EMPRESAEXCELENTELos mejores artículos técnicos publicados en el blog de ISOTools Calidad y Excelencia

A B R I L 2 0 1 9

Sistemas de Gestión

Normalizados

Modelos de Gestión

y Excelencia

Software gestiónpara excelencia

empresarial

Recursosgratuitos

www.isotools.org

Acerca de ISOTools ExcellenceQuiénes somos

Empresa Excelente abril 2019

Software para administrar eficientemente la gestión empresarial e institucional

Concebido para implementar, mantener y mejorar

continuamente los sistemas de Calidad, Medio Ambiente,

Riesgos Laborales, Seguridad de la Información, Seguridad

Alimentaria, Modelos de Acreditación, Modelos de Excelencia

como EFQM o Modelos de Planificación Estratégica (BSC), entre

otros, ISOTools Excellence constituye un conjunto escalable de

soluciones de innovación tecnológica para la modernización y

mejora de la gestión de los servicios y del trabajo en equipo,

entre otros aspectos.

2

www.isotools.org

Acerca de ISOTools ExcellenceQuiénes somos

Empresa Excelente abril 2019

Servicio llave en mano

Para que el el software pueda ser implementado y mantenido

de forma rápida y sin incidencias, ofrecemos esta lista de

servicios y servicios complementarios a todos nuestros clientes:

3

Capacitación

Los consultores expertos de ISOTools Excellence ofrecen

una formación personalizada a los clientes para que se

familiaricen rápidamente con el manejo del software.

Soporte

Contamos con profesionales disponibles a través de vía

telefónica y online para resolver cualquier duda / incidencia

que pueda surgir acerca del uso de la herramienta.

Consultoría

Nuestro equipo de consultores puede ayudarle a sacarle el

máximo partido a ISOTools Excellence en su organización,

antes, durante y después de la implementación.

Integración

Puede convivir con otras aplicaciones que ya estén

funcionando en tu organización. Dispone de mecanismos para

cambio de datos con soluciones de otros proveedores.

Adaptaciones

Toda organización posee sus particularidades, que muchas

veces son la razón de la eficiencia de sus procesos. Por

ello, ofrecemos la posibilidad de desarrollos a medida.

Migración de datos

El proceso de migración de datos tiene como objetivo

principal importar a ISOTools Excellence los datos de su

sistema de gestión actual.

www.isotools.org

Acerca de ISOTools ExcellenceQuiénes somos

Empresa Excelente abril 2019

Una herramienta a la medida de tu organización

Estamos ante un sistema modular y altamente parametrizable, que se adapta a las

necesidades de cada organización. Cuenta con un módulo base que sirve como cimiento de

otros módulos de soluciones que cubren distintas áreas, pensados para facilitar y agilizar la

gestión de sistemas y modelos, y de esta forma poder dar cumplimiento a los requisitos de los

mismos. Sea cual sea su sector.

4

www.isotools.org

Acerca de ISOTools ExcellenceQuiénes somos

Empresa Excelente abril 2019

ISOTools Excellence aporta resultados en el corto plazo

5

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

6

Software ISOTools como herramienta para automatizar un Sistema de Gestión de Seguridad de la Información

Software ISOTools

En la era del conocimiento, una organización que desee tanto

liderar el mercado en el que participa como aprovechar las

oportunidades que brinda su entorno y establecer relaciones de

confianza con las partes interesadas, tiene que ser consciente de

que debe encargarse de sus necesidades, objetivos y sus requisitos

de seguridad de la información que representa su know how del

negocio. Para ello, debe utilizar las mejores prácticas disponibles en

el mercado, y la ISO 27001 satisface este aspecto.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

7

Software ISOTools

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

La norma ISO/IEC 27001 proporciona los requisitos para el

establecimiento, implementación mantenimiento y mejora continua

de un sistema de gestión de seguridad de la información (SGSI), el

cual debería ser una decisión estratégica para una organización, y

desplegar todas sus capacidades para promover el crecimiento y la

consolidación de una propuesta de valor.

Un sistema de gestión de seguridad de la información (SGSI)

preserva la confidencialidad, integridad y disponibilidad de la

información mediante la aplicación de un proceso de gestión de

riesgos. Y, otorga a las partes interesadas de quien la implemente,

la confianza sobre la adecuada gestión de los riesgos.

Para la adecuada operación de un SGSI se debe contar con

herramientas tecnológicas que permitan atender la dinámica que

suponen las amenazas que tienen los activos de la información en

el entorno actual.

Software para administrar eficientemente un sistema de

gestión de seguridad de la información

Es cada vez más frecuente que la alta dirección de las compañías le

dé más importancia a la protección de la información. Para ello es

necesario contar con una herramienta que haga más sencillo

gestionar todo este tipo de datos. Implementar seguridad de la

información sin la ayuda una herramienta tecnológica que nos

facilite toda esa gestión de activos y riesgos, se hace de lo más

complicado.Cuando una empresa o cliente, requiere de una serie

de servicios, y, como es obvio, solicita seguridad respecto a la

calidad de dichos servicios.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

Reglamento de la Ley 30424 un paso más en el modelo de gestión integral de riesgos de las empresas en Perú

8

Reglamento de la Ley 30424

El pasado 9 de enero de 2019 fue aprobado por el Gobierno de Perú

el Reglamento de la Ley N° 30424. Dicho reglamento regula la

Responsabilidad Administrativa de las Personas Jurídicas, con el

objetivo de establecer los requisitos mínimos de los modelos de

compliance que las compañías podrán implementar con el fin de evitar

y prevenir delitos de soborno o lavado de activos.

