ISO 27001 Curso Gratis

Si lo más importante en tu empresa es la información, que mejor que implantar tu Sistema de Gestión para la Seguridad de la Información siguiendo las directrices de la norma ISO 27001-2017.

Con este curso eminentemente práctico y con ejemplos reales, aprenderás todo lo que necesitas saber para poder certificar a tu empresa en la norma ISO 27001 en un tiempo record.

Este curso completamente gratis, es parte de la seccion “cursos gratis certificación” de este Blog.

Tema 1.

Principios fundamentales de las normas ISO

Antes de comenzar a leer los requisitos de la norma que tenemos que cumplir, planificar las acciones a realizar, o determinar los procesos que deberemos definir, necesitaremos conocer los Principios Fundamentales que deberán aplicarse durante toda la implantación del Sistema de Gestión en la organización. Éstos son críticos para no olvidar el auténtico sentido de la norma y del Sistema de Gestión, y deben ser tenidos en cuenta en cada decisión, planificación, cambio o acción.

Estos Principios Fundamentales, deben ser tomados como directriz del objetivo y objeto del Sistema de Gestión, y de no tenerlos en cuenta durante el proceso de implantación, podemos cometer errores de concepto importantes que hagan del Sistema de Gestión una herramienta poco útil y nada eficaz.

NOTA: El obviar estos Principios Fundamentales, suele ser muy habitual en organizaciones que buscan únicamente obtener el Certificado ISO en el menor tiempo posible. Lo que hace que su Sistema de Gestión pase a ser únicamente una carga de trabajo, que no aporte absolutamente nada a la organización.

La satisfacción de las Partes Interesadas

Uno de los principales motivos de implantar un Sistema de Gestión, es la necesidad de satisfacer a una o varias de las Partes Interesadas de la organización. Ya sea por una motivación económica (clientes, accionistas…), legal (administración pública, trabajadores…), o ética (sociedad, proveedores…). Por lo que el diseño del Sistema de Gestión, sus objetivos y su estrategia, deben estar orientados a conseguir siempre dicha meta.

Por ejemplo, en la norma ISO 9001 2015 el enfoque se centra principalmente en satisfacer las necesidades de los Clientes. Centrando los esfuerzos inicialmente en garantizar el cumplimiento de sus requisitos y necesidades. Y una vez asegurados éstos, intentar alcanzar y superar sus expectativas y deseos.

Liderazgo y compromiso de las personas

La necesidad de realizar un fuerte Liderazgo por la Dirección, tanto en la implantación del Sistema de Gestión como en su seguimiento periódico y en los cambios que en él se realicen, es una herramienta clave para que el Sistema de Gestión consiga sus Objetivos. El Liderazgo debe ser ejercido a todos los niveles de la organización, dejando de hablar de Jefes para comenzar a hablar de Líderes.

El Liderazgo de la Dirección, junto a unos valores corporativos claros y unas políticas alineadas con éstos, deberán facilitar el compromiso de los empleados con la organización. El cual, es una necesidad básica para alcanzar los Objetivos marcados, y por tanto para el crecimiento y éxito de la empresa a largo plazo.

NOTA: En muchas organizaciones, esto supone un cambio importante en los criterios para la contratación de personal o la promoción interna de empleados a cargos directivos. Centrándose más en sus capacidades sociales, actitud y talento, que en sus conocimientos técnicos o su número de años en la empresa.

Los riesgos y las evidencias para la toma de decisiones

Dos elementos clave para la toma de decisiones estratégicas y la realización de acciones de mejora continua del Sistema de Gestión, son el análisis de los Riesgos y de las Oportunidades a los que está sometida la organización, y las evidencias objetivas recogidas de la revisión del Sistema de Gestión.

Ambas son fundamentales para determinar las mejoras que se deben aplicar al Sistema de Gestión, tomar las decisiones más acertadas, y anticiparse a posibles no conformidades potenciales que puedan poner en un serio peligro a la organización. Se trata de adelantarse a los problemas antes que estos afecten a la empresa, y por tanto convertir el Sistema de Gestión en una herramienta preventiva, además de correctiva como siempre ha sido.

Gestión por procesos y la mejora continua

A la hora de empezar a trabajar e implantar el Sistema de Gestión, dos son las herramientas clave para la Implantación de la norma en la organización: La Gestión por Procesos y el Ciclo de Mejora Continua.

Implementar en la empresa la Gestión por Procesos, supone dividir y/o agrupar todas las actividades que se realizan en la organización en procesos independientes que interactúan entre sí. Los procesos serán diferentes en cada empresa, e incluso variarán con el paso del tiempo, adaptándose a las necesidades de la organización en cada momento. Muchos o pocos procesos no es sinónimo de una buena o mala gestión, ya que dependiendo de la organización pueden o no tener sentido.

La Mejora Continua es un principio clave en todo Sistema de Gestión, y debe de tenerse muy en cuenta en la implantación inicial. Ya que un Sistema de Gestión preparado para continuos cambios, lo hace flexible y adaptable a cada posible cambio de escenario que se produzca por el entorno. En determinados sectores, suele ser más interesante disponer de un Sistema de Gestión ágil y rápido, a uno mucho más robusto y lento.

IMPORTANTE: Dos errores muy comunes son pensar que “una vez implantado el Sistema de Gestión y obtenido el Certificado, sólo hay que repetir lo mismo año tras año”, y que “sólo se deben hacer cambios en el Sistema de Gestión, si funciona mal“. Y suele ser más bien lo contrario, ya que un Sistema de Gestión que cambia todos los años, es un Sistema de Gestión que está vivo, y es un síntoma de que goza de buena salud.

Tema 2.

Las Definiciones de las normas ISO

Para entender las normas ISO y poder implementarlas en nuestra empresa, deberemos conocer algunos conceptos básicos que nos ayudarán a comprender los requisitos de una forma más precisa. Conocer este vocabulario es fundamental para utilizar todos un lenguaje común, y poder comunicarse correctamente con los departamentos de gestión de clientes y proveedores, y con el auditor los días de la certificación.

Un error muy común es pensar que no necesitamos repasar estos conceptos fundamentales, porque ya los conocemos de las versiones anteriores. Pero en algunas ocasiones estas definiciones se adaptan a la temática de cada norma, se detallan con mayor precisión, o tienen un significado diferente al del lenguaje coloquial.

NOTA: Existen normas ISO de apoyo donde se definen todos los conceptos necesarios para implementar el Sistema de Gestión según la norma ISO certificable. En el caso de la norma ISO 9001, tenemos la norma ISO 9000 donde se define todo el vocabulario necesario para entender esta norma. En la ISO 14001 de gestión ambiental, parte de los conceptos están definidos en la propia norma, pero podremos ampliar el vocabulario en la ISO 14050.

Conceptos básicos

Todas las normas ISO tienen una serie de conceptos que se repiten de manera muy reiterada. Esto se debe a que van asociados a requisitos comunes a todas ellas. Desde el Anexo SL los requisitos comunes son cada vez más numerosos, por lo que estas definiciones las deberemos tener muy claras.

Entre los conceptos básicos que deberemos conocer, destacamos:

1. Sistema de Gestión: Conjunto de elementos que interactúan entre sí en una organización para el establecimiento de Políticas, Objetivos y Procesos, con la meta de alcanzar dichos objetivos.
2. Política: Documento que contiene un conjunto de intenciones y directrices fijadas por la Dirección, que establecen el marco de referencia para realizar cualquier actividad dentro de la organización.
3. Objetivo: Deseo o necesidad que la organización tratará de lograr en un plazo determinado.
4. Proceso: Conjunto de actividades interrelacionadas que se repiten en el tiempo, que convierten unos elementos de Entrada en resultados previstos de Salida.
5. Proyecto: Conjunto de actividades ejecutadas de forma coordinada, realizadas para alcanzar un resultado concreto, condicionadas por un conjunto de requisitos y limitaciones particulares, y que se realizan una única vez.
6. Procedimiento: Detalle de la forma correcta de realizar una actividad concreta.
7. Documento: Soporte o medio que contiene información de interés para la organización.
8. Registro: Documento que contiene evidencias del cumplimiento de los procedimientos establecidos.
9. Requisito: Necesidad u obligación establecida por una Parte Interesada o la organización, asociada a los productos, servicios o a la propia gestión.
10. Especificación: Documento que contiene habitualmente los requisitos asociados a un producto o servicio.
11. Trazabilidad: Disponibilidad y posibilidad de recuperar el histórico de acciones sobre un objeto concreto.
12. Competencia: Capacidad asociada a las personas, de aplicar los conocimientos y habilidades necesarios para alcanzar los resultados deseados.
13. No conformidad: Desconocimiento o incumplimiento de un requisito establecido.
14. Corrección: Acción, o conjunto de acciones, aplicadas para eliminar la no conformidad identificada.
15. Acción correctiva: Acción dirigida a eliminar la causa o el origen de una no conformidad, y evitando así que vuelva a suceder en el futuro.
16. Auditoría: Proceso sistemático, controlado e independiente utilizado para obtener evidencias objetivas del cumplimiento de los procedimientos y requisitos establecidos, según los criterios de la propia auditoría.
17. Revisión del Sistema de Gestión: Evaluación de la eficacia del Sistema de Gestión, así como de su adecuación para alcanzar los objetivos deseados.
18. Mejora continua: Conjunto de actividades dirigidas a mejorar la eficacia del Sistema de Gestión, y facilitar el logro de los objetivos deseados.

Nuevos conceptos en nuevas versiones

Las nuevas versiones de las normas ISO han traído un conjunto de nuevos conceptos, que pese a estar ya definidos en versiones anteriores algunos de ellos, ahora han pasado a ser mucho más relevantes.

Entre los nuevos términos que deberemos conocer para adecuar nuestro Sistema de Gestión a las nuevas versiones de las normas ISO, destacan:

1. Contexto: Conjunto de circunstancias internas y externas a la organización, que pueden afectar al desarrollo de su actividad y el logro de sus objetivos, y por tanto cambiar su estrategia.
2. Parte interesada: Persona, conjunto de personas u organización que puede influir o verse afectada por una decisión o acción de la organización en un determinado momento.
3. Riesgo: Resultado o efecto de la incertidumbre provocada por cambios en el contexto.
4. Estrategia: Plan de acciones y decisiones de la Dirección, dirigidas a lograr los objetivos estratégicos establecidos a largo plazo, y a alcanzar la Visión de la organización en el futuro.
5. Misión: Propósito fundamental de la existencia de la organización en su contexto actual.
6. Visión: Aspiración de la organización a largo plazo, de lo que querría llegar a ser en un futuro.
7. Información documentada: Información relevante para la organización contenida en un medio o soporte, a la que se le aplican controles específicos para su seguridad y mantenimiento.

IMPORTANTE: Hay un conjunto de conceptos emparejados, que es muy importante entender sus diferencias, ya que suelen ser motivo habitual de no conformidades en las auditorías de certificación. Destacamos los siguientes: corrección y acción correctiva, aspecto e impacto ambiental, producto y servicio, proceso y proyecto, documento y registro, misión y visión, eficacia y eficiencia, verificación y validación.

Tema 3.

El Sistema de Gestión en las normas ISO

En las normas ISO, el Sistema de Gestión se define como: “un conjunto de elementos y actividades relacionados y coordinados que interactúan, y que estableciendo Políticas y Objetivos, dirigen y controlan la organización con el fin de lograr dichas metas”. Luego, según se trate de garantizar la Calidad de los productos, la correcta gestión Ambiental o la Seguridad, se centrará en las actividades más relacionadas con dichas áreas.

Según la norma que hemos utilizado de referencia para la implantación del Sistema de Gestión, hablaremos del: Sistema de Gestión de la Calidad, Sistema de Gestión Ambiental, Sistema de Gestión de la Seguridad y Salud en el Trabajo, Sistema de Gestión de la Inocuidad de los Alimentos… Pero todos ellos mantienen una estructura similar, y unos principios básicos comunes.

Hablar de Sistemas de Gestión, es hablar de Gestión por Procesos y Mejora Continua. Dos conceptos fundamentales si queremos entender las normas ISO, e implantarlas en nuestra organización correctamente. A continuación explicaremos cada uno de estos dos conceptos, y su aplicación práctica en la organización.

IMPORTANTE: Un error muy común es pensar que el Sistema de Gestión ISO trabaja en paralelo a la administración y gestión interna de la organización, y que hay que llevar una “doble contabilidad”. Cuando hablar del Sistema de Gestión ISO y de la gestión interna de la organización, es hablar de lo mismo.

La Gestión por Procesos

El primer paso para comenzar a gestionar nuestra organización a través de procesos, será identificar todas las actividades que se realizan en la empresa, dentro del Alcance previsto del Sistema de Gestión. Las actividades que tengan relación entre sí, y que además son críticas para la organización, conformarán los Procesos. Que se suelen representar en un Mapa de Procesos, que da una visión global del Sistema de Gestión de la organización.

Un error muy común es confundir un Proceso con un Departamento, ya que muchas ocasiones sus nombres incluso coinciden. Pero mientras un Departamento pertenece a la estructuración jerárquica de la organización, determinando la autoridad y responsabilidad en cada caso. Los Procesos se fijan más en la secuencia de las actividades y su criticidad, siendo transversal a los Departamentos. Siendo varios Departamentos los que participan en un mismo Proceso.

Todos los requisitos que debe cumplir un Proceso, están definidos en las normas ISO. Identificar su interrelación, determinar sus recursos, fijar sus responsabilidades, realizar su seguimiento… son algunos de ellos. No por tener muchos Procesos la organización funcionará mejor, sino que habrá que definir aquellos que sean necesarios en cada caso, adaptándose a cada situación y momento.

NOTA: Si quieres aprender más sobre la Gestión por Procesos, puedes hacerlo aquí: “La Gestión por Procesos en las normas ISO”

El Ciclo de Deming

La mejora continua de nuestro Sistema de Gestión, es un requisito fundamental en todas las normas ISO, y lo podemos encontrar en el último capítulo de éstas. Aplicar el Ciclo de Mejora Continua o Ciclo PDCA (PHVA) todos los años, nos debe ayudar a optimizar la gestión de la nuestra organización día a día. Y lo mejor que es nunca nos podremos conformar, siendo la mejora continua un camino que nunca termina.

Cuatro son los pasos a aplicar para cumplir un ciclo de mejora. Que a continuación te explicamos:

1. Plan: En esta primera fase planificaremos: las acciones a realizar, los recursos disponibles, los responsables de cada tarea, los plazos de ejecución… Pero sobre todo, los Objetivos que se esperan alcanzar al aplicar los cambios y mejoras.
2. Do: Ahora es el momento de ejecutar las acciones planificadas. Por muy buena que sea la Planificación, en esta fase deberemos revisar periódicamente su estado de ejecución, y el cumplimiento de lo planificado. Y aplicar correcciones en el caso de encontrar desviaciones.
3. Check: Una vez implementadas todas las mejoras planificadas, es el momento de comprobar que se cumplen los Objetivos que fijamos inicialmente. No sólo que la planificación inicial se ha realizado según lo previsto, sino que los cambios realizados han sido eficaces.
4. Act: Según el resultado de la verificación anterior, es el momento de decidir si estamos satisfechos con los resultados obtenidos, o si por el contario debemos aplicar nuevas mejoras, y reiniciar el Ciclo PDCA de nuevo.

RECOMENDACIÓN: La aplicación del Ciclo PDCA, se debe realizar a todos los niveles del Sistema de Gestión. De forma global en el Sistema de Gestión completo con periodicidad mínima anual, de manera particular para un determinado Proceso cuando se considere necesario, o incluso en Acciones Correctivas aplicadas para una No Conformidad concreta.

La revisión del Sistema de Gestión

Uno de los requisitos de la norma es realizar una revisión del Sistema de Gestión, con el objetivo de asegurar que es eficaz y adecuado a la estrategia de la organización. Esta revisión debe ser periódica y planificada, siendo lo más habitual una vez al año.

En esta revisión debe participar la Dirección, ya que en ella habrá que hacer valoraciones, tomar decisiones y quizás definir algunas acciones de mejora. Y es uno de los puntos críticos donde la Dirección debe mostrar su liderazgo dentro del Sistema de Gestión.

Realizar la Revisión del Sistema de Gestión, es una tarea muy sencilla, ya que la propia norma te indica los puntos que debes revisar en tu organización. Detallando las entradas y salidas de esta revisión, que nos ayudarán a valorar la eficacia del Sistema de Gestión.

1. Entradas: Se define la información mínima que deberemos revisar, y que nos aportará una imagen del funcionamiento de nuestro Sistema de Gestión.
2. Salidas: Contendrán las conclusiones y valoraciones de la evaluar las Entradas. Y posiblemente contengan acciones de mejora para la optimización del Sistema de Gestión.

La norma nos pide guardar información documentada de la Revisión del Sistema de Gestión, siendo lo más habitual reflejar tanto: la información de las Entradas y las Salidas, como las valoraciones realizadas y los planes de mejora, en el “Informe de Revisión del Sistema de Gestión”.

NOTA: Si quieres más información de como realizar correctamente la Revisión del Sistema de Gestión, puedes consultar el siguiente enlace: “La Revisión del Sistema de Gestión por Dirección”.

El Sistema de Gestión Integrado

El que todas las normas de gestión ISO, compartan una estructura común de alto nivel (Anexo SL), facilita el cumplimiento de los requisitos de todas ellas en un único Sistema de Gestión. Simplificando y reduciendo enormemente el trabajo, y dando lugar a los Sistemas de Gestión Integrados.

El ahorro no es sólo de dedicación en el mantenimiento y mejora del Sistema de Gestión, sino también una reducción en el coste económico. Ya que podremos integrar auditorías internas y de certificación ahorrando mucho tiempo y dinero a la empresa.

NOTA: Para obtener más información sobre la Gestión por Procesos, y los requisitos básicos que deberás cumplir, puedes consultar: “La Gestión por Procesos en las normas ISO”.

Tema 4. El Contexto para la norma ISO 9001

La necesidad de analizar el Contexto de la organización es una de las principales novedades de la norma ISO 9001 2015. El Contexto lo podríamos definir con la conjunción de factores externos e internos que afectan de manera directa o indirecta el funcionamiento del Sistema de gestión, y por tanto de la empresa.

Los factores externos: el entorno.

A continuación se enumeran distintos factores que toda organización debería evaluar de su entorno de manera periódica, dentro del análisis del Contexto segun la norma ISO 9001 2015. Es importante no limitar este estudio a la zona o pais donde se encuentre la empresa, sino a todos aquellos donde la organización tenga partes interesadas a las que satisfacer. Paises donde comercializa sus productos, al que pertenecen sus accionistas, o de los que importa materias primas o subcontrata servicios.

1. Tendencia económica: Un crecimiento económico de los paises donde comercialicemos nuestros productos, puede facilitar que la demanda de nuestros bienes y servicios crezca, y por tanto nos abrirá nuevas oportunidades de negocio. Por no hablar de la facilidad o dificultad de acceder a créditos bancarios, o el riesgo de impago de los clientes.
2. Situación política: La estabilidad política favorece la inversión de las empresas y el consumo de las personas. Las prioridades en los presupuestos de los gobiernos abre oportunidades en determinados sectores, incrementando la oferta de licitación pública y la concesión de ayudas y subvenciones. Por no hablar del marco regulatorio, con nuevas leyes o reglamentos que afecten a nuestro negocio, la firma de acuerdos comerciales con otros paises, o el incremento de aranceles o trámites burocráticos.
3. La competencia: La entrada en nuestro mercado de nuevas empresas extranjeras basadas en el bajo coste, pueden suponer un riesgo a nuestro modelo de negocio. Por lo que puede hacer que cambiemos nuestras estrategias futuras. Del mismo modo, el cierre de empresas competidoras abre la oportunidad de captar nuevos clientes, y de contratar trabajadores muy cualificados.
4. Evolución del mercado: Un decrecimiento de la demanda, no puntual, puede es un riesgo a medio o largo plazo para nuestra organización. La aparición de productos sustitutivos, también deben ser tomados como riesgos para nuestros productos. El crecimiento de paises en vías de desarrollo, puede abrir nuevos mercados emergentes en los que entrar.
5. Innovación tecnológica: La aparición continua de nuevas tecnologías, facilita la mejora de nuestros procesos productivos reduciendo costes. Lo que nos ayudará a diferenciarnos de la competencia, pero a su vez el riesgo de perder competitividad en el caso de no realizar las inversiones adecuadas.
6. Situación social: Los clientes y consumidores cada vez tienen más información y cambian sus hábitos y conducta con más frecuencia. La aparición de nuevos canales de comunicación (internet, redes sociales…) pueden ser una oportunidad, o un riesgo si no se afrontan de manera correcta. Un incremento de los robos en nuestra zona, puede ser un riesgo que nos haga invertir en seguridad.
7. Entorno laboral: Un elevado paro en nuestro entorno, o unos bajos salarios, pueden suponer una oportunidad de contratación de personal cualificado. Por el contrario, la convocatoria de huelgas puede afectar a la logistica de nuestra empresa, provocando inclumplimientos de plazos.
8. El clima: El cambio climático, la subida de temperaturas, la sequía o la reducción de las lluvias, puede condicionar mucho nuestro negocio en estrategias a largo plazo. Como por ejemplo en Estaciones de esquí, secaderos de jamón, o cultivos agrícolas.

Los factores internos: debilidades y fortalezas

No sólo el entorno afecta a nuestras decisiones estratégicas, un buen análisis interno de nuestra organización nos puede ayudar a detectar carencias o puntos fuertes, que nos hagan elegir entre varias posibles estrategias.

