Une Iso 30302

norma española

UNE-ISO 30302

Noviembre 2015 TÍTULO

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Información y documentación Sistemas de gestión para los documentos Guía de implantación

Information and documentation. Management systems for records. Guidelines for implementation. Information et documentation. Systeme de management pour les records. Guide d'implementation.

CORRESPONDENCIA

Esta norma es idéntica a la Norma Internacional ISO 30302:2015.

OBSERVACIONES

ANTECEDENTES

Esta norma ha sido elaborada por el comité técnico AEN/CTN 50 Documentación cuya Secretaría desempeña FESABID.

Editada e impresa por AENOR Depósito legal: M 36488:2015

LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

 AENOR 2015 Reproducción prohibida

40 Páginas Génova, 6 28004 MADRID-España

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

[email protected] www.aenor.es

Tel.: 902 102 201 Fax: 913 104 032

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

-3-

ISO 30302:2015

Índice Prólogo...................................................................................................................................................... 5 0

Introducción ............................................................................................................................ 6

1

Objeto y campo de aplicación ................................................................................................ 7

2

Normas para consulta ............................................................................................................ 7

3

Términos y definiciones .......................................................................................................... 8

4 4.1 4.2 4.3

Contexto de la organización................................................................................................... 8 Comprensión de la organización y su contexto .................................................................... 8 Requisitos de negocio, legales y de otra índole ..................................................................... 9 Definición del alcance del SGD ............................................................................................ 10

5 5.1 5.2 5.3 5.3.1 5.3.2 5.3.3

Liderazgo ............................................................................................................................... 10 Compromiso de la dirección ................................................................................................ 10 Política ................................................................................................................................... 11 Roles organizativos, responsabilidades y competencias .................................................... 12 Generalidades ....................................................................................................................... 12 Responsabilidades de la dirección ....................................................................................... 13 Responsabilidades operativas .............................................................................................. 14

6 6.1 6.2

Planificación .......................................................................................................................... 15 Acciones para el tratamiento de riesgos y oportunidades ................................................. 15 Objetivos de gestión documental y planes para alcanzarlos ............................................. 16

7 7.1 7.2 7.3 7.4 7.5 7.5.1 7.5.2

Soporte ................................................................................................................................... 18 Recursos ................................................................................................................................ 18 Capacitación.......................................................................................................................... 18 Concienciación y formación ................................................................................................. 20 Comunicación ....................................................................................................................... 21 Documentación ..................................................................................................................... 22 Generalidades ....................................................................................................................... 22 Control de la documentación ............................................................................................... 23

8 8.1 8.2 8.3

Operación .............................................................................................................................. 24 Planificación y control de operaciones ................................................................................ 24 Diseño de los procesos de gestión documental .................................................................... 25 Implementación de las aplicaciones de gestión documental .............................................. 28

9 9.1 9.1.1 9.1.2 9.1.3 9.2 9.3

Evaluación del desempeño del SGD .................................................................................... 29 Supervisión, medición, análisis y evaluación ...................................................................... 29 Determinar qué y cómo supervisar, medir, analizar y evaluar ........................................ 29 Evaluación del desempeño de los procesos y aplicaciones de gestión documental y la efectividad del SGD. ......................................................................................................... 31 Evaluación de la efectividad ................................................................................................ 31 Sistema de auditoría interna ................................................................................................ 32 Revisión por la dirección ...................................................................................................... 33

10 10.1 10.2

Mejora ................................................................................................................................... 34 Control de las no conformidades y acciones correctivas ................................................... 34 Mejora continua.................................................................................................................... 36

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

-4-

Anexo A (Informativo)

Ejemplos de fuentes de información y requisitos para el análisis del contexto organizativo ......................................................................... 37

Bibliografía............................................................................................................................................. 40

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

-5-

ISO 30302:2015

Prólogo ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de las normas internacionales normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica. En la parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar esta norma y para su mantenimiento posterior. En particular debería tomarse nota de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Esta norma se redactó de acuerdo a las reglas editoriales de la parte 2 de las Directivas ISO/IEC. www.iso.org/directives. Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el desarrollo de esta norma se indican en la introducción y/o en la lista ISO de declaraciones de patente recibidas. www.iso.org/patents. Cualquier nombre comercial utilizado en esta norma es información a la atención de los usuarios y no constituyen una recomendación. Para obtener una explicación sobre el significado de los términos específicos de ISO y expresiones relacionadas con la evaluación de la conformidad, así como información de la adhesión de ISO a los principios de la OMC (Organización Mundial del Comercio) respecto a los obstáculos técnicos al comercio (TBT), véase la siguiente dirección: http://www.iso.org/iso/home/standards_development/resources-for-technical-work/foreword.htm. El comité responsable de esta norma es el ISO/TC 46, Información y documentación, Subcomité SC 11, Documentación. Gestión de documentos.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

0

-6-

Introducción

La Norma ISO 30302 pertenece a una serie de normas bajo el título general de Información y documentación. Sistema de gestión para los documentos: – ISO 30300, Información y documentación. Sistema de gestión para los documentos. Fundamentos y vocabulario. – ISO 30301, Información y documentación. Sistemas de gestión para los documentos. Requisitos. – ISO 30302, Información y documentación. Sistemas de gestión para los documento. Guía de implantación.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

La Norma ISO 30300 especifica la terminología para toda la serie de normas de sistemas de gestión para los documentos (SGD), y los objetivos y los beneficios de un SGD; La Norma ISO 30301 especifica los requisitos para implantar un SGD cuando una organización quiere demostrar su habilidad para crear y controlar los documentos de sus actividades durante el tiempo que los necesita; la Norma ISO 30302 proporciona una guía para la implantación de un SGD. El propósito de esta norma internacional es proporcionar una guía práctica sobre como implantar un sistema de gestión para los documentos (SGD) en una organización en consonancia con la Norma ISO 30301. Esta norma internacional abarca lo que se necesita para establecer y mantener un SGD. La implantación de un SGD se realiza generalmente como un proyecto. Un SGD se puede implementar en organizaciones que ya tienen un sistema o programa de gestión de documentos y quieren revisarlo y mejorarlo, o en organizaciones que planifican por primera vez implementar un enfoque sistemático y verificable para la creación y el control de sus documentos. Las orientaciones descritas en esta norma internacional se pueden usar en ambas situaciones. Se asume que las organizaciones que deciden implementar un SGD han realizado una evaluación preliminar de sus documentos y de sus aplicaciones de gestión documental y han identificado los riesgos a tratar y las oportunidades más importantes de mejora. Por ejemplo, la decisión de implementar un SGD puede ser una medida de reducción del riesgo cuando se afronta un cambio sustancial de plataforma tecnológica o cuando se externaliza un proceso de negocio identificado como de alto riesgo. Alternativamente, el SGD también puede proporcionar un marco normalizado de gestión para grandes mejoras, tales como la integración de los procesos documentales en procesos específicos de negocio, o la mejora del control y la gestión de los documentos de las transacciones en línea, o del uso para la organización de los medios sociales. El uso de esta guía es necesariamente flexible. Depende del tamaño, naturaleza y complejidad de la organización y del nivel de madurez del SGD, si es que ya hay uno establecido. El contexto de cada organización y su complejidad son únicos, y sus requisitos contextuales específicos conducirán a la implementación de su SGD. Las organizaciones más pequeñas encontrarán que las actividades descritas en esta norma internacional se pueden simplificar. Las organizaciones más grandes y complejas podrían encontrar que se necesita un sistema de gestión incremental o por capas para implementar y gestionar efectivamente las actividades en esta norma internacional. La guía en esta norma internacional sigue la misma estructura que la Norma ISO 30301, describiendo las actividades a llevar a cabo y cómo documentarlas para cumplir con los requisitos de la Norma ISO 30301. El capítulo 4 trata de cómo llevar a cabo el análisis que se necesita para implementar el SGD. Desde este análisis se define el alcance del SGD, y se identifica la relación entre el SGD y otros sistemas de gestión. El capítulo 5 explica cómo ganar el compromiso de la alta dirección. El compromiso se expresa en una política de gestión documental, la asignación de responsabilidades, la planificación de la implementación del SGD y la adopción de los objetivos de gestión documental. El capítulo 6 trata de la planificación, que se basa en un análisis de riesgos de alto nivel, el análisis contextual (véase el capítulo 4), y los recursos disponibles (véase el capítulo 7). El capítulo 7 describe el soporte que necesita el SGD, tal como los recursos, la capacitación, la formación y comunicación, y la documentación.

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

-7-

ISO 30302:2015

El capítulo 8 trata la definición o revisión y la planificación de los procesos de gestión documental que se van a implementar. Se definen sobre los requisitos contextuales y el alcance (véase el capítulo 4), y se basan en la política de gestión documental (véase 5.2), la apreciación del riesgo (véase 6.1) y los recursos necesarios (véase 7.1) para cumplir con los objetivos documental (véase 6.2) en la implementación planificada. El capítulo 8 explica qué procesos y aplicaciones de gestión documental se necesitan para implementar un SGD. Los capítulos 9 y 10 tratan de la evaluación del desempeño y de la mejora sobre los objetivos planificados y los requisitos definidos en la Norma ISO 30301. Esta norma internacional, para cada uno de los capítulos, del 4 al 10, de la Norma ISO 30301:2011 proporciona: a) las actividades necesarias para cumplir con los requisitos de la Norma ISO 30301- las actividades se pueden realizar secuencialmente, mientras que alguna se necesitará realizar simultáneamente partiendo del mismo análisis contextual; b) las entradas necesarias para llevar a cabo la actividad- estos son los puntos de partida, y pueden ser resultados de actividades previas; c) los resultados de cada actividad- estos son los resultados o entregables a la finalización de las actividades. Esta norma internacional está destinada a utilizarse por los responsables de liderar la implementación y mantenimiento del SGD. También puede ayudar a los directivos en la toma de decisiones para el establecimiento, alcance e implementación de sistemas de gestión en su organización. Es para utilizarse por las personas responsables de liderar la implementación y mantenimiento de un SGD. Los conceptos de cómo diseñar los procesos operacionales de gestión documental están basados en los principios establecidos por la Norma ISO 15489-1. Otras normas internacionales e informes técnicos desarrollados por el ISO/TC 46/SC11 son las herramientas principales para el diseño, implementación, seguimiento y mejora de los procesos, controles y aplicaciones de gestión documental, y pueden ser utilizados en conjunción con esta norma internacional para implementar los elementos operacionales de un SGD. Las organizaciones que ya han implementado la Norma ISO 15489-1 pueden utilizar esta norma internacional para desarrollar una infraestructura organizacional para gestionar los documentos bajo el enfoque sistemático y verificable de un SGD.

1

Objeto y campo de aplicación

Esta norma internacional proporciona una guía para la implementación de un Sistema de Gestión para los Documentos (SGD) en concordancia con la Norma ISO 30301. Esta norma internacional está destinada a utilizarse conjuntamente con las Normas ISO 30300 e ISO 30301. Esta norma internacional no modifica y/o reduce los requisitos de la Norma ISO 30301. Describe las actividades a llevar a cabo cuando se diseña e implementa un SGD. Esta norma internacional está destinada a utilizarse por las organizaciones que implementen un SGD. Es aplicable a todo tipo de organizaciones (por ejemplo empresas comerciales, agencias gubernamentales, organizaciones sin ánimo de lucro) de cualquier tamaño.

