lunes, 16 de septiembre de 2019

LAS 8 FASES PARA IMPLEMENTAR UN SISTEMA DE CONTROL INTERNO

En artículos anteriores hemos tratado el asunto de las auditorías de gestión.

Este tema que está estrechamente ligado con el concepto de control interno, del cual, explicaremos las fases para llevar a cabo una correcta implementación.

Podríamos definir el concepto genérico de control como una acción potencial orientada a alcanzar un objetivo definido. Si nos centramos en el control interno puntualizamos que se trata de un proceso llevado a cabo por los directivos de una organización, concebido para garantizar una seguridad suficiente, orientado a alcanzar los objetivos en distintos aspectos: que se lleven a cabo las operaciones de forma eficiente y efectiva, que la información financiera sea fiable y que se cumplan las normativas oportunas.


Fases para implementar el sistema de control interno

Existen una serie de fases que han de seguirse secuencialmente para garantizar una correcta implementación del control interno. Son las siguientes:

Fase 1: Crear una cultura del control mediante la comunicación, la motivación y la capacitación

Antes de comenzar con la implementación del sistema de control interno, es importante preparar el terreno. Esta preparación consiste en comunicar a las personas qué se quiere hacer y saber transmitir la importancia del control y sus beneficios para la organización e incluso para cada persona individualmente. Una posible forma de inculcar estos conceptos es mediante una capacitación a nivel de área o departamento. En dicha capacitación se dará a conocer la hoja de ruta para el desarrollo de las restantes fases.


Fase 2: Recabar información

Una vez hemos introducido la cultura del control entre los miembros de la organización, llega el momento de recolectar datos. En esta fase debe intervenir activamente todo el personal, coordinados por un responsable designado, ya sea externo o interno, procedente del área de estrategia de la organización.

Existen diferentes métodos para llevar a cabo esta recopilación, por ejemplo:
  • Narración: Mediante una entrevista o documento, cada empleado hace una descripción de las labores, tareas, procesos que lleva a cabo, independientemente de si estos están establecidos formalmente. El coordinador recopila estos testimonios.
  • Listas de chequeo: Otro método podría ser la confección de cuestionarios previos por parte del responsable del levantamiento de la información, al cual se le presume un conocimiento previo en sistemas de control interno. Estos checklist contienen cuestiones orientadas a conocer la dinámica interna de cada área de la organización.
  • Observación: Mediante la observación también se puede extraer información útil para complementar aspectos que deban ser documentados.
Se suelen usar flujogramas para completar la información recabada con los métodos anteriores. Se plantean de forma visual los pasos que se siguen para realizar una operación determinada.

Fase 3: Clasificar la información obtenida

Ya que el responsable ha reunido toda la información necesaria a través de alguna de las vías mencionadas, es el momento de digitalizar y clasificar la misma de la forma más ordenada posible para facilitar su consulta y correcta interpretación.

Fase 4: Diagnosticar

En este punto, ya se dispone de la información necesaria para realizar un diagnóstico del estado de múltiples aspectos de la gestión: el cumplimiento de los objetivos, los roles y sus funciones, las políticas, etc.

Fase 5: Revisar los procedimientos

Bajo la normativa legal, la óptica de calidad total, los parámetros de reingeniería y directrices administrativas, se hace una revisión exhaustiva de los procedimientos con el fin de hacerlos más eficientes. Se suprimen pasos no necesarios, se centralizan procesos repetidos y se abren vías de comunicación.

Fase 6: Evaluar el control interno y de gestión

Se ha de establecer una manera de evaluar el sistema de control interno entre todos los miembros de la organización. Cada uno de ellos debe aportar su visión e involucrarse, comprometiéndose a someterse a un continuo autocontrol que favorezca la mejora continua.

Fase 7: Implementar, hacer seguimiento y ajustar

En este punto, el sistema de control interno ya está diseñado. Ha llegado el momento de que los responsables se hagan cargo de implementarlo en cada una de las áreas y garantizar su cumplimiento. El responsable en cuestión deberá hacer un seguimiento continuo junto con el apoyo de la auditoría interna. También es la ocasión tomar acciones correctivas necesarias y hacer ajustes finales.

Fase 8: Evaluar indicadores y realizar más ajustes

Se deben diseñar KPI de gestión colectivamente para analizarlos. Dichos indicadores pueden almacenarse y sistematizarse en cuadros de mando Balanced Scorecard, preferiblemente de forma automatizada. Esto permite obtener información en tiempo real.

Otra vía de evaluación que se emplea frecuentemente son los sistemas de administración de riesgos, en base a los cuales se pueden construir tableros de mando visuales, en términos numéricos y con colorimetría.

Tomado de: https://www.isotools.org

EL SISTEMA DE CONTROL INTERNO Y SU IMPORTANCIA EN LAS AUDITORIAS

A modo de introducción se podría afirmar que el Informe COSO (Committee Of Sponsoring Organizatións of the Treadway Commission) en 1992 es el padre de lo que hoy en día entendemos por un Sistema de Control Interno. 

Éste define el control interno, describe sus componentes y aporta una serie de parametrizaciones mediante las cuales un determinado sistema de información puede ser evaluado. Además, dicho documento incluye una guía para informar al público del control interno y provee una serie de materiales que los gerentes, auditores y otros profesionales pueden utilizar para evaluar un sistema de control interno.

El sistema de control interno es un procedimiento de control integrado a las actividades operativas de los entes de una determinada organización. Su objetivo no es otro que el de asegurar de una manera considerable la fiabilidad de la información de cara a una auditoría externa. Que los estados sean fiables constituye el objetivo fundamental del examen en las auditorías externas. esta relación entre ambos muestra la importancia que tiene el sistema de control interno para la auditoría externa de estados de los diferentes Sistemas de Gestión.

¿Qué empresas cuentan con un Sistema de Control Interno?

