miércoles, 28 de noviembre de 2018

5 ERRORES DE GESTIÓN DE CALIDAD QUE TODO PROFESIONAL DEBERÍA EVITAR


Solemos creer que los profesionales no cometen errores de gestión de la calidad, ya que son ellos, precisamente, los que se encargan de identificar los procesos o las personas que originan los fallos en un SGC.
Lo cierto es que los profesionales del área, también pueden cometer errores de gestión de calidad, que resultan mucho más traumáticos si se tiene en cuenta que sobre ellos – los profesionales en gestión de la calidad -, recae la presión de la Alta Dirección y de su equipo de trabajo.

Pero ¿Cuáles son esos errores de gestión de calidad que tanto pueden afectar el trabajo de los profesionales en este campo? Conozcamos los 5 principales:

5 errores de gestión de calidad que todo profesional debe evitar

El papel de profesional implica liderazgo. Es el ejemplo a seguir, y por ello, cualquier error que cometa resulta mucho más evidente y produce un impacto mucho mayor.



1-) Utilizar el temor como una herramienta: a corto plazo, el temor puede parecer una herramienta eficaz. Sin embargo, si un profesional en gestión de la calidad, desea contar con el apoyo y la participación activa de los empleados, este puede que no sea el mejor camino. El temor no puede corregir errores derivados de la falta de conocimiento, problemas en el grupo de trabajo, deficiencia de recursos…

La solución: abrir líneas de comunicación amigables. Establecer la causa raíz de la no conformidad, antes de intimidar con cartas de advertencia.

2-) Centrarse en buscar culpables en lugar de implementar medidas preventivas: usualmente, el papel del profesional lo lleva a atender emergencias, apagando incendios por doquier, y estableciendo culpables en lugar de implementar medidas preventivas. Esto convierte el trabajo del profesional en una acción casi judicial que solo persigue mostrar un culpable y “eliminarlo”, para así conjurar el peligro de repetición, sin verificar si en verdad es la persona el origen del riesgo.

Solución: siempre enfocarse en la acción preventiva. Aún, cuando el empleado sea el generador de riesgo, la solución no es simplemente reemplazarlo. Es necesario encontrar empleados competentes y que posean las competencias necesarias para desempeñar el rol que se les asigne en la organización.

3-) No ver el bosque, por estar viendo los árboles: lo más fácil es suponer que una no conformidad se origina en un fallo de un trabajador. Ello por supuesto, prescindiendo de una investigación exhaustiva o de resultados sólidos producto de una auditoría. Los resultados de investigaciones o de auditorías nos ofrecen un panorama integral que nos permite tomar mejores decisiones.

Solución: las investigaciones, los datos, los informes de auditoría, siempre deben ser revisados antes de tomar cualquier decisión.

4-) Tratar de cambiar todo a la vez: el rol del profesional de calidad, por naturaleza es dinámico y propicio al cambio. Exagerar y tratar de cambiar todo en la organización en una sola semana, no solo es uno de los mayores errores de gestión de calidad, sino que puede tener un impacto negativo de gran peso en la organización.

Solución: iniciar por pequeños proyectos en una determinada área. Una vez se compruebe su efectividad y se establezcan protocolos para su implementación, proceder con otras áreas, pero, aún así, de una en una. 

5-) Desestimar el valor de la formación: el profesional de la calidad puede, en un momento dado, creer que lo sabe todo y que su paso por las aulas es una etapa ya concluida. Gestión de Calidad y normas ISO son temas en los que es preciso aprender a diario.

Solución: cursos de certificación de calidad, como herramienta excelente para cumplir con el papel de profesional de la calidad con excelencia.


Tomado de: https://www.escuelaeuropeaexcelencia.com

EVALUACIÓN DEL DESEMPEÑO Y MEJORA EN ISO 14001:2015


Evaluación del desempeño y mejora en ISO 14001 es el tema del que se ocupa la cláusula 9 de la norma, desarrollado en sus tres primeros apartados. 

Todos los estándares ISO buscan cumplir con un objetivo y obtener un resultado. En el caso de ISO 14001 es la mejora del desempeño ambiental.


Aunque las versiones anteriores de la norma tuvieron como requisito la obligación de supervisar las áreas donde existía una mayor probabilidad de sufrir un impacto ambiental negativo, la evaluación del desempeño y mejora en ISO 14001 es un requisito formal, en el que se da mayor importancia a la medición y el monitoreo.


Aspectos a considerar en la evaluación del desempeño y mejora en ISO 14001

La pregunta fundamental es: ¿qué debemos medir? La respuesta inmediata es “el desempeño”, por supuesto. Pero ¿dónde lo medimos?, ¿qué métodos utilizaremos para realizar la medición?, ¿cuándo y cómo haremos el monitoreo, evaluaremos y analizaremos los datos?

La respuesta a estas preguntas debe conocerse antes de iniciar la evaluación del desempeño y mejora en ISO 14001. Las organizaciones deben definir la información necesaria para acometer esta tarea, delegar las responsabilidades, disponer los recursos físicos, técnicos, humanos y financieros.

Un Sistema de Gestión Ambiental basado en la norma ISO 14001 requiere supervisión permanente, al igual que revisiones periódicas –que pueden incluir auditorías– con el fin de:
  • Conocer la efectividad del SGA.
  • Establecer si se cumplen los requisitos exigidos por la norma ISO 14001.
  • Determinar si se cumple con la normativa legal de cada país, los requisitos de las partes interesadas y si el SGA está alineado con la política y la estrategia de negocios de la organización.
  • Revisar la idoneidad, adecuación, efectividad y eficiencia del SGA.
  • Verificar que la planeación ha sido adecuada y se ha implementado con éxito.
  • Analizar la efectividad de los procesos.
  • Establecer si existen oportunidades de mejora del SGA y determinar si se han emprendido las acciones para aprovecharlas.

Importancia de la evaluación del desempeño y mejora en ISO 14001


Un Sistema de Gestión Ambiental que no cuente con procesos efectivos de medición, supervisión, monitoreo, evaluación y análisis, es similar a un coche que transita en una noche oscura, sin faros, sin instrumentos y sin un rumbo definido.

El monitoreo, a la luz de lo dispuesto por la norma ISO 14001, significa que la organización tiene los medios requeridos para verificar, inspeccionar, revisar y auditar las actividades que se han planificado y así, asegurarse de que todo ocurre según se planificó.

Para ello, la organización dispone de controles operacionales. Las auditorías, las inspecciones o cualquier tipo de verificación visual, son ejemplos de controles operacionales que resultan ser herramientas útiles para cumplir con el requisito de evaluación del desempeño y mejora en ISO 14001.