La implementación y el correcto funcionamiento de esta tipología de

modelo, que forma parte del llamado modelo de prevención, puede

ayudar a absolver de responsabilidad a la persona jurídica por la

realización de delitos como pueden ser: el tráfico de influencias, la

corrupción pública, la conspiración hacia terceros, el lavado de activos

o la financiación de actos terroristas.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

9

Reglamento de la Ley 30424

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

No hay que olvidar, que hace más de dos años, el 6 de enero de

2017, el Gobierno ya publicó el decreto legislativo 1352, mediante

el cual se amplió la cobertura de la ley 30424. Este también

sancionaba delitos como el cohecho activo, el lavado de capital, y

otros delitos como los nombrados en el anterior párrafo. Pero sin

embargo dicho decreto eximía a aquellas compañías que hubiesen

incorporado de forma voluntaria un modelo compliance adecuado

a sus necesidades.

Con la publicación del nuevo reglamento, ya se establecen cuales

deberán de ser esos requisitos mínimos que deben de cumplir los

modelos compliance que adopten las distintas organizaciones de

manera voluntaria, alejándose así de los modelos realizados a

medida. De esta manera y de conformidad con lo recogido por el

artículo 17 de la citada Ley Nº 30424 que regula la responsabilidad

administrativa de las personas jurídicas y sus modificatorias, las

compañías podrán prevenir, identificar y mitigar los riesgos de

comisión de delitos a través de sus diversas estructuras.

Un modelo muy común en grandes empresas, no tanto en

pequeñas y medianas

n relación al ámbito de aplicación y a efectos del modelo de

prevención presente en la Ley 30424, el artículo 3 de dicho

reglamento clasifica a las empresas en cuatro niveles:

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

10

Realización de las actividades de auditoría según ISO 19011

ISO 19011

Según ISO 19011, las actividades de auditoría se suelen realizar en

una secuencia que ha sido definida de manera previa. Aun así,

dicha secuencia podrá modificarse para poder adaptarse mejor a

las circunstancias de auditorías específicas.

Lo primero a lo que se deberá proceder será a la asignación de los

roles y el establecimiento de las responsabilidades de los guías y

observadores. Estos podrán acompañar al equipo auditor siempre

y cuando cuenten con la aprobación de su líder y del cliente

auditado. Hay que destacar que estos no podrán interferir en la

auditoria. Si esto no se puede conseguir, el líder del equipo auditor

tiene el derecho a negar su participación en ciertas partes de la

auditoria.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

11

ISO 19011

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

Los guías designados por el auditado deberán de asistir al equipo

auditor y actuar cuando lo solicite su líder. Entre sus

responsabilidades destacan:

• Ayudar a los auditores a identificar a los participantes de las

entrevistas y a confirmar los horarios y localizaciones

• Acordar el acceso a las ubicaciones del auditado

• Estar seguros de que los miembros del equipo auditor y los

observadores son conocedores y respetan las reglas que

indican los acuerdos específicos para el acceso a la ubicación, la

seguridad y salud en el trabajo, el medio ambiente, la seguridad

física, la confidencialidad y otras cuestiones, y que se abordan

los riesgos

• Serán testigos de la auditoría en representación del auditado,

cuando sea necesario

• Ayudarán en la recopilación de información.

Reunión de apertura, acuerdos de comunicación y

disponibilidad de la información

Debería celebrarse una reunión de apertura con la dirección del

auditado y con aquellos responsables de las funciones o de los

procesos que se van a auditar. Durante la reunión, debería

proporcionarse la oportunidad de realizar preguntas. Habrá que

establecer varias cuestiones:

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

La importancia del bienestar de los trabajadores en un Sistema de Gestión Integrado

12

ISO 45001

Tras su publicación el 12 de marzo de 2018, la ISO 45001 trae

cambios muy importantes, aunque uno de los más destacados es la

integración del bienestar del personal de una organización a través

de su Sistema de Gestión de Seguridad y Salud en el

Trabajo. Lógicamente en lo referente al bienestar de los

trabajadores dentro de un Sistema de Gestión Integrado, la ISO

45001 es la norma a seguir.

No cabe duda de que los trabajadores son uno de los activos más

importante de las compañías de hoy en día. Es por esto por lo que

su salud y bienestar son dos aspectos clave para el buen

funcionamiento de cualquier organización.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

13

ISO 45001

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

Una buena gestión del capital humano de una compañía no solo

repercute positivamente en el capital económico, sino que también

contribuirá a mejorar su reputación e imagen de marca. Los

propios trabajadores pueden ser los primeros recomendadores de

una empresa y esto se consigue con su bienestar dentro de ella.

Se deben prevenir los riesgos laborales que afecten de forma

directa al trabajador. Ya que cuando más elevado sea el riesgo en

una actividad, mayores serán las acciones que habrá que realizar

para prevenir los accidentes.

El papel de los trabajadores en la organización según ISO

45001

La implantación de un Sistema de Gestión de Seguridad y Salud

laboral contribuirá a identificar, analizar y evaluar los riesgos y

cargas de trabajo del personal, y así poder tomar las medidas

necesarias. De esta manera también se garantizará que se cumpla

de manera sistemática con los requisitos legales en todo el entorno

laboral.

Según ISO 45001, cuando una organización determine tanto las

cuestiones externas como internas que afecten a su capacidad

para alcanzar los resultados previstos de su sistema de gestión de

la seguridad y salud en el trabajo (SST), deberá tener en cuenta las

necesidades y expectativas de los trabajadores, así como de otras

partes. Por tanto, la organización deberá determinar:

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

14

Seguridad relativa a los recursos humanos según ISO 27001

ISO 27001

Según ISO 27001, la implantación de un Sistema de Gestión de

Seguridad de la información aporta a las compañías un conjunto de

políticas de seguridad, procedimientos y otros mecanismos

necesarios para controlar y establecer todas las reglas de seguridad

de la información de una organización.

