domingo, 20 de mayo de 2018

CÓMO ELEGIR LA MEJOR OPCIÓN PARA IMPLEMENTAR LA NORMA ISO 27001?

Si su organización se encuentra en el momento de implementar la norma ISO 27001 sobre Sistemas de Gestión de Seguridad de la Información o cualquier otra norma de gestión ISO, puede que se encuentre agobiado con diferentes enfoques sobre cómo empezar y culminar tal proyecto de forma exitosa.
Existen tres opciones básicas para implantar las normas. Primero, hacerlo utilizando a sus propios empleados. Segundo, utilizar un consultor experto. Tercero, implantar la norma usted mismo, teniendo en cuenta las ventajas del conocimiento externo.

Los enfoques no son aplicables a todos por igual, durante este artículo queremos realizar una explicación de cada una de las opciones, y cuál puede ofrecerle más beneficios.

Implantar la norma ISO 27001 utilizando sus propios empleados

Esto es cuando decide implantar la norma sin ayuda externa, utilizando sólo el conocimiento y la capacidad de los propios empleados. Los trabajadores deben realizar todo el análisis, conduciendo todas las entrevistas, escribiendo la documentación, etc.

Existen una serie de ventajas y desventajas que son:


  • Ventajas. Es la opción menos costosa ya que no se encuentra pagando por un servicio externo, tampoco se permite que personas externas conozcan los procesos y los documentos internos. Es necesario que se escriba su propia documentación aumentando el compromiso de sus empleados hacia los cambios que han sido requeridos.
  • Desventajas. Es probable que sea la opción más lenta, ya que está haciendo todo por su cuenta, si sus trabajadores no tienen experiencia o las habilidades, esto puede ser la opción más costosa por los errores que pueden cometer.

Existen tres opciones básicas para implantar las normas
Implantar la norma ISO 27001 utilizando un consultor

Con esta opción contrata a un experto externo que tenga experiencia en la implementación de la norma ISO 27001, dicha persona hace el análisis de su compañía, conduce las entrevistas, escribe documentación, y todo lo demás. De forma básica se encuentra implantada la norma entera por usted.

Las ventajas y las desventajas que se presentan al utilizar un consultor externo son:
  • Ventajas. De forma definitiva es la manera más rápida de implantar la norma ISO 27001. Si contrata un buen consultor, él o ella tendrá mucha experiencia, y sabrá cómo organizar el proyecto para terminarlo de forma rápida, esto también es la mejor opción si los trabajadores no tienen tiempo suficiente para dedicárselo al proyecto.
  • Desventajas. Los consultores cuestan dinero, así que es la opción más costosa, además debe estar abierto a que todos los secretos de su compañía serán vistos por un extraño. Cuando alguien externo escribe la documentación, los empleados pueden sentir que las políticas y los procedimientos son impuestos, así que busca la forma de obviarlos.
Implantar la norma ISO 27001 haciéndolo usted mismo y utilizando conocimiento externo

Esta es la opción más popular de los últimos años, y es algo intermedio entre las dos primeras opciones. En este momento es en el que los empleados ejecutan toda la implantación, pero reciben el conocimiento completo, la documentación, y el soporte de una parte externa.

Las ventajas y desventajas de utilizar este método para implantar la norma ISO 27001 son:
  • Ventajas. No es una opción demasiado costosa como el contratar consultores, y usted recibirá el conocimiento y soporte necesarios. No le dará un total acceso de su información confidencial al personal externo. Los empleados se encuentran escribiendo la documentación, el compromiso para seguir las nuevas reglas probablemente será mayor.
  • Desventajas. Los empleados necesitan aprender sobre la implementación de la norma ISO 27001, así que no es la forma más rápida de implantar a norma. Esta opción no resuelve los problemas si sus trabajadores se encuentran agobiados con otros proyectos y no tienen tiempo suficiente para realizar los proyectos adicionales.
Entonces, ¿cuál opción seleccionar?

Debe implementar la norma ISO 27001 utilizando sus propios empleados, si cuenta con trabajadores que tienen experiencia en la implementación, si tiene datos muy confidenciales, y si su presupuesto es muy bajo.