1. Cultura empresarial: Una cultura empresarial sustentanda en un fuerte liderazgo e implicación de la Dirección, y un sistema de incentivos salariales y promoción interna basados en la meritocracía, reducen los riesgos de baja productividad, problemas psicosociales o fuga de talento.
2. Gestión interna: Realizar una gestión interna moderna optimizada y moderna, facilita la adaptación de la organización a nuevos posibles riesgos y oportunidades. Cumplir con la legislación, disponer de certificados ISO reconocidos, usar las nuevas tecnologías de gestión y comunicación, etc. reduce los riesgos y favorece las oportunidades.
3. Producción y operaciones: Tener máquinas e instalaciones modernas y eficientes, y un nivel de productivo flexible, reducen el riesgo de incumplimientos y retrasos, y no limitan el incremento de ventas.
4. Recursos humanos: Personal altamente cualificado y motivado, da la oportunidad de abrir nuevas lineas de negocio, entrar en nuevos mercados, o fomentar el intraemprendimiento. De no ser así, aumenta el riesgos que estos nuevos proyectos terminen fracasando.
5. Fuerza comercial: Disponer de un Departamento Comercial preparado para la venta en cualquier lugar del mundo, puede ofrecernos la oportunidad de atacar nuevos mercados con menor inversión. Apoyados por informes y estrategías de marketing, reducen el riesgo de estas acciones.
6. Diversificación: Disponer de una cartera de productos elevada, reduce el riesgo por la caída de ventas de un determinado producto. Además de ofrecer la oportunidad de acceder a una mayor tipología de clientes. También en la diversificación de clientes, de distintos paises o distintos sectores, reducen el riesgo de la organización.
7. Situación financiera: Una mala situación financiera puede limitar enormemente el acceso a credito bancario, y por tanto a la realización de inversiones fundamentales para la continuidad del negocio.
8. I+D: Disponer de patentes o productos únicos que nos diferencien de la competencia, puede abrirnos puertas a nuevos mercados facilitando estrategias de internacionalización.

Los resultados del análisis del Contexto

Los resultados obtenidos en la evaluación del Contexto, nos deberían ayudar a determinar si el Alcance de nuestro Sistema de Gestión de la Calidad es correcto, y a identificar los Riesgos y Oportunidades a los que la empresa se enfrenta. Su posterior evaluación, hará que elijamos los riesgos y oportunidades más críticos, y definir las acciones necesarias para tratarlos. Asi cumpliremos con la coherencia y trazabilidad que la norma ISO 9001 2015 nos pide.

Tem 5. Las Partes Interesadas para la norma ISO 9001

Consideraremos una Parte Interesada a cualquier organización, persona o conjunto de ellas, que la actividad, decisiones o las acciones realizadas en nuestra empresa puedan afectarles directa o indirectamente. Dichas consecuencias pueden ser beneficiosas o perjudiciales, y en ambos casos deben de ser analizadas según la norma ISO 9001 2015.

El termino en inglés para hacer referencia a las Partes Interesadas es: stakeholders, que popularizó en la década de los 80. En ocasiones se diferencia entre las partes interesadas internas (empleados, propietarios…) y las partes interesadas externas (clientes, proveedores, sociedad…), para favorecer la identificación.

Necesidades y expectativas de las Partes Interesadas.

La identificación de las necesidades y expectativas de las Partes Interesadas es uno de los nuevos requisitos de la norma ISO 9001 2015, en su punto 4.2. Y se incluye en otras normas basadas en el Anexo SL, como la ISO 14001. Se considera un punto fundamental dentro de la evaluación del Contexto de la organización, y clave para definir una estrategia adecuada.

Una vez identificas, cada organización en base a sus intereses en cada momento, deberá determinar cuales de ellas pasan a formar parte de nuestro Sistema de Gestión de la Calidad, y cuales no. Es importante diferenciar entre lo que son necesidades de las Partes Interesadas de lo que son expectativas y deseos, ya que prioridad debería ser distinta en cada caso.

Las Partes Interesadas más frecuentes

Entre las Partes Interesadas que afectan a la mayoría de organizaciones, y por tanto deberían ser evaluadas al menos una vez, destacan:

1. Los clientes: Hablar de ISO 9001, es hablar de Clientes. Será siempre nuestra Parte Interesada más importante, y a la que deberemos dedicar más esfuerzo y dedicación a satisfacer. En ocasiones es interesante diferenciar entre clientes reales y potenciales, ya que sus expectativas pueden variar mucho.
2. Los consumidores: Cuando hablamos de consumidores nos referimos al usuario final de nuestros productos, que no tiene por que ser el que nos los compra. Si mejoramos su satisfacción, redundará en un incremento de ventas de nuestros clientes, y a su vez en las nuestras.
3. Los accionistas: Todas las empresas tienen dueños. Éstos pueden ser desde un propietario único a miles de accionistas desconocidos. Conocer lo que esperan de la empresa es importante, ya que puede cambiar las estrategias: rentabilidad, crecimiento, posicionamiento…
4. Los empleados: Las personas que trabajan en la empresa, son una parte fundamental de la organización, y responsables en gran medida de su éxito a largo plazo. Conocer sus necesidades y preocupaciones, nos ayudará a realizar acciones efectivas, y que posiblemente no supongan un elevado gasto. Comités, sindicatos, y representantes son un canal de comunicación claro con ellos.
5. Los proveedores: Un proveedor debe ser considerado como un colaborador, que nos debe ayudar a alcanzar nuestros objetivos. Conocer sus preocupaciones nos ayudará a establecer alianzas, que mejoren su trato hacia nosotros. Incluir en esta categoría a las subcontratas de servicios y las empresas de selección de personal o trabajo temporal, es también importante.
6. La administración pública: Conocer las preocupaciones de los gobiernos donde operamos, nos ayudará a anticiparnos a sus decisiones y actuaciones: nuevas leyes, nuevos impuestos, nuevas subvenciones, etc.
7. La sociedad: Suele considerarse que la población del entorno no es importante para nuestra organización, si no vendemos productos directamente al consumidor de la calle. Pero no es así, ya que nuestros clientes, trabajadores, proveedores… pertenecen a dicho entorno, y sus amigos, parejas e hijos también.
8. La competencia: Nuestros competidores se ven afectados por nuestras acciones y decisiones. Quien hoy es competencia, mañana puede ser un socio. O un aliado frente a la Administración pública y una nueva reglamentación del sector.
9. Los colaboradores: en un mundo cada vez más global, donde las alianzas con partners es cada vez más necesaria. No tener en cuenta las necesidades y expectativas de este grupo, es algo que no nos podemos permitir.
10. Los medios de comunicación: Los medios de comunicación nuevos (redes sociales, foros especializados, blogs…) y tradicionales (radio, televisión, prensa…) foros especializados.
11. Las entidades de crédito: Pocas son las empresas que en la actualidad pueden prescindir de la necesidad de financiación a través de bancos o inversores. Conocer su situación en cada momento, puede retrasar o acelerar inversiones que realicemos en nuestra organización.
12. Las universidades y centros tecnológicos: Si la inversión en I+D es un punto clave en nuestra estrategia, no podremos olvidar a las universidades, centros de formación y centros tecnológicos. Con los que podremos realizar proyectos de desarrollo, solicitar ayudas y financiación en proyectos europeos, y son un buen lugar donde encontrar talento para nuestra organización.
13. Los vecinos: En ocasiones es necesario diferenciar a aquellas personas u organizaciones que se encuentran localizadas muy próximas a la nuestras, y que se ven afectadas especialmente por nuestra actividad. Se suele dar cuando nuestro proceso productivo es muy ruidoso, genera olores y humos, incrementa el tráfico creando retenciones y molestias, o supone un riesgo en caso de tragedia: contaminación, explosión, vertidos…
14. Las religiones, asociaciones y ONGs: Según sean nuestros productos o servicios, éstos pueden tener connotaciones éticas o religiosas que deberemos tener en cuenta. Ya que estos grupos tienen una gran influencia sobre una gran parte de la Sociedad y por tanto de nuestros clientes, y sus principios pueden varían mucho de una religión a otra.

IMPORTANTE: Es importante tener en cuenta, que cada una de estas Partes Interesadas se pueden dividir en subconjuntos. Que nos ayuden a focalizar mejor las expectativas y necesidades para cada subgrupo. Un caso claro son los Clientes, donde subdividirlos según los productos que nos compren, su tamaño, o su volumen de compras, nos ayudará a ser más precisos en la posterior identificación de riesgos y oportunidades. La norma ISO 9001 2015, no pone restricciones ni limitaciones al respecto.

Los resultados del análisis de las Partes Interesadas

Los resultados obtenidos de la identificación de las Partes Interesadas, y de las necesidades y expectativas de éstas, deberán ser evaluadas para decidir cuales de ellas pasan a ser consideradas requisitos de nuestro Sistema de Gestión de la Calidad. Y por tanto ser tratados como un requisito más, y cumplir las exigencias de la norma ISO 9001 2015. También nos ayudarán a descubrir riesgos y oportunidades que no teníamos identificados, y poder así actuar en consecuencia.

Por ejemplo: en el caso de la Administración pública, Algunas necesidades, como el cumplimiento legal y el pago de impuestos, pasarán a ser requisito directamente. Pero otras expectativas, como la creación de puestos de trabajo o ser socialmente responsable, dependerán de la situación y momento de cada organización.

Tema 6. El Alcance de la norma ISO 9001

Definir el Alcance de nuestro Sistema de Gestión de la Calidad no suele ser una tarea sencilla. Ya que deberemos resumir en muy pocas líneas la actividad de nuestra organización, y los productos y servicios que realiza. Indicando todas las limitaciones que queramos incluir, para reducir el impacto de la norma ISO 9001 2015 en nuestra empresa.

Debemos tener en cuenta que todas las actividades, productos y servicios que incluyamos en el Alcance les resultará de aplicación todos los requisitos de la norma ISO 9001 2015, por lo que la implantación y posterior certificación se puede complicar bastante. Por otra parte, el Alcance deberá estar disponible para que cualquier Parte Interesada (clientes, sociedad, colaboradores…) pueda consultarlo, por lo que no incluir determinadas actividades, productos o servicios pueden hacerlo inservible.

Antes de ponernos a definir el Alcance, deberíamos hacer un análisis previo de nuestra organización y haber completado algunos requisitos previos de la norma ISO 9001 2015.

1. Aplicabilidad de la norma: Conocer los requisitos de la norma y ver como aplican a la organización, nos ayudará a conocer que procesos de la empresa va a verse afectados en la implantación de la ISO 9001 2015. Y ver así cuales tengo que incluir en el Alcance.
2. El contexto de la organización: La identificación previa de las Partes Interesadas, de sus necesidades y expectativas, y del Contexto, nos facilitará definir el Alcance.
3. Requisitos legales y otros: En sectores con una alta reglamentación legal, donde su cumplimiento es prioritario, incluir dichas actividades en el Alcance es necesario para que el Sistema de Gestión tenga sentido.
4. Necesidades de nuestros clientes: En ocasiones, para poder trabajar para un determinado cliente es requisito indispensable disponer de un Certificado ISO 9001. Por lo que incluir todos los productos y servicios en el Alcance es imprescindible.

Definición del Alcance de la ISO 9001

Las estructura del Alcance suele tener estás tres partes diferenciadas: Actividades + Productos y/o Servicios + Limitaciones. Un ejemplo sería: “El diseño, fabricación y distribución de equipos electrónicos de entretenimiento doméstico, para el mercado español y latinoamericano”. Pudiendo dejar fuera del alcance: la “venta al por menor”, “los equipos de telecomunicación”, y los “mercados europeos y norteamericano”.

A continuación se detalla el contenido de cada una de ellas:

1. Actividades: Las actividades para un mismo producto o servicio son muy variadas: Diseño, fabricación, comercialización, instalación, distribución, servicio técnico, montaje, I+D, soporte… Deberemos incluir todas aquellas que queramos incluir en nuestro Certificado ISO 9001. En ocasiones, actividades que se realizan de manera muy puntual o no interesa incluirlas en la certificación, quedan fuera del Alcance de nuestro Sistema de Gestión de la Calidad.
2. Productos y/o servicios: Quizás sea la parte más sencilla, ya que todos sabemos lo que vendemos. Algunos ejemplos: baterías de vehículos, colchones, instalaciones eléctricas, muebles de cocina, limpieza de comunidades, etc.
3. Estructura organizacional: La limitación puede venir dada por determinados departamentos o áreas de la empresa. Se puede incluir Las área de Producción y Logística, y dejar fuera el Departamento Financiero. No suele ser una buena solución.
4. Localizaciones: Otras veces el alcance se limite a un centro de trabajo determinado. Por ejemplo: a la fábrica de Madrid, a las oficinas de Barcelona, o al almacén logístico de Zaragoza. En empresas multinacionales suele ser muy habitual este tipo de limitación.

Es importante no confundir el Alcance del Sistema de Gestión de la Calidad con la aplicabilidad de la norma ISO 9001 2015, ya que son cosas muy diferentes. Una vez definido el Alcance de nuestro Sistema de Gestión de la Calidad, es cuando deberemos ver si hay puntos de la norma ISO 9001 que no son aplicables y se puede excluir. El excluir actividades del Alcance para que determinados puntos de la norma no resulten aplicables, suele terminar mal. Teniendo que rehacer gran parte del trabajo, para terminar incluyéndolo todo.

La norma ISO 9001 2015 indica la necesidad de poner a disposición de las Partes Interesadas el Alcance de nuestro Sistema de Gestión de la Calidad. Lo habitual y más sencillo, es publicar el Certificado de Calidad en el sitio web de la organización, de tal forma que cualquiera lo pueda consultar. Pero si todavía no disponemos del certificado, publicar una noticia o enviar la newsletter que la organización está en proceso de Certificación de la norma ISO 9001, es una buena solución.

Algunos ejemplos de Alcance

Algunos ejemplos que nos pueden servir de modelo para definir el Alcance de nuestra organización, son los siguientes:

1. Construcción de viviendas: “La construcción, montaje y mantenimiento de los tipos de obra: movimiento de tierras, perforaciones, grandes estructuras, puentes y viaductos que se realizan en Paseo de la Castellana 23 Madrid”.
2. Instalación de infraestructuras: “Montaje y mantenimiento de instalaciones eléctricas: alumbrado, líneas eléctricas de transporte y distribución en baja tensión.”
3. Fabricación de productos: “El diseño y fabricación de elementos mecanizados y válvulas para sistemas hidráulicos de vehículos pesados.”
4. Prestación de servicios: “Servicios de limpieza, pulido y abrillantado para edificios o obras. Mantenimiento de redes de alcantarillas, fecales y fosas asépticas.”
5. Gestión de proyectos: “El diseño de proyectos de obra civil, cimentaciones y edificaciones de plantas industriales. La realización de estudios ambientales, y la asistencia técnica, supervisión y dirección de obra civil.”

Tema 7. La Gestión por Procesos en las normas ISO

Hablar de la norma ISO 9001 2015, es hablar de la Gestión por Procesos. Esto rompe el esquema departamental que suele haber en las organizaciones, centrando la gestión en las actividades y no en qué departamento las hace. Esto provoca que el organigrama pase a ser una herramienta estructural, pero no operativa, lo que supone un cambio importante de paradigma. Lo habitual será tener procesos en los que intervengan distintos departamentos de manera transversal, y los trabajadores asuman un determinado rol en cada uno de ellos.

La norma ISO 9001 2015, define un Proceso como “el conjunto de actividades mutuamente relacionadas que utilizan las entradas para proporcionar un resultado previsto”. Quizás faltaría indicar la necesidad de que dichas actividades se repitan en el tiempo, y poder así aplicar el ciclo PDCA de mejora continua sobre el proceso. Si la actividad sólo se realiza una vez, hablaremos de proyecto.

Los procesos deben tener una misión clara dentro del Sistema de Gestión, lo que nos hará fijarles objetivos a alcanzar. Deberán ser medibles para poder analizar el cumplimiento de dichos objetivos, contar con los recursos necesarios para poder funcionar, y tener un responsable que garantizará el control y el buen funcionamiento del mismo.

NOTA: El conjunto de todos los procesos, debería contener todas aquellas actividades y trabajos que se realizan en la empresa y que tienen relación con la calidad del producto o servicio que la organización presta, y son el elemento clave del Sistema de Gestión.

RECOMENDACIÓN: A la hora de definir Procesos, es muy importante no pasarse ni quedarse corto. Si definimos pocos procesos, es casi seguro que nos dejemos actividades clave fuera del Sistema de Gestión, o que sean tan amplios y ambiguos que no aporten nada. Si por el contrario definimos muchos procesos, dispondremos de un control completo y un nivel de detalle exquisito, pero el tiempo y trabajo necesarios para mantenerlos será inasumible.

Requisitos de los Procesos

Los puntos que deberemos definir en cada proceso del Sistema de Gestión, son:

1. Entradas y salidas: Las entradas del proceso, es lo que requiere y necesita para poder empezar a trabajar. Las salidas en cambio, serán los resultados del proceso una vez finalizado. Que en la mayoría de ocasiones coinciden con la entrada de otro proceso, lo que genera una interacción entre ellos.
2. Control de los procesos: El proceso debe de estar bajo control en todo momento, por lo que se definirán los procedimientos y protocolos necesarios, así como las medidas de control que se consideren necesarias para ello.
3. Recursos necesarios: Para que un proceso funcione necesitaremos: personal, maquinaria, materias primas, instalaciones… Sin olvidar todo aquello que garantice su calidad: equipos de medición, procedimientos, formación…
4. Responsabilidades: Dentro de cada proceso se fijarán las responsabilidades de cada trabajador que en él participen. A la persona responsable del buen funcionamiento del proceso completo, se le denomina: Propietario del Proceso.
5. Riesgos y oportunidades: Todo proceso tiene asociados riesgos y oportunidades que se deberán evaluar y tratar. Estos variarán dependiendo de factores externos al proceso, por lo que deberán ser analizados y evaluados periódicamente.
6. Chequear los procesos: Garantizar que cada proceso cumple sus objetivos, es fundamental. Por lo que definir indicadores, realizar un seguimiento periódico, y analizar los resultados en la Revisión del Sistema de Gestión por Dirección, son tareas obligatorias.
7. Mejora continua: Deberemos garantizar la Mejora Continua de cada proceso. Y no hay forma más sencilla que gestionando las No Conformidades y fijando Objetivos a cada uno de ellos, que supondrán Acciones Correctivas y Planes de Acción que los optimicen.
8. Información documentada: Necesitaremos disponer de la información documentada necesaria (manuales, procedimientos, instrucciones, fichas…) para facilitar el correcto funcionamiento del proceso, y las evidencias que demuestren el cumplimiento de los procedimientos definidos.

IMPORTANTE: Toda la información que definamos en cada proceso para cumplir la norma ISO 9001 2015, es conveniente incluirla en algún tipo de formato o documento. La manera más habitual, es la creación de una Ficha de Proceso, que incluya toda esta información en una única página, y la presente de manera muy visual y clara.

El Mapa de Procesos

El Mapa de Procesos nos ayudará a determinar la interacción entre todos los procesos del Sistema de Gestión, y así detectar: ambigüedades, errores o cuellos de botella. Se suele definir con un diagrama de flujo general, y completar con otros flujogramas o fichas más detallados. Hay que recordar que determinar las interacciones entre los procesos es un requisito de la norma, y el Mapa de Procesos es quizás la herramienta más sencilla para ello.

Cuando el número de procesos de la organización es muy elevado, o definir su interactuación en un diagrama es muy complejo, se puede recurrir a diferenciar entre Procesos y Subprocesos del Sistema de Gestión. De esta manera, por ejemplo, agruparemos todos los procesos operativos en un único proceso llamado “Producción”, y consideraremos que éstos son subprocesos de este nuevo proceso que pertenece a un nivel superior.

Dentro del Mapa de Procesos, podremos clasificar los procesos en los siguientes grupos:

1. Procesos estratégicos: Son aquellos procesos relacionados con la toma de decisiones a nivel directivo, y que definen y aplican la estrategia de la organización. Ej.: Planificación estratégica, Definición y seguimiento de Objetivos, Plan de continuidad de negocio…
2. Procesos de medición del desempeño: Asociados a controlar el cumplimiento de requisitos, detectan errores o alertan de desviaciones dentro del Sistema de Gestión. Ej.: Auditoría interna, Satisfacción de clientes, Revisión del Sistema de Gestión por Dirección…
3. Procesos operacionales: Son todos aquellos relacionados con el producto o servicio que presta la organización. Que incluyen todas las actividades relacionadas con la producción, y forman parte de la cadena de valor. Ej.: Fabricación, Pintado, Lavado, Operaciones, Logística, Recepción de materias primas, Prestación del servicio…
4. Procesos de soporte: Son todos aquellos, no incluidos en los anteriores grupos, que ayudan o facilitan que el resto de procesos puedan funcionar. Ej.: Facturación, Compras, Recursos Humanos, Mantenimiento…

RECOMENDACIÓN: La definición de los Procesos y del Mapa de Procesos nos debería ayudar a identificar todas aquellas actividades y trabajos que se realizan en la organización, y no aportan valor a nuestros productos y servicios. Y cuestionarnos si los debemos seguir haciendo, o si se deberían subcontratar a terceros.

Tema 8. El Liderazgo en la norma ISO 9001 2015

El primer paso para poder ejercer el liderazgo que exige la norma ISO 9001 2015, es entender el concepto de Líder. Son líderes aquellas personas que por medio de la motivación, el ejemplo y la empatía, logran la implicación y el compromiso de un grupo de personas para alcanzar un objetivo concreto.

En muchas ocasiones se confunde el concepto “Líder” con el rol de “Jefe”. Y pese a que todo Jefe debería ser un buen Líder, no siempre sucede. Mientras que un Jefe tiene la autoridad de su cargo para mandar realizar un determinado trabajo a sus empleados, un líder no necesita recurrir a dicho privilegio para lograr ese mismo fin. Un trabajador “obligado” a realizar una tarea por su Jefe, ejecutará la tarea. Pero un empleado “motivado” por su líder a realizar el mismo trabajo: hará la tarea mejor, en menos tiempo, y aportará nuevas ideas que mejoren su ejecución y el producto. Siendo un empleado motivado, una fuente de información e ideas para la mejora continua de los procesos.

Los puntos básicos que marca la norma ISO 9001 2015, donde la Dirección de la organización debe ejercer y mostrar su liderazgo, son entre otros:

1. La Política de Calidad y los Objetivos: asegurando que se establece una Política de Calidad y unos Objetivos alineados con la estrategia y contexto actual de la organización.
2. Integración del Sistema de Gestión en la empresa: Integrando el Sistema de Gestión de la Calidad y los requisitos de la norma ISO 9001 2015, dentro de la gestión propia del negocio. Tanto a nivel estratégico, productivo y financiero.
3. La gestión por Procesos y los Riesgos: Fomentando la gestión de las actividades por Procesos, sistemáticos y medibles. Y centrar su mejora continua en el análisis y evaluación de sus Riesgos.
4. Recursos humanos y económicos: Proporcionando los recursos necesarios para el correcto funcionamiento del Sistema de Gestión de la Calidad, y ejecutar las acciones para alcanzar los Objetivos fijados.
5. La importancia del Sistema de Gestión de la Calidad: Comunicando lo importante que es el cumplimiento de los procedimientos, sistemáticas y reglas establecidas. Y por tanto, el cumplimiento de los requisitos de la norma ISO 9001 2015.
6. Rendir cuentas de los resultados: Asumiendo en primera persona: los éxitos, errores y fracasos del Sistema de Gestión de la Calidad. Rindiendo cuentas a las partes interesadas, sin delegar la responsabilidad en otros.
7. Compromiso con las personas: Apoyando, ayudando y dirigiendo de manera eficaz a los empleados para lograr los resultados previstos y planificados.
8. Promoción de la mejora continua: Promoviendo la mentalidad de mejora continua en todos los niveles de la organización. Tanto en las personas que ocupan puestos directivos, son mandos intermedios, personal cualificado u operarios.