Como es lógico pensar, no todas las empresas cuentan con un Sistema de control interno para mantener al día el estado de sus Sistemas de Gestión. Son dos las razones que provocan que algunas empresas no cuenten con estos:
Por cuestiones relacionadas con la política interna de la empresa. Es decir, la gerencia considera que no es necesario contar con un Sistema de Control Interno. Una visión errónea desde nuestro punto de vista.
Debido al tamaño o la magnitud de la empresa. La mayoría de compañías que forman el tejido empresarial actual son pymes. En muchas medianas y pequeñas empresas la estructura operacional de las mismas no hace posible que se pueda llevar a cabo la implementación de un proceso de control integrado.

No cabe ninguna duda de que esta herramienta es fundamental para grandes compañías en las que son muchos los aspectos que deben de ser gestionados y controlados de forma adecuada. Los procedimientos de comprobación son claves para poder desarrollar procedimientos más eficientes y funcionales.
El sistema de control interno es un procedimiento de control integrado a las actividades operativas de los entes de una determinada organización.
Las ventajas de contar con un Sistema de Control interno

Un sistema de control interno adecuado, va a permitir aportar seguridad de manera razonable respecto de los siguientes contextos de una organización:
  • La efectividad y eficiencia de diversas operaciones.
  • La confiabilidad de la información que se esté auditando.
  • El cumplimiento de la legislación y las regulaciones aplicables que afecten a las operaciones de la organización a la que pertenezcamos.
  • La mejor ejecución de auditorías de control externo.
De cara a la ejecución de auditorías externas es necesario que el auditor deposite confianza en los controles que realiza la empresa. Para que el auditor decida depositar confianza tendría que evaluar el nivel de desarrollo y si funciona eficientemente dicho sistema de control; esta tarea constituye la “Evaluación de las actividades de control de los sistemas que son pertinentes a su revisión, siempre que, con relación a su tarea, el auditoria decida depositar confianza en tales actividades”.

Las 8 fases para implementar un sistema de control interno

Existen ocho fases que se deben de seguir secuencialmente para poder garantizar una correcta implementación del control interno. Son las siguientes:
  1. Crear una cultura del control mediante la comunicación, la motivación y la capacitación
  2. Recabar información
  3. Clasificar la información obtenida
  4. Diagnosticar
  5. Revisar los procedimientos
  6. Evaluar el control interno y de gestión
  7. Implementar, hacer seguimiento y ajustar
  8. Evaluar indicadores y realizar más ajustes.
Tomado de: https://www.isotools.org

NORMA ISO 19600: CLAVE PARA EL FUTURO DE LAS EMPRESAS

Las empresas tienen que incorporar el término compliance en su ADN y, para ello, la Norma ISO 19600:2015 es una herramienta clave.

La globalización y la apertura de nuevos mercados, la casi desaparición de muchas de las fronteras, el incremento de las transacciones de numerosos y variados bienes, la utilización cada vez mayor de las TIC, la aplicación de la tecnología digital adaptada a las necesidades de las empresas, así como la evolución de las necesidades y expectativas de las distintas partes interesadas han dibujado un nuevo escenario en el que las empresas tienen que moverse.

Para adaptarse a las nuevas situaciones a las que se enfrente en su día a día, se hace cada vez más necesario recurrir al compliance para detectar, gestionar, controlar y prevenir los riesgos relacionados con los incumplimientos de las obligaciones y la legislación. Y es ahí donde la Norma ISO 19600:2015, Sistemas de Gestión de Compliance. Directrices, toma relevancia.

En este artículo voy a hablar del objetivo de la Norma ISO 19600, los pilares sobre los que se asienta y los beneficios que ofrecerá a todas aquellas empresas que decidan adoptarla.

El objetivo de la Norma ISO 19600.
Incorporar el término compliance en el ADN de la empresa es clave para su futuro y para mantener y mejorar su posición en un mercado cada vez más exigente.
 En el escenario actual, las empresas ya no sólo deben cumplir con las obligaciones y legislación aplicables, sino que también se espera que reafirmen con todas sus acciones una cultura de respeto a la ley y que empleen el derecho como una fuente de inspiración para mejorar en su día a día.

Y es que ya no se espera que se cumpla con lo mínimo exigido intentando pasar con ello sin modificar su organización o forma de trabajo y con el objetivo de evitar multas y sanciones, sino que incorporar el término compliance en el ADN de la organización es clave para el futuro de la misma y para mantener y mejorar su posición en un mercado cada vez más exigente.

Desde la publicación del primer estándar de gestión de Compliance en el año 2006 por el organismo de normalización australiano (SA), la Norma AS 3806, se ha ido perfeccionando su aplicación en las empresas de todo tipo de sectores, actividades y dimensiones hasta que, en el año 2014, la Organización Internacional de Normalización (ISO) desarrollo la Norma ISO 19600:2015, Sistema de Gestión de Compliance. Directrices.

De esta forma, se recoge en este documento una serie de buenas prácticas para la implantación y mantenimiento de la metodología compliance en organizaciones de todo tipo.

En el propio documento de la norma nos aporta mayor información sobre su objetivo:

Esta norma internacional proporciona orientación para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión de compliance eficaz y que genera respuesta por parte de la organización.

Las directrices sobre sistemas de gestión de compliance son aplicable a todo tipo de organizaciones. El alcance de la aplicación de estas directrices depende del tamaño, estructura, naturaleza y complejidad de la organización. Esta norma internacional se basa en los principios de buen gobierno, proporcionalidad, transparencia y sostenibilidad.

Los pilares de la Norma ISO 19600:2015.
La Norma ISO 19600, Sistema de Gestión Compliance. Directrices, toma como base la metodología PDCA en la cual, para aquellos que no la conozcan, se siguen las siguientes fases:
  • Plan: fase en la que se planifica o establece en papel la estrategia.
  • Do: siguiendo lo anteriormente establecido, se procede a seguir los pasos indicados, es decir, pasamos del papel a la realidad.
  • Check: en esta fase se debe verificar que se han llevado a cabo las acciones según lo planificado, así como que se han alcanzado los efectos y objetivos deseados.
  • Act: a partir de los resultados anteriores, se recopila lo aprendido y se aplica.