2

Normas para consulta

Los documentos indicados a continuación, en su totalidad o en parte, son normas para consulta indispensables para la aplicación de este documento. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición (incluyendo cualquier modificación de ésta). ISO 30300, Información y documentación. Sistemas de gestión para los documentos. Fundamentos y vocabulario. ISO 30301:2011, Información y documentación. Sistemas de gestión para los documentos. Requisitos.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

3

-8-

Términos y definiciones

Para los fines de este documento, se aplican los términos y definiciones incluidos en la Norma ISO 30300.

4

Contexto de la organización

4.1 Comprensión de la organización y su contexto El contexto de la organización debería determinar y encaminar la implementación y la mejora de un SGD. Los requisitos en este capítulo están enfocados a asegurar que la organización ha considerado su contexto y sus necesidades como parte de la implementación de un SGD. Estos requisitos se cumplen analizando del contexto de la organización. Este análisis se debería llevar a cabo como primer paso en la implementación para: a) identificar los factores internos y externos (véase 4.1); b) identificar los requisitos de negocio, legales y de otra índole (véase 4.2); y c) definir el alcance del SGD (véase 4.3) y la identificación de los riesgos (véase el capítulo 6). NOTA 1 Cuando el alcance del SGD lo establece la alta dirección en el momento inicial, antes de identificar los factores y la necesidad de los documentos, la extensión del análisis contextual está definido por el alcance. NOTA 2 Este enfoque de MSS para el análisis del contexto y la identificación de los requisitos, es compatible con el proceso de análisis propuesto en la Norma ISO 15489-1, que incluye también elementos de planificación (véase el capítulo 6) y de identificación de requisitos documentales (véase el capítulo 8).

La información contextual tiene que proceder de una fuente fiable, actualizada y completa. Una revisión periódica de las fuentes de esta información garantiza la rigurosidad y fiabilidad del análisis contextual. El capítulo A.1 proporciona ejemplos de fuentes de información sobre el contexto interno y externo de la organización, y ejemplos de potenciales partes interesadas. Identificando como el contexto afecta al SGD, ejemplos de factores importantes pueden ser: a) cómo un mercado competitivo afecta a la necesidad de demostrar que los procesos son eficientes; b) cómo los valores o percepciones de las partes interesadas externas afectan a las decisiones sobre la conservación de los documentos o sobre el acceso a la información; c) cómo la infraestructura tecnológica y la arquitectura de información pueden afectar a la disponibilidad de las aplicaciones de gestión documental o de los documentos; d) cómo las habilidades y conocimientos dentro de la organización pueden afectar a la necesidad de formación o asesorías externas; e) cómo los instrumentos legislativos, las políticas, las normas y los códigos afectan al diseño de los procesos y controles de gestión documental; f) cómo la cultura de la organización puede afectar al cumplimiento de los requisitos del SGD; y g) cómo la complejidad de la estructura de la organización, el entorno legislativo y de negocio puede afectar a la política, procesos y controles de gestión documental (por ejemplo en un entorno multi-jurisdiccional). Dependiendo de la organización, la identificación de los factores internos y externos se puede haber llevado a cabo con otros propósitos, incluyendo la implementación de otras normas de sistemas de gestión. En esos casos, se puede no necesitar un nuevo análisis, siendo suficiente con una adaptación.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

-9-

ISO 30302:2015

El análisis contextual es un proceso continuo. Es la base para el establecimiento y la evaluación sistemática del SGD (véase el capítulo 9) y soporta el ciclo de mejora continua (véase el capítulo 10). Resultado Uno de los requisitos de la Norma ISO 30301 es dejar constancia documental de la realización del análisis. Algunos ejemplos son los siguientes: – una lista de los factores internos y externos que hay que tener en cuenta; – un capítulo en un manual o plan de proyecto para la implementación de un SGD; – un informe formal sobre el análisis del contexto interno y externo de la organización y como afecta y es afectado por el SGD; – una serie de documentos sobre el contexto de la organización.

4.2 Requisitos de negocio, legales y de otra índole Partiendo de los resultados del análisis descrito en 4.1 como punto de partida, se evalúan los requisitos legales, de negocio y de otra índole en relación con las actividades de negocio, y se documentan. Las actividades de negocio son los primeros elementos que se analizan para identificar los requisitos que afectan a la creación y control de los documentos. En la identificación de los requisitos de negocio se debería tener en cuenta: a) la naturaleza de las actividades de la organización (por ejemplo minería, asesoría financiera, prestación de servicios públicos, fabricación, productos farmacéuticos, servicios personales, servicios comunitarios sin ánimo de lucro); b) el régimen jurídico específico o la titularidad de la organización (por ejemplo un trust, una compañía, o una organización pública); c) el sector concreto al que pertenece la organización (es decir, sector público o privado, sin ánimo de lucro); d) la jurisdicción en la cual la organización actúa.

Las actividades necesarias para determinar todos los instrumentos legales y regulatorios aplicables a la organización incluyen: a) revisar los requisitos de la legislación propia del sector; b) revisar los requisitos de la legislación sobre privacidad y gestión de documentos/datos. El capítulo A.2 proporciona ejemplos de requisitos de negocio, legales y de otra índole, relativos a la creación y control de los documentos, así como fuentes expertas que pueden ayudar en la identificación de requisitos de negocio, legales y de otra índole.

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Los requisitos de negocio se deberían identificar partiendo de los procesos de negocio en vigor y también desde la perspectiva de la planificación y desarrollo futuros. Es necesario prestar especial atención cuando la organización está implementando la automatización o digitalización de procesos. En estos casos, los requisitos pueden cambiar y es necesario debatirlos con las personas responsables del desarrollo e implementación de los nuevos procesos propuestos.

ISO 30302:2015

- 10 -

Resultado Para conseguir la conformidad con la Norma ISO 30301 es obligatorio documentar la identificación de los requisitos de negocio, legales y de otra índole. Los requisitos se pueden documentar todos juntos o en documentos independientes para cada tipo de requisito. Ejemplos de este tipo de documentación son: – un listado de los requisitos identificados por tipo (por ej. de negocio, legislativos); – un capítulo en un manual o plan de proyecto de implementación de un SGD; – un informe formal sobre identificación de requisitos para el SGD; --`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

– un listado de todas las leyes y otros instrumentos normativos u obligatorios relativos a la creación y control de los documentos a los que está sujeta la organización; – un perfil de precedentes legales (sobre asuntos concretos de interés para la organización).

4.3 Definición del alcance del SGD El alcance del SGD es una decisión de la alta dirección y delimita claramente los límites, las inclusiones y exclusiones, el papel y las relaciones de las partes que lo componen. El alcance se puede definir como resultado del análisis contextual, teniendo en cuenta los factores identificados (véase 4.1) y los requisitos (véase 4.2), pero también se puede establecer por la alta dirección desde el momento inicial antes de identificar los factores y los requisitos. El alcance incluye lo siguiente: a) la identificación de las partes o funciones de la organización que se incluyen. Puede ser toda la organización, un área o departamento, una función específica o proceso de negocio o un grupo de ellos; b) la identificación de qué partes o funciones de otras organizaciones (relacionadas) se incluyen y de la relación entre ellas; c) la descripción de cómo el SGD se integra con el sistema general de gestión y con otros sistemas de gestión específicos implementados por la organización (por ejemplo ISO 9000, ISO 14000 e ISO/IEC 27000); d) la identificación de cualquier proceso que afecte al SGD que se haya externalizado, y los controles sobre las entidades responsables de estos procesos. Resultado Documentar el alcance del SGD mediante una declaración que lo defina es un requisito del SGD. Esta declaración puede constituir un documento independiente o estar incluida en otros documentos como en la política de gestión documental (véase 5.2) o en los manuales o proyectos de implementación del SGD.

5

Liderazgo

5.1 Compromiso de la dirección El compromiso de la alta dirección para la implementación del SGD se establece tan explícitamente y con el mismo nivel de detalle que para cualquier otro sistema de gestión implementado por la organización, o para sus otros activos, por ejemplo, recursos humanos, finanzas e infraestructura. El requisito de demostrar el compromiso de la alta dirección no exige ninguna actividad concreta que llevar a cabo, pero es esencial para el éxito del SGD. Este compromiso está también implícito en otros requisitos de la Norma ISO 30301 relativos a los recursos (véase 7.1), a la comunicación (véase 7.4.) y a la revisión por la dirección (véase 9.3).

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 11 -

ISO 30302:2015

Resultado No es obligatorio documentar el compromiso de la alta dirección con el SGD, salvo en la política de gestión documental (véase 5.2), que se puede considerar como la evidencia de este compromiso. El compromiso se puede también poner de manifiesto mediante acciones o declaraciones, pero dependiendo de la naturaleza y complejidad de la organización, la evidencia del compromiso se debería documentar de otras formas, además de en la política de gestión documental. Se pueden encontrar ejemplos a continuación: – actas de las reuniones de los órganos de gobierno o Consejos de Dirección; – declaraciones en planes estratégicos y de negocio; – resoluciones y directrices de la Dirección; – presupuestos y modelos de negocio; – planes de comunicación.

5.2 Política La dirección estratégica de la organización, tal y como la haya definido la alta dirección, es la base de la política de gestión documental. La política de gestión documental la establece la alta dirección como guía para implementar y mejorar el SGD de la organización y para evaluar el rendimiento del SGD. Las directrices de la alta dirección tienen que estar recogidas en un documento formal. Normalmente, la alta dirección no redacta el documento pero éste requiere su aprobación formal, independientemente de quien sea el autor. Dependiendo de la organización, la alta dirección se puede identificar con puestos distintos, pero la política de gestión documental debería ser respaldada por la persona que ocupe el puesto que se reconoce como el más destacado. La política de gestión documental contiene directrices generales sobre la forma en que la creación y control de los documentos sirven a los objetivos de la organización y proporciona principios para actuar. Puede estar integrada dentro de una política global de gestión que implemente más de una norma de sistemas de gestión. En este caso, la política de gestión documental no requiere de una aprobación independiente por parte de la dirección. Las entradas para la política de gestión documental incluyen lo siguiente: a) el análisis del contexto de la organización e identificación de los requisitos (véase 4.1 y 4.2); b) los objetivos y estrategias de la organización; c) la influencia de la política o sus relaciones con otras políticas de la organización; d) el alcance del SGD (véase 4.3); e) la estructura y delegaciones de la organización. La política de gestión documental es una declaración de intenciones, e incluye por ejemplo: a) la finalidad; b) las directrices generales para la creación y control de documentos; c) las responsabilidades o el compromiso general para la creación y control de documentos; d) la indicación sobre cómo se va a implementar la política; y

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

- 12 -

e) las definiciones. La política de gestión documental se debería redactar de forma que todas las personas a las que afecte el SGD puedan entenderla fácilmente. En la implementación de los procesos y aplicaciones de gestión documental, algunos documentos técnicos que incluyen decisiones son llamados políticas. Cuando se implementa la Norma ISO 30301 la política de gestión documental debería ser un documento único y breve, como una declaración de la alta dirección, y que no incluye la descripción de objetivos, acciones o procesos de gestión documental. La organización puede utilizar los métodos indicados en 7.4 para comunicar la política de gestión documental. Resultado Para implementar un SGD se requiere un documento formal y autorizado de política de gestión documental. Este documento formal debería ser controlado y distribuido a lo largo de la organización. La política de gestión documental es el documento marco para todos los demás documentos desarrollados en la implementación de un SGD.