NOTA: En la nueva versión de la norma ISO 9001 2015, desaparece el rol de “Representante de la Dirección”. Lo que se interpreta como una clara señal de que la Dirección debe ejercer directamente estas tareas de liderazgo, sin dar la opción de delegar la responsabilidad a otros empleados. Situación muy habitual en empresas certificadas con anterioridad.

Herramientas para ejercer el Liderazgo

La manera más sencilla de demostrar un claro liderazgo en el Sistema de Gestión de la organización, y cumplir los requisitos de la norma ISO 9001 2015, es participar lo máximo posible en él. Colaborar en la búsqueda de soluciones en las acciones correctivas, supervisar la gestión de las reclamaciones de cliente, acudir a las reuniones de seguimiento de los procesos… son actividades que demuestran una clara implicación y compromiso con el Sistema de Gestión de la Calidad.

Algunos sencillos ejemplos de cómo ejercer el Liderazgo por parte de la Dirección dentro de la organización, y cumplir así los requisitos de la norma ISO 9001 2015, son los siguientes:

1. Presentación nuevos empleados: dentro del proceso de incorporación de un nuevo empleado a la organización, suele ser habitual que la Dirección pase a saludar al nuevo empleado. Felicitándole por su nuevo empleo, y motivándole para llegar lejos dentro de la empresa. Recordando los principios y valores para conseguirlo.
2. Revista corporativa: una revista interna es una buena herramienta de comunicación entre la Dirección y el resto de la empresa. Una pequeña introducción o editorial en cada publicación, refuerza la imagen de liderazgo de la Dirección entre los trabajadores.
3. Sitio web corporativo: cuando este liderazgo se ejerce tanto al personal interno como a partes interesadas externas (proveedores, clientes…), el sitio web corporativo será un buen lugar donde incluir esta carta de la Dirección. El incluirla como presentación en el catálogo de productos, suele ser bastante habitual.
4. Video presentación: pequeños videos presentación de la Dirección sobre la Política, los Objetivos y las líneas estratégicas, disponibles en la intranet de la empresa, facilitan la comunicación de las directrices fundamentales, además de dar una imagen de cercanía.
5. Discursos en eventos de empresa: las cenas de navidad, comidas de empresa u otros eventos internos, son un buen momento para que la Dirección realice un discurso recordando sus compromisos y estrategias.
6. Firma de comunicados: que la Dirección firme cada uno de los comunicados o circulares que tengan relación con el Sistema de Gestión de la Calidad, fortalece la imagen de implicación de la Dirección con el trabajo que se está haciendo por todos.
7. Felicitación navideña: la felicitación navideña, el aguinaldo o las nóminas de las pagas extra, son un buen lugar donde incluir una carta de Dirección donde agradecer el esfuerzo y recordar los objetivos y compromisos vigentes.

NOTA: Es importante entender que se ha de ejercer el liderazgo en los buenos y en los malos momentos. Apareciendo cuando las cosas salen bien, y asumiendo responsabilidades cuando no, como nos marca la norma ISO 9001 2015 en su punto 5.1.1.a.

Tema 9. La Política de Seguridad en la norma ISO 27001

La Política de Seguridad de la Información debe establecer las directrices fundamentales que regirán todas las acciones relacionadas con la Seguridad de la Información dentro de la empresa. Desde la definición de los Procesos del Sistema de Gestión de la Seguridad de la Información, como en la determinación de los Objetivos de Seguridad que se establezcan.

La norma ISO 27001 establece explícitamente como requisito, la necesidad de definir una Política de Seguridad de la Información adecuada a las necesidades de la organización. Esto hace que en muchas ocasiones, se defina una Política de Seguridad únicamente para cumplir dicho requisito. Lo cual es un error, ya que puede ser utilizado como una herramienta de Liderazgo de la Dirección y de Concienciación para los empleados.

IMPORTANTE: La Política de Seguridad de la Información no tiene por que ser un documento en papel, ya que pese a formar parte de la Información Documentada del Sistema de Gestión de la Seguridad de la Información, se pueden utilizar otros soportes que faciliten su posterior difusión y distribución. Una presentación grabada en video o una página del sitio web de la empresa, son soportes válidos.

Requisitos de la Política de Seguridad

La Política de Seguridad de la Información deberá cumplir unos requisitos básicos para ser conforme a la norma ISO 27001. Éstos fijan unos contenidos mínimos que la Política debe incluir, y que siempre tienen que aparecer. Pero más que ser un problema, sirven de ayuda para tener una base sobre la cual definir el marco de referencia sobre el que trabajará el Sistema de Gestión de la Seguridad de la Información.

Los requisitos mínimos que debe cumplir nuestra Política de Seguridad de la Información, son:

1. Ser apropiada a la organización: La Política de Seguridad de la Información debe de ser coherente con los Activos de Información de la empresa, así como con los Riesgos y Amenazas de su entorno. Definir una Política de Seguridad muy genérica o sin contenido, hace que sea un documento inservible para la organización, y esta misma idea se asocie a todo el Sistema de Gestión.
2. Servir de referencia a los Objetivos: Los Objetivos del Sistema de Gestión, deben estar alineados con la Política de Seguridad de la Información. De tal forma, que si se indica la prioridad de garantizar la seguridad de los datos de los clientes, un objetivo coherente será reducir el número de incidencias de éste tipo.
3. Cumplir los compromisos aplicables: En la Política de Seguridad de la Información se deberá indicar el compromiso de la Dirección en cumplir los requisitos que le apliquen en esta materia. Tanto los requisitos legales que nos afecten o los compromisos adquiridos con sus clientes u otras partes interesadas.
4. Garantizar la mejora continua: Todo Sistema de Gestión de Seguridad de la Información está obligado a aplicar el ciclo de mejora continua en todos sus procesos. La Dirección tiene que comprometerse a aplicar acciones de mejora continua en la Política de Seguridad de la Información.

IMPORTANTE: La Política de Seguridad de la Información es un documento vivo, por lo que se debe revisar de manera periódica para que sea adecuada a las necesidades de la organización en cada momento. Los cambios internos o del entorno, la aparición de nuevas amenazas, el desarrollo de nuevas líneas de negocio en otros mercados, o trabajar para nuevos clientes… pueden ser motivos para requerir una actualización.

Comunicación de la Política de Seguridad

Otro requisito de la norma ISO 27001, es el deber de comunicar correctamente la Política de Seguridad de la Información dentro de organización, y de ponerla a disposición del resto de las Partes Interesadas cuando se considere necesario. Para realizar esta comunicación, podemos utilizar los siguientes canales:

1. Sitio web corporativo: Utilizar la intranet de la empresa para realizar la comunicación interna, y publicarla en el sitio web de la organización para su puesta a disposición de las Partes Interesadas, suele ser la solución más sencilla y eficiente.
2. Tablón de anuncios: Si no disponemos de intranet, es la solución más clásica para la consulta de los empleados. Lo malo es que la falta de espacio en el tablón de anuncios, puede hacer que esta quede tapada o sea eliminada por error. O que si se publica en varios tablones, quede alguna versión obsoleta publicada.
3. Formaciones internas: Las nuevas incorporaciones de la empresa, suelen recibir una formación básica sobre la Seguridad de la Información, y es donde se explica la Política de Seguridad. Para el resto de empleados: las formaciones de reciclaje, charlas de concienciación o reuniones departamentales, son buenas ocasiones para recordar su contenido e importancia.
4. Comunicados de la Dirección: Los canales habituales utilizados por la Dirección para la comunicación con los empleados (circulares, cartas, comunicados…), son perfectos para la notificación de una versión de la Política de Seguridad de la Información. Además reforzará el Liderazgo de la Dirección en la Gestión de la Seguridad.
5. Newsletters, revistas, catálogo de productos: Cuando la comunicación va dirigida a clientes, proveedores, colaboradores, accionistas… se pueden utilizar estos otros canales para difundir la Política de Seguridad de la Información entre estas otras Partes Interesadas.

IMPORTANTE: La Política de Seguridad de la Información debe ser conocida por todos los empleados de la empresa. Y no sólo deben saber cómo localizarla, sino que deben entenderla y ser capaces de explicar cómo influye en su trabajo. Por eso es fundamental que la Política utilice un vocabulario adecuado a cualquier nivel cultural, y que esté traducida a los idiomas que se considere necesario para cumplir su misión.

RECOMENDACIÓN: Si es la primera vez que vas a definir una Política de Seguridad de la Información, y no sabes por dónde empezar, tienes dos opciones para “inspirarte”. La primera es adaptar o ampliar la Política de Gestión de otra norma en la que la empresa esté certificada (ISO 9001, ISO 14001…), muy apropiado en Sistemas de Gestión Integrados. La otra es buscar en internet las políticas de otras empresas certificadas en la ISO 27001, y si son del mismo sector y actividad mucho mejor. Pero recuerda: NO LAS COPIES. Ya que cada Política está personalizada a cada organización, y cada una funciona de manera muy distinta.

Tema 10. Los Activos de Información en la norma ISO 27001-2017

Un requisito de la norma ISO 27001 2017, incluido en la lista de Controles del Anexo A, es la correcta gestión de los Activos de Información que dan soporte a los diferentes procesos de la organización. Esta gestión comprende desde su identificación por medio de un inventario, fijar un responsable o Propietario de cada activo, determinar los usos correctos y adecuados de cada uno de ellos, y su recuperación cuando sea necesario para evitar su pérdida o difusión no controlada.

La identificación de los Activos

Como Control de la norma ISO 27001-2017 se exige la realización de un inventario de activos, que es además la mejor manera de comenzar a trabajar. Si no sabemos lo que tenemos, nos será muy complicado gestionarlo o controlarlo correctamente. Este inventario se deberá mantener actualizado a lo largo del tiempo, por lo que se deberán realizar revisiones periódicas y comunicar los cambios.

Los activos los podemos separar en dos grandes grupos: tangibles e intangibles. Los activos tangibles son aquellos activos materiales que contienen información, y sobre los que tomaremos medidas preventivas para protegerlos principalmente de riesgos físicos: golpes, agua, fuego, etc. Los activos intangibles son aquellos que soportan la información dentro de un activo material, y pueden inutilizar la información, pese a que el activo físico no haya sufrido daño alguno.

Por ejemplo: Un listado de personal (información) puede estar incluido en una hoja Excel (activo intangible), que se encuentra en un ordenador de sobremesa (activo material), situado en la oficina principal (activo material) de la empresa.

Activos materiales

Algunos ejemplos de activos materiales que se pueden encontrar en todas las empresas, son:

1. Equipos informáticos: Cada vez son más los equipos informáticos presentes en las empresas, y pese a no contener información crítica en su interior, si que tienen acceso a servidores y redes que si la poseen.
2. Servidores físicos: Los servidores propios donde guardamos todos los documentos de la organización o donde se encuentran las aplicaciones informáticas compartidas (ERP, CRM…), y los externos donde alojamos nuestros servicios web y de correo electrónico, suelen ser los Activos más críticos dentro del SGSI.
3. Equipos red local: nuestros equipos informáticos están conectados entre sí por medio de redes inalámbricas o cableadas. Las cuales pueden ser cortadas o violadas por hackers expertos.
4. Periféricos y pendrives: Hay que tener un especial cuidado con escáneres e impresoras donde se deja información impresa olvidada con frecuencia. Los pendrives, CDs, DVDs… suelen perderse con facilidad o quedar olvidados por los cajones con información muy sensible.
5. Portátiles, tabletas y móviles: En esta categoría se incluyen todos aquellos dispositivos electrónicos que salen de nuestras instalaciones habitualmente. Sea por visitas comerciales, porque el trabajador se lo lleva a casa después del trabajo, o se ceden temporalmente a terceros.
6. Oficinas e instalaciones: Las oficinas, los edificios, las naves industriales… contienen los ordenadores, los servidores físicos, los archivadores, la documentación en papel… Por lo que deben ser consideradas como un activo material más, que deberemos proteger.
7. Personal propio: Cada una de las personas que trabajan en la organización, tienen información del negocio en su cabeza: conocimientos del proceso productivo, salarios, contactos de proveedores y clientes… dependiendo del puesto que ocupe el trabajador, ésta será más o menos sensible.
8. Oros contenedores: Armarios RF, cajas fuertes, archivadores, estanterías, salas refrigeradas para servidores, cuartos de archivo, CPDs… son otros activos físicos que podemos tener en nuestra organización, y deberemos identificar.

Activos intangibles

Entre los distintos activos intangibles que encontraremos en nuestra organización, cabe destacar:

1. Aplicaciones informáticas: cualquier software que contenga o gestione información del negocio, será un Activo: el ERP, aplicaciones de contabilidad, el CRM, Aplicaciones ofimáticas (Word, Excel, Powerpoint…), software de control de calidad, aplicaciones de gestión de proyectos o producción…
2. Gestores de copias de seguridad: las aplicaciones de creación y restauración de copias de seguridad se tratan como herramientas diferentes a las anteriores, dado que se debe garantizar su disponibilidad en el caso de caída grave del resto de sistemas.
3. Sistemas operativos: Dado que soportan el resto de aplicaciones informáticas y que son uno de los principales objetivos de los virus informáticos, los gestionaremos de manera especial al resto del software.
4. Comunicaciones: Las comunicaciones con el exterior también son críticas ante una situación de emergencia, por lo que se tratarán de forma diferente: los servicios telefónicos, el acceso a internet y los servidores de correo electrónico.
5. Gestores de bases de datos: el mal funcionamiento del ERP puede suponer una pérdida de accesibilidad de la información durante un tiempo determinado. Pero la caída del gestor de bases de datos que hay detrás, puede generar la perdida de una parte del contenido o su totalidad. Por lo que requiere de un cuidado más exigente y delicado.
6. Suministros: la perdida de suministro eléctrico durante un espacio de tiempo prolongado, puede suponer la caída de los sistemas de información de la organización. Por lo que deberemos tener alternativas a nuestro proveedor habitual de estos servicios.

RECOMENDACIÓN: En ocasiones, dependiendo del tipo de información contenida en el Activo, su criticidad para el negocio y si ésta tiene legislación aplicable, se duplica el Activo en el inventario para su tratamiento independiente y personalizado. Por ejemplo, se suele separar la aplicación de Recursos Humanos del resto de aplicaciones informáticas en el inventario, ya que sobre dicho software se aplicarán medidas extraordinarias para cumplir la LOPD, que en el resto podemos considerar no necesarias.

IMPORTANTE: Se debe tener un especial cuidado con aquellas aplicaciones y desarrollos propios, ya que pueden carecer de las medidas de seguridad básicas incluidas en las aplicaciones comerciales. Y por tanto ser más vulnerables a ataques y fallos durante su utilización.

Valoración de Activos

Pese a no ser requisito de la norma ISO 27001 2017, es bastante recomendable cuantificar la importancia de nuestros Activos de Información, y valorarlos a través de diferentes dimensiones según la criticidad de la información que contienen. Hay tres criterios básicos incluidos en la mayoría de metodologías de evaluación: la Confidencialidad, la Integridad y la Disponibilidad, también denominadas “CID”. Pero en otras metodologías como MAGERIT, este número se amplía a cinco:

1. Confidencialidad: La confidencialidad de una determinada información puede ser clave para la continuidad del negocio. Una lista de clientes o tarifas publicada en internet, puede suponer la pérdida de competitividad respecto a otras empresas del sector, y por tanto un riesgo elevado para la organización.
2. Integridad: La integridad valora la importancia de que la información contenida en el Activo, permanezca fiel y completa, y no sea eliminada parcial o completamente por terceros o por error. Hay Activos de información que un daño mínimo los hace inútiles. Por ejemplo, si a un software le eliminas un archivo, posiblemente deje completamente de funcionar.
3. Disponibilidad: La disponibilidad consiste en que la persona autorizada a acceder a la información incluida en el Activo, lo pueda hacer cuando lo necesite. En ocasiones el no tener acceso a un determinado Activo, puede suponer la necesidad de detener la producción, con los problemas que ello conlleva.
4. Autenticidad: En ocasiones, el garantizar que la fuente de información es quien dice ser, o quien accede o modifica los datos es quien tiene que ser, puede suponer que la información pierda completamente su valor. No sea fiable su calidad, y por tanto el Activo de Información se haya perdido.
5. Trazabilidad: Disponer de un control completo de las acciones y usos que se le da a un determinado Activo, de quien las realiza y en que momento, puede ser necesario para garantizar su calidad.

NOTA: Para cada una de estas dimensiones se deberán fijar criterios objetivos y cuantificables, que nos servirán para determinar su valor en cada Activo. Se suelen utilizar escalas numéricas asociadas a los distintos valores que pueda tomar la dimensión. Determinar estos criterios suele ser una labor complicada a la que deberemos dedicar tiempo, si queremos obtener resultados coherentes con la realidad de la empresa.

IMPORTANTE: Es muy importante dedicar tiempo a la identificación y clasificación de los Activos de Información. Ya que si continuamos con el proceso de evaluación de riesgos y el plan de tratamiento de riesgos de los que nos hayan salido significativos, y posteriormente identificamos nuevos Activos olvidados, deberemos repetir todo el trabajo.

Tema 11. Las Amenazas en la norma ISO 27001-2017

Pese a que el término Amenaza ha desaparecido de la nueva versión de la norma ISO 27001 2017, quedando reducida sus referencias a un par de controles del Anexo A. Sí que es requisito la identificación de los Riesgos que afectan a la Seguridad de la Información, y que mejor manera de hacerlo que cruzando los Activos de la organización con las Amenazas a las que están expuestos.

Si aplicamos una metodología de evaluación de riesgos contrastada como puede ser MAGERIT, la identificación de las Amenazas es obligatoria. Y aunque no lo sea es muy recomendable hacerla, ya que ésta nos ayudará a identificar los Riesgos que afectan a nuestros Activos de Información. Por ejemplo, una Amenaza como el fuego, se asociará a todos aquellos Activos que puedan arder o verse afectados por él, los cuales sufrirán el Riesgo de incendio en distinta medida, dependiendo de los Controles que tengamos implementados sobre ellos, que reducirán la probabilidad y el impacto de dicho Riesgo.

Identificar las amenazas

Las Amenazas de cada organización dependerán mucho de su entorno, localización y actividad. Aun así, hay un conjunto de Amenazas comunes a todas ellas, entre las que destacamos las siguientes:

1. Fuego: La amenaza del fuego, puede ser tanto interna como externa. El fuego se puede generar por un accidente dentro de la organización, o por un incendio en los centros de trabajo contiguos al nuestro.
2. Robo y pérdida: El caso de los robos es muy similar. Pueden entrar ladrones del exterior a nuestras instalaciones, o ser los propios empleados quien roben activos de la empresa.
3. Agentes climáticos: Dependiendo la localización de nuestro centro de trabajo, las nevadas, riadas, inundaciones o tormentas eléctricas pueden ser más o menos probables.
4. Error de mantenimiento: Una mala limpieza y engrasado de las máquinas, o la no instalación de actualizaciones y parches en los equipos informáticos, representan una amenaza a este tipo de activos.
5. Error del usuario: El error humano siempre existirá, y puede suponer la eliminación accidental de información, o la realización de cambios incorrectos sobre la misma.
6. Fallo del software: Las distintas aplicaciones informáticas que tengamos en nuestra organización pueden fallar en un momento determinado, por causas propias o ataques externos. Todo software tiene vulnerabilidades que deberemos proteger.
7. Fallo de las comunicaciones: El corte de las líneas telefónicas, la falta de cobertura o una baja velocidad de Internet, pueden suponer riesgos importantes para nuestro negocio. Una tienda online o un “call center”, pueden generarle grandes pérdidas este tipo de problemas.
8. Rotura o averías: Las roturas y averías en equipos e instalaciones por desgaste, accidentes o productos defectuosos, son muy comunes. Los mantenimientos preventivos, las inspecciones previas y las medidas de seguridad puede reducir el riesgo de que estas amenazas se materialicen.
9. Daños por agua: Un derrame, charco o inundación de agua puede tener su origen en una gotera, una tubería dañada, o un accidente. Dependiendo de nuestra actividad, y en contacto con nuestros productos, las pérdidas pueden ser cuantiosas.
10. Corte suministro eléctrico: Un corte de la electricidad de un segundo, puede suponer la caída de todo el sistema informático de nuestra organización. Lo que supondría tener que recuperar todos los servicios y aplicaciones a su estado correcto, y esto puede suponer varios días de afección.
11. Fallo de la climatización: En empresas donde la temperatura y humedad son críticas, los fallos en la climatización pueden suponer pérdidas cuantiosas. Un ejemplo claro, es un secadero de jamones.
12. Software dañino: La instalación de aplicaciones y servicios dañinos para nuestros sistemas de información, como pueden ser virus o troyanos, es una Amenaza a tener en cuenta en prácticamente todas las empresas.
13. Fugas de información: La interceptación de alguna comunicación privada por terceros, la publicación en internet de información sensible de la organización, o los conocimientos que un trabajador se lleva al irse con la competencia… son fugas de información con consecuencias difícilmente cuantificables.
14. Agotamiento de los recursos de los sistemas: Las instalaciones y los equipos tienen limitaciones físicas y técnicas. La información que gestionan suele mostrar un crecimiento en muchos casos exponencial, que puede llevarles al colapso.
15. Rotación personal: Con el paso del tiempo, determinados empleados pueden pasar a ser imprescindibles dados los conocimientos que sólo ellos poseen. En estos casos, un cambio de trabajo, una baja médica, unas largas vacaciones o ciertas necesidades personales, puede hacer que dicha información deje de estar disponible durante un periodo o para siempre.
16. Accesos no autorizados: Los errores de configuración, la suplantación de identidad, o el uso no previsto de una determinada información, pueden suponer una amenaza grave.
17. Extorsión y sobornos: La extorsión y el soborno que tanto clientes como proveedores pueden ejercer sobre nuestro personal, para conseguir contratos o mejorar los precios, pueden ser un problema. Mucho más en países con sistemas judiciales débiles, y escaso control legal.

