viernes, 29 de junio de 2018

TRANSICIÓN ISO 9001:2015: BENEFICIOS DE HACERLA LO ANTES POSIBLE


La última revisión de la norma ISO 9001 fue publicada en septiembre de 2015. Tiene un periodo de adaptación de tres años.

Es decir da margen a las organizaciones a realizar la transición ISO 9001 de la versión 2008 a la de 2015 de manera paulatina.


Cierto es, que ese margen para realizar la transición puede ser visto como un respiro de tiempo para los gestores de calidad de las organizaciones. Sin embargo, también es cierto que los cambios que incluye la revisión suponen relevantes mejoras para las organizacionesy la comunidad de negocios en general.

Por lo tanto, ante este escenario, cabe preguntarse ¿Qué razón hay entonces para esperar tres años para implementar todos estos cambios que incorpora la norma?

Beneficios de una temprana transición ISO 9001

A continuación, vamos ver algunos de los beneficios que tiene no esperar los tres años de límite para llevar a cabo la transición ISO 9001 2008 a la ISO 9001:2015.


1.Por la eficacia de los cambios que supone para el negocio: Dos de los cambios más relevantes de la revisión de la norma ISO 9001 han sido en relación al “contexto de la organización” y al “liderazgo”. En este sentido, vemos cómo una mejora en el rendimiento de la organización, así como en la capacidad estratégica general de la misma para alinear el SGC con los objetivos del negocio permite el logro de mejores resultados. A su vez, otro cambio importante de la revisión de la norma ISO 9001, es el “pensamiento basado en el riesgo”.Concretamente, este cambio lo que pretende es inculcar a los líderes de toda organización que traten de identificar, tratar y eliminar los riesgos y detectar oportunidades. Todo esto son acciones positivas y de mejora continua. 

Entonces , ¿por qué esperar tres años para implantarlas, cuando podemos mejorar desde ya?

2. Por el incremento de coste y probabilidad de error que supone no hacerla: Mantener un Sistema de Gestión de la Calidad a caballo entre dos normas puede no sólo ser costoso, sino también proporciona mayor margen para el error.

3.Por la mejora de la reputación del negocio: Una pronta aplicación muestra la diligencia en la forma en la que llevamos nuestro negocio, muestra una actitud proactiva, y esto puede ayudar a crear una ventaja competitiva frente a proveedores, clientes y competidores.

4. Por la integración de sistemas: Las modificaciones introducidas tanto en la norma ISO 9001 como en la ISO 14001 en 2015 permiten implementar los cambios de manera integrada a través de su Sistema de Gestión de la Calidad y su Sistema de Gestión Ambiental, dando lugar a reducción de costes y agilidad del proceso.



Conclusión

En resumen, todos los anteriores beneficios que supone la rápida transición ISO 9001 en su versión 2008 a la versión de 2015 se traducen en una reducción de costes para las organizaciones, ya que:
  • Por un lado, hemos visto que ayuda a lograr un mayor crecimiento empresarial puesto que permite mejorar el rendimiento y contribuye a identificar mejor las oportunidades.
  • Por otro lado, otorga estabilidad a las organizaciones, al contribuir a identificar, eliminar y mitigar los riesgos.
  • Además, en tercer lugar, el simple hecho de no tener que mantener un SGC entre dos normas, favorece el ahorro de trabajo y dinero.
Todo lo anterior supone importantes reducciones de costes para las organizaciones que optan por la pronta transición ISO 9001.

Como hemos desgranado, una rápida aplicación de los cambios introducidos en la nueva versión de 2015 de la norma ISO 9001 es bastante aconsejable para las organizaciones.


Tomado de: https://www.escuelaeuropeaexcelencia.com

¿CÓMO REALIZAR LA TRANSICIÓN A ISO 14001 2015?

La ISO 14001 2015 fue publicada, y muchas personas se preguntan si deben implementar toda la norma de nuevas. Esto no es necesario, aunque la nueva ISO 14001 2015 tenga muchos cambios no son tan drásticos como para eso.
El periodo de transición es de tres años, lo que supone que se debe obtener la certificación y llevar a cabo las auditorías de vigilancia necesaria según la versión anterior de la norma hasta el día 15 de septiembre de 2018. Quedan aproximadamente 8 meses para que la versión antigua de la norma deje de estar vigente.

