empresa excelente - iso software · iso 27001: pilares fundamentales de un sgsi iso 14001:...

Los mejores artículos publicados por ISOTools Excellence enenero de 2015

EmpresaExcelente

ISOTools Excellence. Software ISOEstrategia, Procesos, Personas. Resultados Excelentes ISO 14001

ISOTools Empresa ExcelenteLos mejores artículos publicados porISOTools Excellence en enero de 2015

2

Más información en nuestra web www.isotools.org

El camino hacia la Excelencia

ISOTools Empresa ExcelenteLos mejores artículos publicados por

ISOTools Excellence en enero de 2015

3

ISO 14001: Planificación estratégica

ISO 27001: Seguridad informática y seguridad de la información

ISO 9001:2015, desarrollo e implementación de la estrategia

ISO 14001: Los planes de formación para un Sistema de Gestión Ambiental

OHSAS 18001: Idoneidad, eficacia y adecuación para una Revisión por la Dirección

ISO 9001:2015, COSO como metodología de gestión de riesgo

ISO 27001: Pilares fundamentales de un SGSI

ISO 14001: Estructura de la documentación de un Sistema de Gestión Ambiental

OHSAS 18001: Auditoría en los Sistemas de Gestión de Seguridad y Salud en el Trabajo

ISO 9001:2015, metodología COSO III para la gestión de riesgos

ISO 14001: La verificación en el Sistema de Gestión Ambiental

La familia de normas ISO 27000

OHSAS 18001: Tipos de auditoria para las organizaciones

ISO 9001:2015, los principios de la ISO 31000 para adecuar la Gestión de Riesgos

ISO 14001: Cómo controlar riesgos, hacer una auditoría interna y una revisión por la dirección

ISO 27001: Gestión de Seguridad de la Información mediante el modelo de pirámide

OHSAS 18001: Planificación de auditorías

¿QUIÉNES SOMOS Y QUÉ HACEMOS?

ÍNDICE DE CONTENIDOS

Contenidos enero 2014

LA PLATAFORMA TECNOLÓGICA

6

9

12

14

16

18

20

22

24

27

29

31

33

35

37

39

41

4

5


4


Expertos consultores al servicio de los clientes, que muestran de manera personalizada a cada organización, la alternativa más sencilla y práctica de operar generando un impacto real en los resultados y proporcionando una ventaja competitiva sostenible en el tiempo.

ISOTools apoya la labor de consultoría en su plataforma tecnológica, a través de la cual ofrece soluciones integra-les, aplicando continuamente la innovación tecnológica como medio de adaptación a las necesidades del merca-do, requisitos normativos y tipología de organización.

Consultoría Estratégica Innovación Tecnológica

Somos ISOTools Excellence, una consultora que ayuda a las organizaciones comprometidas con la calidad y la ex-celencia a optimizar sus modelos y sistemas de gestión, aportando soluciones innovadoras para la gestión de la estrategia, los procesos y las personas, facilitando su apli-cación, haciéndolos accesibles, ágiles y medibles, y apor-tando resultados en el corto plazo, gracias a una plata-forma tecnológica de desarrollo propio llamada ISOTools.

¿Quién está detrás del software para la gestión de la excelencia nº 1 a nivel mundial?

QUIÉNES SOMOS Y QUÉ HACEMOS



5

Software ISO, BSC y BPM

Desarrollada en entorno Web con el objetivo de cumplir los requisitos de las normas ISO y de modelos de Acre-ditación y Excelencia, ISOTools resulta una herramienta ideal para implantar, mantener y mejorar continuamente los Sistemas de Calidad, Medio Ambiente, Riesgos Labo-rales, Seguridad de la Información, Seguridad Alimentaria, Modelos de Acreditación, Modelos de Excelencia como EFQM, Modelos de Planificación Estratégica: Balanced Scorecard, entre otros.


> Resultados Excelentes: Ese es el principal beneficio que se obtiene del uso de ISOTools, el motivo por el que fue creado y el motor que impulsa a todos los que se encuentran detrás de la herramienta.

> Eficacia y Efectividad. La información se encuentra centralizada, lo que aumenta la eficacia en la gestión.

> Máximo retorno de la inversión: Invertir en ISOTools es invertir en mejora, y la mejora siempre deriva en be-neficios.

> Impacto positivo en el medio ambiente: Reduciendo el consumo de papel se respetan los recursos natura-les.

> Facilidad en la toma de decisiones: La herramienta ofrece una visión global de la organización que facilita la toma de toma de decisiones y las hace más certeras.

> Gestión del conocimiento y mejora continua: ISOTools fortalece la retención del conocimiento sobre la propia organización y ayuda a las organizaciones a gestionar su información, de una manera sistemática y eficiente, permitiendo de esta forma el establecimiento de programas de mejora continua.

> Ahorro de tiempo y costes: Se le puede dedicar más tiempo y recursos a lo que verdaderamente importa.

> Mejora del trabajo en equipo: Y eso se ve reflejado en los resultados.

> Satisfacción de los clientes: Los clientes son lo más im-portante de su negocio. Con las mejoras obtenidas por el uso de ISOTools la satisfacción de los clientes está garantizada.

¿Por qué elegir ISOTools?

> Fácil de usar. ISOTools es, ante todo, usable e intuitivo. Diseñado para ser fácil. Cuenta con potentes funciones de roles y personalización.

> Flexible. Sea cual sea el tamaño de su organización o sector, ISOTools puede configurarse para satisfacer sus necesidades.

> Funcional. En pocas palabras, esta aplicación líder po-see múltiples funcionalidades y características.

> Accesible. En su modalidad de contratación Cloud, ISO-Tools le permite llevar a cabo sus gestiones desde cual-quier lugar con conexión a internet.

> Integrable. ISOTools es un sistema de módulos fácil-mente integrables que le convierten en una herramien-ta escalable y adaptable.

> Confiable. ISOTools garantiza la integridad, seguridad y confidencialidad de los datos, salvaguardándolos me-diante copias de seguridad.

> Fiable. ISOTools es una herramienta con un gran ba-gaje, lo que la convierte en una solución de confianza ampliamente testeada.

> Multidispositivo. Posibilita la gestión 360° de su orga-nización desde cualquier lugar utilizando dispositivos móviles, ordenadores de sobremesa o tablets.

> Asequible. No es necesaria una gran inversión. ISO-Tools es una de las soluciones más rentables del mer-cado en su área.

> Multiligüe. Toda la información de la plataforma está disponible en varios idiomas

¿Cómo es ISOTools?

MÓDULO BASE

SISTEMAS DE GESTIÓN NORMALIZADOS

MODELOS DE GESTIÓN Y EXCELENCIA

SOLUCIONES PARA TODOS LOS SECTORES


6


El elemento esencial de un Sistema de Gestión Ambiental basado en la norma ISO 14001 es, sin obtener ninguna duda, la identificación y evaluación de los aspectos am-bientales. Incluso, este requisito de la norma nos facili-tará sentar las bases para distintos requisitos, entre los que se encuentra la propia política ambiental, metas y programas, el establecimiento de objetivos, competen-cia, formación y toma de conciencia, control operacional, preparación y respuesta ante emergencias, seguimiento y medición, y evaluación del cumplimiento legal.

Centrándonos en este requisito de la norma ISO-14001, identificación y evaluación de aspectos ambientales, la or-ganización debe establecer un primer método de identifi-cación de los aspectos ambientales derivados de sus acti-vidades, procesos, productos y servicios, y posteriormente otro para efectuar una correcta evaluación, y clasificarlos a la importancia de su impacto ambiental asociado.

En el momento en el que un aspecto ambiental produce un impacto tal que debe ser considerado por la organiza-ción, éste se dice que es significativo.

Los aspectos ambientales significativos detectados en una organización deben tenerse en cuenta en el estable-cimiento posterior de los objetivos, metas y programas del Sistema de Gestión Ambiental.

Los aspectos e impactos medioambientales están relacio-

nados, entre otras, con alguna de las siguientes cuestio-nes:

• Uso de agua

• Uso de energía

• Utilización de productos químicos

• Uso de materias primas y empleo de recursos naturales

• Almacenaje

• Vertidos

• Emisiones atmosféricas

• Generación de residuos

• Contaminación y degradación del suelo

• Riesgo de accidentes

• Otros (vibraciones, ruido, olores, etc.)

Para implantar un Sistema de Gestión Medioambiental una organización deberá disponer de uno o varios pro-cedimientos para identificar y evaluar sus aspectos am-bientales.

Una forma sencilla de cumplir con este requisito de la nor-ma es la conocida como el método de los procesos de flujo, en el cual cada actividad, proceso, producto o servi-cio de una organización es analizado individualmente para determinar cuáles son sus aspectos ambientales. El méto-

ISO 14001: Planificación estratégica



7


do podría estructurarse en los siguientes pasos:

• La organización deberá identificar, de manera detallada, cada una de las actividades, procesos, productos o ser-vicios con los que cuenta y además realizar un listado de las instalaciones, para posteriormente ir analizándo-lo todo.

• Identificar los aspectos ambientales relacionados con cada una de las actividades, etapas de los procesos pro-ductivos, servicios, productos o instalaciones auxiliares de la organización.

• Finalmente, la organización deberá identificar los impac-tos ambientales asociados a cada uno de los aspectos.

Una vez identificados todos los aspectos e impactos am-bientales de una organización, se hace necesaria la eva-luación de cada uno de ellos para establecer su grado de significación conforme al Sistema de Gestión Ambiental basado en la norma ISO14001.

La organización debe identificar los aspectos ambientales significativos

Para contribuir en la implementación de un SGA, se ex-pone un modelo que establece 5 criterios para calcular la significación de los impactos ambientales de una orga-nización:

• Relevancia del impacto identificado.

• Gravedad.

• Probabilidad.

• Duración.

• Reversibilidad.

Todos los aspectos ambientales de una organización de-berán ser evaluados atendiendo a estos criterios.

Los aspectos ambientales calificados como significativos servirán para sentar las bases sobre las que se desarrolle el Sistema de Gestión Ambiental.

Requisitos legales y otros requisitosPara poder implementar un Sistema de Gestión Medioam-biental, una organización debe asegurar que ha identifica-do y tiene acceso a los requisitos legales y otros requisitos que pueda suscribir en relación con sus aspectos ambien-tales.

Será necesario describir la manera en la que la organiza-ción accede a los requisitos de carácter legal que le son de aplicación, relacionados con sus aspectos ambientales considerando todas las figuras legales posibles:

La organización debe identificar los aspectos ambientales significativos

• Reglamentos, directivas, decisiones, recomendaciones y dictámenes procedentes de la Unión Europea.

• Leyes, reales decretos legislativos, reales decretos ley, reales decretos, órdenes ministeriales y resoluciones procedentes del Estado español.

• Las leyes y decretos procedentes de las distintas comu-nidades autónomas.

• Las ordenanzas municipales.

• Autorizaciones, permisos, declaraciones administrati-vas, etc. relacionado con el medio ambiente.

Con el término “otros requisitos” se pretende ampliar este punto de la norma ISO-14001 a todos aquellos requisitos de carácter no legal que sean de aplicación en la organi-zación.

En consecuencia, para que el Sistema de Gestión Am-biental sea efectivo será necesario incluir la identificación de todas las regulaciones y acuerdos vinculantes de carác-ter no legal, incluyendo:

• Requisitos o especificaciones de clientes, accionistas, etc.

• Códigos de buenas prácticas ambientales.

• Acuerdos con la Administración, etc.

La organización que ha identificado adecuadamente to-dos los requisitos, deberá además establecer una siste-mática para actualizar de forma periódica toda la informa-ción relacionada con ellos.

Con toda la información obtenida, la organización deberá elaborar y actualizar periódicamente:

• Una lista con los requisitos legales aplicables y otros requisitos, clasificados por aspectos ambientales, la re-ferencia legal o fuente de los mismos, el artículo o artí-


8


culos pertinentes, las áreas de la empresa a las que se aplica y las posibles observaciones.

• Un listado de las autorizaciones y licencias administrati-vas, indicando la referencia legal, el organismo encarga-do de su concesión, fecha y periodo de validez, así como observaciones en las que se incluya la documentación necesaria u otros requisitos para su concesión.

Objetivos, Metas y ProgramasLa organización, con el fin de implantar correctamente un Sistema de Gestión Ambiental, establecerá, implementará y mantendrá al día objetivos y metas ambientales adecua-dos a los niveles y funciones de la organización, así como uno o varios programas para alcanzar dichos objetivos y metas.

Una vez identificados los aspectos e impactos ambienta-les significativos de la organización, es necesario estable-cer unas líneas de actuación para llevar a cabo un proceso de mejora continua de carácter ambiental.

Los objetivos permiten a la organización marcar el nivel de mejora de la gestión ambiental para un periodo de tiempo determinado, proporcionando un marco para definir las actuaciones asociadas a la mejora del sistema.

Las organizaciones deberán tener en cuenta a la hora de establecer sus objetivos respecto al SGA los siguientes puntos:

• Los requisitos legales y otros requisitos aplicables.

• Los aspectos/impactos ambientales significativos.

• Las opciones tecnológicas.

• Los condicionantes económicos, financieros, operacio-nales y comerciales.

• La opinión de las partes interesadas.

• Resultados de revisiones y auditorías anteriores.

Una vez definidos los objetivos y las metas ambientales, la organización debe dar un paso más y establecer las res-ponsabilidades, plazos de consecución de objetivos y me-tas, observaciones y fechas de consecución, conformando un programa de gestión ambiental de esta manera.

Las acciones específicas contenidas en los programas de gestión deberán reflejar el orden de prioridad de los as-pectos significativos de la empresa.

Es necesario que las organizaciones integren y asuman dentro de su propia planificación estratégica los progra-mas de gestión ambiental contemplando todos los objeti-vos y metas propuestos.

La revisión de los programas debe realizarse periódica-mente para comprobar si se han alcanzado los objetivos y metas propuestos para la implantación de un Sistema de Gestión Ambiental.

http://www.isotools.org/2015/01/01/iso-14001-planificacion-estrategica/VERSIÓN ONLINE

http://www.isotools.org/2015/01/01/iso-14001-planificacion-estrategica/



9


ISO 27001: Seguridad informática

y Seguridad de la información

A lo largo de este artículo veremos la diferencia que existe entre seguridad informática y seguridad de la información. La norma ISO 27001 nos posibilita conocer la seguridad de la información gracias a la implantación de un Sistema de Gestión de Seguridad de la Información.