5.3 Roles organizativos, responsabilidades y competencias 5.3.1

Generalidades

Las responsabilidades y competencias de un SGD se definen y se asignan a los roles correspondientes. Se comunican en todos los niveles de la organización de forma que queda claro quién es responsable del diseño, implementación y mantenimiento del SGD. Además de la designación formal de los representantes de la dirección y operativo, que se tratan en los apartados siguientes, para implementar un SGD la alta dirección debería asignar las responsabilidades siguientes: a) el desarrollo y la aprobación de la política; b) la asignación de recursos; c) el desarrollo de procedimientos y procesos y su aprobación; d) el diseño de aplicaciones; e) la formación y orientación; f) la implementación de la política, los procedimientos y los procesos; g) la auditoria/control de la conformidad; h) la gestión de la actividad. Estas responsabilidades se pueden asignar a diferentes roles dentro de la organización. Las siguientes frases se pueden utilizar como guía para la asignación de responsabilidades: a) Corresponde a la alta dirección aprobar y apoyar la aplicación de la política de gestión documental en la organización. b) El liderazgo y la rendición de cuentas con respecto al SGD corresponde a (un rol específico dentro de) la alta dirección. c) Corresponde a los jefes de las distintas unidades garantizar que el personal de sus unidades crean y gestionan los documentos de acuerdo con la política de gestión documental.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 13 -

ISO 30302:2015

d) Corresponde a los profesionales de la gestión documental el diseño de los procesos y controles de gestión documental, la implementación y mantenimiento de las aplicaciones de gestión documental, y la formación de las personas sobre los procesos y controles de gestión documental y sobre el uso de las aplicaciones de gestión documental, en cuanto afecta a la práctica individual. e) Corresponde a los administradores de sistemas garantizar que las aplicaciones de gestión documental son fiables, seguras, conformes, completas y gestionan documentos de manera sistemática, incluyendo migración y cambios en las aplicaciones. f) Corresponde a los profesionales de las tecnologías de la información la implementación y mantenimiento de los aspectos tecnológicos necesarios para la gestión de documentos de manera continua y fiable, incluyendo la migración de las aplicaciones cuando sea necesario. g) Corresponde a todos los empleados, y se les pueden exigir responsabilidades sobre ello, crear y gestionar los documentos generados en el ejercicio de sus actividades de acuerdo con la política de gestión documental, mediante el uso de las aplicaciones de gestión documental y de los procesos y controles de gestión documental establecidos por la organización. Los requisitos incluidos en este capítulo están estrechamente relacionados con los requisitos de 7.2 y 7.3 y se deberían implementar al mismo tiempo. Resultado La asignación de responsabilidades forma parte de la información documentada requerida cuando se implementa un SGD. Se puede documentar de diferentes formas. Algunos ejemplos son los siguientes: – las responsabilidades de alto nivel reflejadas en la política de gestión documental (véase 5.2); – la documentación sobre la designación del representante de la dirección y del representante de gestión documental; – la descripción de los puestos de trabajo o declaraciones parecidas; – las delegaciones de competencias formales; – un capítulo relativo a las responsabilidades en un manual o plan de proyecto de implementación de un SGD. 5.3.2

Responsabilidades de la dirección

El rol y las responsabilidades del representante de la dirección se asignan y definen claramente. Este rol tiene la responsabilidad general de impulsar la implementación y mantenimiento del SGD. El representante de la dirección debería formar parte de la alta dirección de la organización. Dependiendo de la complejidad de la organización y del SGD que se vaya a implementar, el liderazgo se debería complementar con un representante operativo (tal y como se define en 5.3.3). Entre las responsabilidades del representante de la alta dirección se deberían incluir: a) aprobar la documentación formal relativa a la planificación, diseño, mantenimiento y evaluación del SDG y de los proyectos de SGD, cuando se requiera; b) aprobar la asignación de recursos necesarios para implementar y mantener el SGD; c) aprobar la asignación de uno o más roles para implementar y mantener el SGD. Los roles se pueden asignar a un puesto específico o a un grupo determinado en función de la complejidad y tamaño de la organización; d) promover formas de actuar acordes con el SGD mediante métodos tales como: comunicación (véase 7.4) y participación, empoderamiento, motivación y reconocimiento de los empleados y premios;

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

- 14 -

e) definir la capacitación que necesitan las personas (empleados o contratistas) a las que se han asignado roles relacionados con la implementación y mantenimiento del SGD. El alcance, naturaleza y documentación de las responsabilidades están indicados en 5.3.1. Resultado – Igual que en 5.3.1. 5.3.3

Responsabilidades operativas

Se asigna al representante operativo a responsabilidad de diseñar y dirigir las actividades necesarias para la implementación operativa y para informar a la alta dirección sobre el SGD. El representante operativo puede ser un empleado o un contratista. El representante de gestión documental a nivel operativo debería tener capacitación específica en materia de documentos como se define en 7.2. El alcance, naturaleza y documentación de responsabilidades está indicado en 5.3.1. Las tareas dirigidas por el representante de gestión documental a nivel operativo se basan principalmente en las definidas en la Norma ISO 30301:2011, capítulo 8 y anexo A. Un representante de gestión documental a nivel operativo puede coordinar las actividades de uno o más equipos SGD para implementar y mantener el SGD en el nivel operativo y acometer la mejora del desempeño. El representante de gestión documental a nivel operativo debería elevar informes, con documentación de apoyo, a la alta dirección o al representante de la dirección sobre la implementación y efectividad del SGD así como recomendaciones de mejora relativas a procesos. Los informes se pueden entregar periódicamente siguiendo un calendario preestablecido o en distintas etapas, en función de los requisitos de la organización. Los informes son documentos y se deberían gestionar siguiendo los procesos y controles de gestión documental que se indican en la Norma ISO 30301, anexo A. La relación con terceros en materia de SGD también forma parte de las responsabilidades del representante de gestión documental a nivel operativo. Entre ellas se encuentran: a) pedir opinión de expertos en legislación y normativa; b) cumplir los requisitos o directrices de los especialistas en auditoría y control de calidad; c) relacionarse y negociar con los proveedores de productos o servicios (por ejemplo, proveedores de software, consultores de implementación); y d) adquirir habilidades adicionales y asistencia de recursos humanos o tecnología de la información a través de contratistas. Los roles del representante de la dirección y del representante de gestión documental a nivel operativo pueden ser desempeñados por la misma persona o grupo dependiendo de la complejidad y tamaño de la organización y del alcance del SGD. Resultado Igual que en 5.3.1.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 15 -

6

ISO 30302:2015

Planificación

6.1 Acciones para el tratamiento de riesgos y oportunidades

El establecimiento de un SGD ayuda a las organizaciones a gestionar el efecto de una incertidumbre en sus objetivos de negocio. El fallo en la creación y control de los documentos adecuados puede crear incertidumbre, y tener un impacto negativo en la capacidad de la organización para lograr sus objetivos. El establecimiento de un SGD ayuda a las organizaciones a gestionar esta incertidumbre y su impacto. En este sentido un SGD es un tratamiento de riesgos. Las oportunidades estratégicas asociadas con el SGD se pueden considerar como los puntos positivos o fuertes que sustentan la implementación del sistema de gestión. Esto puede estar asociado con el incremento organizativo de la transparencia y la rendición de cuentas, mejorando los procesos de negocio, la eficacia y eficiencia en los costes, y el fortalecimiento de las relaciones con las partes interesadas y los clientes. Un SGD puede proporcionar la oportunidad para corregir áreas de debilidad y proteger contra amenazas generadas por los cambios en el entorno operativo o el contexto de la organización. La identificación del contexto, análisis y evaluación de este tipo de riesgos y oportunidades se realiza habitualmente antes de la decisión de implementar un SGD como parte de un marco general de gestión del riesgo. Cuando se implementa un SGD las incertidumbres sobre cómo alcanzar los objetivos son los riesgos a identificar. La apreciación del riesgo puede proporcionar oportunidades para mejorar los procesos de negocio y tener una influencia positiva en los objetivos. El propósito de los requisitos de este apartado es abordar la evaluación de aquellos riesgos y oportunidades relacionados con los objetivos del SGD. Esto forma parte de la planificación del SGD. Las organizaciones pueden decidir la metodología de gestión del riesgo que van a usar y cómo identifican y ponen en marcha las acciones para mitigarlo. Además, también existen riesgos relacionados con los documentos mismos y las aplicaciones de gestión documental en las que residen. Estos son riesgos operacionales, y deberían ser evaluados durante la planificación operativa (véase 8.1). Según la naturaleza de los riesgos y oportunidades se necesitan diferentes tipos y niveles de tratamiento y acciones. El factor determinante clave es si los riesgos y oportunidades se relacionan con los objetivos del SGD o con su naturaleza operativa. Aunque los requisitos para ambos se encuentran en diferentes apartados de la Norma ISO 30301, su apreciación se puede abordar como una actividad única. Cuando una organización haya establecido un marco formal de gestión del riesgo, la planificación del SGD debería estar incluida en los procesos de identificación, análisis y evaluación del riesgo de ese marco. En la planificación estratégica del SGD se necesitan considerar aquellas áreas de incertidumbre, que pudieran constituir riesgos. Éstas pueden incluir lo siguiente: a) cambios contextuales, como los cambios legales y regulatorios, cambios en el entorno económico y político, cambios estructurales; b) sistemas y procesos involucrados en la creación y control de la evidencia para apoyar el logro de la misión y metas de la organización; c) recursos humanos y habilidades para implementar y mantener el SGD; d) implicaciones y cambios presupuestarios o financieros;

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Este capítulo se centra en la planificación alrededor de los riesgos estratégicos asociados al aseguramiento de que el SGD alcance los resultados previstos. La implementación exitosa de un SGD requiere que los riesgos sean identificados, analizados y evaluados como parte de la planificación de la implementación del SGD. El análisis de los factores (véase 4.1) y requisitos (véase 4.2) se debería realizar conjuntamente con una apreciación de riesgos. Esta se usa para definir los objetivos de gestión documental (véase 6.2) e identificar qué acciones se necesitan para alcanzar estos objetivos. Estas acciones se incorporan a los procesos del SGD (véase el capítulo 8).

ISO 30302:2015

- 16 -

e) medición y evaluación de los logros de las políticas, objetivos y estrategias; f) relaciones con otros sistemas de gestión ya implementados. La identificación de riesgos y oportunidades estratégicos y la formulación de los objetivos de gestión documental se pueden influenciar mutuamente Por lo tanto, no se tratan como una línea secuencial de acciones. La identificación del riesgo en este nivel debería estar enlazada con el SDG en general o con un objetivo específico. Por ejemplo, los riesgos relacionados con los “recursos humanos y habilidades” mencionados anteriormente como un área de incertidumbre, pueden estar relacionados con el SDG mismo o con los objetivos de gestión documental. Con el SDG mismo, el riesgo podría ser que los gestores malinterpretaran el propósito del sistema de gestión y su potencial impacto en los procesos y objetivos de negocio, focalizándose únicamente en los procesos de certificación asociados con la implementación del SDG. Por ejemplo, si un objetivo de gestión documental establece la necesidad de un sistema específico para capturar documentos electrónicos en procesos relacionados con clientes, un riesgo es la resistencia al cambio de los empleados usando tecnologías alternativas (por ejemplo, reteniendo documentos que contienen decisiones de negocio en el correo electrónico en lugar de usar el sistema diseñado para guardar este tipo de documentos). Las acciones que tratan los riesgos y oportunidades son específicas para cada organización. Son también específicas por cada riesgo u oportunidad identificados. Se deberían incluir en las acciones para alcanzar los objetivos y en el diseño de los procesos de gestión documental. Resultado No hay un requisito específico para documentar este aspecto en el proceso de planificación. El enfoque del riesgo se puede incluir en los planes para alcanzar los objetivos (véase 6.2), o documentar como una parte separada de la planificación. Ejemplos: – cualquier resultado de la aplicación de herramientas de apreciación del riesgo (en la Norma ISO 31010, en el anexo B se incluye una gama de tales herramientas y en el Informe Técnico ISO/TR 18128 se incluyen algunos ejemplos); y – documentación de las acciones a seguir para el tratamiento de riesgos y oportunidades.