Los controles operacionales nos ayudan a:
  • Evaluar el desempeño ambiental.
  • Conocer y analizar las causas raíz de los problemas de gestión ambiental.
  • Evaluar el cumplimiento de requisitos legales.
  • Identificar no conformidades y áreas que requieran la implementación de acciones correctivas.
  • Mejorar la eficiencia del sistema y aumentar su rendimiento.
ISO 14001 no requiere específicamente que utilicemos KPI – Indicadores Clave de Rendimiento -. No obstante, es evidente que la cláusula 9 exige que la organización determine los criterios con que se evaluará el desempeño ambiental y defina los indicadores apropiados para tal medición.


Tomado de: https://www.escuelaeuropeaexcelencia.com

lunes, 26 de noviembre de 2018

CAPÍTULO 9 DE LA ISO 9001: EVALUACIÓN DEL DESEMPEÑO

Uno de los capítulos de la norma ISO 9001 de gestión de la calidad que más interés suscita es el capítulo 9 sobre la evaluación del desempeño.

Esto es debido, principalmente, a que en este capítulo se desarrolla la parte relacionada con:
  • El seguimiento, medición, análisis y evaluación del sistema de gestión de calidad.
  • La auditoría interna.
  • Y la revisión por la dirección.

Es decir, comprende todas las formas en las que el sistema de gestión puede ser evaluado, pudiendo aplicarse tanto en todo el sistema de gestión, como también en cada uno de los procesos involucrados.

Es por ello, que en el artículo que desarrollaremos hoy, se explicarán los apartados que se exponen dentro de este capítulo, con objeto de facilitar la comprensión de éste y mostrar algunos elementos importantes que podrán resolver más de una duda ente nuestros lectores.

No obstante, para conocer algunas de las cuestiones fundamentales sobre la norma ISO 9001 de calidad, le recomiendo a que visite nuestro artículo ¿Qué debemos saber de la norma ISO 9001?

9.1 seguimiento, medición, análisis y evaluación del sistema de gestión de calidad

9.1.1 Generalidades

En este apartado, norma dice que la organización tiene que determinar:
  • Qué necesita seguimiento y medición.
  • Cuáles serán los métodos utilizados para el seguimiento, medición, análisis y evaluación del sistema de gestión, con la finalidad de asegurar unos resultados que sean lo más válidos posibles.
  • Cuándo realizar el seguimiento y medición.
  • Y cuándo analizar y evaluar los resultados que han sido obtenidos tras la realización del seguimiento y la medición.
De esta manera, se garantiza la evaluación del desempeño y la eficacia del sistema de gestión de la ISO 9001 por parte de la organización.

Por otro lado, también indica el deber de conservar la evidencia de los resultados en forma de información documentada.

¿Qué son los indicadores claves del desempeño (KPI)?

Antes de continuar desarrollando los siguientes apartados, es conveniente describir qué son los indicadores claves del desempeño o KPI (del inglés, Key Performance Indicator), ya que se trata de un elemento crucial para el seguimiento, medición, análisis y evaluación del sistema de gestión de calidad de la norma ISO 9001.

Un KPI es una medida del nivel de desempeño de un proceso en cuestión, que estará vinculado a un objetivo concreto y fijado con anterioridad.

Normalmente, se expresa en porcentaje.

De este modo, no se trata de disponer de una gran cantidad de indicadores, sino que deben ser los suficientes y adecuados, de manera que nos sirvan para realizar una “radiografía” de nuestro sistema de gestión, en función del estado de nuestros procesos.

A través de la información aportada por los KPI, es como puede obtenerse la mejora continua.

9.1.2 Satisfacción del cliente

Cualquiera que conozca esta norma, sabrá que uno de los 7 principios que establece la ISO 9001 es precisamente la relacionada con el enfoque al cliente.

Es más, literalmente indica que “La organización debe realizar el seguimiento de las percepciones de los clientes del grado en que se cumplen sus necesidades y expectativas”.

En este caso, queda bien claro que es la organización la que tiene que determinar qué métodos va a utilizar para obtener la información necesaria y cómo realizar el seguimiento y revisión de dicha información.

Aunque no especifica qué herramienta utilizar para recabar esta información, ya que dependerá del contexto de la empresa, si indica algunas posibles herramientas. Estas podrían ser:
  • Encuestas al cliente.
  • Retroalimentación del cliente sobre los productos y servicios entregados.
  • Las reuniones con los clientes.
  • Análisis de las cuotas de mercado.
  • Felicitaciones.
  • Garantías utilizadas.
  • Informes de agentes comerciales.
  • No obstante, es fundamental en este apartado disponer de métodos innovadores y creativos que fomenten la participación de los clientes en la evaluación de la satisfacción.
9.1.3 Análisis y evaluación

También está relacionado con otro de los 7 principios que establece la ISO 9001: toma de decisiones basada en la evidencia.

Es más, se trata de efectuar el análisis oportuno de la información que hemos recabado.

Así, la norma nos dice que “La organización debe analizar y evaluar los datos y la información apropiados que surgen por el seguimiento y la medición”.

En base a este análisis, los resultados se utilizarán para evaluar:
  • Conformidad en los productos o servicios de la empresa.
  • Grado de satisfacción del cliente.
  • Desempeño y la eficacia de sistema de gestión basado en la norma ISO.
  • Implementación eficaz de todos los elementos incluidos en la planificación.
  • Si las acciones llevadas a cabo para abordar los riesgos y oportunidades han sido eficaces.
  • El desempeño de los proveedores externos.
  • Muy importante, conocer si el SG de la norma ISO 9001 necesita mejora.

Para obtener estos datos, se recomienda el manejo de técnicas estadísticas y mantener información documentada al respecto.

9.2 Auditoría interna

He aquí uno de los apartados de la norma ISO 9001 que más capacitaciones solicita y que más miedo provoca a la mayoría de las empresas.

En la auditoría interna, se evalúa el sistema de gestión, de manera que se verifique el cumplimiento de los requisitos de la ISO 9001 y de los propios de la organización (conformidad con los requisitos).

Las fuentes de estas evidencias suelen ser la documentación, la observación y las entrevistas personales.

En este punto, la alta dirección debe asumir la responsabilidad de que las auditorías salgan bien, ya que estos resultados están relacionados con el siguiente punto (9.3 de revisión por la dirección).

En definitiva, la organización tiene que planificar y programar las auditorías, estableciendo plazos, responsables y conservando información documentada como evidencia.

9.3 Revisión por la dirección

Como en todas las normas ISO, en la norma ISO 9001 la alta dirección es la máxima responsable del SG, debiendo revisarlo periódicamente para verificar su eficacia y alineación con la dirección estratégica de la organización.

Tomado de: https://www.isotools.org

¿ESTÁN PREPARADOS? SE ACERCA UNA NUEVA VERSIÓN EFQM


Como podemos deducir a partir del título del artículo, se aproxima una nueva versión EFQM. 
Es cierto que aún no se sabe con exactitud qué novedades traerá esta nueva versión. Además, lo que se sabe de ella aún es poco. Por ello, recopilaremos a lo largo de este artículo lo más importante de la versión actual y la nueva versión EFQM.

A continuación, empezamos con lo más básico, su definición.



¿Qué es el modelo EFQM?