Tomando como base el ciclo de Deming o PDCA, la Norma ISO 19600 se asienta sobre los siguientes pilares que garantizan su relevancia e importancia para el futuro de las empresas, como son:

La relevancia del papel de la dirección, su compromiso y una adaptación adecuada del liderazgo. Aparece reflejado en:
  1. la Política,
  • en el establecimiento de unos objetivos que se encuentren en consonancia con las metas estratégicas y operativas de la empresa,
  • la participación activa de la dirección en la comunicación, tanto de forma interna como externa, de todas aquellas cuestiones relacionadas con el compliance,
  • la provisión de los recursos necesarios para que la empresa alcance los objetivos marcados así como para que el sistema de gestión de compliance funcione adecuadamente.
  • por último, no debemos olvidar el papel del liderazgo en la difusión de la relevancia de la adecuada gestión del compliance por parte de todo el personal de la empresa, así como en la Mejora Continua.
2. Las responsabilidades, su designación y comprensión. Como en otros sistemas de gestión, establecer las distintas responsabilidades en relación con las actividades, puestos y situación en el organigrama, del personal de la empresa es clave, pero se convierte en papel mojado si no se acompaña de una adecuada comprensión de las mismas por los implicados, así como de las consecuencias que suponen su incumplimiento.

3. La identificación de las obligaciones de compliance, como legislación, estándares adoptados, códigos de buenas prácticas, etc., ya que si no se conoce es difícil asegurar su cumplimiento.

4. El análisis y la adecuada gestión de los riesgos relacionados con el compliance. Al igual que con otras normas ISO, la empresa debe incorporar el análisis de los riesgos relacionados con las obligaciones de compliance, teniendo presente: causas; probabilidad; gravedad; y orígenes. A partir de ahí, se puede establecer medidas efectivas que permitan reducir, eliminar o controlar el riesgo identificado para que no afecte en el presente o futuro al cumplimiento del Compliance por parte de la empresa.

5. La formación como base para mantener el sistema en el futuro. Sobre la importancia de contar con una formación adecuada y específica para los sistemas de gestión ya he hablado en el artículo “La formación: clave para la mejora continua en las Normas ISO”, y como la Norma ISO 19600:2015 no es una excepción, no voy a extenderme más en este punto.

6. Evaluación constante. Establecer indicadores adecuados, evaluar el cumplimiento, analizar las incidencias producidas, el grado de cumplimiento de las obligaciones y legislación aplicables son algunas de las actividades claves para que el cumplimiento y la eficacia del Sistema de Gestión de Compliance se mantenga vivo, se adapte a las nuevas situaciones, obligaciones o exigencias y que siga siendo una garantía de seguridad.

Beneficios que aporta la Norma ISO 19600.

Implantar y mantener la Norma ISO 19600:2015, Sistema de Gestión de Compliance. Directrices, se convierte en una garantía de la adopción de la cultura compliance de respeto de la legislación a través de la concienciación, utilización de los recursos necesarios para llevarlo a cabo y establecimiento de las medidas adecuadas para mantenerlo en el tiempo y adaptarse al cambio.
También manifiesta la gestión responsable de la empresa ante todas las partes interesadas, a la vez que minimiza los posibles riesgos de responsabilidades administrativas, civiles y penales a los que puede verse afectada la empresa, así como sus directivos y administradores.

De esta forma, la Norma ISO 19600:2015 es una herramienta esencial para el futuro de las empresas, el aliado clave en el camino del Compliance que todas las organizaciones tienen que incluir en su estructura, decisiones y objetivos como base para el crecimiento y la mejora.

Tomado de: https://www.sbqconsultores.es


martes, 10 de septiembre de 2019

NIVELES DE HALLAZGOS DE AUDITORÍA INTERNA AL SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001

Muchos auditores tienen dificultades para definir los niveles de hallazgos de auditoría interna en relación con el Sistema de Gestión de la Calidad o los criterios de auditoría generalmente aceptados. 

De ello depende si el auditor ordena implementar una acción correctiva o tan sólo emite una recomendación.

Los niveles de hallazgos de auditoría interna deben definirse y documentarse para determinar su importancia, y priorizar aquellos que lo ameriten. La asignación de estos niveles de hallazgos de auditoría interna es una facultad potestativa del auditor, quien es en última instancia, quien puede decidir si se justifica o no emprender un proceso de acción de mejora. Todo, a la luz de la Norma ISO 19011:2018.

sí, es frecuente que el criterio aplicado a la hora de determinar si se debe aplicar o no una determinada acción correctiva conforme a la importancia del hallazgo encontrado, se base en la experiencia del auditor. Sin embargo, este enfoque supone una dificultad: los nuevos auditores pueden encontrar dificultades para dimensionar lo que es importante y lo que no lo es.

Niveles de hallazgos de auditoría interna

Una forma para definir los niveles de hallazgos de auditoría interna es utilizar un enfoque basado en el riesgo. Esto ha ganado impulso en años recientes porque elimina parcialmente las conjeturas o sesgos asociados con la experiencia del auditor.

Aunque el enfoque basado en el riesgo es más detallado, aún requiere capacitación y experiencia del auditor (ISO 19011:2018). En última instancia, es el auditor quien decidirá el nivel de gravedad asociado con el hallazgo en la auditoría.

No obstante, el enfoque basado en el riesgo proporciona mayor transparencia al proceso porque se basa en el ya conocido esquema de impacto y probabilidad de ocurrencia. Basado en este esquema, un auditor puede identificar los siguientes niveles de hallazgos de auditoría interna:

Crítico

Cuando las evidencias sugieren que algo falla por completo o se da un colapso completo en algún área del sistema de gestión. Una falla del Sistema de Gestión de la Calidad que tendría un efecto en la calidad del producto terminado o podría impedir que el Sistema sea certificado. Se trataría de una no conformidad importante que requiere acciones inmediatas. 