6.2 Objetivos de gestión documental y planes para alcanzarlos Los objetivos de implementación de un SDG, u objetivos de gestión documental, se definen de acuerdo con el contexto de la organización, los requisitos y las prioridades. Se identifican las acciones para lograrlos y los objetivos y el plan se comunican a través de la organización de acuerdo con el alcance del SGD. Los resultados de la definición de los objetivos de gestión documental incluyen: a) el análisis de contexto de la organización e identificación de requisitos (véase el capítulo 4); b) la política de gestión documental (véase 5.2); c) el análisis del riesgo y las acciones y áreas prioritarias identificadas para abordar estos riesgos (véase 6.1); y d) la revisión de los procesos de gestión documental existentes. Los objetivos de gestión documental son específicos para cada organización (basados en el análisis contextual (véase el capítulo 4) y el análisis del riesgo (véase 6.1)), alineados con sus metas y estrategias, y capaces de medirse.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 17 -

ISO 30302:2015

Cuando se definen los objetivos de gestión documental la organización debería tomar en consideración la adecuación de los documentos y las aplicaciones de gestión documental que han sido revisados, los riesgos identificados que tienen prioridad para el tratamiento, y las áreas clave para la mejora en las que la organización puede ganar mayor beneficio. Los cambios en el contexto organizativo (por ejemplo, los cambios legislativos), en la política de gestión documental, en la apreciación del riesgo o los resultados de la evaluación del desempeño, requieren revisar los objetivos de gestión documental para actualizarlos o modificarlos si es necesario. Los objetivos de gestión documental se deberían comunicar usando métodos del 7.4. Se identificarán las acciones para alcanzar los objetivos de gestión documental. Cada objetivo se puede relacionar con una o más acciones. Las acciones identificadas se necesitan planificar: a) definiendo qué resultados se espera de estas acciones; b) identificando dónde, cuándo, cómo y por quién se llevan o se deberían llevar a cabo las acciones; --`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

c) las acciones para lograr los objetivos de gestión documental se pueden planificar utilizando unas metodologías formales de gestión de proyectos, o planes documentados de proyecto o acción más informales, dependiendo de las necesidades, contexto, tamaño y complejidad de la organización, así como de la naturaleza de las propias acciones. Esto puede resultar en uno o más planes de proyecto en función del tamaño y complejidad de las acciones. El control de los cambios planificados se puede hacer mediante la presentación formal de informes de proyecto, mediante un proceso de solicitud de cambio dentro de la planificación y supervisión, o mediante el rediseño de procedimientos. El proceso de planificación se puede articular en un caso de negocio que incluya las prioridades y objetivos para implementar un SGD. Esto podría incluir: a) el alcance del SGD (véase 4.3); b) los riesgos sobre los que actuará el SGD; c) los objetivos y planes; d) las prioridades y plazos en relación con las tareas específicas para el logro de los objetivos; e) las responsabilidades que se asignen a personas específicas; f) las dependencias del proyecto; g) los requisitos adicionales de recursos humanos y habilidades; h) los requisitos de otros recursos; i) los métodos para evaluar el resultado de la acción realizada. La fase de planificación permite a la organización entender la relevancia del SGD, y clarifica los roles y responsabilidades dentro de la organización necesarios para un proyecto del SGD. Resultado La creación de información documentada acerca de los objetivos de gestión documental es un requisito del SGD, pero no se requiere un formato o documento específico. Los ejemplos incluyen lo siguiente: – un documento con los objetivos específicos de gestión documental;

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

- 18 -

– una aprobación y compromiso documentados de la alta dirección, para implementar un SGD; – un caso de negocio o equivalente; – uno o más planes de proyecto SGD con hitos clave.

7

Soporte

7.1 Recursos La planificación para la implementación y mantenimiento del SGD (véase el capítulo 6) incluye la evaluación del tipo y cantidad de recursos necesarios, seguida por el compromiso de la alta dirección para la asignación de esos recursos por el tiempo que se necesiten. Los recursos se pueden asignar por diferentes periodos dependiendo del alcance de las actividades a realizar, y para asegurar que el mantenimiento del SGD llega a formar parte de los procesos de negocios habituales. Los recursos pueden ser temporales o permanentes, externos o internos. Los recursos que se requieren para el diseño, implementación y mantenimiento del SGD pueden incluir lo siguiente: a) recursos humanos – número, niveles y habilidades apropiados; b) un entorno TIC adecuado a las necesidades de la organización para los procesos y controles de gestión documental; c) recursos financieros; d) instalaciones y logística, por ejemplo, para acomodar a empleados adicionales (si se necesitan). Se deberían establecer acuerdos formales con las personas u organizaciones que suministren y contraten sus servicios a la organización en relación al diseño, implementación y mantenimiento del SGD. Tales acuerdos pueden incluir: – la definición de responsabilidades; – los requisitos para competencias específicas; – la sostenibilidad del suministro de los servicios; – las disposiciones transitorias relativas a la finalización del período del contrato del proveedor. Resultado La asignación de recursos es parte del compromiso de la alta dirección, pero no hay un requisito específico para guardar información documentada específica. Los documentos habituales que pueden demostrarla son presupuestos, organigramas, asignación de responsabilidades, inventarios de sistemas, instalaciones y demás infraestructura requeridas por el SGD; o contratos (por ejemplo, para los servicios de proveedores externos).

7.2 Capacitación Las personas necesitan estar capacitadas para llevar a cabo los roles asignados en el SGD. Esto supone definir qué competencias se requieren, adquirir personal o contratistas con la adecuada capacitación y asegurar que las competencias se mantienen apropiadas a los roles. Las capacidades que se requieren para los roles operacionales variarán dependiendo del tamaño y complejidad de la organización, y de los roles y actividades a realizar.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 19 -

ISO 30302:2015

Las capacidades que se requieren típicamente para el representante operativo del sistema de gestión documental pueden incluir lo siguiente: a) cualificaciones en el área de la gestión de la información; b) gestión de proyectos incluyendo planificación, supervisión y realización de informes; c) gestión de personal, contratistas y equipos; d) desarrollo de técnicas para la participación de las partes interesadas; e) evaluación del desempeño organizativo en un área específica y desarrollo de recomendaciones para el cambio o mejoras. Las capacidades requeridas para las personas responsables del diseño e implementación de los procesos y controles de gestión documental se definirán en diferentes niveles dependiendo de su rol. Las áreas habituales de competencia incluyen lo siguiente:

b) establecimiento de procedimientos, herramientas y métodos para el control y mantenimiento de los documentos; c) desarrollo e implementación de las reglas de acceso; d) diseño e implementación de sistemas para soportar los procesos de gestión documental; e) determinación de los procedimientos de disposición de los documentos, reglas e implementación de la disposición; f) mantenimiento de las aplicaciones de gestión de documentos. Los criterios de capacidad aplican tanto a los empleados de la organización cómo a cualquier empleado contratado o temporal que trabaje en nombre de la organización. Después de determinar qué habilidades se requieren para implementar un SGD y los procesos y aplicaciones de gestión documental, se pueden desarrollar declaraciones de responsabilidad o descripciones de puestos de trabajo que incluyen estas capacidades. La evaluación de la experiencia, cualificaciones y habilidades del personal actual contra las declaraciones de responsabilidad o las descripciones de puestos de trabajo descubren las lagunas a cubrir y las acciones a tomar para adquirir las capacidades. Esto puede resultar en: a) formación o tutorización de los empleados existentes; b) reasignación de empleados; c) contratación de nuevos empleados; d) adquisición de empleados por contrato. Las acciones tomadas para la adquisición de la capacidad necesaria pueden ser evaluada por: – evaluaciones de desempeño individual contra los criterios acordados; y – resultados de la evaluación del desempeño del SGD (véase el capítulo 9).

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

a) análisis del contexto y los requisitos;

ISO 30302:2015

- 20 -

Resultado La Norma ISO 30301 requiere la evidencia de las capacidades de las personas asignadas a los diferentes roles. Los resultados obligatorios son tanto los documentos que demuestran las habilidades, educación o formación del personal, como una definición de las habilidades y capacidades por cada puesto de trabajo.

7.3 Concienciación y formación La concienciación sobre la política, objetivos y requisitos del SGD, y para que los empleados entiendan sus roles y responsabilidades en el logro de la conformidad con el SGD requiere de la definición de estrategias. Estas se realizan a través de diversos programas y métodos de formación y concienciación que se pueden incorporar a los programas existentes. Las estrategias para la formación y concienciación pueden incluir lo siguiente: a) programas introductorios para el personal; b) programas de formación formales y estructurados; c) sesiones informativas a los gestores y empleados, por ejemplo, como parte de las reuniones de empleados; d) reconocimiento o recompensas financieras o en especie; e) formación para la actualización de aspectos específicos del SGD y de aspectos operacionales de los controles y procesos de gestión documental; f) técnicas de comunicación listadas en el 7.4. La formación se puede realizar de formas variadas para adaptarse a las necesidades de la organización, y puede incluir: a) formación presencial; b) formación online; c) formación individualizada, por ejemplo a los directores de gestión. Resultado En la implementación de los requisitos de este capítulo no existe un requisito de información documentada específica. La implementación de un programa de formación se puede demostrar de diversas formas. Los siguientes resultados son ejemplos que variarán dependiendo del tamaño y complejidad de la organización, y del contenido del programa de formación y concienciación: – diseño conceptual del programa; – plan de formación; – plan administrativo; – plan de evaluación del programa;

– materiales de formación, que incluyen las notas de los tutores y los materiales para los participantes;

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

– contenido del programa;

- 21 -

ISO 30302:2015

– evaluación del programa; – listas de asistencia.