Si se certificó antes del 15 de septiembre de 2015, las auditorías de seguimiento se llevarán a cabo bajo la versión de ISO 14001 2004, pero la auditoría de recertificación se lleva a cabo según la versión de la norma ISO 14001 2015.

Si está certificado bajo la norma ISO 14001 2004 después del día 15 de septiembre de 2015, dispone de tres años para llevar a cabo la transición a la nueva ISO 14001 2015.

Si quiere realizar una transición exitosa deberá seguir un orden en las acciones que realice. Queremos ofrecerle una serie de pasos a seguir para realizar la transición a ISO 14001 2015:

Primero. Definir el contexto de la organización
Es un nuevo requisito, por lo que se deberá considerar a fondo, que supone la base del nuevo Sistema de Gestión Ambiental.

Segundo. Listado con las partes interesadas
Se tienen que incluir a los diferentes grupos de interés. Es necesario que disponga de un listado de requisitos legales, reglamentos y contractuales según la cláusula mencionada anteriormente. Con todo esto ya tendrá la mitad del trabajo realizado.

Tercero. Establecer el alcance del Sistema de Gestión Ambiental
Es necesario que su Sistema de Gestión Ambienta sea creíble, y esto supone establecer los límites de la empresa. Realizar la transición es una gran oportunidad para volver a considerar cual es el alcance del sistema y así poder establecer límites asumibles.

Cuatro. Realizar una revisión de la política ambiental
En la nueva ISO 14001 2015 se establecen unos requisitos muy parecidos para la política ambiental. Es muy importante para la dirección estratégica de la organización la incorporación de una buena política ambiental.

Quinto. Alinear el sistema con la estrategia de la organización
La nueva ISO 14001 2015 establece que se deben determinar todos los objetivos, a nivel ambiental, que sean compatibles con la estrategia de la empresa.

Sexto. Evaluar los riesgos y oportunidades
Es necesario establecer los riesgos y las oportunidades que se encuentran relacionados con el sistema. Nos queremos referir a los diferentes aspectos ambientales y a las partes interesadas. Cuando se realiza la evaluación de riesgos y las oportunidades deberá existir un plan para hacerles frente.

Séptimo. Evaluar e identificar los aspectos ambientales
Gracias a la realización de la transición podemos evaluar los diferentes aspectos ambientales. La nueva norma ISO 14001 2015 necesita que se consideren todas las situaciones de emergencia previsibles y la perspectiva del ciclo de vida en los productos y servicios mediante la aplicación y evaluación de los diferentes aspectos ambientales.

Octavo. Obligaciones de cumplimiento
El cumplimiento de los requisitos legales ya se tenía en cuenta en la norma ISO 14001 2004, aunque existen las partes interesadas y sus necesidades, además de todas las expectativas que se observan como las obligaciones de cumplimiento.

Noveno. Control de la información documentada
El nuevo término de información documentada se refiere a los procedimientos y a los registros. Se alinea entre los nuevos procedimientos y los antiguos, la documentación tiene que mejorarse con el tiempo. Los requisitos de las acciones preventivas no existen para decidir si debe eliminar un procedimiento.

Décimo. El control operacional
La ISO 14001 2015 necesita que se establezca un mejor control de los procesos, por lo que se deberán incluir todos los criterios operacionales y los controles de ejecución de los procesos.

Undécimo. El desempeño ambiental
Hoy en día, en las organizaciones se utilizan muchas mediciones ambientales. Si las mediciones se realizan de forma correcta se establecerá una visión general del Sistema de Gestión Ambiental, nos ofrece información sobre cómo necesita ser mejorado.

Duodécimo. Medición y presentación de los informes
Los requisitos se vuelven mucho más estrictos en la nueva ISO 14001 2015, de forma especial en relación que existe entre el desempeño ambiental, la auditoría interna y la revisión por la dirección.

Con este post queremos ofrecerle una pequeña ayuda para que tengan claro lo que necesitan para realizar la transición. Para asentar mucho más todo lo que hemos comentado le recomendamos realizar el curso “Transición a la nueva ISO 14001:2015” llevado a cabo por la Escuela Europea de Excelencia. Con este curso el alumno obtendrá todos los conocimientos necesarios para realizar la transición a la nueva norma.

