Post on 07-Jun-2020
EMPRESAEXCELENTELos mejores artículos técnicos publicados en el blog de ISOTools Calidad y Excelencia
A B R I L 2 0 1 9
Sistemas de Gestión
Normalizados
Modelos de Gestión
y Excelencia
Software gestiónpara excelencia
empresarial
Recursosgratuitos
www.isotools.org
Acerca de ISOTools ExcellenceQuiénes somos
Empresa Excelente abril 2019
Software para administrar eficientemente la gestión empresarial e institucional
Concebido para implementar, mantener y mejorar
continuamente los sistemas de Calidad, Medio Ambiente,
Riesgos Laborales, Seguridad de la Información, Seguridad
Alimentaria, Modelos de Acreditación, Modelos de Excelencia
como EFQM o Modelos de Planificación Estratégica (BSC), entre
otros, ISOTools Excellence constituye un conjunto escalable de
soluciones de innovación tecnológica para la modernización y
mejora de la gestión de los servicios y del trabajo en equipo,
entre otros aspectos.
2
www.isotools.org
Acerca de ISOTools ExcellenceQuiénes somos
Empresa Excelente abril 2019
Servicio llave en mano
Para que el el software pueda ser implementado y mantenido
de forma rápida y sin incidencias, ofrecemos esta lista de
servicios y servicios complementarios a todos nuestros clientes:
3
Capacitación
Los consultores expertos de ISOTools Excellence ofrecen
una formación personalizada a los clientes para que se
familiaricen rápidamente con el manejo del software.
Soporte
Contamos con profesionales disponibles a través de vía
telefónica y online para resolver cualquier duda / incidencia
que pueda surgir acerca del uso de la herramienta.
Consultoría
Nuestro equipo de consultores puede ayudarle a sacarle el
máximo partido a ISOTools Excellence en su organización,
antes, durante y después de la implementación.
Integración
Puede convivir con otras aplicaciones que ya estén
funcionando en tu organización. Dispone de mecanismos para
cambio de datos con soluciones de otros proveedores.
Adaptaciones
Toda organización posee sus particularidades, que muchas
veces son la razón de la eficiencia de sus procesos. Por
ello, ofrecemos la posibilidad de desarrollos a medida.
Migración de datos
El proceso de migración de datos tiene como objetivo
principal importar a ISOTools Excellence los datos de su
sistema de gestión actual.
www.isotools.org
Acerca de ISOTools ExcellenceQuiénes somos
Empresa Excelente abril 2019
Una herramienta a la medida de tu organización
Estamos ante un sistema modular y altamente parametrizable, que se adapta a las
necesidades de cada organización. Cuenta con un módulo base que sirve como cimiento de
otros módulos de soluciones que cubren distintas áreas, pensados para facilitar y agilizar la
gestión de sistemas y modelos, y de esta forma poder dar cumplimiento a los requisitos de los
mismos. Sea cual sea su sector.
4
www.isotools.org
Acerca de ISOTools ExcellenceQuiénes somos
Empresa Excelente abril 2019
ISOTools Excellence aporta resultados en el corto plazo
5
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
6
Software ISOTools como herramienta para automatizar un Sistema de Gestión de Seguridad de la Información
Software ISOTools
En la era del conocimiento, una organización que desee tanto
liderar el mercado en el que participa como aprovechar las
oportunidades que brinda su entorno y establecer relaciones de
confianza con las partes interesadas, tiene que ser consciente de
que debe encargarse de sus necesidades, objetivos y sus requisitos
de seguridad de la información que representa su know how del
negocio. Para ello, debe utilizar las mejores prácticas disponibles en
el mercado, y la ISO 27001 satisface este aspecto.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
7
Software ISOTools
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
La norma ISO/IEC 27001 proporciona los requisitos para el
establecimiento, implementación mantenimiento y mejora continua
de un sistema de gestión de seguridad de la información (SGSI), el
cual debería ser una decisión estratégica para una organización, y
desplegar todas sus capacidades para promover el crecimiento y la
consolidación de una propuesta de valor.
Un sistema de gestión de seguridad de la información (SGSI)
preserva la confidencialidad, integridad y disponibilidad de la
información mediante la aplicación de un proceso de gestión de
riesgos. Y, otorga a las partes interesadas de quien la implemente,
la confianza sobre la adecuada gestión de los riesgos.
Para la adecuada operación de un SGSI se debe contar con
herramientas tecnológicas que permitan atender la dinámica que
suponen las amenazas que tienen los activos de la información en
el entorno actual.
Software para administrar eficientemente un sistema de
gestión de seguridad de la información
Es cada vez más frecuente que la alta dirección de las compañías le
dé más importancia a la protección de la información. Para ello es
necesario contar con una herramienta que haga más sencillo
gestionar todo este tipo de datos. Implementar seguridad de la
información sin la ayuda una herramienta tecnológica que nos
facilite toda esa gestión de activos y riesgos, se hace de lo más
complicado.Cuando una empresa o cliente, requiere de una serie
de servicios, y, como es obvio, solicita seguridad respecto a la
calidad de dichos servicios.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
Reglamento de la Ley 30424 un paso más en el modelo de gestión integral de riesgos de las empresas en Perú
8
Reglamento de la Ley 30424
El pasado 9 de enero de 2019 fue aprobado por el Gobierno de Perú
el Reglamento de la Ley N° 30424. Dicho reglamento regula la
Responsabilidad Administrativa de las Personas Jurídicas, con el
objetivo de establecer los requisitos mínimos de los modelos de
compliance que las compañías podrán implementar con el fin de evitar
y prevenir delitos de soborno o lavado de activos.