Seguridad informática

La totalidad de los especialistas en seguridad basan sus conocimientos y experticias sobre el aspecto técnico tra-dicional de la seguridad, esto es en las áreas IT, aunque bastantes de ellos consideran las cuestiones propias como el nuevo aspecto en las comunicaciones y que hace que actualmente se hable de TIC.

Además de tener un enfoque técnico prácticamente, los especialistas únicamente se manejan con las vulnerabilida-des y en parte con amenazas en forma de ataques, todo lo dicho no se considera suficiente para hablar de los riesgos correspondientes.

Con el fin de establecer una evaluación de riesgos, se nece-sita realizar una evaluación a los activos, además de identi-ficar cualquier amenaza que pueda aprovechar y explotar

las vulnerabilidades de estos activos. Expuesto lo anterior, sí podemos realizar la determinación de los riesgos tenien-do como referencia:

• Activos: con un rango de 5 a 8.

• Vulnerabilidades: rango de 3.

• Amenazas: rango de 3 a 5.

En el caso de que más tarde se pretenda determinar qué hacer con los distintos riesgos, en el mayor número de ca-sos se persigue mitigar hasta conseguir un nivel aceptable, por lo que habrá que implantar las medidas de seguridad que se consideren oportunas para tal efecto.

Si encontramos riesgos con características técnicas, el en-foque más eficaz es llevar a cabo un análisis gracias a los estándares técnicos o bien gracias a las normas internacio-nales, como la ISO 27002, en la que se realizan todos los controles necesarios y se determina el nivel en que se tiene que implantar para minimizar los riesgos que se encuen-tren a niveles aceptables.

Hasta llegado este punto hablamos de seguridad informá-tica. Este término es una traducción del inglés, information


10


security, el sentido que recoge dicha problemática se apro-xima más a términos como pueden ser “computer security” o network security”.

Seguridad de la información

Estamos ante un proceso en que se está produciendo mo-dificaciones, por lo que el término Seguridad de la Infor-mación está tomando una traducción más acertada sobre information security. Aunque aún hay muchos especialistas que siguen nombrándolo según el enfoque técnico que he-mos comentado anteriormente.

La Seguridad de la Información es muy extensa, por lo que no es sólo una cuestión técnica sino que supone una res-ponsabilidad de la alta dirección de la empresa, así como de sus directivos.

Tenemos que tomar en cuenta que el ambiente TIC está orientado al servicio y a la actuación en función de los pro-cesos de negocio. Se diferencia de los procesos centrales de la misma empresa que constituyen el núcleo de los ne-gocios de la empresa.

En el caso de no involucrarse las unidades activas y los lí-deres de negocio, como podrían ser, ejecutivos, directivos, etc. de las entidades, no podrá existir un plan de Seguridad de la Información, a partir de todos los riesgos determina-dos. Todo ello se lleva a cabo en el seno del sistema de dirección y control propio del gobierno corporativo.

Se tiene que considerar los sujetos, los procesos y las fun-ciones de negocio, además de la protección de todos los activos/recursos de la entidad impulsora, propietaria y be-neficiaria de la Seguridad de la Información, dentro de un marco de responsabilidades compartidas.

Se tienen que considerar la totalidad de los riesgos técni-cos de TIC, además de que la seguridad se desarrolle por toda la empresa, es decir, son riesgos organizacionales, operacionales y físicos.

Los riesgos operacionales son hoy en día más cruciales en lo referente a Seguridad de la Información. Las vulnerabi-lidades de este tipo de riesgo se expanden durante una amplia gama de grises, en conexión con el comportamiento humano y los juicios subjetivos de las personas, la resisten-cia al cambio, la cultura empresarial, la forma de comuni-carse, etc.

Establecer las distintas vulnerabilidades de una empresa es un proceso muy distinto a las mediciones o lecturas toma-das con los ordenadores, servidores, rúters, etc. como nor-malmente no se disponen de datos históricos suficientes, realizar un análisis exacto se hace muy complicado. El aná-

lisis es completado con información que se puede recabar y que corresponda con la información subjetiva surgida de las opiniones distintas. Dichas opiniones pueden ser iden-tificadas y analizadas a través del método de investigación prospectiva, seguido muy de cerca por entrevistas persona-les que establecen el valor de estas opiniones.

La evaluación de los activos no se encuentra al alcance de la mayoría de los técnicos. Los propietarios de los proce-sos de negocio son quienes pueden determinar un valor correcto de los mismos y de allí derivar a los valores de los activos que se utilizan en las distintas funciones que com-ponen cada caso.

Seguridad de la Información y Seguridad InformáticaEl desarrollo que se ha experimentado en cuanto a seguri-dad informática al de seguridad de la información, implica incrementar el campo de visión del marco de riesgos de negocio respectos a la perspectiva tradicional de seguridad técnica, fundamentada en las vulnerabilidades.

En el entorno de la seguridad de la información los riesgos de negocio incluyen, no sólo las vulnerabilidades y las ame-nazas, sino que incluyen también el conjunto de factores que determinan los riesgos:

• Activos

• Vulnerabilidades

• Amenazas

Los riesgos de negocio que incluyen los riesgos organiza-cionales, operacionales, físicos y de sistemas TIC.

Podemos conseguir un enfoque completo de seguridad de la información en la parte en la cual se considera los recursos necesarios para minimizar los riesgos dentro de un plan de seguridad, no se puede considerar un gasto sino una inversión para la empresa. Solicita de un análisis y determinar de una manera cuantificable el retorno de las inversiones en seguridad.

Sistema de Gestión de Seguridad de la Información

La implantación de un Sistema de Gestión de Seguridad de la Información en las empresas supone un paso más para garantizar a los usuarios que la información manipulada por dicha empresa se realiza bajo la máxima seguridad.

http://www.isotools.org/2015/01/05/iso-27001-seguridad-in-formatica-seguridad-informacion/

VERSIÓN ONLINE

http://www.isotools.org/2015/01/05/iso-27001-seguridad-informatica-seguridad-informacion/

http://www.isotools.org/2015/01/05/iso-27001-seguridad-informatica-seguridad-informacion/



11


¿Se imagina un software capaz de convertir su sistema o modelo de gestión en algo sumamente ágil y sencillo?

http://www.isotools.org/plataforma


12


ISO 9001:2015 presenta unas novedades, las cuales tiene expectantes a los profesionales de ámbito de la calidad.

El análisis del contexto de nuestra entidad es una de las novedades mencionadas anteriormente. Se considera ra-zonable que sepamos no hacer bien las cosas, sino hacer-las adecuadamente.

La estrategia de nuestra entidad tiene que estar incluida en nuestro Sistema de Gestión de la Calidad. Dicho enfo-que estratégico incrementará la eficacia del sistema que estamos liderando, nos ayuda a estructurar nuestros ob-jetivos principales y a concentrarnos en actividades que nos conducirán al cumplimiento de los resultados que deseamos obtener.

Esto se produce gracias a que comprendemos y enten-demos la situación en la que nos situamos. El entorno de una entidad está constituido por factores internos y exter-nos y por otros diferentes aspectos que pueden perjudi-car a la misma entidad, A los productos o servicios, a las inversiones y a las partes interesadas.

El ISO/DIS 9001, en su párrafo 4.1 Comprender la organi-zación y su contexto, determina:

“La organización debe determinar los factores internos y externos que son relevantes para su propósito y su direc-ción estratégica y que afecta a su capacidad para lograr

el resultado deseado de su Sistema de Gestión de la Ca-lidad”.

Este apartado lo podemos traducir en que cualquier enti-dad tendrá que concentrarse en sus factores estratégicos internos y externos, en aquello que es relevante para su propósito y tienen que deshacerse de cualquier barrera que no permita alcanzar los resultados requeridos.

Los factores internos los podemos identificar como, entre otros, la cultura organizacional, la estructura organizati-va, directrices aplicables a la organización, los productos y servicios, normas, roles y responsabilidades, flujos de información, políticas y objetivos, activos, capacidades de recursos y conocimiento, sistemas de información, proce-sos de toma de decisiones, etc.

En cuanto a los factores externos los podemos identifi-car actitudes del consumidor, cuestiones climatológicas, factores sociales, la tecnología, políticas gubernamentales, impuestos, financiación, clientes, factores específicos del sector, guerras o conflictos, cuestiones monetarias, co-mercio internacional, entre otros.

Se considera de bastante importancia que la entidad ten-ga claro e identifique cuáles son los factores a considerar en la implantación y planificación del Sistema de Gestión de la Calidad.

ISO 9001:2015, desarrollo e implementación de la estrategia



13


En el caso de no tomar en cuenta o dejarnos atrás algún factor de los más importantes puede afectar a la capaci-dad de la empresa para alcanzar los resultados espera-dos.

Algunos ejemplos de factores internos y externos que perjudican al Sistema de Gestión de la Calidad basado en la ISO9001 podrían ser:

• Clientes.

• Empleados.

• Proveedores.

• Inversionistas.

• Medios de comunicación.

• Competidores.

En cuanto al análisis de contexto que propone ISO 9001:2015, supone una ayuda para tomar las decisiones estratégicas en la empresa con respecto al Sistema de Gestión de la Calidad.

El proceso de trazado de la estrategia del Sistema de Ges-tión de Calidad engloba dos fases: desarrollo e implemen-tación de la estrategia.

Si nos centramos en el desarrollo de la estrategia tene-mos que tener en cuenta estos cuatro elementos:

• Qué vamos a hacer, qué productos y servicios vamos a ofrecer.

• Para quién lo vamos a hacer, a qué clientes y mercados serviremos.

• Por qué los usuarios nos comprarán, qué ventajas com-petitivas tendremos.

• Dónde incidiremos, cuáles serán nuestros mercados prioritarios.

Respecto a la implantación de la estrategia tenemos que tener en cuenta:

• Cómo vamos a conseguir lo anterior, es decir el qué, el para quién, el por qué y el dónde.

En el momento de tomar en cuenta decisiones estratégi-cas podemos plantear una serie de cuestiones que nos posibiliten este proceso, dichas cuestiones pueden ser:

• ¿Qué factores externos sustentan nuestra estrategia y nuestro Sistema de Gestión de la Calidad según ISO 9001?

• ¿Cómo nos vemos en el futuro?

• ¿Qué medidas tendremos que emplear para evaluar

¿Qué factores se deben considerar en el desa-rrollo e implementa-ción de la estrategia?

la eficacia de nuestro Sistema de Gestión de la Calidad baso en la ISO 9001?

• ¿Qué criterios emplearemos para evaluar las oportuni-dades que tendrán nuestros nuevos productos o ser-vicios?

• ¿Qué valores orientarán a nuestro negocio?

• ¿En cuáles de nuestras áreas de mercado tendremos que prestar una mayor atención o invertir más recur-sos?

• ¿De qué modo el plan de implementación del Sistema de Gestión de Calidad que tenemos diseñado garantiza que los objetivos de la organización, de los procesos y personales dan apoyo a la estrategia?

• ¿Qué tipo de clientes nuevos tendremos y cuáles de los ya existentes permanecerán con nosotros?

• ¿Qué factores son los más significativos para nuestros clientes?

• ¿Qué factores representan para nosotros una ventaja competitiva?

• ¿En qué áreas nuevas de mercado habrá que prestar una mayor atención o invertir más recursos?

Son cuestiones muy relevantes para que la empresa vaya hacia un buen tránsito. En post siguientes plantea-remos algunos de los mecanismos que existen con el fin de conocer el contexto de la entidad, puede que la más conocida para nosotros sea la matriz FODA (Fortalezas, Oportunidades, Debilidades y Amenazas), pero se pueden encontrar muchas más.

http://www.isotools.org/2015/01/06/iso-9001-2015-desarro-llo-implementacion-estrategia/

VERSIÓN ONLINE

http://www.isotools.org/2015/01/06/iso-9001-2015-desarrollo-implementacion-estrategia/

http://www.isotools.org/2015/01/06/iso-9001-2015-desarrollo-implementacion-estrategia/


14


Para implementar un Sistema de Gestión Ambiental fun-damentado en la norma ISO 14001, la dirección tendrá que garantizar siempre la disponibilidad de recursos que faciliten establecer, implementar, mantener y mejorar di-cho sistema.

El término recursos lo podemos interpretar, dependiendo de la madurez del sistema, recursos humanos, conoci-mientos especializados, equipos de medida y control, ser-vicios financieros, contratación de servicios externos, etc.

Este ámbito de la norma ISO14001 cobra mucha impor-tancia, por lo que en él se puede apreciar el verdadero interés de la dirección en el Sistema de Gestión Ambiental o SGA.

Tiene que estar definidos documentalmente y con detalle por parte de la dirección de la organización los puestos relevantes, desde el punto de vista del Sistema de Gestión Medioambiental. La dirección definirá uno (ante peque-ñas o medianas empresas) o varios representantes (frente a grandes o complejas organizaciones), los cuales, inde-pendientemente de diversas responsabilidades dentro de la entidad, tendrán perfectamente definidas y documen-tadas sus funciones, responsabilidades y límites de auto-ridad con el fin de:

• Garantizar día a día que el sistema sigue siendo confor-me al modelo de esta norma internacional.

• Informar a la dirección acerca del grado de aceptabi-lidad con que funciona el sistema, para que ésta, a lo largo del proceso de revisión, pueda incluir mejoras.

Se considera muy significativo que, aparte de definir ade-cuadamente las responsabilidades y funciones clave del SGA, la alta dirección comunique esto a la totalidad de su-jetos que trabajen en la empresa o en su nombre.

Por otro lado, la entidad tiene que realizar las acciones de sensibilización y formación necesarias con el fin de que todo el personal asuma sus funciones en el desarrollo del Sistema de Gestión Ambiental.

Los trabajadores o cualquier sujeto que realice tareas para la empresa tienen que poseer los conocimientos ne-cesarios sobre los impactos ambientales que puedan oca-sionar, para poder actuar adecuadamente en cualquier momento. Para ello, es necesario que el personal haya recibido formación adecuada.

Todos los trabajadores de la entidad tienen que ser cons-cientes de la importancia de cumplir todas las obligacio-nes del Sistema de Gestión Ambiental, de los beneficios para el medio ambiente derivados de sus actuaciones, de los inconvenientes de no hacerlo, así como su papel como elemento integrante del sistema.

Todos los puestos de trabajo no son iguales, existen unos puestos de trabajo llamados puestos clave. Según el nivel de responsabilidad en las decisiones a tomar o las activi-dades que puedan generar en relación con los impactos ambientales la entidad identificará esos puestos clave, cuya formación será más específica.

Se considera necesario identificar cualquier necesidad de formación relacionada con los aspectos ambientales y el

ISO 14001: Los planes de formación para un Sistema de Gestión Ambiental



15


propio SGA, y analizar si los sujetos necesitan conocimien-tos y experiencia específica para llevar a cabo sus puestos.