Mayor

La observación daría como resultado una falla en uno o más procesos del Sistema de Gestión de la Calidad o porque no se siguen las políticas o controles establecidos, que pueden tener un efecto en la calidad del producto terminado o pueden causar problemas para obtener la certificación del Sistema.

Se trataría de una no conformidad menor que puede conllevar una no conformidad importante si no se aplican acciones de mejora, ya que suele ser el indicio de un problema de más calado. Este tipo de hallazgos suelen remediarse evaluando y ajustando los procesos. 

Moderado

Cuando se observan faltas o debilidades en el sistema que aún no causan un impacto (generalmente, negativo) en el producto o el sistema de gestión de la calidad.

Este tipo de faltas se registra como ‘observaciones’,¡ y se debe realizar un análisis del posible problema así como hacer seguimiento de su evolución en las sucesivas auditorías. 

Una falta que no tiene impacto en la calidad de los productos o en el sistema de calidad en el presente puede convertirse en una no conformidad menor en el futuro si no se toman las acciones adecuadas. 

Menor

La observación no tendría un efecto en la calidad del producto terminado o puede no tener ningún impacto en el logro de la certificación del Sistema. Pero pueden tratarse de <<oportunidades de mejora>> que detecte el auditor y puede registrar para ser tenido en cuenta. 

El uso de un enfoque basado en el riesgo también ayuda a los auditores a determinar los hallazgos importantes de la auditoría en función de su nivel de gravedad y tasa de ocurrencia. Luego, el auditor puede determinar con base en los niveles de hallazgos de auditoría interna, si debe asignar una acción correctiva o sólo emitir una recomendación.

Los auditores experimentados pueden estar pensando: “pero siempre emitimos una acción correctiva para cada hallazgo, sin importar los niveles de hallazgos de auditoría interna”. Esto es hasta cierto punto razonable, si no fuera porque muchas organizaciones recargan sus Sistemas con acciones correctivas innecesarias.

En lugar de asignar arbitrariamente acciones a cada hallazgo, considere asignar acciones correctivas sólo a los hallazgos importantes. Los insignificantes, aún se pueden registrar en el informe, pero el auditado puede abordarlos a través de actividades de trabajo cotidianas, especialmente cuando se trata de incidentes aislados.

Tomado de: https://www.escuelaeuropeaexcelencia.com

lunes, 9 de septiembre de 2019

EL EMPRENDIMIENTO ES UNA ACTIVIDAD EMPRESARIAL DE MARKETING Y VENTAS PARA GENTE QUE NO SABE DE MARKETING Y VENTAS

Ahí radica ya buena parte del problema. SI poco sabemos de algo, poco podemos hacer al respecto. Así que como emprendedor o posible emprendedor tienes 2 opciones:

  1. Hacer las cosas igual que siempre, igual que todos, que es el camino estadístico hacia la mediocridad y el fracaso.

  2. Hacer las cosas de forma PROfesional.

Y lo PROfesional no tiene porqué ser algo súper complejo, solo hace falta echarle además de corazón y arrojó al proyecto un poco de la doble P: paciencia y planificación.

Imagínate ahora que eres un gran arquitecto a punto de desarrollar un súper rascacielos. Es algo nuevo para ti, es algo retador. Es algo grande, algo importante para tu vida y carrera.

¿Por dónde deberías de empezar tu trabajo? ¿Qué es lo más vital sabiendo que es una estructura de gran altura y que si no se trabaja de forma correcta puede ser un peligro? ¿Qué sería lo primero que deberías de plantear?

¡Exacto! Los pilares del edificio.


Y ahora volviendo a un negocio, ¿cuáles dirían que son los pilares de un emprendimiento?

Te dejo unos segundos para que reflexiones y continuamos.

Piensa en ello y continúa leyendo...

Los pilares de un negocio son 3:
Tus clientes: a quién ayudas.
Tu propuesta: cómo les ayudas.
Tu viabilidad económica: cómo genera dinero y es rentable un negocio.

Lo disparatado del mundo del emprendimiento es que la gente se centra en el marketing, la visibilidad y la venta sin tener bien trabajados estos pilares.

Si ahora mismo voy a un evento de emprendedores y ofrezco un billete de 200 euros a quien me explique el concepto “punto de equilibrio financiero” existe una alta probabilidad de que me marché con mi billetito a casa.

Ahora quiero que veas el siguiente vídeo que solo dura 60 segundos y continuamos…




Si el vídeo ha resonado contigo estaré encantado de verte en el entrenamiento gratuito que se lanza este jueves 21 de marzo y que durará hasta la primera semana de abril.

En este entrenamiento vamos a trabajar sobre estos 3 pilares de forma PROfesional, puedes registrarte en el siguiente link.

Pero todavía no lo hagas, quiero terminar de compartir contigo unos conceptos muy importantes para tu negocio y proyecto de vida.

SÉ TU PROPIO MENTOR

Todo negocio tiene unos costos, y tu vida personal también tiene unos costos, ¿verdad?

La suma de los costes de tu vida personal y los de tu modelo de negocio (que debe de incluir la cifra de tu sueldo para pagar tu estilo de vida) da una cifra llamada punto de equilibrio financiero.

Una empresa y organización, da igual que sea B2B, B2G, o B2C, e incluso da igual que sea sin ánimo de lucro, TODAS ELLAS necesitan ser viables financieramente.

Son conceptos sencillos de comprender y aplicar. El no trabajarlo es un riesgo mortal para el proyecto y la posibilidad de perder muchísima plata, energía personal y emocional y tiempo por esa falta de claridad.

Piensalo, si no sabes cuantas unidades de tus productos y servicios necesitas vender, ¿cómo vas a poder planificar una estrategia de visibilidad coherente y en la que confiar?Es un disparate.