En cada bloque del curso, dividido en 10, se estudia cada uno de los requisitos de la nueva ISO 14001 2015. Tendrá a su disposición vídeos, documentos, recursos para afianzar los conocimientos adquiridos, etc.

Una vez finalice el curso, podrá implementar un Sistema de Gestión Ambiental con la nueva ISO 14001 2015 desde el punto de vista de la protección del medio ambiente y la minimización de la contaminación, además de mantener el desempeño ambiental de su empresa.

Tomado de: https://www.nueva-iso-14001.com

NUEVA ISO 41001 ¿CÓMO GESTIONAR LAS INSTALACIONES?

Si pensamos que el futuro del trabajo se basa en la experiencia que tenga el trabajador ¿Qué sucede con el lugar de trabajo? 
La necesidad de mantener al día con las tendencias cambiantes sobre cómo y dónde trabajan las personas hacen que la gestión de las instalaciones sea un aspecto fundamental para conseguir el éxito de la empresa, razón por la que se acaba de publicar la nueva ISO 41001.

Cada día es más complejo el mercado global que administra las instalaciones, por lo que en el año 2015 se estima que valdrá un billón de dólares, y esto es solo lo que se subcontrata. Se preocupa por la administración, operación y mantenimiento de las instalaciones de una empresa, por lo que es una disciplina que necesita equilibrar las necesidades y demandas que cambian de forma rápida según las partes interesadas a las que se utilizan como necesidades empresariales efectivas, seguras y sostenibles. Afecta a la salud y el bienestar de todas las personas que entran en contacto con la empresa y abarca una amplia gama de áreas, incluyendo los costos de ocupación, el uso del espacio, mantenimiento, seguridad, limpieza, medio ambiente y más.

La norma ISO 41001, “Gestión de instalaciones”, acaba de ser publicada para ayudar a los equipos que administran las instalaciones a conseguir una eficiencia óptima. Se basan en las mejores prácticas internacionales, el nuevo estándar del sistema de gestión constituye un punto de referencia para desarrollar e impulsar un régimen efectivo, además es estratégico, táctico y operacional. Del mismo modo, ayuda a las empresas que buscan externalizar sus servicios, ya que los proveedores que pueden demostrar el cumplimiento de la norma les proporciona una garantía con respecto a su enfoque y procesos.

El presidente del comité técnico ISO/TC 267 ha sido el que ha desarrollado la norma ISO 41001, se piensa que la nueva norma ayudará a las empresas de diferentes formas a establecer un enfoque común y un conjunto de procesos que pueden ser referidos alrededor del mundo.

Todas las organizaciones, independientemente de su tamaño, tienen algún elemento de administración de instalaciones. Es una disciplina compleja que afecta a todos de forma directa, ya que se trata de los espacios que ocupamos y cómo dichos espacios satisfacen las necesidades de las personas que los utilizan todos los días.

La norma ISO 41001 es el primer estándar que se dedica a administrar las instalaciones y tiene el potencial de marcar una gran diferencia real para las empresas a la hora de mejorar la salud y la seguridad de la fuerza de trabajo, se reduce su impacto en el medio ambiente y consigue ahorrar costos y que sea muy eficientes.

La estructura que presenta la nueva ISO 41001 es la siguiente:

1 Alcance

2 Referencias normativas

3 Términos y definiciones

4 Contexto de la organización

4.1 Comprender la organización y su contexto

4.2 Comprender las necesidades y expectativas de las partes interesadas

4.3 Determinación del alcance del sistema de FM

4.4 Sistema FM

5 Liderazgo

5.1 Liderazgo y compromiso

5.2 Política

5.3 Roles, responsabilidades y autoridades organizacionales
6 Planificación

6.1 Acciones para abordar riesgos y oportunidades

6.2 Objetivos de FM y planificación para alcanzarlos

7 Soporte

7.1 Recursos

7.2 Competencia

7.3 Conciencia

7.4 Comunicación

7.5 Información documentada

7.6 Conocimiento organizacional

8 Operación

8.1 Planificación y control operacional

8.2 Coordinación con las partes interesadas

8.3 Integración de servicios

9 Evaluación de rendimiento

9.1 Monitoreo, medición, análisis y evaluación

9.2 Auditoría interna

9.3 Revisión de la gerencia

10 Mejora

10.1 No conformidad y acción correctiva

10.2 Mejora continua

10.3 Acciones preventivas

La gestión de las instalaciones es una disciplina profesional que afecta a todas las organizaciones. Tiene una influencia significativa en la eficacia de las organizaciones que funcionan en diferentes áreas. En términos financieros, la gestión de las instalaciones constituye el segundo costo más alto para cualquier empresa con pocas excepciones y puede hacer una contribución según la línea base de forma permanente. 