La entidad tiene que posibilitar la formación que identifi-que como necesaria para eliminar los impactos ambienta-les eludibles y tiene que mantener los registros asociados.

La entidad, en el desarrollo de este apartado de la norma, ha de contar con una sistemática documentada que dé respuestas a:

• La manera de identificar las necesidades de formación del personal.

• La manera de documentar los métodos de formación seleccionados para cumplir con las necesidades detec-tadas y su alcance.

La entidad se ocupará, aparte de definir los requisitos de formación y experiencia requerida para la realización de funciones que puedan influir en la gestión ambiental, ase-gurándose de que el personal que ocupa esos puestos cumple efectivamente con los requisitos necesarios.

A los trabajadores o sujetos que trabajen en nombre de la entidad, se les tiene que comunicar:

• La política ambiental y la importancia de mantener una conformidad con ella y con los procedimientos y requi-sitos del Sistema de Gestión Ambiental.

• Los aspectos ambientales significativos, los impactos reales o potenciales asociados con su trabajo y las ven-tajas ambientales derivadas de su comportamiento,

• Su responsabilidad en el seno del SGA.

• Las consecuencias derivadas de la falta de cumplimien-to de los procedimientos.

De esta manera, cada sujeto sabrá en cualquier momento qué tiene que hacer en conexión con la gestión ambiental de la empresa, pudiendo verificarlo, comprobarlo e inclu-so corregirlo.

La empresa, con el fin de poner en práctica los contenidos de este apartado de la norma, puede realizar un plan de formación que le ayude a llevar un control de las activi-dades formativas indicando los objetivos, tipos de forma-ción, los plazos de consecución, el seguimiento, las fechas de control, colectivo receptos, recursos y la periodicidad de la actuación.

La formación puede provenir de distintas fuentes. Entre los métodos de formación más destacados se encuentran los relacionados con el puesto de trabajo (formación di-recta por un superior o a través de rotación de oficios de igual nivel y responsabilidad) o con los externos (sustitu-

ción temporal y conferencias, seminarios, cursos, etc.).

La entidad tiene que establecer las vías de comunicación necesarias para garantizar que toda la información rela-cionada con sus aspectos ambientales y con el propio Sis-tema de Gestión Ambiental se transmite correctamente a todas las partes interesadas.

En este punto hay dos tipos de comunicación en la empre-sa: la interna y la externa. Estos dos tipos de comunicación tendrán que quedar plasmados en uno o varios proce-dimientos, teniendo en cuenta la comunicación interna entre las distintas áreas, accionistas, departamentos, etc. de la empresa y la externa entre las partes interesadas (administración, sociedad, etc.), reparando en el alcance de ésta.

Para que la información de naturaleza ambiental llegue a quien la precisa a fin de decidir o actuar en el seno de la empresa, se tienen que prever y hacer funcionar métodos de comunicación interna.

El procedimiento o los procedimientos, en el caso que sean varios, que la empresa desarrolle para alcanzar con este objetivo tendrán que incluir el mecanismo por el que la empresa comunica internamente, a cualquier nivel, la información relativa a los aspectos ambientales y el Siste-ma de Gestión Ambiental. También, se tendrá que indicar cómo se conservarán evidencias de dicha comunicación, las que pasarán a ser registros del sistema.

http://www.isotools.org/2015/01/07/iso-14001-planes-for-macion-sistema-gestion-ambiental/

VERSIÓN ONLINE

La entidad dará formación a los empleados para mitigar o eliminar impactos ambientales

http://www.isotools.org/2015/01/07/iso-14001-planes-formacion-sistema-gestion-ambiental/

http://www.isotools.org/2015/01/07/iso-14001-planes-formacion-sistema-gestion-ambiental/


16


El Sistema de Gestión de Seguridad y Salud Laboral basa-do en la norma OHSAS 18001 tiene como último elemen-to la Revisión por la Dirección. Es el elemento que pone fin al ciclo de mejora continua, a través de “Actuar” (A). Lo podemos definir como un “examen” de la entidad en el cual se analizan los datos y la información que suministra el sistema.

Se considera un elemento de elevada utilidad ya que sir-ve para conseguir conclusiones que posibilitan la toma de decisiones dirigidas hacia la obtención de acciones de mejora.

La alta dirección es la responsable de esta revisión, y se ocupará de revisar el Sistema de Seguridad y Salud en el Trabajo según la OHSAS-18001 de la entidad para asegu-rar su adecuación, conveniencia y eficacia.

Dicha revisión tendrá como elementos de entrada los si-guientes:

• Resultados de auditorías y demás evaluaciones. Audito-rías tanto internas como externas y evaluaciones como las relativas al cumplimiento de requisitos legales, regla-mentarios y normativos aplicables.

• Resultados de procesos de participación y consulta con los empleados.

• Comunicaciones procedentes de las partes interesadas.

• El desempeño de la Seguridad y Salud en el Trabajo de la misma entidad.

• Grado de cumplimiento de los objetivos.

• Estado de acciones correctivas y preventivas.

• Estado de las investigaciones de incidentes.

• Seguimiento de las acciones nacidas de las revisiones por la dirección anteriores.

• Cualquier otra modificación en las circunstancias. Cam-bios como la evolución de los requisitos legales y cual-quier otro relacionado con la Seguridad y Salud Laboral y las oportunidades de mejora.

Resultado de auditoríasEl resultado de auditorías es uno de los elementos de entrada, tanto internas como externas. Estas auditorías ofrecen una serie de resultados que tendremos que anali-zar, sin limitarnos solamente a las No Conformidades. Los aspectos a analizar serían:

• Causas.

• Acciones repetitivas.

• Gravedad de las no conformidades y sus efectos.

• Áreas en las que se produjeron.

Comunicaciones de las partes interesadasEs fundamental tener en cuenta en la revisión las comu-nicaciones obtenidas por las partes interesadas, ya sean proveedores, vecinos, gobernación, etc.

Se tendrá que incidir sobre aquellas comunicaciones de carácter legal, especialmente sin son infracciones legales que en las que haya incurrido la entidad e impliquen la

OHSAS 18001: Idoneidad, eficacia y adecuación para una Revisión por la Dirección



17


apertura de expedientes sancionadores.

Este tipo de comunicaciones pueden llevar a la necesidad de implementar metodologías que requieran inversiones para obtenerlas.

Acciones correctivas y preventivasTanto las acciones preventivas como las acciones correcti-vas son mecanismos que aportan mejoras importantes en la empresa, por lo que tienen que ser impulsadas desde la dirección.

Tiene que existir un responsable de seguimiento de la to-talidad de acciones emprendidas que, aparte de impulsar-las, apoye a todas las áreas de la entidad en su implanta-ción, seguimiento y análisis.

Con el fin de definir estas acciones se suelen usar unas fuentes de información, pudiendo variar de una entidad a otra, siendo las más usuales:

• Incidentes y accidentes.

• Comunicaciones externas.

• Análisis de objetivos de Seguridad y Salud Ocupacional.

• Propuestas de mejora.

• Variaciones previstas o ya producidas.

• Resultado de auditorías.

• Revisiones del sistema medioambiental.

Tienen que prevalecer las actuaciones orientadas a an-ticiparse a todo problema a otras que se ejecutan para corregirlos. Esto se traduce en que es preferible potenciar la instauración de medidas preventivas respecto a las me-didas correctivas.

Analizando estas acciones extraeremos información como:

• Nivel de eficacia de las acciones propuestas.

• Costos provenidos de las incidencias, al igual que bene-ficios derivados de las acciones a ejecutar.

• Grado de cumplimiento asignados en un principio a cada acción.

• Departamentos afectados.

• Causas, especificadas por tipología y carácter preven-tivo.

Seguimiento de revisiones anterioresDe la revisión por la dirección resultará un informe que se utilizará en las siguientes revisiones del sistema.

Es un mecanismo útil para desarrollar una comparativa entre dos ejercicios. Lo que se busca es identificar derivas posibles del Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la norma OHSAS 18001.

Análisis de cambios

Los responsables principales tienen que participar en esta revisión por la dirección, de tal manera que se le permita la identificación de los mismos al nivel de toda la empresa.

Resulta fundamental la identificación de las modificacio-nes previstas con el fin de planificar la implementación de los mismos.

Los resultados de una revisión por la dirección, tienen que ser afines con el compromiso de mejora continua de la empresa e incluso añadir la totalidad de decisiones y acciones relativas a cambios en el desempeño de la Se-guridad y Salud Ocupacional, los objetivos de política de Seguridad y Salud Laboral y los recursos y otros elemen-tos distintos del propio Sistema de Gestión de Seguridad y Salud en el Trabajo.

Toda revisión tendría que centrarse en la idoneidad, efica-cia y adecuación del Sistema de Gestión.

http://www.isotools.org/2015/01/08/ohsas-18001-idonei-dad-eficacia-adecuacion-revision-direccion/

VERSIÓN ONLINE

La importancia de la Revisión por la Dirección en los Sistemas de Gestión de Seguridad y Salud.

http://www.isotools.org/2015/01/08/ohsas-18001-idoneidad-eficacia-adecuacion-revision-direccion/

http://www.isotools.org/2015/01/08/ohsas-18001-idoneidad-eficacia-adecuacion-revision-direccion/


18


En la nueva norma ISO 9001:2015 la innovación que más está llamando la atención a los usuarios del Sistema de Gestión de Calidad es la gestión de riesgos.

Numerosos profesionales se preparan para hacer frente a este nuevo proyecto de norma y puede ser que estén re-visando estándares para la gestión de cualquier riesgo. En este artículo hablaremos de uno de estos estándares de riesgo, este es COSO.

Podemos desglosar COSO como el Committee os Sponso-ring Organization og Treadway Commission, y se crea en 1985 como consecuencia de las malas prácticas empresa-riales y los años anteriores de crisis. Lo que se pretendía con esta iniciática era llevar a cabo un liderazgo intelectual para la gestión de riesgo empresarial, la disuasión del frau-de y el control interno.

En el año 1992, se publica el denominado COSO I con el fin de ayudar a las organizaciones a evaluar y mejorar sus sistemas de control interno. Dicho informe definió al con-trol interno como un proceso generado por la dirección y demás trabajadores de una entidad y diseñado para pro-porcionar un grado de seguridad adecuado para la conse-cución de objetivos respecto a:

• Confiabilidad de cualquier información financiera de la organización.

• Cumplimiento de la normativa aplicable.

• Eficacia y eficiencia en operaciones.

Dicho estándar se disponía dividido en 5 capítulos:

Ambiente de control.

• Evaluación de Riesgos.

• Actividades de control.

• Información y comunicación.

• Supervisión.

En 2004, se publica COSO II o también, Enterprise Risk Management – Integrated Framework (ERM). Nosotros lo

conocemos como Marco Integrado de Riesgos, el que ex-tendió el concepto de control interno de COSO I a la gestión de riesgos en la que se implica a la totalidad de la plantilla de la entidad.

Pasamos a tener de 5 componentes en COSO I, a 8 en COSO II, siendo éstos:

Ambiente de control

Trata de los valores y filosofía de la entidad, este aspecto influye en la visión de los empleados de los riesgos y sus ac-tividades de control. Es la base de sobre la que posicionan al resto de elementos, e influye fundamentalmente en los objetivos y en la estrategia.

Establecimiento de objetivos

Se lleva a cabo el establecimiento de objetivos tanto es-tratégicos como operativos, de información y de cumpli-miento. Tiene que establecerse antes de la identificación de posibles acontecimientos que dificulten su consecución. Tienen que alinearse con la estrategia de la empresa.

Identificación de eventos

Nos interesa todo evento que pueda tener impacto sobre el cumplimiento de objetivos, pudiendo ser tanto negativos como positivos.

Evaluación de Riesgos

Se basa en la identificación y análisis de los riesgos funda-mentales en la consecución de objetivos. Es necesario para poder determinar el efecto que podrían tener, de materia-lizarse, en la consecución de objetivos. Se llevaran a cabo técnicas cuantitativas y cualitativas. La evaluación del riesgo primero se centrará en el riesgo inherente y, a continuación de éste, en el riesgo residual.

Respuesta a los Riesgos

La respuesta al riesgo será evaluada en base a cuatro clases: evitar, reducir, compartir y aceptar. En el momento que se tenga la respuesta al riesgo más correcta para una situación en cuestión, se efectuará otra evaluación del riesgo residual.

ISO 9001:2015, COSO como metodología de gestión de riesgo



19


http://www.isotools.org/2015/01/12/iso-90012015-coso-co-mo-metodologia-gestion-riesgo/

VERSIÓN ONLINE

Actividades de control

Se trata de políticas y procedimientos que aseguran la adecuada ejecución de acciones contra riesgos. Dichas ac-tividades serán generadas en toda la entidad, a todos los niveles y funciones.

Información y comunicación

La información tiene que estar disponible para la totalidad de niveles de la empresa, para no cometer errores en la identificación, evaluación al riesgo y no comprometa la con-secución de objetivos.

Supervisión

La supervisión consiste en el seguimiento de la metodolo-gía con el fin de garantizar que funciona adecuadamente y que está ofreciendo datos de calidad.

COSO II es una metodología capaz de abordar la gestión de riesgos en las empresas desde un enfoque integrador y que signifique una gran oportunidad para crear valor para sus partes interesadas o stakeholders.

COSO II define la gestión de riesgos corporativos de la si-guiente manera: “La gestión de riesgos corporativos es un proceso efectuado por el consejo de administración de una entidad, su dirección y restante personal, aplicable a la de-finición de estrategias en toda la organización y diseñado para identificar eventos potenciales que puedan perjudicar a ésta, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos”.

La definición se caracteriza por:

• Proporciona seguridad.

• Ser un proceso continuo.

• Se orienta hacia la consecución de unos objetivos.

• Estar diseñada para identificar peligros potenciales y ges-tionar los riesgos.

• Se traslada a todos los niveles de la organización.

En este ámbito, el modelo clasifica los objetivos de toda en-tidad en cuatro:

Objetivos estratégicos

Son los objetivos generados desde el mayor nivel de la em-presa y están conectados con la misión y visión de la misma.

Objetivos operativos

Los objetivos operativos son aquellos relacionados con la eficacia y eficiencia de las operaciones de la entidad, sin ol-vidar los relativos al desempeño y la rentabilidad.

Objetivos relativos a la información suministrada a terceros

Son objetivos que perjudican a la efectividad del reporting de información suministrada.