No hace falta destacar que la información es uno de los activos más

importantes de una empresa. Esta no solo está relacionada

directamente con el capital económico de la compañía. En muchas

ocasiones también recoge datos clave del personal que forma

parte de la misma como por ejemplo direcciones, datos de

contacto, horarios, números de cuesta o incluso enfermedades.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

15

ISO 27001

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

Es por esto por lo que a la hora de implantar un Sistema de

Seguridad de la Información según ISO 27001, el personal de la

propia organización deberá de ocupar un papel muy importante

dentro de dicho sistema.

Además de tener en cuenta la información relacionada con los

trabajadores, también habrá que trabajar en inculcar en estos la

importancia de contar con un Sistema de Gestión de Seguridad de

la Información, así como aquellos requisitos que tengan que

adoptar para que este pueda ser implantado sin ningún tipo de

problema por su parte.

El capital humano es un activo clave a la hora de implantar un

Sistema de Gestión de Seguridad de la Información según ISO

27001. De manera que habrá que contar con este como un activo

propio. En esta ocasión se hace referencia a los aspectos que el

Anexo A de la norma recoge de cara a tratar los recursos humanos.

Tres periodos de los Recursos Humanos en ISO 27001

ISO 27001 recoge tres momentos importantes dentro de la

vida del trabajador en los que este debe conocer y por tanto

cumplir con las responsabilidades respectivas en relación a la

seguridad de la información dentro de la compañía: Antes del

empleo, durante el empleo y tras finalizar el empleo.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

Integración de ISO 9001 con UNE 170001:2007 de Gestión de Accesibilidad Universal

16

UNE 170001

El concepto “accesibilidad” hace referencia a las diferentes

dimensiones que engloban a la actividad del ser humano en su

entorno: desplazarse, comunicarse, alcanzar, entender, usar y

manipular son algunas de las formas básicas de actividad humana.

Garantizar la accesibilidad significa dar la oportunidad de que estas

actividades puedan ser llevada a cabo por cualquier persona sin

que se tope con ningún tipo de barreras que lo impidan.

Accesibilidad universal es un concepto que ha ido evolucionando a

lo largo de los años. Al principio, este hacía referencia únicamente a

la accesibilidad a lugares físicos. Prestando atención únicamente a

la eliminación de barreras de accesibilidad arquitectónicas que

impidieran el acceso a un determinado lugar.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

17

UNE 170001

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

La evolución que ha experimentado este concepto, ha llevado a

que la idea de accesibilidad universal abarque un contexto mucho

más amplio, incluyendo toda una serie de medidas que deben ser

tenidas en cuenta a la hora de elaborar estrategias políticas y

sociales.

De hecho, actualmente ya no se habla de accesibilidad universal

como tal, ya que este concepto se ha desdoblado en múltiples

términos que hacen referencia a todos los tipos de accesibilidad

que se pueden adoptar en un contexto, en función de las

necesidades de cada persona. Así podemos hablar de: accesibilidad

auditiva, cognitiva, física, visual, etc.

UNE 170001:2007 de Gestión de Accesibilidad Universal,

la certificación que garantiza la igualdad de

oportunidades

La UNE 170001:2007 de Gestión de Accesibilidad Universal es una

norma creada por los Comités Técnicos de Normalización (CTN) de

la Asociación Española de Normalización y Certificación (AENOR)

aplicable en España. Su certificación indica que una compañía ha

implantado un sistema de gestión de la Accesibilidad Universal y

cumple con sus facilidades. Este es una útil herramienta para

aquellas organizaciones que deseen ser eficaces en el

cumplimiento de su objetivo de garantizar la igualdad de

oportunidades de todos sus posibles usuarios a través del

cumplimiento de los criterios de accesibilidad universal.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

18

Conclusiones, finalización y seguimiento de una auditoría según ISO 19011

ISO 19011

Tras la realización de las actividades pertinentes de una auditoría

será preciso emitir una serie de documentos que informen de las

conclusiones de la la misma. Es el líder del equipo auditor quien

debe informar de dichas conclusiones. Este deberá proporcionar

un registro completo, preciso, conciso y claro de la auditoría y

deberá incluir y hacer referencia a los siguientes aspectos:

1) Los objetivos que tenía la auditoría.

2) El alcance de la auditoría, concretamente la identificación de la

organización y de las funciones o procesos auditados.

3) Quien ha sido el cliente de la auditoría.

4) La identificación del equipo auditor y de los participantes del

auditado en la auditoría.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

19

ISO 19011

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

5) Fechas y ubicaciones donde se realizaron las actividades de

auditoría.

6) Criterios que ha seguido la auditoría.

7) Todos los hallazgos de la auditoría y las evidencias relacionadas a

estos.

8) Las conclusiones obtenidas de la auditoría.

9) Una declaración del grado o nivel en el que se han cumplido los

criterios de la auditoría.

10) Cualquier opinión que aun esté sin resolver entre el equipo

auditor y el auditado.

Hay que tener en cuenta que las auditorías, por naturaleza, son un

ejercicio de muestreo; por lo que constituye un riesgo que las

evidencias de la auditoría examinadas no sean representativas.

Según ISO 19011, el informe de la auditoría también puede incluir o

hacer referencia a lo siguiente cuando se considere apropiado:

• El plan de auditoría, incluyendo el horario.