La implementación y el correcto funcionamiento de esta tipología de
modelo, que forma parte del llamado modelo de prevención, puede
ayudar a absolver de responsabilidad a la persona jurídica por la
realización de delitos como pueden ser: el tráfico de influencias, la
corrupción pública, la conspiración hacia terceros, el lavado de activos
o la financiación de actos terroristas.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
9
Reglamento de la Ley 30424
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
No hay que olvidar, que hace más de dos años, el 6 de enero de
2017, el Gobierno ya publicó el decreto legislativo 1352, mediante
el cual se amplió la cobertura de la ley 30424. Este también
sancionaba delitos como el cohecho activo, el lavado de capital, y
otros delitos como los nombrados en el anterior párrafo. Pero sin
embargo dicho decreto eximía a aquellas compañías que hubiesen
incorporado de forma voluntaria un modelo compliance adecuado
a sus necesidades.
Con la publicación del nuevo reglamento, ya se establecen cuales
deberán de ser esos requisitos mínimos que deben de cumplir los
modelos compliance que adopten las distintas organizaciones de
manera voluntaria, alejándose así de los modelos realizados a
medida. De esta manera y de conformidad con lo recogido por el
artículo 17 de la citada Ley Nº 30424 que regula la responsabilidad
administrativa de las personas jurídicas y sus modificatorias, las
compañías podrán prevenir, identificar y mitigar los riesgos de
comisión de delitos a través de sus diversas estructuras.
Un modelo muy común en grandes empresas, no tanto en
pequeñas y medianas
n relación al ámbito de aplicación y a efectos del modelo de
prevención presente en la Ley 30424, el artículo 3 de dicho
reglamento clasifica a las empresas en cuatro niveles:
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
10
Realización de las actividades de auditoría según ISO 19011
ISO 19011
Según ISO 19011, las actividades de auditoría se suelen realizar en
una secuencia que ha sido definida de manera previa. Aun así,
dicha secuencia podrá modificarse para poder adaptarse mejor a
las circunstancias de auditorías específicas.
Lo primero a lo que se deberá proceder será a la asignación de los
roles y el establecimiento de las responsabilidades de los guías y
observadores. Estos podrán acompañar al equipo auditor siempre
y cuando cuenten con la aprobación de su líder y del cliente
auditado. Hay que destacar que estos no podrán interferir en la
auditoria. Si esto no se puede conseguir, el líder del equipo auditor
tiene el derecho a negar su participación en ciertas partes de la
auditoria.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
11
ISO 19011
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
Los guías designados por el auditado deberán de asistir al equipo
auditor y actuar cuando lo solicite su líder. Entre sus
responsabilidades destacan:
• Ayudar a los auditores a identificar a los participantes de las
entrevistas y a confirmar los horarios y localizaciones
• Acordar el acceso a las ubicaciones del auditado
• Estar seguros de que los miembros del equipo auditor y los
observadores son conocedores y respetan las reglas que
indican los acuerdos específicos para el acceso a la ubicación, la
seguridad y salud en el trabajo, el medio ambiente, la seguridad
física, la confidencialidad y otras cuestiones, y que se abordan
los riesgos
• Serán testigos de la auditoría en representación del auditado,
cuando sea necesario
• Ayudarán en la recopilación de información.
Reunión de apertura, acuerdos de comunicación y
disponibilidad de la información
Debería celebrarse una reunión de apertura con la dirección del
auditado y con aquellos responsables de las funciones o de los
procesos que se van a auditar. Durante la reunión, debería
proporcionarse la oportunidad de realizar preguntas. Habrá que
establecer varias cuestiones:
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
La importancia del bienestar de los trabajadores en un Sistema de Gestión Integrado
12
ISO 45001
Tras su publicación el 12 de marzo de 2018, la ISO 45001 trae
cambios muy importantes, aunque uno de los más destacados es la
integración del bienestar del personal de una organización a través
de su Sistema de Gestión de Seguridad y Salud en el
Trabajo. Lógicamente en lo referente al bienestar de los
trabajadores dentro de un Sistema de Gestión Integrado, la ISO
45001 es la norma a seguir.
No cabe duda de que los trabajadores son uno de los activos más
importante de las compañías de hoy en día. Es por esto por lo que
su salud y bienestar son dos aspectos clave para el buen
funcionamiento de cualquier organización.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
13
ISO 45001
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
Una buena gestión del capital humano de una compañía no solo
repercute positivamente en el capital económico, sino que también
contribuirá a mejorar su reputación e imagen de marca. Los
propios trabajadores pueden ser los primeros recomendadores de
una empresa y esto se consigue con su bienestar dentro de ella.
Se deben prevenir los riesgos laborales que afecten de forma
directa al trabajador. Ya que cuando más elevado sea el riesgo en
una actividad, mayores serán las acciones que habrá que realizar
para prevenir los accidentes.
El papel de los trabajadores en la organización según ISO
45001
La implantación de un Sistema de Gestión de Seguridad y Salud
laboral contribuirá a identificar, analizar y evaluar los riesgos y
cargas de trabajo del personal, y así poder tomar las medidas
necesarias. De esta manera también se garantizará que se cumpla
de manera sistemática con los requisitos legales en todo el entorno
laboral.
Según ISO 45001, cuando una organización determine tanto las
cuestiones externas como internas que afecten a su capacidad
para alcanzar los resultados previstos de su sistema de gestión de
la seguridad y salud en el trabajo (SST), deberá tener en cuenta las
necesidades y expectativas de los trabajadores, así como de otras
partes. Por tanto, la organización deberá determinar:
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
14
Seguridad relativa a los recursos humanos según ISO 27001
ISO 27001
Según ISO 27001, la implantación de un Sistema de Gestión de
Seguridad de la información aporta a las compañías un conjunto de
políticas de seguridad, procedimientos y otros mecanismos
necesarios para controlar y establecer todas las reglas de seguridad
de la información de una organización.