Si hablamos de eficiencia, la gestión de las instalaciones tiene la responsabilidad de la administración, operación y mantenimiento de todos los activos de la organización, influyendo así en su costo de vida y facilidad de uso.

En cuanto al cumplimiento, la gestión de instalaciones será la responsable de la gestión de la salud, la seguridad y de garantizar que la empresa cumple con las obligaciones para las personas que utilizan el espacio de trabajo y son propensos a ser afectados. En cuanto al medio ambiente y la sostenibilidad, la gestión de las instalaciones es responsable de las operaciones que se realizan en la zona de trabajo, además de como el impacto que sus operaciones pueden tener en medio ambiente.

La norma ISO 41001 permitirá que al lado de la oferta de las empresas se adquiera una certificación diferenciadora del resto del mercado y ayude a las empresas del sector a establecer puntos de referencia que esperan que sus socios de suministro cumplan.

Tomado de: https://www.isotools.org

¿CUÁL ES LA PERSPECTIVA DEL CICLO DE VIDA SEGÚN LA NUEVA ISO 14001 2015?


En los últimos tiempos se ha escuchado hablar mucho sobre el ciclo de vida, es un concepto incluido en la actualización de la norma ISO 14001 a la versión de 2015.
Muchas organizaciones están comenzando a familiarizarse con el ciclo vida al implantar la actualización de la norma ISO 14001.

El ciclo de vida puede definirse como una serie de etapas consecutivas o relacionadas entre sí en un sistema de producto desde la adquisición o generación de la materia prima, de los recursos naturales hasta la disposición final.

Muchas organizaciones han utilizado el ciclo de vida con la finalidad de mejorar los procesos y optimizarlos. Con la introducción de este concepto en la nueva ISO 14001 2015 se ha convertido en un requisito de toda organización que se encontraba certificada bajo la norma ISO 14001 2004 que quiere actualizar su sistema de gestión ambiental a la versión de 2015 y para todas aquellas que se inician con la certificación en la nueva versión.

El principal objetivo de la norma ISO 14001 2015 es que las organizaciones utilicen el enfoque sistemático en el Sistema de Gestión Ambiental considerando las diferentes áreas y procesos en la que se tiene el control o influencia desde la perspectiva del ciclo de vida. Además, se deberá considerar la perspectiva en el momento de analizar todos los aspectos ambientales de sus actividades.

Si consideramos lo anterior, la organización se pregunta cómo pueden hacer para realizar el análisis de ciclo de vida. La empresa internacional para la estandarización se desarrolla con una serie de estándares enfocados en la gestión y administración ambiental, los cuales se incluyen en la ISO 14044:2016 y la ISO 14040:2016, la primera especifica los requisitos y una guía para la evaluación del ciclo de vida, dicha norma puede ser de mucha utilidad para las organizaciones a la hora de comenzar a realizar el análisis.

El análisis del ciclo de vida de un producto, es la metodología que se realiza para identificar, cuantificar y caracterizar los distintos impactos ambientales potenciales que se asocian a cada etapa del ciclo de vida del producto o servicio y es una herramienta muy importante, ya que aporta soporte a las personas que se encargan de tomar decisiones en cuestiones relacionadas con los productos o servicios, en los que se establecen diferentes consecuencias del uso de algún producto o con la configuración y utilización de un producto o servicio.



Etapas en el Análisis del Ciclo de Vida

Se considera que la norma ISO 14044:2016 tiene 4 etapas para definir el análisis de ciclo de vida:
  • La fase de definición del objetivo y el alcance
  • La fase del análisis de inventario
  • La fase de evaluación del impacto
  • La fase de interpretación
El análisis del ciclo de vida debe tener en cuenta todas las materias primas, servicios auxiliares y residuos generados a lo largo del proceso productivo o la generación de residuos en un servicio. El análisis de ciclo de vida tiene como objetivo establecer el indicador que evalúe los aspectos ambientales clave, lo cual permite a las organizaciones identificar donde se deben concentrar sus esfuerzos para mejorar el desempeño ambiental, ya sea en la selección de materias primas, en el proceso o en los residuos generados.