El modelo EFQM es un modelo de excelencia que, igual que la norma ISO 9001 utiliza el concepto de calidad total, pero que no es un sistema de gestión en sí mismo.

El modelo EFQM es una herramienta de evaluación y mejora. Se basa en realizar una autoevaluación de la empresa donde las personas evalúan su forma de funcionar, y a partir de ahí se consigue una calificación y se sacan los puntos fuertes y las áreas de mejoras para la empresa.

¿Cuál es su filosofía?

La filosofía tanto de la nueva versión EFQM como de la actual son las mismas. «Lo que no se mide, no se puede mejorar». Esto quiere decir, que con este modelo se pretende medir diversos factores para alcanzar la Excelencia.

Por eso, si se sigue esta filosofía se podrán analizar y medir los KPI importantes para una organización y de este modo encontrar los puntos fuertes y potenciarlos al igual que las oportunidades de mejora. A partir del análisis de esas mediciones se podrán definir los objetivos de la empresa y tomar decisiones basadas en la evidencia.

¿De qué está formado el Modelo de Excelencia?

Está formado por los Valores de la Excelencia, el Esquema REDER y el modelo EFQM en sí.
  • Valores de la Excelencia que incluyen: Adición de valor para los clientes, Creación de un futuro sostenible, desarrollo de la capacidad de la organización, liderazgo con visión, inspiración e integridad, aprovechamiento de la creatividad e innovación, gestión ágil, mantener buenos resultados excelentes en el tiempo.
  • Esquema REDER: nos ofrece una herramienta que además de analizar el rendimiento, también analiza la madurez de la gestión organizativa. Este esquema incluye: Resultados, Enfoques, Desplegar, Evaluar, Revisar y Perfeccionar.
  • El Modelo EFQM: este modelo nos permite entender las relaciones causa-efecto existentes entre las acciones de la organización, es decir, la gestión y lo que consigue, los resultados.
La nueva versión del modelo se llamará EFQM Excellence Model 2020 y buscará alcanzar la excelencia y mantenerla en las organizaciones.

Preguntas frecuentes sobre EFQM

Aquí encontramos una serie de preguntas que podrían interesarle.



¿Quién está detrás del modelo EFQM?

Este modelo está respaldado por EFQM (European Foundation for Quality Management), que es una organización sin ánimo de lucro. La sede se encuentra en Bruselas y su origen data al 1988. El objetivo de la organización es ayudar a que las empresas europeas sean más fuertes, competitivas y cumplan con los valores de Excelencia ya mencionados en sus negocios y actividad.



¿Qué puede aportar el modelo EFQM?

Hoy en día, las empresas que deseen tener éxito necesitan llevar una gestión adecuada para hacer frente a la complejidad del entorno en el que se mueven. Con la nueva versión EFQM, y también con la antigua, se ofrece un marco de trabajo y unas pautas que facilitan a las organizaciones la forma de analizar su gestión y también les permite poner en funcionamiento, para poder prever los cambios del entorno local y global.

Si queremos concretar, podemos decir que nos ayuda a:
  • Encontrar los puntos fuertes y oportunidades para mejorar el trabajo en equipo. Esto favorece la participación.
  • Establecer prioridades para saber dónde hay que actuar primero.
  • Ayuda a definir un nivel de excelencia en gestión, es decir, permite puntuar los aspectos claves medidos.
Este modelo lo usan más de 30.000 organizaciones. Y se pretende que con la nueva versión EFQM lo usen incluso más organizaciones.


¿Cuáles son las novedades de la nueva versión EFQM?

La nueva versión EFQM tendrá se llamará EFQM Excellence Model 2020 ¿Cuál será su objetivo? Simplemente esta versión pretende ser un modelo de clase mundial reconocido globalmente y no solo en Europa como hasta ahora. Con él se pretende evaluar y orientar a las organizaciones para que consigan mejor rendimiento.

Siguiendo la versión anterior, se quiere conseguir la excelencia sostenible a través de la participación de dirigentes para aprender, compartir e innovar mediante el modelo de Excelencia.

Tomado de: https://www.isotools.org

viernes, 23 de noviembre de 2018

¿CÓMO ESTABLECER UN PLAN DE GESTIÓN DE RIESGOS EN PROYECTOS?

Para realizar un plan de gestión de riesgos en proyectos es necesario planificar la gestión de riesgos, es decir, identificarlos realizando un análisis cualitativo y cuantitativo, planificar una respuesta y establecer un seguimiento.

Identificar los riesgos de un proyecto

Para realizar un plan de gestión de riesgos se deberá establecer una planificación junto con el seguimiento. La gestión de riesgos es gran parte del trabajo de un Project Manager.


Cuando mejor sea la planificación, mejor será el proyecto de gestión de riesgos. Los gerentes de proyectos deberán establecer la planificación del proyecto de gestión de riesgos. Además, el equipo será el encargado de ejecutar dicho proyecto.

Los riesgos deben ser identificados desde el inicio del proyecto. Durante la planificación, el gerente del proyecto tiene que identificar los riesgos que pueden afectar al proyecto. Por lo tanto, se introducen en el proyecto todas las acciones o elementos de control, ante dichos riesgos.

Los cambios que se generen en el proyecto deberán realizarse por los directores del proyecto. Es necesario que se piense que los riesgos siempre van a existir dentro de nuestros proyectos. Lo único que sabemos con seguridad es que existirán riesgos y cambios.

Preguntas frecuentes gestión de riesgos

Existen cuatro preguntas frecuentes en la gestión de riesgos, que son las siguientes:
  • ¿Qué es lo primero que tengo que hacer ante un riesgo?
  • ¿Realizar un análisis cualitativo de los riesgos?
  • ¿Cómo realizar un análisis cuantitativo de los riesgos?
  • ¿La manera de hacer un checklist de los riesgos?
Los riesgos que resultan del producto obtenido del proyecto son muy evidentes. El director del proyecto deberá ver otros muchos riesgos que no son tan evidentes.

Los riesgos del proyecto no se encuentran solo, siempre se encuentran interrelacionados. Los riesgos son el elemento más importante del proyecto y el que se encuentra en más partes del proyecto. Entonces, tienen la tendencia de afectar a diferentes áreas que en un principio no afectaba. Por lo tanto, la formación y la experiencia del director del proyecto son muy importantes.

La relación de los riesgos

Los riesgos siempre se encuentran relacionados. En consecuencia, no se puede realizar un buen plan de gestión de riesgos si se encuentra aislado de lo que sucede en todas las áreas del proyecto. El alcance, tiempo, coste, calidad, comunicación, RRHH, adquisiciones, etc. del proyecto son áreas que alimentan el riesgo. Además, el Project manager tiene que encontrarse formado en las áreas de conocimiento necesarias para ejecutar el plan de gestión de riesgos en proyectos.