No hace falta destacar que la información es uno de los activos más
importantes de una empresa. Esta no solo está relacionada
directamente con el capital económico de la compañía. En muchas
ocasiones también recoge datos clave del personal que forma
parte de la misma como por ejemplo direcciones, datos de
contacto, horarios, números de cuesta o incluso enfermedades.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
15
ISO 27001
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
Es por esto por lo que a la hora de implantar un Sistema de
Seguridad de la Información según ISO 27001, el personal de la
propia organización deberá de ocupar un papel muy importante
dentro de dicho sistema.
Además de tener en cuenta la información relacionada con los
trabajadores, también habrá que trabajar en inculcar en estos la
importancia de contar con un Sistema de Gestión de Seguridad de
la Información, así como aquellos requisitos que tengan que
adoptar para que este pueda ser implantado sin ningún tipo de
problema por su parte.
El capital humano es un activo clave a la hora de implantar un
Sistema de Gestión de Seguridad de la Información según ISO
27001. De manera que habrá que contar con este como un activo
propio. En esta ocasión se hace referencia a los aspectos que el
Anexo A de la norma recoge de cara a tratar los recursos humanos.
Tres periodos de los Recursos Humanos en ISO 27001
ISO 27001 recoge tres momentos importantes dentro de la
vida del trabajador en los que este debe conocer y por tanto
cumplir con las responsabilidades respectivas en relación a la
seguridad de la información dentro de la compañía: Antes del
empleo, durante el empleo y tras finalizar el empleo.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
Integración de ISO 9001 con UNE 170001:2007 de Gestión de Accesibilidad Universal
16
UNE 170001
El concepto “accesibilidad” hace referencia a las diferentes
dimensiones que engloban a la actividad del ser humano en su
entorno: desplazarse, comunicarse, alcanzar, entender, usar y
manipular son algunas de las formas básicas de actividad humana.
Garantizar la accesibilidad significa dar la oportunidad de que estas
actividades puedan ser llevada a cabo por cualquier persona sin
que se tope con ningún tipo de barreras que lo impidan.
Accesibilidad universal es un concepto que ha ido evolucionando a
lo largo de los años. Al principio, este hacía referencia únicamente a
la accesibilidad a lugares físicos. Prestando atención únicamente a
la eliminación de barreras de accesibilidad arquitectónicas que
impidieran el acceso a un determinado lugar.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
17
UNE 170001
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
La evolución que ha experimentado este concepto, ha llevado a
que la idea de accesibilidad universal abarque un contexto mucho
más amplio, incluyendo toda una serie de medidas que deben ser
tenidas en cuenta a la hora de elaborar estrategias políticas y
sociales.
De hecho, actualmente ya no se habla de accesibilidad universal
como tal, ya que este concepto se ha desdoblado en múltiples
términos que hacen referencia a todos los tipos de accesibilidad
que se pueden adoptar en un contexto, en función de las
necesidades de cada persona. Así podemos hablar de: accesibilidad
auditiva, cognitiva, física, visual, etc.
UNE 170001:2007 de Gestión de Accesibilidad Universal,
la certificación que garantiza la igualdad de
oportunidades
La UNE 170001:2007 de Gestión de Accesibilidad Universal es una
norma creada por los Comités Técnicos de Normalización (CTN) de
la Asociación Española de Normalización y Certificación (AENOR)
aplicable en España. Su certificación indica que una compañía ha
implantado un sistema de gestión de la Accesibilidad Universal y
cumple con sus facilidades. Este es una útil herramienta para
aquellas organizaciones que deseen ser eficaces en el
cumplimiento de su objetivo de garantizar la igualdad de
oportunidades de todos sus posibles usuarios a través del
cumplimiento de los criterios de accesibilidad universal.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
18
Conclusiones, finalización y seguimiento de una auditoría según ISO 19011
ISO 19011
Tras la realización de las actividades pertinentes de una auditoría
será preciso emitir una serie de documentos que informen de las
conclusiones de la la misma. Es el líder del equipo auditor quien
debe informar de dichas conclusiones. Este deberá proporcionar
un registro completo, preciso, conciso y claro de la auditoría y
deberá incluir y hacer referencia a los siguientes aspectos:
1) Los objetivos que tenía la auditoría.
2) El alcance de la auditoría, concretamente la identificación de la
organización y de las funciones o procesos auditados.
3) Quien ha sido el cliente de la auditoría.
4) La identificación del equipo auditor y de los participantes del
auditado en la auditoría.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
19
ISO 19011
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
5) Fechas y ubicaciones donde se realizaron las actividades de
auditoría.
6) Criterios que ha seguido la auditoría.
7) Todos los hallazgos de la auditoría y las evidencias relacionadas a
estos.
8) Las conclusiones obtenidas de la auditoría.
9) Una declaración del grado o nivel en el que se han cumplido los
criterios de la auditoría.
10) Cualquier opinión que aun esté sin resolver entre el equipo
auditor y el auditado.
Hay que tener en cuenta que las auditorías, por naturaleza, son un
ejercicio de muestreo; por lo que constituye un riesgo que las
evidencias de la auditoría examinadas no sean representativas.
Según ISO 19011, el informe de la auditoría también puede incluir o
hacer referencia a lo siguiente cuando se considere apropiado:
• El plan de auditoría, incluyendo el horario.
