y programas expresa la necesidad de llevar a cabo objetivos claros, medibles y coherentes. Se puede identificar la diferencia entre objetivos estratégicos en Seguridad y Salud en el Trabajo y objetivos operativos: %% Los objetivos estratégicos en SST: es un objetivo estratégico ya que se puede ver del resultado de analizar la situación de la empresa y representa los resultados que se quieren alcanzar en un futuro. %% Objetivos operativos: son conocidos como objetivos funcionales, de desempeño, operacionales, etc. Se pueden conocer como objetivos a corto plazo ya que entran en más profundidad y depende de las autoridades de la empresa. A la hora de planificar el Sistema de Gestión de SSO según OSHAS 18001 se tiene que establecer ciertos objetivos y los procesos necesarios para llegar a alcanzar los resultados que establece la política de seguridad y salud en el trabajo de la organización. Los objetivos cuentan con un claro fin, este es bajar el nivel de riegos que proceden de la identificación de peligros, evaluación de riegos y determinación de controles. El Software ISOTools ayuda a fijar los objetivos y establecer los programas gracias a todas las aplicaciones con las que cuenta. Además la funcionalidad, fiabilidad, accesibilidad y su capacidad para poder ser utilizado en modo multidispositivo, esto lo hace una perfecta herramienta para automatizar el Sistema de Gestión de Seguridad y Salud en el Trabajo según la norma OHSAS-18001.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/10/31/ohsas-18001-requisitos-legales-y-otros-requisitos-de-la-norma/
Los 50 EXCELENTES de ISOTools en 2014
78
VOLVER AL ÍNDICE
27
SEGURIDAD Y SALUD EN EL TRABAJO
OHSAS 18001: ¿Cómo elaborar un Plan de Emergencia? En cuanto a Seguridad y Salud Laboral, OHSAS 18001 es una norma bastante completa. Se trata de una norma confeccionada con el fin de hacer de las entidades un espacio más fiable tanto para los subcontratistas, proveedores, visitantes o los propios trabajadores. En la materia de Seguridad y Salud Ocupacional, la norma OHSAS 18001 considera de gran importancia que la empresa posea un plan de emergencias, por tratar este tema muy de cerca. OHSAS 18001 añade un apartado en relación a este aspecto: Preparación y respuesta ante emergencias. La probabilidad de la existencia de incidentes o situaciones de emergencia que pongan en riesgo la SST tiene que quedar determinada por la empresa. Las medidas para prevenir y mitigar accidentes y enfermedades de trabajo se consideran esenciales en este ámbito. En base a ello, la empresa deberá implantar unos procedimientos para detallar y responder a situaciones de emergencia potenciales, y es aquí donde se encuentra la necesidad del plan de emergencia. A la hora de confeccionar planes de emergencia se considera necesario observar los requerimientos de los sujetos interesados, como pueden ser los vecinos o los servicios de emergencia. Los planes de emergencia tienen que ser inducidos a pruebas habituales, conocidas como simulacros, que comprueben el funcionamiento de éstos y la eficacia para responder a los casos de emergencia. Todos los sujetos interesados estarán comprometidos con estos simulacros. Los planes de emergencia conectados a OHSAS 18001 harán frente a todo incidente de la empresa, constituyen una parte muy importante del sistema y por ello tienen que ser revisados para no perder su idoneidad y adecuación.
Los 50 EXCELENTES de ISOTools en 2014
79
VOLVER AL ÍNDICE
27 Se tendrán localizadas las actividades de la empresa que son peligrosas para la plantilla de trabajadores y para su entorno en el cual se ubica. Con ello, la empresa determinará procedimientos de actuación que señalen las directrices a seguir en una situación de emergencia y se comprometa a una reducción de sus consecuencias.
Identificación de situaciones de emergencia Un paso importante para constituir un plan de emergencia de un Sistema de Gestión de Seguridad y Salud Laboral, es determinar qué situaciones producen una situación de emergencia. Los casos de emergencia más habituales en una empresa son, entre otros: %% Desastres naturales. %% Explosiones. %% Contacto con sustancias peligrosas. %% Incendios. %% Derrames. Un caso de emergencia es cualquiera que no sea habitual, que se produzca dentro de la entidad en el curso de la ejecución operacional y que pueda producir perjuicios a los trabajadores o a los bienes materiales de la organización. Una vez que identifiquemos estos casos de emergencia, tenemos que evaluar los efectos posibles que poseen para poder determinar los planes de emergencia correctos. En el momento que conocemos las situaciones más significativas, gracias a la evaluación de los efectos, la empresa tendrá que establecer planes de emergencia apropiados para evitar o reducir impactos alrededor de la SSO en el caso de que se materialicen.
Establecimiento de respuestas ante emergencias La empresa conceptuará los procedimientos y planes de emergencia de los que nos estamos refiriendo, y también tienen la obligación de preservarlos y actualizados. Se considera conveniente que los procedimientos tengan en cuenta las consecuencias que puedan producir las condiciones anómalas de funcionamiento, las situaciones de emergencia y los accidentes. En los planes de emergencia algunos de los elementos claves son: %% Estructura organizativa y responsabilidades en los casos de emergencia: Como el personal es el responsable de ejecutar la actuación, es necesario que sepa su función en cada momento. Por ello, responsabilidades y estructura son factores fundamentales en el plan de emergencia. %% Listado del personal clave: El personal clave tendrá que conocer su posición y obligaciones en estas situaciones, así como ser conocido por toda la empresa. %% Especificaciones de los servicios de urgencias: En el caso que se dé una situación de emergencia, se requiere la intervención de organismos como bomberos, médicos, etc. La empresa tendrá que determinar qué servicios son los que intervienen, así como sus funciones y responsabilidades. %% Planes de comunicación interna y externa: Un elemento esencial en toda situación de emergencia es la comunicación. Se considera necesario que todos los recursos intervengan en la solución, así como conocedores del inconveniente.
Los 50 EXCELENTES de ISOTools en 2014
80
VOLVER AL ÍNDICE
27 %% Acciones aplicables a diferentes situaciones de emergencia: Tienen que darse unas actuaciones que solucionen las consecuencias posibles de un impacto de SST estimulado por una situación de emergencia. Tiene que ser una actuación clara y transparente con el fin de eludir malentendidos que puedan agravar el problema. %% Información sobre materiales peligrosos: En el caso de existir necesidad en la empresa de manipular sustancias o materiales peligrosos se considera necesario que haya un plan de emergencias relativo a ello, con el fin de que se eludan peligros para los trabajadores que los manejan o se encuentren expuestos a sus efectos. %% Planes de formación y de comprobación de la eficacia de las acciones tomadas: Se recomienda que se acuerden en el propio plan formaciones para el personal de la empresa respecto a cómo tendrían que actuar en caso de situaciones de emergencia.
Prueba periódica de los planes de emergencia La prueba habitual es muy útil, ya que posibilita conocer si dichos planes son adecuados para corregir situaciones de emergencia. Estas pruebas se realizarán: %% Periódicamente, mediante simulacros. %% Cada vez que se produzca una situación de emergencia, para comprobar si es necesario incluir algún cambio.
Revisión de los métodos de respuesta Los Sistemas de Gestión de Seguridad y Salud en el Trabajo basados en la norma OHSAS 18001 necesitan retroalimentar los planes de emergencia y su respuesta a ella. Para llevarlo a cabo se sirve de actuaciones de revisión, mejoras, actualizaciones, etc. Dicha retroalimentación puede producirse a través de: %% Revisiones por la dirección. %% Por cambios organizacionales. %% En resultado de acciones correctivas y preventivas. %% Por un cambio en los requisitos legales. Toda modificación se comunicará al personal perjudicado y se controlará si se tienen que establecer acciones formativas.
SG-SST Podemos utilizar instrumentos que automaticen los Sistemas de Gestión de Seguridad y Salud Laboral o SG-SST, con el fin de controlar cualquier aspecto que se debe añadir en un plan de emergencia, así como garantizar que sea conocido por todos los componentes de la empresa. Para saber más sobre la Gestión de Riesgos y Seguridad: https://www.isotools.org/normas/riesgos-y-seguridad/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/11/27/ohsas-18001-como-elaborar-plan-emergencia/
Los 50 EXCELENTES de ISOTools en 2014
81
VOLVER AL ÍNDICE
ISO 31000 Gestión de Riesgos Corporativos Aprende a interpretar la norma ISO 9001:2015 en el contexto de una auditoría interna
MATRICÚLATE AHORA
28
SEGURIDAD Y SALUD EN EL TRABAJO
OHSAS 18001: Actividades de medición y seguimiento del desempeño La norma en la que creen abundantes entidades a nivel mundial, de cualquier tamaño y tipo de sector es OHSAS 18001, para así asegurar completamente la Seguridad y Salud de sus trabajadores en sus distintos lugares de trabajo. Está compuesta por distintos requisitos. El requisito que nos ocupamos a continuación se encuentra en el capítulo 5: Verificación, el cual integra la necesidad de determinar actividades de medición y seguimiento del desempeño del Sistema de Gestión de la Seguridad y Salud Laboral basado en la OHSAS 18001. Se tiene que realizar un seguimiento y una medición de manera habitual del desempeño de la Seguridad y Salud de los trabajadores. Para ese fin es necesario desarrollar unos procedimientos que se tienen que insertar: %% El desarrollo del seguimiento de la conformidad con los programas, controles y criterios operacionales de Seguridad y Salud en el Trabajo. %% El registro de datos y resultados de seguimiento y medición para posibilitar el análisis que haremos posteriormente de acciones preventivas y correctivas. %% El desarrollo del seguimiento de la salud, los incidentes y otras pruebas que muestren la actividad preventiva implantada en la empresa. %% Medidas cuantitativas y cualitativas ajustadas a las necesidades de dicha entidad. %% Seguimiento de la eficacia de los controles aplicados en materia de Seguridad y Salud Ocupacional.
Los 50 EXCELENTES de ISOTools en 2014
83
VOLVER AL ÍNDICE
28 La medición y seguimiento del desempeño que integra el Sistema de Gestión de la SST posibilita aspectos como: %% Inspeccionar los resultados que la entidad está consiguiendo con la aplicación de su estrategia preventiva. %% Garantizar que las medidas preventivas que se están aplicando en la entidad en materia de SSO son suficientes para disminuir el nivel de riesgo, e incluso eliminar algunos de ellos. %% Identificar situaciones que podrían mejorarse y otras que no han sido tenidas en cuenta antes para sí hacerlo.
Aspectos de la organización a seguir y medir En la empresa se determinarán una serie de controles operacionales que tendrán que ser controlados por dicha empresa, conceptuando unos requisitos a través de procedimientos específicos según competan. Hay dos formas de dar cumplimiento al requisito de OHSAS18001, y estas son: %% Medición: Se usa en aquellos controles que necesitan un análisis para comprobar el adecuado funcionamiento de la misma. Se suele utilizar para comprobar límites de ruido, contaminante, etc. %% Seguimiento: Una acción de seguimiento es toda aquella que sea desarrollada por la empresa para asegurar el cumplimiento de un requisito que no necesite ejecutar una medición concreta y que pueda revisarse simplemente con comprobaciones de registros, inspecciones visuales u otras herramientas.
Metodología de realización En el momento que la entidad tenga determinados qué aspectos tiene que llevar a cabo y que aspectos tiene que medir, en consonancia con la SST, el paso siguiente es establecer un proyecto para controlar tal seguimiento y medición, en base a los procedimientos de control operacional. Dicho proyecto de seguimiento según la OHSAS-18001 puede incluir aspectos tales como: %% Frecuencia del seguimiento. %% Observaciones. %% Registro de resultados. %% Límite de aceptación. %% Tipo de control. %% Responsable del seguimiento. %% Punto de control, seguimiento o inspección. %% Documentación de referencia. A partir de esta planificación, OHSAS-18001 pretende que la empresa gestione sus controles de manera que garantice el control más significativo sobre los aspectos de SG-SST. Se recomienda entablar medidas proactivas y medidas reactivas del desempeño. Es recomendable combinar estos dos tipos, aunque nos basaremos en las medidas proactivas con el fin de fomentar mejoras y reducir daños.
Los 50 EXCELENTES de ISOTools en 2014
84
VOLVER AL ÍNDICE
28 Una medida proactiva puede ser: %% Visitas e inspecciones sobre la seguridad del lugar de trabajo. %% Empleo de encuestas de percepción. %% Revisiones médicas. %% Evaluación de la eficacia de la entidad. %% Seguimiento de la exposición. En cambio, una medida reactiva puede ser: %% Acciones necesarias como consecuencia de la detección de determinadas deficiencias. %% Tasas de incidentes y deterioro de la salud. %% Tasas de tiempo perdido debido a incidentes.
Ejecución de los seguimientos y medición El seguimiento y medición será ejecutado por la plantilla de la organización o también por parte de alguna entidad externa contratada para llevar a cabo esa tarea. Esta decisión será tomada por la propia organización. Usualmente, los seguimientos que son ejecutados únicamente de forma visual suelen realizarse por el personal de la misma entidad, pero en cambio, cuando se necesita algún tipo de medición en el seguimiento se tendrán que llevar a cabo por cualquier empresa externa que se dedica a esta materia, bien porque sea llamado legalmente, por necesidad de establecer recursos de medición específicos o por responsabilidad. Las mediciones se pueden realizar por la propia empresa a través de sus equipos de medida. Siempre antes de utilizarlos tienen que ser sometidos a un proceso de calibración y mantenimiento con el fin de mostrar que son fiables, o pueden ser ejecutadas también por empresas externas, pudiendo contar con los informes de calibración pertinentes así como con los certificados de acreditación de laboratorios correspondientes.
Sistema de Gestión de Seguridad y Salud Ocupacional Para saber más sobre los Sistemas de Riesgos y Seguridad como es el caso de los Sistemas de Gestión de Seguridad y Salud Ocupacional, puede visitar: https://www.isotools.org/normas/ riesgos-y-seguridad/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/12/04/ohsas-18001-actividades-medicion-seguimiento-desempeno/
Los 50 EXCELENTES de ISOTools en 2014
85
VOLVER AL ÍNDICE
29
SEGURIDAD Y SALUD EN EL TRABAJO
ISO 45001: El nuevo estándar internacional sobre Seguridad y Salud Laboral La nueva norma internacional para el Sistema de Gestión de Seguridad y Salud Ocupacional será ISO 45001. La Organización Internacional de Normalización (ISO), el pasado mes de julio de 2014, publicó el primer borrador de esta norma, llamado ISO/CD 45001 o Committee Draft. En esta fase, el ISO PC 283, expertos del Comité Internacional encomendado en desarrollar la norma ISO 45001, podrá llevar a cabo todo comentario acerca del documento borrador. Su publicación está prevista para finales de 2016, y hasta que se produzca, ISO-45001 pasará por distintas etapas. En junio de 2015, según las fechas estimadas, podremos ver el ISO/DIS 45001, documento el cual se dispondrá abierto a los comentarios de los interesados. A continuación se publicará el FDIS, texto anterior a la versión final de la nueva norma. Se puso en marcha este cambio mediante un diagnóstico realizado a OHSAS 18001. Fueron reconocidas 40 versiones más o menos de la norma y 90000 certificados en 127 países. Estos motivos hacen esencial poner en marca la confección de una nueva norma internacional. Hubiera sido mejor que el estándar se llamara ISO 18001 para eludir contradicciones o confusiones, pero ello no se ha podido llevar a cabo ya que, esta identificación ya estaba asignada a otro estándar. Apostando por la mejora continua, ISO45001, ayudará a evitar riesgos que perjudiquen a la seguridad y salud de los trabajadores dentro de toda empresa. El borrador de la nueva norma, ISO/CD 45001, añade la mayor parte de los requisitos de OHSAS 18001, sin embargo el nuevo estándar hará especial hincapié en el contexto de la empresa y en el papel que tiene que representar la alta dirección en el liderazgo del Sistema de Gestión de Seguridad y Salud Laboral.