Objetivos relativos al cumplimiento regulatorio

Incluye cualquier objetivo relacionado con el cumplimiento, por parte de la empresa, de todos los requisitos legales, reglamentarios y normativos y aplicables.

COSO II interrelaciona cada uno de los objetivos antes des-critos con los ocho elementos que lo llevan a cabo y que más arriba definimos.

En último lugar es necesario nombrar los beneficios que aporta la aplicación de este modelo, cabe destacar:

• Ayuda a las exigencias normativas en la gestión y control de riesgos.

• Permite una respuesta más rápida y mejor a los cambios del entorno, a los mercados y a las partes interesadas.

• Permite obtener un conocimiento íntegro de los riesgos de la organización.

• Mejora la reputación de la organización.

• Aumenta la probabilidad de éxito en la implantación de la estrategia.

• Proporciona un notable aumento de la credibilidad y confianza entre los mercados y grupos de interés.

• Hace de la toma de decisiones un proceso más seguro.

• Asigna mejor y más eficientemente los recursos para la gestión de riesgos y oportunidades.

• Ofrece una gestión eficaz del control sobre los riesgos.

• Identificación proactiva y aprovechamiento de oportuni-dades.

• Permite prever mejor los impactos de los riesgos que afectan a una organización.

Como hemos podido observar, COSO II se orienta a la ges-tión del riesgo, materia que preocupa en el mundo de la calidad. La norma ISO9001:2015 no nos impondrá a usar ninguna metodología para este tema, por lo que evaluare-mos esta opción entre otras y adoptaremos la que más nos convenga.

http://www.isotools.org/2015/01/12/iso-90012015-coso-como-metodologia-gestion-riesgo/

http://www.isotools.org/2015/01/12/iso-90012015-coso-como-metodologia-gestion-riesgo/


20


El estándar ISO 27001 establece todos los requisitos ne-cesarios a la hora de implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en cualquier tipo de empresa.

La parte más importante de una empresa es la informa-ción. Evidentemente, la empresa contará con otro tipo de activos que también tendrán una destacada importancia, pero si la organización tiene algún problema en la Seguri-dad de la Información, ésta no podrá recuperarla. Esa es la principal razón por la que las empresas deben dedicar parte de su esfuerzo en garantizar la seguridad de la infor-mación corporativa.

Habitualmente, la gestión de la Seguridad de la Informa-ción en una empresa se encuentra desorganizada, por lo que no cuenta con un criterio común, es decir, cada departamento de la organización cuenta con sus propios procedimientos y políticas, que han sido constituidas sin contar con las necesidades generales de la empresa e in-cluso podemos hablar de que se encuentran alejadas de los objetivos del negocio.

Implementar un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 es la manera más eficiente de poder conseguir la coordinación y ges-tión necesaria para alcanzar los objetivos de la organiza-ción y además puede conseguir que la organización salga mucho más reforzada.

Un Sistema de Gestión de Seguridad de la Información se-gún la ISO27001 genera una garantía con la que sabemos que poder realizar una adecuada gestión de la seguridad de la información en la organización. Para ello, se debe realizar un tratamiento según los diferentes niveles de riesgos cosechados como consecuencia de considerar los distintos efectos que se pueden producir sobre la infor-mación de la organización.

El Sistema de Gestión de Seguridad de la Información se-gún la norma ISO-27001 genera un proceso de mejora continua y de gran flexibilidad frente a los cambios que se pueden producir en la empresa refiriéndonos a los proce-sos de negocio y a la tecnología, ya que ésta avanza a una gran velocidad.

El SGSI se basa en tres pilares fundamentales:

• Confidencialidad: es la garantía de acceso a la informa-ción de los usuarios que se encuentran autorizados para tal fin.

• Integridad: es la preservación de la información comple-ta y exacta.

• Disponibilidad: es la garantía de que el usuario accede a la información que necesita en ese preciso momento.

El Sistema de Gestión de Seguridad de la Información tiene que tener en cuenta los tres pilares fundamentales para realizar el tratamiento de los riesgos de la organiza-

ISO 27001: Pilares fundamentales de un SGSI



21


ción ya que la implementación de los controles de seguri-dad son los activos de la organización.

Sistema de Gestión de Seguridad de la Información

Implantar un Sistema de Gestión de Seguridad de la Infor-mación se encuentra basado en la norma ISO-27001. Este estándar internacional presenta un sistema de gestión basado en el ciclo de Deming: Planificar, Hacer, Verificar y Actuar, cuyas siglas en inglés son PHVA. El ciclo Deming o ciclo PHVA, supone la implementación de un Sistema de Gestión que se centra en la mejora continua que requiere de una constate evolución para adaptarse a los cambios que se producen en la organización e intentar conseguir el mayor nivel de eficacia operativa.

Procedemos a describir todas las actividades que realizan en cada una de las cuatro fases del ciclo Deming (PHVA):

1. Planificar: durante esta fase tiene lugar la creación de un Sistema de Gestión de Seguridad de la Información, con la definición del alcance y la política de seguridad. Para comenzar debemos realizar una análisis de riesgos que refleje la situación actual de la entidad. Una vez realizado el análisis obtendremos unos resultados que definirán el plan de tratamiento de riesgos que conlleva la implemen-tación en la empresa de unos controles de seguridad con el objetivo de mitigar los diferentes riesgos no asumidos por la dirección.

2. Hacer: durante esta fase de la implementación nos centramos en el plan de tratamiento de riesgos, es decir, su ejecución. Se debe incluir la formación y la conciencias de los trabajadores de la organización en materia de se-guridad y deben conocer la definición de métricas e indi-cadores que se utilizarán para evaluar la eficacia de los diferentes controles implementados.

3. Verificar: esta fase conlleva la realización de diferentes tipos de revisión en los que se comprobarán la correc-ta implementación del Sistema de Gestión de Seguridad de la Información según ISO 27001. Para ello, se deben realizar auditorías internas independientes y objetivas, además de llevar a cabo una revisión global del Sistema de Gestión de Seguridad de la Información por la alta di-rección de la empresa, persiguiendo el fin de marcarse nuevas metas a cumplir durante el próximo ciclo del SGSI.

4. Actuar: El resultado obtenido de las revisiones debe quedar reflejado en la definición e implementación de las diferentes acciones correctivas, preventivas o de mejora con las que se consigue avanzar en la consecución del Sis-tema de Gestión de Seguridad de la Información siendo un sistema eficaz y eficiente.

Para implementar un Sistema de Gestión de Seguridad de la Información que se deben utilizar las dos normas, es decir, la ISO 27001 en la que se describe el ciclo PHVA de gestión de sistemas y el estándar internacional ISO27002 en la que encontramos la guía de implantación de los dife-rentes tipos de controles de seguridad.

La norma tiene 11 dominios diferentes de controles que pretenden cubrir todos los ámbitos de una entidad donde debe existir la seguridad de la información. Los dominios se encuentran divididos en 39 objetivos de control que, a su vez, abarcan 133 controles de seguridad.

Se deben seleccionar los diferentes controles que se de-ben llevar a cabo para definir el plan de tratamiento de riesgos, se debe nutrir de los 133 controles que encon-tramos en la norma ISO 27002. El anexo A del estándar internacional ISO27001 engloba una lista con los diferen-tes controles que sirven de unión entre ambas normas internacionales.

SGSI

La Seguridad de la Información en las organizaciones se ha convertido en un motivo de preocupación y compro-miso.

http://www.isotools.org/2015/01/13/iso-27001-pilares-fun-damentales-sgsi/

VERSIÓN ONLINE

El ciclo PHVA en un Sistema de Gestión de Seguridad de la Información

http://www.isotools.org/2015/01/13/iso-27001-pilares-fundamentales-sgsi/

http://www.isotools.org/2015/01/13/iso-27001-pilares-fundamentales-sgsi/


22


Cualquier entidad tendrá que crear, almacenar y mante-ner actualizada la totalidad de documentación que se esti-ma necesaria para su Sistema de Gestión Ambiental (SGA) fundamentado en la norma ISO 14001. Habitualmente, la organización incluye en un manual de gestión ambiental, todos los elementos básicos e importantes del sistema.

Dicho manual es el elemento básico del Sistema de Ges-tión Ambiental, y en él se describe las responsabilidades, obligaciones, el alcance del propio sistema, así como la estructura organizativa. Además, se recogen todos los re-cursos y métodos específicos, generales, conocimientos, procedimientos o todo aquel documento que desarrolle las exigencias del sistema o sea necesario para el mismo. Incluso, el manual incluirá la política ambiental, los objeti-vos y fines de la entidad.

El manual responderá a la totalidad de preguntas ligadas con el Sistema de Gestión Medioambiental ya que en este documento se cuenta con toda la información importan-te y destacada para saber lo que se necesitaría hacer, el cómo, cuándo y a quién se le pueden pedir las responsa-bilidades al respecto.

Toda la documentación tendrá que aparecer muy espe-cificada, lo bastante como para describir los elementos referentes y centrales del SGA, sus interacciones y pro-porcionar orientación acerca de dónde obtener informa-ción más específica respecto a una operación puntual del Sistema de Gestión Ambiental basado en la ISO14001. Dependiendo de la entidad, la documentación se podrá guardar tanto en papel como en formato digital.

Normalmente, la forma de estructurar la documentación del sistema es en forma piramidal.

Nivel I:

Se conforma del manual del Sistema de Gestión Medioam-

biental. En dicho texto, se detalla la política ambiental y se utiliza como guía para así documentar las responsabi-lidades y funciones principales, especificar las relaciones del sistema, los objetivos generales y ofrecer orientación acerca de la documentación de referencia. En este escrito se reflejan la totalidad de los documentos que conforman el sistema y sirve de base para el desarrollo de los proce-dimientos específicos y generales.

Nivel II:

En el segundo nivel de esta pirámide se encuentran los procedimientos. En este documento se detallan los mé-todos a aplicar y los criterios a seguir para alcanzar con los requisitos necesarios para implantar adecuadamente un SGA. Cada uno de los capítulos de este manual está desarrollado por uno o varios procedimientos, e incluso en cada capítulo se tiene que hacer referencia a los proce-dimientos que lleva a cabo.

Nivel III:

En el tercer nivel se recogen los procedimientos específi-cos del sistema y orientaciones técnicas. Se trata de do-cumentos de un nivel más concreto acerca de aspectos puntuales del funcionamiento del Sistema de Gestión Am-biental.

Nivel IV:

Por otra parte, en este apartado se detalla toda la do-cumentación que tiene que formar parte del SGA según ISO-14001 y que no se encuentra recogida en ninguno de los niveles anteriormente mencionados. Destacan los re-gistros del Sistema de Gestión Ambiental que proceden del uso de los formatos incluidos en los procedimientos o planes de actuación (de auditoría, plan de formación, etc.).

En el momento en el que se desarrollen los cuatro niveles de la empresa de la documentación del Sistema de Ges-

ISO 14001: Estructura de la documentación de un Sistema de Gestión Ambiental



23


tión Ambiental, se tiene que hablar acerca del control de la misma cuya responsabilidad cae en la misma empresa que tendrá que determinar y mantener al día uno o varios procedimientos con el fin de controlar la documentación de su SGA.

Es necesario que la documentación de un Sistema de Gestión Ambiental fundamentado en la norma ISO14001 se encuentre localizada, se apruebe y revise cuando sea conveniente y retirada cuando se encuentre ambigua u obsoleta. La documentación tiene que identificarse fácil-mente (nombre, número o referencia de los documen-tos), encontrarse accesible en el momento que se precise (distribuyendo copias en los lugares detallados), añadir fechas de edición, además de estar revisada y actualizada totalmente.

En algunos casos, el archivo del documento ya antiguo sir-ve para satisfacer un requisito legal. En dicho caso, este texto tiene que identificarse de una manera adecuada.

La organización tiene el deber de explicar los procedi-mientos a seguir para saber cómo se efectuará la distribu-ción, revisión y aprobación, identificación y retirada de los documentos obsoletos. Un sujeto tiene que encargarse de esta gestión documental para revisar los textos y ga-rantizar que no se contradicen con algún requisito o re-querimiento de la norma y, posteriormente, llevar a cabo su aprobación. El archivo de los documentos se manten-drá, a lo largo de al menos tres años de vigencia del cer-tificado ISO 14001, aunque alguno de ellos se quede en situación de desuso.

Cualquier documentación que se produzca y genere como consecuencia de la aplicación de los procedimien-tos del Sistema de Gestión Ambiental que no establezca registros del sistema y aquella documentación externa que perjudique a la gestión ambiental, serán controlados, así como analizados.

El fin que se persigue en el control de la documentación es determinar los controles necesarios para garantizar que los aspectos ambientales se trabajan correctamen-te, minimizando los impactos ambientales relacionados, identificando las actividades que pueda n ocasionar coli-sión con el medio ambiente tanto en los servicios como en los procesos de producción.

La organización tendrá que determinar las actividades y operaciones que se encuentren ligadas con los aspectos ambientales representativos para llevar a cabo un correc-to control, de acuerdo con su política ambiental, objetivos y fines. Para contribuir a ello, la entidad podrá hacer uso

de la lista de aspectos ambientales:

• Almacenaje.

• Vertidos.

• Uso de energía.

• Utilización de productos químicos.

• Riesgos de accidentes.

• Uso de agua.

• Generación de residuos.

• Uso de materias primas y empleo de recursos naturales.

• Emisiones atmosféricas.

• Contaminación y degradación del suelo.

• Otros (ruido, olores, vibraciones, impacto visual, biodi-versidad, etc.).

Continuamente, se tendrán que describir la manera en la que llevarán a cabo estas actividades y actuaciones para que los impactos ambientales que produzcan se pudie-ran considerar controlados o no lleguen a generarse. Para ello, se debería realizar una planificación, elaborar los cri-terios necesarios para decidir si se están desenvolviendo en base a lo planeado y determinar métodos de correc-ción.

El control de las operaciones tiene que englobar a las operaciones de mantenimiento, así como a proveedores y subcontratistas en sus actividades ligadas a la organiza-ción en particular. Además, es importante que los proce-dimientos de control operacional se informen a cualquier proveedor y subcontratista, así como el mantenimiento de un registro de tal comunicación.

Asimismo, si la organización ve necesario incluir a los proveedores y subcontratistas ambientales en el procedi-miento de evaluación, tendrá que establecer los criterios medioambientales que se exigen y tener control del análi-sis y de su mantenimiento.