NOTA: En la norma UNE 71504:2008, se incluye la definición de Amenaza como: “la causa potencial de un incidente que puede causar daños a un sistema de información o a una organización”.

Valoración de la Amenazas

La misma Amenaza puede afectar de distinta manera a una organización u otra, por lo que su importancia variará en cada caso. Por ejemplo, la amenaza “Daños por agua” puede ser insignificante para una empresa de prefabricados de hormigón, pero puede suponer la ruina de una empresa de servilletas de papel.

En el momento que relacionamos una Amenaza con un Activo de la organización, comenzamos a hablar de Riesgo. Mientras que una Amenaza siempre será la misma para la organización, el Riesgo variará según el Activo al que afecte y las salvaguardas que lo protejan en cada caso.

Sobre las Amenazas no podremos actuar, dado que son agentes externos a la organización que existen en nuestro entorno, y su origen es la naturaleza o terceras partes. En cambio, sobre el riesgo sí podremos trabajar, ya que podremos reducir la probabilidad de que la Amenaza se materialice, y minimizar los efectos del impacto de la misma. Por ejemplo: sobre la existencia de virus informáticos en internet (Amenaza), poco podremos hacer. Pero reducir la probabilidad de que estos afecten a nuestros sistemas y que en el caso de hacerlo el impacto sea mínimo (Riesgo), sí que es posible.

En ocasiones se realiza una valoración general de las Amenazas, utilizando los mismos criterios que para un Riesgo. La diferencia es que no se hace en relación a ningún activo concreto, sino de manera genérica a la organización:

1. Probabilidad: Se analiza la probabilidad de que la Amenaza se materialice o suceda. Por ejemplo: la probabilidad de nevadas intensas, puede ser muy elevada en zonas de montaña, pero no en la playa.
2. Gravedad del impacto: Se valoran el impacto que supondría dicha Amenaza de manera general. Por ejemplo: el impacto de un incendio en una carpintería, será diferente al de una de perfiles de aluminio.

Por ejemplo: la amenaza de lluvia puede tener una alta probabilidad de ocurrencia en nuestra zona geográfica, pero el impacto de la lluvia en general es muy bajo. En cambio, si nuestra empresa fabrica cajas de cartón, la probabilidad de que la lluvia moje nuestras cajas es muy baja, pero su impacto sería muy elevado. Ya que disponemos de almacenes cubiertos, y una caja mojada pasa a ser inservible.

RECOMENDACIÓN: Pese a que hay muchas amenazas que no afectan a nuestro negocio debido su actividad, es recomendable tenerlas todas identificadas. Eso sí, indicando que no aplican en estos momentos a la organización. Ya que en un momento dado, la empresa puede abrir un nuevo centro de trabajo en otra región donde si apliquen, o lanzar una nueva línea de negocio que también le afecten, y el tenerlas ya identificadas nos ahorrará trabajo.

Tema 12. El análisis de Riesgos en la norma ISO 27001-2017

La valorización de los Riesgos de la Seguridad de la Información, es la actividad clave en la implantación de la norma ISO 27001 2017 en nuestra organización. Este análisis es el que determinará: los Controles a aplicar, las Acciones y Tratamientos a realizar, los Objetivos a cumplir, etc. Y por tanto es crítico, para que el Sistema de Gestión de Seguridad de la Información sea realmente útil, y no una carga extra de trabajo para la organización.

Es muy importante que este proceso esté procedimentado y lo más sistematizado posible. Para conseguir que los resultados no varíen, si el mismo análisis lo realizan distintas personas. Además deberemos poder comparar los resultados de los diferentes análisis que hagamos a lo largo del tiempo, para poder determinar si las acciones realizadas están suponiendo una mejora real de la Seguridad de la Información de la organización.

El análisis de los Riesgos es la actividad que más tiempo nos llevará en la implantación del Sistema de Gestión, y a la que más atención hay que prestarle. Para realizarla correctamente, deberás seguir los siguientes pasos:

Paso 1: Establecer los criterios

El primer paso que marca la norma ISO 27001 es fijar los Criterios, que una vez identificados y analizados los Riesgos, determinen si cada uno de ellos es aceptado o no por la organización. En el caso de no ser aceptable, se deberán tomar acciones dentro del Plan de Tratamiento de Riesgos, que hagan que pase a serlo.

Normalmente para la aceptación o no de un riesgo, se fija a partir de un determinado Nivel de Riesgo. Este Nivel de Riesgo, será calculado para cada uno de los riesgos identificados según un algoritmo que relacione: la probabilidad de que suceda, las consecuencias en caso de materializarse, y el valor del activo sobre el que actúa.

NOTA: Que la norma ISO 27001 fije esta tarea como la primera de todas a realizar, tiene su razón ser. El motivo es evitar que la identificación y análisis de los riesgos que realizaremos a continuación, nos hagan perder objetividad, y de manera inconsciente suavicemos los valores límite incluidos en los Criterios para considerar un Riesgo como inaceptable.

Paso 2: Identificar los riesgos

La identificación de los riesgos para la seguridad de la información, no suele ser una tarea rápida y sencilla, ya que es muy importante no dejarse ninguno. Por lo que este trabajo se recomienda que lo realicen varias personas durante varias semanas, lo que evitará cometer errores importantes en la identificación de los riesgos.

La manera más sencilla de identificar los riesgos de manera sistemática, evitando olvidar los riesgos más importantes, es seguir los siguientes pasos:

1. Paso 1: Identificar los Activos: Los riesgos siempre van a ir asociados a la Información, y ésta siempre estará contenida o gestionada por algún Activo. Disponer de un inventario exhaustivo de los Activos de Información de la organización, será el primer paso a completar.
2. Paso 2: Listar las Amenazas: Cada empresa está sometida a un conjunto de Amenazas intrínsecas a su actividad y ubicación, como: incendios, inundaciones, virus informáticos, robos, sobornos, terremotos, errores humanos… son algunas de ellas. Este paso es más sencillo, ya que disponemos de listados generales que encontraremos en otras normas ISO o Internet. Eso sí, descarta de estas listas las que no apliquen a tu empresa.
3. Paso 3: Detectar las Vulnerabilidades: Ya hemos completado los dos pasos anteriores. Ahora toca cruzar cada Activo con cada Amenaza, para determinar si dicho Activo es vulnerable a dicha Amenaza. De esta combinación, nacerán los Riesgos de la seguridad de la información de nuestra organización.

Las vulnerabilidades de un Activo frente a una Amenaza, siempre van a ir asociadas a perdida de Confidencialidad de la información que contiene, la Integridad de la misma y su Disponibilidad a la hora de ser utilizada por las personas que la necesiten. Estos tres conceptos nos ayudarán también a identificar las vulnerabilidades de cada Activo, y por tanto sus Riesgos.

EJEMPLO: Identificamos como Activo que gestiona información: el Sistema Operativo Windows 10. Ya sabemos la Amenaza que suponen los Virus Informáticos para los sistemas operativos, y que Windows 10 es vulnerable a ser infectado por alguno de ellos. Por lo que acabamos de detectar el Riesgo de un virus informático infecte a nuestros equipos cuyo sistema operativo es Windows 10.

NOTA: Es requisito de la norma ISO 27001 2017, el que cada Riesgo identificado tenga un Propietario. Normalmente dicho responsable será el dueño o gestor del Activo sobre el que actúa el Riesgo, o la persona que puede aplicar medidas preventivas sobre el mismo. Por ejemplo, sobre los equipos informáticos no suele ser el usuario de cada equipo, sino el jefe de informática que gestiona su seguridad y su contenido.

Paso 3: Probabilidad e impacto

En este paso, analizaremos los riesgos identificados en el paso anterior. Para determinar como de importante es un Riesgo, utilizaremos al menos dos parámetros: la probabilidad y el impacto. La Probabilidad es aquella que el Riesgo tiene de materializarse. Mientras que el Impacto, son las consecuencias potenciales que tendría si este llega a suceder.

Con estos dos factores, y alguno más que podemos incluir, aplicaremos una fórmula de cálculo que nos diga el Nivel de Riesgo de cada uno de los riesgos identificados. El algoritmo de cálculo del Nivel de Riesgo deberá establecerse en el paso 1 junto a los criterios de aceptación de los riesgos.

EJEMPLO: Siguiendo con el ejemplo anterior, la probabilidad de que un virus informático afecte a nuestros equipos, dependerá de que Controles tenemos implementados: disponemos de antivirus actualizados, el personal está formado y concienciado en no abrir de terminados archivos de determinadas fuentes, los equipos tienen acceso muy limitado a internet… Y las consecuencias variarán según la criticidad de la información que tenga cada equipo informático: No es lo mismo, el equipo informático que contiene la aplicación de gestión del personal o contabilidad, a otro que sólo se utiliza para ver el correo. El impacto de que uno u otro deje de funcionar, es muy diferente.

RECOMENDACIÓN: Para tener un análisis más detallado, se puede diferenciar entre el Nivel de Riesgo Potencial y Actual. El primero es aquel que tenemos sin aplicar ningún control o salvaguarda, mientras que el segundo se calcula aplicando las medidas preventivas que ya tengamos implementadas sobre el Activo. Evidentemente el Nivel de Riesgo Actual siempre será igual o inferior al Potencial, y será el Actual el que determine si necesitamos aplicar nuevos controles sobre el Activo.

Paso 4: Evaluar los riesgos

Ya tenemos los Riesgos identificados, hemos analizado su probabilidad y posible impacto, y valorados según su Nivel de Riesgo. Es el momento de evaluarlos según los Criterios del primer paso. Para lo cual, compararemos cada Nivel de Riesgo con los valores límite que hayamos prefijado, clasificando cada riesgo es tolerable o intolerable.

Los Riesgos que se califiquen como inaceptables, deberán ser corregidos por medio de nuevos Controles en el Plan de Tratamiento de Riesgos. Aquellos que consideremos aceptables, se considerarán como riesgos residuales.

RECOMENDACIÓN: Es muy importante asegurarnos que un paso ha sido completado correctamente antes de pasar al siguiente, ya que un error en uno de ellos hará que el resto del análisis no sirva para nada, y tengamos que volver a empezar. Así que dedícale su tiempo, y no corras.

IMPORTANTE: Es requisito de la norma ISO 27001 2017, que se guarden evidencias de la valoración de los riesgos. Así que deberemos documentar: cómo y porqué se fijaron los criterios, cómo realizamos la identificación de los riesgos, y el análisis y evaluación de los mismos. Estas evidencias se incluirán como parte de la información documentada del Sistema de Gestión de la Seguridad de la Información, con lo que ello conlleva.

Tema 13. Los Objetivos de Calidad para la norma ISO 9001 2015

Uno de los requisitos de la norma ISO 9001 2015, es la necesidad de definir Objetivos de Calidad. Estos Objetivos son una de las herramientas clave que garantizan la mejora continua del Sistema de Gestión de la Calidad, y son una buena oportunidad para que la Dirección muestre su liderazgo y compromiso con la organización.

Los Objetivos se pueden definir para diferentes niveles dentro de la empresa. Desde Objetivos globales alineados con la estrategia de la organización, hasta Objetivos asociados a un proceso concreto. Una buena fuente de inspiración para definir nuevos Objetivos en un periodo, es el análisis de Riesgos y Oportunidades realizado previamente.

Las características que deben cumplir nuestros Objetivos del Sistema de Gestión de la Calidad, son:

1. Adecuados: Deben de ser coherentes con la Política de Calidad y los requisitos del Sistema de Gestión, así como con el Contexto actual de la empresa.
2. Exigentes: Los Objetivos deben suponer un reto y un esfuerzo a la organización. No es suficiente marcar objetivos que sin realizar ningún tipo de acción extraordinaria vayan a ser conseguidos. Garantizando de esta manera la mejora continua que pide la norma ISO 9001 2015.
3. Cuantificables: Deberemos poder, de manera objetiva, valorar si se han logrado o no los objetivos propuestos, evitando de toda opinión o valoración subjetiva. Por ejemplo: “La mejora de la satisfacción de los clientes” es completamente subjetivo, pero “Mejorar en más de 1 punto la valoración media de satisfacción de los clientes”, ya no lo es.
4. Comprensibles: Los Objetivos de Calidad deben ser comunicados dentro de la organización, y por tanto deben ser entendibles por todos.
5. Medibles: De manera periódica deberemos chequear que las acciones realizadas van siendo efectivas, y nos acercamos a conseguir el objetivo final marcado. Para ello, necesitaremos poder medir el Objetivo en periodos intermedios y ver que su evolución es la correcta.

IMPORTANTE: Los Objetivos no tienen por qué estar todos definidos para el mismo periodo de tiempo. Dependiendo de los recursos necesarios y su disponibilidad, podemos fijar Objetivos a tres años vista o para pocos meses. Eso si, deberemos realizar un seguimiento de los mismos de manera periódica. Una buena práctica es realizar dicha monitorización con carácter trimestral o cuatrimestral.

Algunos ejemplos de Objetivos para Sistemas de Gestión de la Calidad que cumplen la norma ISO 9001 2015, son los relacionados con:

1. Mejorar el nivel de satisfacción de los clientes u otras partes interesadas.
2. Reducir el número de No Conformidades del Sistema de Gestión o algún proceso concreto.
3. Aprovechar alguna Oportunidad o reducir algún Riesgo identificado.
4. Reducir el número de reclamaciones de cliente, sanciones o penalizaciones.
5. Mejorar el compromiso y motivación de los trabajadores.
6. Reducir el número de No Conformidades asociadas a los Proveedores.

RECOMENDACIÓN: Pese a que la norma ISO 9001 2015 no fija ningún criterio al respecto, suele ser recomendable definir un mínimo de 3 Objetivos para cada periodo. Por el contrario, fijar más de 10 Objetivos el mismo año, puede ser contraproducente. Al dispersar en demasía los esfuerzos, obteniendo resultados mediocres. Se hace bueno el dicho: “Mejor pocos y buenos, que muchos y malos”.

IMPORTANTE: Es un requisito de la norma ISO 9001 2015, que tanto la definición de los Objetivos como las evidencias del seguimiento de los mismos, deben formar parte de la información documentada de nuestro Sistema de Gestión de la Calidad.

Tema 14. La Gestión del Cambio en la norma ISO 9001 2015

La Gestión del Cambio viene definida en un punto concreto de la norma ISO 9001 2015, concretamente el 6.3 “Planificación de los cambios”, dándole de esta forma una mayor relevancia de la que tenía antes. En versiones anteriores de la norma, la gestión del Cambio estaba integrada de manera transversal en varios capítulos, lo que hacía que no quedase del todo claro los requisitos mínimos que se tenían que cumplir a la hora de realizar cambios sobre el Sistema de Gestión de la Calidad.

Muchos son los motivos por los que se deben realizar cambios en el empresa. Los más frecuentes suelen estar relacionados con: el crecimiento de la empresa (cambios estructurales y departamentales, despidos, fusiones…), cambios estratégicos (nueva Dirección en la empresa, nuevas líneas de negocio, nuevos mercados…), o nuevos requisitos legales. En todas estas situaciones se realizan cambios, que si no se realizan de manera controlada, puede suponer un elevado riesgo para la organización.

Pero el motivo fundamental por el que siempre realizaremos cambios en el Sistema de Gestión de la Calidad, y por tanto debemos saber gestionarlos bien, es el compromiso de Mejora Continua que toda organización debe asumir como propio. Ya que es un requisito de la norma ISO 9001 2015, e incluso debe aparecer recogido en la Política de Calidad.

NOTA: La Gestión del Cambio está más orientada a aquellos cambios predecibles a medio o largo plazo que suceden en la organización. Aquellos en los que el periodo de adaptación es extenso, y se tiene un amplio margen de maniobra antes de actuar. Cuando se produce un cambio imprevisible e inesperado, deberemos aplicar los Planes de Contingencia definidos para estas situaciones (desastres naturales, robos, accidentes…).

La planificación de los cambios

El punto fundamental en la Gestión del Cambio, es realizar un estudio previo antes de comenzar a aplicar los cambios. El resultado de este análisis inicial será una Planificación del Cambio, que deberá reducir al máximo los riesgos que supone dejar de hacer las cosas como siempre.

Para realizar una buena planificación de los cambios, deberemos completar al menos los siguientes puntos:

1. Los objetivos perseguidos: Deberemos tener claros cuales son las metas que queremos alcanzar con los cambios a realizar. Para una vez realizados, ver si se cumplen tal y como lo habíamos previsto.
2. Alcance dentro del Sistema de Gestión: Analizar en qué medida afectan al Sistema de Gestión de la Calidad, y si sobre éste se deberán realizar cambios importantes o no.
3. Planificación de acciones: Para realizar los cambios necesarios, deberemos planificar las acciones a realizar. Fijando plazos de ejecución de cada una de estas tareas, y la compatibilidad y coordinación entre ellas.
4. Riesgos e impactos: Realizar cambios suele llevar asociado asumir algunos Riesgos. Éstos tienen que ser identificados, así como sus posibles impactos en el caso de materializarse.
5. Recursos económicos: Estimar los costes que va a suponer realizar los cambios planificados, es fundamental para no quedarnos cortos y no llegar a alcanzar los objetivos propuestos.
6. Asignación de responsabilidades: Fijar un responsable del Cambio y de su seguimiento, así como de todas las acciones que se realicen durante el proceso, es necesario para evitar incumplimientos de la planificación inicial.
7. Formación de personas: Los cambios suelen llevar asociado el realizar actividades no hechas antes en la empresa, y tareas para las que el personal no está preparado. Hay que tener en cuenta estas deficiencias, antes de comenzar a trabajar.
8. Documentación necesaria: De la misma manera que documentamos un Proceso para evitar errores y desviaciones, deberemos hacer lo mismo con los Cambios.
9. Herramientas de coordinación: Definir que herramientas de coordinación y seguimiento que se van a utilizar, e incluirlas en la Planificación de los cambios, ayudará a identificar las desviaciones a tiempo.
10. Auditoría interna: Todo cambio que afecte de manera significativa al Sistema de Gestión de la Calidad, debería terminar con una auditoría interna del mismo. Como garantía de que los requisitos fundamentales se siguen cumpliendo, y no se han visto afectados por los cambios.

Una vez realizado este análisis, deberemos valorar si el esfuerzo y los riesgos asumidos, serán compensados por el resultado esperado. En el caso de un nuevo requisito legal, donde la aplicación de los cambios será obligada, este estudio nos deberá ayudar a aplicar los cambios imprescindibles de la manera menos intrusiva y con el menor coste posible.

RECOMENDACIÓN: En las empresas no se suele tener definido un proceso específico para la Gestión del Cambio. Así que una buena solución es gestionar dichos cambios como un nuevo Proyecto en empresas de servicios, o como un nuevo Diseño en empresas de fabricación. Evidentemente si esto es posible, y ayuda a mejorar la Gestión del Cambio.

La identificación de Riesgos

Realizar cambios dentro de la organización, siempre supone un riesgo. Dejar de hacer las cosas como siempre, utilizar nueva maquinaria, abrirse a nuevos mercados, cambiar de software… genera incertidumbre entre las Partes Interesadas de la empresa. Identificar bien los riesgos que se deberán asumir, y tomar medidas preventivas para reducirlos y controlarlos, facilitará el proceso de cambio evitando los nervios.

Entre los Riesgos más frecuentes que nos podemos encontrar al aplicar cambios en el Sistema de Gestión de la Calidad, nos podemos encontrar:

1. Incumplimientos legales: Abrir una nueva línea de negocio, vender un nuevo producto, entrar en un nuevo mercado… suelen llevar asociadas nuevas disposiciones legales que deberemos cumplir. No planificarlo a tiempo, puede suponer recibir sanciones económicas de la Administración Pública.
2. Paradas de producción: Cambios en el proceso productivo, adquisición de nuevas máquinas, creación de nuevas líneas de producción, cambio del ERP… pueden generar el detener la producción, total o parcialmente, por un tiempo indeterminado.
3. Accidentes laborales: No tener en cuenta la interacción de los cambios con las personas, puede suponer accidentes laborales serios. Para evitarlo, es crítico garantizar el cumplimiento de la legislación de Prevención de Riesgos Laborales en todo momento.
4. Retrasos con los clientes: Muchos de los problemas que encontremos a la hora de aplicar los cambios, pueden afectar directamente al cliente. Estos riesgos deberán ser tratados de una manera especial, ya que sus consecuencias pueden ser demasiado graves.
5. No cumplir requisitos de norma: Cuando los cambios no son gestionados dentro del Sistema de Gestión de la Calidad, y no participa el personal cualificado en la norma ISO 9001, es fácil olvidar el cumplimiento de algunos requisitos de la norma.
6. Sobrecargas de trabajo: Si no se ha evaluado correctamente la carga de trabajo que supone realizar los cambios a las personas que deben implementarlos, podemos generar embudos que generen estrés en dichos trabajadores y retrasos en la planificación.
7. Boicots internos: Las personas suelen ser reacias al cambio. Así que deberemos tener en cuenta posibles boicots o retrasos generados intencionadamente por algunos trabajadores, para evitar que los cambios se completen.
8. Daños colaterales: Es fácil olvidar las consecuencias que suponen los cambios, en los departamentos y áreas que no participan en la toma de decisiones de los mismos. Por no hablar de las Partes Interesadas que no intervienen, pero pueden verse afectadas.

IMPORTANTE: Todo cambio debería ser aprobado por la Dirección. Y a poder ser, que ésta se implique en el proceso de cambio, reforzando su liderazgo en la mejora continua del Sistema de Gestión de la Calidad. Además de ser evaluado en la Revisión del Sistema de Gestión, donde se analizará si se han alcanzado los resultados esperados, y por tanto los cambios han sido efectivos.

Tema 15. La competencia de los empleados en la ISO 9001 2015

Cuando en la norma ISO 9001 2015 se habla de gestionar la competencia de los empleados, se refiere a garantizar que los trabajadores de la organización tienen los conocimientos, habilidades y experiencia necesaria para realizar el trabajo encomendado. Es decir, que están lo suficientemente preparados y cuentan con la actitud adecuada, para realizar su trabajo de la mejor manera posible.