Los procedimientos y métodos de comunicación se desarrollan para garantizar la implementación efectiva, y el cumplimiento de los requisitos del SGD. En el desarrollo de este tipo de procedimientos y métodos es importante identificar los diferentes públicos o grupos de destinatarios. Se pueden necesitar diferentes mensajes y métodos de comunicación para los diferentes públicos. La comunicación sobre el SGD se puede incorporar en las estrategias de comunicación ya existentes. Los procedimientos de comunicación sobre el SGD deberían incluir lo siguiente: a) el alcance de la comunicación y resumen de contenido; b) los métodos de comunicación; c) las responsabilidades de la comunicación; d) los métodos para evaluar la eficacia de la comunicación. El contenido de la comunicación sobre el SGD debería incluir lo siguiente: a) el propósito del SGD; b) los beneficios de implementar un SGD; c) los roles y responsabilidades; d) la localización y el acceso a la documentación sobre el SGD, incluyendo los elementos operativos; e) el contenido de los procedimientos operativos relacionados con los procesos, controles y aplicaciones de gestión de documental; f) los recursos de asistencia en el cumplimiento de la política de gestión documental los objetivos y los elementos operativos (por ejemplo, servicios de soporte a las aplicaciones de gestión documental). Ejemplos de métodos de comunicación interna incluyen los siguientes: – actividades promocionales tales como: noticias en la intranet, carteles, concursos y premios; – responsables de departamento, es decir líderes de la organización que promuevan el mensaje SGD; – sesiones informativas en las reuniones regulares de las unidades de negocio; – boletines y tablones de anuncios. La organización necesita decidir si comunica o no a entidades externas sobre el SGD, su política y objetivos. Esta acción requiere de una buena comprensión sobre quiénes son los grupos de interés externos, la naturaleza de su interés en la organización y su efecto real o potencial sobre la aplicación y sostenibilidad del SGD (véase 4.1). Por ejemplo, puede ser importante comunicarse con las entidades que forman parte de la cadena de suministro de la organización para lograr resultados consistentes y sostenibles sobre los procesos y controles de gestión de documentos dentro del SGD o, cuando se comparten procesos de negocio, otra entidad o entidades pueden requerir el acceso directo a algunas de las aplicaciones de gestión documental de la organización.

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

7.4 Comunicación

ISO 30302:2015

- 22 -

La organización puede elegir cómo documentar la comunicación acerca de la política de gestión documental, los objetivos y los procedimientos operativos con otras entidades en función de la relación y la influencia de estas entidades en el SGD. Sin embargo, cuando las entidades externas interactúan con los procesos de negocio de la organización, la comunicación debería abarcar sus respectivos roles, derechos y condiciones para los procesos de gestión documental afectados, y para el control y uso de las aplicaciones de gestión documental. Resultado Es obligatorio desarrollar un procedimiento documentado sobre comunicación interna cuando se implanta la Norma ISO 30301. Si la organización decide comunicar externamente aspectos sobre su SGD, se necesita un procedimiento de comunicación externa o bien incluir la comunicación interna y externa en un procedimiento general de comunicación. Mensajes o evidencias de la comunicación y la decisión documentada de comunicar o no externamente aspectos relacionados con el SGD son resultados adicionales en la implantación de este requisito.

7.5 Documentación 7.5.1

Generalidades

Para describir los elementos básicos del SGD y sus interrelaciones se establece y se mantiene documentación. Esto incluye la definición de la estructura, el formato, los elementos y sistema de control tanto de la documentación que describe el SGD, como de la que se deriva de los procesos y controles del SGD. La documentación de planificación, operación y control de los procesos del SGD depende del tamaño de la organización y del alcance del SGD. La Norma ISO 30301 establece la documentación mínima requerida para la implementación de un SGD, pero las organizaciones pueden generar documentación adicional en caso de que sea necesario para garantizar una planificación, operación y control eficaces del SGD. La documentación requerida para implantar la Norma ISO 30301 está identificada y explicada en cada capítulo de la misma. Los documentos específicos, como la política o los procedimientos, se identifican como requisitos. Otros requisitos de documentación se presentan sin definir un tipo específico de documento, por lo que se pueden cumplir de diferentes maneras. El apartado 7.5.1 de la Norma ISO 30301 puede servir para verificar los requisitos de documentación de otros capítulos. La tabla 1 muestra la documentación que se requiere en otros apartados. Tabla 1 – Requisitos de Documentación Apartado ISO 30301

Requisito de Documentación

Documento especificado

Factores externos e internos

4.1

No especificado

Requisitos de negocio, legales o de otra índole

4.2

No especificado

Alcance del SGD

4.3

No especificado

Interdependencia y relaciones entre el SGD y otros sistemas de 4.3 gestión

No especificado

Política de gestión documental

5.2

Política

Roles y responsabilidades

5.3

No especificado

Evaluación de riesgos

6.1

No especificado

Objetivos de gestión documental y planes para alcanzarlos

6.2

No especificado

Capacitación

7.2

No especificado

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 23 -

ISO 30302:2015

Apartado ISO 30301

Requisito de Documentación

Documento especificado

Comunicación interna

7.4

Procedimiento

Comunicación externa (condicional)

7.4

Procedimiento

Control de la documentación

7.5.2

Procedimiento

Diseño de los procesos de gestión documental

8.1

No especificado

Procesos de control de documentos

8.1

No especificado

Evaluación del desempeño

9.1

No especificado

Auditoría interna

9.2

Programa de auditorías

No conformidades y acciones correctivas

10.1

No especificado

Identificación de documentos

A.1.1

No especificado

Requisitos de documentación

A.1.1, A.1.2, A.1.3, No especificado A.2.1

Retención de documentos

A.1.1

Procedimiento Calendario de conservación

Métodos de captura de documentos

A.1.1

No especificado

Identificar los momentos de captura

A.1.2.2

Procedimiento de los procesos de trabajo

Seleccionar la tecnología o los cambios

A.1.4

No especificado

Registro (condicional)

A.2.1

Procedimiento

Clasificación

A.2.1

Cuadro de Clasificación

Historial de eventos

A.2.1

Procedimiento

Acceso

A.2.2

Access rules

Integridad, Autenticidad y Usabilidad

A.2.3

Procedimiento

Disposición

A.2.4

Procedimiento

Transferencias y eliminación

A.2.4

Procedimiento

Aplicaciones de gestión documental

A.2.5.1

Inventario de aplicaciones de gestión documental

Documentar las decisiones de implementación

A.2.5.2

No especificado

Asegurar la disponibilidad y la integridad de las aplicaciones de A.2.5.4 y A.2.5.6 gestión documental --`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

7.5.2

Procedimiento

Control de la documentación

Se establece y mantiene un procedimiento para el control de la documentación del SGD. El procedimiento debería establecer los diferentes niveles de documentación, directrices para nombrar y codificar los documentos, y los roles y responsabilidades para la redacción, revisión y aprobación de la misma. Se pueden establecer formularios o plantillas para cualquier tipo de documentación.

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

- 24 -

La documentación requerida por el SGD (véase 7.5.1) y que se genera a partir del diseño, la implementación y el mantenimiento de los procesos y controles de gestión documental se gestiona mediante los procesos y controles del anexo A de la Norma ISO 30301. Además de los controles de gestión documental, la documentación se actualiza mediante el control de versiones y se debería seguir los procedimientos de comunicación y de distribución establecidos en el apartado 7.4. Las normas internacionales y los informes técnicos del ISO/TC 46/SC 11 contienen recursos adicionales para la orientación sobre el diseño e implementación de un rango de procesos y controles de gestión documental. Cuando la organización haya puesto en marcha otras normas de sistemas de gestión (MSS), la documentación debería estar alineada y los procedimientos de gestión documental deberían ser comunes a los dos o más sistemas de gestión. Resultado Procedimiento de control de la documentación.

8

Operación

8.1 Planificación y control de operaciones Las organizaciones definen, planifican e implementan los procesos y aplicaciones de gestión documental para cumplir con los objetivos de gestión documental (véase 6.2), los cuales incluyen acciones para el tratamiento de los riesgos y oportunidades identificados en el apartado 6.1. La mayoría de las organizaciones que implanten un SGD tendrán documentos, procesos y aplicaciones de gestión documental que deberían revisarse utilizando los procedimientos del SGD descritos más abajo y evaluados en relación con los procesos y controles de gestión documental descritos en el anexo A de la Norma ISO 30301. La revisión de los documentos, los procesos y las aplicaciones de gestión documental existentes contribuirá a la definición de objetivos y a la planificación y el control de operaciones. Los procesos y aplicaciones de gestión documental necesarios se definen y se planifican. La organización planifica el funcionamiento del SGD mediante la definición de los procesos y aplicaciones de gestión documental a implantar, el establecimiento de criterios para el desempeño de dichos procesos, y la descripción (al nivel de detalle necesario) de las actividades, resultados, personas y aplicaciones involucrados. En la definición de los procesos de gestión documental es necesario identificar qué tipo de controles son necesarios para demostrar que cada proceso es implantado tal como estaba planificado. Las entradas para la planificación y el control de operaciones son el análisis de los riesgos y oportunidades de mejora, y las acciones para tratar esos riesgos y oportunidades (véase 6.1). Los procesos operativos para la creación y el control de documentos en línea con las necesidades específicas de la organización se implantan de acuerdo a los requisitos del anexo A de la Norma ISO 30301. Se pueden utilizar como guía para el diseño e implementación de estos procesos las normas internacionales e informes técnicos de ISO/TC 46/SC 11. Los requisitos de este apartado se deberían considerar junto con los requisitos de los apartados 8.2 y 8.3. Cuando haya procesos de negocio o procesos de gestión documental externalizados, la Norma ISO 30301 requiere explícitamente un control sobre dichos procesos. Los controles se deberían especificar y documentar en contratos con los proveedores externos. Los procesos realizados por proveedores externos están sujetos a la misma evaluación del desempeño que cualquier otro proceso del SGD, de conformidad con el capítulo 9. Resultado No hay un documento específico para este capítulo. Los resultados se incluyen en el apartado 8.2.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 25 -

ISO 30302:2015

8.2 Diseño de los procesos de gestión documental El diseño de los procesos y controles de gestión documental implican la revisión de los procesos de gestión documental existentes o el diseño de nuevos procesos. Tanto la revisión como el diseño de nuevos procesos se basan en un análisis de los procesos de trabajo de la organización y se diseñan para cumplir los objetivos de gestión documental. El diseño de los procesos de gestión documental y la tecnología a utilizar varían en alcance y complejidad dependiendo del análisis del contexto, la evaluación de riesgos, los requisitos de los procesos de negocio, el tamaño y la naturaleza de la organización (véase 4.1 y 4.2), y la criticidad de las actividades de negocio que soportan. Del mismo modo que los riesgos y oportunidades identificados a nivel del SGD, la evaluación y tratamiento de riesgos de los procesos de gestión documental deberían incluirse en el análisis previo al diseño de los procesos nuevos o mejorados. Además de los requisitos del apartado 8.1 de la Norma ISO 30301 para el diseño de los procesos de gestión documental, esta establece un proceso de diseño que incluye: a) el análisis de los procesos de trabajo como base para el diseño de los procesos de gestión documental. Los procesos de trabajo se analizan para determinar la necesidad de información (Norma ISO 30301, anexo A) y para entender cómo implantar los requisitos de creación y control de documentos, definidos en el anexo A. El Informe Técnico ISO/TR 26122 proporciona orientación sobre la realización del análisis de los procesos de trabajo. b) la evaluación de los riesgos derivados de la operación de los procesos de gestión documental y cómo afectan éstos en la creación de documentos auténticos, fiables y usables en los procesos de negocio de la organización. El Informe Técnico ISO/TR 18128 proporciona orientación sobre la evaluación de los riesgos relacionados con los procesos de gestión documental.