Los 50 EXCELENTES de ISOTools en 2014
86
VOLVER AL ÍNDICE
29 Algunos conceptos fundamentales como riesgo, trabajador y lugar de trabajo serán modificados. Comparándolo con OHSAS18001, el enfoque del sistema no estará en la identificación de peligros, sino estará en la identificación de riesgos y los controles pertinentes. A continuación observamos otros cambios importantes que están por venir con ISO-45001:
Estructura de alto nivel Al igual que las normas que se están actualizando, ISO45001 fijará el Anexo SL. Dicho anexo especifica la estructura de alto nivel para el desarrollo de las normas, lo que posibilita su alineación con diferentes normas de Sistemas de Gestión. Esto permitirá que todos tengan una estructura, definiciones y textos básicos comunes. Por ello, la estructura con la que ISO 45001 contará será la que exponemos a continuación: 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Contexto de la organización 5. Liderazgo 6. Planificación 7. Apoyo 8. Operación 9. La evaluación del desempeño 10. Mejora %% Revisión del concepto lugar de trabajo. Se revisará si el lugar de trabajo es únicamente la empresa donde trabaja una persona, cuáles serían nuestras responsabilidades en seguridad ocupacional, etc. %% Se alineará la definición de riesgo, para que exista conexión con el resto de normas ISO. %% El comité trabaja con el fin de cambiar la mentalidad que existe de ser una norma de cumplimiento para ser una norma orientada al negocio. %% Revisión del concepto de trabajador, debido a que es una definición que presenta algunas dificultades en determinados países. %% El término identificación de peligros ha estado siempre muy asociado al sector industrial, y recientemente han surgido una gran cantidad de empresas dedicadas al sector servicios. Por estas razones, ISO45001 hablará de identificación de riesgos y control de riesgos en lugar de peligros. ISO-45001 aportará apoyo a las nuevas áreas del Sistema de Gestión de Seguridad y Salud Ocupacional para asegurar una mejor compatibilidad de los sistemas. En el momento que la nueva norma se publique, se insertará a toda empresa que desee: %% Mantener y mejorar de un modo continuo su desempeño en Seguridad y Salud en el Trabajo. %% Implantar un Sistema de Gestión de Seguridad y Salud Laboral reconocido a nivel internacional con el fin de reducir o eliminar los riesgos existentes para los trabajadores y para cualquier parte interesada.
Los 50 EXCELENTES de ISOTools en 2014
87
VOLVER AL ÍNDICE
Cuadro de Mando Integral: Balanced Scorecard Descargue este e-book gratuito
DESCARGAR AHORA
29 %% Mantener la totalidad de las operaciones en consonancia con la política de seguridad de la empresa. La norma ISO 45001 aportará beneficios a pequeñas, medianas y grandes entidades sean del sector que sean, y así poder establecer un punto de referencia para la gestión de la SST, así como para las políticas y prácticas en distintas situaciones, jurisdicciones, culturas y/o países. La publicación de la nueva norma instaurará una mejor comunicación referente a cuestiones de interés común, mejores prácticas y principios en el comercio internacional. ISO45001 facilitará a las entidades cumplir con requisitos tales como la rendición de cuentas, práctica de auditorías y especificaciones de gobernanza empresarial. En el momento en el que una entidad ya tenga implantado el Sistema de Gestión de la SST, podrá alinear sus operaciones con la legislación nacional, internacional y códigos de conducta aplicables, y así se podrá llevar a cabo una mejora de la gestión del riesgo y la planificación de emergencias. Por otro lado, la nueva ISO-45001 posibilitará a las entidades determinar y evaluar las medidas de desempeño para los proveedores de servicios. Toda entidad será capaz de reducir accidentes, los costes ligados a ellos y, asegurará a la totalidad de sus trabajadores, visitantes, así como otras partes interesadas en el bienestar de sus instalaciones. Un Sistema de Gestión de Seguridad y Salud Laboral internacionalmente reconocido producirá que el número de incidentes y accidente se minimice y que existan menos interrupciones en los procesos operativos. Lo que obtendremos será una reducción del número de actuaciones de emergencia en el lugar de trabajo y atenciones hospitalarias.
Sistema de Gestión de Seguridad y Salud Ocupacional Actualmente, la norma que se tiene que seguir con el fin de implementar un Sistema de Gestión de Seguridad y Salud Ocupacional es OHSAS-18001. Para saber más sobre las normas de Seguridad y Riesgos puedes visitar: https://www. isotools.org/normas/riesgos-y-seguridad/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/12/10/iso-45001-nuevo-estandar-internacional-seguridad-salud-laboral/
Los 50 EXCELENTES de ISOTools en 2014
89
VOLVER AL ÍNDICE
30
SEGURIDAD Y SALUD EN EL TRABAJO
OHSAS 18001: Identificación de No Conformidades, Acciones Preventivas y Acciones Correctivas %% La identificación y corrección de las No Conformidades que puedan aparecer en nuestro Sistema de Gestión de Seguridad y Salud en el Trabajo. %% La toma de decisiones que reduzcan las consecuencias, esto es acciones preventivas. %% El establecimiento de las causas que incentivaron tal No Conformidad y determinar medidas que prevengan su repetición. %% La evaluación de la necesidad de ejecutar acciones que prevengan las No Conformidad y la adopción de acciones encaminadas a prevenir su aparición. %% El registro y la comunicación de los resultados obtenidos tras la aplicación de las acciones correctivas y preventivas. %% La revisión de la eficacia de las acciones preventivas y correctivas que se adoptaron. Anteriormente, hemos estado hablando tanto de acciones correctivas como de acciones preventivas, y quizás cualquier lector se esté preguntando en que pueden consistir. Por un lado, las acciones correctivas son todas aquellas que se ejecutan con el fin de eliminar las causas de las No Conformidad que se han identificado de manera que se prevenga su posible repetición. Por otro lado, las acciones preventivas son las que tomamos para suprimir las razones que pueden dar lugar a las No Conformidad o situaciones no deseables, con el fin único de que no vuelvan a ocurrir.
No Conformidad Una No Conformidad puede ser el no cumplimiento de uno de los requisitos que contiene OHSAS-18001 o cualquiera que entrañe un posible impacto en el Sistema de Gestión de Seguridad y Salud en el Trabajo.
Los 50 EXCELENTES de ISOTools en 2014
90
VOLVER AL ÍNDICE
30 Para llevar a cabo las No Conformidad, podemos realizar las siguientes actividades: %% Conceptuar qué concepto de No Conformidad hay en la empresa. Puede ser que todos los miembros de la entidad no tengan claro qué es una No Conformidad y qué puede significar en cuanto a un Sistema de Gestión de Seguridad y Salud Laboral. Por esto tenemos que afianzar criterios que nos posibiliten conocer qué es para nuestra empresa una no conformidad. %% Crear responsabilidades para realizar la detección y registro de las No Conformidades. Todo sujeto es capaz de detectar una No Conformidad relativa a la SST, aunque lo normal es que este tipo de No Conformidades se localicen en el área de operaciones de la organización. %% Fundar una sistemática para identificar situaciones No Conformidad. Cualquier situación que implique fallos o incumplimientos del sistema tienen que estar identificadas y señalizadas para poder eludirse. %% Definir la manera en la que registrar las No Conformidades. Se considera muy importante que las No Conformidades detectadas se conserven registradas para poder ir sumando actividades de análisis y de mejora. %% Realizar un seguimiento adecuado. Si una entidad está imponiendo medidas para eludir o corregir No Conformidades tienen que asegurarse que son eficaces y logran su objetivo. %% Efectuar un análisis de las No Conformidades. De la misma manera que se requiere un seguimiento, se considera necesario añadir un análisis de las No Conformidades que nos auxilien en detectar patrones de ocurrencia.
Acciones preventivas y correctivas Las acciones que tomemos en materia preventiva y correctiva para remediar una No Conformidad, en el seno del Sistema de Gestión de Seguridad y Salud ocupacional basado en la norma OHSAS 18001, tienen que conservarse registradas, y tiene que existir un procedimiento que refleje tanto responsabilidades, autoridades como las metodologías que se puedan aplicar. Cuando detectemos una No Conformidad, la gestión de acciones preventivas y correctivas sigue un mismo camino, que puede ser el que comentamos a continuación: %% Análisis de causas. La empresa es responsable de indagar y analizar el origen de las No Conformidades, para identificar los motivos por las que aparecieron. Podemos utilizar mecanismos para ello como: %% Brainstorming. %% Diagrama de Ishikawa. %% Histograma. %% Etc.
Los 50 EXCELENTES de ISOTools en 2014
91
VOLVER AL ÍNDICE
30 Acciones a emprender En el momento de tener claros los motivos más probables que podrían haber desencadenado la No Conformidad, elegimos aquellos sobre las que se va a trabajar para resolver el problema. Dicha selección se hará en base a determinados criterios que establezcamos, y según como veamos los motivos, se decidirán las acciones a emprender, determinando: %% Descripción y secuencia de acciones a ejecutar. %% Objetivos que queremos alcanzar. %% Responsables de realizar dichas acciones. %% Plazo estimado para ejecutarlas. %% Plazo estimado para verificar la eficacia de las acciones. %% Seguimiento y/o mediciones a desarrollar.
Seguimiento Se considera necesario para comprobar que las acciones establecidas para eliminar la No Conformidad se estén desarrollando según lo estimado, realizar un seguimiento.
Verificación de la eficacia En el momento en el que ya se han ejecutado las acciones y ha pasado el plazo de tiempo de verificación de su eficacia, la entidad tendrá que asegurarse de que las acciones han servido para eliminar, de manera eficaz, los motivos de las No Conformidad. En el caso de no ser así, tendremos que comenzar el proceso de nuevo.
Cierre Si hemos verificado que las acciones realizadas han sido eficaces, el sujeto responsable puede dar el cierre al proceso. En este post os hemos hablado sobre las No Conformidad y las acciones preventivas y correctivas del Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la norma OHSAS 18001.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/12/23/ohsas-18001-identificacion-no-conformidades-acciones-preventivas-acciones-correctivas/
Los 50 EXCELENTES de ISOTools en 2014
92
VOLVER AL ÍNDICE
31
SEGURIDAD Y SALUD EN EL TRABAJO
OHSAS 18001: Control de los registros para SST A lo largo de su implementación y puesta en marcha, la norma OHSAS 18001 genera unos registros que tendremos que controlar. Dichos registros se presentan como consecuencia de la aplicación de cada uno de los requisitos de OHSAS18001, la norma por excelencia en Seguridad y Salud Laboral. Para contribuir a ello, el estándar OHSAS 18001 facilita una serie de indicaciones a seguir. Se considera necesario, al igual que en otras cuestiones, que la entidad cuente con procedimientos para que, en conexión con los registros: %% Identifique los requisitos %% Almacene %% Proteja %% Recupere %% Establezca un tiempo de retención y la disposición de los mismos Un registro es un modelo especial de documento que presenta resultados o evidencias provenientes de las actividades ejecutadas. La totalidad de la información que, como decíamos anteriormente, se produce al implementar o poner en marcha un Sistema de Seguridad y Salud en el Trabajo, que se puede catalogar como un tipo de registro de Seguridad y Salud en el Trabajo. Dicha información puede estar plasmada en soporte papel, informático, o de todo tipo. Sea como sea, se tienen que aportar evidencias de la conformidad con los requisitos y el buen funcionamiento del Sistema de Gestión de la entidad. Los registros tienen que ser adecuados para el proceso en el que se encuentran englobados y para los sujetos que tendrán que manejarlos. El objetivo es que la información aportada sea suficiente para comprobar que el Sistema de Gestión de Seguridad y Salud en el Trabajo según la norma OHSAS18001 trabaja de manera correcta y eficaz y se encuentran gestionados sus riesgos de la Seguridad y Salud en el Trabajo. Algunos de los registros que se establecen a la hora de implementar un Sistema de Gestión de Seguridad y Salud en el Trabajo son reclamados por el estándar de un modo obligatorio.
Los 50 EXCELENTES de ISOTools en 2014
93
VOLVER AL ÍNDICE
La adopción de un enfoque basado en procesos Descargue este e-book gratuito
DESCARGAR AHORA
31 Identificación de los registros Cualquier registro de Seguridad y Salud en el Trabajo tiene que ser claramente identificables, no deben ser ambiguos. Para la identificación se puede usar un título o un código que la entidad tendrá que determinar. La empresa tendrá que determinar si los registros van a presentarse en algún tipo de formato preestablecido por ella o se van a tratar en formato libre. Sea cual sea la alternativa elegida, la empresa deberá establecer una sistemática para controlar la revisión, aprobación, distribución, actualización y control de los formatos.
Almacenamiento, protección y conservación de los registros De la misma manera, la empresa tendrá que indicar la forma en que almacenará los registros, tanto si son de carácter temporal o definitivo, y muy importante, tienen que permanecer legibles, identificables y recuperables. El sistema seleccionado de almacenamiento y los lugares escogidos tienen que asegurar que los registros permanecerán protegidos ante los posibles daños que se pudieran ocasionar. En el caso de tener registros electrónicos no podemos olvidarnos de instalar sistemas antivirus y el almacenamiento de copias de seguridad.
Recuperación, tiempo de retención y disposición La entidad tendrá que indicar el tiempo de recuperación de los registros, tanto para archivos temporales como definitivos, de la misma forma que el tiempo de conservación para el modelo último. Los requisitos legales aplicables para la conservación de determinados registros es un factor importante a tener en cuenta en este punto, ya que en cada caso puede ser diferente. En un Sistema de Gestión de Seguridad y Salud Ocupacional, nos podemos encontrar algunos registros como son, entre otros: %% Registros de cumplimiento legal. %% Registros de los requisitos aplicables. %% Registros de inspección y mantenimiento. %% Registros de formación. %% Informes de no conformidades. %% Registros de identificación de peligros y evaluación de riesgos. %% Información sobre desempeño en SSO. %% Informes sobre incidentes en Seguridad y Salud Ocupacional. %% Resultados de auditorías. %% Resultados de seguimiento y medición. %% Resultados de revisiones del Sistema de Gestión de Seguridad y Salud en el Trabajo OHSAS-18001. %% Decisiones sobre comunicaciones externas. %% Registros de quejas sobre Seguridad y Salud en el Trabajo.