La gestión de la competencia se suele dividir en tres tareas concretas: identificar los requisitos de cada puesto de trabajo, evaluar que las personas que ocupan dichos puestos son competentes, y finalmente tomar acciones para corregir las incoherencias encontradas.

Determinar las necesidades

El primer paso será definir los requisitos mínimos que deberá cumplir un candidato a ocupar un determinado puesto de trabajo de la empresa. Estos variarán según el nivel de responsabilidad y criticidad del empleado dentro de la organización. Pudiendo ser básicos: desde la capacidad de entender el idioma; hasta otros muy exigentes: como haber realizado diversos másteres oficiales y disponer de un mínimo de años de experiencia.

Suele ser habitual la creación de Fichas de Puesto de Trabajo para cada uno de ellos, donde se definen todos estos aspectos. Las cuales formarán parte de la información documentada del Sistema de Gestión de la Calidad, y en ellas se suele indicar los requisitos mínimos relacionados con:

1. Titulaciones: La titulación exigida para un puesto de trabajo, puede ir desde disponer de un título básico de educación primaria, hasta haber realizado másteres de especialización en un determinado campo. Todo dependerá de la complejidad del trabajo a realizar.
2. Experiencia: Fijar un mínimo de experiencia en un determinado puesto de trabajo o en dicha área, suele ser recomendable y común en las empresas. La experiencia en ocasiones, se utiliza para suplir carencias formativas del candidato. Sobre todo en personas de mayor edad.
3. Habilidades: La personalidad y las habilidades sociales de un empleado pueden ser críticas para un determinado puesto: formadores, personal de atención al cliente o comerciales, deberán disponer de una habilidades sociales determinadas que favorezcan la realización de su trabajo. Evitando problemas a medio o largo plazo.
4. Actitud: Actitudes positivas ante los problemas, dialogantes ante los enfrentamientos o motivadoras, son importantes para aquellos puestos que gestionan personas y requieren ejercer un liderazgo en la organización.
5. Características físicas: Para determinados puestos de trabajo, es habitual que sea requisito el tener unas características físicas determinadas, sin caer en discriminaciones innecesarias. Como pueden ser una altura mínima en el caso de las azafatas de vuelo.

IMPORTANTE: En ocasiones para desempeñar un determinado puesto de trabajo se requiere una titulación oficial concreta, ya que es requerida legalmente para el desempeño de algunas tareas del puesto. Es el caso de los médicos, ingenieros o técnicos de prevención de riesgos a la hora de firmar determinados documentos e informes: recetas, adecuación de instalaciones o evaluaciones de riesgos.

NOTA: Se debe garantizar también la competencia del personal externo que participe en los procesos del Sistema de Gestión de la Calidad. Y deberá chequearse como si de un trabajador propio se tratase. Es habitual, el solicitar al auditor de certificación su formación y experiencia para garantizar que se cumplen los mínimos fijados para el rol de auditor dentro del Sistema de Gestión.

Revisar el cumplimiento

Una vez fijados los requisitos mínimos que deben cumplir los trabajadores que ocupen un determinado puesto de trabajo, toca chequear que los empleados que los ocupan en la actualidad, los cumplen. Para ello deberemos disponer de sus titulaciones académicas, su currículo con su experiencia previa en otras empresas, y su recorrido dentro de la organización.

Esta tarea que a primera vista puede parecer sencilla, se suele complicar debido a que: el personal no dispone de los títulos o no los encuentra, tiene el currículo desactualizado, o no los quiere presentar por otros motivos. Así que solicitar dicha documentación debe ser uno de los pasos iniciales en la implantación del Sistema de Gestión de la Calidad, para evitar retrasos en la planificación.

IMPORTANTE: Es requisito de la norma ISO 9001 2015, que dichos documentos formen parte de la información documentada del Sistema de Gestión de la Calidad, así que deberemos guardar evidencias del cumplimiento de todos estos requisitos fijados para cada puesto.

NOTA: En ocasiones, para evitar que una persona no sea adecuada al puesto de trabajo que ocupa, se define el puesto acorde a su formación y experiencia. Esta mala práctica no garantiza cumplir la norma ISO 9001 2015, ya que los requisitos del puesto de trabajo deben estar alineados con los objetivos de los procesos en los que interviene. Y de no ser así, son razón de ser no conforme.

Realizar acciones

En los casos particulares que no se cumplan los requisitos prefijados, deberemos tomar acciones para corregir estas carencias. Las acciones más habituales, son:

1. Cursos de formación: Las formaciones que pueden ser internas o externas, suelen tratar aspectos técnicos u organizativos, y otras disciplinas como la gestión del tiempo o de personas.
2. Mentorizaciones: Todo curso de formación debería ir acompañado de una buena tutorización, que ayude al alumno a consolidar los conocimientos adquiridos, resolver cualquier duda que surja, y tener la confianza de que su trabajo está siendo supervisado.
3. Planes de carrera: La definición de planes de carrera también es una buena práctica. Ya que garantiza que cada persona estará preparada para asumir sus nuevas responsabilidades cuando así se requiera.
4. Rotación de puestos: El cambio temporal de puesto de trabajo y las rotaciones, evitan la desmotivación de los empleados y mejora su polivalencia, lo que supone una mayor flexibilidad para la empresa a la hora de adaptarse a los cambios.

NOTA: Suele ser bastante habitual que las personas que ocupan un determinado puesto de trabajo, no cumplen los requisitos del mismo, lo cual se puede corregir en la mayoría de casos con formación. Pero cuando la deficiencias van asociadas a la personalidad o actitud del empleado, no queda otra solución que cambiarlo de puesto. Un empleado “quemado” atendiendo el teléfono, sólo puede generar problemas a corto o medio plazo.

El Plan de Formación

La manera clásica de planificar y gestionar todas las acciones formativas necesarias para corregir las desviaciones detectadas en el punto anterior, es a través de un Plan de Formación. Este plan deberá contener la siguiente información:

1. Los objetivos: los objetivos del plan de formación pueden estar relacionados con cubrir las carencias detectadas, pero también con: preparar al personal para una nueva línea de negocio, un nuevo mercado o un cambio en la estrategia de la organización.
2. Los plazos: todas las acciones deberán tener plazos de ejecución, para evitar que queden pendientes eternamente.
3. Los recursos: si no se dispone de recursos humanos y económicos, será muy complicado llevarlas a cabo. Así que fijar un presupuesto para cada acción, así como la aprobación de la Dirección del presupuesto final, son tareas a realizar.
4. Los responsables: asignar un responsable a cada acción, evitará que las acciones no se realicen porque nadie hizo nada, evitando que éstas queden en el olvido. El responsable podrá delegar tareas, pero nunca la responsabilidad de la ejecución de la acción.
5. La evaluación de la eficacia: Las formaciones, una vez realizadas, deberá evaluarse si han sido eficaces y si han servido para lo que fueron pensadas. El que se haya realizado la acción según lo previsto, no garantiza que sea útil para la organización. Esto nos ayudará a mejorar este proceso en el futuro.

IMPORTANTE: Se recomienda que los Planes de Formación sean siempre aprobados por la Dirección de la empresa. Lo que le dará la importancia que merece, y fortaleciendo el liderazgo y compromiso de la Dirección dentro de la organización.

NOTA: Un Plan de Formación puede ser planificado para uno o varios años, y suele coincidir en ciclo con el Plan Estratégico de la empresa. Planes formativos a muy largo plazo suelen ser ineficaces, ya que los cambios de contexto y estratégicos, los suelen hacer poco útiles.

Tema 16. La Información Documentada en la norma ISO 9001 2015

Uno de los cambios más significativos de la norma ISO 9001 2015 respecto a su versión de 2008, es el uso del concepto de Información Documentada para referirse a los Documentos y Registros de las normas anteriores. En realidad, no es un simple cambio de nombre, sino una ampliación del concepto, eliminando limitaciones y abriendo mucho más las opciones de gestión a las organizaciones.

Ahora las empresas pueden gestionar su información como deseen, sin la obligación de tener que crear documentos y registros que no les servían para nada, sólo para cumplir la norma. Intentando eliminar la idea de que certificarse en la ISO 9001, es hacer muchos papeles que no sirven para nada. En la versión 2015, se dice adiós a la obligatoriedad de tener un Manual de Calidad y determinados Procedimientos escritos. Siendo cada empresa, la que decide si quiere seguir utilizándolos, u optar por otras posibilidades.

Mientras que los conceptos de Documento y Registro de la norma ISO 9001 2008 iban vinculados de una manera muy directa al soporte papel o algún formato electrónico (word o pdf), la Información Documentada amplia los soportes de la información a otros muy diferentes: aplicaciones informáticas, bases de datos, hojas de cálculo, videos, páginas web, grabaciones de voz, presentaciones, fotografías… Prácticamente cualquier soporte es adecuado, siempre que cumpla su finalidad.

Por ejemplo: mientras que antes para guardar evidencias de que una actividad se realizaba, se tendía a rellenar un registro en papel, y a ser firmado y fechado por la persona que realizaba el trabajo. Ahora con una simple foto de un teléfono móvil, puede ser suficiente para evidenciar que la tarea se ha realizado de manera correcta. Ya que el teléfono es personal y está protegido por contraseña, lo que evidencia quien ha validado el trabajo, la imagen es fechada automáticamente por el dispositivo, y en la imagen se aprecia que se cumplen los requisitos prefijados. De esta manera, estamos cumpliendo los requisitos de la norma ISO 9001, y agilizando el registro de evidencias.

Información Documentada: Creación, actualización y control

Como sucedía con los Documentos y los Registros en la norma ISO 9001 2008, la Información Documentada al ser elaborada se garantizará que es correcta y adecuada. Y por tanto que cumple unos requisitos mínimos antes de ser utilizada y publicada, o poder ser considerada una evidencia:

1. Su identificación única y descriptiva: La Información Documentada tiene que ser fácilmente identificable de manera inequívoca. Por medio de códigos semánticos, títulos descriptivos, fechas de publicación, números de referencia…
2. Su formato y el soporte que la contiene: Su formato y su soporte deben ser adecuados a su propósito. Por ejemplo, de poco servirá un procedimiento escrito, si no está en el idioma de todos sus usuarios. O en formato electrónico, si el empleado que no necesita no tiene acceso a un dispositivo que lo permita consultar.
3. Disponible donde sea necesaria: Es importante que se encuentre accesible en los lugares que se necesite. Por ejemplo, evitando que la falta de conexión a internet, impida su consulta en el lugar y momento necesario.
4. Protegida de malos usos y borrados: Se deberán aplicar medidas de seguridad suficientes para garantizar que dicha información no se corrompe, ni se elimina, ni se difunde sin control.
5. Controlar los cambios: La información documentada cambia para adaptarse a nuevos requisitos o mejorar su eficacia. Lo que nos obligará a controlar los cambios que se le realicen.

Y para asegurar que es apropiada para la finalidad que ha sido creada, deberá ser revisada y aprobada antes de su uso. Estos requisitos se deberán cumplir y garantizar, también, en las actualizaciones y cambios de la misma.

Es también un requisito de la norma ISO 9001 2015, la necesidad de identificar y controlar la información documentada externa. Como puede ser la legislación aplicable, los pliegos de condiciones de los clientes, o los manuales de uso y mantenimiento de los equipos de medición.

Información documentada exigida por la norma ISO 9001

La norma ISO 9001 2015, dentro de sus diferentes capítulos, sigue exigiendo que una determinada información del Sistema de Gestión de la Calidad esté documentada, entre la que destaca:

1. El Alcance del Sistema de Gestión: Se trata de una información clave para entender a la organización, y lo que espera de la gestión y certificación de la norma ISO 9001 2015.
2. La Política de Calidad: Fija el marco de referencia para el desarrollo del Sistema de Gestión en la organización. Fija los compromisos de la Dirección, y las líneas estratégicas fundamentales que se deben seguir.
3. Los Objetivos de Calidad: Un sistema de mejora continua sin Objetivos, impide valorar si el trabajo y las inversiones realizadas han sido adecuadas. Objetivos cuantificables y nada subjetivos, evitarán interpretaciones y malos entendidos.
4. Los riesgos y Oportunidades a tratar: Tanto su trazabilidad de cómo fueron identificados a través del análisis del Contexto. A cómo fueron evaluados, y los criterios que se utilizaron para seleccionar los que se debían tratar.
5. Los Procesos: Deberemos disponer información de los mismos (entradas, salidas, responsabilidades…), y evidencias de su correcto funcionamiento (seguimiento).
6. Los Requisitos: Disponer de los requisitos legales que le son de aplicación a la organización, así como los subscritos con otras Partes Interesadas. Así como de sus evaluaciones de cumplimiento.
7. La capacitación técnica y humana: Evidencias de que la empresa cuenta con el persona capacitado para el desarrollo de sus trabajos. Y lo mismo para las máquinas, equipos de medida, o instalación que incluya en la Calidad de los productos.
8. Los resultados del seguimiento: Evidencias de la realización del seguimiento periódico exigido por la norma ISO 9001, así como de las mediciones realizadas, y del análisis y evaluaciones hechas.
9. Las No Conformidades: La información y el análisis de las No Conformidades detectadas, así como las Acciones Correctivas aplicadas para que no se vuelvan a producir.
10. Las auditorías: Tanto las auditorías internas como las externas de seguimiento y certificación ISO 9001. Junto a los resultados obtenidos, y su revisión y el plan de acciones correctivas (PAC).
11. Las Revisiones del Sistema de Gestión por Dirección: Incluyendo toda la información de Entrada presentada para la realización del informe, así como las Salidas del mismo. Y su influencia en las decisiones estratégicas del siguiente periodo.

En la gestión de la Información Documentada hay dos opciones válidas: la primera es la de documentar y guardar evidencias de todo, eliminando poco a poco todo aquello que no aporte información valiosa a la gestión. Y la de limitarse únicamente a documentar la información exigida por la norma ISO 9001 2015, e ir ampliándola conforme se detecten carencias significativas. Nosotros recomendamos siempre esta segunda opción, por ser más eficiente y reducir el trabajo inicial de implantación del Sistema de Gestión.

Tema 17. La gestión de los documentos ISO

La documentación ISO es una de las tres patas fundamentales que dan Apoyo al Sistema de Gestión, junto a las Personas y la Infraestructura de la organización. Los documentos ISO sustentan toda la información que necesitamos para trabajar en el día a día. Desde los pasos a seguir para realizar una tarea, explicar la configuración y mantenimiento de una máquina, o guardar evidencias de que los controles de calidad se han realizado con éxito.

Pese a que desde la publicación de la norma ISO 9001 versión 2015, se comenzó a hablar de Información Documentada para incluir otros soportes documentales (software, video, audio, foto…), los documentos ISO siguen siendo la principal forma de documentar los procesos operativos en las empresas. Lo más complicado a la hora de preparar la documentación ISO del Sistema de Gestión, es la de no excederse en la creación de documentos ISO, pero tampoco quedarse corto.

Estructuración de la documentación

Los documentos ISO se pueden estructurar por niveles, dando una jerarquía y estructura a todos ellos. De tal forma que fijaremos dependencias para mejorar el orden y garantizar una distribución correcta de los mismos. La fórmula más habitual, suele ser la siguiente:

1. Nivel 1 – Políticas y Directrices: Son los documentos ISO de más alto nivel en la organización. Donde se fijan las líneas estratégicas y el marco de referencia para el Sistema de Gestión.
2. Nivel 2 – Manuales y Mapa de Procesos: El Manual de Gestión (Calidad, Ambiental, Seguridad…), suele ser el documento que explica de manera general la organización y estructura del Sistema de Gestión de la organización. Se aprovecha para documentar el Alcance del Sistema, y en ocasiones como documento comercial más que operativo.
3. Nivel 3 – Procedimientos y Fichas de proceso: Los procedimientos documentados, tratan de explicar actividades generales o procesos de la empresa. Dan una visión general del proceso, y referencian otros documentos ISO dependientes de ellos.
4. Nivel 4 – Instrucciones Técnicas, Planes de Calidad…: Cuando alguna tarea o actividad requiere una explicación con un mayor nivel de detalle, debido a la complejidad que entraña, se utilizan Instrucciones Técnicas. En este nivel se incluyen también los Planes de Calidad específicos, y manuales de máquinas y equipos.
5. Nivel 5 – Pautas de control, planos, fichas técnicas…: La documentación ISO más sencilla y operativa, pero no por eso menos importante, se agrupa en este nivel. Planos de las instalaciones y máquinas, tablas de referencia, pautas de control de la Calidad, guías visuales, fichas de mantenimiento de máquinas…
6. Nivel 6 – Registros y formatos de registro: Todo documento ISO que utilicemos para guardar la evidencia de que una acción, tarea o actividad ha sido realizada, será un Registro. Y el control de los formatos de registro, estarán también incluidos es este último nivel.

Un error muy común, es pensar que las normas ISO consisten en “hacer papeles”. Y hay una tendencia muy habitual, en documentarlo todo. Con la idea que contra más documentos ISO tenga el Sistema de Gestión, mejor. Y esto es un grave error, ya que a más documentos ISO mayor riesgo de cometer errores en su gestión y tener problemas en las auditorías de certificación.

NOTA: En la actualidad utilizando un software ISO específico, podemos obtener el certificado ISO que necesitemos sin hacer prácticamente ningún documento. Ganando en eficacia y eficiencia; simplificando el mantenimiento y la mejora continua; y ahorrando mucho trabajo, tiempo y dinero.

Las normas ISO, establecen requisitos a la hora de gestionar la Información Documentada del Sistema de Gestión. Y a continuación veremos los más críticos e importantes a cumplir.

Creación, revisión y aprobación

En el punto 7 de la norma, se fijan los requisitos a la hora de crear y actualizar la información documentada, y por tanto los documentos ISO. Además de los requisitos previos a su publicación y distribución, como son su revisión y aprobación.

1. Identificación: A través de un título o código único, cada documento ISO debe estar claramente identificado dentro del Sistema de Gestión. Para evitar errores de uso, y facilitar su localización.
2. Revisión: Antes de su aprobación, los documentos ISO deberán ser revisados. Esto implica, que una persona con un nivel mínimo de conocimiento de lo indicado en el documento, verifique su contenido.
3. Aprobación: Antes de su publicación, los documentos ISO deberán ser aprobados. Esto significa, que una persona con un nivel de responsabilidad suficiente revise el documento, y apruebe su contenido antes de ser publicado.

NOTA: En muchas ocasiones, la misma persona revisa y aprueba un documento ISO. Lo cual no es lo recomendable, pero en las pequeñas empresas suele ser habitual. Esto será correcto, siempre que dicho trabajador tenga los conocimientos técnicos y operativos suficientes para verificar el contenido. Y la autoridad suficiente para aprobar dicho documento ISO.

Distribución, protección y control

Los documentos ISO deben ser adecuadamente distribuidos y controlados, para que estén accesibles a las personas que los necesiten, en el lugar y momento que los requieran. Además de estar protegidos, para evitar un mal uso de los mismos, una pérdida o robo, y garantizar su confidencialidad.

Algunas medidas de control, que deberíamos aplicar a nuestros documentos ISO, son las siguientes:

1. Distribución: Al publicar un nuevo documento ISO o sacar una nueva versión de uno existente, deberemos distribuirlo de manera adecuada para garantizar la disponibilidad y el acceso de las personas que lo necesitan.
2. Comunicación: En ocasiones la distribución es sencilla, ya que se comparte dentro de la carpeta del servidor. Pero la comunicación, para que todos los implicados conozcan los cambios del documento ISO o su publicación, puede ser más complicada.
3. Acceso y uso: Un distribución masiva y sin control, puede hacer que determinados documentos queden expuestos a personas que no los deberían conocer. Limitar y controlar el acceso a la información es otra medida que deberemos aplicar.
4. Preservación: La documentos ISO en formato electrónico se puede borrar o manipular; y los documentos en papel, se pueden perder, estropear o eliminar por error. Tomar medidas para que los documentos ISO sean igual de accesibles y legibles que el primer día, es otro control a aplicar.
5. Conservación: Los registros que guardan evidencia de los controles aplicados, y los documentos ISO obsoletos que nos recuerdan como se hacían las cosas en un determinado momento, deben ser conservados de manera correcta y estar a disposición para su consulta.

NOTA: la documentación externa que sea necesaria para el correcto funcionamiento del Sistema de Gestión, deberá ser tratada de la misma manera que los documentos ISO propios. Siendo identificada, distribuida y controlada de manera correcta. Algunos documentos externos habituales son: manuales de máquinas y equipos, documentación de clientes y proveedores, fichas de seguridad de productos químicos…

Tema 18. La Declaración de Aplicabilidad en la norma ISO 27001 2017

La Declaración de Aplicabilidad de la norma ISO 27001, es una relación completa de Controles de Seguridad de la Información, donde se indica si cada uno de ellos resulta de aplicación o no a la organización. Los Controles serán considerados aplicables según la actividad, el gestión interna y el entorno de la empresa. En cada caso, se deberán detallar los motivos por los que se aplica o no dicho Control, y tener información de su estado de implantación.

La necesidad de crear una Declaración de Aplicabilidad se fija como requisito en el punto 6.1.3 de la norma ISO 27001. En él se indica la obligación de detallar los motivos por los que cada Control se ha incluido en la Declaración de Aplicabilidad, o las razones que tenemos para excluir determinados Controles del Anexo A de la norma ISO 27001.

NOTA: En la Declaración de Aplicabilidad de cualquier organización, al menos deberán aparecer como mínimo todos los Controles contenidos en el Anexo A de la norma ISO 27001. Y también, aquellos Controles exigidos por los clientes o la legislación aplicable, así como los propios de la organización.