• Un resumen del proceso de auditoría, incluyendo cualquier
obstáculo encontrado que pueda disminuir la confianza en las
conclusiones de la auditoría.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
ISO DIS 22301. Recursos necesarios para la implementación de un Sistema de Gestión de Continuidad de Negocio
20
ISO DIS 22301
Según ISO DIS 22301, las organizaciones deberán de contar con
recursos necesarios para el establecimiento, implementación,
mantenimiento y mejora continua de un Sistema de Gestión de
Continuidad de Negocio.
Un recurso imprescindible de cara a implementar un Sistema de
Gestión de Continuidad de Negocio será la competencia de las
personas que están implicadas en él.
La organización deberá determinar cuál será la competencia de las
personas que llevan a cabo cada una de las tareas. Con esto se
pretende controlar como afecta cada tarea al rendimiento del
Sistema de Gestión de la continuidad del negocio.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
21
ISO DIS 22301
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
También se deberá garantizar que cada una de las personas que
realizan una determinada tarea, poseen la experiencia y la
educación necesaria para llevarla a cabo de manera competente. Si
fuera necesario, se deberán tomar acciones formativas entre
aquellas personas que no cuenten con la competencia necesaria y
evaluar la efectividad de las acciones que se hayan emprendido.
Esta información deberá ser documentada con el fin de recoger las
evidencias de la competencia.
Conciencia y comunicación en la organización
Las personas que realicen trabajos bajo el control de la
organización deberán conocer:
• La política de continuidad del negocio.
• Su contribución a la efectividad del Sistema de Gestión de
Continuidad de Negocio, incluidos los beneficios de mejorar el
rendimiento de continuidad de negocio.
• Las implicaciones de no cumplir con los requisitos del Sistema
de Gestión de Continuidad de Negocio.
• Cual es su rol y responsabilidades antes, durante y después de
las interrupciones.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
Automatización de la gestión de contratistas en un Sistemas de Gestión HSE
22
Gestión de contratistas
Casi de una manera generalizada, la gestión HSE de contratistas
está regulada a través de requisitos legales establecidos en la
legislación de cada país, así como en los señalados en las
normativas internacionales de excelencia vinculadas, como pueden
ser la ISO 45001 de Seguridad y Salud en el Trabajo o la ISO 14001
de gestión del medio ambiente, entre otras.
Esto obliga a que todas las compañías que operen en proyectos
que requieran de la gestión de contratistas, deban de cumplir con
los requisitos contractuales que acrediten la legalidad y
cumplimiento de aquellas normas pertenecientes a cada legislación
nacional.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
23
Gestión de contratistas
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
Aun así, aquellos requisitos referidos a las normas internacionales,
tienen que ser registrados y documentados según se indica en
cada norma, que es, como información documentada. Algunos de
estos pueden ser, la política integrada y objetivos para la gestión
HSE.
El objeto de la gestión de contratistas, es ofrecer calidad y
oportunidad en los contratos, con el objetivo de que se pueda
asegurar el respaldo de los trabajadores por parte de la empresa,
concretamente, en materia de Seguridad y Salud en el Trabajo y
medio ambiente.
Requisitos generales para la gestión HSE para
contratistas
A la hora de la contratación, deberán de considerarse cuales son
los requisitos principales de gestión HSE para contratistas. Estos
deberán cumplirse posteriormente según el servicio a realizar.
Entre los requisitos generales habrá que destacar los siguientes:
El contratista deberá hacer entrega de los resultados obtenidos de
la aplicación de la gestión HSE definida en la organización, tanto
anualmente como al inicio del contrato.
Los contratistas, deberán de disponer de personal cualificado en
materia de Seguridad y Salud en el Trabajo.
Se deben tener las autorizaciones pertinentes, sobre todo para
aquellos trabajadores que vayan a trabajar horas extra.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
24
Ventajas de certificar ISO 27001 de cara al cumplimiento del Reglamento General de Protección de Datos (RGDP)
Reglamento General de Protección de Datos
El más que afamado Reglamento General de Protección de Datos
(RGPD), de aplicación común para todos los Estados miembros de
la Unión Europea, afecta a aquellas organizaciones que tratan datos
personales. Esto ha provocado que en prácticamente todas las
empresas se haya tenido que hacer un gran esfuerzo por la
adaptación del tratamiento de los datos de carácter personal que
manejan. Este proceso, aun en plena efervescencia, se podría
simplificar gracias a la implantación de un Sistema de Gestión de
Seguridad de la Información según la certificación ISO 27001.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
25
Reglamento General de Protección de Datos
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
De esta manera, cada organización se ha visto obligada a evaluar
los riegos de los datos personales e implantar así mecanismos
necesarios para protegerlos. Partiendo de este objetivo de
adaptación legal, muchas empresas han visto en la certificación ISO
27001 una guía adecuada para poder establecer e implementar un
Sistema de Gestión de Seguridad de la Información adaptado a la
normativa vigente.
El Reglamento General de Protección de Datos refuerza los
derechos de los ciudadanos e introduce un nivel de seguridad
sobre la información personal como nunca antes se había
conocido.
En este caso, la figura del responsable del tratamiento de datos
adquiere un papel muy importante en las empresas, ya que gran
parte de las decisiones que se tomen sobre el procesamiento de
los datos personales dependerá de su figura. Este ha sido un
puesto que se ha tenido que crear de nueva en muchas compañías,
debido a que anteriormente no se le ha prestado tanta atención a
este tema.