• Un resumen del proceso de auditoría, incluyendo cualquier

obstáculo encontrado que pueda disminuir la confianza en las

conclusiones de la auditoría.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

ISO DIS 22301. Recursos necesarios para la implementación de un Sistema de Gestión de Continuidad de Negocio

20

ISO DIS 22301

Según ISO DIS 22301, las organizaciones deberán de contar con

recursos necesarios para el establecimiento, implementación,

mantenimiento y mejora continua de un Sistema de Gestión de

Continuidad de Negocio.

Un recurso imprescindible de cara a implementar un Sistema de

Gestión de Continuidad de Negocio será la competencia de las

personas que están implicadas en él.

La organización deberá determinar cuál será la competencia de las

personas que llevan a cabo cada una de las tareas. Con esto se

pretende controlar como afecta cada tarea al rendimiento del

Sistema de Gestión de la continuidad del negocio.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

21

ISO DIS 22301

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

También se deberá garantizar que cada una de las personas que

realizan una determinada tarea, poseen la experiencia y la

educación necesaria para llevarla a cabo de manera competente. Si

fuera necesario, se deberán tomar acciones formativas entre

aquellas personas que no cuenten con la competencia necesaria y

evaluar la efectividad de las acciones que se hayan emprendido.

Esta información deberá ser documentada con el fin de recoger las

evidencias de la competencia.

Conciencia y comunicación en la organización

Las personas que realicen trabajos bajo el control de la

organización deberán conocer:

• La política de continuidad del negocio.

• Su contribución a la efectividad del Sistema de Gestión de

Continuidad de Negocio, incluidos los beneficios de mejorar el

rendimiento de continuidad de negocio.

• Las implicaciones de no cumplir con los requisitos del Sistema

de Gestión de Continuidad de Negocio.

• Cual es su rol y responsabilidades antes, durante y después de

las interrupciones.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

Automatización de la gestión de contratistas en un Sistemas de Gestión HSE

22

Gestión de contratistas

Casi de una manera generalizada, la gestión HSE de contratistas

está regulada a través de requisitos legales establecidos en la

legislación de cada país, así como en los señalados en las

normativas internacionales de excelencia vinculadas, como pueden

ser la ISO 45001 de Seguridad y Salud en el Trabajo o la ISO 14001

de gestión del medio ambiente, entre otras.

Esto obliga a que todas las compañías que operen en proyectos

que requieran de la gestión de contratistas, deban de cumplir con

los requisitos contractuales que acrediten la legalidad y

cumplimiento de aquellas normas pertenecientes a cada legislación

nacional.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

23

Gestión de contratistas

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

Aun así, aquellos requisitos referidos a las normas internacionales,

tienen que ser registrados y documentados según se indica en

cada norma, que es, como información documentada. Algunos de

estos pueden ser, la política integrada y objetivos para la gestión

HSE.

El objeto de la gestión de contratistas, es ofrecer calidad y

oportunidad en los contratos, con el objetivo de que se pueda

asegurar el respaldo de los trabajadores por parte de la empresa,

concretamente, en materia de Seguridad y Salud en el Trabajo y

medio ambiente.

Requisitos generales para la gestión HSE para

contratistas

A la hora de la contratación, deberán de considerarse cuales son

los requisitos principales de gestión HSE para contratistas. Estos

deberán cumplirse posteriormente según el servicio a realizar.

Entre los requisitos generales habrá que destacar los siguientes:

El contratista deberá hacer entrega de los resultados obtenidos de

la aplicación de la gestión HSE definida en la organización, tanto

anualmente como al inicio del contrato.

Los contratistas, deberán de disponer de personal cualificado en

materia de Seguridad y Salud en el Trabajo.

Se deben tener las autorizaciones pertinentes, sobre todo para

aquellos trabajadores que vayan a trabajar horas extra.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

24

Ventajas de certificar ISO 27001 de cara al cumplimiento del Reglamento General de Protección de Datos (RGDP)

Reglamento General de Protección de Datos

El más que afamado Reglamento General de Protección de Datos

(RGPD), de aplicación común para todos los Estados miembros de

la Unión Europea, afecta a aquellas organizaciones que tratan datos

personales. Esto ha provocado que en prácticamente todas las

empresas se haya tenido que hacer un gran esfuerzo por la

adaptación del tratamiento de los datos de carácter personal que

manejan. Este proceso, aun en plena efervescencia, se podría

simplificar gracias a la implantación de un Sistema de Gestión de

Seguridad de la Información según la certificación ISO 27001.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

25

Reglamento General de Protección de Datos

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

De esta manera, cada organización se ha visto obligada a evaluar

los riegos de los datos personales e implantar así mecanismos

necesarios para protegerlos. Partiendo de este objetivo de

adaptación legal, muchas empresas han visto en la certificación ISO

27001 una guía adecuada para poder establecer e implementar un

Sistema de Gestión de Seguridad de la Información adaptado a la

normativa vigente.

El Reglamento General de Protección de Datos refuerza los

derechos de los ciudadanos e introduce un nivel de seguridad

sobre la información personal como nunca antes se había

conocido.

En este caso, la figura del responsable del tratamiento de datos

adquiere un papel muy importante en las empresas, ya que gran

parte de las decisiones que se tomen sobre el procesamiento de

los datos personales dependerá de su figura. Este ha sido un

puesto que se ha tenido que crear de nueva en muchas compañías,

debido a que anteriormente no se le ha prestado tanta atención a

este tema.