Por otro lado, si se encuentra apurado, y no tiene miedo de algunos secretos de la compañía pueden encontrase expuestos, puede utilizar un consultor. Eso sí, usted necesitará un buen presupuesto.

Finalmente, si selecciona la opción de hacerlo usted mismo es porque quiere que sus empleados aprendan cómo se hace, si no está muy apurado, y su líder de proyecto puede dedicarle al menos un par de horas de forma diaria al proyecto.


Tomado de: https://www.pmg-ssi.com/

INDUSTRIA: ¿CÓMO CONTROLAR LA GESTIÓN DEL RIESGO?


Cada uno de los procesos productivos relacionados con la industria, como puede ser el supuesto de la petrolera, implican un conjunto de procedimientos muy rigurosos. 

Estos procesos son generalmente estandarizados a través de sistemas manuales, mediante planillas, correos electrónicos o carpetas físicas.


No obstante, las empresas del sector deben de desarrollar el oportuno control, seguimiento y mantenimiento de cada una de las fases. Esto disminuye la posibilidad de que los encargados puedan estar en terreno debido a la gran carga administrativa que estos trabajos pueden incorporar en sí mismos.


El principal conflicto se encuentra en la multitud de organizaciones industriales en las que los propios supervisores y técnicos de prevención de riesgos son los encargados de encarnar la figura del supervisor de cada una de las cuestiones de seguridad de los trabajadores. Deben de verificar que absolutamente todo se encuentre en perfecto estado de instalación y estructura con el objetivo final de evitar cualquier tipo de accidente. Aquellas empresas que necesitan de una vigilancia en el propio sitio de trabajo cuentan con la figura del supervisor. Este utiliza más tiempo en verificar que todo se encuentre según lo previsto, concretamente en la línea de fuego. Se conoce a la línea de fuego por aquel lugar en el que dado el caso de liberarse energía, el empleado que se encuentre en dicha zona puede llegar a sufrir lesiones o quemaduras de ser alcanzado.

Si desea conocer más acerca de la seguridad industrial puedes consultar otros artículos de nuestro blog, como por ejemplo “Seguridad Industrial: Uno de los objetivo de la integración de sistemas”.

Improductividad del tiempo

La dificultad parte fundamentalmente del tiempo improductivo que ocupa a los supervisores y técnico de prevención de riesgos a llevar a cabo cada una de estas actividades en formato papel y posteriormente pasarlas a planillas de cálculo o alguna carpeta compartida. Debido a esto no es posible que focalicen sus esfuerzos en cuidar de la seguridad de cada uno de los miembros de la organización.

En una petrolera, la persona encargada de la supervisión o el técnico en prevención de riesgos debe abarcar el terreno de la organización cada día para verificar que todo se encuentre según lo previsto. De cada uno de los incidentes descubiertos, el encargado de la supervisión debe tomar nota para posteriormente notificar sobre dicho suceso con el fin de solucionarlo.



En ocasiones, parte de los incidentes descubiertos pueden necesitar de una notificación inmediata, pero ¿en qué momento el técnico de prevención o persona encargada de esta tarea va a informar de todos los riesgos e incidentes si se trata de un proceso que se lleva a cabo de forma manual? Se trata de una gran responsabilidad pues cada minuto que pasa en este tipo de organización tiene una importancia crucial.

Estas prácticas alejadas de la tecnología, además de poner en riesgo la seguridad de los empleados de la organización, están poniendo en una peliaguda situación la productividad de la misma.

Agregar tecnología a los procesos en terreno

La Gestión de Riesgos Corporativos o Corporate Governance permite la identificación, el análisis y la evaluación de los riesgos de las empresas, definiendo las acciones precisas para eliminar, reducir, retener y transferir dichos riesgos con el objetivo de conservar los activos materiales, inmateriales y personales, y posibilitando el logro de sus objetivos.

El Modelo de Gestión de Riesgos Corporativos está orientado a alcanzar los objetivos clasificados en cuatro categorías:
  • Estrategia. Los objetivos se encuentran acordes con la misión de la entidad.
  • Operaciones. Los propósitos están vinculados al uso eficaz y eficiente de recursos.
  • Información. Corresponden con los objetivos de fiabilidad de la información suministrada.
  • Cumplimiento. Incluyen los objetivos relacionados con el cumplimiento de leyes y normas aplicables.