El Reglamento General de Protección de Datos ha supuesto un
antes y un después en la normativa de protección de datos tanto a
nivel europeo como a nivel mundial. Su finalidad no es otra que la
de regular la protección de la privacidad de la información personal
de todos los ciudadanos residentes en la Unión Europea.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
26
La importancia de la formación en ISO 9001
Formación en ISO 9001
La norma ISO 9001 es uno de los estándares de gestión de la
calidad más implantados en las empresas a nivel mundial. Esta
certificación especifica los requerimientos necesarios en la
implantación y mantenimiento de un sistema de gestión de calidad,
así mismo, permite a las organizaciones de cualquier sector
demostrar la satisfacción de sus clientes y asegurar que trabajan
por mantener y mejorar la calidad de los productos o servicios que
ofrecen.
Las empresas se interesan por obtener esta certificación para así
garantizar a sus clientes la mejora de sus productos o servicios y
estos a su vez prefieren empresas comprometidas con la calidad.
Por lo tanto, las normas como la ISO 9001 se convierten en una
ventaja competitiva para las organizaciones.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
27
Formación en ISO 9001
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
Beneficios de la formación en ISO 9001
Centrándonos en el punto de vista empresarial y estratégico,
sabemos que la obtención de una certificación ISO 9001
proporciona grandes beneficios a las organizaciones, y por
contradictorio que parezca, dada la inversión en recursos que
necesita, consigue que las empresas rentabilicen dicha inversión,
pues la mejora en su imagen y competitividad se hacen evidentes a
medio y largo plazo. Imagine una empresa que ofrece productos de
mala calidad, frente a otra con un sistema de producción en
constante evaluación y mejora continua, ¿Cuál de las dos cree que
tiene más oportunidades de incrementar sus ventas?
Uno de los recursos sobre los que una empresa debe invertir es en
la formación y capacitación de sus empleados. Ante la necesidad de
mantener las actividades de seguimiento, control y mejora continua
que exige la norma para cada proceso certificado, la actualización y
formación en ISO 9001 del personal que la gestiona es decisiva, y
redundará en beneficio de la empresa a corto plazo.
La propia norma, cuando hace referencia a las competencias,
establece en uno de sus apartados la necesidad de aplicar acciones
formativas para adquirir las competencias necesarias entre el
personal de la misma. Estas por su puesto deberán de ser
evaluadas para comprobar que su ejecución se ha llevado a
cabo de manera correcta y ha tenido sentido dentro de la
organización.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
El comportamiento de un auditor según ISO 19011
28
ISO 19011
La rigurosidad en un proceso de auditoría, así como la capacidad
de alcanzar sus objetivos, depende de la competencia de las
personas que participen en la realización de dichas auditorías,
incluyendo los auditores y líderes de equipos de auditoría.
La competencia del personal auditor debería evaluarse
regularmente a través de un proceso que considere su
comportamiento y la capacidad para aplicar los conocimientos y las
habilidades adquiridos a través de su educación, la experiencia
laboral, la formación como auditor y la experiencia en auditorías
previas. Este proceso debería tener en cuenta tanto las
necesidades del programa de auditoría como sus objetivos.
No hace falta que cada auditor en el equipo tenga la misma
competencia. Sin embargo, la competencia global del equipo
auditor necesita ser suficiente para alcanzar los objetivos
planteados en la auditoría.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
29
ISO 19011
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
Según establece ISO 19011, la evaluación de la competencia del
auditor debería planificarse, implementarse y documentarse para
proporcionar un resultado que es objetivo, coherente, imparcial y
fiable. El proceso de evaluación debería incluir los siguientes cuatro
pasos principales:
• Determinar la competencia requerida para cumplir las
necesidades del programa de auditoría
• Establecer los criterios de evaluación
• Seleccionar el método de evaluación apropiado
• Realizar la evaluación
Por su parte, el resultado del proceso de evaluación debería
proporcionar la base para tres cuestiones clave:
• Seleccionar a los miembros del equipo auditor
• Determinar la necesidad de mejorar la competencia
• Evaluar de manera continua el desempeño de los auditores
Los auditores deberán mejorar su competencia mediante el
desarrollo profesional y continuo, así como a través de la
participación regular en auditorías.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
ISO DIS 22301: Planificación y control operacional
30
ISO DIS 22301
No cabe duda de que la planificación es uno de los aspectos clave
de cara a establecer un Sistema de Gestión de Continuidad de
Negocio. La gerencia de la organización juega un papel clave dentro
de este ámbito, ya que desde una posición estratégica como la que
ocupan es desde donde mejor se puede plantear este aspecto.
Según el borrador ISO DIS 22301, la organización debe planificar,
implementar y controlar los procesos necesarios para cumplir con
los requisitos, y para implementar las acciones determinadas para
enfrentar riesgos y oportunidades mediante:
• El establecimiento de criterios para los procesos.
• Implementar el control de los procesos de acuerdo con los
criterios establecidos.
• Mantener la información documentada en la medida necesaria
para tener confianza en que los procesos se han llevado a cabo
según lo planeado.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
31
ISO DIS 22301
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
La organización deberá efectuar un control de los cambios
planificados y revisar las consecuencias de los cambios no
deseados, tomando las medidas oportunas para mitigar cualquier
efecto adverso, según se considere necesario.
La organización también debe garantizar que los procesos
subcontratados y la cadena de suministro estén controlados de
manera adecuada.
Análisis de impacto empresarial y evaluación de riesgos
La importancia de una evaluación de riesgos llevada a cabo de
manera correcta, junto con un análisis de impacto empresarial,
ayuda a la compañía a identificar cuáles son los principales riesgos
para sus actividades y recursos más críticos. La información que se
obtiene a través de este análisis ayuda a los altos cargos identificar
dónde los riesgos superan su capacidad de asunción de riesgo y
prepara el terreno para llevar a cabo estrategias y planes de
continuidad de negocio para minimizar la probabilidad de que se
produzca una interrupción, reduciendo el período de la misma o
limitando el impacto en la entrega de los principales productos y
servicios de la organización.