Para establecer el plan de gestión de riesgos, el Project Manager no puede encontrarse solo. El director del proyecto deberá liderar la gestión de riesgos, pero tampoco puede hacerlo solo. Deberá contar con la ayuda del resto del equipo del proyecto. De igual forma que se realizan las planificaciones y reuniones de las tareas del alcance o controlamos el cronograma, el gerente del proyecto debe de contar con una estructura establecida de reuniones para realizar un seguimiento adecuado a todos los riesgos.

Los riesgos pueden aparecer y desaparecer de forma rápida. En consecuencia, durante la fase de planificación del proyecto lo debemos revisar todo de forma cíclica. Además, según los nuevos elementos que impactan en los que ya tenía. En definitiva, surgen nuevos riesgos para el proyecto.


Los riesgos no solo se controlan en la planificación. Al igual que el alcance, el tiempo y el coste, se deberán monitorizar de forma continua, lo mismo que se hace con los riesgos. Debemos ver cómo se comportan a lo largo del proyecto. Nos encontramos con riesgos que tienen una probabilidad muy baja que después, a lo largo de la vida del producto, se convierten en riesgos de nivel alto y viceversa.

En consecuencia, que se continúe con la planificación de los riesgos en el seguimiento del proyecto. Ya que los riesgos del proyecto que se ubican en el futuro pueden provenir de diferentes lugares. Los proyectos se ven afectados por riesgos que pueden surgir de cualquier parte.

Llevar a cabo un análisis cuantitativo de los riesgos es necesario para establecer diferentes respuestas efectivas ante los riesgos. Además, la disponibilidad del tiempo y presupuestos suficiente determinará los métodos que se utilizan en un proyecto en particular.

Las mejores estrategias de gestión de riesgos

Existen distintas estrategias para hacer frente a los riesgos negativos y los riesgos positivos. Los directores de proyectos deben realizar la gestión de riesgos debido a:
  • Planificar la identificación de los riesgos de proyectos.
  • Llevar a cabo el análisis de los riesgos de proyectos.
  • Ofrecer una respuesta a los riesgos del proyecto.
Los directores de proyecto buscan:
  • Incrementan la probabilidad del impacto de los elementos positivos para el proyecto
  • Disminuye la probabilidad de los negativos
Según nos encontremos riesgos negativos o positivos debemos establecer una estrategia diferente.

La matriz de riesgos del proyecto

La matriz de riesgos del proyecto nos facilita la elaboración de un plan de contingencia para atacar los riesgos que apetezcan en el proyecto.

Tendremos que hacer un análisis cualitativo de los riesgos del proyecto. Mediante una matriz de riesgo del proyecto que me permita elaborar un plan de contingencia de riesgos. Tenemos que posicionar los riesgos con respecto a su impacto y probabilidad. Son los dos grandes medidores del riesgo. Si tiene una probabilidad baja o alta, o un impacto bajo o alto.

Para poder hacer un análisis de riesgo fácil e intuitivo. Utilizamos el trabajo que ya tenemos y lo acoplaremos a los riesgos del proyecto. Es necesario realizar una descripción jerárquica de los riesgos por cada paquete de trabajo, tareas y actividades que tenemos definidas. Por lo tanto, es una herramienta que se encuentra basada en el proyecto y es fácil de volver a generar cuando estas en planificación. Se necesita que se identifiquen los riesgos para documentar el tipo de características y poder evaluarla.

En conclusión, identificar los riesgos es un proceso iterativo. No acaba en la planificación del proyecto. Se debe seguir identificado los riesgos en el seguimiento, hacerlo durante toda la vida del proyecto.


Tomado de: https://www.isotools.org

martes, 20 de noviembre de 2018

CÓMO REALIZAR UN ANÁLISIS DE CAUSA RAÍZ EFECTIVO

Al realizar un análisis de causa raíz, usualmente no somos conscientes de que estamos ante una poderosa herramienta de gestión de riesgos, desarrollada por el ingeniero japonés Kaoru Ishikawa. 

Tal vez ello se deba a la simpleza misma de este método de evaluación.

Realizar un análisis de causa raíz es, en esencia, evaluar un problema desde 6 perspectivas distintas (los 6Ms que veremos después). Su finalidad consiste en establecer la o las posibles causas que lo originaron, determinar los responsables para abordarlas y medir la efectividad de las soluciones propuestas.

¿Cómo realizar un análisis de causa raíz efectivo?

Establecer el problema

La idea del Diagrama de Ishikawa es eliminar los problemas más graves en la organización hasta llegar a un punto en que solo queden problemas poco impactantes para la calidad. Y es precisamente por trabajar solo un problema a la vez y actuar sobre 6 de sus posibles causas, por lo que este análisis de causa raíz es considerado una herramienta muy útil y un pilar de la mejora continua en la gestión de riesgos.

Por lo tanto, el primer paso para realizar un análisis de causa raíz efectivo es determinar un único problema para ser discutido y evaluado. Éste orientará la reunión con su equipo, y todos los asuntos que no se relacionen directamente con él deben ser reservados para ser debatidos en otro momento.

Reúna a las personas que pueden contribuir con su análisis

Después de delimitar el problema, piense en aquellos que puedan ayudar en su análisis y en su resolución. El grupo debe integrarse con personas de todas las áreas involucradas, interesadas o afectadas por una posible solución del problema.

Es aconsejable que el grupo no sea inferior a 5 personas ni mayor a 10. Así se evita que el análisis sea muy restringido o superficial o que las discusiones se dispersen demasiado.

Haga una lluvia de ideas aplicando los 6 Ms

El siguiente paso es hacer una sesión de lluvia de ideas con esas personas y evaluar cada uno de los 6 Ms relacionados con el problema delimitado: Mano de obra, Métodos, Materiales, Máquinas, Medio ambiente y Medidas.

Si decide realizar esta reunión con personal técnico, es probable que las ideas se restrinjan a aspectos técnicos o tecnológicos cuando el error puede estar en una falta de capacitación o en un fallo humano.

Defina los plazos y los responsables

Después de hacer la tormenta de ideas, seleccione las más viables y documente cuáles serán ejecutadas y cuáles no serán consideradas. Esto es importante para definir que acciones correctivas se aplicarán realmente y quién será el responsable de ejecutarlas. Y no hay que olvidar establecer plazos concretos para realizar esas acciones.

Verifique los resultados

El último paso es reunir al equipo nuevamente y verificar cuáles fueron los resultados obtenidos con cada acción. Si no son satisfactorios, una nueva tormenta de ideas o alternativas que no hayan sido consideradas pueden ser rescatadas para llegar a la eliminación efectiva de la causa raíz del problema.

Como hemos visto, realizar un análisis de causa raíz efectivo es una forma económica y muy eficiente para llevar a cabo la gestión de riesgos, desde una actuación reactiva hasta una actuación realmente estratégica.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

viernes, 16 de noviembre de 2018

¿QUÉ SON LOS SISTEMAS DE INFORMACIÓN?

Un Sistema de Información permite gestionar la información de que dispone la organización y lo convierte en una elemento estratégico de gran valor para las empresas.