En la primera lección del training te vas a aprender a través de una sencillísima plantilla a trabajar este punto, y además te voy a introducir en el maravilloso mundo de la venta de alto valor.

La venta de alto valor es diseñar propuestas premium para alcanzar con menos clientes tus objetivos de marketing y ventas.

Además, tienes mi promesa de que todo el training además de práctico va a ser entretenido, trabajando conceptos a través de metáforas y ejercicios para que logres grandes tomas de conciencia y surjan poderosas ideas en tu interior.

Una muestra de ello es el siguiente vídeo.

El training para convertirte en PROfesional

El diseñar propuestas que puedan comercializarse a alto valor se hará con la herramienta que lo cambió todo para mí y para mis clientes.

Con esta herramienta de trabajo ágil y visual yo mismo pude pasar de ofrecer servicios de 500 euros a propuestas premium de 2.600€, 3.600€ y 5.000€

Como te podrás imaginar ahora tengo más calidad de vida gracias a facturar más atendiendo a menos clientes.

Y aunque esas cifras son meramente orientativas, te aseguro que todo negocio y actividad puede lograr un gran diferenciador si diseña productos y servicios que resuelven grandes problemas o ayuden a lograr grandes deseos a los clientes.

Pero eso no es suficiente.

Porque de nada sirve tener claridad financiera y productos y servicios maravillosos si la gente no los conoce, ¿verdad?

Ahí es donde entra en acción la tercera lección del training, donde trabajaremos sobre 2 conceptos súper importantes y que deben de convivir en armonía: visibilidad y conversión.

Todo con multitud de ejemplos prácticos y con estrategias lo más fáciles de ejecutar.

Es el momento de encontrar respuestas profesionales a lo que realmente importa en un negocio: a quién ayudas, qué ayuda ofreces y si tu proyecto puede ser viable financieramente.

Con esta información clara y validada podrás trazar un plan de acción PROfesional en el que confías y que te motiva.


Tomado de: https://www.negociosyemprendimiento.org

LA IMPORTANCIA DEL GOBIERNO CORPORATIVO PARA LA GENERACIÓN DE VALOR


Dentro de cualquier empresa, crear valor es una parte fundamental para su buen desempeño. La mejor estrategia para llegar a ello, es mediante unas buenas prácticas de gobierno corporativo.

La transparencia y la confianza son generadoras de seguridad, y una buena estrategia de gobierno corporativo, da lugar a estabilidad jurídica, económica y al fomento de la sostenibilidad dentro de cualquier empresa u organización.



Pero claro, ¿qué significa gobierno corporativo? La descripción no es más que las normas y regulaciones, en forma de principios y procedimientos, que aplican a la empresa, así como los órganos de gobierno que la estructuran.

De manera más específica, el gobierno corporativo establece conexión entre las diferentes secciones u órganos que componen cualquier empresa, como son:
  • Junta Directiva.
  • Consejo de Administración.
  • Accionistas.
  • En general, las partes interesadas que les afectan.
De esta manera, se generan unas normas de funcionamiento encaminadas a la mejora del proceso de toma de decisiones.

Importancia del gobierno corporativo dentro de las organizaciones

Últimamente y, en especial, con la crisis económica, la preocupación por la transparencia y la buena gestión de las sociedades cotizadas ha ido adquiriendo mayor importancia y compromiso a nivel internacional.

Esto es, el hecho de que empresas de reconocimiento sirvan de ejemplo de buen gobierno, repercute en los mercados de manera muy positiva, de manera que aumentan la estabilidad y credibilidad, y contribuye, por ende, a la generación de riqueza.

La consecuencia directa de los errores del pasado, respecto a los gobiernos corporativos, ha sido la necesidad de reforzar las exigencias frente a la claridad, veracidad, buenas prácticas y forma de actuar de las empresas.

Es decir, inversores, consumidores y la sociedad en general, necesitan saber el camino recorrido hacia el resultado que han obtenido.

Por tanto, se trata de generar confianza y seguridad.

Funcionamiento de las normas o regulaciones de gobierno corporativo

Anteriormente, se explicó que el gobierno corporativo incluye una serie de normas y regulaciones que aplican a los órganos corporativos de la empresa, estableciendo conexiones entre ellos.

Es más, la evolución de las empresas durante su expansión y crecimiento, siempre tiende a internacionalización, y esto conlleva el aumento de la complejidad de las operaciones, negocios y, evidentemente, de los riesgos tanto legales, como de imagen pública.

Por ello, la profesionalización tanto de gestión como de gobierno corporativo, será la clave del éxito y del mantenimiento del crecimiento y expansión de la organización.

Las normas o regulaciones que articulan el gobierno corporativo, lo hacen de la siguiente forma:
  • En la toma de decisiones que afecte a la dirección estratégica y a las políticas de origen corporativo, como son las fusiones, inversiones o adquisiciones, o también, para los planes de sucesión o el nombramiento de ejecutivos.
  • Sobre los mecanismos de control del funcionamiento de la dirección ejecutiva y de la implementación del plan estratégico.
  • Legal Compliance o Cumplimiento Legal: de manera que se asegure el cumplimiento de las normas y regulaciones, tanto internas como externas, y en todos los niveles de la organización.
  • Por supuesto, sobre todos y cada uno de los órganos corporativos que conforman la organización y sus derechos y obligaciones. Esto es, la Junta Directiva, el Consejo de Administración y los accionistas.
En definitiva, si se aplica un código de buen gobierno, la confiabilidad y seguridad harán de ella una empresa de reconocimiento, de manera que se mantendrá exitosa a lo largo del tiempo, mejorando su imagen de marca, acceso a mercados extranjeros y atrayendo a talentos e inversores diversos.



¿Cómo el gobierno corporativo puede generar valor?

La exitosa articulación de las normas de gobierno corporativo en una empresa u organización, trae consigo una serie de beneficios que son bastante predecibles.