Los 50 EXCELENTES de ISOTools en 2014
95
VOLVER AL ÍNDICE
31 Si miramos el texto de la norma OHSAS-18001, podemos ver que en numerosos requisitos que contiene se nos pide que mantengamos registros sobre ellos. Además, en el punto 4.5.4. Control de los registros, podemos leer las condiciones que tiene que llevar a cabo la entidad al respecto. Concretamente, el texto de la norma OHSAS18001 expone: “La organización debe establecer y mantener los registros que sean necesarios para demostrar la conformidad con los requisitos de su Sistema de Gestión de la SST y de este estándar OHSAS, y para demostrar los resultados logrados. La organización debe establecer, implementar y mantener uno o varios procedimientos para la identificación, el almacenamiento, la protección, la recuperación, el tiempo de retención y la disposición de los registros. Los registros deben ser y permanecer legibles, identificables y trazables”. [/div] En conclusión, los registros presentan una información favorable y valiosa para el Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la norma OHSAS 18001, por ello necesitan un tratamiento complicado. En consecuencia, la pérdida de ellos supone la pérdida de evidencias significativas.
Sistema de Gestión de Seguridad y Salud Ocupacional Si desea obtener más información sobre los Sistemas de Riesgos y Seguridad como es el caso de los Sistemas de Gestión de Seguridad y Salud Ocupacional, puede visitar https://www.isotools.org/normas/riesgos-y-seguridad/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/12/31/ohsas-18001-control-de-los-registros-para-sst/
Software para Sistema de Gestión de Seguridad y Salud Laboral DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
96
VOLVER AL ÍNDICE
32 SEGURIDAD Y SALUD EN EL TRABAJO
¿Cuáles son los beneficios económicos que proporciona la OHSAS 18001? La finalidad de la norma OHSAS 18001 es estar a disposición de una empresa cuando está desea verificar que cumple los requisitos de un durante la gestión de un Sistema de Seguridad y Salud en el Trabajo (SST). Además, la organización podrá beneficiarse de una reducción de costes debido al SST, debido a que experimenta una disminución a la hora de dar indemnizaciones a los empleados que tengan algún accidente, se evitan posibles sanciones administrativas por incumplimiento de la legislación, etc. Se producirá un incremento de la mejora de la imagen de la empresa de cara a los clientes, proveedores, empleados y administración, gracias a la adopción de la OHSAS18001. El estándar OHSAS-18001 proporciona una mejora en el posicionamiento y reconocimiento de la organización, dando buena imagen a los clientes, que cada día son más exigentes, afirmando una imagen de compromiso con los mismos y la sociedad. La implantación de dicha norma ofrece numerosas ventajas a las empresas. Estas ventajas pueden ser de carácter económico, como son las disminuciones en las cuotas de aseguradoras. Incluso, existen otros tipos de beneficios que pueden afectar indirectamente a la economía de la organización, como son: %% Disminución del número de accidentes, lo que disminuye el tiempo de inactividad de los empleados y por consiguiente, disminuyen los costes asociados. %% Verifica el grado de compromiso con los empleados en materia de seguridad y salud y su enfoque innovador en relación a la competencia. %% Acceso a mercados internacionales y a nuevos clientes.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools. org/2014/06/03/ cuales-son-los-beneficios-economicos-que-proporciona-la-ohsas-18001/
Si el sistema está certificado, la empresa obtendrá otros beneficios como pueden ser: %% El cumplimiento y respeto a la normativa vigente en materia preventiva. %% Verificación objetiva del sistema de gestión que tienen, basado en la mejora continua. %% Participación de la dirección en el sistema. En conclusión, adoptar un Sistema de Gestión de la Seguridad y Salud en el Trabajo basado en la OHSAS 18001, será de igual forma cuando la norma ISO 45001 esté vigente, ofrece beneficios económicos claros a las organizaciones, además serán incrementados si el sistema de gestión está certificado.
Los 50 EXCELENTES de ISOTools en 2014
97
VOLVER AL ÍNDICE
Seguridad de la Información.
33
SEGURIDAD DE LA INFORMACIÓN
¿Cómo implantar un SGSI en un PYME según la ISO 27001? Proceso PHVA II ISO 27001, es una norma que trabaja siguiendo las líneas del ciclo PHVA. En el artículo anterior trabajamos con las dos primeras fases, Planificar y Hacer, desde el punto de vista de aplicación en una PYME. En este artículo hablaremos, con la misma perspectiva, sobre las últimas fases: Verificar y Actuar.
Verificar Esta fase se encarga de monitorizar, medir y revisar cada uno de los objetivos de seguridad y el funcionamiento del plan establecido. Para esta monitorización y medición de procesos relacionados con la seguridad, el proveedor debe proporcionar técnicas adecuadas que muestren la capacidad de los procesos para alcanzar los resultados planificados. Por otro lado, los responsables de seguridad deben programar revisiones periódicas para comprobar que los requisitos de seguridad están respetando a los requisitos de ISO-27001 e ISO 27002 y al plan de seguridad, y que se están implementando y manteniendo de forma correcta. Otro aspecto importante son las auditorías, éstas deben programarse teniendo en cuenta el estado de los procesos, su importancia, las áreas a auditar y los resultados de auditorías anteriores. Llegado a este punto es hay que definir un procedimiento con los criterios, alcance, frecuencia y métodos de la auditoría.
Los 50 EXCELENTES de ISOTools en 2014
99
VOLVER AL ÍNDICE
¿Sabe cómo identificar, calcular y tratar los riesgos en su sistema ISO 27001? Descargue este e-book gratuito
DESCARGAR AHORA
33 Actuar Ya por último, en la etapa de actuar se pretende aumentar la eficacia y eficiencia de la seguridad.
Política Es necesario que exista una política sobre la mejora de la seguridad. Es imprescindible corregir las faltas de conformidad y establecer roles y responsabilidades para las actividades de mejora.
Gestión de las mejoras Debe existir un plan que controle la actividad y nos ayude a evaluar, registrar, priorizar y autorizar las mejoras propuestas. El proveedor de seguridad necesita contar con un proceso para identificar, medir y gestionar las actuaciones de mejora, incluyendo: %% Mejoras de procesos aislados. %% Mejoras de un conjunto de procesos o de toda la organización. Por otro lado, dentro de la gestión de mejoras, una PYME debe realizar actividades para: %% Recopilar y analizar datos que muestren el estado de la gestión de la seguridad. %% Consultar a todas las partes interesadas. %% Identificar, planificar e implementar mejoras. %% Revisar planes, políticas y procedimientos de seguridad. %% Medir, informar y comunicar mejoras relativas a la seguridad. %% Garantizar la correcta ejecución de las acciones aprobadas y el alcance de los objetivos. %% Establecer objetivos de mejora en cuanto a calidad, costes y uso de recursos. La Plataforma Tecnológica ISOTools automatiza la gestión del SGSI implantado con ISO 27001, y por tanto, respeta y sigue las directrices del ciclo PHVA.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/07/22/como-implantar-un-sgsi-en-un-pyme-iso-27001-procesophva-ii/
Los 50 EXCELENTES de ISOTools en 2014
101
VOLVER AL ÍNDICE
34
SEGURIDAD DE LA INFORMACIÓN
ISO 27001: ¿Cómo es el proceso de implementación en las organizaciones? El estándar ISO 27001 permite que las organizaciones implanten un Sistema de Gestión de Seguridad de la Información, también conocido como SGSI. Este sistema opera, monitorea, mantiene y mejora la seguridad de la información de las empresas. En el momento en el que se decide implantar la ISO27001 hay que realizar una serie de pasos previos: %% Reunión inicial: en ella fundamentalmente se procede a la identificación y conocimiento de todos los procesos internos llevados a cabo en la organización y de la documentación necesaria que permita establecer el alcance. %% Auditoria inicial: para conocer cuál es la situación en temas de seguridad de la información, para desarrollar una planificación concreta para la organización y las líneas de actuación que se van a seguir. %% Análisis y gestión de riesgos: mediante el cual se realiza un inventario de activos en el que se incluyan las amenazas, impactos, vulnerabilidades, etc. Gracias a etapa se desarrolla un plan para el tratamiento de riesgos. Tras estos pasos, la organización está preparada para realizar la implementación del Sistema de Gestión de Seguridad de la Información según la ISO-27001. Los pasos para implantar el SGSI:
Alcance Es el primer paso para implantar un SGSI según la ISO 27001, en el que se define el alcance del sistema en la organización.
Los 50 EXCELENTES de ISOTools en 2014
102
VOLVER AL ÍNDICE
34 Para esto es interesante revisar cual es el estado inicial de la organización siguiendo los puntos establecidos en la norma, estableciendo cual es el punto inicial que actúe de referencia para realizar mediciones del progreso que está sufriendo el SGSI. Las organizaciones serán las responsables de evaluar, aprobar y de distribuir la política de seguridad bajo la que se trabaja, la cual representa los objetivos y líneas que debe seguir en temas de seguridad de la información. Es necesario que la Dirección se involucre en el proceso de implementación del SGSI para que este tenga resultados exitosos, por ello deberá decidir, apoyar, aprobar, encaminar y entregar los recursos necesarios para que el sistema alcance el éxito deseado. Se deberá crear una estructura organizativa para la seguridad interna, en la que el líder será un responsable de seguridad y un comité de seguridad encargado de adoptar las decisiones más importantes referentes al SGSI.
Análisis de riesgos En este paso se creara un inventario de activos que este clasificado o categorizado, en el que se incluyan los activos de la organización que guardan algún tipo relación con la seguridad de la información. Hay que hacer un tanteo de la probabilidad con la que se produce la amenaza, el impacto que genera y establecer el nivel de riesgo que es aceptado por la organización. Los riesgos que no sean aceptados por la organización deberán a ser tratados y es en este momento cuando se crea un plan de tratamiento de riesgos.
Ciclo PDCA Surge cuando se implanta el plan de tratamiento de riesgos que se desarrolló anterior.
Revisión por la dirección y auditoría interna Esta revisión la realiza el comité de seguridad de la organización y en ella se darán propuestas para conseguir cambios y mejoras.
Mejora Realizando análisis de las no conformidades que con anterioridad se hayan detectado de impide que se vuelvan a producir, consiguiendo por consiguiente mejorar el Sistema de Gestión de Seguridad de la Información basado en la ISO27001. La Plataforma Tecnológica ISOTools colabora con las organizaciones en el proceso de implantación del SGSI basado en el estándar internacional ISO-27001, a través de la automatización, gestión y control del sistema de gestión.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/01/15/iso-27001-implementacion/
Los 50 EXCELENTES de ISOTools en 2014
103
VOLVER AL ÍNDICE
35
SEGURIDAD DE LA INFORMACIÓN
ISO 27001: Seguridad en el intercambio de información Existen numerosas organizaciones preocupadas por la seguridad de la información, por lo que como solución deciden adoptar los requerimientos establecidos por la norma ISO 27001. Siempre que las organizaciones obtengan la certificación ISO 27001, pueden garantizar a nivel internacional, que su información se encuentra debidamente protegida. A diario, nos encontramos noticias sobre hackers que han logrado acceder a la información de empresas que supuestamente cuentan con altos niveles de seguridad en temas de datos confidenciales. Esta violación a la seguridad de la información ha incrementado la preocupación de pequeñas, medianas y sobre todo grandes empresas, obligando indirectamente a adquirir conocimientos en la materia que fortalezcan la seguridad de dicha información. Uno de los principales problemas en temas de seguridad de la información, tiene lugar cuando se lleva a cabo un intercambio de información. Por ejemplo, durante el e-commerce o compra y venta de productos o servicios a través de medios electrónicos, tales como Internet y otras redes informáticas han supuesto una revolución, pero también una puerta abierta para aquellos delincuentes capaces de saltarse ciertos controles de seguridad. Por todo ello, vemos necesario hablar sobre los aspectos a tener en cuenta mientras realizamos actividades en las que es necesario intercambiar información confidencial. El modo en el que se intercambia la información resulta básico, pero es importante conocer en profundidad para así ser conocedores de los pasos en los que pueden darse fugas de información. Este intercambio es muy común entre distintos usuarios de las propias organizaciones, o entre varias empresas. Independientemente del modo en el que se produzca el intercambio de información, es necesario contar con controles de seguridad que aporten confianza y protección a la información intercambiada.
Los 50 EXCELENTES de ISOTools en 2014
104
VOLVER AL ÍNDICE
35 La forma de asegurarse que el intercambio de información se lleva a cabo adecuadamente y bajo la protección necesaria, es a través de la elaboración de una política que incluya los medios empleados en esta actividad. En dicha política se debe incorporar: %% Los procedimientos definidos para gestionar correctamente los medios utilizados. %% Comprobaciones a través de controles que impidan modificaciones, interpretaciones, duplicados o eliminación de información. %% Inspecciones de protección contra el código malicioso. %% Metodologías de ingeniería social. Cuando se valoran los riesgos según la ISO27001, es imprescindible sopesar la probabilidad de que la organización intercambie información confidencial con terceros. En estos casos, se deben estimar las responsabilidades y procedimientos del envió, transferencia, recepción y confirmación de la información. Para esto mismo, también se tiene en cuenta los controles de verificación, el compromiso de la propiedad de la información, la elaboración de registros de auditoria y la gestión de ciertos acontecimientos considerados como incidentes. Dependiendo del medio utilizado para el envío de la información habrá que considerar un tipo de incidentes u otros. Por ejemplo, durante el transporte de información mediante correo postal o mensajería este tipo de incidentes se podría solventar realizando un embalaje adecuado o gestionando el envío con una organización que certifique que cumple con los más altos estándares de seguridad. En el caso de envío de información a través de correo electrónico o e-mail, el proceso se debería desarrollar a través de plataformas protegidas contra cualquier acceso no autorizado u otro tipo de riesgo. Una organización que procede al intercambio de información, de un modo seguro: %% Elabora procedimientos de intercambio para cualquier medio de comunicación empleado. %% Desarrolla acuerdo con las empresas trasportistas, para que cuando el intercambio de información se produzca físicamente sea totalmente seguro y tengan garantías de ello ante sus usuarios. Ya hemos comentado que en los momentos en los que vivimos “Era tecnológica”, el comercio electrónico también conocido como ecommerce resulta una actividad muy habitual. Este tipo de comercio puede resultar frágil frente a fraudes o transformaciones de la información manejada. Cada día son más las empresas que utilizan este tipo de comercio, por lo que deben garantizar a sus clientes que es seguro a través de controles de: %% Verificación. %% Integridad de la información. %% Confidencialidad de la información tratada. %% Certeza del envío. %% Métodos de pago. %% Aseguramiento de las responsabilidades de los incidentes producidos.