Paso 1: Inclusión o exclusión de Controles

Estos son algunos de los motivos por lo que podremos excluir un Control del Anexo A de la norma ISO 27001 en la Declaración de Aplicabilidad:

1. Información no utilizada: Si no gestionamos una determinada información como: los registros de administración y operación (Control: 12.4.3), o de gestión de las capacidades (Control: 12.1.3)… no tiene sentido implementar los controles asociados a ésta, y definidos en el Anexo A.
2. Activos no disponibles: Si no se utilizan dispositivos móviles o portátiles, ya que sólo se dispone de equipos de sobremesa y fijos, no tiene sentido definir Políticas en este sentido (Control: 6.2.1).
3. Actividades no realizadas: Si no hay posibilidad por parte de los empleados de teletrabajar (Control: 6.2.2), o no se desarrolla software propio (Control: 14.2.1)… podrás excluir los Controles asociados a estas actividades.
4. Gestión limitada de equipos: Si no se extrae información sensible ni equipos informáticos fuera de las oficinas, no aplicará los Controles específicos para esta opción (Control: 11.2.6).
5. Información no accesible: Si en la organización sólo se utilizan aplicaciones informáticas comerciales, ésta no es propietaria del código fuente del software que utiliza ni tiene acceso a él (Control: 9.4.5). Lo mismo sucede con las claves criptográficas (Control: 10.1.1).
6. No se comparte información: Si no se comparte información sensible con terceros, como pueden ser: clientes, proveedores o socios, tampoco será de aplicación este Control (Control: 13.2.2).

RECOMENDACIÓN: Pese a no ser un requisito de la norma ISO 27001, es recomendable que la Declaración de Aplicabilidad sea aprobada por la Dirección de la organización. Por un lado refuerza el Liderazgo de la Dirección dentro del Sistema de Gestión de la Seguridad de la Información, y por otro evita malos entendidos o discrepacias con lo que la Dirección desea o espera.

Revisión y actualización

La Declaración de Aplicabilidad es documento vivo, debe ser revisada y actualizada cuando se dé alguna de estas situaciones:

1. Nueva información: Es habitual comenzar a utilizar o disponer de nueva información: cedida por terceros (clientes, proveedores, socios…), relacionada con legislación aplicable, o generada internamente por nuevas actividades. Esto supondrá la necesidad de aplicar nuevos Controles de seguridad.
2. Nuevos activos: La adquisición o sustitución de Activos que contienen o gestionan información, puede suponer la aparición de nuevas Amenazas, y por tanto la necesidad de aplicar nuevos Controles. Los más comunes son el uso de nuevos dispositivos móviles, nuevas tecnologías de comunicación o de nuevos softwares.
3. Cambios organizativos: Los cambios en la organización o los procesos, que suponen un cambio en la gestión de la información, hacen que la aplicabilidad de determinados controles varíe. Por ejemplo: que ahora los comerciales puedan acceder al ERP de manera remota.
4. Cambios en el Contexto: Los cambios en el Contexto o en las necesidades de las Partes Interesadas, puede suponer que un Control pase a ser necesario o no. Ejemplos: un nuevo virus de carácter internacional, un incremento en las temperaturas máximas, un incremento de los robos en la zona…
5. Requisitos de Clientes: Nuestros Clientes pueden demandar la aplicación de determinados Controles a la información que nos ceden para realizar el trabajo encargado. Suele ser habitual cuando trabajamos con datos de sus trabajadores, usuarios o clientes. Y la mayoría de veces se concretan en un Contrato de Confidencialidad.
6. Nueva legislación aplicable: La aparición o modificación de nuevas leyes y reglamentos, o comenzar a trabajar en nuevos mercados, supone la necesidad de cumplir nueva legislación aplicable a la seguridad de la información que gestionamos.

IMPORTANTE: Deberemos llevar un control de versiones de las Declaraciones de Aplicabilidad que vayamos realizando. Identificando los cambios que se realizan, y manteniendo la trazabilidad con las Evaluaciones de Riesgos asociadas a dichos cambios.

NOTA: La Declaración de Aplicabilidad se puede guardar en distintos formatos: siendo Word y Excel los más habituales. Es un documento interno del Sistema de Gestión de la Seguridad de la Información, y por tanto no requiere ser publicado ni distribuido externamente. Sí que es un documento clave para el Auditor de Certificación, que nos lo solicitará en cada una de las auditorías que nos realice.

Tema 19. El Plan de Tratamiento de Riesgos en la norma ISO 27001 2017

Una vez evaluados y seleccionados aquellos Riesgos que consideramos inaceptables, es el momento de aplicar nuevos Controles para reducir su probabilidad e impacto, y convertirlos así en residuales. Primero deberemos determinar que Controles queremos implementar, en segundo lugar planificar su implantación, y por último realizar el seguimiento y valorar los resultados obtenidos. Todo ello formará parte del Plan de Tratamiento de Riesgos de nuestro Sistema de Gestión de la Seguridad de la Información.

La norma ISO 27001 incluye en su Anexo A una completa lista de Controles que deberemos aplicar en nuestro Sistema de Gestión de Seguridad de la Información. Algunos de ellos ya los tendremos implementados, otros deberemos implantarlos en nuestra organización, y algunos no nos resultarán de aplicación. Es una lista de mínimos, por lo que podremos incluir nuestros propios Controles, según los Riesgos que tengamos debido a nuestra actividad y entorno.

IMPORTANTE: El Plan de Tratamiento de Riesgos debe formar parte de la información documentada del Sistema de Gestión de la Seguridad de la Información, ya que es un requisito explícito de la norma ISO 27001.

Paso 1: Determinar los Controles

Todos los Controles del Anexo A de la norma ISO 27001 deberán ser implementados en nuestra organización, a no ser que no nos apliquen. Así que tendremos que revisar uno a uno, indicando si nos aplica o no, y dando las razones de inclusión o exclusión en cada caso. Esta información estará contenida en la Declaración de Aplicabilidad, que es un documento exigido por la norma ISO 27001.

Los Controles que podemos implementar en nuestra empresa, son:

1. Controles del Anexo A: Los controles del Anexo A de la norma ISO 27001 que nos resulten de aplicación. Es una lista de mínimos, por lo que deberemos implantar todos los que sean coherentes con nuestra actividad.
2. Controles de otras fuentes: Otros Controles extraídos de listas oficiales, legislación aplicable u otras normas ISO. Como puede ser los Controles exigidos por la Ley Orgánica de Protección de Datos.
3. Controles propios: Controles personalizados y propios de nuestra empresa, adaptados a su actividad, su entorno y a sus condiciones particulares.

NOTA: En ocasiones se introduce el concepto de Madurez de un Control, que nos ayuda a conocer como de implantado y optimizado está dicho Control en la Organización. El diferenciar entre varias fases de implantación de un Control, nos puede ayudar a implantar aquellos Controles que más tiempo y dinero requieren. Definiendo acciones anuales que nos ayuden a alcanzar un nivel superior de madurez, y que al cabo de varios años garantizará que el Control estará en su nivel óptimo.

Paso 2: Planificar y aprobar

Una vez tengamos claro los Controles que tenemos que implantar en nuestro Sistema de Gestión de la Seguridad de la Información, es el momento de planificar como lo vamos a hacer. No todos los Controles son igual de fáciles y rápidos de aplicar, y muchos pueden llevar asociados gastos de material o la subcontratación de servicios.

Un Plan de Tratamiento de Riesgos, deberá contener al menos:

1. Los objetivos: Por un lado definiremos el Objetivo del Plan de Tratamiento de Riesgos, que siempre estará asociado a reducir los riesgos a niveles aceptables para la organización. Y por otro lado los objetivos particulares de cada Control, que variarán en cada caso.
2. Plazos de ejecución: El plazo de ejecución del Plan de Tratamiento de Riesgos, vendrá fijado por las acciones y tareas que contenga. Asi que los Controles más complejos de implantar, serán los primeros en abordar, y los que determinarán cuando finaliza el Plan.
3. Responsables: Toda acción o tarea definida en el Plan de Tratamiento de Riesgos deberá tener un Responsable. Lo habitual es asignar un Responsable por cada Control a implantar o mejorar, que se preocupe de cumplir los plazos y alcanzar los objetivos fijados para dicho Control.
4. Presupuestos y recursos: Todas las Acciones definidas incluirán horas de dedicación de personal propio de la empresa, que deben ser cuantificadas y valoradas. Pero otras acciones requerirán la compra de equipos o subcontratación de servicios, que hay que tener muy en cuenta.
5. Indicadores y métricas: Quizás sea el punto más complejo de definir, dado que encontrar una métrica objetiva que nos ayude a determinar si se ha alcanzado el objetivo esperado, con la implantación u optimización de un determinado Control, no suele ser fácil. La norma ISO 27004, nos puede ayudar en esta complicada labor.

Es un requisito de la norma ISO 27001 2017, que los Propietarios de los Riesgos aprueben el Plan de Tratamiento de Riesgos. Y por tanto, acepten los riesgos residuales que quedarán pendientes de tratar, al considerarse aceptables. También es importante que lo haga la Dirección de la empresa, dado que se incluye presupuestos de gasto que deberán ser compatibles con el Plan Financiero de la organización.

NOTA: El Plan de Tratamiento de Riesgos puede ser definido para uno o varios años, pero no es conveniente dilatarlo demasiado. Dado que los cambios en el Contexto de la organización, pueden generar nuevos Riesgos que se deberán priorizar según la evaluación de los mismos. Lo que puede suponer cambios importantes en el Plan de Tratamiento de Riesgos, y dejar acciones sin terminar de implementar. Suele ser habitual hacer al menos una valoración de los Riesgos, y por tanto un Plan de Tratamiento de Riesgos, cada año.

Tema 20. La Continuidad del Negocio en la norma ISO 27001

La gestión de la Continuidad del Negocio, forma parte de la lista de Controles incluidos en el Anexo A de la norma ISO 27001 2017. Como su propio nombre indica, trata de garantizar que la organización pueda sobrevivir ante un acontecimiento que pueda poner en riesgo su futuro. Se trata de un control costoso de implementar, ya que deberemos definir planes de contingencia, implementarlos en la organización y probar regularmente su correcto funcionamiento.

Los mismos acontecimientos no afectan de la misma manera a unas u otras empresas, ya que su actividad y los requisitos de sus clientes, hacen que las consecuencias de un mismo hecho sean anecdóticas o muy críticas. Por ejemplo, el incendio del CPD en una empresa de desarrollo informático puede suponerle la ruina, mientras que en un despacho de abogados puede suponer perder unas horas de trabajo.

NOTA: Pese a que la norma ISO 27001 2017, se centra en aquellos desastres que tengan relación con la información crítica de la organización. Existe una norma específica, la ISO 22301 Continuidad de Negocio, que amplía el ámbito de aplicación a otros factores y activos.

Posibles sucesos

El primer paso siempre será identificar todos aquellos sucesos naturales o no, relacionados con los Activos de información, cuyas consecuencias puedan poner en serio riesgo la continuidad del negocio. Dado que su impacto en la relación con los clientes, o sus costes económicos, podrían hacer que la empresa llegase a cerrar.

1. Falta de acceso a la organización: Fuertes nevadas, cortes de carreteras, terremotos… pueden hacer que los empleados no puedan acceder a las instalaciones de la empresa. Y por tanto, que la empresa detenga su actividad temporalmente.
2. Caída de las comunicaciones: La caída de internet o la conexión telefónica, puede provocar una falta de comunicación con los clientes que en un determinado momento puede ser crítica.
3. Paradas de producción: Las huelgas de los trabajadores o posibles boicots, pueden suponer paradas de la producción. Y no cumplir los compromisos acordados con los clientes.
4. Pérdida de información: Las consecuencias de un virus informático o del secuestro de la información (ramsonware), pueden poner en manos de terceros la continuidad de la empresa.
5. Pérdida de equipos: La rotura del CPD o el robo de equipos informáticos, pueden suponer un riesgo demasiado elevado. No por su valor económico, sino por la información que contienen y las consecuencias de perderla.
6. Pérdida de las instalaciones: Los incendios accidentales o provocados, los sabotajes de personal externo o interno, o alguna catástrofe natural, puede suponer la pérdida de edificios completos. Y de todo lo que en ellos está contenido.
7. Pérdida personales: Las muertes por accidente de empleados clave, son sucesos siempre olvidados. Nos tenemos que hacer preguntas como: ¿Qué pasaría si muere el gerente en un accidente de tráfico?

Planes de contingencia

Los planes de contingencia son la herramienta clave para garantizar la continuidad del negocio, por lo que su creación debe ser realizada con gran precisión y detalle. En ellos se definirán todos los protocolos y acciones a realizar en el caso de que uno de los sucesos se produzca, y ponga en riesgo la continuidad del negocio. Posteriormente los simulacros deberán ayudarnos a corregir errores y mejorar los resultados, enfocados en recuperar el estado de normalidad lo antes posible.

Los pasos a realizar para definir los planes de contingencia, son los siguientes:

1. Paso 1: Asignar responsabilidades: El primer paso será determinar la persona responsable de: definir los planes, seleccionar al personal, y mejorar continuamente los resultados.
2. Paso 2: Definir los planes de contingencia: A continuación se crearán los Plan de Contingencia para cada uno o un conjunto de posibles acontecimientos adversos. El uso de flujogramas y mapas de las instalaciones, son básicos para crear los primeros bocetos de los protocolos.
3. Paso 3: Comprar material y equipos: Disponer de servidores de contingencia en otras ubicaciones, routers y cableado para poder crear una red provisional, y equipos de sustitución… suelen ser habituales en los planes de contingencia.
4. Paso 4: Formar al personal de intervención: Con los planes de contingencia definidos y el material de intervención adquirido, ya podemos formar a las personas que integrarán el equipo de intervención. En la mayoría de ocasiones formado por el personal del departamento informático y mandos intermedios.
5. Paso 5: Realizar simulacros: Es el momento de probar si los planes de contingencia son adecuados y están bien implantados. Ver que el personal los ejecuta correctamente, que no falta material y éste es el adecuado, y que los protocolos son eficaces.
6. Paso 6: Mejora continua: Los planes de contingencia deben ser optimizados y mejorados cada año, y centrarse en reducir el tiempo de recuperación al estado de normalidad anterior al suceso Éste suele ser el indicador más utilizado para controlar la mejora continua de los planes de contingencia.

RECOMENDACIÓN: Lo mejor es comenzar por planes de contingencia muy sencillos y fáciles de realizar, mejorándolos en los años posteriores con protocolos más complejos que reduzcan los tiempos de recuperación y mejoren los resultados. De esta manera, evitarás que los equipos de intervención se desmotiven al obtener malos resultados en los primeros simulacros.

NOTA: Los simulacros son fundamentales dentro del proceso para garantizar la continuidad del negocio. En ellos, se detectan detalles que hacen que dichos planes lleguen a un punto de bloqueo y no se puedan terminar de ejecutar. Los más habituales son por falta de llaves o contraseñas de acceso a determinados recursos, en un momento determinado de la ejecución del plan.

Tema 21. Los Indicadores en la norma ISO 9001 2015

La definición de los Indicadores del Sistema de Gestión de la Calidad en la implantación de la norma ISO 9001 2015, es una tarea importante y bastante urgente, pero a su vez muy complicada. La creación de los Indicadores es prioritaria ya que contra antes los definamos, antes comenzaremos a registrar resultados, y antes obtendremos información que utilizar en la definición de Objetivos o en la toma de otras decisiones. A su vez es compleja, ya que encontrar los indicadores apropiados que aporten información realmente útil, y que su cálculo garantice la objetividad necesaria para tomar decisiones según sus resultados, no suele ser sencillo.

Podemos encontrar asociados los conceptos de: KPI (Key Performance Indicator) o indicador clave de rendimiento, al de indicador. Y pese a que en muchas ocasiones se confundan, los KPIs son el subconjunto de los indicadores clave más importantes que se manejan en la organización. Aquellos que suelen ir asociados al cumplimiento de los Objetivos de la empresa, relacionados con los procesos clave, y que forman parte del Cuadro de Mando Integral (Balanced Scorecard) que guía a la Dirección en la toma de decisiones estratégicas.

RECOMENDACIÓN: Normalmente los Indicadores los suele determinar el Propietario del Proceso correspondiente. Y pese a ser una buena práctica, lo ideal es que lo haga conjuntamente con la Dirección. Ya que es la Dirección de la organización la que determina la misión y que espera del proceso, y por tanto en que quiere fijarse para determinar si sus necesidades se cumplen. Esta participación en la definición y seguimiento de los Indicadores, refuerza además su Liderazgo en el Sistema de Gestión.

Las características

A la hora de definir métricas del Sistema de Gestión de la Calidad, deberemos tener en cuenta que todo Indicador del Sistema de Gestión, deberá cumplir las siguientes características:

1. Cuantificables: Los indicadores tienen que ser lo más objetivos posible. Por lo que deberemos evitar aquellos cuya valoración dependa de una valoración personal (ej.:”nivel de satisfacción: alto, medio o bajo”), utilizando aquellos asociados a mediciones numéricas (ej.: “número de reclamaciones: 53”).
2. Comparables: Muchos indicadores son útiles a medio o largo plazo, cuando tenemos un histórico de datos para poder comparar. Definir bien los indicadores desde el principio, nos ayudará a no tener que redefinir el indicador en un futuro, y perder toda la información registrada.
3. Útiles: Un error muy común es definir indicadores que no aportan ningún valor, y sólo suponen trabajo a la hora de ser calculados y actualizados. Es mejor no tener indicadores, a tener indicadores malos que nos pueden llevar a confusión y a tomar acciones equivocadas.
4. Reproducibles: Cualquier persona que calcule el valor de un indicador en un determinado momento, deberá llegar a los mismos resultados. Por lo que una clara definición del indicador y de su forma de cálculo, es fundamental para que sea considerado como apto.
5. Medibles: En ocasiones se definen indicadores que la organización no es capaz de medir por falta de medios técnicos, o que el trabajo que supone calcularlos es mayor a la información que aportan. Automatizar al máximo su cálculo periódico y utilizar las herramientas adecuadas, es fundamental para que el Indicador sea eficaz.

IMPORTANTE: Es muy complicado elegir los indicadores más adecuados durante el proceso de implantación de un nuevo Sistema de Gestión según la norma ISO 9001 2015, dada la gran cantidad de conceptos nuevos a similar y los cambios que se producen en la organización y sus procesos. Así que suele ser habitual modificar o ajustar los indicadores unos meses después de haber comenzado a trabajar con el Sistema de Gestión de la Calidad, para que realmente cumplan las expectativas depositadas en ellos.

Valores de referencia

Un indicador sin valores de referencia, carece de sentido y no sirve para nada. Ya que no aporta información sobre el proceso, al no poder comparar sus valores para conocer su estado o analizar su evolución. Si definir el Indicador no ha sido sencillo, tampoco lo va a ser determinar sus valores de referencia, ya que al principio no solemos disponer de un histórico de datos que nos ayuden en esta tarea.

Por ejemplo: si sólo nos dicen que el número de reclamaciones es de 10 este mes, no sabremos decir si son muchas o pocas, o si es un resultado bueno o malo. Pero si nos dicen que en los últimos años la media ha sido de 5, que el Valor Objetivo es 2 al mes, y que el Valor Límite es de 7, no nos quedará ninguna duda de que es un resultado muy negativo para la organización.

1. Histórico de datos: la primera referencia a utilizar para analizar un Indicador, son los resultados obtenidos en las últimas mediciones realizadas. Si disponemos de los datos necesarios para calcular el Indicador de periodos ya pasados, lo haremos, ya que esto evitará tener que esperar varios meses para tener valores de referencia con los que comparar.
2. Valor Objetivo: se trata del valor que nos gustaría alcanzar en un periodo o momento determinado. Suele ir asociado a un Objetivo del Sistema de Gestión de la Calidad, y disponer de un Plan de Acción con tareas que ayuden a alcanzarlo. Este valor no es obligatorio para todos los Indicadores, pero sí muy recomendable ya que garantiza la mejora continua de los procesos, que es otro requisito de la norma ISO 9001 2015.
3. Valor Límite: fija el valor superior y/o inferior, en los valores obtenidos del Indicador debe encontrarse para considerar que el proceso está bajo control. Se trataría de los LCS y LCI en los gráficos del SPC (Statistical Process Control) en metodologías como 6 Sigma, más orientadas a producción.
4. Hitos de cumplimiento: En ocasiones, cuando se fija un periodo amplio para alcanzar el Valor Objetivo, se determinan puntos intermedios de chequeo que ayuden a garantizar que el proceso está mejorando correctamente. Por ejemplo, si fijamos un Valor Objetivo de 10 reclamaciones de cliente a final de año, podemos determinar un hito máximo de 5 reclamaciones acumuladas en el mes de julio. Y tomar medidas en ese momento, si la desviación es demasiado significativa.

IMPORTANTE: Una de las características que deben cumplir nuestros indicadores, es que sean reproducibles por cualquier persona y en cualquier lugar y momento, y que los valores obtenidos sean siempre los mismos. Para ello, se deberá definir con precisión: la fórmula de cálculo, las fuentes de los datos utilizados, las unidades de medida, si es bueno valores altos o bajos, etc. Esta información se suele incluir en una ficha del Indicador, o en la documentación general del proceso.

RECOMENDACIÓN: Una característica fundamental del Valor Objetivo que fijemos para cada uno de nuestros Indicadores, es que sea un valor exigente. Es decir, que no sea fácil de lograr y por tanto que se requiera de acciones extraordinarias sobre el proceso para conseguir ser alcanzado. Si la propia inercia del proceso predice que dicho Valor Objetivo va a ser obtenido, únicamente haciendo las cosas como hasta ahora y dejando pasar el tiempo, éste no es un Valor Objetivo válido.

Tipos de indicadores

Dependiendo de su misión dentro del Sistema de Gestión de la Calidad, los indicadores más comunes los podemos agrupar en las siguientes categorías según su principal función:

1. Seguimiento de procesos: Se trata de indicadores de proceso orientados a garantizar que el proceso está bajo control, y se cumplen así los requisitos mínimos esperados. Suelen tener definidos Valores Límite para su seguimiento periódico, pero no Valores Objetivo.
2. Cumplimiento de Objetivos: Todo Objetivo de nuestro Sistema de Gestión debería tener asociados uno o varios indicadores de seguimiento. En estos casos determinar un Valor Objetivo es obligatorio, y muy recomendable definir hitos intermedios.
3. Calidad del producto: Toda organización dispone de métricas de control de la calidad de sus productos o servicios, que miden una determinada característica de los mismos, y garantiza así que se cumple un determinado requisito del cliente. En estos casos no suele tener sentido definir Valores Objetivo, ya que la especificación del cliente se debe cumplir desde el primer momento, pero los Valores Límite son obligatorios.
4. Indicadores históricos: Algunos departamentos suelen calcular indicadores propios de manera habitual y desde hace muchos años: financieros, ventas, rotación personal… Que pese a no estar relacionados directamente con el Sistema de Gestión de la Calidad, en ocasiones pueden aportarnos información de alguno de sus procesos. Su gran ventaja es que ya se están calculando, por lo que no suponen ningún trabajo extra adicional; y es fácil que de disponga de un importante histórico de datos, que nos ayudará a analizar su evolución.