Es decir. Evidentemente, las prácticas de buen gobierno reducirán los gastos y ampliarán la visión de mercado y, por lo tanto, el valor de las acciones.

La toma de decisiones bien gestionada, demuestra su eficacia aumentando la competitividad de la empresa, generando valor.

Ya se comentó anteriormente, la existencia de la figura del compliance officer que, en este sentido, se hace fundamental para el cumplimiento y control de la legalidad que aplica a la empresa y que servirá como vía principal de acceso a mercados internacionales.

Finalmente, y no por ello menos importante, considerar otros grupos de interés, como son proveedores, clientes y empleados a través de la asimilación de criterios o requisitos de Responsabilidad Social Corporativa, hará que la empresa sea reconocida por sus méritos y buen gobierno.


Tomado de: https://www.isotools.org

viernes, 6 de septiembre de 2019

GESTIÓN DE RIESGOS: TÉCNICAS DE EVALUACIÓN DE RIESGOS - Norma IEC 31010: 2019

En el pasado mes de junio de 2019, ISO publicó la segunda edición de la norma IEC 31010. Este documento, que consta de 264 páginas ha sido elaborado por el Comité Técnico ISO/TC 262 Gestión de riesgos.
Este comité se creó durante el año 2011, la secretaría está a cargo de BSI (British Standards Institution) de Reino Unido. En la actualidad, los cargos que componen el Comité Técnico ISO/TC 262 son:
  • Gerente del comité: Nele Zgavc
  • Presidente: Jason Brown
  • Gerente de Programa Técnico ISO [TPM]: Ben Carson
  • Gerente del Programa Editorial ISO [EPM]: Nicola Perou
Revisión de la norma IEC 31010

La primera edición de la norma IEC 31010 es del año 2009. Como sabemos, lo habitual es que ISO revise las normas cada 5 años. El proyecto de revisión de esta norma comenzó en el año 2016 y hasta su publicación definitiva, se han elaborado diversos borradores. El borrador CD fue aprobado en 2017, el DIS en marzo de 2018 y el FDIS en 2019. La norma en su documento definitivo se publicó concretamente el 17 de junio de 2019.



La norma IEC 31010 proporciona orientaciones sobre la selección y aplicación de técnicas útiles para la evaluación del riesgo en una gama diversa de situaciones. Estas técnicas se emplean para ayudar a la hora de adoptar decisiones donde existe inseguridad, para ofrecer información acerca de riesgos.

La norma en su publicación establece síntesis sobre diversas técnicas, donde además, se hace alusión a otros documentos en los que se describen estas técnicas con mayor especificación.

Al haberse publicado esta nueva versión, la primera del año 2009 que hemos mencionado con anterioridad pasa a no estar vigente. Con la actualización de la norma se incluye una serie de cambios, entre ellos:
  • Se aumenta el nivel de detalle de procesos de planificación, implementación, verificación y validación.
  • Se incrementa tanto el número de técnicas como su nivel de aplicación.
  • Los términos que contempla la ISO 31000, no se reitera en la IEC 31010.

La norma IEC 31010 proporciona orientaciones sobre la selección y aplicación de técnicas útiles para la evaluación del riesgo.

¿A quién le puede interesar la norma IEC 31010?
  • Aquellas personas que están inmersas en procesos de evaluación o gestión del riesgo.
  • Personal involucrado en la elaboración de guías sobre cómo realizar evaluaciones del riesgo en entornos concretos.
  • Personas que requieran adoptar decisiones donde existen inseguridades:
  • Responsables de las evaluaciones de riesgos.
  • Trabajadores que tengan que comprender los resultados obtenidos en las evaluaciones del riesgo.
  • Personas que deben seleccionar las técnicas de evaluación.
  • Entidades que tienen que llevar a cabo evaluaciones de riesgo.

Estructura de la IEC 31010
  • Introducción
  • Alcance
  • Referencias normativas
  • Términos y definiciones
  • Conceptos básicos
  • Uso de las técnicas de evaluación de riesgo
  • Implementación de evaluación de riesgos
  • Seleccionar técnicas de evaluación de riesgos
  • Anexo A
  • Anexo B


Tomado de: https://www.isotools.org

jueves, 5 de septiembre de 2019

¿CUÁLES SON LAS PRINCIPALES NOVEDADES DE LA NUEVA ISO 19011?


La Organización Internacional de Normalización, es una federación mundial de organismos nacionales de normalización. El trabajo que realizaron es el de la elaboración de las normas internacionales se realiza mediante los comités técnicos de ISO. 


Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las empresas internacionales, gubernamentales y no gubernamentales, también participan en el trabajo.


La norma ISO 19011 ha sido elaborada por el Comité de Proyecto ISO/PC 302, Directrices para la auditoría de los sistemas de gestión.


La tercera edición anula y sustituye a la segunda edición de la norma ISO 19011 que ha sido revisada.

Los principales cambios que trae consigo la nueva ISO 19011:2018 son los siguientes:
  • Adición del enfoque basado en riesgos a los principios de la auditoría
  • Ampliación de la orientación sobre la gestión de un programa de auditoría, incluyendo el riesgo que presenta el programa de auditoría
  • Ampliación de la orientación sobre la realización de una auditoría, particularmente la sección sobre planificación de la auditoría
  • Ampliación de los requisitos de competencia genérica para los auditores
  • Ajustar la terminología para reflejar el proceso y no el objeto
  • Eliminar el anexo que contenía los requisitos de competencia para auditar disciplinas específicas de sistemas de gestión
  • Ampliación del Anexo A para proporcionar orientación sobre la auditoría de conceptos como el contexto de la empresa, el liderazgo y el compromiso, las auditorías virtuales, el cumplimiento y la cadena de suministro.