El Reglamento General de Protección de Datos ha supuesto un

antes y un después en la normativa de protección de datos tanto a

nivel europeo como a nivel mundial. Su finalidad no es otra que la

de regular la protección de la privacidad de la información personal

de todos los ciudadanos residentes en la Unión Europea.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

26

La importancia de la formación en ISO 9001

Formación en ISO 9001

La norma ISO 9001 es uno de los estándares de gestión de la

calidad más implantados en las empresas a nivel mundial. Esta

certificación especifica los requerimientos necesarios en la

implantación y mantenimiento de un sistema de gestión de calidad,

así mismo, permite a las organizaciones de cualquier sector

demostrar la satisfacción de sus clientes y asegurar que trabajan

por mantener y mejorar la calidad de los productos o servicios que

ofrecen.

Las empresas se interesan por obtener esta certificación para así

garantizar a sus clientes la mejora de sus productos o servicios y

estos a su vez prefieren empresas comprometidas con la calidad.

Por lo tanto, las normas como la ISO 9001 se convierten en una

ventaja competitiva para las organizaciones.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

27

Formación en ISO 9001

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

Beneficios de la formación en ISO 9001

Centrándonos en el punto de vista empresarial y estratégico,

sabemos que la obtención de una certificación ISO 9001

proporciona grandes beneficios a las organizaciones, y por

contradictorio que parezca, dada la inversión en recursos que

necesita, consigue que las empresas rentabilicen dicha inversión,

pues la mejora en su imagen y competitividad se hacen evidentes a

medio y largo plazo. Imagine una empresa que ofrece productos de

mala calidad, frente a otra con un sistema de producción en

constante evaluación y mejora continua, ¿Cuál de las dos cree que

tiene más oportunidades de incrementar sus ventas?

Uno de los recursos sobre los que una empresa debe invertir es en

la formación y capacitación de sus empleados. Ante la necesidad de

mantener las actividades de seguimiento, control y mejora continua

que exige la norma para cada proceso certificado, la actualización y

formación en ISO 9001 del personal que la gestiona es decisiva, y

redundará en beneficio de la empresa a corto plazo.

La propia norma, cuando hace referencia a las competencias,

establece en uno de sus apartados la necesidad de aplicar acciones

formativas para adquirir las competencias necesarias entre el

personal de la misma. Estas por su puesto deberán de ser

evaluadas para comprobar que su ejecución se ha llevado a

cabo de manera correcta y ha tenido sentido dentro de la

organización.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

El comportamiento de un auditor según ISO 19011

28

ISO 19011

La rigurosidad en un proceso de auditoría, así como la capacidad

de alcanzar sus objetivos, depende de la competencia de las

personas que participen en la realización de dichas auditorías,

incluyendo los auditores y líderes de equipos de auditoría.

La competencia del personal auditor debería evaluarse

regularmente a través de un proceso que considere su

comportamiento y la capacidad para aplicar los conocimientos y las

habilidades adquiridos a través de su educación, la experiencia

laboral, la formación como auditor y la experiencia en auditorías

previas. Este proceso debería tener en cuenta tanto las

necesidades del programa de auditoría como sus objetivos.

No hace falta que cada auditor en el equipo tenga la misma

competencia. Sin embargo, la competencia global del equipo

auditor necesita ser suficiente para alcanzar los objetivos

planteados en la auditoría.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

29

ISO 19011

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

Según establece ISO 19011, la evaluación de la competencia del

auditor debería planificarse, implementarse y documentarse para

proporcionar un resultado que es objetivo, coherente, imparcial y

fiable. El proceso de evaluación debería incluir los siguientes cuatro

pasos principales:

• Determinar la competencia requerida para cumplir las

necesidades del programa de auditoría

• Establecer los criterios de evaluación

• Seleccionar el método de evaluación apropiado

• Realizar la evaluación

Por su parte, el resultado del proceso de evaluación debería

proporcionar la base para tres cuestiones clave:

• Seleccionar a los miembros del equipo auditor

• Determinar la necesidad de mejorar la competencia

• Evaluar de manera continua el desempeño de los auditores

Los auditores deberán mejorar su competencia mediante el

desarrollo profesional y continuo, así como a través de la

participación regular en auditorías.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

ISO DIS 22301: Planificación y control operacional

30

ISO DIS 22301

No cabe duda de que la planificación es uno de los aspectos clave

de cara a establecer un Sistema de Gestión de Continuidad de

Negocio. La gerencia de la organización juega un papel clave dentro

de este ámbito, ya que desde una posición estratégica como la que

ocupan es desde donde mejor se puede plantear este aspecto.

Según el borrador ISO DIS 22301, la organización debe planificar,

implementar y controlar los procesos necesarios para cumplir con

los requisitos, y para implementar las acciones determinadas para

enfrentar riesgos y oportunidades mediante:

• El establecimiento de criterios para los procesos.

• Implementar el control de los procesos de acuerdo con los

criterios establecidos.

• Mantener la información documentada en la medida necesaria

para tener confianza en que los procesos se han llevado a cabo

según lo planeado.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

31

ISO DIS 22301

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

La organización deberá efectuar un control de los cambios

planificados y revisar las consecuencias de los cambios no

deseados, tomando las medidas oportunas para mitigar cualquier

efecto adverso, según se considere necesario.

La organización también debe garantizar que los procesos

subcontratados y la cadena de suministro estén controlados de

manera adecuada.

Análisis de impacto empresarial y evaluación de riesgos

La importancia de una evaluación de riesgos llevada a cabo de

manera correcta, junto con un análisis de impacto empresarial,

ayuda a la compañía a identificar cuáles son los principales riesgos

para sus actividades y recursos más críticos. La información que se

obtiene a través de este análisis ayuda a los altos cargos identificar

dónde los riesgos superan su capacidad de asunción de riesgo y

prepara el terreno para llevar a cabo estrategias y planes de

continuidad de negocio para minimizar la probabilidad de que se

produzca una interrupción, reduciendo el período de la misma o

limitando el impacto en la entrega de los principales productos y

servicios de la organización.