Tomado de: https://www.isotools.org

OBJETIVOS DE LA CALIDAD E INDICADORES DE LA CALIDAD

Una de las herramientas más útiles para medir la eficiencia de los procesos de una empresa es el uso de los indicadores y los objetivos de Calidad. Pero, ¿En qué consisten? ¿Qué relación hay entre ellos?

Los indicadores de calidad son instrumentos que facilitan la toma de decisiones porque proporcionan información relevante en tiempo real sobre la situación y evolución de una organización, de la eficiencia en la gestión por procesos. Son herramientas indispensables para dirigir una organización, un equipo o un proceso y alcanzar los objetivos previstos.


En la medida en qué la dinámica de la gestión de una organización consiste en determinar y desarrollar objetivos, según una estrategia de mejora continua previamente definida, y efectuar los ajustes necesarios para conseguirlos, conviene que conozcamos las características que han de cumplir los objetivos de un sistema de gestión según la norma ISO 9001:

- Ser medibles, es decir, se puede conocer el grado de consecución de un objetivo.
- Ser alcanzables, que se puedan lograr con flexibilidad.
- Estar coordinados.
- Ser desafiantes y comprometedores.
- Involucrar al personal.
- Poder desarrollarse en planes de actuación.

Los indicadores de calidad pretenden informar sobre los parámetros de consecución de objetivos ligados a las actividades o procesos implantados. Las características de los indicadores de un sistema de gestión son las siguientes:

- Simbolizan una actividad importante o crítica como por ejemplo la productividad o facturación mensual, el porcentaje de cuota de mercado...

- Se relacionan lo más directamente posible con el concepto valorado intentando ser fieles y representativos del criterio a medir.

- Sus resultados son cuantificables y sus valores se expresan normalmente a través de un dato numérico o de un valor de clasificación.

- Contribuyen con un beneficio mayor a la inversión necesaria para capturar y tratar los datos necesarios para su desarrollo.

- Pueden representar la evolución del concepto valorado, al ser comparables en el tiempo. De hecho, la utilidad de los indicadores se puede valorar por su capacidad de señalar tendencias.

- Son fiables, proporcionan confianza a los usuarios sobre la validez de las sucesivas medidas.

- Son fáciles de establecer, mantener y utilizar.

- Son compatibles con los otros indicadores del sistema permitiendo la comparación y el análisis.

En la norma UNE 66175:2003 podemos encontrar una pauta de cómo establecer los indicadores de los procesos, y además se especifica que todos los objetivos marcados deben asociarse a un determinado indicador. Por lo que si realizamos una tabla donde se definan cada uno de los de objetivos de la empresa, está deberá tener una celda asociada indicando a qué indicador de proceso se corresponde y poder así cuantificar dicho objetivo.

Otra de las dimensiones más importantes a considerar para saber qué indicadores desarrollar es la de quiénes serán los clientes o usuarios de los indicadores (el responsable de la organización, de un equipo, de un proceso, un operario.... En base a los clientes o usuarios de los indicadores se podrán determinar los elementos que mejor puedan contribuir a poner de manifiesto una situación respecto a los objetivos establecidos. 

Primero de todo, os aconsejo que fijéis todos los procesos, y de cada proceso almenos contéis con un indicador. Una vez definido todo el sistema de procesos e indicadores, fijad los objetivos.

En el Apéndice A de la norma UNE 66175:2003 aparece un ejemplo de posibles indicadores que podemos definir para una organización. 

La nueva actualización de la norma, ISO 9001:2015, define los indicadores y objetivos de calidad de igual forma que la del 2008. Por lo tanto, no tendréis que realizar ninguna variación al respecto.

Os prometo una publicación donde voy a recoger el mayor número de indicadores que encuentre para que os sea más sencillo escoger los que mejor se adapten a vuestra organización.