Novedades en la norma ISO 19011


Desde que se publicó la norma ISO 19011 en el año 2011, se han publicado diferentes normas nuevas de sistemas de gestión, muchas de cuales tienen una estructura común, requisitos esenciales idénticos y términos comunes y definiciones esenciales. Como resultado, es necesario considerar un enfoque mucho más amplio para la auditoría de los sistemas de gestión, además de cómo proporcionar una orientación más genérica. Los resultados de las auditorías pueden proporcionar entradas para el aspecto de análisis de la planificación del negocio, y puede contribuir a la identificación de las necesidades y actividades de mejora.



Una auditoría puede llevarse a cabo en relación a una serie de criterios de auditoría, de forma separada o combinada incluyendo:
  • Los requisitos definidos en una o más normas de sistemas de gestión
  • Las políticas y los requisitos específicos de las partes interesadas de forma pertinente
  • Los requisitos legales y reglamentarios
  • Uno o más procesos del sistema de gestión definidos por la empresa o por otras partes
  • Los planes de sistemas de gestión que se relacionan con la provisión de salida específicas de un sistema
La norma ISO 19011 2018 proporciona orientación para todas las empresas, independientemente de su tamaño y tipo de organización, y auditorías con diferentes alcances, incluyendo aquellas llevadas a cabo por auditores individuales, ya sea en organizaciones pequeñas o grandes. La orientación debe adaptarse según sea apropiado el alcance, la complejidad y la escala del programa de auditoría.

La norma ISO 19011 se concentra en las auditorías internas y las auditorías realizadas por terceras personas. La norma también puede resultar útil para las auditoras externas realizadas con fines diferentes a una certificación de sistemas de gestión. La norma ISO 17021-1 proporciona los requisitos necesarios para realizar una auditoría de sistemas de gestión para la certificación. Dicho documento puede generar orientación adicional de utilidad.

Para simplificar la legibilidad de este documento, se prefiere la forma singular de sistemas de gestión, pero el lector puede adaptar la implementación de la orientación a su propia situación. Esto también aplica el uso de personas, auditor y auditores.

Se pretende que la norma ISO 19011 se aplique a un amplio rango de usuarios potenciales, incluyendo auditores, organizaciones que implantan sistemas de gestión y organizaciones que necesitan llevar a cabo auditorías de sistemas de gestión por motivos contractuales o reglamentarias. Sin embargo, los usuarios de este documento pueden aplicar esta orientación al desarrollar sus propios requisitos relacionados con auditorías.

La orientación se puede utilizar con el propósito de la auto declaración, y puede ser útil para empresas involucradas en la formación de auditores o en la certificación de personas.

La orientación en la norma ISO 19011 pretende ser flexible. Como se indica en varios puntos de la norma, el uso de esta orientación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de gestión de una empresa. También debe considerarse la naturaleza y la complejidad de la empresa que se debe auditar, así como los objetivos y el alcance de las auditorías que se van a llevar a cabo.


Tomado de: https://www.isotools.org

6 PASOS BÁSICOS EN LA EVALUACIÓN Y TRATAMIENTO DE RIESGOS EN ISO 27001


La evaluación y tratamiento de riesgos en ISO 27001 es un punto imprescindible para implantar un sistema de gestión de seguridad de la información. 


Forma parte del corazón de este estándar internacional, pero conseguir que esa tarea sea efectiva requiere conocer y aplicar correctamente el proceso.


Por ello, presentamos 6 pasos básicos para realizar la evaluación y tratamiento de riesgos en ISO 27001 de forma adecuada y siguiendo las buenas prácticas que promueve la norma.



Pasos básicos en la evaluación y tratamiento de riesgos en ISO 27001

ISO 27001 es un estándar que insta a la organización a identificar los incidentes que pueden ocurrir y que pueden representar un riesgo para la seguridad de la información. Además, la organización debe implementar acciones adecuadas para evitarlos, una vez se ha establecido la importancia de cada uno de los eventos.

Para llevar a cabo esta tarea es de gran utilidad recurrir a los 6 pasos que proponemos a continuación:


1. Establecer un marco de gestión de riesgos

Se trata de definir las reglas que regirán la gestión de riesgos. Se determina, entre otras cuestiones, quiénes serán los responsables de las tareas de gestión, los métodos de estimación del impacto y la probabilidad de ocurrencia de los posibles riesgos.

En este sentido, una metodología de evaluación de riesgos debe abordar cuatro temas:
  • Cómo serán los criterios de seguridad.
  • Qué escala de riesgo se empleará.
  • Cuál es el apetito de riesgo de la organización.
  • La evaluación de riesgos basada en activos.
2. Identificar los riesgos


La identificación de los riesgos que pueden afectar la confidencialidad, integridad y disponibilidad de la información, es la tarea más larga del proceso de evaluación y tratamiento de riesgos en ISO 27001. Se recomienda optar por un proceso de evaluación de riesgos basado en activos.

Desarrollar una lista de activos de información es un buen punto de partida. Será más fácil comenzar la labor a partir de una lista existente de copias impresas de información, archivos electrónicos, dispositivos móviles e intangibles, etc.


3. Analizar los riesgos

En primer lugar se han de establecer las amenazas y debilidades de cada activo. Por ejemplo, la amenaza puede ser “el robo de un dispositivo móvil” y la debilidad asociada es que “no existe una política establecida con respecto al uso tales dispositivos”. Lo siguiente es asignar un impacto y un valor de probabilidad de acuerdo con los criterios que se hayan establecido en el paso 1.


4. Evaluar los riesgos

Un siguiente paso es la evaluación. En ella, se deberá medir cada uno de los riesgos frente a sus niveles predeterminados de aceptabilidad. Tras eso, se determinará qué riesgos serán abordados y se priorizará en qué orden.