Algunas actividades en las que se requiere un control ope-racional pueden ser: los vertidos, las emisiones atmosféri-cas, proveedores, subcontratistas, la gestión de residuos, el almacenamiento de productos químicos, etc.

http://www.isotools.org/2015/01/14/iso-14001-estructu-ra-documentacion-sistema-gestion-ambiental/

VERSIÓN ONLINE

http://www.isotools.org/2015/01/14/iso-14001-estructura-documentacion-sistema-gestion-ambiental/

http://www.isotools.org/2015/01/14/iso-14001-estructura-documentacion-sistema-gestion-ambiental/


24


OHSAS 18001 se considera una norma auditable. El con-cepto de auditor aparece en la norma ISO 19011:202 des-crita cono la “persona con la competencia (atributos per-sonales y aptitud demostrada para aplicar conocimientos y habilidades) para llevar a cabo una auditoría”.

Hay que distinguir entre auditorías internas y externas de OHSAS18001, teniendo en cuenta:

• Auditores internos, son los auditores que forman par-te de la organización que va a ser auditada. Se trata de empleados que, independientemente de las funciones que desarrollan en su empresa, asumen el cargo de au-ditores internos respecto de aquellas áreas, funciones y departamentos en los cuales no tienen responsabilidad alguna.

• Auditores externos, son los auditores que no pertene-cen a la entidad del auditado. Nos estamos refiriendo a entidades o a individuos que son contratados por el usuario para que realicen una auditoria en su misma entidad, o bien en la entidad de uno de sus subcontra-tistas o proveedores en su representación.

Con el fin de seleccionar un equipo auditor OHSAS 18001, se tendrá que garantizar que el equipo seleccionado cuente con todas las competencias incluyendo:

• Conocimientos generales sobre el desarrollo de audi-torías.

• Habilidades en el esquema de seguridad y salud laboral, OHSAS18001.

• Competencia para comprender los procedimientos es-pecíficos relacionados (capacidad técnica).

• Saber identificar y entender los requerimientos legales y reglamentarios ligados con las instalaciones y activida-des de la organización.

Además, es importante tener en cuenta las siguientes ap-titudes:

• Aceptación por parte del auditado.

• Desarrollo profesional.

• Imparcialidad e independencia.

• Cuestiones culturales.

• Disponibilidad.

• Capacidad de trabajo en equipo.

• Conocimiento del lenguaje de la auditoría.

• Formación necesaria.

Las funciones y obligaciones del auditor del Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la

OHSAS 18001: Auditoría en los Sistemas de Gestión de Seguridad y Salud en el Trabajo



25


norma OHSAS-18001 son las que mencionamos a conti-nuación:

• Comunicar los resultados de las observaciones de la au-ditoría tanto de forma oral como escrita.

• Cumplir con los requisitos de la auditoría y realizar la gestión de ésta según los procedimientos del cliente y al plan de auditoría acordados.

• Mantener la documentación necesaria de la auditoria.

• Actuar de modo ético.

• Estar atento en todas aquellas situaciones donde la eva-luación del cumplimiento requiera mayor análisis.

• Trabajar dentro de las tareas asignadas y del marco del alcance de la auditoría.

• Recopilar y analizar las evidencias necesarias para valo-rar el cumplimiento del Sistema de Gestión de la Segu-ridad y Salud en el Trabajo OHSAS18001 (SST) con los criterios de auditoría.

• Inspeccionar las observaciones de la auditoría.

• Conservar la confidencialidad.

• Planificar y desempeñar de manera eficiente y eficaz las responsabilidades asignadas.

• Comunicar y aclarar los requisitos de la auditoría, así como a los auditados.

• Ayudar a entender los requisitos de OHSAS 18001 como Sistema de Gestión de la SST u otros documentos que determinen los criterios de auditoría.

• Comprobar la eficiencia de las operaciones de correc-ción desarrolladas como consecuencia de la auditoría, siempre que sean necesarias.

• Ayudar y cooperar con el auditor líder.

Responsabilidades adicionales del auditor líder OHSAS 18001 (líder del equipo auditor)Se llama auditor líder OHSAS 18001 al responsable de to-dos los procesos de la auditoría y tiene que comprobar que todos los objetivos de la auditoría se han llevado a cabo. Además, es el encargado de gestionar toda la au-ditoría, y por esa misma razón, tiene que contar con la competencia de liderazgo y gestión. Es el responsable de las decisiones finales ligado al desarrollo de la auditoría y la distribución y categorización de los hallazgos al tiempo que proporcionará las recomendaciones finales.

Por ello, las responsabilidades adicionales del auditor lí-der OHSAS18001 añaden:

• Englobar toda la información destacable requerida para llevar a cabo la auditoria.

• Trabajar en la selección de componentes del equipo auditor.

• Preparar el plan de auditoría y asignar las tareas a cada uno de los miembros del equipo.

• Comprobar que la totalidad de documentos del trabajo requerido están preparados.

• Revisar que los documentos del Sistema de Gestión de Seguridad y Salud en el Trabajo son los acordes con lo que estamos trabajando.

• Representar al equipo auditor ante el cliente que va a ser auditado.

• Presidir las reuniones de apertura y cierre.

• Garantizar que el proceso de auditoría se desarrolla se-gún lo previsto, incluyendo la necesidad de incluir nue-vas personas en el equipo si fuera necesario.

• Garantizar que el equipo auditor realiza reuniones orga-nizadas y coordinadas regularmente.

• Asegurar que se comunica con transparencia los resul-tados de las auditorías y de sus conclusiones (incluyen-do aquellos hallazgos de una No Conformidad crítica).

• Presentación del informe final de la auditoría.

El perfil ideal del auditor OHSAS 18001Entre los caracteres ideales del auditor destacan los si-guientes:

• Diplomático.

• Paciente.

¿Conoces las responsabilidades de un auditor líder OHSAS 18001?


26


• Dialogante.

• Formado.

• Autocrítico.

• Honesto.

• Analítico.

A los auditores de OHSAS18001, se le pueden sumar otros colaboradores, como: auditores en prácticas, tra-ductores e intérpretes, o incluso, observadores. Estos últi-mos habitualmente suelen ser:

• Personal de la entidad auditora cuya intención es eva-luar al auditor con vistas a su registro y cualificación.

• Personas de la misma organización auditada que han manifestado su deseo de participar en la auditoría para su formación personal y profesional.

• Personas representantes de algún comprador.

Estos observadores tienen que mantenerse imparciales en lo que se refiere al desarrollo de la auditoría y no inter-ferir en su ejecución. Su presencia tiene que estar autori-zada por la dirección de la entidad auditada.

Evaluación de las características del auditor OHSAS 18001

Dicha evaluación se hace efectiva a través de una serie de parámetros que engloban aptitudes profesionales (cul-tura, bases técnicas, formación específica y experiencia previas), aptitudes intelectuales (comprensión, memoria, intuición, capacidad de juicio, sentido de la organización

y detección de errores), comportamiento social (honesti-dad, autocrítica, sentido de la responsabilidad, discreción firmeza, entereza, disciplina, carácter, espíritu de equipo, iniciativa, decisión, sociabilidad, espíritu de progreso y for-mación) y aptitudes físicas (salud, presencia, dinamismo y resistencia).

Bases fundamentales del auditor para el éxito de una au-ditoría del Sistema de Gestión de Seguridad y Salud en el Trabajo

Para abordar adecuadamente una auditoría del Sistema de Gestión de la SST según OHSAS 18001, el auditor tiene que tener en cuenta unas premisas que tienen que ser perseguidas a lo largo de la ejecución de la misma:

• Preparación: La calidad de la preparación determina la calidad de la auditoría:

• Analizar la documentación.

• Preparar las listas de comprobación.

• Estar formado.

• Saber expresarse: Para que entiendan sus preguntas, razonamientos y opiniones.

• Saber escuchar: Saber pensar y callarse en nuestra opi-nión y en nuestra respuesta.

• Ser conscientes de nuestras actitudes, comportamien-tos e influencia.

• Saber hacer hablar: Para poder profundizar, reenfocar y detallar los temas de interés.

http://www.isotools.org/2015/01/15/ohsas-18001-auditoria-sistemas-gestion-seguridad-salud-trabajo/VERSIÓN ONLINE

http://www.isotools.org/2015/01/15/ohsas-18001-auditoria-sistemas-gestion-seguridad-salud-trabajo/



27


ISO 9001:2015, metodología COSO III para la

gestión de riesgos

La nueva norma ISO 9001:2015 habla especialmente acer-ca de la gestión de riesgos, que es una de las novedades más destacadas en los círculos profesionales de la calidad.

En artículos anteriores hemos comentado de una de los mecanismos o metodologías que podremos emplear para llevar a cabo esta gestión, haciendo referencia a COSO I y COSO II.

La tercera versión, COSO III, se publicó en el año 2013. Este renovado Marco Integrado de Gestión de Riesgos incluye novedades como estas:

• Aumenta la confianza en cuanto a la eliminación de ries-gos y consecución de objetivos.

• Mejora la agilidad de los Sistemas de Gestión de Riesgos en su adaptación con los entornos.

• Aporta mayor claridad referente a la comunicación y la información.

Dicho Marco Integrado COSO III, proporciona mayor cober-tura de riesgos en las entidades. Las modificaciones más significativas son las que cuenta, desde COSO II son, estruc-turadas por componentes:

Entorno de control• Nos encontramos con cinco principios que detallan: la

importancia de la integridad y valores éticos, la importan-cia del modo de operar de la administración y su filosofía, la relevancia de contar con una estructura organizativa, una adecuada asignación de responsabilidades y el valor de las políticas de recursos humanos.

• Se aclaran las relaciones entre los elementos que com-ponen el control interno para subrayar la relevancia del entorno de control.

• Se incrementa la información sobre el gobierno corpora-tivo de una entidad, apreciando diferencias en estructu-ras, requisitos, sectores y tipos de entidades.

• Se refuerza la supervisión del riesgo, así como la relación entre el riesgo y su respuesta.

Evaluación de riesgos- Se amplía la categoría de objetivos de reporte.

- Se señala que la evaluación de riesgos incluye: identifica-ción, análisis y respuesta a los riesgos.


28


Se incluyen conceptos como velocidad y persistencia de riesgos, como criterios de evaluación.

Se tiene en cuenta la tolerancia al riesgo en la evaluación de niveles aceptables de riesgo.

Se considera el tipo de riesgo conectado a las fusiones, ad-quisiciones y externalizaciones.

Se amplía la consideración de riesgo al fraude.

Actividades de control• Se señala que las actividades de control vienen determi-

nadas por procedimientos y políticas.

• Se tiene en cuenta el rápido cambio y la evolución de la tecnología.

• Se acentúa la diferenciación entre controles automáticos y controles generales de tecnología.

Información y comunicación• Se puntualiza la importancia de la calidad de la informa-

ción dentro del sistema de control interno.

• Se penetra en la necesidad de información y comunica-ción entre la entidad y terceras partes.

• Se exalta el impacto de los requisitos legales sobre segu-ridad y protección de la información.

• Se muestra el impacto de la tecnología y otros medios de comunicación en la rapidez y calidad del flujo de in-formación.

Actividades de monitoreo y supervisión• Se hace más clara la terminología, a través de la defini-

ción de dos categorías de actividades de monitoreo: eva-luaciones independientes y evaluaciones continuas.

• Se ahonda en la relevancia del uso de proveedores de servicios externos y la tecnología.

La administración de riesgos en la versión anterior era uno de los elementos básicos del control interno con el que po-díamos alcanzar una eficacia y eficiencia de las operacio-nes, el cumplimiento de las leyes, normas y/o reglamentos y la confiabilidad de los reportes. Esto es porque el sistema de Gestión de Riesgos no es independiente del sistema de

control interno, ya que se encuentran integrados. Esto se podría decir también en sentido inverso.

COSO III se publica 9 años después de COSO II, una versión actualizada y mejorada. Esta revisión de la metodología admite cualquier cambio y mejora que se introdujeron en COSO II, salvo que los elementos quedan reducidos a cinco, por lo que dejan de hacer referencia explícita a:

• Establecimiento de objetivos.

• Identificación de eventos.

• Respuesta a los riesgos.

Sin embargo, el elemento correspondiente a evaluación de riesgos, sí admite de forma indiscutible que la dicha evalua-ción tendrá que incluir:

• Identificación de cada uno de los riesgos.

• Análisis de riesgos.

• Respuesta precisa a los riesgos.

Asimismo, como elemento novedoso, se da protagonismo a conceptos como puede ser la tolerancia al riesgo en la evaluación de niveles aceptables de riesgo, y se incluyen otros como la velocidad y persistencia de los riesgos, sien-do motivos para evaluar la criticidad de los mismos.

Por otra parte, cuando se hablan de mejoras de este Marco actualizado, se manifiesta que se encuentra acompañado de dos nuevos documentos: el relativo al control interno de la información financiera externa (ICEFR) y los mecanis-mos de evaluación a utilizar para poder valorar la eficacia del control interno.

Esto último parece olvidar que en 2006 COSO publicó el documento “Control Interno para la información financiera para pequeñas y medianas empresas cotizadas”, así como en 2009, la “Guía para la Supervisión de Sistemas de Con-trol Interno”.

Las empresas que se encuentren trabajando con COSO tienen que saber que esta versión de la metodología de gestión de riesgos es la vigente en la actualidad, quedando derogadas las versiones anteriores, del mismo modo que las entidades al implementar ISO 9001:2015 quieran utili-zar este mecanismo para aplicar la gestión de riesgos que exige la norma.

http://www.isotools.org/2015/01/19/iso-90012015-metodologia-coso-iii-gestion-riesgos/VERSIÓN ONLINE

http://www.isotools.org/2015/01/19/iso-90012015-metodologia-coso-iii-gestion-riesgos/



29


ISO 14001: La verificación en el Sistema de Gestión Ambiental

En este texto vamos a hablar sobre el procedimiento de-sarrollado por la empresa para realizar la verificación de la norma ISO 14001 a la hora de implantar un Sistema de Gestión Ambiental.

Seguimiento y mediciónEl objetivo que se persigue con la verificación en la norma ISO14001 a la hora de implementar un Sistema de Gestión Ambiental es la instauración de todos los procedimientos necesarios para poder medir, de forma segura y regular, todas las características que existen en las actividades y operaciones que puedan generar un impacto negativo so-bre el medio ambiente. Además, se intenta fijar las normas que tienen que cumplirse para llevar a cabo la calibración y el mantenimiento de los distintos equipos de medición con los que cuenta la empresa.

Los procesos de medición con los que cuenta la empresa deben reunir los suficientes parámetros para que sea fiable el seguimiento del cumplimiento de la legislación y el proce-so de mejora continua.