Los 50 EXCELENTES de ISOTools en 2014
105
VOLVER AL ÍNDICE
ISO 31000 Gestión de Riesgos Corporativos Aprende a interpretar la norma ISO 9001:2015 en el contexto de una auditoría interna
MATRICÚLATE AHORA
35 Las relaciones establecidas mediante un ecommerce deben sustentarse con una alianza documentada y que cuente con la aprobación de todas las partes implicadas, en la que se establecerán las responsabilidades de cada una. Cualquier transacción se ejecutará bajo firma electrónica, probando que es auténtica, al mismo tiempo, la información, privacidad y cualquier otro aspecto serán totalmente confidenciales. Además de los métodos explicados con anterioridad, las organizaciones pueden recurrir a otro tipo de seguridad: %% Elaboración de protocolos que garanticen la seguridad de la información tratada. %% Protección de la información expuesta al público, asegurando que no se modifique sin previa autorización. %% Determinación de controles que aseguren la integridad de la información de carácter público. %% Ejecución de pruebas que comprueben la potencia del servidor. Asimismo, hay que prestar especial atención a la legislación vigente que pueda aplicarse en cada uno de los sitios web. Se puede afirmar, que para catalogar las actividades vinculadas con el ecommerce como seguras, es necesario: %% Proteger toda la información utilizada en el proceso. %% Establecer una alianza que especifique la manera de proceder en cuanto a la verificación, los requerimientos de confidencialidad, integridad y certezas de envío y recepción, además de la comprobación del pago. %% Recurrir a la firma electrónica, uso de canales cifrados y protocolos entre otros recursos para garantizar que todas las operaciones de transacción son seguras. %% Preservar la información pública. Tras el establecimiento de una serie de controles que hemos comentado en este mismo artículo, es imprescindible llevar a cabo un seguimiento que nos proporcione resultados y por tanto confirmen que cumplen con la eficacia esperada. Entre los instrumentos empleados para el seguimiento de estos controles, destacamos los registros de auditoria. Este tipo de documentos incluyen información relevante, por ejemplo la identificación del usuario, detalles de las actividades como la fecha y hora, el resultado obtenido, el acceso que han tenido cada uno de los usuarios a información o sistemas, etc. El objetivo de este seguimiento de los registros de actividad, es conocer los errores presentados en los sistemas y adoptar las medidas correctivas oportunas para cada uno de los casos. Además, según el grado de errores detectados durante el análisis de riesgos, habría que hacer uso de unos sistemas u otros e incluir una evaluación para poner en marcha las acciones correctivas. El estándar ISO-27001 está relacionado con estos procesos de auditoria mencionados y en el momento en el que se localicen no conformidades se deberán desarrollas las acciones correctivas definidas.
Los 50 EXCELENTES de ISOTools en 2014
107
VOLVER AL ÍNDICE
35 Las organizaciones que decidan establecer un seguimiento de los controles de seguridad de la información, deben: %% Definir resgistros de auditoría para las actividades de mayor importancia. %% Establecer procedimientos en temas de seguimiento de recursos empleados durante la gestión de la información. %% Comprobar los resultados obtenidos de las actividades de seguimiento establecidas y actuar con medidas correctivas en los casos necesarios. %% Simultanear los relojes de cada uno de los sistemas relacionados con la manipulación de la información de la organización.
Sistemas de Gestión de Seguridad de la Información Los Sistemas de Gestión de Seguridad de la Información se convierten en la mejor solución para garantizar la seguridad de todos los datos confidenciales de una organización. Si desea saber más sobre los riesgos y seguridades a los que deben de enfrentarse puede visitar: https://www.isotools.org/normas/riesgos-y-seguridad/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/10/13/iso-27001-seguridad-intercambio-informacion/
Software para Sistema de Gestión de Seguridad de laInformación DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
108
VOLVER AL ÍNDICE
36
SEGURIDAD DE LA INFORMACIÓN
ISO 27001: La importancia de garantizar un acceso seguro a los sistemas de información Garantizar la seguridad de la información se ha convertido en una de las principales tareas de una empresa, por lo que recurren a herramientas que les permita verificar la seguridad de la información. Como ya sabemos, una de estas herramientas que permite satisfacer esta necesidad de las empresas es la norma ISO 27001. La tarea de salvaguardar la información confidencial de la propia organización y de los clientes, se complica en muchas ocasiones. Hay que tener en cuenta que las organizaciones, ya sean grandes, medianas o pequeñas, tienen distintos trabajadores especializados para las actividades desarrolladas. Según el rol desempeñado por el trabajador, tendrán acceso a un tipo de información u otra. Entonces, ¿cómo puede controlar una organización el acceso de sus empleados a los sistemas de información? En primer lugar, hay que definir el acceso de cada uno de los usuarios en consonancia con los requerimientos de su puesto. Para controlar dicho acceso, es necesario: %% Verificar: a través de este proceso el usuario se registra en el equipo en el cual se encuentran la información de interés. %% Autorizar: con este proceso el usuario consigue la facultad indispensable para manipular la información. Respecto a este tema y a los Sistemas de Gestión de Seguridad de la Información basados en la ISO27001, se originan una sucesión de problemas a solventar, entre los que destacamos: el establecimiento de una política de control de acceso, la gestión de acceso realizada por los usuarios y sus responsabilidades.
Los 50 EXCELENTES de ISOTools en 2014
109
VOLVER AL ÍNDICE
36 En referencia a la política de control de acceso, esta se establecerá teniendo en cuenta los requerimientos de seguridad y el progreso del negocio. La política de control de acceso es un documento revisado y actualizado con cierta periodicidad. A través de esta política se: %% Define unas normas de acceso, que sean reales y coherentes para cada uno de los usuarios. %% Considera la política referida a la clasificación de la información de la organización, para conceder los privilegios. %% Respeta la legislación vigente. La concesión de privilegios de acceso se llevará a cabo a través de procedimientos y teniendo en cuenta a las personas responsables de ellos. Cualquier empleado sin la autorización pertinente, no podrá acceder ni modificar la información. Durante el desarrollo de cualquier proceso vinculado con el acceso a la información como el requerimiento, autorización y gestión de dicho acceso, es necesario desglosar cada una de las actividades. Relacionando esta actividad con los planteamientos establecidos en la ISO-27001, es equiparable con la determinación de los cometidos, responsabilidades y facultades de los empleados. Cuando se gestiona el acceso de los usuarios, la organización establecerá los procedimientos oportunos encargados de describir el modo de gestión de la concesión de permisos a los usuarios. Los procedimientos ejecutados: %% Registro: gracias a este procedimiento existe la posibilidad de adjudicar y anular los privilegios de acceso a los sistemas establecidos. Para realizar un registro seguro, cada uno de los usuarios tendrá su propia clave de acceso que permitirá el acceso a la información de la compañía en función de su cargo. Periódicamente, la organización se encargará de revisar un documento que incluya los permisos de cada usuario, además de los privilegios y derechos. Para ello, la organización establecerá el modo, el momento y la razón por la que se lleva a cabo la revisión del documento a través de un procedimiento consecuente. %% Administración de privilegios: este proceso es útil para asignar permisos o retirarlos. Para cada sistema de la organización, se sopesa la clase de privilegios asignados a los usuarios. Se asignaran unos requisitos u otros en función de los requerimientos de los usuarios durante un tiempo. %% Administración de contraseñas: las contraseñas se utilizan como herramientas de identificación de la persona que accede al sistema, por lo tanto, para los SGSI basados en la ISO 27001 es un elemento clave para garantizar la seguridad de la información. Hoy en día, se disponen de otras herramientas de seguridad como las tarjetas inteligentes, huella electrónica, etc. Para incrementar la seguridad, las organizaciones tienen la posibilidad de pedirles a sus trabajadores que firmen un convenio de confidencialidad de su contraseña. Además, en todo momento existirá un responsable encargado de proporcionar las claves a los usuarios. En función de lo que decida cada organización, las modificaciones de las claves las podrá realizar el responsable o el propio usuario siempre respetando la política establecida. Si el equipo de trabajo almacena las contraseñas de acceso, éste deberá de emplear un cifrado que evite accesos no autorizados y por supuesto que proteja la confidencialidad de la información.
Los 50 EXCELENTES de ISOTools en 2014
110
VOLVER AL ÍNDICE
36 Los usuarios que tengan permisos para acceder y manejar información confidencial, adquieren responsabilidades y deben alinear sus actividades para lograr que el Sistema de Gestión de Seguridad de la Información sea eficaz. Además los usuarios tienen la responsabilidad de proteger su equipo de trabajo, gestionar su lugar de trabajo y las contraseñas de acceso. Para el tema de las contraseñas, es imprescindible que la organización cuente con una política de gestión de las mismas y establezca buenas prácticas en temas de seguridad. Para establecer una contraseña que cumpla con la seguridad exigida, es necesario que tenga una longitud considerable y con variedad de caracteres. Además, es necesario modificarla periódicamente y en ningún momento se volverán a reutilizar. Por parte de los trabajadores, se precisa que garanticen la seguridad de su equipo de trabajo haciendo uso de protectores de pantalla que requieran de contraseñas para desbloquear en el momento que el empleado esté ausente de su puesto de trabajo. Entre las técnicas empleadas para la reducción de riesgos de acceso de personal no autorizado, destacamos la implantación de una política para el lugar de trabajo en la cual se indique que este debe mantenerse libre. También es importante almacenar aquellos materiales que albergan información y ya no se utilizan, gestionar adecuadamente el correo postal, etc. En todo momento, el control aplicado por la organización en temas de seguridad de la información deberá alinearse con el grado de seguridad necesario para la información. Por lo tanto podemos concluir, que la seguridad de la información se consigue si los usuarios asumen sus responsabilidades en: %% Gestionar contraseñas. %% Proteger equipos en desuso. %% Proseguir con una política para el lugar de trabajo.
SGSI Los Sistemas de Gestión de Seguridad de la Información, también conocidos como SGSI se convierten en una herramienta idónea para las organizaciones que tienen la necesidad de garantizar la seguridad de la información, con la finalidad de mitigar esa clase de riesgos. Para saber más sobre la gestión de riesgos y seguridad puede visitar: https://www.isotools.org/normas/riesgos-y-seguridad
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/10/21/iso-27001-garantizar-seguridad-informacion/
Los 50 EXCELENTES de ISOTools en 2014
111
VOLVER AL ÍNDICE
Taller ISO 9001:2015 Enfoque basado en Riesgos
La capacitación que fortalecerá los Sistemas de Gestión de la Calidad
MATRICÚLATE AHORA
37
SEGURIDAD DE LA INFORMACIÓN
ISO 27001: Soluciones a las vulnerabilidades técnicas Seguridad de la Información ISO 27001 El Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 colabora en el control a la entrada de los archivos que contengan información sensible sobre la Seguridad de la Información eludiendo errores o problemas de cierta integración o confidencialidad. Dichos archivos sensibles son: %% Código fuente de cualquier programa. %% Archivos de proyectos de TI. %% Ficheros de sistemas. Mediante un procedimiento que se ocupe del control del cambio de software, se debería de llevar a cabo el proceso de cambiar el código de los sistemas operativos. Antes de dicho cambio, la actualización tiene que ser demostrada y se debería comprobar que se guarde una copia de seguridad de la anterior versión, por si en algún caso fuese necesaria una reparación. A través de un administrador de sistemas que esté técnicamente cualificado debería de establecerse la instalación, así como dejar un registro con la totalidad de actuaciones que se hayan realizado. Si en otro caso, el software es conseguido, la persona que no llegó a venderlo tiene que facilitar el servicio técnico. Todas las actividades del proveedor tienen que ser supervisadas o revisadas en el momento que este se encuentre prestando sus servicios a la empresa, permitiendo al proveedor sólo el acceso a los sistemas que se consideran oportunos para realizar su labor correctamente. Se considera realmente necesario usar los datos más similares para asegurar la fiabilidad en las pruebas que se realizan a los sistemas, tanto en volumen como en calidad, y sobre los que se obtengan en el entorno de la producción. Por otro lado, se tienen que instaurar ciertos controles, más o menos iguales a los que quedan implantados para saber los datos de producción, que son empleados para preservar perfectamente los datos, y al mismo tiempo, eliminarlos cuando su uso haya finalizado. La Ley Orgánica de Protección de Datos establece que se debe evitar la utilización de datos de carácter personal reales.
Los 50 EXCELENTES de ISOTools en 2014
113
VOLVER AL ÍNDICE
37 El código establecido como fuente de los programas debe estar preservado con el fin de evitar las entradas no autorizadas que de manera maliciosa puedan ser manipuladas o que se puedan dar por error. Se tendrían que restringir la entrada a personas lejanas al desenvolvimiento de las aplicaciones. Es verdaderamente importante contar con un contrato por parte de la organización externa a la que se le adquiere la aplicación, aunque ésta no sea la que desarrolla las aplicaciones que emplea, ya que siempre tiene que disponer de un código fuente que esté libre y el dueño del código tiene que quedar notorio desde el principio. En el momento en el que se interrumpe el contrato con la empresa proveedora, ésta podrá dejar las fuentes a cualquier empresa siempre y continuando de igual forma, será de fácil realización el desarrollo y mantenimiento de la herramienta. Resulta imprescindible realizar un control del entorno que se ocupa de la producción de proyectos y asistencia técnica, y con ello es necesario que estén informados de los cambios del sistema acordado que son demostradas para que no se puedan ocasionar accidentes conectados con la seguridad. De lo anterior se deduce que sería muy útil introducir la norma ISO27001. Las modificaciones que se puedan establecer en cualquier software utilizado por la empresa puede que altere el funcionamiento de su sistema operativo. Para conseguir que no se produzca esta situación, se tiene que implantar un procedimiento de control de cambios, con el cual se consigue reducir los daños potenciales en los sistemas informativos. Conforme a estos motivos se debe llevar a cabo procesos de implementación de controles, control de calidad e implantación, pruebas, procesos de documentación y de especificación. A la hora de implementar un Sistema de Gestión de Seguridad de la Información, establecer un registro de la totalidad de acciones realizadas se considera muy importante, ya que en el momento de encontrar alguna contrariedad, se pueden examinar las etapas y encontrar a los responsables y la fuente del accidente. A lo largo de un procedimiento de control de cambio, hay que tener en cuenta cómo afecta ese cambio en los sistemas de gestión de otros sistemas con los que existe alguna relación. Las modificaciones o cambios deberían producirse con bastante tiempo ya que se tienen que formular pruebas suficientes en los distintos sistemas para asegurar que funciona perfectamente y que las modificaciones realizadas no perjudican a los controles. Instalar las actualizaciones del software disponibles de los productos que se han comprado no siempre resulta necesario, por lo que sólo tienen que actualizarse cuando sea necesario. Por tanto, dentro de lo posible, se deben utilizar las aplicaciones adquiridas sin realizar cambios sobre ella si no es un caso extremadamente necesario y realizándose siempre por el proveedor, manteniendo una copia del software original. La totalidad de las modificaciones que se produzcan en el software adquirido de terceros, se tiene que someter a un proceso de control de cambios aprobado. Los canales ignorados u ocultos son canales de trasmisión de datos que no se encuentran a simple vista, por lo tanto es muy posible que se puedan llegar a producir importantes fugas de información. Para evitar las pérdidas de información, es necesario implantar controles como: las actividades personales, el escaneo de los medios de comunicación, protección contra virus troyanos y supervisar los recursos.