Los controles del anexo A de la Norma ISO 30301 se deberían utilizar para demostrar que los procesos de gestión documental, tal como están diseñados, son apropiados para los procesos de negocio. El cumplimiento de los requisitos del anexo A de la Norma ISO 30301 no significa que los procesos de gestión documental deban ser implantados de la misma manera en todas las organizaciones. Cuando los procesos de gestión documental, vinculados con los requisitos específicos estipulados en el anexo A de la Norma ISO 30301, no son adecuados para una organización, no es obligatorio implementarlos todos y cumplir con los requisitos asociados. Sin embargo, las razones que justifican la decisión deberían ser identificadas y documentadas como parte del diseño de los procesos de gestión documental. Para los procesos de gestión documental que son externalizados o subcontratados, se deberían establecer controles que pueden incluir contratos, acuerdos de nivel de servicio, informes y requisitos de documentación. Para diseñar procesos de gestión documental que cumplan con los requisitos de la Norma ISO 30301, se pueden utilizar los siguientes indicadores para determinar que se cumplen esos requisitos. Los puntos del 1 al 4 son indicadores relativos a la creación y captura de documentos. Los puntos del 5 al 8 son indicadores relativos a los procesos de control, como se indica en el anexo A de la Norma ISO 30301. Las referencias entre paréntesis se refieren al anexo A de la Norma ISO 30301. NOTA Las normas internacionales y los informes técnicos desarrollados por el ISO/TC 46/SC 11 proporcionan orientación detallada sobre la realización de la revisión y diseño de procesos y controles de gestión documental.

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Los requisitos para el diseño y la implantación de procesos de gestión documental establecidos por la Norma ISO 30301 se enumeran en el anexo A. La Norma ISO 15489-1 ofrece más información sobre las características de los procesos de gestión documental y los conceptos clave para su implantación.

ISO 30302:2015

- 26 -

1) La organización ha determinado qué documentos, cuándo y cómo deben ser creados y capturados para cada proceso de negocio (A.1.1). De acuerdo con el alcance de la SGD, los objetivos de gestión documentales y la implementación de los planes para alcanzarlos, la organización ha establecido un proceso sistemático para analizar los requisitos de creación y de control de documentos para cada proceso de negocio. Este análisis se puede llevar a cabo de la manera que la organización determine, pero los resultados necesitan ser documentados. Ejemplos de cómo se puede realizar y documentar este análisis son: i) diagramas de flujo de los procesos de negocio, indicando los momentos de creación de documentos, ii) una lista de los documentos para cada proceso de negocio, y iii) una descripción amplia de los documentos derivados de los procesos de negocio, documentada en los procedimientos para cada proceso de negocio. Mediante el mismo análisis, la organización ha establecido los períodos de retención de los documentos. Estos se documentan en un procedimiento específico que describe cómo se realiza este análisis. El procedimiento de análisis de la disposición asegura que todos los requisitos legales, de negocio y otros posibles se tienen en cuenta, y que las personas adecuadas aprueban las decisiones tomadas. Los resultados del análisis se documentan en el calendario de conservación vinculado a un proceso de negocio específico o a un grupo de procesos. Los procesos de creación de documentos se pueden diseñar por la organización desde diferentes perspectivas. Los requisitos de la Norma ISO 30301 establecen los procesos necesarios para garantizar que los documentos se crean en el momento de la acción/operación que documentan, por la persona o instrumento apropiado, y que son capturados usando el método más apropiado. Los métodos de captura de documentos forman parte de la información documentada. 2) La organización ha determinado la información sobre el contenido, contexto y control (metadatos) que se debe incluir en los documentos (A.1.2). Los documentos son capturados junto con información descriptiva y contextual que les permite identificarse y ser comprendidos por personas distintas al productor o por personas externas a los procesos de negocio. La Norma ISO 30301 no define la información que se captura, a excepción de la identificación del área de la organización responsable de los documentos. Sin embargo, es un requisito documentar los momentos de captura de esta información descriptiva para cada proceso de trabajo. Esta información puede ser incluida en el resultado del análisis para cada proceso de negocio (A.1.1).

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Dependiendo del sector, el tamaño y la complejidad de la organización, la información que se captura se puede predefinir en esquemas de metadatos. La Norma ISO 23081-2 proporciona orientación sobre los esquemas de metadatos para gestión documental. Cuando existan esquemas de metadatos, éstos incluirán la información de control a la que hace referencia el apartado A.2.1 de la Norma ISO 30301. 3) La organización ha decidido en qué forma y estructura se deben crear y capturar los documentos (A.1.3). La identificación de los documentos a crear (A.1.1) incluye su forma y estructura. Este proceso se debería documentar para cada proceso de negocio. 4) La organización ha determinado las tecnologías apropiadas para crear y capturar documentos (A.1.4). La identificación de los documentos a crear (A.1.1) incluye las decisiones acerca de las tecnologías a utilizar para crear y capturar dichos documentos. Esto se debería documentar para cada proceso de negocio. En organizaciones pequeñas con una función simple y un reducido número de empleados, el requisito se puede cumplir mediante la documentación de la decisión de crear documentos en papel o en sistemas automatizados y la selección de la aplicación informática a utilizar.

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 27 -

ISO 30302:2015

5) La organización ha determinado qué información de control (metadatos) se debe crear en los procesos de gestión de documentos y cómo se vinculará con los documentos y gestionará a lo largo del tiempo (A.2.1). El diseño de los procesos de gestión de documentos necesarios para el control y la gestión de los documentos durante el tiempo que sea necesario incluye agrupar los documentos de acuerdo con los procesos de trabajo con los que estén relacionados. Para poder hacerlo, una organización dispone de un esquema de agrupaciones, formal y documentado, llamado cuadro de clasificación. Cualquier cambio en los procesos de negocio se reflejará en el cuadro de clasificación. Cuando sea necesario, se diseña un proceso formal de identificación única para cada documento, y se necesita un procedimiento documentado. La información generada por estos procesos de gestión de documentos está vinculada a los documentos como información de control. La organización decide cómo gestionar esta información de control, por ejemplo, utilizando un esquema de metadatos predefinido. --`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

En organizaciones pequeñas, este requisito se puede cumplir mediante la documentación de la decisión de crear y mantener los documentos en grupos de acuerdo con la actividad de negocio en la aplicación informática seleccionada, o en sistemas basados en papel mediante los medios de almacenamiento y mediante la documentación de las instrucciones pertinentes dadas a los empleados.

6) La organización ha establecido reglas y condiciones para el uso de los documentos a lo largo del tiempo (A.2.2). La definición de procesos de acceso a los documentos requiere analizar el uso de los documentos e identificar los permisos de uso y acceso correspondientes. Las reglas de acceso están definidas y documentadas, incluyendo cualquier normativa de obligatorio cumplimiento. Las reglas se implantan, definiendo roles y permisos para ver o utilizar los documentos e implementando dichas normas en los sistemas que gestionan los documentos. 7) La organización ha determinado el modo de mantener la usabilidad de los documentos a lo largo del tiempo (A.2.3). La usabilidad de los documentos a lo largo del tiempo es particularmente importante para los documentos electrónicos. El diseño y la implementación de este proceso (para documentos en cualquier formato) deberían cubrir los aspectos de seguridad, como la prevención del uso no autorizado, la modificación, la eliminación, la ocultación y/o la destrucción. En las organizaciones que implementen la Norma ISO/IEC 27001, los requisitos de seguridad pueden haber sido ya cubiertos. La Norma ISO 30301 establece los requisitos para el proceso de conservación. Esto incluye el uso de las normas relevantes sobre los medios y la tecnología, y un procedimiento para verificar periódicamente el mantenimiento de la usabilidad. Cuando se utilice el cifrado por motivos de seguridad, se determinan y documentan los límites de tiempo para dichas restricciones y los métodos para desencriptar los documentos. 8) La organización ha implementado la disposición/eliminación autorizada de documentos (A.2.4). El diseño de los procesos para la disposición de los documentos de acuerdo a la Norma ISO 30301 incluye el establecimiento de procedimientos para gestionar la disposición de dichos documentos, incluyendo la asignación de períodos de retención a los documentos, la autorización y la implementación de las decisiones de disposición. La disposición puede incluir la transferencia a otras organizaciones cuando sea necesario, la eliminación o el cambio de ubicación y la destrucción. La acción de destruir es supervisada y documentada, y cuando sea necesario, la información de control sobre los documentos eliminados, se conserva. Resultado – Diseño(s) de los procesos de gestión de documental.

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

- 28 -

– Procedimientos para los procesos de negocio que incorporan procesos de gestión documental. – Herramientas de control de gestión documental y de soporte al análisis previo, por ejemplo, procedimientos, cuadro de clasificación, esquemas de metadatos, reglas de acceso, modelo de seguridad, políticas o calendarios de conservación. – Requisitos y especificaciones (para la tecnología) del sistema. – Documentación de la selección y adquisición de tecnología. – Documentación de diseño y configuración de las aplicaciones. – Revisión de procesos, procedimientos y aplicaciones. – Materiales de capacitación.

8.3 Implementación de las aplicaciones de gestión documental Los requisitos para la implementación de sistemas de gestión documental están en el apartado 8.3 de la Norma ISO 30301 y están complementados con los requisitos del A.2.5 de la Norma ISO 30301. Ambas partes se deberían entender como un todo. Las aplicaciones de gestión documental que cumplen con los requisitos de la Norma ISO 30301 pueden tomar una variedad de formas. Por ejemplo: a) aplicaciones de negocio o sistemas qué retienen y gestionan documentos operacionales; b) bases de datos que vuelven a crear documentos cuando se necesitan; c) software especializado utilizado para automatizar la captura y gestión de documentos. Estas aplicaciones se pueden alojar y gestionar internamente, o los puede gestionar un proveedor externo. En cualquier caso, deberían ser capaces de capturar, dirigir y proporcionar acceso a documentos a lo largo del tiempo. También deberían ser capaces de exportar documentos y sus metadatos de tal manera que permanezcan accesibles, auténticos, fiables y usable a través de cualquier clase de cambio de aplicación. La Norma ISO 15489-1 establece características genéricas de sistemas de gestión documental y conceptos claves para su implementación. La Norma ISO 16175, partes 1, 2 y 3 contienen principios y requisitos funcionales para documentos en entornos de oficina electrónica, y se puede utilizar para definir requisitos y seleccionar el software apropiado. Otras normas internacionales y los informes técnicos desarrollados por ISO/TC 46/SC 11 se deberían utilizar en la implementación del diseño, y mantenimiento de aplicaciones que gestionan documentos. Una organización puede tener más de una aplicación que gestione documentos, pero es un requisito identificar todos los sistemas que gestionan documentos y sus propietarios responsables. Se deberían incluir controles regulares del desempeño de las aplicaciones de gestión documental contrastándolos con los requisitos de negocio y los objetivos de los documentos asegurando que: a) las aplicaciones de gestión documental proporcionan la funcionalidad que las áreas de negocio precisan para desempeñar sus funciones; b) las aplicaciones de gestión documental operan según las especificaciones de diseño; c) las aplicaciones de gestión documental están disponibles para aquellos que las necesitan, cuándo las necesitan;

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 29 -

ISO 30302:2015

d) las aplicaciones de gestión documental operan de modo continuo y fiable y los planes de contingencia se pueden activar en el caso de fallo en la aplicación o en la infraestructura; y e) los planes de continuidad de negocio y recuperación de desastres incluyen las aplicaciones de gestión documental. Gestionar el funcionamiento de las aplicaciones de gestión documental significa asegurar que dichos sistemas continúan operando de modo fiable, seguro, y conforme y cubren toda la gama de actividades de negocio de la organización. Esto se puede hacer: a) documentando e implementando procedimientos para la gestión y mantenimiento de aplicaciones; b) probando regularmente la conformidad de las aplicaciones con las especificaciones de diseño; c) analizando y realizando acciones correctivas que surgen de fallos del sistema, problemas de usuario y quejas; d) evaluando el nivel de uso de otras aplicaciones (no de gestión documental), y las razones de su uso por parte de los empleados; e) probando regularmente la accesibilidad/ disponibilidad/ de las aplicaciones y su usabilidad; f) probando la seguridad de las aplicaciones; g) evaluando las aplicaciones frente a cualquier cambio en los requisitos de negocio, expectativas de las personas interesadas o requisitos legislativos y haciendo cualquier cambio necesario para cumplir estos requisitos;

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

h) llevando a cabo la acción necesaria para facilitar la gestión de documentos de cualquier función nueva o proceso de negocio de la organización. Resultado La información documentada obligatoria incluye lo siguiente: – un inventario de sistemas que gestionan documentos; – la documentación de la implementación y cambios en las aplicaciones; – los procedimientos para mantenimiento de las aplicaciones; – las reglas para acceder a las aplicaciones; – la documentación que proporciona evidencia de la evaluación de las aplicaciones. Cuando las organizaciones hayan implementado un programa de seguridad de la información basado o no en la Norma ISO/IEC 27001, los mismos requisitos de gestión de la seguridad incluyendo los de información documentada son aplicables a las aplicaciones que gestionan documentos.