Como indica ISO DIS 22301, la organización debe implementar y
mantener un proceso para analizar el impacto en el negocio y
evaluar riesgos de interrupción que establecen el contexto, definen
criterios y evalúan el impacto potencial de una determinada
ruptura. Se deberá determinar el orden en que se llevan a cabo el
análisis de impacto empresarial y la evaluación de riesgos.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
El papel de la alta dirección en la gestión HSE
32
Gestión HSE
La gestión HSE, tiene como objetivo de garantizar la seguridad
sobre el medio ambiente y sobre los trabajadores de la propia
organización, para poder controlarlos y monitorearlos.
A diario se producen una gran cantidad de accidentes. Tantos como
para considerar que la cifra de riesgos laborales es muy alta. Este
es uno de los motivos por los que las organizaciones del mundo
deberían implantar las diferentes normas establecidas en el
Sistema de Gestión, las cuales podrán garantizar una mayor
competitividad empresarial y un menor riesgo de incidentes
laborales, así como posibles desastres ambientales.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
33
Gestión HSE
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
Como ya es sabido, las siglas HSE, significan en inglés: Health,
Security and Environment. Por tanto, este tipo de de gestión
permitirá llevar a cabo un adecuado registro en los procesos
organizaciones de las compañías, aumentando la seguridad de los
empleados ante posibles riesgos laborales, así como el cuidado del
medio ambiente, entre otros.
De forma alternativa a toda la legislación que hay al respecto en
cada uno de los países, las organizaciones podrán contar con la
certificación de algunas normas ISO para poder implantar
estándares de calidad que contribuirán a mejorar la gestión de la
Salud, Seguridad y Medioambiente en el trabajo. Es decir, para
obtener estas certificaciones, es necesario demostrar y garantizar
una adecuada gestión de calidad frente a los procesos ejecutados y
el cumplimiento de leyes según la gestión en HSE.
Se deben prevenir los riesgos laborales que afecten de manera
directa al trabajador. Ya que cuando más elevado sea el riesgo en
una actividad, mayores serán las acciones que habrá que realizar
para prevenir los accidentes.
Todo comienza en la alta gerencia
El papel de la alta gerencia de una determinada compañía u
organización constituye un aspecto clave de cara a poder
implementar un Sistema de gestión HSE (Salud, Seguridad y
Medioambiente en el Trabajo).
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
34
Día internacional de la Tierra. La ISO 14064 Sistemas de Gestión de Gases Efecto Invernadero
ISO 14064
Con el objetivo de concienciar a la humanidad sobre diversos
problemas como: la superpoblación, la contaminación, la
conservación de la biodiversidad y otras problemáticas
ambientales, desde 1970, la ONU (Organización de las Naciones
Unidas) declaró el 22 de abril como Día Internacional de la Tierra.
Su origen se sitúa en Estados Unidos, asociado a Gaylord Nelson,
senador estadounidense que instauró este día con el objetivo de
crear una conciencia común a los problemas ambientales que más
afectaban a la protección del planeta tierra. Las diversas culturas
han adoptado este día como un evento en el que rendir homenaje
a nuestro planeta y reconocer a la tierra como nuestro hogar, la
cual cada vez está siendo más afectada por los efectos negativos
que el ser humano está causando en él.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
35
ISO 14064
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
En 1970 tuvo lugar la primera manifestación para la creación de
una agencia para el Medio Ambiente, promovida por el propio
Gaylord Nelson. En esta participaron alrededor de dos mil
universidades, diez mil escuelas e institutos de segundaria y
centenares de comunidades. Esto provocó la creación de la
Environmental Protection Agency (Agencia de Protección Ambiental)
y una serie de medidas legislativas destinadas a la protección del
medio ambiente.
Otro hito clave dentro de esta serie de acontecimientos se
produciría en 1972. Este año se celebró la primera conferencia
internacional sobre el medio ambiente. La Cumbre de la Tierra de
Estocolmo cuyo objetivo fue sensibilizar a los líderes mundiales
sobre la importancia de los problemas ambientales.
Cada año el 22 de abril se celebran múltiples de actividades a lo
largo de todo el planeta. Estas pretenden concienciar a la población
de que problemas como: el cambio climático, la desforestación, la
superpoblación o la emisión de gases efecto invernadero pueden
ser combatidos tanto a nivel personal como por parte de
compañías y organizaciones, con el objetivo de evitar acciones que
perjudiquen a nuestro planeta.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
Accidentes y destrucción en el patrimonio cultural. Una brecha en la continuidad de negocio en el ámbito turístico
36
Continuidad de negocio
La continuidad de negocio, como su nombre indica, está presente
en todo tipo de negocios, ya sea de manera directa o indirecta.
Hace apenas una semana desde que, a través de medios de
comunicación y redes sociales, la humanidad recibió la nefasta
noticia de que Notre Dame de París estaba en llamas. Aún siguen
impresionando las imágenes de la joya del arte gótico ardiendo sin
que ya nadie pudiera hacer nada por salvarla.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
37
Continuidad de negocio
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
El origen de dicho desastre patrimonial se sitúa en las obras de
rehabilitación que la catedral estaba sufriendo en la aguja que
corona su techumbre. En esta zona, recubierta de un aparatoso
cuerpo de andamios, parece ser que fue donde se inició el fuego,
de cuya causa de origen aún no se tiene certeza. Las primeras
investigaciones atribuyen el origen del siniestro a un accidente en
las tareas de restauración de la aguja de la catedral que estaba
llevando a cabo la empresa contratista que llevaba a cabo la
rehabilitación del monumento francés.