Los 50 EXCELENTES de ISOTools en 2014
114
VOLVER AL ÍNDICE
37 Si, en cualquier caso, el software se ubica externalizado, tenemos que encontrar en el contrato la propiedad y derechos del código, considerar sobre posibles terceros que colaboran por iniciativa de la organización subcontratada y probar y certificar su calidad. A menudo observamos nuevas vulneraciones técnicas que pueden llegar a dañar a los sistemas que tienen incorporados las empresas. Estas vulnerabilidades publicadas se tienen que gestionar, además de detectarlas de manera interna en la empresa. La gestión del sistema se debe iniciar con toda la información conseguida de las vulnerabilidades, se debe establecer las medidas oportunas para resolver los principales problemas que se muestran en la organización, así como analizar los riesgos de los activos. Se tiene que realizar la gestión de la organización con un inventario de activos completos y actualizados. En el instante en el que se consiga un remedio para que se solucione estas vulnerabilidades del sistema se debe proceder a ejecutar el procedimiento de control de cambios. Si se da el caso de que no se pueda reconocer algún remedio oportuno, en función de la vulnerabilidad de esta, se podrá dejar de utilizar o impedir el sistema dañado, así como aumentar los controles de monitorización.
SGSI Los Sistemas de Gestión de Seguridad de la Información o SGSI son herramientas que permiten a las organizaciones gestionar eficientemente los riesgos que se producen en las organizaciones. Más información sobre los sistemas de gestión relativos a los riesgos y seguridad en: https:// www.isotools.org/normas/riesgos-y-seguridad/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/11/11/iso-27001-soluciones-vulnerabilidades-tecnicas/
Los 50 EXCELENTES de ISOTools en 2014
115
VOLVER AL ÍNDICE
38
SEGURIDAD DE LA INFORMACIÓN
ISO 27001: Clave para la Continuidad de Negocio La norma ISO 27001 es un suplemento óptimo para la Continuidad de Negocio, ya que simplifica la reacción ante la interrupción de las actividades que establece la empresa y resguarda la totalidad de los procesos críticos de negocio de los efectos que pueden ocasionar los desastres o perjuicios importantes que se den en los Sistemas de Información, así como asegurar una reiniciación lo más pronto posible. Se debe de llevar a cabo un procedimiento de Gestión de la Continuidad de Negocio para reducir los posibles efectos que se puedan generar en la organización y poder recuperarse de pérdidas de activos de información. Estos efectos pueden presentarse como resultados de desastres naturales, fallos en los equipos, acciones intencionadas y accidentes, por lo que tienen que compaginar los controles precautorios y de recuperación. En el seno de dicho procedimiento se tienen que reconocer todos los procesos críticos de negocio y se debe integrar la totalidad de requisitos del Sistema de Gestión de Seguridad de la Información basado en la norma ISO27001. Los efectos que producen los desastres, los fallos de seguridad, la disponibilidad del servicio y las pérdidas de servicio deben estar sometidos al análisis de los efectos empresariales. Incluso debe desarrollarse e implementarse los planes de seguimiento de la empresa para asegurar una reanudación veloz y oportuna de la parte integral del proceso global de continuidad del negocio y de otros procesos de gestión de la organización. En la Gestión de la Continuidad del Negocio se tienen que incluir los controles globales con el fin de identificar y disminuir todos los riesgos posibles, e incluso desarrollar un proceso en el cual se genere la evaluación de riesgos. Es necesario limitar las consecuencias que producen los incidentes perjudiciales y asegurar que la Seguridad de la Información es la adecuada para fundamentar todos los procesos empresariales que se consideren disponibles. Sobre el Plan de Continuidad del Negocio podemos poner un claro ejemplo:
Los 50 EXCELENTES de ISOTools en 2014
116
VOLVER AL ÍNDICE
38 Identificar los activos críticos Tenemos que reconocer en base a la disponibilidad.
Analizar el impacto de interrupción En cuestión del modelo de amenazas consideradas a lo largo del análisis de riesgos, puede que tomemos distintas opciones: %% Tratar el tipo de riesgo. %% Procedimiento de continuidad de negocio. %% No hacer nada. %% Finalizar la actividad. Quien decide sobre los casos en los que se tiene que realizar un procedimiento de continuidad de negocio es el comité de empresa.
Identificar a los responsables Se debe adjudicar un Responsable de Seguridad en el rol de gestor del proceso y se encarga de coordinar las distintas actividades en relación con la Gestión de la Continuidad del Negocio.
Estimar la estrategia de recuperación La persistencia de los servicios TI puede lograrse mediante medidas preventivas, que evita que se suspensión de los servicios o que se recuperen los distintos niveles del servicio en el menor periodo posible. %% Acciones preventivas. %% Acciones de recuperación.
Definición de recursos para recuperarse Cuando se concrete el alcance, tras realizar un análisis de riesgos y vulnerabilidades, a continuación se tiene que conceptuar una estrategia de prevención y recuperación, considerando necesario atribuir y organizar los recursos necesarios globales. %% Programa de Prevención de Riesgos. %% Programa de Gestión de Emergencias. %% Programa de Recuperación. En cuanto al Programa de Prevención de Riegos: el objetivo es el de eludir o reducir el impacto de los desastres que se podrán llegar a producir en la infraestructura. Conforme a las medidas se pueden determinar: %% Duplicar Sistemas Críticos. %% Políticas de Backups. %% Almacén de datos distribuidos. %% Sistemas de Seguridad pasivos. %% Sistema de Alimentación Eléctrica alternativa. Entre las personas que conforman la entidad suelen provocarse reacciones de pánico en cuanto a los incidentes, perjudicando a la producción de la entidad e causando daños más
Los 50 EXCELENTES de ISOTools en 2014
117
VOLVER AL ÍNDICE
Cuadro de Mando Integral: Balanced Scorecard Descargue este e-book gratuito
DESCARGAR AHORA
38 graves que el propio incidente. Con lo cual, es muy importante que la mencionada situación de emergencia esté determinada mediante los responsables, así como que se conozcan a la perfección las labores que debe desarrollar cada sujeto, siguiendo los protocolos de actuación dependiendo de la situación que se dé. Los programas de gestión de emergencias deben tener en cuenta aspectos como: %% Informar a la totalidad de los clientes y usuarios de la interrupción que se puede estar provocando y de la degradación del servicio ofrecido. %% Deben existir protocolos de actuación que pongan en marcha el plan de recuperación que se corresponda. %% Evaluar el impacto de la contingencia de la infraestructura. %% Atribuir funciones de emergencia al personal de la empresa. En los casos en los que se producen interrupciones en el servicio, su control es vital, por lo que llega el momento de poner en funcionamiento todos los procedimientos de recuperación con los que se cuente. El programa de recuperación debe insertar lo siguiente: %% Volver a organizar al personal involucrado en el incidente. %% Establecer los sistemas de hardware y software necesarios. %% Recuperar todos los datos y reiniciar el servicio. Los procedimientos de recuperación, dependen en gran medida de las contingencias y de las alternativas de recuperación con la que se cuente.
Establecer los procedimientos Por la dirección de la empresa se tienen que aprobar tanto los procedimientos de contingencia como los de continuidad de negocio. En cada procedimiento se tiene que insertar: %% La persona encargada de comenzar el proceso. %% Las condiciones perfectas para que se comience el proceso. %% Escalar los accidentes. %% Organizar a los trabajadores. %% Gestionar el incidente. %% Mantener las actividades. %% Implementar las prioridades de recuperación. La manera de eludir las diferentes interrupciones de negocio que se puedan ocasionar, son las siguientes: %% Contratar un seguro que englobe todos los deterioros. %% Revisar la política de blackup. %% Contratar servicios de “housing” con el proveedor. %% Supervisar que se logren todos los acuerdos que se han contratado con terceras personas.
Los 50 EXCELENTES de ISOTools en 2014
119
VOLVER AL ÍNDICE
38 %% Revisar todos los sistemas críticos. %% Garantizar que se restablezca la alimentación eléctrica.
Pruebas y revisión de procedimientos Cada cierto tiempo se tienen que elaborar informes en los cuales se incluyan la totalidad de información que sea relevante para la entidad global.
Difusión y concienciación Se tiene que implementar un calendario periódico en los cuales se establezcan pruebas a los programas de recuperación y otro calendario en los que describan los cursos de formación basándose en todos los protocolos de actuación en posición de emergencia.
SGSI Sistema de Gestión de Seguridad de la Información o SGSI es competente para dar respuesta a multitud de controles para el tratamiento de la información. De este modo nos podemos asegurar que los factores vinculados a la Seguridad de la Información no causen problemas ni interrupciones en la Continuidad de Negocio. Para saber más sobre los Sistemas de Gestión de Riesgos y Seguridad: https://www.isotools.org/normas/riesgos-y-seguridad/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/11/28/iso-27001-clave-continuidad-negocio/
Software para Sistema de Gestión de Seguridad de laInformación DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
120
VOLVER AL ÍNDICE
39
SEGURIDAD DE LA INFORMACIÓN
ISO 27001: Cumplimiento de los requisitos legales en Seguridad de la Información La norma ISO 27001 auxilia a las empresas en el cumplimiento de los requisitos legales, los cuales, tienen la finalidad de eludir la vulneración de la legislación o el incumplimiento de toda obligación legal de las entidades de cualquier requisito de seguridad. Pueden encontrarse sujetos a los requisitos legales o a los reglamentos contractuales de seguridad tanto el diseño, como el funcionamiento, uso y gestión de los Sistemas de Gestión de Seguridad de la Información. Los requisitos correspondientes, tanto los requisitos legales como los reglamentos contractuales, así como el enfoque seguido por la empresa para cumplirlos, tienen que encontrarse definidos explícitamente, estar documentados e incluso mantenerse actualizados en cada Sistema de Gestión de Seguridad de la Información basado en la norma ISO27001. Tienen que definirse y documentarse cualquier control específico que se produzca, así como también tenerse en cuenta las responsabilidades que hayan sido atribuidas con el fin de realizar los controles oportunos que garantice el cumplimiento de la totalidad de requisitos de seguridad. Se considera necesario preguntar a los asesores legales que cada empresa tenga contratado, habitualmente se trata de abogados perfectamente cualificados, en temas concernientes a los requisitos legales específicos que puedan perjudicar en función de la actividad que realiza cada empresa, además de la manera en que un país transmite a otro la información que se crea, esto es, el flujo transfronterizo de datos, por lo que en cada país encontramos requisitos legales muy distintos. El desarrollo que se le da a los Sistemas de Gestión de Seguridad de la Información está sujeto a los requisitos legales, las contractuales de seguridad y los reglamentos. El objetivo primordial que se persigue es eludir los incumplimientos de toda obligación legal o contractual.
Los 50 EXCELENTES de ISOTools en 2014
121
VOLVER AL ÍNDICE
39 Para realizar la implementación a este sistema se tienen que seguir determinados pasos: %% Reconocer los requisitos legales, los contractuales y los reglamentarios, aparte de definir y documentar el enfoque de la empresa para poder cumplirlo. %% Determinar procedimientos con el fin de cumplir la Ley de Protección Intelectual (LPI). Se tienen que reconocer la totalidad de los activos que requieren protección de derechos de propiedad intelectual. Se debería considerar: • No se pude duplicar, transformar ni copiar parte de los documentos, sin que lo permita la ley de derechos de autor. • Se tiene que adquirir el software mediante fuentes fiables. • Determinar una política que defina el uso legal del software y los productos de información. Estableciendo medidas disciplinarias en caso de infracción. • Se tiene que definir una política para la conservación, manipulación y destrucción de los registros que contengan datos personales o información sensible. • Mantener pruebas de la propiedad de licencias. Asegurar que no se excede el número de usuarios permitidos por la aplicación. %% Se tiene que determinar los procedimientos necesarios para el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD). Se deben de reconocer todos los ficheros que contengan datos de ámbito personal y establecer el nivel de protección que les corresponda. Se deben llevar a cabo las siguientes consideraciones: • Se tiene que informar de si se ceden los datos personales a terceros y proceder a controlar los derechos de las personas perjudicadas. • Los ficheros tienen que quedar registrados en el registro de la Agencia de Protección de Datos. • Se debe elaborar un documento de seguridad que indique las medidas de carácter organizativo y técnico que se adoptan por parte de la organización, con las que garantiza la seguridad de los datos de carácter personal. %% Se establecen procedimientos que posibiliten el cumplimiento de la Ley de Servicios de la Sociedad de la Información (LSSI). En el caso el cual la empresa utilice el comercio electrónico: • Se debe comunicar el nombre del dominio en el Registro Mercantil. • Las condiciones generales y los trámites que tienen que seguirse para contratar on-line algún servicio prestado por la empresa. Enviar con acuse de recibo al cliente, el pedido realizado. • En la página web se deben mostrar los datos de la entidad, el código de conducta, el precio de los productos. La normativa a la que se hace referencia son leyes que regulan el sector de las tecnologías en España, ya que únicamente obtiene validez en el territorio español.
Los 50 EXCELENTES de ISOTools en 2014
122
VOLVER AL ÍNDICE
39 Cumplimiento de políticas y normas de seguridad y cumplimiento teórico El propósito que persigue dicho control es generar una garantía de que los Sistemas de Gestión de Seguridad de la Información satisfacen todas las políticas y normas de seguridad de la organización. Cada cierto tiempo, la Seguridad de la Información basada en la ISO 27001 tiene que examinarse. Estas revisiones se realizan a través de diferentes políticas de seguridad y tiene que auditarse que las plataformas técnicas y los sistemas de información satisfagan la totalidad de normas de implementación de seguridad y controles de seguridad documentados que sean aplicables. El control de que se está llevando a cabo el cumplimiento técnico únicamente tiene que estar revisado por los sujetos cualificados y además, estas personas tienen que estar autorizadas por la entidad, aunque puede pasar que lo realice otra persona bajo la supervisión del responsable. Se considera un elemento de reconocida importancia, por lo que hablamos del examen que tienen que pasar las entidades de sus sistemas operativos con el fin de asegurar que los software y los hardware han sido implantados perfectamente. Con el fin de verificar lo expuesto anteriormente, se tiene que realizar por los trabajadores y es necesario que dispongan de los adecuados conocimientos para ese fin. Si a lo largo de la comprobación se encuentra algún incumplimiento, el sujeto autorizado tendrá que: %% Establecer las causas que han llevado al incumplimiento. %% Evaluar las medidas que se tienen que tomar para asegurar que no vuelva a suceder el incumplimiento. %% Determinar e implementar las acciones correctivas necesarias. %% Revisar las acciones correctivas utilizadas, para saber si están funcionando. Debe quedar registrado el resultado de las revisiones y de las acciones correctivas llevadas a cabo, y dichos registro tienen que conservarse.