Como indica ISO DIS 22301, la organización debe implementar y

mantener un proceso para analizar el impacto en el negocio y

evaluar riesgos de interrupción que establecen el contexto, definen

criterios y evalúan el impacto potencial de una determinada

ruptura. Se deberá determinar el orden en que se llevan a cabo el

análisis de impacto empresarial y la evaluación de riesgos.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

El papel de la alta dirección en la gestión HSE

32

Gestión HSE

La gestión HSE, tiene como objetivo de garantizar la seguridad

sobre el medio ambiente y sobre los trabajadores de la propia

organización, para poder controlarlos y monitorearlos.

A diario se producen una gran cantidad de accidentes. Tantos como

para considerar que la cifra de riesgos laborales es muy alta. Este

es uno de los motivos por los que las organizaciones del mundo

deberían implantar las diferentes normas establecidas en el

Sistema de Gestión, las cuales podrán garantizar una mayor

competitividad empresarial y un menor riesgo de incidentes

laborales, así como posibles desastres ambientales.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

33

Gestión HSE

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

Como ya es sabido, las siglas HSE, significan en inglés: Health,

Security and Environment. Por tanto, este tipo de de gestión

permitirá llevar a cabo un adecuado registro en los procesos

organizaciones de las compañías, aumentando la seguridad de los

empleados ante posibles riesgos laborales, así como el cuidado del

medio ambiente, entre otros.

De forma alternativa a toda la legislación que hay al respecto en

cada uno de los países, las organizaciones podrán contar con la

certificación de algunas normas ISO para poder implantar

estándares de calidad que contribuirán a mejorar la gestión de la

Salud, Seguridad y Medioambiente en el trabajo. Es decir, para

obtener estas certificaciones, es necesario demostrar y garantizar

una adecuada gestión de calidad frente a los procesos ejecutados y

el cumplimiento de leyes según la gestión en HSE.

Se deben prevenir los riesgos laborales que afecten de manera

directa al trabajador. Ya que cuando más elevado sea el riesgo en

una actividad, mayores serán las acciones que habrá que realizar

para prevenir los accidentes.

Todo comienza en la alta gerencia

El papel de la alta gerencia de una determinada compañía u

organización constituye un aspecto clave de cara a poder

implementar un Sistema de gestión HSE (Salud, Seguridad y

Medioambiente en el Trabajo).

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

34

Día internacional de la Tierra. La ISO 14064 Sistemas de Gestión de Gases Efecto Invernadero

ISO 14064

Con el objetivo de concienciar a la humanidad sobre diversos

problemas como: la superpoblación, la contaminación, la

conservación de la biodiversidad y otras problemáticas

ambientales, desde 1970, la ONU (Organización de las Naciones

Unidas) declaró el 22 de abril como Día Internacional de la Tierra.

Su origen se sitúa en Estados Unidos, asociado a Gaylord Nelson,

senador estadounidense que instauró este día con el objetivo de

crear una conciencia común a los problemas ambientales que más

afectaban a la protección del planeta tierra. Las diversas culturas

han adoptado este día como un evento en el que rendir homenaje

a nuestro planeta y reconocer a la tierra como nuestro hogar, la

cual cada vez está siendo más afectada por los efectos negativos

que el ser humano está causando en él.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

35

ISO 14064

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

En 1970 tuvo lugar la primera manifestación para la creación de

una agencia para el Medio Ambiente, promovida por el propio

Gaylord Nelson. En esta participaron alrededor de dos mil

universidades, diez mil escuelas e institutos de segundaria y

centenares de comunidades. Esto provocó la creación de la

Environmental Protection Agency (Agencia de Protección Ambiental)

y una serie de medidas legislativas destinadas a la protección del

medio ambiente.

Otro hito clave dentro de esta serie de acontecimientos se

produciría en 1972. Este año se celebró la primera conferencia

internacional sobre el medio ambiente. La Cumbre de la Tierra de

Estocolmo cuyo objetivo fue sensibilizar a los líderes mundiales

sobre la importancia de los problemas ambientales.

Cada año el 22 de abril se celebran múltiples de actividades a lo

largo de todo el planeta. Estas pretenden concienciar a la población

de que problemas como: el cambio climático, la desforestación, la

superpoblación o la emisión de gases efecto invernadero pueden

ser combatidos tanto a nivel personal como por parte de

compañías y organizaciones, con el objetivo de evitar acciones que

perjudiquen a nuestro planeta.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

Accidentes y destrucción en el patrimonio cultural. Una brecha en la continuidad de negocio en el ámbito turístico

36

Continuidad de negocio

La continuidad de negocio, como su nombre indica, está presente

en todo tipo de negocios, ya sea de manera directa o indirecta.

Hace apenas una semana desde que, a través de medios de

comunicación y redes sociales, la humanidad recibió la nefasta

noticia de que Notre Dame de París estaba en llamas. Aún siguen

impresionando las imágenes de la joya del arte gótico ardiendo sin

que ya nadie pudiera hacer nada por salvarla.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

37

Continuidad de negocio

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

El origen de dicho desastre patrimonial se sitúa en las obras de

rehabilitación que la catedral estaba sufriendo en la aguja que

corona su techumbre. En esta zona, recubierta de un aparatoso

cuerpo de andamios, parece ser que fue donde se inició el fuego,

de cuya causa de origen aún no se tiene certeza. Las primeras

investigaciones atribuyen el origen del siniestro a un accidente en

las tareas de restauración de la aguja de la catedral que estaba

llevando a cabo la empresa contratista que llevaba a cabo la

rehabilitación del monumento francés.