Las empresas manejan diariamente mucha información, tanto importante y vital como innecesaria.

La selección de una adecuada sección de esta puede suponer una mejora competitiva frente a otras empresas, pero cuando una organización no utiliza adecuadamente la documentación de que dispone puede estar cabando su propia tumba en un futuro cercano.

Para comprender adecuadamente que información debemos usar y cual no, debemos entender que es un sistema de información y su finalidad.

Definición de un Sistema de Información
La implantación de un Sistema de Información supone una gran ventaja competitiva.
La implantación de un Sistema de Información supone una gran ventaja competitiva.
La finalidad de un Sistema de Información es proporcionar la información necesaria que facilite la toma de decisiones en las empresas.

Básicamente, un Sistema de Información es un conjunto de procedimientos que, gracias a un orden establecido, permiten gestionar la información de que dispone la organización. Para conseguirlo se debe recoger adecuadamente la información y procesarla de forma eficaz para convertirla en entradas útiles de las bases de datos.

La finalidad de estos sistemas es proporcionar la información necesaria que facilite la toma de decisiones. De esta manera, estos sistemas se convierten en un elemento estratégico prioritario para la gestión empresarial debido a su gran utilidad y su gran fuente de valor.

Recomendación:

De forma general se aconseja que las empresas dispongan de un sistema de información delimitado por cada unidad operativa, ya que permite ver de forma objetiva la información, comprendiendo su definición y utilidad. Con este método se puede establecer en una empresa un sistema de información para el sector de finanzas, de marketing, de producción o de recursos humanos. Por el contrario, si dispones de una empresa muy pequeña se puede establecer solamente un sistema de información que tenga un alcance general.

Un Sistema de Información debe incluir sólo información útil, la que no se necesite o sea irrelevante representa una pérdida de tiempo para aquellos que desean usarla, y pueden llegar a ocultar información realmente valiosa. También debe ofrecer una información exacta. Este último es un requisito prioritario, ya que si los datos manejados son inexactos, la información carecerá de valor o será engañosa, lo que conducirá en todo caso a la posibilidad de adoptar decisiones erróneas como ya comentábamos anteriormente.

Campos en los que se centra un Sistema de Información:

Los elementos del Sistema de Información se centran en tres campos:
  • el primero de ellos es la Información y los Datos ya que con ellos trabaja el sistema, y se transforman unos datos (inputs) en información (outputs);
  • el segundo de los campos es el de Personas que forman parte del sistema de información y pueden ser personal técnico encargado de su diseño y correcto funcionamiento o los encargados de introducir los datos en el sistema, etc.;
  • y el tercer y último de los elementos son los elementos de soporte que sirven para dar soporte al sistema. En este último caso hay que tener en cuenta que si se tratara de un sistema automatizado habría que contemplar el hardware y el software.

Para finalizar voy a matizar que estos Sistemas de Información son la base de la Gestión Eficaz de una Empresa y suponen el 70 %  del trabajo a la hora de implantar eficientemente un  Sistema de Gestión de la Información según la ISO 27001.

La adecuada implantación de los sistemas de información, al igual que cuando implantamos un Sistema de Gestión de la Información según la ISO 27001, supone para la empresa una ventaja competitiva importante frente a otras organizaciones del mercado y generará un importante incremento en los beneficios al anticiparse y adaptarse a los movimientos del mercado.

Tomado de: https://www.sbqconsultores.es

DISEÑO DEL MARCO DE REFERENCIA PARA LA GESTIÓN DEL RIESGO EN ISO 31000:2018


Es necesario diseñar un marco de referencia para la gestión del riesgo en ISO 31000:2018. Para emprender esta labor la organización debe determinar, examinar y comprender su contexto interno, pero también su contexto externo.
El examen del contexto externo de la organización —con el fin de definir un marco para la gestión del riesgo en ISO 31000:2018— puede incluir, entre otros elementos, los siguientes:



Marco para la gestión del riesgo en ISO 31000:2018 – Los elementos del contexto interno y externo

El contexto interno puede examinarse de acuerdo con los siguientes factores:
  • Factores sociales, culturales, políticos, legales, regulatorios, financieros, tecnológicos, económicos y ambientales.
  • Factores internacionales, nacionales, regionales o locales.
  • Tendencias que afectan los objetivos de la organización.
  • Relaciones, percepciones, valores, necesidades y expectativas de las partes interesadas externas.
  • Relaciones contractuales y compromisos.
  • Complejidad de redes y dependencia de ellas.
Así, el contexto interno también puede ser examinado de acuerdo con elementos particulares:
  • Misión, visión y valores de la organización.
  • Estructura organizacional, autoridad, roles y responsabilidades.
  • Cultura de la organización.
  • Normas, directrices y modelos adoptados por la organización.
  • Recursos como conocimiento, capital, tiempo, personas y tecnologías.
  • Información, datos, sistemas de información y flujo de información.
  • Relaciones con las partes interesadas internas, teniendo en cuenta sus percepciones y sus valores.
  • Relaciones contractuales y compromisos.
  • Interdependencias e interconexiones.

Marco para la gestión del riesgo en ISO 31000:2018 – Compromiso


La Alta Dirección y los órganos superiores de gestión y supervisión, cada uno desde su posición, deben demostrar y articular su compromiso continuo con la gestión de riesgos. Esto se logra por medio de una política, una declaración o cualquier otra forma, que transmita con claridad los objetivos de una organización y su compromiso con la gestión de riesgos.

Tal declaración, aunque no está limitada a estos aspectos, debería incluir:
  • El propósito de la organización para gestionar el riesgo y la forma en que esto se alinea con sus objetivos y otras políticas.
  • El refuerzo ante la necesidad de integrar la gestión de riesgos en la cultura general de la organización.
  • El liderazgo de la integración de la gestión de riesgos en actividades comerciales centrales y en la toma de decisiones.
  • Autoridades y responsabilidades.
  • Aseguramiento de los recursos necesarios.
  • La forma en que se abordan los objetivos conflictivos.
  • Medición y presentación de informes, dentro de los indicadores de desempeño de la organización, que indiquen la mejora continua.
El compromiso de la gestión de riesgos debe comunicarse dentro de la organización y a las partes interesadas según resulte procedente.
Asignación de roles, autoridades y responsabilidades

El marco de referencia para la gestión de riesgo en ISO 31000:2018 debe considerar la asignación de responsabilidades y niveles de autoridad. Los órganos superiores de gestión y supervisión -como la Alta Dirección- deben garantizar que se asignen las autoridades y las responsabilidades con respecto a la gestión de riesgos y comunicarlos a todos los niveles de la organización enfatizando que la responsabilidad central es de todos sus miembros.

Así mismo, es necesario identificar a las personas que tienen algún nivel de autoridad o una responsabilidad dentro de la gestión de riesgos.
Asignación de recursos

Los órganos superiores de gestión y supervisión también deben garantizar la asignación de recursos, que deben incluir entre otros: recursos humanos, herramientas, procesos y métodos, sistemas de gestión de información y conocimiento, y programas de capacitación y formación.