La empresa desarrolla uno o varios procedimientos en los

que se deben contemplar todas las variables clave de las distintas actividades relacionadas con el correcto funciona-miento y los aspectos significativos de todas las instalacio-nes. Además, el proceso de medición y seguimiento debe quedar contemplado con el acondicionamiento de todos los controles operacionales que se llevan a cabo gracias a los aspectos significativos, es decir, el estado de las metas ambientales, los objetivos y el cumplimiento de los requisi-tos legales aplicables.

La entidad o empresa es la encargada de elaborar los do-cumentos que controlen el proceso de calibración y man-tenimiento de los equipos de medida relacionados con las actividades que están sujetas a los procesos de seguimien-to y medición. Los documentos especifican la periodicidad de los seguimientos, las mediciones y las calibraciones, ade-más de la metodología empleada para llevarlas a cabo y los responsables de dichos procedimientos que deberán reali-zar un informe final. El periodo de tiempo en que se deben realizar los seguimientos y las mediciones debe ser cohe-rente con los requisitos legales que se les pueden aplicar.

Los registros obtenidos por las empresas durante el pro-


30


ceso de seguimiento y medición de la norma ISO14001 deben incluir siempre el resultado de las mediciones y de las calibraciones que, en su caso, deberán contener como mínimo la calibración del equipo, la incertidumbre de las medidas realizadas y la identificación inequívoca del equipo utilizado para llevar a cabo la medición.

Cuando la empresa utiliza sus propios medios para llevar a cabo la medida y el registro debe contener, además, todos los datos de su trazabilidad y los patrones aceptados.

Si las medidas se realizan por parte de las entidades acredi-tadas tiene que obtenerse una evidencia de la acreditación para poder realizar análisis contrastados en todo momen-to. Por lo que en este caso, se toma por bueno el procedi-miento de calibración y la trazabilidad de todos los patro-nes para llevar a cabo el análisis para lo que está acreditada la empresa.

Los registros que se obtienen se utilizarán en la empresa para poder identificar los diferentes indicadores de com-portamiento y usarlos a la hora de implementar las accio-nes correctivas y preventivas impuestas por la norma ISO-14001, estimando el cumplimiento de los objetivos y las metas del Sistema de Gestión Ambiental. Además podrán conocer si está mejorando el desempeño ambiental de la organización.

Evaluación del cumplimiento legalLa organización tiene que llevar a cabo diferentes proce-dimientos para poder demostrar que cumple irrefutable-mente con el compromiso de cumplir con todos los requisi-tos legales y otros requisitos legales que les son aplicables.

La empresa debe realizar evaluaciones cada cierto tiempo con el fin de mantener todos sus registros actualizados con los resultados que va obteniendo.

La evaluación del cumplimiento legal guarda mucha simi-litud en la norma ISO 14001 con el seguimiento y la medi-ción, aunque se establecen necesidades diferenciadas en

cada procedimiento para cada requisito que puede encon-trarse documentado o no.

Cuando los procedimientos de seguimiento y medición de la ISO 14001, se encuentran relacionados con los requisitos legales u otros requisitos, la empresa tendrá que poner es-pecial atención en demostrar que cumplen todos los requi-sitos. Para ellos, se puede editar un formato que contenga toda la lista de requisitos legales y otros requisitos y con-templar todos los indicadores que te dicen cuándo, dónde y quién los ha verificado.

No Conformidad, Acción Correctiva y Acción Pre-ventivaLa organización tiene que establecer una sistemática que le facilite la identificación, la comunicación y la gestión ade-cuada de todos los fallos reales que se producen en el Sis-tema de Gestión Ambiental basado en la norma ISO14001, además de aplicar las acciones preventivas o correctivas, según sea el caso, para evitar o corregir los fallos poten-ciales.

Una No Conformidad se puede entender como todo tipo de incumplimiento de lo exigido por cualquiera de los re-quisitos que genera el Sistema de Gestión Ambiental o que infrinja los principios en los que nos basamos.

La forma de actuar ante una No Conformidad es la siguien-te: la organización debe poner remedio a todos los daños ambientales producidos, además deberá solucionar las causas que generaron dicho daño (Acción Correctiva) y si es posible se debe evitar que tal situación se produzca nue-vamente (Acción Preventiva).

La empresa tiene que disponer de uno o varios procedi-mientos escritos donde se describe el origen y la detección de las No Conformidad, el tratamiento que se les debe dar, y los análisis y las resoluciones de las no conformidades.

Una vez realizado esto, la empresa puede establecer las Ac-ción Correctiva y Acción Preventiva que estime oportunas, además de realizar el seguimiento necesario para compro-bar la eficacia y comunicarla.

Además, el registro de evidencias se debe mantener ya que demuestra el cumplimiento de las pautas descritas.

http://www.isotools.org/2015/01/20/iso-14001-verifica-cion-sistema-gestion-ambiental/

VERSIÓN ONLINE

Cómo hacer el seguimiento y medición de un Sistema de Gestión Ambiental

http://www.isotools.org/2015/01/20/iso-14001-verificacion-sistema-gestion-ambiental/

http://www.isotools.org/2015/01/20/iso-14001-verificacion-sistema-gestion-ambiental/



31


La familia de normas ISO 27000

La Organización Internacional de Estandarización (ISO) re-coge un extenso número de normas dentro de la familia de ISO 27000.

Cada norma tiene reservado una número dentro de una se-rie que van desde 27000 hasta 27019 y de 27030 a 27044. Vamos a realizar un repaso por todas las normas de la serie:

Esta estandarización contiene las definiciones y los térmi-nos que se utilizarán durante toda la serie 27000. Para apli-car cualquier normativa necesita conocer un vocabulario perfectamente definido, por lo que así evitaremos cualquier mala interpretación de conceptos técnicos y gestión. Esta norma es gratuita a diferencia de las demás de la serie de normas que sí que suponen un coste para su implementa-ción.

ISO 27001La última versión de esta norma fue publicada en el año 2013. Es la norma principal de toda la serie ya que incluye todos los requisitos del Sistema de Gestión de Seguridad de la Información en las organizaciones. La ISO 27001 sustituye a la BS 7799-2 estableciendo unas condiciones de adapta-ción para aquellas empresas que se encuentren certificadas bajo esta última. En el Anexo A se enumeran los objetivos de control y los análisis que desarrolla la norma ISO27001 para que se puedan seleccionar las empresas durante el progreso de sus Sistemas de Gestión de Seguridad de la Información. La empresa podrá argumentar el hecho de no aplicar los controles que no se encuentren implementados ya que no es obligatorio.

ISO 27002

Es un manual de buenas prácticas en la que se describen los objetivos de control y las evaluaciones recomendables en cuanto a la seguridad de la información. Esta norma no es certificable. En ella podemos encontrar 39 objetivos de control y 133 controles agrupados en 11 dominios diferen-tes. Como se ha mencionado anteriormente, la norma ISO 27001 incluye un anexo que resume todos los controles que podemos encontrar en la norma ISO 27002.

ISO 27003Es un manual para implementar un Sistema de Gestión de Seguridad de la Información y además, nos da la informa-ción necesaria para la utilización del ciclo PHVA (viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”) y todos los requerimientos de sus diferentes fa-ses. El origen de esta norma se encuentra en el Anexo B de la norma BS7799-2 y en la serie de documentos publicados a lo largo de diferentes años con recomendaciones y guía de implementación.

ISO 27004En este estándar se especifican las técnicas de medida y las métricas que son aplicables a la determinación de la eficacia de un Sistema de Gestión de Seguridad de la Información y los controles relacionados. Las métricas se utilizan para la medición de los componentes de las fases “implementar y utilizar” del ciclo deming.

ISO 27005Esta normativa establece las diferentes directrices para la gestión de los Riesgos en la Seguridad de la Información. Se


32


trata de una norma de apoyo a los conceptos generales que vienen especificados en la ISO 27001 y se encuentra diseña-da para ayudar a aplicar, de una forma satisfactoria, la segu-ridad de la información basada en un enfoque de gestión de riesgos. Para comprender a la perfección esta norma es necesario conocer todos los conceptos, modelos, procesos y términos descritos en la norma ISO-27001 e ISO 27002. Dicha norma se puede aplicar a todo tipo de organizaciones que tienen la intención de gestionar todos los riesgos que se puedan dar en la empresa en temas de seguridad de la información.

ISO 27006Este estándar específica todos los requisitos para lograr la acreditación de las entidades de auditoría y certificación de Sistema de Gestión de Seguridad de la Información. ISO 27006 se trata de una versión revisada de la EA-7/03 (requi-sitos para la acreditación de entidades) que añade a la ISO/IEC 17021 (requisitos para entidades de auditoría y certifica-ción de Sistemas de Gestión), los requisitos específicos de la ISO 27001 y los del Sistema de Gestión de Seguridad de la Información. Asimismo, esta norma ayuda a interpretar todos los criterios de acreditación de ISO/IEC 17021 cuando se aplican en organismos de certificación de la norma ISO 27001, pero no se trata de una norma de acreditación por sí misma.

ISO 27007Es un manual de auditoría de un Sistema de Gestión de Seguridad de la Información. Es un estándar Internacional el cual ha sido creado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, man-tener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

ISO 27011Es una guía de gestión de seguridad de la información espe-cífica para telecomunicaciones Ha sido elaborada conjun-tamente con la Unión Internacional de Telecomunicaciones (ITU).

ISO 27031Es una guía de continuidad de negocio basada en las tec-nologías de la información y las comunicaciones. Explica los principios y conceptos de la tecnología de información y co-municación (TIC), la preparación para que continúe el nego-cio, y la descripción de los procesos y métodos necesarios para señalar e identificar todos los aspectos que sirvan para mejorar la preparación de las TIC de una empresa con la

finalidad de garantizar la continuidad del negocio.

ISO 27032Es un texto relativo a la ciber-seguridad. Se trata de un es-tándar que garantiza directrices de seguridad que desde la organización ISO han asegurado que “proporcionará una colaboración general entre las múltiples partes interesadas para reducir riesgos en Internet”. Más concretamente, ISO/IEC 27032 proporciona un marco seguro para el intercam-bio de información, el manejo de incidentes y la coordina-ción para hacer más seguros los procesos.

ISO 27033Es una norma derivada de la norma de seguridad ISO/IEC 18028 de la red. Esta norma da una visión general de se-guridad de la red y de los conceptos asociados. Explica las definiciones relacionadas y aporta orientación de la gestión de la seguridad de la red.

Consiste en 7 partes:

• Gestión de seguridad de redes

• Arquitectura de seguridad de redes

• Marcos de redes de referencia

• Aseguramiento de las comunicaciones entre redes me-diante gateways

• Acceso remoto

• Salvaguardia de comunicaciones en redes mediante VPNs

• Diseño e implementación de seguridad en redes.

ISO 37034Es una guía de seguridad en aplicaciones.

ISO 27799Se trata de un estándar de Gestión de Seguridad de la Infor-mación dentro del sector sanitario aplicado a la norma ISO 17799 (actual ISO 27002). Dicha norma no es desarrollada por el subcomité JTC1/SC27 sino que la lleva a cabo el co-mité técnico TC 215. Esta normativa define las directrices necesarias para apoyar la interpretación y la aplicación en la salud informática de la norma ISO 27002 y es un comple-mento a dicha norma. Esta especifica un conjunto detallado de controles y directrices de buenas prácticas para la ges-tión de la seguridad de la información por las empresas del sector sanitario.

http://www.isotools.org/2015/01/21/familia-normas-iso-27000/VERSIÓN ONLINE

http://www.isotools.org/2015/01/21/familia-normas-iso-27000/



33


OHSAS 18001: Tipos de auditoria para las organizaciones

La norma OHSAS 18001 determina los requerimientos para un Sistema de Gestión de la Seguridad y Salud en el Trabajo (SST), destinados a permitir que una empresa con-trole sus riesgos para la SST y mejore su ejercicio de la SST.

Certificar e implantar un Sistema de Gestión de la Seguri-dad y Salud en el Trabajo según OHSAS 18001 permite a las empresas:

• Cumplir la legislación en materia de prevención, inte-grando ésta última en los procesos de la empresa, lo que conlleva una disminución de los costos y sanciones administrativas derivadas de su incumplimiento, además de una mejora de la gestión interna de la empresa y de la comunicación entre organización con el trabajador, las administraciones y partes interesadas.

• Reducir la frecuencia de siniestros laborales y aumentar la productividad, controlando, evaluando y analizando los riesgos asociados a cada puesto de trabajo, y evitando las causas que originan los accidentes y las enfermeda-des en el trabajo. La percepción de un entorno laboral más seguro por los trabajadores conlleva una disminu-ción de las enfermedades, bajas o absentismo laboral, una reducción progresiva de la siniestralidad, un aumen-to de la productividad y un descenso de sanciones y gas-tos innecesarios.

• Promover una cultura preventiva mediante la integración de la prevención en el sistema general de la empresa (exigido por ley) y el compromiso de todos los trabajado-res con la mejora continua en el desempeño de la SST.

El estándar OHSAS 18001 puede ser examinado según tres

tipos de auditorías que comentaremos en este post.

Hablamos de auditorías de primera parte, de segunda y de tercera parte.

Auditoría OHSAS 18001 de primera parteSon conocidas igualmente como auditorías internas y en la mayoría de casos son realizadas por la empresa, aunque también es una actividad que se puede sub-contratar. Con-sisten en auditorías de una organización o parte de ella que se ejecutan según los requisitos establecidos en la cláusula 4.5.5 de la norma OHSAS-18001.

En este capítulo, la normativa expresa que la empresa debe asegurarse de que las auditorías internas del Sistema de Gestión de Seguridad y Salud en el Trabajo (SST) llevadas a cabo en la organización se realizan periódicamente para:

Determinar si nuestro Sistema de Gestión de SST OH-SAS18001:

• Se adapta a las disposiciones planificadas para la gestión de la SST, incluyendo los requisitos de la norma.

• Ha sido instaurado correctamente y se mantiene igual.

• Es lo suficientemente eficiente para cumplir con los obje-tivos y la política de la organización.

• Proporcionar información sobre el resultado obtenido en la auditoría.

Estos resultados sirven para establecer, implementar, pla-nificar y mantener programas de auditoría, sin olvidar tener en cuenta además las evaluaciones de riesgos de las activi-dades de la organización.


34


Por otro lado, OHSAS 18001 también indica que es nece-sario contar con uno o varios procedimientos de auditoría que traten sobre:

Requisitos, responsabilidades y competencias para proyec-tar y ejecutar estas auditorías, comunicar los resultados y mantener los registros ligados a dichas auditorías.

La especificación de los criterios de auditoría, el alcance de la misma, la frecuencia y los métodos empleados.