9

Evaluación del desempeño del SGD

9.1 Supervisión, medición, análisis y evaluación 9.1.1

Determinar qué y cómo supervisar, medir, analizar y evaluar

Se mide la efectividad del SGD, y se supervisan los procesos, controles y los sistemas de gestión documental, para proporcionar la información que soporte la mejora continua o indique la necesidad de una acción correctiva (véase 10.1).

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

- 30 -

Al determinar qué se necesita medir y supervisar, la organización debería considerar lo siguiente: a) el nivel del riesgo que surge de aplicaciones de gestión documental o documentos inadecuados en áreas concretas de la organización; b) la aplicación de otras normas de sistemas de gestión; c) los requisitos de las partes interesadas, (véanse ejemplos en el anexo A); d) los requisitos legales y reguladores; e) cómo se han implementado recientemente en un área de negocio procesos nuevos, controles o sistemas. Los criterios para supervisar y medir se debería revisar regularmente y modificar en respuesta a cualquier cambio habido en el contexto de la organización (véase el capítulo 4). Los métodos para supervisar, medir, analizar y evaluar procesos documentales, controles y sistemas varían dependiendo de lo que se esté evaluando. Estos métodos pueden ser cuantitativos o cualitativos. Los métodos pueden incluir lo siguiente: a) encuestas de usuario; b) listas de preguntas de verificación; c) observación; d) recogida y análisis de las estadísticas de uso del sistema; e) análisis de los datos de operación del sistema, por ejemplo tiempo de inactividad, accidentes, pérdida de datos. La frecuencia de supervisión y medición también varía dependiendo de lo que se esté evaluando. Por ejemplo, a) una organización grande evalúa funciones de negocio concretas de modo rotativo; b) una organización pequeña evalúa toda la organización anualmente; c) una organización evalúa su SGD de modo más regular a raíz de un fallo en el cumplimiento de requisitos legales o regulatorios o a raíz de una apreciación de riesgo; d) la evaluación se hace al finalizar fases concretas de implementación de un SGD. Resultado: La documentación no es un requisito en este capítulo, aun así ejemplos de resultados obtenidos cuándo se implementa son los siguientes: – criterios para supervisar y medir; – métodos de supervisión, medición, análisis y evaluación; – herramientas de supervisión y medición, como listas de verificación y cuestionarios; – resultados de supervisión y medición, como estadísticas, notas de entrevista, notas de observación, informes de sistema, resultados de prueba, encuestas; – programación de la supervisión y medición.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 31 -

9.1.2

ISO 30302:2015

Evaluación del desempeño de los procesos y aplicaciones de gestión documental y la efectividad del SGD.

Los resultados de supervisar y medir se evalúan para asegurar que la integración e implementación de las acciones en los procesos del SGD (véase 8.1) han sido efectivos. La organización asegura que el desempeño del SGD cumple con las necesidades de la organización, los requisitos legislativos y aumenta la satisfacción de clientes y partes interesadas. El análisis y evaluación de los resultados de la supervisión y la medición se deberían hacer después de cada evaluación. Sin embargo, el análisis de la tendencia, o el análisis para los informes a la dirección, que usan resultados acumulados, se pueden hacer según necesidades operativas, por ejemplo trimestralmente, anualmente. Las entradas para el análisis y el proceso de evaluación serán los resultados de la supervisión y medición (véase 9.1.1), las auditorías internas del sistema (véase 9.2) y las revisiones por la dirección (véase 9.3) así como cualquier requisito identificado para hacer informes periódicos o de proyecto. La organización utiliza los datos recogidos para medir cómo de adecuado y eficaz es el SGD, y para evaluar dónde se puede hacer la mejora. La organización debería establecer, implementar y mantener procedimientos para la evaluación del desempeño de la efectividad del SGD, incluyendo evaluación del desempeño de los procesos, controles y aplicaciones de gestión documental. La supervisión y evaluación de los procesos o aplicaciones de gestión documental son parte de los principios básicos descritos en la Norma ISO 15489-1. Cuándo una organización ha implementado la Norma ISO 15489-1, normalmente los controles y procedimientos de evaluación se pueden adaptar para cumplir con los requisitos de la Norma ISO 30301. La evaluación del desempeño se debería emprender regularmente para asegurar que el SGD opera según la política y requisitos, de gestión documental y satisfacción del usuario. Las modificaciones al SGD y a los controles y procesos documentales se deberían hacer si los resultados del desempeño se consideran inadecuados. La acción se debería tomar ahí donde sea necesario para tratar tendencias o resultados adversos antes de que ocurra una no conformidad. Véase 10.1. Resultado – Informes de evaluación 9.1.3

Evaluación de la efectividad

El control y la medición del SGD se hace para evaluar su efectividad en el cumplimiento de los requisitos de la política de gestión documental, el logro de los objetivos documentales y la satisfacción de las necesidades de negocio y expectativas de las partes interesadas. Las entradas para evaluar la efectividad del SGD incluyen los resultados de evaluación del desempeño (véase 9.1.2), las auditorías internas del sistema (véase 9.2) y las revisiones por la dirección (9.3). La efectividad del SGD se puede determinar mediante indicadores tales como: a) una política de gestión documental en curso adecuada a los propósitos (véase 5.2); b) objetivos de gestión documental en curso que son realizables y cumplen con las necesidades de negocio actuales, inmediatas y futuras (véase 6.2); c) una política procesos y controles de gestión documental que hayan sido modificados en respuesta a cambios en los requisitos de negocio, legales y de otra índole (véase 4.2); d) un nivel apropiado de recursos asignados para mantener el SGD (véase 7.1); e) una definición adecuada de funciones y responsabilidades (véase 5.3) proporcional al tamaño y naturaleza de la organización y al alcance del SGD, así como la asignación de personas adecuadamente competentes para el desempeño de aquellas funciones (véase 7.2);

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

- 32 -

f) resultados de valoración del desempeño de la persona con responsabilidades asignadas para implementar, informar y promover el conocimiento del SGD (véase 7.2); g) los resultados del desempeño de procesos o aplicaciones de gestión documental (véase 9.1.2); h) la existencia de documentación plena del SGD, y procedimientos de control de los documentos implementados y operando (véase 7.5); i) aplicaciones de gestión documental que alcanzan los objetivos estratégicos, directivos y financieros de la organización (véase 8.3); j) un programa para concienciar y formar en el SGD y una estrategia de comunicación vigentes, implementados regularmente y revisados en respuesta a los cambios en la política, objetivos, procesos y controles de gestión documental (véase 7.3 y 7.4); y k) resultados de valoración de usuarios y satisfacción de las partes interesadas (véase 9.1.2). Resultado Los datos y la documentación de la evaluación del desempeño se deberían guardar como evidencia del proceso. Los ejemplos son los siguientes: – evidencia de la valoración de la efectividad del SGD; – programa o plan de evaluación del desempeño; – procedimientos de evaluación del desempeño; – criterios de evaluación del desempeño e indicadores; – resultados de evaluación de desempeño; – análisis de deficiencias, incluyendo lista de acciones; – datos de control en curso; – informes de control.

9.2 Sistema de auditoría interna La organización determina la frecuencia de las auditorías internas del sistema y las emprende para evaluar si el SGD cumple con los requisitos, está eficazmente implementado y se mantiene de acuerdo con cualquier cambio de la política y los objetivos de gestión documental. La Norma ISO 19011 proporciona una guía sobre auditorías internas, características de los auditores, planes y programas de auditoría, e informes de auditoría. Las auditorías internas se deberían hacer por personas que no hayan estado implicadas en la implementación del SGD. Un programa de auditoría se debería establecer para cumplir los requisitos de la Norma ISO 30301. Cuándo se implementen diferentes normas de sistemas de gestión, la organización puede llevar a cabo auditorías internas combinadas. Para determinar si el SGD está implementado y mantenido eficazmente se evalúa: --`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

a) la adecuación de la documentación del SGD así como el reflejo de la misma en la práctica; b) la vigencia de la política y los objetivos de gestión documental;

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 33 -

ISO 30302:2015

c) la frecuencia con que se revisa el contexto organizativo y las respuestas a los cambios; d) el entendimiento de las personas con funciones y responsabilidades designadas; e) la adecuación del soporte proporcionado para mantener el SGD; f) si los procesos documentales y los controles se han implementado y mantenido de acuerdo con su diseño. Resultado – Programa de auditoría. – Informe de auditoría interna y documentación de apoyo. Algunas organizaciones pueden encontrar útil un procedimiento documentado de auditoría interna especialmente cuándo se integran sistemas de gestión diferentes.

9.3 Revisión por la dirección La alta dirección lleva a cabo una revisión del SGD para determinar su desempeño, para asegurar su sostenibilidad, adecuación y efectividad, y para instruir mejoras o cambios considerados cómo necesarios. La revisión por la dirección es una evaluación amplia del SGD, que una evaluación focalizada en áreas concretas. Aun así, se puede poner atención especial en áreas con riesgos identificados. Las entradas para la revisión por la dirección serán: a) resultados de revisiones por la dirección anteriores; b) el contexto de la organización (véase el capítulo 4); c) los resultados de supervisar, medir, analizar y evaluar (véase 9.1); y d) las auditorías internas previas (véase 9.2). La frecuencia de revisiones por la dirección depende de las necesidades y del contexto de la organización. Las influencias pueden ser: a) si el SGD es nuevo o ha estado implementado algún tiempo; b) los resultados de anteriores revisiones por la dirección y las respuestas a los resultados; c) los resultados de auditorías anteriores; d) las expectativas de las partes interesadas; e) novedades o cambios en la legislación o regulación aplicable. La revisión por la dirección del SGD se puede llevar a cabo revisando: a) las revisiones por la dirección anteriores y las acciones llevadas a cabo; b) cualquier cambio en el contexto interno y externo que pudiera afectar el alcance del SGD o a los niveles de riesgo organizativo; --`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

c) los resultados anteriores de la supervisión y la medición;

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

- 34 -

d) los resultados de auditorías internas anteriores; e) las acciones correctivas llevadas a cabo, a partir de la supervisión, medición y auditoría; f) la documentación de oportunidades y acciones que demuestran mejora continua. Al revisar el SGD y buscar oportunidades para la mejora continua, los directivos deberían considerar: – la alineación continuada del SGD con las direcciones estratégicas de la organización que puede afectar al SGD; – la adecuación del alcance y cobertura del SGD para los procesos de negocio de la organización; – los cambios contextuales que pueden afectar al SGD, tales como: cambios reguladores, las expresiones de las partes interesadas, o los cambios de funciones organizativas debido a cambios estructurales; – la necesidad de revisión de política y/u objetivos de gestión documental; – la adecuación de los recursos y habilidades para el mantenimiento y mejora del SGD; --`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

– el nivel de conocimiento y comprensión del SGD por parte de las personas, y los requisitos del sistema para ser conforme a la política y objetivos de gestión documental; – si el SGD ha conseguido y continuará consiguiendo los resultados previstos. Resultado La información documentada de los resultados de la revisión por la dirección es un requisito de la Norma ISO 30301. El resultado de la revisión incluirá documentación de las decisiones y las acciones de la dirección relacionados con el proceso de mejora o mejora global de la efectividad del SGD, así como los cambios en el SGD. Los cambios pueden afectar a la política de gestión documental, los objetivos de la gestión documental o los recursos.