Sistema de Gestión de Seguridad de la Información Es muy importante que las empresas realicen la identificación de los riesgos en su Sistema de Gestión de Seguridad de la Información, la planificación de acciones correctivas y preventivas, así como el control de la eficiencia producida por el sistema. Para saber más sobre los Sistemas de Gestión de Riesgos y Seguridad podéis visitar: https://www.isotools.org/normas/riesgos-y-seguridad/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/12/16/iso-27001-cumplimiento-requisitos-legales- seguridad-informacion/
Los 50 EXCELENTES de ISOTools en 2014
123
VOLVER AL ÍNDICE
8 problemas de integrar normas ISO Descarga e-book gratuito
DESCARGAR AHORA
40
SEGURIDAD DE LA INFORMACIÓN
ISO 27001 Procedimientos y responsabilidades para la gestión del tratamiento de los recursos de la información ISO 27001 hace que la seguridad sea un componente primordial en la información y en los activos de una organización. Tanto a la hora de designar responsabilidades, como en cualquier procedimiento útil para la gestión de los recursos destinados al tratamiento de la información, la seguridad debe ser un elemento presente y notable. Pero ocurre que ésta se hace vulnerable ante cualquier red de comunicación, es decir es un medio por el que se puede acceder a la información pero también es un medio que puede dañarla. Ante esto, se hace necesario crear procedimientos documentados para la gestión de los recursos dedicados al tratamiento y comunicación de la información. Esto facilitará el cumplimiento y respeto de los requisitos de seguridad definidos. Estos documentos son aprobados por la dirección y se difundirán entre los trabajadores implicados e involucrados en cada procedimiento. ISO-27001 ejerce un control sobre el tratamiento de la información, y cada cambio que suceda en ello deberá estar controlado por uno o varios procedimientos preestablecidos para la gestión de cambios. Este control abarca: identificación y registro de los cambios más relevantes, planificación, pruebas, evaluación de riesgos, aprobación de los cambios, comunicación al personal interesado de los cambios, elaboración de procedimientos para dar vuelta atrás y recuperación del sistema a su posición original en caso de que ocurriera algún problema. Lo ideal sería que todos los sistemas de la organización estuvieran sometidos a este tipo de control. Una parte muy importante de esta gestión de cambios es la planificación, una organización debe planificar y, sobre todo plantearse si el cambio que se dispone a realizar es necesario para la entidad o no. Por ejemplo, la actualización de un software puede poner en peligro al sistema y a su información y no ser muy imprescindible para continuar con el desarrollo del negocio, ahí habría que pensar si es conveniente correr el riesgo o no. Una práctica recomendada para reducir riesgos y evitar manipulaciones de la información no
Los 50 EXCELENTES de ISOTools en 2014
125
VOLVER AL ÍNDICE
40 autorizadas, consiste en segregar las tareas sobre responsabilidades en la gestión de la información. Esto quiere decir que no es conveniente que solo una persona tenga la responsabilidad de acceder y manipular un sistema sin ningún otro tipo de supervisión. Debe evitarse este habito o al menos intentar que no sea la misma persona la encargada de autorizar y ejecutar la actividad. Sea cual sea la situación de la organización, ha de utilizarse un registro para una posible supervisión o para futuras auditorías cuando las hubiese. Como último dato para evitar riesgos a la integridad de la información, es recomendable separar los entornos de desarrollo, pruebas y producción. Ni el entorno de desarrollo debería tener acceso al de producción, ni el de pruebas debería usar los mismos datos que el de producción, aunque sí lo más similar posible. Cada uno de los usuarios tendrá un identificador privado para establecer responsabilidades y, para aumentar la seguridad, deberían ser distintos para el entorno de desarrollo y para el de pruebas. En resumen, para consolidar la presencia y funcionamiento de ISO27001 en una organización y crear responsabilidades y procedimientos para la gestión de los recursos de tratamiento de la información es necesario: %% Mantener y documentar los procedimientos operacionales que aparecen en la política de seguridad. %% Crear responsabilidades y procedimientos de gestión para poder desarrollar un control satisfactorio de los cambios en software y equipos. %% Organizar responsabilidades y procedimientos de gestión para que aporte a la organización una respuesta ordenada, rápida y eficaz a las incidencias en materia de seguridad. %% Instaurar una política de segregación de tareas en cuanto a las responsabilidades en la gestión de la información. %% Separar entre sí los recursos de desarrollo, pruebas y producción para que la organización no se encuentre con problemas operacionales y cambios no previstos ni deseados.
Sistema de Gestión de Riesgos y Seguridad Tiene más información sobre los Sistemas de Gestión de Riesgos y Seguridad, como el derivado de ISO 27001, en el siguiente link: https://www.isotools.org/normas/riesgos-y-seguridad/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/09/16/iso-27001-procedimientos-responsabilidades-gestion-tratamiento-recursos-informacion/
Los 50 EXCELENTES de ISOTools en 2014
126
VOLVER AL ÍNDICE
Sistemas de Gestión Integrados.
41
SISTEMAS DE GESTIÓN INTEGRADOS
¿Qué contenidos debe incluir un Plan de Integración? Es fundamental que el Plan de Integración incluya un contenido que dé respuesta a una serie de preguntas que hace posible que la organización lleve a cabo de un modo eficaz y controlado la integración de los sistemas de gestión. El Plan de Integración dará respuesta a: %% Los objetivos de la integración. %% El alcance del sistema de gestión integrado. %% El punto de partida de la organización, el cual justifica tanto a los objetivos como al alcance. %% El nivel de integración. %% El modo de integración. %% La persona responsable de la implantación. %% Las actividades que se van a desarrollar. Siempre que se vaya a ejecutar una integración de sistemas, será imprescindible definir el modelo de sistema de gestión integrado en función del nivel de integración que la organización desee alcanzar. La definición de un sistema de gestión integrado de las áreas de calidad, medio ambiente y seguridad y salud laboral implica: %% La identificación clara de productos y/o servicios, de aspectos ambientales y de los peligros y riesgos que se producen en el puesto de trabajo. %% Identificación de los proyectos de la organización que están relacionados directa o indirec-
Los 50 EXCELENTES de ISOTools en 2014
128
VOLVER AL ÍNDICE
41 tamente en las características de productos y/o servicios, aspectos ambientales y de los peligros y riesgos laborales. %% Establecimiento del Mapa de Procesos del sistema de gestión integrado y las relaciones que se producen entre dichos procesos. %% Definición del alcance, determinando los procesos en los que se va a llevar a cabo la integración. La organización debe conocer a la perfección la estructura documental del sistema integrado, ya que la documentación utilizada como los manuales, fichas de procesos… es un aspecto fundamental en el proceso de integración. A la hora de elaborar el Plan de Integración, no es necesario que sea un documento extenso. El objetivo del Plan de Integración es que la Dirección se informe de los aspectos fundamentales que dan respuesta a la necesidad de desarrollar el proyecto de integración. Además, en el Plan de Integración quedará definido el orden en el que de desarrollarse las distintas actividades, para ello las organizaciones deberán plantearse cuales van a ser los procesos en los que se va a implantar la integración. A través de la Plataforma Tecnológica ISOTools, las organizaciones que lo deseen llevaran a cabo la integración de la norma ISO 9001, ISO 14001 y/u OHSAS 18001, así como lo permitirá en un futuro con la versión de estas normas.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/04/16/que-contenidos-debe-incluir-un-plan-de-integracion/
Software de Integración de Sistemas de Gestión DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
129
VOLVER AL ÍNDICE
8 problemas de integrar normas ISO Descarga e-book gratuito
DESCARGAR AHORA
42
SISTEMAS DE GESTIÓN INTEGRADOS
Sistemas integrados: Anexo SL Cada vez son más las organizaciones que abordan la gestión de determinadas áreas mediante la aplicación de normas internacionales ISO. La calidad, el medio ambiente y la seguridad y salud en el trabajo son algunas de las áreas de gestión en las que fácil y rápidamente se pueden implantar este tipo de normas internacionales como la ISO 9001, ISO 14001 y OHSAS 18001. Aunque las normas ISO más utilizadas se corresponden con las áreas anteriormente mencionadas, no podemos olvidar que existen muchas normas relacionadas con la seguridad de la información (ISO 27001), seguridad e inocuidad alimentaria (ISO 22000), gestión energética (ISO 50001), gestión documental (ISO 30301), etc.
Estas normas tienen fundamentos de gestión comunes, por ejemplo todas ellas contemplan la orientación a satisfacer las partes interesadas, la filosofía de mejora continua según el ciclo PDCA y el enfoque basado en procesos. Asimismo son normas con requisitos análogos y estructuras comunes. En Julio del año 2013, ISO finalizó sus trabajos para proporcionar
Los 50 EXCELENTES de ISOTools en 2014
131
VOLVER AL ÍNDICE
42 en sus normas una estructura idéntica, con términos y definiciones comunes para las normas de sistemas de gestión del futuro a través del Anexo SL. El Anexo SL es nuevo documento elaborado para simplificar la creación de nuevas normas, y hace posible que la implementación de estándares múltiples (sistemas integrados) dentro de una organización sea más fácil. El Anexo SL sustituye a la Guía ISO 83, que proporcionaba una estructura de base y un texto normalizado para los estándares de sistemas de gestión. Los usuarios de las normas transmitieron a ISO una serie de quejas derivadas del proceso de integración actual de varios sistemas de gestión (SIG) como ISO 9001, ISO 14001 e ISO 27001. Si bien estas normas tienen elementos comunes, están descritos y organizados de una manera diferente, por lo que es difícil para las organizaciones implementar múltiples estándares. Este documento es un producto desarrollado por un comité integrado por diferentes jefes y secretarios de los Comités Técnicos de las normas de gestión.El Technical Management Board (TMB) estableció este comité y se denominó Joint Techical Coordination Group (JTCG). Entre las principales tareas del JTCG destacamos la de garantizar que las aportaciones de los distintos comités técnicos asociados con cada estándar se representan en el sistema de gestión resultante de un área determinada (es decir, el medio ambiente, seguridad de la información, etc). La estructura de alto nivel del Anexo SL está conformada por 10 cláusulas: %% Cláusula 1: Ámbito de aplicación. %% Cláusula 2: Referencias normativas. %% Cláusula 3: Términos y definiciones. %% Cláusula 4: Contexto de la organización. %% Cláusula 5: Liderazgo. %% Cláusula 6: Planificación. %% Cláusula 7: Soporte. %% Cláusula 8: Funcionamiento. %% Cláusula 9: Evaluación del desempeño. %% Cláusula 10: Mejora. Los objetivos que persigue ISO con esta estructura son: %% Garantizar la coherencia entre las futuras y actuales normas de sistemas de gestión. %% Favorecer la integración de sistemas de gestión. %% Facilitar a los usuarios la comprensión y entendimiento de las normas de gestión. ISO ha publicado en los últimos años muchísimas normas relacionadas con los sistemas de gestión en temas que van desde la calidad y el medio ambiente a la seguridad de la información, gestión de la continuidad del negocio o la gestión de documentos. A pesar de compartir elementos comunes, estas normas vienen en muchas formas y estructuras diferentes. Esto, a su vez, da lugar a cierta confusión y dificultades en la etapa de implementación. En las siguientes figuras podemos observar las similitudes entre los diferentes modelos de gestión de calidad, medio ambiente y de seguridad y salud en el trabajo:
Los 50 EXCELENTES de ISOTools en 2014
132
VOLVER AL ÍNDICE
42
Todos los comités técnicos encargados del desarrollo de las normas de sistemas de gestión, tienen que seguir el Anexo SL. El Anexo SL armoniza la estructura, el texto y los términos y definiciones, dejando a los creadores de las normas la flexibilidad requerida para integrar los aspectos técnicos específicos y requisitos pertinentes. ISO renueva en cierta manera los sistemas de gestión con nuevos conceptos enfocados a la Calidad Total y Excelencia a través del Anexo SL tales como la participación de todas las partes interesadas, el enfoque hacia empresas de servicios, la gestión del riesgo o la introducción de la tecnología. Se han determinado igualmente una serie de definiciones idénticas para todas las normas de gestión: %% Organización %% Partes interesadas (término preferido) %% Stakeholder (término admitido) %% Requisito %% Sistema de gestión %% Alta dirección %% Eficacia %% Política %% Objetivo %% Riesgo %% Competencia %% Información documentada
Los 50 EXCELENTES de ISOTools en 2014
133
VOLVER AL ÍNDICE
42
%% Proceso %% Rendimiento %% Externalizar %% Monitoreo %% Medición %% Conformidad %% No Conformidad %% Corrección %% Acción correctiva %% Mejora continua
Los 50 EXCELENTES de ISOTools en 2014
134
VOLVER AL ÍNDICE
42 Además se establecen textos totalmente idénticos entre unas normas y otras en aspectos similares como el liderazgo. Un ejemplo de texto idéntico se expresa a continuación: “La alta dirección debe asegurarse de que las responsabilidades y autoridades para las funciones relevantes se asignan y comunicadas dentro de la organización”. El nuevo Anexo SL algunos trae consigo una serie de cambios entre los que destacamos: El cambio de documentos y registros por el concepto de “Información documentada”. Se incluye el uso amplio del concepto de “riesgo” y la necesidad de comprender el riesgo en el contexto del sistema de gestión. Anexo SL ayudará a cualquier organización a la hora de integrar sistemas, permitiendo un considerable ahorro de tiempo y costos. Ya sabemos que las normas como la ISO 9001 y la ISO 14001 tienen intenciones similares pero diferentes estructuras, texto y terminología, lo que hace que actualmente sea más complicado de implementar en conjunto. Si bien ya existen diferentes metodologías para integrar sistemas de gestión normalizados, como la integración a través de los puntos de las normas, el enfoque sistémico o el enfoque de calidad total, es necesario agilizar el proceso de implementación, mantenimiento y certificación de estándares múltiples. Desde su publicación, en unos dos / tres años, todas las normas de gestión existentes deben de armonizarse bajo el Anexo SL. Las nuevas normas de sistemas de gestión que se están publicando ya lo están haciendo bajo este formato, así como las normas que actualmente se están revisando como ISO 9001, ISO 14001 y OHSAS 18001 que pasa a ser ISO 45001.
La Plataforma Tecnológica ISOTools facilita la implantación y el seguimiento de los sistemas de gestión Integrados a través de su sistema tecnológico de automatización. Además favorece el acceso a la documentación de forma rápida, permaneciendo centralizada y ordenada.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/06/27/anexo-sl/
Los 50 EXCELENTES de ISOTools en 2014
135
VOLVER AL ÍNDICE
Responsable de Calidad: ¿Estás preparado para el futuro? Descargue este e-book gratuito
DESCARGAR AHORA
43
SISTEMAS DE GESTIÓN INTEGRADOS
Evolución del alcance de los Sistemas de Gestión Integrados Para saber el alcance de un sistema de gestión integrado es necesario conocer la agrupación de los sistemas que lo constituyen. Cuando hablamos de integración, rápidamente lo asociamos con los sistemas de gestión de calidad, medio ambiente y seguridad y salud laboral. Como ya hemos mencionado otras veces esto no es así, la integración se lleva a cabo realizando combinaciones entre los distintos Sistemas de Gestión y/o Modelos de Excelencia. Según estudios, se afirma que la mayoría de las organizaciones deciden proceder a la integración de estos tres sistemas de gestión. También se concluye que el Sistema de Gestión de Calidad (SGC) suele ser el único que se integra en todas las organizaciones. El concepto de integración se empieza a utilizar en publicaciones datadas en los años noventa, en aquellos tiempos se comprendió que entre la documentación exigida por las normas ISO 9001:1994 e ISO 14001:1996 existían diferencias, pero también importantes similitudes que permitian reducir el esfuerzo y costos invertidos en la implantación si se unificaban. Durante ese periodo, la integración de sistemas estaba limitada a los sistemas de gestión de calidad y medio ambiente basados en las normas ISO vigentes en aquel momento. Además, su finalidad era la simplificación de estructuras documentales de dichos sistemas de gestión, sin tener en cuenta otros aspectos. Asimismo, la integración con el sistema de gestión de seguridad y salud laboral no se contemplaba debido a la inexistencia de una norma ISO relacionada con esta materia. Tras un estudio en el que se hizo una comparación entre las diferentes normas sobre seguridad y salud ocupacional, la OHSAS 18001 adquirió un papel fundamental en el marco de integración de sistemas, contemplándose dentro del alcance de integración.