Listado de objetivos de calidad

En la anterior publicación, os facilité un listado de posibles indicadores que podríais utilizar para evaluar la eficacia de los procesos definidos en vuestra empresa. Bien, pues debido a gran petición por vuestra parte os voy a mostrar posibles objetivos (los más habituales). Muchos de los objetivos de calidad que os presento en esta publicación están reflejados en en Anejo A de la norma UNE 66175:2003. 

Antes de empezar con el listado, os tengo que comentar que defináis un % que podáis asumir bien. Los objetivos deben ser unos parámetros reales y no idílicos. Ya que si al final del ejercicio no sois capaces de alcanzar las metas fijadas, tendréis que explicar el porqué, y en algún caso abrir una no conformidad con su acción correctora correspondiente. Además, tenéis que tener en cuenta que todos los objetivos que defináis tienen que tener su indicador  de calidad correspondiente.

A continuación os detallo algunos de los más comunes:

Financiero - contable: 
Mejora de la rentabilidad financiera un 5%

RRHH: 
Aumentar el % de personal formado en un 5%
Reducir el absentismo en un 5%
Reducir la rotación del personal en un 5%
Reducir las bajas por accidentes laborales en un 5%

Recursos materiales:
Reducir el % de horas de paro de máquinas y equipos en un 5%
Reducir el % de horas de paro por avería
Reducir las horas de espera de reparación en un 5%

Sistema de información:
Documentación actualizada en un plazo máximo de 15 días (catálogos de productos, precios, etc)

Evaluación de riesgos (ISO 9001:2015): 
Disminuir las causas para no alcanzar una zona de riesgo importante en un 90%

Comercial:
Incrementar el porcentaje del índice de contratación en un 5%
Aumentar el % de clientes que pasan nuevo pedido en un plazo de 6 meses
Aumento de la cuota de mercado en un 5%
Aumentar la facturación en los productos más rentables en un 5%
Aumentar el % de ventas en productos nuevos en un 5%
Aumentar la facturación en un 5%

Gestión de proyectos:
No superar el 5% de modificaciones sobre los proyectos aceptados en los datos de partida.
Respeto en los plazos de entrega en un 100%
Realización del 100% de las tareas previstas.
Reducción de % la modificación de la planificación inicial del proyecto en un 5% del plazo.

Diseño, desarrollo e industrialización: 
Materialización de los proyectos de desarrollo en los plazos previstos en un 100%
Preparación de la producción (o de la realización) en los plazos previstos en un 100%.

Compras y subcontrataciones:
Reducir el % de no conformidades de proveedores en un 5%

Producción:
Plazos de producción (productos y servicios) en un 100%
Reducir las no conformidades de los productos y servicios en un 5%
Aumentar la rapidez de respuesta al cliente en un 5%.
Disminuir el % de productos o servicios defectuosos en un 5%

Medida del producto:
Aumentar la conformidad de productos y servicios en un 5%
Disminuir el % de desviaciones de calidad del producto final en un 5%

Satisfacción de los clientes: 
Aumentar la satisfacción del cliente en un 5%
Reducir el tiempo de respuesta de las reclamaciones de los clientes en un 5%
Aumentar el índice de intercomparación con las empresas del sector en un 5%
Aumentar el índice de fidelización del cliente en un 5%
Aumentar el índice de respuesta de las encuestas de los clientes en un 5%.
Disminuir el % de reclamaciones por parte del cliente respecto a la facturación anual un 5%

Resolución de problemas:
Aumentar el número de causas tratadas de problemas identificados en un 5%.
Reducir el tiempo de espera de tratamiento de las causas de los problemas identificados en un 5% (reducir el tiempo de acciones correctivas).

Auditorías:
Disminuir en 5% el número de no conformidades detectadas.
Disminuir el número de no conformidades repetidas en dos auditorías consecutivas.

IDEA CONSULTORES & ASESORES S.A.S. puede ayudarle en el proceso de transición o en la implementación, control, medición, mejora y todos los temas de su Sistema de Gestión: ISO 9001:2015, ISO 14001:2015, ISO 45001, ISO 31000 y otras normas). Contáctenos, uno de nuestros profesionales lo visitará.

Tomado de: http://asesordecalidad.blogspot.com/