Este tipo de auditorías son planificadas para trabajar, como hemos citado arriba, sobre la base de un programa esta-blecido en los distintos departamentos de la entidad. El objetivo de todo esto es garantizar que se respetan las ac-tividades del Sistema de Gestión de Seguridad y Salud en el Trabajo y los requisitos de la norma OHSAS-18001. Como último fin es promover la mejora continua del sistema.

Auditoría OHSAS 18001 de segunda parteSon también conocidas como auditorías a proveedores. Las realiza el cliente sobre éstos. El objetivo principal de este tipo de auditorías es minimizar los riesgos del negocio ligados a las compras, subcontrataciones, out-sourcing y la gestión de la cadena de suministro.

Normalmente, una empresa acepta el hecho de que su proveedor tiene el certificado del Sistema de Gestión de Se-guridad y Salud en el Trabajo según la norma OHSAS18001 como prueba del cumplimiento con los requisitos de la SST, y no realiza ningún tipo de auditoría. Pero si el proveedor posee un Sistema de Gestión de Seguridad y Salud Ocupa-cional que no está certificado, es aconsejable que la orga-nización ejecute las auditorías correspondientes, contando con el equipo auditor cualificado pertinente.

Estas auditorías también necesitan de la preparación de un programa. De ellas resultan acciones correctivas que el auditado tendrá que aceptar e implantar. En este caso, la empresa auditada debería aceptar las acciones correctivas propuestas por el auditor ya que de él depende la valora-ción del proveedor.

Auditoría OHSAS 18001 de tercera parteTambién conocidas como auditorías de certificación. Son ejecutadas por una entidad auditora independiente, ajena a la organización auditada. Este tercer tipo de auditoría es mucho más formal y se realiza para obtener el certificado de conformidad con los requisitos del estándar OHSAS 18001.

En este caso, el auditor no puede aconsejar a la organiza-ción auditada sobre las acciones correctivas que deben tomar.

Existen dos fases en las que se divide el desarrollo de este tipo de auditoría:

Fase primera o fase inicial.En esta primera fase se realiza la planificación de la audi-toría. Sirve, además, como evaluación para comprobar si el sistema es sólido y si tiene la madurez suficiente para conseguir el certificado. Suele ser una etapa fácil, pues normalmente este tipo de auditorías siguen una rutina ya modelada.

Fase segunda o fase principal.Consiste en una auditoría completa del sistema. Se enfoca en valorar la adecuación, capacidad y eficacia del Sistema de Gestión de Seguridad y Salud Laboral según el estándar OHSAS-18001.

Estas auditorías, incluyendo los tres tipos, siempre se desa-rrollan para lograr unos propósitos, entre ellos destacamos:

• Para seleccionar un subcontratista.

• Para comprobar el funcionamiento de un subcontratista a lo largo de la duración del contrato o del desarrollo de un proyecto.

• Para comprobar el funcionamiento y las mejoras del sis-tema.

• Para resolver un problema. Las actividades de esta audi-toría son examinadas para aclarar e identificar las causas de un problema en el Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la norma OHSAS18001.

• Para obtener la certificación del sistema OHSAS 18001.

Las actividades de auditoría, incluyendo los tres tipos ante-riormente mencionados, del Sistema de Gestión de Seguri-dad y Salud en el Trabajo según OHSAS 18001 van a estar alineadas en cumplir con unos objetivos:

• Determinar áreas de mejora.

• Eficacia del Sistema de Gestión de SST.

• Conformidad del Sistema de Gestión de Seguridad y Sa-lud Ocupacional.

• Cumplir con los requisitos legales.

• Evaluar subcontratistas.

http://www.isotools.org/2015/01/22/ohsas-18001-ti-pos-de-auditoria-para-las-organizaciones/

VERSIÓN ONLINE

http://www.isotools.org/2015/01/22/ohsas-18001-tipos-de-auditoria-para-las-organizaciones/

http://www.isotools.org/2015/01/22/ohsas-18001-tipos-de-auditoria-para-las-organizaciones/



35


ISO 9001:2015, los principios de la ISO 31000 para adecuar la

Gestión de Riesgos

En la próxima versión de la ISO 9001 que sale a la luz este año exigirá una gestión de riesgos como se está trabajando durante estos últimos meses.

Uno de los estándares que se puede utilizar es la ISO 31000 que es una norma que establece los principios para implementar, diseñar y mantener una gestión de riesgos ordenada y transparente de cualquier forma de riesgo y en cualquier entorno o contexto.

La norma ISO 31000 define al riesgo refiriéndose tanto a las situaciones positivas de riesgo (oportunidades) como negativas (pérdidas).

En este sentido y como hemos podido comprobar, la ISO 31000 puede adaptarse a cualquier tipo de riesgo ya sea de infraestructura, financiero, operación o de mercado.

Esta generalización de riesgos supone que esta norma no está enfocada para otro tipo de Sistema de Gestión ni para un grupo de organizaciones o sector puntal. Realmente ha sido pensada para ofrecer una estructura de mejores prác-ticas para aquellas actuaciones vinculadas con la gestión del riesgo.

Asimismo, para las organizaciones que tienen que usar una metodología de gestión de riesgos, es una herramienta muy útil porque les permite añadir numerosos Sistemas de Gestión.

El objetivo de ISO 31000 es el de facultar todas las tareas estratégicas, de gestión y operaciones de una empresa a través de funciones, proyectos y procesos alineados a un conjunto común de fines sobre gestión de riesgos.

La estructura de esta norma está compuesta de tres ele-mentos clave para que la gestión de riesgos sea transpa-rente, sistemática, efectiva y creíble. Los elementos de los que hablamos son:

• Elementos principales de la gestión de riesgos.

• Entorno de trabajo para la gestión de riesgos.

• Desarrollo de gestión de riesgos.

Principios de ISO 31000 para la gestión de riesgos

• Originar y cuidar el valor.

• Incluirse en todos los proceso de la empresa.

• Formar parte de todos los procesos de toma de decisio-nes.

• Englobar totalmente la incertidumbre.

• Tratarse de un método sistemático, estructurado y opor-tuno.

• Basarse en la mejor información de la que se disponga.

• Relacionarse tanto al contexto como al perfil de riesgos


36


de la empresa.

• Tener en cuenta factores humanos y culturales.

• Ser una normativa transparente e inclusiva.

• Tratarse de un estándar dinámico, interactivo y sensible al cambio.

• Facilidad para llevar a cabo la mejora continua.

Marco de trabajo para la gestión de riesgos con ISO 31000

Este segundo elemento fundamental podemos llamarlo “marco de trabajo o marco de referencia”, cuyo fin es in-cluir el proceso de gestión de riesgos en el corazón de la empresa.

Según la norma, se recomienda implementar, desarrollar y mejorar de forma continuada este marco de referen-cia, para poder incluir y adaptar el proceso de gestión de riesgos en la alta dirección, gestión, informes de procesos, políticas, en la estrategia organizacional, en la planificación, cultura de la empresa y valores de la misma.

Este marco de trabajo sigue las directrices del ciclo PHVA, precedido de una etapa de mandato y compromiso de la dirección.

La norma cuenta con una serie de mandatos que la alta gerencia debe cumplir para asegurar la eficacia en la ges-tión de riesgos. Para ello es fundamental que la gerencia se comprometa y lleve a cabo una planificación estratégica rigurosa.

Estos mandatos de los que hablamos pueden resumirse en:

• Definir y firmar la política de gestión de riesgos.

• Constituir unos indicadores de desarrollo que vayan ali-neados con los de la empresa en cuestión.

• Asegurar el alineamiento de los fines de la gestión de riesgos con las estrategias y objetivos de la entidad.

• Reafirmar las conformidades de tipo legal y regulatoria.

• Designar responsabilidades en relación a las diferentes áreas y niveles de la organización.

• Asegurar que se disponen de todos los recursos necesa-rios para llevar a cabo correctamente la gestión de ries-gos.

• Comunicar los beneficios de la gestión de riesgos a todas las partes interesadas.

• Garantizar que se mantiene el marco de trabajo adecua-do en la organización.

Proceso de gestión de riesgosEl tercer elemento clave de ISO 31000 es el proceso de ges-tión de riesgos. Este proceso cuenta con tres etapas: aná-lisis y evaluación de riesgos, establecimiento del contexto, evaluación de riesgos, constituida por la identificación y el tratamiento de los riesgos.

La base fundamental en la que se sustenta la norma es el establecimiento del contexto en el que opera la organiza-ción.

Hablamos de contexto tanto interno como externo. En este sentido, se trata de los entornos correspondientes en los que la entidad quiere alcanzar sus objetivos, establecer el proceso de gestión de riesgos y definir los criterios de eva-luación de los mismos.

A la hora de seleccionar la opción de tratamiento de ries-gos, la norma ISO 31000 ofrece una lista de posibles elec-ciones, que se pueden aplicar de forma individual o concu-rrente. Se trata de:

• Evitar el riesgo, tomando la decisión de no comenzar o no continuar la actividad que desemboca en el riesgo en cuestión.

• Aceptar o aumentar el riesgo para poder concretar una oportunidad.

• Remover la fuente del riesgo.

• Cambiar la probabilidad.

• Cambiar las consecuencias o impactos.

• Compartir el riesgo con terceros, incluyendo contratos y financiación del riesgo.

• Retener el riesgo por decisión propia.

Este proceso de gestión de riesgos se cierra gracias a la interconexión de las etapas mencionadas anteriormente (establecimiento del contexto, evaluación de riesgos, cons-tituida por la identificación, análisis y evaluación de riesgos, y el tratamiento de los riesgos) y a la comunicación y consul-ta por un lado y el monitoreo y revisión por otro.

Para el caso de la gestión de riesgos inmersa en ISO 9001:2015, esta metodología es una de las opciones pro-puestas. Cada organización decidirá la que mejor se adapte a sus necesidades. En el actual borrador de la norma ISO/DIS 9001, no se exige ninguna metodología en concreto.

http://www.isotools.org/2015/01/26/iso-9001-principios-iso-31000-para-adecuar-gestion-riesgos/

VERSIÓN ONLINE





37


ISO 14001: Cómo controlar riesgos, hacer una auditoría interna y una

revisión por la dirección

La norma ISO 14001 proporciona todos los requisitos ne-cesarios con el fin de implantar un Sistema de Gestión Ambiental de manera satisfactoria, entre ellos podemos encontrar, la auditoría interna, la revisión por la dirección y el control de riesgos.

Control de riesgosLa organización debe definir las actuaciones que va a llevar a cabo para identificar, conservar y eliminar la totalidad de registros que demuestran la conformidad respecto a los requisitos de la norma ISO14001 y su Sistema de Gestión Ambiental.

Normalmente los registros se buscan como documen-tos de todo tipo. La acción que produce la evidencia del cumplimiento de algún requisito que genera la norma ISO-14001 del Sistema de Gestión Medioambiental se tiene que generar en un registro nuevo.

Si la entidad ya ha implantado adecuadamente el Sistema de Gestión Ambiental, a lo largo de la elaboración de los dis-tintos procedimientos que llevan a cabo cada capítulo del manual de gestión ambiental, se añaden dentro del punto referido a los registros. La totalidad de registros junto con toda la información que la organización crea conveniente, tienen que tener un control que asegure el cumplimiento del apartado de la norma ISO14001.

La empresa, contiene distintos procedimientos redactados en los que se especifica cómo se tiene que dar respuesta a la identificación, recuperación, conservación, protección, el tiempo que tiene que estar archivada y la disposición de los registros del Sistema de Gestión Ambiental.

La sistemática general es que los registros tienen que man-tenerse a lo largo de un periodo de tiempo no inferior a tres años, como requisito para la certificación ISO 14001, o a lo largo de un periodo superior a estos tres años en el supuesto de que haya algún requisito legal aplicable ha dicho registro (por ejemplo, los documentos ligados con el control y el seguimiento de los residuos peligrosos tiene que estar archivados durante cinco años).

Auditoría internaLa organización debe diseñar distintos programas que eva-lúen de manera periódica el funcionamiento, la eficacia en el seno del Sistema de Gestión Ambiental y la adecuación de los requisitos producidos por la norma ISO 14001.

La auditoría interna es un proceso independiente, docu-mentado y sistémico con el que se obtienen evidencias y se evalúan de una manera objetiva para determinar así el nivel de cumplimiento de todos los criterios en los que se fundamenta el Sistema de Gestión Ambiental obtenido por la entidad.


38


La empresa es la encargad de garantizar las auditorías pe-riódicamente, debe definir cuál será el alcance y el método de auditoría que será el conveniente para determinar si el SGA cumple con todos los requisitos de la norma ISO-14001 y se encuentra adecuadamente implantado, incluso tiene que informar, en todo momento, acerca de los resul-tados obtenidos tras la auditoría a la alta dirección de la empresa.

El Sistema de Gestión Ambiental, para llevar a cabo las au-ditorías, se tiene que encontrar en un grado avanzado en la implantación, esto es, que haya superado la fase de dise-ño, siendo capaz la organización de utilizar o requerir listas de comparación, entrevistas personales con los distintos trabajadores de la entidad, cuente con documentación del SGA, política ambiental, registros de datos, etc.

La entidad tiene que elaborar distintos procedimientos de auditoría en el que se tienen que determinar de forma clara todos los requerimientos necesarios para la cualifica-ción del auditor o auditores, las personas responsables, la planificación, preparación y realización de las auditorías, así como de su conservación y comunicación de los resulta-dos obtenidos de dichas auditorías.

El Sistema de Gestión Medioambiental fundamentado en la norma ISO14001 tiene que ser objeto de la auditoría en su totalidad, aunque se puede llevar a cabo por partes, esto es, dividiendo la empresa en distintas parcelas y auditando por separado los diferentes aspectos y la gestión.

En el momento en el que se define el alcance de la audito-ría, la entidad puede determinar cuáles serán los emplaza-mientos, los elementos del sistema o las actividades que considere oportunas.

Como mínimo ha de realizarse una auditoría al año, aun-que no hay una frecuencia fija para llevarla a cabo, de-biendo encontrarse perfectamente definida por la entidad en función a los resultados de auditorías anteriores o del grado de control existente acerca de los distintos aspectos ambientales y el grado de implantación de la totalidad del Sistema de Gestión Ambiental.

A lo largo del proceso de selección de los auditores, la en-tidad tiene que optar por llevar a cabo la auditoría con el personal de la misma empresa, por lo que para garantizar la objetividad y la imparcialidad a lo largo de todo el pro-ceso, este tiene que estar libre de responsabilidades a lo largo de su actividad como auditor. Sin embargo, si la em-presa decide optar por contratar a personal de fuera de la entidad, auditores externos, estos tendrán que tener las competencias oportunas y poder llevar a cabo la auditoría

de manera imparcial y objetiva.