10 Mejora 10.1 Control de las no conformidades y acciones correctivas Se identifican no conformidades respecto a los requisitos del SGD y se toman las acciones correctivas apropiadas. Se evalúan las causas de las no conformidades y, si es necesario, se toman las acciones necesarias para eliminar dichas causas en el futuro. Las no conformidades se identificarán como resultado de lo siguiente: a) supervisión y medición (véase 9.1); b) auditorías internas (véase 9.2); c) revisiones por parte de la dirección (véase 9.3); d) informes ad hoc. Las no conformidades requieren del análisis de las causas que las produjeron. Cuando sea necesario, se implementan las acciones correctivas necesarias. Las acciones para controlar, contener o corregir las no conformidades dependerán de lo siguiente: a) el nivel de riesgo;

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 35 -

ISO 30302:2015

b) la extensión del efecto de la no conformidad; c) la disponibilidad de los recursos para tomar la acción necesaria. La planificación de las acciones correctivas puede incluir lo siguiente: a) la asignación de roles y responsabilidades; b) determinar acciones específicas a realizar; c) asignar recursos adicionales, si es necesario; d) establecer fechas y definir objetivos y resultados; e) informar de las acciones emprendidas. En la evaluación de la necesidad de una acción, o de la extensión de la misma, para eliminar las causas de las no conformidades, se deberían considerar los siguientes aspectos: – el nivel de riesgo para la organización; – el nivel de riesgo para el SGD; – el nivel de riesgo para la operación adecuada de los procesos, controles y sistemas de gestión de documentos; – la probabilidad de que vuelva a suceder la causa de la no conformidad; – los recursos necesarios para realizar la acción correctiva. La revisión de las acciones correctivas se debería hacer por las personas designadas de acuerdo con su función según se identifique en 5.3. Los informes, a su vez, ofrecerán datos para guiar la supervisión y la medición, las auditorías internas y las revisiones por parte de la dirección como parte del proceso de mejora continua. Resultado Mantener información documentada originada por el control de no conformidades y por las acciones correctivas es un requisito de la Norma ISO 30301.Cómo los siguientes ejemplos: – documentación de las no conformidades; – descripción de las acciones correctivas a realizar; – documentación de las decisiones sobre la no realización de acciones correctivas, cuando sea aplicable; – documentación sobre la planificación de las acciones correctivas; – evidencias de la realización de las acciones correctivas; – revisiones de las acciones correctivas; – evaluación de las necesidades de acciones correctivas para eliminar las causas de las no conformidades; – documentación con la planificación de las acciones preventivas; – evidencias de las acciones preventivas realizadas; – revisiones de las acciones preventivas.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

- 36 -

10.2 Mejora continua La organización mejora la efectividad del SGD manteniendo un ciclo de planificación, soporte, operación y evaluación del desempeño dirigido por la alta dirección. Esto también incrementa la capacidad de gestionar los documentos a lo largo del tiempo, y permite a la organización ser capaz de alcanzar sus requisitos de trazabilidad y dar soporte a sus necesidades de negocio. La organización demuestra que este ciclo de mejora continua está funcionando, al asegurar que la política y los objetivos de gestión documental siguen siendo apropiados al propósito de la organización y a su dirección estratégica, y que se reflejan en procesos, controles y aplicaciones de gestión documental actualizados. Se puede demostrar el ciclo de mejora continua mediante: a) resultados regulares de la evaluación del desempeño; b) acciones correctivas que se han tomado; c) acciones de mejora que se han tomado; d) política y objetivos de gestión de documental revisados; e) revisión de la infraestructura de soporte del SGD en respuesta a cambios de negocio; y f) análisis de riesgos y contextual regular. Resultado – Los resultados del ciclo de mejora continua son la documentación de los indicadores mencionados en los puntos anteriores.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 37 -

ISO 30302:2015

Anexo A (Informativo) Ejemplos de fuentes de información y requisitos para el análisis del contexto organizativo

A.1 Fuentes de información Las fuentes de información sobre el contexto externo de la organización pueden incluir lo siguiente: – información procedente de, y acerca de, los participantes clave; – leyes, regulaciones, normas, códigos de buenas prácticas, reglas de órganos reguladores, reglas de órganos gubernativos, y directivas; – el perfil de litigación de la organización y las regulaciones que afectan a la organización; --`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

– análisis económicos, financieros o ambientales del gobierno o de analistas industriales; – informes de los medios. Las fuentes de información sobre el contexto interno de la organización pueden incluir lo siguiente: – documentos corporativos claves como: políticas, estrategias, planes de negocio, informes anuales; – informes de auditoría; – estructura organizativa, definición de funciones, responsabilidades y delegaciones; – normas, recomendaciones y códigos internos; – mapas o descripciones de procesos de negocio; – evaluación de competencias; – inventarios de sistemas de información; – modelos de datos o de información; – análisis de las partes interesadas; – análisis de riesgos; – marco de seguridad de la información; – análisis de contexto procedentes de la implantación de otros sistemas de gestión; – metodologías de gestión de proyectos; – modelos de compra y contratación; – una comprensión de la cultura organizativa (que puede no estar documentada).

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

- 38 -

Los partes interesadas pueden ser las siguientes: – empleados internos y contratados que trabajan en nombre de la organización; – empleados internos que tienen una función de liderazgo en la gestión de documentos, por ejemplo, auditorías, riesgo, legal, cumplimiento, tecnologías de la información; – socios de negocio, por ejemplo, colaboradores en investigación, socios comerciales; – accionistas, propietarios, directores; – proveedores de productos y servicios; – clientes; – ciudadanos, organizaciones no gubernamentales y otros grupos con un interés en la organización y en lo que hace; – organismos reguladores o de control de cuya acción puede ser objeto la organización; – gobierno y administración, que pueden ser múltiples en el caso de las organizaciones que operan en distintas jurisdicciones.

A.2 Ejemplos de requisitos Son ejemplos de requisitos de negocio relacionados con la creación y control de documentos los siguientes: – requisitos para crear documentos al ejecutar o completar procesos de negocio específicos (incluyendo las transacciones web, así como las operaciones usando tecnologías emergentes como los medios sociales, los móviles y la computación en la nube); – requisitos para crear documentos para el informe y control de datos financieros y de operaciones; – requisitos para crear documentos para informes internos y externos; – requisitos para crear documentos para controlar y hacer el seguimiento de los servicios o procesos subcontratados; – requisitos para crear documentos para el análisis y la planificación; – requisitos para controlar y acceder a los documentos requeridos en distintas localizaciones, por periodos de tiempo especificados; – requisitos que provean evidencia de la necesidad de acceder a, y de utilizar ciertos documentos (por ejemplo, datos personales); – requisitos para compartir y reutilizar la información disponible en los documentos. Son ejemplos de los requisitos legales relativos a la creación y control de documentos los siguientes: – requisitos para crear documentos específicos; – requisitos para ofrecer información sobre las actividades de la organización a partes interesadas específicas, como los accionistas o clientes; – requisitos para retener documentos (por ejemplo, periodos de retención específicos ligados a fechas o eventos fijos o relativos);

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

- 39 -

ISO 30302:2015

– requisitos para mantener documentos en formatos específicos; – requisitos para mantener documentos en localizaciones específicas; – requisitos relativos a cómo se regula la forma de dar acceso a los documentos; – requisitos para la transferencia de documentos a otra organización o jurisdicción. Son ejemplos de otros requisitos relativos a la creación y control de documentos son los siguientes: – requisitos sobre documentos establecidos por códigos de buenas prácticas de adopción voluntaria, incluyendo la implementación de otras normas de sistemas de gestión; – requisitos de que ciertos documentos estén disponibles para satisfacer las expectativas de partes interesadas externas. Se puede obtener la asistencia de partes interesadas internas y externas para identificar requisitos de negocio, legales o de otro tipo, por ejemplo: – expertos legales con conocimiento de las legislaciones y de su interacción (esto es especialmente importante en organizaciones que trabajan en múltiples jurisdicciones); – empleados con un amplio conocimiento de su área de negocio; – profesionales de la gestión de documentos, tecnologías de la información y sistemas; – auditores, profesionales de la gestión de riesgos y otros especialistas en conformidad; e – instituciones o cuerpos reguladores dedicados a la gestión de documentos y archivos, que tengan un interés en supervisar un SGD implementado en una organización.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

ISO 30302:2015

- 40 -

Bibliografía

[1]

ISO 9000, Quality management systems. Fundamentals and vocabulary.

[2]

ISO 13008, Information and documentation. Digital records conversion and migration process.

[3]

ISO/TR 13028, Information and documentation. Implementation guidelines for digitization of records.

[4]

ISO 14001, Environmetal management systems. Requirements with guidance for use.

[5]

ISO 15489-1:2001, Information and documentation. Records management. Part 1: General.

[6]

ISO/TR 15489-2, Information and documentation. Records management. Part 2: Guidelines.

[7]

ISO 16175-1, Information and documentation. Principles and functional requirements for records in electronic office environments. Part 1: Overview and statement of principles.

[8]

ISO 16175-2, Information and documentation. Principles and functional requirements for records in electronic office environments. Part 2: Guidelines and functional requirements for digital records management systems.

[9]

ISO 16175-3, Information and documentation. Principles and functional requirements for records in electronic office environments. Part 3: Guidelines and functional requirements for records in business systems.

[10]

ISO/TR 18128, Information and documentation. Risk assessment for records processes and systems.

[11]

ISO 19011, Guidelines for auditing management systems.

[12]

ISO 23081-1, Information and documentation. Records management processes. Metadata for records. Part 1: Principles.

[13]

ISO 23081-2, Information and documentation. Records management processes. Metadata for records. Part 2: Conceptual and implementation issues.

[14]

ISO/TR 26122, Information and documentation. Work process analysis for records.

[15]

ISO/IEC 27001, Information technology. Security techniques. Information security management systems. Requirements.

[16]

ISO 28000, Specification for security management systems for the supply chain.

[17]

ISO/IEC 31010, Risk management. Risk assessment techniques.

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

--`,```,,`,,````,,`,`,,,,`````,`-`-`,,`,,`,`,,`---

Génova, 6 28004 MADRID-España

Copyright Asociación Española de Normalización y Certificación Provided by IHS No reproduction or networking permitted without license from IHS

[email protected] www.aenor.es

Licensee=PDVSA - Pequiven site 9/9986712014, User=Zambrano, Yosmar Not for Resale, 04/04/2016 08:07:57 MDT

Tel.: 902 102 201 Fax: 913 104 032