Tomado de: https://www.escuelaeuropeaexcelencia.com

jueves, 15 de noviembre de 2018

LAS NORMAS ISO: IMPORTANCIA Y BENEFICIOS

La implantación de las Normas ISO ayudan a que las empresas apliquen eficazmente las nuevas tecnología y gestionen adecuadamente los recursos que disponen.

Las Normas ISO nos ayudan a aplicar las nuevas tecnologías a la vida diaria de la empresa y a gestionar adecuadamente los recursos de esta.

Es por esta razón que a las empresas les resulta de especial utilidad la implantación de las normas ISO que mejor se adapten a su caso. En este post vamos a indicar en que ayudan las normas ISO a las empresas desde una visión general.

Importancia de la aplicación de las Normas ISO:

Las Normas ISO aportan a las empresas una serie de procedimientos que garantizan el buen funcionamiento de todos los departamentos de la organización.

Muchas veces nos encontramos con que las empresas desconocen cuáles son los beneficios, las ventajas y, en definitiva, el por qué del nacimiento, de la existencia y del uso de las Normas ISO. Sin embargo, en este post vamos a aclarar algunos de estos aspectos para que sea fácil su comprensión. Para comenzar vamos a ver de forma general la utilidad de las Normas ISO para las empresas y luego veremos algunos aspectos que las Normas ISO ofrecen a la empresa para que se gestionen de mejor manera y consigan un mayor rendimiento de su trabajo.

En primer lugar, como nos dice la propia organización ISO en su publicación “10 good things…”  “las normas ISO contribuyen positivamente al mundo en el que vivimos, facilitan el comercio, difunden el conocimiento, propagan los avances innovadores en tecnología y comparten buenas prácticas de gestión y de evaluación de la conformidad.”
Las Normas ISO ayudan a que las empresas crezcan y utilicen todos sus recursos.
Sin embargo, es igual de importante la visión teórica de la organización que la imagen y las ideas que nos aportan las empresas que están habituados a utilizar las normas ISO en sus actividades diarias. Este es el caso de la entrevista a John F. Malloy Chairman, presidente de la empresa CEO Victaulic que se encuentra recogida en la Revista ISO Focus+ The Magazine of the International Organization for Standardization, Pág. 3 – 7 :
It is equally important that we be involved in organizations such as ISO that are helping to propel these industries forward in terms of better quality, safety and protection. Each country has its own standards and regulations. The complexity of those regulations varies from one country to another, and can also vary from region to region within a country. The harmonization of these individual performance criteria into a single, globally relevant standard can significantly increase our company`s operating efficiency.
En este fragmento en particular y en toda la entrevista John F. Malloy nos expone en que le ayudan las normas ISO en la vida diaria de la empresa e indica algunas de las ventajas. Una de estas ventajas a la que pocas veces se le da la importancia que posee es el hecho de que la aplicación de las normas ISO nos permiten hablar en un idioma común de calidad, es decir, facilita las exportaciones y las importaciones porque las empresas que tienen implantada alguna de las normas ISO les permite asegurar la calidad en el mismo nivel de exigencia de la otra empresa y les otorga una serie de procedimiento que garantizan la buena ejecución de las funciones en todos los campos de la empresa.

¿Para quiénes son de utilidad las Normas ISO?

Las Normas ISO se adaptan a todas las empresas sin importar su tamaño o actividad.

La publicación de la organización ISO que comentábamos anteriormente, “10 good things…” nos da la respuesta a esta pregunta: 
las Normas Internacionales ISO proporcionan muchos beneficios para las empresas en todo el mundo, tanto en los países industrializados como en desarrollo. Pero estos beneficios no son sólo para grandes corporaciones y grandes empresas. Las normas ISO también pueden ayudar a las pequeñas y medianas empresas (PYME). Por ejemplo, las Normas ISO proporcionan el estado de la técnica de las especificaciones de los productos y servicios. Pueden aumentar la eficiencia de los procesos. Pueden ayudar a las PYME a calificar para participar en las cadenas de suministro global. En resumen, las normas ISO pueden ayudar a las PYME a competir con las empresas más grandes por oportunidades en el mercado global. Las normas ISO son la llave para abrir oportunidades de futuro.
Resumen de los beneficios que nos ofrecen las Normas ISO:

Podemos distinguir una serie de beneficios básicos y generales que nos aporta la utilización de las normas ISO por las PYMES y que ahora vamos a comentar:

  • Las normas ISO no distinguen por tamaño o por dedicación a las empresas, por lo que les sirve de ayuda tanto a grandes organizaciones como a pequeñas empresas. No es necesario distinguir en dimensiones si se desea crecer y mejorar, ya que no sería lógico y efectivo.
  • Gracia a que se consigue una igualación de las características básicas y se aplican unos procedimiento y registros que no diferencían entre países o leyes, se puede hablar un idioma común que mejora y abre los mercados de exportación para sus productos y servicios.
  • Los procedimientos de aplicación y los registros que aportan las normas ISO permiten aplicar las técnicas empresariales más actuales y permite mejorar continuamente en la gestión de su negocio, impulsando la eficiencia en las operaciones de su organización.
  • El adecuado control y gestión de sus relaciones comerciales con sus clientes, aumenta su credibilidad, consigue la fidelización de estos, aumentando las oportunidades de ventas y le da una ventaja competitiva frente a otros negocios del mercado.
  • La aplicación de las normas ISO hacen que su empresa y su marca gane un reconocimiento internacional y proporciona el impulso que su organización necesita para emprender un crecimiento continuo y con grandes beneficios.
TOMADO DE: https://www.sbqconsultores.es

EL CICLO DE DEMING O CÍRCULO PHVA: LA BASE DEL MEJORAMIENTO CONTINUO


Utilizando el círculo PHVA o ciclo de Deming la empresa puede mejorar de forma continua.

El ciclo de Deming o círculo PHVA es una herramienta básica y esencial para la correcta ejecución de la mejora continua en la empresa. Desde su creación por Edward Deming se ha utilizado en multitud de empresas y se ha convertido en un símbolo de la mejora continua.

¿Quién es Edward Deming?

 Edward Deming fué el creador del ciclo PHVA o Ciclo de Deming, convirtiéndose en el “padre de la Calidad total”.

Edward Deming nació en Sioux, Iowa, el 14 de octubre de 1900, teniendo una infancia muy difícil debido a la situación por la cual estaba atravesando su familia. Al poco tiempo de que la familia se trasladara a la ciudad de Powell, Wyoming, comenzó a trabajar en un hotel local y a la edad de 17 años, gracias a los ahorros conseguidos durante sus nueve años de trabajo anteriores, se fue a la Universidad de Wyoming donde consigue la licenciatura de física en 1921. Poco después, consigue el doctorado en Ciencias Físicas y Matemáticas en la Universidad de Yale en 1927.