RECOMENDACIÓN: Una muy buena práctica es comunicar los objetivos y el seguimiento de los indicadores a todas las personas involucradas en su consecución. Esto facilita la percepción de que el trabajo de todos es importante, y motiva e implica a los empleados. Si esta comunicación la realiza la Dirección, conseguiremos además reforzar su liderazgo dentro de la organización.

IMPORTANTE: Los indicadores históricos indicados en el último punto, son de gran utilidad cuando se implanta un Sistema de Gestión de la Calidad por primera vez en la empresa. Cuando los Indicadores son todos nuevos y por tanto no se dispone de histórico para comparar. Relacionar uno de estos indicadores históricos con alguno de nuestros objetivos o procesos del Sistema de Gestión de la Calidad, supone poder comenzar a analizar información desde el primer mes de funcionamiento.

Indicadores más comunes

Algunos de los indicadores más comunes a utilizar al menos el primer año de funcionamiento de nuestro Sistema de Gestión de la Calidad, y cumplir así los requisitos de la norma ISO 9001 2015, son los siguientes:

1. Reclamaciones de cliente: No sólo se trata de calcular el número de reclamaciones de cliente que se producen cada mes. Sino también podemos analizar: la gravedad de las mismas según sus consecuencias, evaluar el tiempo de respuesta al cliente, o la efectividad de las acciones correctivas asociadas a las reclamaciones.
2. No Conformidades: Seguir el número de No Conformidades de cada uno de los procesos, deberá ser siempre un indicador a tener en cuenta. Pero podemos utilizar otros indicadores relacionados con éste, como: cantidad de producto no conforme, costes y número de reprocesos, evolución de las tasas de defectos, cantidad de desperdicio (metodología LEAN), índices de averías de máquinas, tiempos de reparación y máquina parada…
3. Satisfacción de clientes: Cuando hablamos de analizar la satisfacción de los clientes, se nos vienen a la cabeza las encuestas de satisfacción y el análisis de sus resultados, como indicador del Sistema de Gestión de la Calidad. Pero tenemos otros indicadores indirectos muy interesantes y fáciles de calcular como: los tiempos de repetición de compra, índices de fidelización, tasas de nuevos clientes, incremento de facturación por cliente, etc.
4. Evaluación de proveedores: Evaluar a los proveedores de productos y servicios de manera periódica, es un requisito de la norma ISO 9001 2015. Los indicadores asociados a este trabajo estarán asociados a: las no conformidades de cada proveedor, su nivel y calidad de respuesta ante las incidencias, los resultados de las evaluaciones periódicas…
5. Capacitación del personal: Los empleados son una Parte Interesada más del Sistema de Gestión de la Calidad, y por tanto podremos seguir su nivel de satisfacción por medio de indicadores como: la tasa de absentismo, el nivel de concienciación por medio de encuestas, el índice de rotación, su índice de satisfacción, la efectividad de la formación y la contratación.
6. Relacionados con los Objetivos: Cada uno de los Objetivos del Sistema de Gestión de la Calidad, deberá tener asociados uno o varios indicadores de seguimiento. Estos pueden ser nuevos y calculados específicamente para el Objetivo, o utilizar los ya definidos en los procesos para obtener información del cumplimiento del Objetivo.

RECOMENDACIÓN: En algunas organizaciones se definen como indicadores de seguimiento de procesos, algunas métricas puramente económicas que pueden llevar a engaño: la facturación, el beneficio neto, la reducción de costes, etc. Un incremento de la facturación puede llevar asociado un incremento de la producción, y éste hacer que se sobrepasen las capacidades máximas de algunos procesos, con la consecuente pérdida de calidad de nuestros productos. Y deberse este incremento de las ventas únicamente a un aumento de la demanda en el mercado, y no a que estemos haciendo las cosas bien.

IMPORTANTE: Es habitual que se mantengan determinados indicadores que no aportan ninguna información al Sistema de Gestión, únicamente para presentados al auditor el día de la auditoría. Deberíamos evitar este tipo de prácticas, que sólo ayudan a que los empleados piensen que Sistema de Gestión sólo sirve para conseguir un certificado. Es más justificable indicar que no se dispone de indicador porque se está buscando el idóneo, a presentar uno con datos incorrectos o que no se toma en cuenta para ninguna decisión.

Tema 22. La Mejora Continua en las normas ISO

Pese a ser el último requisito que aparece en las normas ISO, la Mejora Continua es quizás el principio clave y fundamental de los Sistemas de Gestión. El que hace que éste se convierta en una herramienta realmente útil, y no sólo un requisito más de control. La propia norma ISO, lo fija como uno de los compromisos que la Dirección debe asumir dentro de la Política del Sistema de Gestión, lo que nos marca su importancia dentro de la norma.

En las normas ISO, se define la Mejora Continua como: “el conjunto de actividades cíclicas, dirigidas a mejorar la capacidad de la organización a la hora de cumplir los requisitos”. Entendiendo como requisitos, todos aquellos asociados a las Partes Interesadas de la organización (Clientes, Administraciones Públicas, trabajadores…), y como actividades las que pide la propia norma (Objetivos, Auditorías, Revisión del Sistema de Gestión…) u otras que se puedan realizar adicionalmente.

Hablar de Mejora Continua, es hablar de identificar No Conformidades y aplicar Acciones Correctivas. Dos actividades que pueden parecer menores en comparación con otros requisitos de la norma, pero críticas para que otras herramientas del Sistema de Gestión sean eficaces. Una mala gestión de ambas, hace que las Auditorías y las Revisiones del Sistema de Gestión por Dirección sean engañosas. Y por tanto, que los Objetivos del Sistema de Gestión para el siguiente año, no sean los adecuados.

NOTA: Hacer una gestión de las No Conformidades y las Acciones Correctivas eficaz, transformará el Sistema de Gestión en una herramienta útil para la empresa. Conseguir una gestión de las No Conformidades y las Acciones Correctivas eficiente, la convertirá en la actividad más rentable para la organización.

El Ciclo de Deming

El Ciclo de Mejora Continua o Ciclo PDCA (PHVA), es un ciclo periódico sin fin. Un conjunto de actividades que nos deben ayudar a mejorar todos los años el Sistema de Gestión. Y que no permitirá que nos conformemos o nos relajemos en el futuro.

El Ciclo de Mejora Continua se divide en cuatro fases claramente identificadas.

1. Plan (Planificar): En esta primera fase planificaremos: las acciones a realizar, los recursos disponibles, los responsables de cada tarea, los plazos de ejecución… Pero sobre todo, los objetivos que se esperan alcanzar al aplicar los cambios.
2. Do (Hacer): Ahora es el momento de ejecutar las acciones planificadas. Por muy buena que sea la Planificación, en esta fase deberemos revisar periódicamente su estado de ejecución, el cumplimiento de lo planificado, y aplicar correcciones en el caso de encontrar desviaciones.
3. Check (Verificar): Una vez implementados todos los cambios planificados, es el momento de comprobar que se cumplen los objetivos que fijamos inicialmente. No sólo que la planificación inicial se ha realizado según lo previsto, sino que los cambios realizados han sido eficaces.
4. Act (Actuar): Según el resultado de la verificación anterior, es el momento de decidir si estamos satisfechos con los resultados obtenidos, o si por el contario debemos aplicar nuevas acciones de mejora, y reiniciar el Ciclo de Mejora Continua de nuevo.

RECOMENDACIÓN: La aplicación del Ciclo PDCA, se debe realizar a todos los niveles del Sistema de Gestión: de forma global en el Sistema de Gestión completo con periodicidad mínima anual, y de manera particular en cada uno de los Procesos definidos con periodicidades adaptadas a cada caso. Incluso en las Acciones Correctivas aplicadas para corregir las No Conformidad detectadas, y así garantizar la efectividad de las mismas.

Herramientas de Mejora Continua

Para aplicar la Mejora Continua en nuestro Sistema de Gestión, la norma ISO nos da un conjunto de herramientas para poder llevarla a cabo. Actividades que tienden a menospreciarse por ser sencillas de hacer, pero que realizadas de forma precisa, marcarán la diferencia entre un Sistema de Gestión eficaz y otro que no aporta nada.

Estas herramientas que numeramos a continuación están muy relacionadas entre sí. Por lo que no aplicar alguna de ellas correctamente, hace que las demás pierdan eficacia:

1. Las No Conformidades: Para poder mejorar la organización, el primer paso es ser capaces de identificar los problemas y los errores que suceden dentro del alcance del Sistema de Gestión. Identificar, corregir y guardar evidencias de las No Conformidades de forma ágil y sencilla, será crucial para que funcione esta herramienta.
2. Las Acciones Correctivas: Si identificamos las No Conformidades pero no aplicamos Acciones Correctivas para evitar que vuelvan a suceder, no conseguiremos que el Sistema de Gestión mejore. Sólo habremos corregido los errores en el momento, y éstos posiblemente se vuelvan a repetir en el futuro.
3. Los Objetivos del Sistema de Gestión: Fijar objetivos es otra herramienta fundamental, ya que orientará y dará sentido a todas las acciones de mejora que implementemos durante el año. Y aunque no los lleguemos a alcanzar en el plazo esperado, todo el trabajo realizado habrá supuesto una mejora del Sistema de Gestión.
4. Los Riesgos y Oportunidades: Identificar los Riesgos del Sistema de Gestión y sus procesos, sirve para prevenir que éstos no se conviertan en No Conformidades en un futuro. Aprovechar las Oportunidades, deberá ayudar a alcanzar los Objetivos de mejora de la organización más fácilmente.
5. Las Auditorías internas y externas: Pese a tener sistemáticas y procedimientos para la identificación de No Conformidades que se producen en el día a día. Realizar auditorías internas efectivas, debería ayudar a identificar las No Conformidades que pasaron desapercibidas.
6. La Revisión del Sistema de Gestión: Evaluar al menos una vez al año el desempeño del Sistema de Gestión, de sus Procesos y de todas las actividades que en él se realizan, es clave para poder fijar los objetivos y acciones a realizar en el futuro.

IMPORTANTE: La norma ISO fija como requisito el proporcionar los recursos necesarios para la mejora continua del Sistema de Gestión, por lo que no disponer de tiempo o dinero no será excusa para no implementar las acciones correctivas necesarias. Dependiendo de la situación actual de la organización, estas acciones se deberán priorizar según su criticidad, y las que consideremos menos importantes se podrán retrasar o dilatar en el tiempo.

Tema 23. La No Conformidad en las normas ISO

El primer paso a la hora de gestionar No Conformidades de nuestro Sistema de Gestión, es tener claro que es una No Conformidad y que no. La norma ISO 9001 2015, define una No Conformidad como “el incumplimiento de un requisito”. Una definición bastante breve y amplia a la vez. De una forma más concreta, podemos definir una No Conformidad como “Un error o fallo dentro del Sistema de Gestión, que supone no cumplir alguno de los compromisos a los que la organización está subscrita”.

Estos compromisos pueden ser con sus clientes (requisitos de los pedidos, certificaciones ISO…), con la Administración Pública (cumplimiento legal, pago de impuestos…), con otras partes interesadas (trabajadores, accionistas, proveedores…), o requisitos impuestos por la propia empresa (normas internas, procedimientos propios…).

Cada compromiso que adquiere la organización, se convierte en un Requisito. Y entre los diferentes requisitos que podemos encontrar en nuestra empresa, y por tanto pueden generar una No Conformidad, destacan los siguientes:

1. Requisitos de Cliente: Incluidos todos los que aparecen en: contratos, pedidos, ofertas, catálogos comerciales, publicidad, pliegos de condiciones, mails…
2. Requisitos internos: Todos los procedimientos internos, normas de seguridad, pautas de trabajo, reglamento interno, protocolos de actuación…
3. Requisitos de la norma: Todos los requisitos de la norma, que nos aplican dependiendo de nuestro Alcance y nuestra actividad.
4. Requisitos legales: Incluye la legislación nacional aplicable, y la de aquellos países donde se comercialicen nuestros productos. Requisitos legales relacionados con nuestra actividad, trabajadores, productos y servicios.
5. Requisitos de otras Partes Interesadas: Con los accionistas, empleados, proveedores, población del entorno… podemos tener subscritos compromisos ineludibles que deberemos cumplir.

Una vez claro que es una No Conformidad, vamos a ver cómo detectarlas. Éste suele ser un problema bastante habitual en las organizaciones, donde el número de No Conformidades registradas durante el año, suele ser bastante escaso. Las principales herramientas y fuentes de No Conformidades, son:

1. Auditorías externas e internas: Las auditorías son la principal fuente de detección de No Conformidades del Sistema de Gestión. Eso si, es fundamental hacerlas bien, e instruir al personal de la empresa para que no intenten engañar al auditor.
2. Controles de calidad del producto: En los controles de calidad, intermedios y finales, suelen detectarse muchas No Conformidades. Pero no sólo de producto, sino otras relacionadas con la competencia y concienciación del personal, o errores en los procedimientos de trabajo.
3. Reclamaciones de clientes: La mayoría de reclamaciones de los clientes, van asociadas a No Conformidades asociadas a la mala coordinación entre el departamento comercial y el resto de la organización. Donde los requisitos no fueron bien comunicados, o la capacidad productiva y logística no fue tenida en cuenta.
4. Indicadores de seguimiento: Los indicadores de medición y seguimiento son una herramienta muy útil para la detección de No Conformidades. Eso sí, que los indicadores den valores correctos, no quiere decir que no se estén cometiendo errores.
5. Avisos del personal: Quizás sea la herramienta más potente, y a la vez la más compleja de hacer funcionar. Conseguir que un trabajador notifique un problema, sin miedo a tener consecuencias negativas para él, es el mejor sistema de detección posible.

IMPORTANTE: El no tener No Conformidades, no es sinónimo de que el Sistema de Gestión funciona bien. Si no más bien que no se están registrando, y por lo tanto que el compromiso de Mejora Continua no se está cumpliendo. Una auditoría interna sin No Conformidades, suele deberse a que la auditoría no se realizó correctamente.

No Conformidad de producto

Las No Conformidades de producto son aquellas relacionadas con el incumplimiento de alguno de los requisitos técnicos de nuestros productos: funciones, características, consumos, materiales, peso, color, tamaño… Las más comunes, suelen tener los siguientes motivos:

1. Incumplimiento legal: Se producen sobre todo cuando se comercializan productos en otros países, o se abre una nueva línea de negocio en la empresa que suponen actividades muy diferentes a las actuales.
2. Fallos de producción: Fallos en las máquinas, errores humanos, equipos de medición no válidos… son origen de productos no conformes.
3. Errores de diseño: Un mal diseño del nuevo producto, o una mala industrialización del mismo, puede originar un elevado número de problemas y errores en el momento de fabricarlo.
4. Documentación incorrecta: Erratas en los planos, instrucciones técnicas, pautas de control, flujos operativos… hacen que los trabajadores malinterpreten los documentos y generen errores no intencionados.
5. Falta de control de Calidad: Suelen aparecer estos errores cuando no se realizan los suficientes controles, no se aplican cálculos estadísticos para determinar las muestras, o se producen errores en las mediciones por personal no formado o equipos de medida no calibrados.
6. Cambios en las especificaciones del cliente: Estas No Conformidades son habituales cuando los cambios negociados con el cliente, no son comunicados con suficiente antelación a Producción.

El tratamiento del Producto No Conforme tiene tanta relevancia en la norma ISO 9001 2015, que tiene un apartado completo para fijar los requisitos sobre el mismo. Concretamente el punto 8.7 de la norma. Entre las posibles soluciones para la gestión de los productos no conformes, destacan:

1. Su corrección: se somete al producto no conforme a una reparación o a su reproceso. Para corregir las no conformidades y cumpla todas sus especificaciones.
2. Su identificación y separación: La identificación del producto no conforme por medio de etiquetas o su separación física para evitar confusiones, son algunas medidas a aplicar para evitar errores mayores.
3. Aceptación del cliente: La aceptación del cliente, del producto que no cumple todos los requisitos, es otra opción a valorar. Dejando evidencias claras de dicha aceptación, y de las nuevas condiciones.

No Conformidad de proceso

Las No Conformidades de proceso son las más importantes para garantizar la mejora continua del Sistema de Gestión, y a la vez las que más se tienden a ignorar. Suelen estas asociadas a fallos humanos, y son los mismos trabajadores quienes tratan de ocultarlas o no informarlas por miedo a represalias. Las más comunes, están asociadas a:

1. Plazos de entrega y cantidades: El entregar el producto con retraso o una cantidad diferente a la estipulada, suele ser considerado un error menor. Cuando para el cliente, puede suponer un problema mayor a que éste no cumpla alguna especificación técnica.
2. Incumplimiento de procedimientos: Procedimientos poco operativos, muy farragosos y poco eficientes, hacen que los trabajadores tiendan a no cumplirlos. Una buena concienciación y supervisión, son clave para evitar estas desviaciones.
3. Incumplimiento legal de la empresa: La empresa está sometida a legislación internacional, nacional, regional y local. La cual varía y tiende a incrementarse con el paso del tiempo, lo que genera incumplimientos por una lenta adaptación a los cambios.
4. Empleados no capacitados o concienciados: Suele ser muy común en empresas con alto índice de rotación del personal. Donde no se imparten las formaciones mínimas necesarias, lo que supone un elevado número de errores humanos en el proceso productivo.
5. Equipos de medida inadecuados: El uso de equipos de medición con baja de precisión, no disponer de la cantidad de equipos necesaria, o no realizar un mantenimiento o calibración adecuados. Suele generar errores en los procesos de control de calidad.

IMPORTANTE: El mayor número de No Conformidades de proceso se genera en momentos puntuales, principalmente cuando las prisas y urgencias aparecen por una mala planificación o una sobredemanda. Es entonces cuando el incumplimiento de los procedimientos internos se dispara, para reducir los tiempos de producción, y llegar a los plazos dados. Tampoco suele haber tiempo para registrar las No Conformidades, por lo que no queda constancia de las consecuencias de dicho descontrol.

No Conformidad de proveedor

El primer paso es definir claramente que se considera una No Conformidad de proveedor, y que no. Desde la opción más restrictiva que considera cualquier tipo de incumplimiento por mínimo que sea. U opciones más blandas, donde se registran aquellas que suponen: un incumplimiento con nuestros clientes o costes económicos a la organización (paradas de producción, penalizaciones…). Las No Conformidades de proveedor más comunes, se pueden agrupar en:

1. Artículo erróneo: El proveedor envía un artículo que no corresponde con el solicitado, o que no cumple las especificaciones. Suele ser habitual en productos hechos a medida, o el proveedor deja de comercializar dicho producto y manda el artículo que considera sustitutivo del nuestro.
2. Producto en mal estado: Suele deberse a errores en el almacenamiento o el transporte, o que el proveedor no realiza los controles de calidad necesarios. Suele ser síntoma de una mala Gestión de la Calidad por parte del proveedor.
3. Cantidad incorrecta: Se reciben menos unidades de las solicitadas. Suele ser consecuencia de una falta de stock por parte del proveedor, y suele tener consecuencias en los compromisos con nuestros clientes.
4. Retraso en la entrega: Los retrasos en la entrega, pueden estar motivados por la rotura de stock del proveedor, o por problemas en la logística y el transporte. El segundo caso, suele ser menos grave que el primero.

IMPORTANTE: La selección y evaluación de los proveedores, puede estar condicionada por sobornos o favores al personal que realiza dichas tareas. Implantar controles y normas específicas para gestionar de manera correcta estos problemas, como la norma ISO 37001, suele ser una medida muy eficaz.

NOTA: Cada vez es más común la realización de auditorías propias con personal de la empresa, a los proveedores críticos para la organización. Visitas periódicas anuales con equipos auditores multidisciplinares (gestión, producción, ingeniería…) que ayudan a entender la capacidad productiva y los posibles incumplimientos que dicho proveedor puede generar en un momento dado.

No Conformidad de norma

El incumplimiento de uno de los requisitos de la norma ISO 9001 2015, da lugar a No Conformidades del Sistema de Gestión. Suelen ser habituales los primeros años en los que la empresa se ha certificado, o ante un cambio en la versión de la norma, tendiendo a desaparecer con el paso del tiempo. Los motivos por los que se generan este tipo de No Conformidades, son:

1. Nunca se ha cumplido un requisito: Suele deberse a errores en la implantación del Sistema de Gestión, y suele suponer la aparición de No Conformidades en la auditoría de certificación, que pueden hacer que no se obtenga el certificado.
2. Procedimientos que no se cumplen: Muy habitual en Sistemas de Gestión donde se ha sobreprocedimientado los procesos, y éstos además no son eficientes. Suelen ser síntoma de organizaciones que buscan sólo certificarse, y no la mejora continua de su gestión.
3. Documentación obsoleta no controlada: Suele suceder en Sistemas de Gestión muy procedimentados. Cuando la carga documental y su mantenimiento suponen una elevada carga de trabajo, y los documentos dejan de actualizarse cuando se producen cambios en los procesos. Esto hace que el requisito de control de la información documentada, no se cumpla.

IMPORTANTE: Todas las No Conformidades de norma no son iguales. Mientras que un error en uno o dos registros pueden ser considerados una No Conformidad menor en la auditoría de certificación, el incumplimiento completo de un requisito de la norma será considerada una No Conformidad mayor, y puede suponer la perdida de la certificación ISO.

Tema 24. La Acción Correctiva en las normas ISO

La norma ISO 9001 2015, define una Acción Correctiva como “la acción para eliminar la causa de una No Conformidad y evitar que vuelva a ocurrir”. La propia definición ya nos indica que vamos a tener que identificar las causas de la No Conformidad, realizar las acciones y los cambios necesarios dentro del Sistema de Gestión para que no se repita, y evaluar que realmente estas acciones han sido eficaces.

Es muy importante no confundir el concepto de Acción Correctiva, con el de Corrección de la No Conformidad. La Corrección se define por la norma ISO 9001 2015, como “la Acción para eliminar una No Conformidad detectada”. Es decir, corrige el problema actual de la No Conformidad, pero no tiene en cuenta que se pueda volver a producir en un futuro próximo.