Por desgracia son muchos los casos en los que, por diversas

causas, tanto naturales como por intervención humana, muchos de

nuestros monumentos o zonas de interés turístico se han visto

afectados. Debido a esto, dicha perdida o destrucción parcial no

solo ha provocado un efecto negativo en el bien en general, sino

que ha repercutido negativamente en la zona que rodeaba al

mismo. Es decir, en todos los negocios y empresas que se lucran de

que los turistas de múltiples destinos mundiales acudan a París

para visitar su catedral de Notre Dame, la cual está en la lista de los

monumentos más visitados del mundo cada año.

Está claro que en la gran mayoría de los casos no se trata de una

compañía en la que todo queda de puertas para dentro. En

determinadas casuísticas como la que hemos analizado con

anterioridad, son muchos los agentes afectados. Son más de una

empresa, asociación o incluso institución pública a quien podría

afectar este tipo de efectos tan negativos como el vivido la pasada

semana en la capital francesa.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

38

¿Qué conocimientos y habilidades debe poseer un auditor según ISO 19011?

ISO 19011

El conocimiento específico, teórico y práctico, de la profesión,

evidentemente es muy importante. Para poder llevar a cabo una

buena labor profesional en un determinado puesto, la persona

designada deberá contar con los conocimientos y habilidades

necesarios para poder llevar a cabo dicha labor.

Las competencias y habilidades de un profesional se pueden definir

como un conjunto de recursos personales que entran en juego en

la ejecución de una determinada actividad laboral. Esto englobaría

a habilidades, conocimientos, destrezas y comportamientos.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

39

ISO 19011

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

Según ISO 19011, de manera general un auditor deberá poseer los

conocimientos y habilidades necesarios para lograr los resultados

previstos de las auditorias que se espera que se lleven a cabo. Por

otro lado, también debería tener la competencia genérica o el nivel

apropiado de conocimientos y habilidades específicos de la

disciplina y del sector en el que se desarrolle su profesión.

La norma también especifica que los líderes del equipo deberían

tener los conocimientos y habilidades adicionales necesarios para

dirigir al equipo auditor.

Conocimientos y habilidades genéricos de los auditores

de sistemas de gestión

ISO 19011 establece que un auditor debe poseer conocimientos y

habilidades en cuatro áreas determinadas. Estas serían las

siguientes:

1) En los principios, procesos y métodos de realización de una

auditoría: poseer conocimientos y habilidades en este aspecto

permitirán al auditor asegurarse de que las auditorías se realizan

de manera correcta y sistemática.

De esta manera, un auditor debería ser capaz de:

• Entender los tipos de riesgos y oportunidades que están

asociados con la auditoría y los principios del enfoque basado

en riesgos para la auditoría.

• Planificar y organizar el trabajo de manera eficaz.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

40

Planes y procedimientos de continuidad de negocio según ISO DIS 22301

ISO DIS 22301

Antes de comenzar, debemos decir que en el borrador de la norma

ISO DIS 22301 se especifica la estructura y los requisitos que se

está estableciendo que tenga un Sistema de Gestión de

Continuidad de Negocio.

En el artículo de hoy, nos centraremos en uno de los puntos más

importantes de la norma. Si quiere ampliar conocimientos en la

norma haga clic en el siguiente enlace.

En este caso, hablaremos de los planes y procedimientos de

continuidad de negocio según ISO DIS 22301.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

41

ISO DIS 22301

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

De forma general, en el borrador de la norma ISO DIS 22301

encontramos un punto el cual nos indica que, la organización debe

implementar y mantener una estructura que permita avisar y

comunicar, de forma oportuna, a las partes interesadas relevantes y

que también, proporcione planes y procedimientos para

administrar la organización durante una interrupción del negocio.

Estos planes y procedimientos se pondrán en marcha cuando sea

necesario para ejecutar soluciones de continuidad del negocio.

Es cierto que existen diferentes procedimientos que están

relacionados con los planes de continuidad de negocio. Sin

embargo, los planes según este borrador deben:

• Ser flexibles para responder a las condiciones de cambio

interno y externo durante una interrupción de negocio.

• Ser concisos en cuanto a los pasos que se deben seguir

durante la interrupción.

• Ser efectivos para minimizar lo máximo posible el impacto

derivado de la implementación de las soluciones adecuadas.

• Asignar papeles y responsabilidades por cada tarea.

• Centrarse en el impacto de los incidentes potenciales que

pueden llevar a una interrupción del negocio.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

42

¿Qué debemos de tener en cuenta a la hora de evaluar los riesgos laborales?

Riesgos laborales

Solo hace falta echar un vistazo a los medios de comunicación para

darse cuenta que los siniestros por riesgos laborales siguen

aumentando desde los últimos años. Según sindicatos e

instituciones de referencia, los motivos fundamentales de este tipo

de sucesos se encuentran en la precariedad laboral y en la falta de

prevención por parte de compañías y organizaciones.

A modo de ejemplo, en España, el pasado año 2018 la

siniestralidad laboral aumentó un 5,5% con respecto al año

anterior, marcando su máximo desde hace siete años.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

43

Riesgos laborales

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

No deja de ser chocante que en plena era de la digitalización

empresarial y tras la disminución de siniestralidad laboral que se

experimentó a lo largo de la década final del siglo XX, volvamos a

experimentar este crecimiento. Lo que el año pasado parecería

insinuar una ligera bajada, ha sido desmentido según los últimos

datos.