Trabajó en Western Electric junto a Walter Shewart, donde inicia sus pasos hacia el control de la calidad. Sin embargo, la situación que estaba viviendo su país con la llegada de la Segunda Guerra Mundial y las nuevas necesidades del mercado hicieron que la carrera de Deming sobre el control estadístico de la calidad no tuviera mucho futuro en Estados Unidos.

En 1950, a la edad de 49 años, se traslado a Japón donde sus estudios fueron muy bien recibidos y enseñó a los administradores, ingenieros y científicos japoneses cómo producir productos y servicios de calidad. También en este año, el JUSE, unión de científicos e ingenieros japoneses, le hacen una invitación para dictar una serie de charlas, conferencias y seminarios en Japón acerca de sus experiencias y conocimientos con el Control de Calidad. Es en este momento cuando el Ciclo de Deming o círculo PHVA llega a alcanzar su importancia.

Deming se convirtió, aún después de su muerte, en el “padre de la Calidad Total” y el pionero y profeta de la Calidad Total, TQM (Total Quality Management). Dedicaría muchos años a revolucionar el mundo industrial japonés, revirtiendo las consecuencias de la Segunda Guerra Mundial y convirtiéndolo en una potencia mundial.

Mucho tiempo después, las grandes empresas americanas se dieron cuenta de las grandes ventajas que aportaba el Ciclo de Deming o Círculo PHVA en la mejora de la producción y empezaron a utilizar las enseñanzas de Deming en sus organizaciones.

En estos momentos es cuando crea sus famosos “14 puntos” y “7 pecados mortales”, de los cuales hablaremos más extensamente en otros próximos post. Sus estándares de calidad se convirtieron en parte muy común de los libros de administración y en la base de las teorías de calidad, llegando a ser reconocido de forma internacional y tomado como ejemplo por las empresas de todo tipo en todos los países.

Las fases del Ciclo de Deming o Círculo PHVA:

Las fases del Círculo PHVA o Ciclo de Deming son: Planificar, Hacer, Verificar y Actuar.
La teoría se representa de forma habitual por un círculo que representa la evolución continua del ciclo de Deming. El círculo o la rueda siempre debe estar en movimiento y cada uno de los pasos alimenta el siguiente, de forma que cada vez sea más sencillo avanzar y más natural.

Las fases o acciones son las siguientes:
  • Planificar (Plan): en esta etapa se planifica los cambios y lo que se pretende alcanzar. Es el momento de establecer una estrategia en el papel, de valorar los pasos a seguir y de planificar lo que se debe utilizar para conseguir los fines que se estipulan en este punto.
  • Hacer (Do): aquí se lleva a cabo lo planeado. Siguiendo lo estipulado en el punto anterior, se procede a seguir los pasos indicados en el mismo orden y proporción en el que se encuentran indicados en la fase de planificación.
  • Verificar (Check): en este paso se debe verificar que se ha actuado de acuerdo a lo planeado así como que los efectos del plan son los correctos y se corresponden a lo que inicialmente se diseño.
  • Actuar (Act): a partir de los resultados conseguidos en la fase anterior se procede a recopilar lo aprendido y a ponerlo en marcha. También suelen aparecer recomendaciones y observaciones que suelen servir para volver al paso inicial de Planificar y así el círculo nunca dejará de fluir.



De esta teoría se desprende que de nada sirve que se hagan cambios o mejoras puntuales sin que sean controladas, medidas, verificadas y estudiadas con detenimiento.

Para hacernos una idea vamos a ver un ejemplo: un chef profesional decide realizar una nueva innovación en la cocina y procede a mezclar distintos ingredientes que sabe que pueden funcionar. Al terminar de realizar la receta, descubre que ha salido un autentico éxito y que el sabor, la consistencia, la presentación y la textura del plato es inigualable. Pero a la hora de reproducirlo se encuentra con un problema: al no anotar y planificar los pasos que ha ido siguiendo no puede saber exactamente qué pasos a seguido y que medidas exactas a utilizado para conseguir ese sublime resultado.

Este ejemplo, nos sirve para que veamos de forma muy visual como una mejora sin planificar se convierte en una mejora completamente discontinua y poco significativa. Por lo que, si queremos que la mejora sea continua y efectiva seguir el ciclo Deming o Círculo PHVA es la mejor solución para conseguir rentabilizar todo el potencial de su empresa y transformar las ideas en acciones.

Tomado de: https://www.sbqconsultores.es

INDUSTRIA 4.0: LA CUARTA REVOLUCIÓN INDUSTRIAL YA ESTÁ AQUÍ

Parece que el nuevo término de moda es el de Industria 4.0. 

Es, más, es bastante habitual encontrarnos con conferencias, artículos e informes expresamente dedicados a esta temática.

Desde el año 2013, ya se venían notando indicios de la influencia de las tecnologías y de la transformación digital de las organizaciones, especialmente, de fabricantes industriales.

Es más, el impacto era aún mayor en aquellos puntos a los que nadie prestaba excesiva atención:
  • Organización y producción de las fábricas.
  • Relaciones con el cliente y su gestión.
Así, es el propio término de Industria 4.0 el que es definido como la introducción de tecnologías de origen digital en el proceso productivo de las industrias o, lo que es lo mismo, la inherente transformación digital de las mismas.

La irrupción de la cuarta revolución industrial, como ha sido denominada, ha llevado a las empresas del sector industria a digitalizar sus procesos productivos utilizando los últimos avances, ya sea inteligencia artificial, el internet de las cosas o el Big Data, entre otros.

Por lo tanto, la Industria 4.0 no es un simple producto de marketing, sino que se ha convertido en una realidad tangible, considerándose como una auténtica revolución a nivel industrial.

En definitiva, el cambio de mentalidad que la Industria 4.0 ha supuesto, es realmente importante.

¿Cómo nos afecta la Industria 4.0?

Así, en estos momentos, existen diversos estudios que indican que la Cuarta Revolución Industrial va a generar hasta 3.7 millones de dólares de aquí al 2025, lo que supone realmente un avance económico importante.

En contraposición a otras percepciones más negativas, tanto países como empresas podrán tener la oportunidad de contrarrestar e, incluso, potenciar la desaceleración de la productividad, asimilando y adoptando los avances tecnológicos que trae consigo la Industrial 4.0.

Por consiguiente, la expectativa creada en torno al cómo gobiernos, empresas y, la sociedad en general será afectada por la Cuarta Revolución Industrial, es alta.

Se trata de observar a la Industria 4.0 como fuente de competitividad, principalmente, para las industrias occidentales, ya que aumentará el coste de la mano de obra (mayor especificidad del puesto), de la energía y del nivel del compromiso social.

A modo de reflexión, se puede decir que la tecnología de alto nivel estará cada vez más integrada, pero no sólo en los procesos productivos, sino también en el propio negocio.

¿Qué nos puede ofrecer?