Por desgracia son muchos los casos en los que, por diversas
causas, tanto naturales como por intervención humana, muchos de
nuestros monumentos o zonas de interés turístico se han visto
afectados. Debido a esto, dicha perdida o destrucción parcial no
solo ha provocado un efecto negativo en el bien en general, sino
que ha repercutido negativamente en la zona que rodeaba al
mismo. Es decir, en todos los negocios y empresas que se lucran de
que los turistas de múltiples destinos mundiales acudan a París
para visitar su catedral de Notre Dame, la cual está en la lista de los
monumentos más visitados del mundo cada año.
Está claro que en la gran mayoría de los casos no se trata de una
compañía en la que todo queda de puertas para dentro. En
determinadas casuísticas como la que hemos analizado con
anterioridad, son muchos los agentes afectados. Son más de una
empresa, asociación o incluso institución pública a quien podría
afectar este tipo de efectos tan negativos como el vivido la pasada
semana en la capital francesa.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
38
¿Qué conocimientos y habilidades debe poseer un auditor según ISO 19011?
ISO 19011
El conocimiento específico, teórico y práctico, de la profesión,
evidentemente es muy importante. Para poder llevar a cabo una
buena labor profesional en un determinado puesto, la persona
designada deberá contar con los conocimientos y habilidades
necesarios para poder llevar a cabo dicha labor.
Las competencias y habilidades de un profesional se pueden definir
como un conjunto de recursos personales que entran en juego en
la ejecución de una determinada actividad laboral. Esto englobaría
a habilidades, conocimientos, destrezas y comportamientos.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
39
ISO 19011
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
Según ISO 19011, de manera general un auditor deberá poseer los
conocimientos y habilidades necesarios para lograr los resultados
previstos de las auditorias que se espera que se lleven a cabo. Por
otro lado, también debería tener la competencia genérica o el nivel
apropiado de conocimientos y habilidades específicos de la
disciplina y del sector en el que se desarrolle su profesión.
La norma también especifica que los líderes del equipo deberían
tener los conocimientos y habilidades adicionales necesarios para
dirigir al equipo auditor.
Conocimientos y habilidades genéricos de los auditores
de sistemas de gestión
ISO 19011 establece que un auditor debe poseer conocimientos y
habilidades en cuatro áreas determinadas. Estas serían las
siguientes:
1) En los principios, procesos y métodos de realización de una
auditoría: poseer conocimientos y habilidades en este aspecto
permitirán al auditor asegurarse de que las auditorías se realizan
de manera correcta y sistemática.
De esta manera, un auditor debería ser capaz de:
• Entender los tipos de riesgos y oportunidades que están
asociados con la auditoría y los principios del enfoque basado
en riesgos para la auditoría.
• Planificar y organizar el trabajo de manera eficaz.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
40
Planes y procedimientos de continuidad de negocio según ISO DIS 22301
ISO DIS 22301
Antes de comenzar, debemos decir que en el borrador de la norma
ISO DIS 22301 se especifica la estructura y los requisitos que se
está estableciendo que tenga un Sistema de Gestión de
Continuidad de Negocio.
En el artículo de hoy, nos centraremos en uno de los puntos más
importantes de la norma. Si quiere ampliar conocimientos en la
norma haga clic en el siguiente enlace.
En este caso, hablaremos de los planes y procedimientos de
continuidad de negocio según ISO DIS 22301.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
41
ISO DIS 22301
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
De forma general, en el borrador de la norma ISO DIS 22301
encontramos un punto el cual nos indica que, la organización debe
implementar y mantener una estructura que permita avisar y
comunicar, de forma oportuna, a las partes interesadas relevantes y
que también, proporcione planes y procedimientos para
administrar la organización durante una interrupción del negocio.
Estos planes y procedimientos se pondrán en marcha cuando sea
necesario para ejecutar soluciones de continuidad del negocio.
Es cierto que existen diferentes procedimientos que están
relacionados con los planes de continuidad de negocio. Sin
embargo, los planes según este borrador deben:
• Ser flexibles para responder a las condiciones de cambio
interno y externo durante una interrupción de negocio.
• Ser concisos en cuanto a los pasos que se deben seguir
durante la interrupción.
• Ser efectivos para minimizar lo máximo posible el impacto
derivado de la implementación de las soluciones adecuadas.
• Asignar papeles y responsabilidades por cada tarea.
• Centrarse en el impacto de los incidentes potenciales que
pueden llevar a una interrupción del negocio.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
42
¿Qué debemos de tener en cuenta a la hora de evaluar los riesgos laborales?
Riesgos laborales
Solo hace falta echar un vistazo a los medios de comunicación para
darse cuenta que los siniestros por riesgos laborales siguen
aumentando desde los últimos años. Según sindicatos e
instituciones de referencia, los motivos fundamentales de este tipo
de sucesos se encuentran en la precariedad laboral y en la falta de
prevención por parte de compañías y organizaciones.
A modo de ejemplo, en España, el pasado año 2018 la
siniestralidad laboral aumentó un 5,5% con respecto al año
anterior, marcando su máximo desde hace siete años.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
43
Riesgos laborales
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
No deja de ser chocante que en plena era de la digitalización
empresarial y tras la disminución de siniestralidad laboral que se
experimentó a lo largo de la década final del siglo XX, volvamos a
experimentar este crecimiento. Lo que el año pasado parecería
insinuar una ligera bajada, ha sido desmentido según los últimos
datos.