5. Seleccionar opciones de tratamiento de riesgo

En este punto, retomamos las cuatro opciones de la gestión de riesgos clásica, utilizada en gestión de la calidad, de la seguridad y salud en el trabajo o del medio ambiente: 
  • Evitar el riesgo eliminándolo por completo.
  • Modificar el riesgo, poniendo en marcha controles de seguridad.
  • Compartir el riesgo o trasladarlo a un tercero.
  • Retener el riesgo, solo si se trata de un nivel aceptable.
6. Compilar informes de riesgos


La norma ISO 27001 requiere que la organización establezca un conjunto de informes sobre la evaluación de riesgos con fines de auditoría y certificación. Para cumplir con ese punto, dos informes resultan imprescindibles:
  • Declaración de aplicabilidad: su propósito es crear una lista de verificación según lo recomendado por el Anexo A de ISO 27001. Además, con ella se pretende obtener documentación sobre si se ha establecido el control, si ha sido implementado o no y una justificación para su inclusión o exclusión.
  • Plan de tratamiento de riesgos: describe cómo la organización planea gestionar los riesgos identificados en la evaluación de riesgos.
Finalmente, y como colofón a esta ardua tarea, la organización implementa el Plan de Tratamiento de Riesgos, que es, en resumen, el momento en que se pasa de la teoría a la práctica. Es aquí donde comprobamos que lo que hicimos sobre el papel, en verdad funciona en la realidad. Por supuesto, es probable que sean necesarios algunos ajustes, antes de iniciar la redacción del documento final.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

ACCIDENTES/INCIDENTES EN LOS SISTEMAS DE GESTIÓN SST


En el día de hoy vamos a tratar la publicación sobre los accidentes/incidentes en los Sistemas de Gestión SST (Seguridad y Salud en el Trabajo).

Vamos a conocer cuales son las etapas que debemos considerar cuando se genere algún evento.

Para realizar una gestión de accidentes/incidentes de la más eficiente posible, es necesario tener en cuenta los siguientes aspectos clave:

  • Reportabilidad
  • Comunicación
  • Recopilación de información
  • Investigación
  • Plan de acción
  • Conocimiento

Reportabilidad

Un factor clave es que el reporte del incidente se haga de la forma más rápida y con la información clave suficiente.

La burocracia suele ser un problema en estos casos, haciendo que el reporte se complete tiempo después del suceso, lo cual hace que se pierdan datos o se posterguen acciones.

Habitualmente se confunde el reporte inicial, con un reporte de mayor envergadura que se usa para la investigación y para dar cumplimiento legal.
Comunicación

La comunicación es un elemento clave en cualquier tipo de proceso, pero en el caso que tratamos hoy sobre accidentes/incidentes en aspectos de la Seguridad y Salud en el Trabajo, se convierten en vitales. La comunicación debe ser adecuada en:
  • Tiempo
  • Forma
  • Contenido
La organización deberá establecer un protocolo de comunicación que incluya los tiempos de respuesta, cómo voy a entregar esa información, los items que se incluirán y las personas que serán informadas.

Recopilación de información

Para llevar a cabo un buen análisis de causas, es fundamental que la etapa anterior de recopilación de hechos y datos sea lo más precisa y amplia posible, y que no se base en hipótesis y juicios sibjetivos del investigador o personas entrevistadas.

Para obtener una buena información debemos:

Solamente tener en cuenta los hechos reales y contrastados, no podemos hacer «interpretaciones» o «juicios de valor» respecto al mismo, ya que el accidente/incidente ocurrió porque se produjeron unos hechos (y no otros) en un orden específico, en el mismo lugar y en el mismo tiempo.

Investigación accidente/incidente

Pocas cosas hay más importante en la gestión de accidentes/incidentes que la investigación. Se trata de una actuación preventiva cuyo punto de arranque es, paradójicamente, la previa existencia de un accidente de trabajo.

El análisis de las causas de los accidentes e incidentes conlleva ciertas dificultades para poder realizarlo en profundidad. Así por ejemplo, se observa que en el análisis de causas, por una parte, suele predominar las causas inmediatas, frente a las causas básicas u origen y fallos en el sistema y, por otra, que las causas se suelen centrar principalmente en factores técnicos y humanos fundamentalmente y hay poca atención en los fallos del sistema.

Existen diversas metodologías para el análisis de causas que producen un incidente, entre ellos:

  • 5 ¿Por qué?
  • Análisis funcional de la operatividad
  • Árbol de causas
  • Método de análisis de la cadena causal
  • Etc.

Árbol de causas

Un método de investigación que está muy extendido es el que acabamos de enumerar como árbol de causas. Se trata de un diagrama que refleja la reconstrucción de la cadena de antecedentes del accidente, indicando las conexiones cronológicas y lógicas existentes entre ellos.

Iniciándose en el accidente, el proceso va remontando su búsqueda hasta donde tengamos que interrumpir la investigación.

Las fases para llevar a cabo son:
  • Toma de datos
  • Organización de los datos
El árbol de causas o diagrama de factores del accidente persigue evidenciar las relaciones entre los hechos que han contribuido a la producción del accidente.

Por ejemplo, yo tengo como evento un choque con un semáforo, como consecuencia una lesión del conductor. La causa inmediata sería que no responden los frenos.

Si nos centramos en los elementos de las causas básicas, podemos mencionar:
  • Factores del trabajo
  • Factores del trabajador
Método de análisis de la cadena causal

Este método está basado en el modelo causal de pérdidas, el cual pretende, de una manera relativamente simple, hacer comprender y recordar los hechos o causas que dieron lugar a una pérdida.

Sus fases son las siguientes:
  • Anotar las pérdidas
  • Anotar los contactos o formas de energía que causaron la pérdida
  • Elaborar un listado de causas inmediatas (actos y condiciones inseguras o subestándar)
  • Desarrollar un listado de causas básicas (factores personales y del trabajo)
  • Elaborar un listado de faltas de control
Plan de acción

Cuando ya ha quedado establecida la causa o causas, es importante establecer un plan de acción acorde al supuesto dado con el objetivo de corregir la causa que motivó dicho suceso.

Más allá de un conjunto de tareas planificadas en el tiempo, tendríamos que poder correlacionar los resultados de la ejecución del plan, con el grado en el que solucionan las causas que motivan dicho plan.


Tomado de: https://www.isotools.org