Para llevar a cabo una auditoría interna se pueden utilizar personal de la misma entidad o se puede contratar a per-sonal ajeno a ésta. En cambio, para generar una auditoría externa debe ser realizada siempre por personas ajenas a la entidad y se les denomina como auditores externos.

Con el fin de apoyar a las entidades en el momento de rea-lizar auditorías pueden consultar la norma ISO 19011 “Di-rectrices para la auditoría de los Sistemas de Gestión de la Calidad y/o Ambiental”.

Revisión por la direcciónLa dirección de la empresa tiene que evaluar la efectividad y el acondicionamiento del SGA a las necesidades de la en-tidad y modificarlo si fuera necesario.

La dirección puede recopilar la información requerida des-de el punto de vista del funcionamiento del Sistema de Ges-tión Ambiental, para poder revisarlo a lo largo de interva-los planificados y garantizar su adecuada implementación. La información más significativa puede venir dada por las auditorías, las evaluaciones de cumplimiento legal y otros requisitos, el cumplimiento de los objetivos y las metas, las comunicaciones externas, el estado de mantenimiento de las acciones correctivas y preventivas, etc.

La realización de la revisión por la dirección por parte de la gerencia de la empresa tiene que contemplar la totali-dad del Sistema de Gestión Ambiental y tiene que llevarse a cabo en distintos periodos de tiempo. La frecuencia de revisión del sistema tiene que contar con una periodicidad, la cual de estar previamente establecida y documentada.

Una vez finalizada la revisión, se procede a la obtención de conclusiones y líneas de mejora dentro del mismo Sis-tema de Gestión Ambiental basado en la ISO 14001. Si la gerencia de la empresa lo considera oportuno, podrá llevar a cabo cambios dentro del SGA. La revisión por la dirección se convierte en uno de los mecanismos clave a lo largo del proceso de mejora continua.

La organización tiene que mantener archivados la totalidad de los registros que proporcionen evidencia de la realiza-ción de la revisión por la dirección.

http://www.isotools.org/2015/01/27/iso-14001-como-contro-lar-riesgos-hacer-auditoria-interna-y-revision-direccion/

VERSIÓN ONLINE

http://www.isotools.org/2015/01/27/iso-14001-como-controlar-riesgos-hacer-auditoria-interna-y-revision-direccion/

http://www.isotools.org/2015/01/27/iso-14001-como-controlar-riesgos-hacer-auditoria-interna-y-revision-direccion/



39


ISO 27001: Gestión de Seguridad de la Información mediante

el modelo de pirámide

La abreviación de SGSI corresponde al Sistema de Gestión de Seguridad de la Información ISO 27001. Entendemos como información a todo el conjunto de datos de suma im-portancia que están organizados y salvaguardados por la organización, independientemente de la forma en la que la entidad guarde o transmita la información, el origen de la misma y la fecha de elaboración.

La Seguridad de la Información basada en la norma ISO27001 se fundamenta en la preservación de su confi-dencialidad, disponibilidad e integridad, además de todos los sistemas incluidos en su tratamiento, dentro de la orga-nización. Además, podemos contar con los siguientes tér-minos que constituyen la base sobre la que se fundamenta todo el Sistema de Gestión de Seguridad de la Información:

• Confidencialidad: la información no está a disposición ni debe ser revelada a ciertos individuos, entidades o pro-cesos que no se encuentren autorizados.

• Integridad: especificar la exactitud y la complejidad de la información.

• Disponibilidad: el acceso y la utilización de la información y de los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos que se encuen-tren autorizados.

Garantizar la seguridad de la información supone gestio-

narla correctamente, hacer una utilización del proceso sis-temático, documentado y conocido por toda la organiza-ción desde un enfoque de riesgo empresarial. Este proceso es el que constituye un Sistema de Gestión de Seguridad de la Información basada en la norma ISO-27001.

La información, los procesos y los sistemas que hacen uso del Sistema de Gestión de Seguridad de la Información, son unos activos muy importantes de la empresa. La confiden-cialidad, integridad y disponibilidad de la información son esenciales para mantener a un alto nivel la rentabilidad, competitividad, conformidad legal e imagen empresarial necesarios para alcanzar los fines marcados por la entidad y asegurar el beneficio económico.

La empresa y sus Sistemas de Gestión de Seguridad de la Información están expuestos continuamente a un elevado número de amenazas. Aprovechándose alguna de estas vulnerabilidades, la empresa puede sufrir violaciones de la información mediante espionaje, fraude, sabotaje o vanda-lismo.

Algunos ejemplos de estos casos son: los virus informáti-cos, el “hacking” o los ataques de denegación de servicio, pero también consideramos riesgos el hecho de sufrir inci-dentes de seguridad de la información causados voluntaria o involuntariamente por parte de la propia organización.

La adaptación dinámica y puntual de las variaciones en las


40


condiciones del entorno, cumplir con la legalidad, la protec-ción de los objetivos de negocio con el que poder asegu-rar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales del Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 que son de gran ayuda durante la gestión de las empresas.

La seguridad alcanzada mediante los medios técnicos es insuficiente e ilimitada por sí misma. La gestión de la segu-ridad tiene que contar con la presencia y participación de toda la organización, la alta dirección debe estar al frente del proyecto teniendo en cuenta a los clientes y a los pro-veedores de bienes y servicios. En el modelo de gestión de la seguridad de la información se deben contemplar unos recursos adecuados y la implementación y la planificación de controles de seguridad basada en una evaluación de riesgos y la medición de la eficiencia de los mismos.

El Sistema de Gestión de Seguridad de la Información ba-sado en la norma ISO 27001 establece todos los procedi-mientos y las políticas en relación a los objetivos de negocio de la organización con el fin de mantener a la organización en el mínimo nivel de riesgo de exposición.

En este sentido, en el SGSI, la organización conoce todos los riesgos a los que se encuentra sometida su información, las debe asumir e intentar reducir los riesgos manteniendo y controlando la sistemática definida, documentada y cono-cida por todos los componentes de la empresa. Además, se debe revidar y mejorar continuamente.

Podemos trasladar el modelo de pirámide de cuatro nive-les desde el ámbito de la Gestión de la Calidad según la norma ISO 9001, al modelo de Seguridad de la Información basado en la norma ISO 27001 de la siguiente forma:

Nivel 1 “Manual de Seguridad”Se trata del documento que sugiere y dirige todo el siste-ma, el que expone y determina todas las interacciones, el alcance, las responsabilidades, las políticas, los objetivos y directrices principales, etc. del Sistema de Gestión de Segu-ridad de la Información.

Nivel 2 “Procedimientos”

Son documentos a nivel operativo que aseguran que se lle-ve a cabo eficazmente la planificación, operación y el con-trol de todos los procesos de seguridad de la información.

Nivel 3 “Instrucciones, Checklists y Formularios”Hablamos de documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

Nivel 4 “Registros”Son los documentos que proporcionan una evidencia obje-tiva del cumplimiento de los requisitos del Sistema de Ges-tión de Seguridad de la Información ya que se encuentran relacionados a los documentos de los tres niveles anterio-res.

Algunos conceptos básicos que debemos conocer:

• Alcance del SGSI: entorno de la empresa que queda so-metido al Sistema de Gestión de Seguridad de la Infor-mación en que se incluye la identificación de todas las dependencias, límites y relaciones que existen entre el alcance y aquellas partes que no se hayan tenido en cuenta.

• Política y objetivos de seguridad de la información: habla-mos de un documento con el contenido genérico que es-tablece el compromiso de la dirección y el enfoque de la empresa en la gestión de la Seguridad de la Información.

• Procedimientos y mecanismos de control que soportan el SGSI: son procedimientos que regulan el propio fun-cionamiento del SGSI.

• Enfoque de evaluación de riesgos: se describe la metodo-logía que se va a emplear.

• Informe de evaluación de riesgos: estudio proporcionado de la aplicación de la metodología de evaluación anterior-mente mencionada a los activos de información de la empresa.

• Plan de tratamiento de riesgos: se trata del documento en el que se identifican las acciones que tiene que llevar a cabo la dirección, los RRHH, los responsables y las prio-ridades para gestionar los riesgos.

http://www.isotools.org/2015/01/28/iso-27001-gestion-seguridad-informacion-mediante-modelo-piramide/VERSIÓN ONLINE

http://www.isotools.org/2015/01/28/iso-27001-gestion-seguridad-informacion-mediante-modelo-piramide/



41


OHSAS 18001: Planificación de auditorías

El estándar OHSAS 18001 es una de las normativas más ex-tendida por todo el mundo. Aunque se trata de un estándar británico, numerosos países la han aplicado. La empresa que implanta y certifica la OHSAS 18001 obtiene una buena reputación e imagen, entre otros aspectos destacables.

Igualmente, estamos hablando de un Sistema de Gestión de la Seguridad y la Salud en el Trabajo (SST) que:

• Posibilita la gestión preventiva en entidades localizadas en distintos ámbitos geográficos.

• Reduce el número de accidentes.

• Aminora las sanciones, materiales perdidos y control de riesgos en el trabajo.

• Promueve una actitud proactiva y responsable.

• Favorece y motiva la participación de los miembros en tareas preventivas.

• Sostiene a la empresa viva y productiva en el análisis de riesgos.

Estos aspectos característicos suponen que la normativa OHSAS 18001 sea sometida a una auditoría y se certifique.

La planificación del tipo que sea es un factor clave para conseguir los objetivos previstos y deseados. Cuando ha-blamos de auditorías, si no existe una buena planificación puede que no se consigan resultados satisfactorios, ni lo-

gremos ejecutar una auditoría con éxito.

Por esta razón, vamos a ver qué pasos debemos seguir para planificar una auditoría de nuestro Sistema de Gestión de Seguridad y Salud en el Trabajo OHSAS 18001.

Preparación del planLo primero que hay que hacer es fijar unas fechas que satis-fagan a todo el personal involucrado en el proceso de cer-tificación OHSAS 18001 y que se les informe con suficiente antelación para poder llevarlo a cabo.

El plan de auditoría debe ser lo suficientemente competen-te como para garantizar que los objetivos de la auditoría se van a alcanzar. Además, debe elaborarse de tal forma que especifique el método que se va a utilizar a la hora de realizar la auditoría.

Este plan de auditoría debe incluir la definición de cada una de las funciones y responsabilidades del equipo auditor así como su asignación. Se recomienda que el plan no sea de-masiado exigente y severo en los tiempos.

Dos aspectos que deben tenerse en cuenta para desarro-llar la planificación de una auditoría del Sistema de Gestión de Seguridad y Salud en el Trabajo según OHSAS-18001 son la complejidad y el tiempo. Son dos elementos muy distintos cuando hablamos de auditorías iniciales, de segui-miento o si son auditorías internas o externas.


42


Sin embargo, hay más aspectos a considerar. Estos son:

• Objetivos de la auditoría.

• Criterios de auditoría y documentos de referencia.

• Alcance de auditoría, considerando en este punto la es-tructura de la organización, la estructura preventiva y los procesos de auditarse.

• Fechas y lugares donde se realizarán las actividades de auditoría.

• Estimación de la duración de las actividades de la audi-toría, teniendo en cuenta las reuniones con la alta direc-ción.

• Reuniones de coordinación.

• Funciones y responsabilidades de cada uno de los miem-bros del equipo auditor.

• Asignación de recursos requeridos para las áreas críticas de auditoría.

Preparación de los documentos de trabajoAdemás de los documentos de trabajo que debemos pre-parar para una auditoría del Sistema de Gestión de Seguri-dad y Salud en el Trabajo basado en la OHSAS18001, inclui-mos también los siguientes aspectos:

• Realización de un listado de comprobación o verificación.

• Preparación de los formatos en los que registrar informa-ción, hallazgos, reuniones, etc.

• Estándares y especificaciones correspondientes.

• Directrices.

El auditado debe tener una copia del plan de auditoría para que cuente con la mayor cantidad posible de información antes de someterse a la auditoría. Se trata de un mecanis-mo que crea confianza y cooperación entre auditor y au-ditado.

Ya que nos estamos preparando para la auditoría del Siste-ma de Gestión de Seguridad y Salud en el Trabajo en fun-ción de la OHSAS 18001 podemos hablar sobre la docu-mentación que probablemente nos exijan.

Para comenzar a tomar contacto con el Sistema de Ges-tión de Seguridad y Salud en el Trabajo implantado bajo la norma OHSAS 18001 del auditado es aconsejable solicitar la documentación básica. Con esta información, el auditor podrá comenzar con el examen y valoración del sistema.

Cuando hablamos de auditorías internas, comúnmente se solicita el manual de gestión de la Seguridad y Salud en el Trabajo (SST) que, aunque no es obligatorio según OHSAS

18001, la mayoría de las organizaciones cuentan con él.

Además del manual, los auditores solicitan también los pro-cedimientos o documentos de las áreas que van a auditar y los informes de auditorías anteriores.

En la mayoría de los casos, es recomendable, solicitar a la organización auditada la evaluación de riesgos aplicada en los puestos de trabajo y áreas que se van a auditar, así como los listados de requerimientos legales de aplicación.

En el caso de auditorías externas, necesitamos mucho más. En primer lugar, la entidad auditora requiere una visita inicial para poder tomar contacto y familiarizarse con as-pectos y elementos de la organización auditada como, por ejemplo, equipos, riesgos, actividades, personal implicado, etc.

Después de esta visita y, según los resultados obtenidos, se acuerdan los detalles que serán incluidos en el plan de auditorían de la OHSAS18001.

Desde este post se han explicado los numerosos aspectos que debe tener en cuenta un auditor del Sistema de Ges-tión de Seguridad y Salud Laboral para llevar a cabo su au-ditoría de la mejor forma posible. Esperemos les haya sido de utilidad.

http://www.isotools.org/2015/01/29/ohsas-18001-planifica-cion-auditorias/

VERSIÓN ONLINE

http://www.isotools.org/2015/01/29/ohsas-18001-planificacion-auditorias/

http://www.isotools.org/2015/01/29/ohsas-18001-planificacion-auditorias/

Sotware ISO, BSC y BPM

www.isotools.org(+34) 902 361 231

• España • México • Panamá • Perú • Portugal • Uruguay • Venezuela • Ecuador

• Argentina • Bolivia • Brasil • Chile • Colombia • Costa Rica• Rep. Dominicana • Estados Unidos

Presencia GlobalApoyo Local

empresa excelente - iso software · iso 27001: pilares fundamentales de un sgsi iso 14001:...

Documents