Los 50 EXCELENTES de ISOTools en 2014
137
VOLVER AL ÍNDICE
43 Actualmente no contamos con un estándar internacional sobre seguridad y salud laboral, estamos a la espera de la publicación de la nueva ISO 45001 que sustituirá a la actual OHSAS 18001. Del mismo modo, las normas ISO 9001 e ISO 14001 también han sufrido modificaciones a lo largo del tiempo y en concreto, ahora se encuentran en un proceso de revisión que finalizará con la publicación de las normas.
La Plataforma Tecnológica permite la integración de sistemas normalizados de gestión, teniendo en cuenta las actualizaciones de los estándares y el Anexo SL, el cual permite que las normas cuenten con una estructura compatible y coherente.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/07/14/evolucion-alcance-sistemas-integrados/
Software de Integración de Sistemas de Gestión DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
138
VOLVER AL ÍNDICE
44
SISTEMAS DE GESTIÓN INTEGRADOS
Mapa de procesos de los Sistemas de Gestión Integrados De manera general, la integración significa llevar a cabo una combinación, es decir, poner todas las prácticas de gestión interna dentro de un sistema, de tal manera que los componentes de dicho sistema no estén separados, sino vinculados para formar una parte integral del sistema de gestión de la empresa, es lo que se denomina “enfoque de gestión basado en procesos.” Partiendo de este enfoque de gestión como base para la integración, se puede afirmar que un sistema integrado de gestión puede definirse a través de un conjunto de procesos, interrelacionados entre sí, orientados hacia el cumplimiento de una política de gestión y unos objetivos, relativos a las áreas de gestión que se integran. Uno de los instrumentos más utilizados en el diseño de sistemas de gestión es la elaboración del mapa de procesos. Un mapa de procesos es una representación gráfica que nos ayuda a visualizar todos los procesos que existen en una empresa y su interrelación entre ellos. Antes de realizar el mapa de procesos habrá que identificar todos los procesos. Así pues, hay que determinar el grado de integración del mismo a partir del grado de integración de cada uno de los procesos que lo forman; esto quiere decir que se evalúa a través de la valoración del comportamiento individual de cada proceso de conjunto, esto sirve para identificar que procesos están integrados y cuáles no lo están. Se han realizado estudios con diversas organizaciones para comprobar si ejecutaban de forma integrada ocho de los procesos que son comunes a los tres sistemas de gestión (ISO
Los 50 EXCELENTES de ISOTools en 2014
139
VOLVER AL ÍNDICE
44 9001, ISO 14001 e OHSAS 18001).Según los resultados obtenidos, los procesos en los que se alcanza mayor grado de integración son el de “gestión de la documentación” y el de “revisión por parte de la dirección”. Por otra parte, los procesos que muestran menor nivel de integración son “seguimientos y medición de resultados”, “establecimiento y planificación de objetivos” y “auditorías y certificación”. En el análisis de conjunto, los resultados mostraron la existencia de tres tipos de asociaciones a la hora de integrar el mapa de procesos: %% Organizaciones que integran los procesos denominados procesos de apoyo. Los procesos de apoyo son los que sirven de soporte a los procesos claves. Sin ellos no serían posibles los procesos claves ni los estratégicos. Estos procesos son, en muchos casos, determinantes para que puedan conseguirse los objetivos de los procesos dirigidos a cubrir las necesidades y expectativas de los clientes. %% Organizaciones que integran aquellos procesos denominados procesos estratégicos, es decir, aquellos establecidos por la Alta Dirección y que definen cómo opera la organización y cómo se crea valor para el cliente. %% Soportan la toma de decisiones sobre planificación, estrategias y mejoras en la organización. Proporcionan directrices, límites de actuación al resto de los procesos. %% Organizaciones que integran los procesos de auditoría, tanto externa como interna. Para terminar, el análisis de cada proceso culmina con la elaboración del diagrama de flujo, la ficha del proceso, la identificación de los indicadores de control y resultados y, finalmente, con la organización de la documentación correspondiente. La Plataforma Tecnológica ISOTools facilita la integración de los Sistemas de Gestión, con el objetivo de mejorar la eficiencia y eficacia de la organización.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/08/18/mapa-de-procesos-de-los-sistemas-de-gestion-integrados/
Los 50 EXCELENTES de ISOTools en 2014
140
VOLVER AL ÍNDICE
45
SISTEMAS DE GESTIÓN INTEGRADOS
La automatización del sistema HSEQ Hoy en día, las empresas exitosas y que actúan responsablemente con su entorno, deben responder eficientemente a una serie de requisitos que abarcan diferentes áreas: salud, seguridad, protección ambiental y gestión de la calidad en la prestación de servicios o productos. Todos ellos se encuentran resumidos en el acrónimo HSEQ, que significa: %% Health (salud) %% Safety (seguridad) %% Environment (medio ambiente) %% Quality (calidad) Estos sistemas de gestión se diseñan para ser herramientas útiles de trabajo. El momento en el que se descubre que un sistema de gestión empieza a ser un inconveniente más que una ventaja, es necesario adoptar medidas. Para reconocer que es necesario replantearse una mejora del sistema se pueden responder a preguntas, tales como: ¿Considera que invierte demasiado tiempo cumplimentando formatos?, ¿La coordinación entre responsables no es fluida? o ¿Tarda mucho tiempo en recopilar los datos y analizar los indicadores? Si la mayoría de las respuestas han sido afirmativas, necesita una manera de facilitar la ejecución de los procesos dentro de la organización, su solución es la automatización de los mismos. La automatización de los procesos implica la utilización de herramientas tecnológicas para realizar las actividades que antes se ejecutaban manualmente. Este proceso tiene unos objetivos muy evidentes en los procesos de la organización. Se reducen costes, el trabajo es más rápido y se eliminan los riesgos que ponían en peligro la seguridad del empleado. Además, disminuyen los problemas de calidad por realizarse el trabajo de una manera más uniforme debido a las especificaciones dadas al automatismo.
Los 50 EXCELENTES de ISOTools en 2014
141
VOLVER AL ÍNDICE
¿Conoce los cambios y novedades de la nueva versión de ISO 14001? Descargue este e-book gratuito
DESCARGAR AHORA
45 Asimismo, las ventajas que ofrece una herramienta de automatización a cualquier empresa en la organización de sus actividades diarias son muy variadas: %% Se adapta a cualquier sector económico y tipo de organización, independientemente de su tamaño, ya que se puede personalizar en función de los requisitos particulares de la organización. %% Centraliza y facilita la disponibilidad y el manejo de la información desde cualquier dispositivo, permitiendo que el responsable pueda consultarlos y modificarlos en cualquier momento y lugar. %% Propicia el dinamismo en los Sistemas de Gestión enfocados hacia la mejora continua y a la obtención de resultados, con una notable mejoría de la eficiencia empresarial. %% Reorganiza la comunicación interna y externa al vincular una agenda de contactos. Permite al gestor planificar, asignar y avisar las tareas pendientes o prioritarias, de forma inmediata y sencilla. Así mismo, potencia la colaboración y la involucración de todo el personal, al estar todos implicados en los procesos y sus procedimientos. %% Ahorra recursos materiales, tiempo y costes, además reduce los riesgos de pérdida de registros y preserva la seguridad de la información de la organización. %% Al estar en red, facilita que se puedan realizar actualizaciones automáticas de la propia plataforma o de las normas y sus requisitos. %% Asegura que todos los procesos o incluso productos que llegan a través de los proveedores o contratistas, desarrollen su actividad respetando su política medioambiental, de salud y seguridad. %% Favorece la identificación de No Conformidades y la aplicación de acciones correctivas y preventivas, impulsando la implantación de un sistema que camina hacia la mejora continua. Para organizaciones certificadas, cuyo sistema de gestión esté consolidado, una herramienta de informatización de procesos constituye una excelente solución para seguir avanzando en el proceso de mejora continua. En el caso de que la organización esté en proceso de implantación, se convierte en una guía durante el transcurso de establecimiento de un sistema de gestión. Desde primera hora la organización logrará una total ensambladura del Sistema de Gestión. Las organizaciones no pueden olvidarse de que el proceso de automatización de los sistemas de gestión requiere de serias inversiones, esto se traducirá en un incremento de la eficacia para la propia organización y para sus clientes.
Software ISO Integración Con la incorporación de la Plataforma Tecnológica ISOTools, muchas organizaciones están descubriendo ya las ventajas que aporta la automatización de la implementación y mantenimiento de los sistemas de gestión, logrando una simplificación y dinamización del proceso. No os perdáis esta divertida infografía en la que os damos 5 razones por las que debería de automatizar su sistema de gestión a través del Software ISO de ISOTools Excellence.
VER INFOGRAFÍA ¿POR QUÉ AUTOMATIZAR TU SISTEMA ISO?
Los 50 EXCELENTES de ISOTools en 2014
143
VOLVER AL ÍNDICE
46
SISTEMAS DE GESTIÓN INTEGRADOS
Sistemas Integrados de Gestión: Enfoques metodológicos para la integración El éxito en la difusión de tantos estándares de gestión ha llevado a las organizaciones a que su implementación de como fruto un único Sistema de Gestión Integrado. Esto ha provocado que en el ámbito académico se hayan comenzado a publicar las primeras investigaciones que analizan dichos aspectos. En este sentido, la literatura existente sobre la integración de sistemas de gestión se basa en estudios teóricos en los que se describen qué es un sistema integrado de gestión, su metodología y los principales aspectos a tener en cuenta, los niveles de integración de la organización, así como sus ventajas e inconvenientes. Resulta difícil describir un único modelo para la integración de sistemas de gestión, dado que los modelos de los sistemas integrados son muy específicos, de forma que son prácticamente individualizados, adaptados para cada empresa que decide llevar a cabo dicho proceso; así , la definición del SIG tampoco resulta única. Este asunto se muestra en la lista que aparece a continuación, en la que se recoge una recopilación de las definiciones y principales aportaciones de la literatura. %% Weiler et al. (1997). Presenta el modelo de mejora continua: compromiso, planificación, implantación, medida, revisión de la gestión. Determina que los objetivos integración están alineados con los objetivos estratégicos. %% Karapetrovic y Willborn (1998). Lo explica como un único sistema formado por subsistemas de función específica que pierden completamente sus identidades únicas: sistema de sistemas.
Los 50 EXCELENTES de ISOTools en 2014
144
VOLVER AL ÍNDICE
46 %% Winder (2000). Plantea 14 reglas para la integración, destacando la importancia del compromiso de la dirección, decisión del tipo de SIG y objetivos comunes. %% Wilkinson y Dale (2000). Determina cinco elementos clave: diferente comprensión del concepto integración, simplificación de la terminología, las diferencias en los objetivos dificulta proceso, la integración basada en la calidad total provoca una mejora los resultados y la importancia de la cultura. %% Beckmerhagen et al. (2003). Lo define como el proceso de unificar las diferentes funciones específicas de los sistemas de gestión en un único sistema de gestión integrado más efectivo. %% Karapetrovic (2003). Los procesos interconectados que comparten los mismos recursos para lograr los objetivos relacionados con la satisfacción de una amplia variedad de stakeholders. %% Karapetrovic y Jonker (2003). La integración proporciona sinergias y ahorros para la organización. Determina dos niveles: alineación estándares e integración en un único sistema. Clasifica los modelos de integración en: por procesos, PDCA y armonizando, alineando e integrando los diferentes de sistemas de gestión. %% McDonald et al. (2003). Tres procesos: revisión de la gestión, control operacional y auditorías internas. Único sistema para cada organización, diferentes sistemas para todas. %% Fresner y Engelhardt (2004). Combinación de sistemas de gestión basado en análisis de los procesos clave y definición elementos comunes: comprensión de las actividades productivas, planificación sistemática, implementación, control, auditoria y mejora. %% Zutshi y Sohal (2005). Condicionantes: complejidad organización, relación aspectos medioambientales con procesos clave, integración documentación sistemas calidad y medioambiental. Cultura, naturaleza y tamaño empresa condicionan el proceso. %% Zeng et al. (2006). Los factores internos y externos condicionan la implantación son: Internos: Recursos Humanos, estructura y cultura de la organización. Externos: Stakeholders, organismos certificadores y entorno institucional. Como se puede ver, no hay numerosos autores que hayan investigado acerca dela integración de los sistemas de gestión, esto puede indicar la novedad de este concepto.
Normas ISO Si quiere más información sobre las normas ISO, sus fundamentos, implantación o integración visite: https://www.isotools.org/normas/
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/09/15/sistemas-integrados-de-gestion-enfoques-metodologicos-para-la-integracion/
Los 50 EXCELENTES de ISOTools en 2014
145
VOLVER AL ÍNDICE
47
SISTEMAS DE GESTIÓN INTEGRADOS
Sistemas integrados: ¿Qué metodología de integración es la adecuada para mi organización? En artículos anteriores sobre los Sistemas de Gestión Integrados, hemos hablado del enfoque basado en los principios TQM y del enfoque sistémico. Aunque se aprecian diferencias entre ambas metodologías de integración, no son excluyentes. Las organizaciones, en la mayoría de los casos implantan sistemas de gestión basados en estándares que a su vez se encuentran fundamentados en la gestión por procesos. Por ello, lo más probable es que una organización que implante un sistema de gestión según los estándares de gestión, disponga de un mapa de procesos de su sistema. Como es obvio, las empresas persiguen certificar sus sistemas de gestión y la pueden lograr combinando las metodologías de integración a través de dos vías: %% Haciendo uso del mapa de procesos que propone el estándar de gestión y cumpliendo con los requerimientos exigidos por cada estándar. En este caso se aplican implícitamente los principios TQM. %% Elaborando un mapa de procesos de la compañía e incluyendo los requerimientos definidos pos el estándar de gestión. A través de ambas vías, es posible lograr la certificación se los sistemas de gestión con los que cuente la organización e integrar varios sistemas de gestión. Estas dos opciones consiguen resultados diferentes, la primera asegura un sistema de gestión similar al que podría tener cualquier otra organización que haya aplicado el mismo procedimiento. La simple implantación de sistemas de gestión no supondrá una ventaja competitiva en el mercado en el que desarrolla su actividad.