El pasado año fueron un total de 652 los trabajadores que
murieron por causas laborales, 34 más que el año pasado. Hay que
destacar que no se registraba una cantidad tan alta desde el año
2011, cuando se experimentó una bajada que alcanzó en 2013 la
cifra de 458 trabajadores fallecidos, según datos del Ministerio de
Trabajo.
La importancia de la evaluación de riesgos laborales
La evaluación de riesgos se define como un procedimiento
destinado a analizar y evaluar el grado de gravedad y la frecuencia
con que se producen aquellos riesgos laborales que no hayan
podido evitarse totalmente. Esta evaluación es una operación clave
dentro del Sistema de Gestión de Seguridad y Salud en el Trabajo
en una compañía.
La evaluación de riesgos es un aspecto muy a tener en cuenta en
cualquier Sistema de Gestión de Salud y Seguridad de los
trabajadores y por tanto debe ser tenido en…
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
44
Medición del desempeño en los Sistemas de Gestión de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información
Toda aquella organización que esté interesada en la implantación
de un Sistema de Gestión de Seguridad de la Información se verá
en la obligación de evaluar tanto el desempeño de la seguridad de
la información, así como la eficacia que posea el sistema de gestión
que se vaya a implantar en la misma para dicho fin.
La evaluación del desempeño de un sistema de gestión de
seguridad de la información comprende todas las formas en las
que el sistema de gestión puede ser evaluado, pudiendo aplicarse
tanto en todo el sistema de gestión, como también en cada uno de
los procesos involucrados.
Para ello habrá que seleccionar métodos que puedan dar lugar a
resultados comprables y reproducibles. Así se comprobarán si son
válidos.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
45
Sistema de Gestión de Seguridad de la Información
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
La ISO 27001 establece en uno de los puntos de la norma aspectos
muy interesantes que pueden ser aplicados a aquellas
organizaciones que estén interesadas en llevar a cabo una
adecuada medición de las posibles fallas que haya en sus sistemas
de gestión de seguridad de la información. Por tanto, y según la
norma, toda organización deberá determinar varias cuestiones
claves:
• A que activos será necesario realizar un seguimiento. Debiendo
saber qué es necesario medir, teniendo en cuenta los procesos
y controles de seguridad de la información.
• Cuáles serán los métodos de seguimiento, medición, análisis y
evaluación para garantizar que los resultados son válidos.
• Cuando se deberá proceder a realizar el seguimiento y la
medición de los activos.
• Que perfil de la organización es quien debe de llevar a cabo
dicha labor de seguimiento y medición de estos riesgos. Y cual
debe analizar y evaluar los resultados.
• En qué momento se deberá proceder a analizar y evaluar,
sabiendo que es el momento clave de ejecutar dicha labor.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
46
¿Qué es compliance tributario?
Compliance tributario
Contar con un Sistema de Gestión Compliance en una organización
tiene muchos y muy variados beneficios, especialmente para
aquellas empresas que hayan decidido implementar un Sistema de
Gestión de Cumplimiento normativo, tengan o no como objetivo
evitar y prevenir los riesgos penales.
De entre todos los beneficios que un Sistema de Gestión
Compliance aporta a toda organización, hay que destacar dos
fundamentales:
Por un lado, es una garantía de respeto a la legalidad y de
confianza.
Por otro lado, sirve como mecanismo de atenuación de la
responsabilidad penal de la persona jurídica, en caso de que se
cometan determinados delitos por miembros de la organización.
www.isotools.org Empresa Excelente abril 2019
Artículos Técnicos
47
Compliance tributario
CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG
Este hecho deberá de ser analizado minuciosamente, puesto que
un Sistema de Gestión de Compliance en sí mismo requiere del
análisis detallado y pormenorizado de diferentes aspectos
normativos: mercados y competencia, sectores regulados, fiscalidad
y seguridad social, seguridad e igualdad en el trabajo,
consumidores, sociedad de la información y comunicación,
blanqueo de capitales, soborno, corrupción, etc.
Implementar, un sistema de Gestión Compliance que no tenga en
cuenta el análisis de las diferentes tipologías delictivas que pueden
afectar a la organización es un error ya que este quedará
incompleto y todo el trabajo se habrá realizado en vano.
El compliance tributario, una de las tipologías delictivas
más presentes en las compañías
Son muchas las ocasiones en las que los medios de comunicación
sacan a la luz noticias sobre una determinada trama de fraude
tributario. En este tipo de casos, suelen ser los altos cargos de las
compañías quienes están más relacionados. Es por esto por lo que
dentro del análisis previo que toda organización debe realizar antes
de implementar un Sistema de Gestión Compliance, el tributario es
un aspecto que debería de estar presente en los aspectos
normativos a tener en cuenta.
Las compañías interesadas en el compliance tributario buscan
minimizar las contingencias fiscales y evitar así la imposición de
sanciones tributarias por llevar a cabo delitos fiscales contra la
Hacienda Pública.
www.isotools.org
Acerca de ISOTools ExcellenceQuiénes somos
Empresa Excelente abril 2019
Presencia mundial, apoyo local
Desde los inicios de nuestra organización han pasado más de
quince años de trabajo y mejora continua, donde el desarrollo de
alianzas, la ampliación en normas y modelos, el gran crecimiento en
número de clientes y tipología de proyectos, así como la expansión
internacional, han marcado y marcan nuestra trayectoria.
Estamos presentes en más de quince países, en los que nuestros
equipos locales prestan un servicio adaptado a la realidad y
mercado de cada zona.