La Cuarta Revolución Industrial o Industria 4.0 puede ofrecer elementos altamente diferenciadores a las empresas que quieran seguirla.

Así, a través de la digitalización y el uso de plataformas conectadas se puede obtener:
  • Posibilidades reales de adaptación a la demanda constante.
  • Personalización del producto servido al cliente.
  • Servicio post venta “uno a uno”.
  • Reducción del tiempo empleado en el diseño, producción venta de los productos.
  • Adición de servicios a los productos físicos.
  • Se posibilita la creación de series de producción más cortas y, por ende, más rentables.
  • Optimización del aprovechamiento de la información en forma de datos, a través de su análisis desde múltiples canales, como el CRM, las redes sociales, el internet de las cosas (IoT) o Help Desk, que permiten analizar y explotar la información en tiempo real.
Industria 4.0 y las normas ISO ¿relación positiva o negativa?

Así, una de las cuestiones de, quizá, mayor relevancia, es la generación de oportunidades para la creación de nuevos estándares ISO y el crecimiento en cuanto a la implantación de algunos estándares interesantes para el sector.

Esto se debe al despunte de los sectores industriales con mayor probabilidad de éxito y beneficio, por lo cual, el auge de las normas ISO, como forma de acceso al nuevo mercado que se está abriendo, está en un momento clave.

Tanto es así, que muchas empresas están sirviéndose de esta oportunidad, en cuanto a la aparición de nuevos sistemas digitales, comunicaciones en red y análisis de datos, para expandirse.

Por tanto, en la Industria 4.0, las oportunidades ofrecidas por los estándares ISO, no sólo se ven como una forma de proporcionar una plataforma o herramienta para el desempeño.

Es decir, el manejo de las normas ISO está siendo vinculado a la forma en la que los diferentes sistemas se comunican entre ellos de manera efectiva, con el objetivo común de impulsar la eficiencia.

Entre los estándares de mayor auge, resalta la ISO 27001 de seguridad de la información, debido al incremento de la vulnerabilidad de las empresas frente a posibles ciberataques.

Por consiguiente, de ello se puede extraer que la relación existente entre los estándares ISO y la Cuarta Revolución Industrial, es positiva y en aumento.

Pero esto no es de extrañar, ya que los comités de ISO están muy implicados desde siempre en la automatización y la fabricación.

Tomado de: https://www.isotools.org

miércoles, 14 de noviembre de 2018

ISO 27001: TÉRMINOS Y CONDICIONES DE SEGURIDAD PARA LOS TRABAJADORES


Una forma de garantizar que las personas conozcan todos los roles y las responsabilidades en una empresa será definidas de forma clara en las políticas y los procedimientos. 

Pero esta solución tiene una limitación, solo cubre a las personas que trabajan en la organización o tienen acceso a la información.


Cuando la empresa selecciona a los candidatos adecuados, es importante que se garantice que la información se encontrará adecuadamente protegida incluso en las primeras etapas. ¿Cómo se puede conseguir esto cuando un candidato aún no ha tenido acceso a las políticas y procedimientos de la empresa? Durante el post de hoy queremos establecer una serie de términos y condiciones de seguridad para los trabajadores según la norma ISO 27001.

Cómo hacer que los términos y condiciones de seguridad sean importantes

Los términos y condiciones de trabajo son las reglas generales por las que los jefes y los trabajadores o el personal contratado que trabajan en nombre de la empresa acuerdan para realizar el trabajo. De forma norma se presentan durante el proceso de pre empleo en documentos como los términos y condiciones de empleo, contrato de trabajo, etc.

Los documentos cumplen con una gran lista de elementos como el tiempo de trabajo, la remuneración y las condiciones del lugar de trabajo. Sin embargo, con la creciente preocupación sobre el impacto potencial de la pérdida o divulgación no autorizada, o la alteración de la información, las empresas deberán comenzar a incluir elementos de protección de información de diferentes acuerdos.

En diferentes situaciones los términos y condiciones de empleo son requisitos legales para el establecimiento de una relación de trabajo, incluyendo términos y condiciones de seguridad que se encuentran relacionados con la confidencialidad, protección de datos, ética, utilización apropiada de los equipos e instalaciones de la empresa y el uso de las mejores prácticas, una empresa puede mejorar su protección o soporte en caso de que se realicen acciones legales que involucren incidentes de seguridad de la información.

Contratos de trabajo contractuales según ISO 27001

La norma de gestión, ISO 27001 no nos dice que debe incluir en términos de seguridad y condiciones de empleo, solo qué objetivos tienen que conseguirse, mediante el control de los términos y condiciones de empleo. Es necesario que se declare de manera formal a los empleados, contratistas, y a las empresas las mismas responsabilidades para la seguridad de la información.

Es necesario que se cumpla con dicho objetivo, las empresas tienen tres alternativas:
  • Se incluye el contenido completo de todas las políticas de seguridad de la información según el acuerdo. Si bien dicha opción facilita la cobertura ideal para presentar el comportamiento esperado hacía la seguridad de la información en una etapa temprana de empleo, esto puede hacer que el documento sea confuso, ilegible o ineficaz en la práctica.
  • Incluir versiones resumidas de todas las políticas de seguridad de la información. Los documentos cortos son mucho más legibles, pero si se resumen mucho, los elementos más importantes pueden quedar fuera y no se conocidos hasta que la persona tenga contacto con las políticas completas, proporcionando una sensación de seguridad falta para las partes interesadas.
  • Incluir una parte de contenido completo y parte de las versiones resumidas de las políticas de seguridad de la información mucho más relevantes. Este enfoque representa la relación más rentable en relación con la preservación de la seguridad y el uso práctico, y se puede conseguir resumiendo sólo las políticas que se califican como menos riesgosas según los resultados objetivos de una evaluación de riesgos. Debe mantener el contenido completo de las políticas que cubren todos los riesgos de áreas.

Aspectos de las políticas de seguridad de la información

A la hora de trabajar con versiones resumidas para las alternativas “b” o “c”, es necesario que se vean las recomendaciones que ofrece la norma ISO 27002, siendo un estándar de soporte para la implantación de ISO 27001 en los controles del Anexo A. La norma ISO 27002 recomienda que los aspectos incluyan:
  • Condiciones para conseguir el acceso a la información sensible, y que estas condiciones deben cumplirse antes de que el personal nuevo pueda acceder a las instalaciones y a la información.
  • Derechos y responsabilidades de todas las partes involucradas con respecto a los requisitos legales, tales como los requisitos para la protección de la información protegida o privado pajo el GDPR de la Unión Europea.
  • Responsabilidades con respecto a la clasificación y el manejo de todos los activos que se relacionan con la información, ya sea propiedad de la empresa o recibida de terceros.
  • Las acciones que se deben tomar si las partes involucradas violan los requisitos de seguridad.
Es muy importante tener en cuenta que los términos y condiciones de seguridad deberán continuar, durante un periodo que sea definido una vez finalice la relación laboral.


Tomado de: https://www.pmg-ssi.com