Por ejemplo: ante un derrame de un líquido contaminante de un envase abierto, se aplicará la Corrección de: recoger dicho líquido, gestionarlo como residuo correctamente y comprar la cantidad necesaria para reponerlo. Pero luego se aplicarán las Acciones Correctivas para que no vuelva a suceder: como implantar un procedimiento de trabajo que garantice que el envase siempre permanecerá cerrado cuando no se utilice, o sustituyendo dicho contenedor por uno más seguro. Pasados unos meses, sin volver a tener No Conformidades relacionadas con dicho derrame, podremos considerar que la Acción Correctiva ha sido efectiva, y por lo tanto que la No Conformidad puede ser cerrada.

NOTA: En las antiguas versiones de la norma ISO 9001, también se incluía el concepto de Acción Preventiva. Las cuales trataban de evitar que No Conformidades potenciales se llegasen a materializar. La falta de una metodología estándar para su identificación, hacía que en muy pocas organizaciones se realizasen, siendo una herramienta poco útil. Este término ha desaparecido de la norma ISO 9001 2015, quedando estas acciones preventivas incluidas en el tratamiento de los Riesgos y Oportunidades del Sistema de Gestión.

¿Cómo aplicar Acciones Correctivas?

A la hora de aplicar Acciones Correctivas, se deben realizar una serie de pasos que garanticen: que dichas acciones son necesarias, que se implementan correctamente, y que una vez en funcionamiento son eficaces. El procedimiento estándar a aplicar en la gestión de No Conformidades y Acciones Correctivas, es el siguiente:

1. Paso 1: Corregir la desviación: Aplicar una corrección adecuada, lo antes posible, puede evitar que el impacto de la No Conformidad vaya a más. Disponer de protocolos de actuación para determinadas emergencias, suele agilizar la solución al problema detectado.
2. Paso 2: Mitigar las consecuencias: Si el cliente u otras partes interesadas se hubiesen visto afectadas por la No Conformidad, es el momento de ofrecer compensaciones y negociar posibles soluciones.
3. Paso 3: Evaluar la necesidad: ¿Es necesario aplicar Acciones Correctivas? En ocasiones, la No Conformidad se debe a un cúmulo de extrañas circunstancias con poca probabilidad de que se repitan. Otras veces, realizar un cambio en el proceso para evitar que vuelva a suceder, supondría mayores problemas que la No Conformidad en sí. En estos casos, se puede considerar no aplicar Acciones Correctivas por el momento.
4. Paso 4: Diseñar las acciones: Definir las acciones correctivas a aplicar sobre el proceso, no suele ser fácil. Ya que se debe garantizar, lo primero: que los cambios no entorpecerán los trabajos del proceso, no son incompatibles con alguna tarea, o no generarán otro tipo de No Conformidades en el futuro. Crear un grupo multidisciplinar para debatir posibles soluciones, suele llevar a tomar la decisión más acertada.
5. Paso 5: Implementar los cambios: Dependiendo de la complejidad de las acciones a realizar, se puede definir un Plan de Acción específico para la No Conformidad. Donde indicaremos los plazos de ejecución de cada tarea, sus responsables y los recursos de los que disponen. Este plan deberá ser revisado periódicamente, para garantizar que se cumple correctamente.
6. Paso 6: Valorar la eficacia: Suele ser el paso que siempre se olvida, y posiblemente el más sencillo de realizar. Fijar una fecha donde revisar que los cambios realizados son efectivos, y no se han producido nuevas No Conformidades, no nos llevará mucho tiempo. Y podremos cerrar la No Conformidad de manera tranquila y segura.

IMPORTANTE: El punto más crítico para definir unas acciones correctivas efectivas, es determinar las verdaderas causas de la No Conformidad. Si no damos con la causa real de ésta, es fácil que las Acciones Correctivas no solucionen el problema, y la No Conformidad se repita en el futuro. El uso de herramientas específicas para el Análisis de Causas como: el Diagrama de Ishikawa o la técnica de los 5 porqués, son primordiales para garantizar los buenos resultados esperados.

Tema 25. La Auditoría Interna en la norma ISO 9001 2015

La Auditoría Interna es una herramienta clave en la mejora continua del Sistema de Gestión de la Calidad, y sirve para conocer en un momento dado su funcionamiento y su eficacia. Es un requisito básico de la norma ISO 9001 2015, y su cumplimiento se revisará en la auditoría de certificación con gran detalle.

IMPORTANTE: Una Auditoría no debe ser utilizada para señalar a los trabajadores que no hacen bien su trabajo, sino centrarse en los Procesos que no funcionan correctamente. Si la auditoría se centra en recriminar a los empleados sus errores, se pueden generar tensiones y enfrentamientos que no conducen a nada. Haciendo que los trabajadores oculten información, mientan y eviten hablar de los problemas reales del proceso. Haciendo que las auditorías sean vistas como algo negativo, y los auditores nada queridos dentro de la empresa.

Como se indica en el punto 9.2 de la norma ISO 9001 2015, la Auditoría Interna se deben centrar en garantizar el cumplimiento de:

1. Los requisitos de la norma ISO 9001 2015: revisando que se cumplen todos los requisitos en los diferentes Procesos del Sistema de Gestión, y no hay ninguno sin implantar en la empresa. El uso de “check-list” con los puntos de la norma ISO 9001 2015, es habitual para evitar sorpresas.
2. Los requisitos del Sistema de Gestión de la Calidad: viendo que los procedimientos internos definidos se siguen de manera precisa dentro de la organización, revisando y guardando evidencias del cumplimiento de cada uno de ellos.

NOTA: Mientras que en una Auditoría de Certificación se centrará en garantizar que se cumplen los requisitos de la norma ISO 9001 2015, en las Auditorías Internas el foco principal debe ser asegurar que se cumplen los procedimientos internos establecidos.

¿Cómo realizar una Auditoría Interna?

La realización de una Auditoría interna tiene que ser lo más sistematizada y controlada posible. Ya que igual que cualquier otro proceso, su ejecución nos deberá ayudar a mejorar esta herramienta cara el futuro, realizando cada año auditorías internas de una mayor calidad. El proceso de auditoría interna, se puede dividir en tres pasos básicos:

Paso 1: Planificación

El primer paso será elaborar, si no la tenemos ya, una “Planificación de Auditorías”. Donde indicaremos en que periodos se auditarán cada uno de los procesos del Sistema de Gestión de la Calidad, revisando todos ellos al menos en el plazo de 3 años. Si la organización es pequeña y está localizada en una única ubicación, se puede auditar todos los años todos los procesos del Sistema de Gestión. Si no es así, cada año nos centraremos en auditar distintos procesos hasta completarlos todos.

Una vez sepamos los Procesos vamos a auditar en esta ocasión, planificaremos la realización de la auditoría: “Plan de auditoría”. Fijando: las personas con las que vamos a necesitar hablar, los días y las horas en las que lo vamos a hacer, y los procedimientos internos que vamos a revisar. Dicho Plan, es importante que sea aprobado por la Dirección de la empresa, para evitar incompatibilidades con otras actividades previstas para esas fechas (visitas de clientes, reuniones, viajes…).

Una vez aprobado el Plan de auditoría, se comunicará a los responsables de los departamentos auditados dicho plan, para que estén disponibles en el momento que sean requeridos. Este aviso, debe ser realizado unas semanas antes de comenzar la auditoría, para que cada departamento pueda planificarse el trabajo los días de auditoría interna.

Paso 2: Ejecución

La realización de la auditoría interna deberá ser lo más parecido posible a las auditorías de certificación y seguimiento de nuestra entidad certificadora. De esta manera, no sólo chequearemos el estado del Sistema de Gestión de la Calidad, sino que además nos servirá como simulacro general para todo el personal de la empresa.

La principal diferencia entre ambas auditorías deberá ser que en la interna nos centraremos más en comprobar que los procedimientos, procesos y pautas internas se cumplen, en vez de si éstos cumplen con los requisitos de la norma ISO 9001 2015 de una manera exahustiva.

Por ejemplo: el discutir si guardar el currículo de cada trabajador es suficiente para garantizar su competencia para un determinado puesto de trabajo, puede hacernos perder mucho tiempo y desviar la atención de que dichos currículos no siempre se están guardando.

La ejecución de la auditoría interna se llevará a cabo siguiendo el Plan de Auditoría predefinido. Se guardarán evidencias del cumplimiento de todos los requisitos internos chequeados, y se registrarán las desviaciones encontradas durante la auditoría. Cualquier desviación respecto al Plan de Auditoría, se entenderá como una No Conformidad del proceso de auditoría, y será registrada para posteriormente tomar acciones correctivas.

NOTA: Gracias a las nuevas tecnologías, la recogida de evidencias es mucho más sencilla, por lo que capturas de pantalla enviadas a nuestro correo electrónico o una cámara de fotos, nos pueden facilitar mucho el trabajo.

RECOMENDACIÓN: Si es la primera vez que hacemos una auditoría interna o los auditores que la realizan son “novatos”, se recomienda dejar un día de separación entre la revisión de cada uno de los procesos o departamentos. En este día se analizará el trabajo realizado por los auditores, y servirá para corregir errores: Cosas que no se han visto, evidencias que no se han registrado, preguntas que no se han hecho, comportamientos incorrectos…

Paso 3: Resultados

Una vez auditados todos los procesos previstos en el Plan de Auditoría, nos tocará redactar el “Informe de Auditoría”. El haber recogido la suficiente información y evidencias durante la fase anterior, nos facilitará o complicará este paso.

Igual que hemos hecho en los pasos anteriores, es recomendable asemejar lo máximo posible la auditoría interna a la de certificación. Por lo que catalogar las no conformidades detectadas en mayores y menores, redactar la explicación de las evidencias de forma similar a las empresas certificadoras, reflejar las Áreas de Mejora y los Puntos Fuertes, y terminar la auditoría presentando el informe de auditoría en una reunión con Dirección, son prácticas muy recomendables.

NOTA: Pese a que los primeros años las Auditorías Internas no serán muy eficaces, debido a la inexperiencia de los auditores internos y del resto de la organización. Es fundamental realizarlas, para adquirir experiencia y que en el futuro sea una herramienta clave dentro del Sistema de Gestión de la Calidad.

Tema 26. El Auditor Interno en la norma ISO 9001 2015

Un requisito de la norma ISO 9001 2015 es la necesidad de realizar auditorías internas, de manera periódica, del Sistema de Gestión de la Calidad. Las auditorias es una herramienta fundamental para garantizar la mejora continua de nuestro Sistema de Gestión, y por tanto debe ser realizada con la mayor eficacia posible. Disponer de personal capacitado para ejercer como Auditor es clave para llevarlas a cabo de manera correcta.

La norma ISO 9001 2015 sólo fija requisitos técnicos que deberán cumplir los auditores internos, pero no especifica nada sobre los aspectos personales y sociales. Seleccionar empleados sociables, queridos y respetados dentro de la empresa, favorecerá enormemente el proceso de la auditoría. Dándole además la importancia que merece.

Entre los requisitos que un auditor interno debería cumplir, están:

1. Independientes: Es requisito de la norma ISO 9001 2015, que ningún empleado audite su propio trabajo. Por lo que evitaremos que éstos auditen su propio departamento (jefe y compañeros), siendo otro auditor el encargado de hacer este trabajo.
2. Motivados: Si la selección de auditores se realiza de manera obligada sin tener en cuenta la opinión de los empleados asignados, esto puede hacer que la auditoría pase a ser un mero trámite para todos, perdiendo completamente su esencia y por tanto su eficacia.
3. Capacitados: Otro requisito obligatorio marcado por la norma ISO 9001 2015, es que los auditores internos deberán estar formados y preparados según unos criterios mínimos establecidos. Recomendando que un trabajador antes de ser auditor interno, asista como observador a otras auditorías internas o de certificación.
4. Disponibles: Los trabajadores elegidos deberán disponer de tiempo para poder formarse como auditores y realizar las auditorías. Esto hará que dicho trabajador pueda estar varias horas sin realizar su trabajo habitual, lo cual no siempre es posible.
5. Empáticos: El proceso de auditoría puede ser estresante para alguno de los trabajadores auditados. Por lo que la empatía y mano izquierda del auditor, deberán tranquilizar y relajar la situación, favoreciendo la colaboración y entendimiento entre las partes.
6. Complementarios: Tener a dos auditores pertenecientes a un mismo departamento, implica que ninguno de ellos podrá auditar a dicho departamento, lo que nos obligaría a tener al menos un tercer auditor para cubrir todo el Sistema de Gestión. Para evitar este tipo de problema, se recomienda seleccionar auditores de áreas totalmente distintas que garanticen la independencia que pide la norma ISO 9001 2015.

NOTA: En ocasiones, dependiendo del tamaño y complejidad de la empresa, se podrá distinguir entre auditor y auditor jefe. Definiendo distintos niveles de responsabilidad y diferentes funciones según el rol que ocupe el empleado (planificación de la auditoría, redacción del informe de auditoría, categorización de las No Conformidades detectadas…). Lo que a su vez llevará aparejado distintos requisitos, más o menos exigentes, para cada rol.

Por ejemplo, para el rol o la ficha del puesto de Auditor Interno, se puede solicitar:

1. Formación en la norma ISO 9001: esta formación es fundamental, ya que normalmente los empleados tienen un conocimiento muy limitado de la norma ISO 9001 2015. Esta formación puede ser interna e impartida por el Responsable del Sistema de Gestión de la Calidad, o por entidades externas de prestigio.
2. Experiencia previa: en ocasiones se indica la necesidad de que el auditor haya participado en auditorías con anterioridad. Al menos un determinado número de veces como auditor o como observador.
3. Formación como auditor: existen formaciones específicas para auditores internos en el mercado, que suelen ser interesantes realizar cuando no se dispone de ningún empleado con experiencia como auditor, y la empresa se va a certificar por primera vez.
4. Titulaciones técnicas: según la actividad de la empresa, para poder auditar determinados procesos productivos, es necesario tener unos conocimientos técnicos imprescindibles. Por ejemplo, si la organización fabrica cable eléctrico, el auditor tendrá que tener conocimientos básicos de electricidad, de extrusión de plástico o de tipos de aislamiento.

NOTA: El número de auditores internos necesarios variará mucho debido al tamaño y características de la empresa. No será lo mismo una organización de 20 trabajadores a una de 500, ni una con un único centro de trabajo a otra con decenas de delegaciones por todo el país. El número mínimo de auditores internos será de dos, pero es muy recomendable tener al menos tres para poder cubrir imprevistos o agilizar las auditorías.

IMPORTANTE: En ocasiones, las empresas deciden subcontratar la Auditoría interna a consultoras especializadas, logrando de este modo una independencia total con los auditados. Eso sí, es necesario garantizar, y guardar evidencias, que los auditores externos cumplen nuestros requisitos de auditor interno.

Tema 27. La Revisión del Sistema de Gestión por Dirección

Un requisito obligatorio en el punto 9.3 de la norma ISO 9001 2015, es la revisión de la eficacia del Sistema de Gestión de la Calidad de la organización. Esta revisión la deberá realizar la Alta Dirección de la empresa, ejerciendo el liderazgo que requiere la norma. Además se deberá realizar de manera periódica, y servirá para cerrar un ciclo de mejora continua y abrir otro nuevo. Siendo una influencia fundamental tanto en la revisión de la Estrategia (Plan Estratégico), como en la definición de nuevos Objetivos del Sistema de Gestión para el nuevo periodo.

La práctica más habitual para cumplir este requisito de la norma ISO 9001 2015, es que el Responsable del Sistema de Gestión prepare un informe con los resultados de las mediciones y seguimientos realizados durante el periodo. Se lo envíe a Dirección (Director, Comité de Dirección, Gerentes…) y proponga una fecha de reunión. En dicha reunión, además de revisar los resultados de manera conjunta, se presentarán cambios y mejoras a realizar al Sistema de Gestión, para corregir las desviaciones detectadas y mejorar la eficacia. De esta reunión, se guardará un acta de lo visto en la misma, que deberá ser aprobada por Dirección.

En las siguientes semanas, cuando se revise el Plan Estratégico de la organización o se definan los nuevos Objetivos de Calidad, se preparará un Plan de Acción basado en las Salidas obtenidas de la revisión anterior. Dicho Plan contendrá al menos las tareas a realizar, las fechas de realización y sus responsables; y su correcta ejecución será revisada en la siguiente Revisión del Sistema de Gestión. Realizando un seguimiento de dicho Plan, en las reuniones periódicas de Dirección.

IMPORTANTE: Con el uso de los nuevos sistemas informáticos de gestión de la información (ERP, Intranet, CMI -Balanced Scorecard-, aplicaciones de Business Intelligence, Dashboards, herramientas de reporting…), es fácil realizar la Revisión del Sistema de Gestión directamente sobre estas aplicaciones, evitando tener que redactar un informe independiente. En ese caso, hay que tener en cuenta que se deben guardar evidencias de la información consultada en dichas herramientas en ese momento, ya sea a través de guardar snapshots, informes automáticos en PDF, fotos o capturas de pantalla. Y posteriormente adjuntarlo al acta de la reunión, siguiendo el orden de la norma ISO 9001 2015.

La norma ISO 9001 2015 nos indica la información mínima de Entrada y de Salida que debe contener la Revisión del Sistema de Gestión, lo que facilita enormente el cumplimiento de este requisito. Eso no quiere decir que nos tengamos que limitar a estos datos, pudiendo ampliar la información de entrada según las necesidades de cada organización en cada momento.

La información de Entrada

Como Entradas de la revisión, incluiremos toda aquella información analítica y detallada que permita valorar de una forma objetiva si el Sistema de Gestión está logrando los objetivos por los que fue implantado. La información mínima que pide la norma ISO 9001 2015 es:

1. Acciones de Revisiones previas del Sistema de Gestión: Resultados de la ejecución de las acciones que se planificaron en la última Revisión del Sistema de Gestión de la Calidad. si se han completado todas, si han sido efectivas, si han surgido problemas…
2. Cambios en el Contexto interno y externo: El entorno de la organización ha podido cambiar debido a: un cambio de gobierno, un aumento de la competencia, la aparición de nuevas tecnologías… E internamente la organización también ha podido sufrir cambios debido a: una alta rotación de personal (perdida de know-how), nuevo comité de empresa, máquinas obsoletas…
3. La eficacia del Sistema de Gestión: Muchas son las variables para determinar si nuestro Sistema de Gestión es eficaz respecto a sus objetivos y requisitos. Pero las que al menos deberemos evaluar son:
   1. La Satisfacción de los clientes, y Partes Interesadas: Las reclamaciones de clientes, los resultados de los estudios de satisfacción, la perdida de clientes, el incremento de su facturación… son indicadores que nos ayudarán a ver si estamos haciendo las cosas bien. Los cambios en las necesidades y expectativas del resto de Partes Interesadas también deben de ser identificados.
   2. Objetivos de Calidad: Ver si se han alcanzado los Objetivos de Calidad fijados al principio del periodo. Si no ha sido así, estudiar los motivos: objetivos demasiado optimistas y poco realistas, acciones poco efectivas, incumplimiento de la planificación, errores o falta de presupuesto…
   3. Los Procesos, los productos y los servicios: Los procesos deberían cumplir la misión por la que fueron creados, y ver que sus indicadores de seguimiento están dentro de lo esperado. Garantizando así que los productos y servicios son conformes con los requisitos establecidos para cada uno de ellos.
   4. Las No Conformidades y las Acciones Correctivas: Las No Conformidades del Sistema de Gestión: tanto a nivel cualitativo (descripción de las incidencias más relevantes, consecuencias y gravedad) como cuantitativo (número de No Conformidades, evolución respecto al año anterior). Y las Acciones Correctivas aplicadas, junto a su eficacia y estado de ejecución.
   5. El seguimiento y la medición: Resultados de la ejecución del Seguimiento y Medición de las actividades que se realicen dentro del Sistema de Gestión: Indicadores y métricas en los Procesos, Seguimiento del cumplimiento de los objetivos y metas, realización de calibraciones y mantenimientos, seguimiento de proyectos…
   6. Auditorías internas y externas: Presentar los resultados de las auditorías realizadas al Sistema de Gestión. tanto las auditorías de certificación ISO 9001, como las auditorías internas, como las auditorías de Clientes o de terceras partes.
   7. Desempeño de los proveedores: Resultados de las evaluaciones periódicas de los proveedores, procesos de homologación, evolución del número de No Conformidades de proveedor… marcan el buen funcionamiento de la gestión de proveedores.
4. Recursos suficientes: Analizar si los recursos destinados al Sistema de Gestión de la Calidad, y más concretamente a sus Procesos, y a los Planes de Mejora relacionados con los Objetivos, han sido suficientes.
5. Acciones sobre Riesgos y Oportunidades: Analizar la eficacia de las acciones realizadas para evitar o reducir el impacto de los Riesgos detectados, y se han aprovechado convenientemente las Oportunidades que se presentaron.
6. Las oportunidades de mejora: En el día a día de la empresa, surgen oportunidades de mejora que deberían ser registradas para luego poder ser estudiadas. Una buena comunicación interna, facilita que éstas nuevas ideas no se pierdan, y puedan ser evaluadas en la Revisión del Sistema de Gestión.

Las acciones de Salida

Después de analizar la información de Entrada, deberemos extraer conclusiones que nos ayuden a tomar decisiones y acciones sobre el Sistema de Gestión de la Calidad. Entre las cuales, deberemos incluir:

1. Oportunidades de mejora: Las oportunidades de mejora que se han detectado después de analizar toda la información de Entrada de la Revisión del Sistema de Gestión.
2. Cambios en el Sistema de Gestión: Los cambios que se deben realizar en el Sistema de Gestión de la Calidad para corregir errores, malos funcionamientos o incumplimientos de requisitos. Evidentemente, garantizando el cumplimiento de la norma ISO 9001 2015.
3. Recursos necesarios: Las necesidades de recursos tanto para mantener el Sistema de Gestión de la Calidad actual, como para implementar todas las acciones que se consideran necesarias.

RECOMENDACIÓN: Recomendamos redactar el informe de Revisión del Sistema de Gestión siguiendo el orden establecido en los puntos 9.3.1 y 9.3.2 la norma ISO 9001 2015. Ya que facilitará la comprobación por parte de los auditores de certificación de que al menos se han tratado todos los aspectos que pide la norma ISO 9001 2015.

Fuente: https://isowin.org/formacion/curso-ISO-27001-gratis/#