Los 50 EXCELENTES de ISOTools en 2014
146
VOLVER AL ÍNDICE
47 Por el contrario, la integración de dichos sistemas se permite un diseño especializado, ya que el mapa de procesos se elabora en función de la actividad de la organización y no según los requisitos de la norma. En este caso es necesario contar con un conocimiento integro sobre su desarrollo, consiguiendo identificar las oportunidades de mejora. Podemos plantear varias alternativas para lograr la integración de los sistemas, como por ejemplo a través del desarrollo de un mapa de procesos, distinguiendo diferentes ámbitos en los que englobar los procesos: %% Planificación. %% Gestión de recursos. %% Realización del producto. %% Medición, análisis y mejora. Cabe destacar que los procesos incluidos en el ámbito de la realización del producto, serán los únicos característicos de cada organización. Esto es así según el producto realizado o servicio ofrecido. Si realizamos una comparativa entre las metodologías de integración empleadas, podemos afirmar que el enfoque basado en estándares es el más fácil de implantar. Esta metodología fundamentada en los estándares hace uso de pocos recursos, pero no genera grandes beneficios ya que impide diferenciar a una organización del resto de organizaciones que hagan uso de la misma metodología Todo lo contrario ocurre en el caso de la metodología basada en los principios TQM. Debemos saber que este tipo de metodología ofrece mejores resultados, aunque precisa de mayores recursos. La decisión de qué tipo de metodología se debe emplear para llevar a cabo la integración de los sistemas de gestión de una organización, la adopta la propia empresa basándose en sus necesidades. Es importante conocer que el enfoque basado en los principios TQM, es la única metodología que permite realizar una integración completa, esto es debido a que surge de los procesos de la empresa. En función de la metodología de integración, la magnitud de los documentos requeridos será por el Sistema de Gestión Integrado será mayor o menor. El hecho de que las organizaciones se decanten por el uso de un mapa de procesos, les hace posible minimizar los procedimientos empleados. Además podemos decir que la gran mayoría de las organizaciones consiguen la integración total cuando emplean mapas de procesos. Aunque la existencia de distintos departamentos no tiene que ver con el tipo de metodología empleada, es cierto que la agrupación de los departamentos involucrados en la integración de sistemas y por lo tanto, de sus responsabilidades favorece y facilita el proceso. Por lo tanto, se puede concluir que contar con una estructura organizativa integrada favorece a alcanzar mayores niveles de integración de los sistemas de gestión. Para desarrollar correctamente la integración de sistemas, resulta básico conocer el estado de madurez del sistema. Asimismo, es necesario prestar atención a otras variables como la complejidad, alcance y riesgos asociados.
Los 50 EXCELENTES de ISOTools en 2014
147
VOLVER AL ÍNDICE
Se acaba el tiempo, ¿Ya estás actualizado?
Con este curso online aprenderás todo lo que necesitas saber sobre la inminente ISO 9001:2015
MATRICÚLATE AHORA
47 LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools. org/2014/10/24/sistemas-integrados-metodologia-de-integracion-organizacion/
Teniendo en cuenta todo esto, hay que decidir qué tipo de integración de sistemas de gestión realizar, ya que puede ser progresiva o simultánea. Para el caso de la integración simultánea, la organización integra a la vez desde el comienzo todos los sistemas de gestión involucrados: %% En un principio se produce sobre una de las áreas y posteriormente se integran el resto. %% Fomenta la integración desde el punto de vista de la alineación y/o combinación de sistemas. Esto puede originar problemas en la distribución y/ o modificación de responsabilidades. %% No requiere de un equipo multidisciplinar, ya que este puede adquirir los conocimientos necesarios de un modo progresivo. %% Existe un referente normativo para cada uno de los sistemas que se desean integrar. En el caso de gestionar una integración progresiva, la organización integra por fases los diferentes sistemas de gestión que van a participar. Su uso implica: %% Un diseño fácil del sistema de gestión integrado desde el principio, ya que establece una estructura dirigida a todas las áreas de gestión. %% Fomenta la integración total, por lo que las responsabilidades se asignan desde una perspectiva integradora. %% La necesidad de contar con un equipo multidisciplinar. %% No existe un referente normativo para la implantación de un sistema de gestión integrado. Normalmente las organizaciones realizan una integración progresiva, siempre en función de sus necesidades y de los recursos disponibles. Durante la integración progresiva de sistemas, destacamos a su vez tres secuencias de integración diferentes: %% 1-2-3: implantación de un primer sistema, seguido de un segundo y para terminar de un tercero. %% 1-1-2: En el momento inicial se hace la integración simultánea de dos sistemas y para finalizar se incorpora un tercero. %% 1-2-2: Al comienzo, tiene lugar la implantación de un sistema de gestión que concluye con la integración simultánea de dos sistemas. De las alternativas ofrecidas anteriormente, comentamos que la más habitual es la que hemos denominados como 1-2-3.
Sistemas de Gestión Integrados La integración de sistemas más común es la referida a los sistemas de gestión de calidad, medio ambiente, seguridad y salud en el trabajo y seguridad de la información según los estándares ISO 9001, ISO 14001, OHSAS 18001 e ISO 27001. En cualquier caso, el alcance de la integración de los sistemas de gestión depende en gran medida de los stakeholders de una organización. Si desea conocer más sobre la integración de sistemas no deje de visitar https://www.isotools.org/normas/sistemas-integrados/
Los 50 EXCELENTES de ISOTools en 2014
149
VOLVER AL ÍNDICE
48
SISTEMAS DE GESTIÓN INTEGRADOS
Estructura documental de los Sistemas de Gestión Integrados La relación de procedimientos escritos de un Sistema Integrado de Gestión es una de las características que permite conocer con elevada profundidad y detalle los aspectos más relevantes de dicho sistema, gracias a que contienen las actuaciones principales previstas en el mismo. Por otro lado aportan una visión de su complejidad y dimensión. En este punto es preciso diferenciar entre el alcance del Sistema de Gestión Integrado y el de los procedimientos que lo constituyen. %% Alcance de un SIG: está determinado por cada uno de los Sistemas de Gestión que lo forman. %% Alcance de un procedimiento escrito: está condicionado por los Sistemas de Gestión que la actividad gestiona. El alcance de un Sistema Integrado siempre será mayor que el de sus procedimientos escritos. Si nos detenemos en los requisitos de las normas más frecuentemente integradas, ISO 9001, ISO 14001 e OHSAS 18001, comprobaremos que la primera requiere seis procedimientos documentados, la segunda 12 y la tercera 14 procedimientos de este tipo. El número de procedimientos de un Sistema de Gestión va a depender de la complejidad de las actividades que se lleven a cabo, por tanto dependerá de la organización. Mientras que para una será suficiente con 20 procedimientos para otras estos serán escasos o demasiados. Tomando como ejemplo una organización que requiera de 30 procedimientos escritos, ¿cómo será la distribución de los mismos? Estos se pueden distribuir del siguiente modo:
Los 50 EXCELENTES de ISOTools en 2014
150
VOLVER AL ÍNDICE
48 %% 16 procedimientos para actividades integradas en las tres funciones técnicas. %% 2 procedimientos integrados en el par de actividades Calidad y Seguridad y Salud Laboral, 1 para el par Calidad y Medio Ambiente y otro para Calidad y Seguridad y Salud en el Trabajo, %% 4 procedimientos individuales para Calidad, 3 para Medio Ambiente y otros 3 para Seguridad y Salud Ocupacional. Esto no es un objetivo óptimo de la integración, es un caso utilizado a modo de ejemplo. La causa por la que para una organización le sea suficiente contar con 30 procedimientos y a otras no les baste o les vengan excesivos, es que a la hora de llevar a cabo la integración no existe un estándar de Sistema Integrado de Gestión que esté aceptado y reconocido internacionalmente. Es destacable decir que según determinados estudios, la mayoría de las organizaciones encuestadas apoyan la publicación de un estándar de este tipo en un futuro. A pesar de esta diferencia entre organizaciones en el número de procedimientos, se viene siguiendo una aplicación común en el proceso de integración de los procedimientos escritos del sistema, algunas de estas pautas comunes son: %% La tendencia de trabajo radica en elaborar un número máximo de procedimientos que cubran las tres funciones: calidad, medio ambiente y SST, y gestionar el resto de elementos de un modo individual. Se intenta reducir los procedimientos escritos que abarquen aspectos parcialmente integrados en dos de las tres funciones técnicas. %% Los procedimientos escritos de doble alcance que contienen elementos susceptibles de ser integrados corresponden a las funciones Medio ambiente y Seguridad y Salud Ocupacional. %% La función que cuenta con más procedimientos escritos individuales suele ser con mayor frecuencia Calidad. Estos aspectos que acabamos de comentar pueden decirnos que la función más difícilmente integrable es Calidad, mientras que las más afines para la integración de sus procedimientos son Medio ambiente y SST, para corroborar esto solo necesitamos fijarnos en los índices de las normas respectivas. La Plataforma Tecnológica ISOTools facilita la integración de los procedimientos escritos de los Sistemas de Gestión objetivo, posibilitando una gestión común que ahorre tiempo y dinero para la organización.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/08/11/estructura-documental-sistemas-gestion-integrados/
Los 50 EXCELENTES de ISOTools en 2014
151
VOLVER AL ÍNDICE
Miscelánea.
49
SEGURIDAD VIAL
La aplicación de la norma ISO 39001 en las empresas de transporte y logística Como hay empresas que se dedican solamente al transporte y la logística tienen un mayor riesgo de sufrir accidentes, ya que sus actividades se llevan a cabo en la carretera. La implantación de un Sistema de Gestión de Seguridad Vial basándose en la norma ISO 39001 es algo muy importante para ellas y muy beneficioso. Como ya hemos dicho estas empresas se encuentran expuestas a ciertos riegos, como pueden ser: En la conducción: %% Las condiciones del tiempo. %% Poca visibilidad. %% Etc. El estado en el que se encuentre el conductor: %% Elevada velocidad. %% Posibles distracciones al volante. %% No hacer caso a las señales. %% Consumo de alcohol, lo que genera que tenga menos reflejos. %% Sueño. El vehículo: %% Reventones de ruedas. %% Fallos de motor. %% Impacto con otro vehículo. %% Incendios.
Los 50 EXCELENTES de ISOTools en 2014
153
VOLVER AL ÍNDICE
La Gestión Ambiental se enfrenta a cambios relevantes este año.
Con este curso online aprenderás todo lo que necesitas saber sobre la NUEVA ISO 14001:2015
MATRICÚLATE AHORA
49 La implantación de la norma ISO39001 hace que las empresas puedan ver disminuidos e incluso eliminados estos factores de riesgo, ya que le permite realizar un buen uso de los sistemas de seguridad vial. El principal objetivo perseguido por la norma ISO-39001 es generar en las organizaciones logren: %% Implantar todos los posibles requerimientos para tener un buen Sistema de Gestión de Seguridad Vial. %% Tener todos los principios de la seguridad vial. Crear instrucción de cómo se debe llevar a cabo los objetivos que tengan relación con la seguridad vial. Los beneficios de estar certificado con la norma ISO 39001 y tener implantado un Sistema de Gestión de la Seguridad Vial son: %% Incremento de la calidad de vida, la seguridad vial y el confort de los empleados. %% Mayor eficacia en la calidad del transporte ofrecido a los clientes, ya que se reducen los accidentes. %% Disminución de muertes o fracturas en los empleados. %% Reducción de las averías, por lo que disminuye también los retrasos en las entregas. Aumento de la satisfacción de los clientes, por lo que hace a la empresa más competitiva. ISOTools es una Plataforma Tecnológica que facilita a las empresas la implementación y el mantenimiento de un Sistema de Gestión de Seguridad Vial en las organizaciones relacionadas con el trasporte y la logística, persiguiendo el fin de reducir o eliminar en la medida de lo posible los accidentes de tráfico.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/05/27/la-aplicacion-de-la-norma-iso-39001-en-las-empresas-detransporte-y-logistica/
Los 50 EXCELENTES de ISOTools en 2014
155
VOLVER AL ÍNDICE
50
CONTINUIDAD DE NEGOCIO
ISO 22301: Buenas prácticas para la continuidad de negocio La Gestión de la Continuidad del Negocio basada en la norma ISO22301 se centra en la adopción de buenas prácticas que minimicen los riesgos y eviten la interrupción del negocio. Hay ciertos negocios que no pueden permitirse en ningún momento que su actividad se detenga, para ello la implementación de la ISO22301 en la organización es el primer paso hacia las buenas prácticas. Entendidos en la materia redactaron la norma ISO-22301 para que sirviera de referencia en la gestión de la continuidad del negocio de las empresas. Su implementación permitirá reducir los posibles incidentes y en el caso de que estos tuviesen lugar, la organización estará siempre preparada para enfrentarse a ellos de un modo rápido y sencillo. Si la organización cumple con los requisitos establecidos en la ISO 22301, podrá operar correctamente siempre, incluso en aquellas ocasiones de interrupción. Cualquier organización, independientemente de su tamaño y actividad podrá implementar un sistema de gestión de la continuidad del negocio basado en la ISO22301. Esta norma hace uso de un lenguaje común para las organizaciones globales, sobre todo para aquellas que están incluidas en cadenas de suministro complejas. El estándar internacional ISO-22301 es una herramienta muy eficaz en las organizaciones que están expuestas a un alto nivel de riesgo y que necesitan seguir operando, por ejemplo organizaciones del sector público, de transporte, telecomunicaciones, etc.
Los 50 EXCELENTES de ISOTools en 2014
156
VOLVER AL ÍNDICE
50 La ISO 22301 permitirá: %% Implementar, mantener y mejorar continuamente los Sistemas de Continuidad de Negocio (SGCN) %% Cumplir con los requerimientos de su política de continuidad. %% Ofrecer confianza a las partes interesadas. La ISO-22301 establece los requisitos necesarios para un Sistema de Gestión de Continuidad del Negocio basándose en las buenas prácticas.
La Plataforma Tecnológica ISOTools permite automatizar la norma ISO 22301 de un modo rápido y sencillo. Además ISOTools, asegura que las organizaciones estén preparadas en todo momento a posibles riesgos y que no supongan una amenaza para el negocio.
LEE ESTE ARTÍCULO EN EL BLOG https://www.isotools.org/2014/02/05/iso-22301-buenas-practicas-para-la-continuidad-de-negocio/
Software para Sistema de Gestión de Seguridad y Salud Laboral DESCÚBRELO
Los 50 EXCELENTES de ISOTools en 2014
157
VOLVER AL ÍNDICE
¿DÓNDE ESTAMOS?
Presencia mundial, apoyo local
ISOTools Chile www.isotools.cl +56 2 2632 1376
ISOTools Colombia www.isotools.com.co +57 1 3470048
ISOTools México www.isotools.com.mx +52 5536263909
ISOTools Argentina
ISOTools Brasil
ISOTools Ecuador
ISOTools España
+54 11 4943 6310
+55 11 2677 – 4528
+593-2-2236970
+34 957 102 000
ISOTools Guatemala
ISOTools Bolivia
ISOTools Panamá
ISOTools Costa Rica
+57 1 3470048
+511 4444932
+57 1 3470048
+57 1 3470048
ISOTools Portugal
ISOTools Rep. Dominicana
ISOTools USA
ISOTools Uruguay
+351 253 273 245
+1 829 956 1217
+1 3057777950
+598 – 2623 6656
Los 50 EXCELENTES de ISOTools en 2014
ISOTools Perú www.isotools.pe +52 5536263909
158
VOLVER AL ÍNDICE
Quality & Performance Management Software
www.isotools.org (+34) 957 102 000
View more...
Comments