El pasado año fueron un total de 652 los trabajadores que

murieron por causas laborales, 34 más que el año pasado. Hay que

destacar que no se registraba una cantidad tan alta desde el año

2011, cuando se experimentó una bajada que alcanzó en 2013 la

cifra de 458 trabajadores fallecidos, según datos del Ministerio de

Trabajo.

La importancia de la evaluación de riesgos laborales

La evaluación de riesgos se define como un procedimiento

destinado a analizar y evaluar el grado de gravedad y la frecuencia

con que se producen aquellos riesgos laborales que no hayan

podido evitarse totalmente. Esta evaluación es una operación clave

dentro del Sistema de Gestión de Seguridad y Salud en el Trabajo

en una compañía.

La evaluación de riesgos es un aspecto muy a tener en cuenta en

cualquier Sistema de Gestión de Salud y Seguridad de los

trabajadores y por tanto debe ser tenido en…

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

44

Medición del desempeño en los Sistemas de Gestión de Seguridad de la Información

Sistema de Gestión de Seguridad de la Información

Toda aquella organización que esté interesada en la implantación

de un Sistema de Gestión de Seguridad de la Información se verá

en la obligación de evaluar tanto el desempeño de la seguridad de

la información, así como la eficacia que posea el sistema de gestión

que se vaya a implantar en la misma para dicho fin.

La evaluación del desempeño de un sistema de gestión de

seguridad de la información comprende todas las formas en las

que el sistema de gestión puede ser evaluado, pudiendo aplicarse

tanto en todo el sistema de gestión, como también en cada uno de

los procesos involucrados.

Para ello habrá que seleccionar métodos que puedan dar lugar a

resultados comprables y reproducibles. Así se comprobarán si son

válidos.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

45

Sistema de Gestión de Seguridad de la Información

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

La ISO 27001 establece en uno de los puntos de la norma aspectos

muy interesantes que pueden ser aplicados a aquellas

organizaciones que estén interesadas en llevar a cabo una

adecuada medición de las posibles fallas que haya en sus sistemas

de gestión de seguridad de la información. Por tanto, y según la

norma, toda organización deberá determinar varias cuestiones

claves:

• A que activos será necesario realizar un seguimiento. Debiendo

saber qué es necesario medir, teniendo en cuenta los procesos

y controles de seguridad de la información.

• Cuáles serán los métodos de seguimiento, medición, análisis y

evaluación para garantizar que los resultados son válidos.

• Cuando se deberá proceder a realizar el seguimiento y la

medición de los activos.

• Que perfil de la organización es quien debe de llevar a cabo

dicha labor de seguimiento y medición de estos riesgos. Y cual

debe analizar y evaluar los resultados.

• En qué momento se deberá proceder a analizar y evaluar,

sabiendo que es el momento clave de ejecutar dicha labor.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

46

¿Qué es compliance tributario?

Compliance tributario

Contar con un Sistema de Gestión Compliance en una organización

tiene muchos y muy variados beneficios, especialmente para

aquellas empresas que hayan decidido implementar un Sistema de

Gestión de Cumplimiento normativo, tengan o no como objetivo

evitar y prevenir los riesgos penales.

De entre todos los beneficios que un Sistema de Gestión

Compliance aporta a toda organización, hay que destacar dos

fundamentales:

Por un lado, es una garantía de respeto a la legalidad y de

confianza.

Por otro lado, sirve como mecanismo de atenuación de la

responsabilidad penal de la persona jurídica, en caso de que se

cometan determinados delitos por miembros de la organización.

www.isotools.org Empresa Excelente abril 2019

Artículos Técnicos

47

Compliance tributario

CONTINÚE LEYENDO ESTE ARTÍCULO EN EL BLOG

Este hecho deberá de ser analizado minuciosamente, puesto que

un Sistema de Gestión de Compliance en sí mismo requiere del

análisis detallado y pormenorizado de diferentes aspectos

normativos: mercados y competencia, sectores regulados, fiscalidad

y seguridad social, seguridad e igualdad en el trabajo,

consumidores, sociedad de la información y comunicación,

blanqueo de capitales, soborno, corrupción, etc.

Implementar, un sistema de Gestión Compliance que no tenga en

cuenta el análisis de las diferentes tipologías delictivas que pueden

afectar a la organización es un error ya que este quedará

incompleto y todo el trabajo se habrá realizado en vano.

El compliance tributario, una de las tipologías delictivas

más presentes en las compañías

Son muchas las ocasiones en las que los medios de comunicación

sacan a la luz noticias sobre una determinada trama de fraude

tributario. En este tipo de casos, suelen ser los altos cargos de las

compañías quienes están más relacionados. Es por esto por lo que

dentro del análisis previo que toda organización debe realizar antes

de implementar un Sistema de Gestión Compliance, el tributario es

un aspecto que debería de estar presente en los aspectos

normativos a tener en cuenta.

Las compañías interesadas en el compliance tributario buscan

minimizar las contingencias fiscales y evitar así la imposición de

sanciones tributarias por llevar a cabo delitos fiscales contra la

Hacienda Pública.

www.isotools.org

Acerca de ISOTools ExcellenceQuiénes somos

Empresa Excelente abril 2019

Presencia mundial, apoyo local

Desde los inicios de nuestra organización han pasado más de

quince años de trabajo y mejora continua, donde el desarrollo de

alianzas, la ampliación en normas y modelos, el gran crecimiento en

número de clientes y tipología de proyectos, así como la expansión

internacional, han marcado y marcan nuestra trayectoria.

Estamos presentes en más de quince países, en los que nuestros

equipos locales prestan un servicio adaptado a la realidad y

mercado de cada zona.