Los aspectos financieros pueden ser una herramienta muy útil que ayude en la disminución de costos, en la medida de un nuevo diseño, la utilización de otra materia prima, cambios en los procesos o en la distribución, promoviendo una mejor asignación de todos los recursos. El análisis ayuda a las organizaciones a mejorar su imagen con las partes interesadas ya que pueden hacer declaraciones relacionadas con el compromiso con el medio ambiente.

El análisis del ciclo de vida no es un instrumento para proteger el medio ambiente, si es una herramienta empresarial que ayuda a las organizaciones a ser muy sustentables, minimizando costos y mejorando su posicionamiento en un mundo que cada día exige más compromiso con el medio ambiente.


Tomado de: https://www.nueva-iso-14001.com

ETAPAS DE LA EVALUACIÓN DE RIESGOS EN LA ISO 27001:2014

Dentro del Sistema de Gestión de la Seguridad de la Información según la Norma ISO 27001, la evaluación de riesgos es una actividad transversal que hay que realizar con eficacia.
La gestión eficaz de los riesgos se encuentra presente en otros sistemas de gestión como la Norma ISO 9001, Sistema de Gestión de la Calidad o la Norma ISO 14001, Sistema de Gestión Ambiental, cobrando cada vez mayor relevancia para el futuro y la toma de decisiones estratégicas dentro de las distintas empresas.

En el caso del Sistema de Gestión de la Seguridad de la Información, la gestión de riesgos es esencial y para ello es necesario llevar a cabo una serie de actividades que garantizarán que se ejecuta de forma eficaz.

En este artículo voy a hablar del proceso de la gestión de riesgos dentro de la Norma ISO 27001, centrándome de forma más detallada en las primeras etapas del mismo y realizando una numeración del resto.

La importancia de la gestión del riesgo.

Tenemos que partir de la base de que los sistemas de gestión definen el riesgo como el efecto de la incertidumbre, ya sea positivo como negativo, debido a la falta de información completa y/o veraz sobre una situación, proceso o procedimiento.

De esta forma, la gestión del riesgo viene a apoyar las decisiones estratégicas que buscan la prevención de situaciones adversas futuras y así transformarlas y aprovecharlas de forma eficaz para la mejora continua.

Existen numerosas herramientas para realizar esta gestión del riesgos como AMFE (Análisis Modal de Fallos y Efectos),  Lluvia de Ideas o la metodología MAGERIT (para más información sobre otras herramientas existentes recomiendo consultar el  artículo “Herramientas para la gestión del riesgo en las organizaciones”), y que se elegirán y aplicarán según se adapten a las necesidades y características de la organización concreta.

En el artículo “Los riesgos, oportunidades y la mejora en la Norma ISO 27001:2014” ya habíamos establecido una imagen general de las etapas que conllevarían una eficaz y adecuada gestión de los riesgos, sin embargo, esta gestión no es genérica y variará ampliándose según la empresa que la lleve a cabo. A forma de guía, a continuación incluyo las etapas, centrándome más en las iniciales por su relevancia para que la gestión se realice de forma correcta, de la identificación, valoración, tratamiento y verificación de los riesgos y oportunidades de una organización.

Elaboración del listado de inventarios en activo.

Como base, identificar los elementos indispensables para el funcionamiento y la realización del producto y/o servicio al que se dedica la empresa, permite obtener una imagen clara y definida de los elementos o activos que sirven como soporte de los procesos de negocio. De esta forma, aporta una imagen definitiva y documentada que va a servir de soporte para numerosos procedimientos del sistema de gestión y la toma de decisiones estratégicas, pero además va a asentar los cimientos de la gestión de los distintos riesgos a los que se enfrenta o puede enfrentarse la empresa.

A la hora de realizar esta identificación y las dependencias entre los distintos elementos, se debe partir del estudio del funcionamiento de los servicios respondiendo a preguntas como:  ¿Qué información es necesaria para prestar el servicio? o ¿Dónde se almacena esta información?

Con las respuestas a las distintas preguntas que hemos realizado, se elaborará un inventario de activos que debe incluir una serie de datos básicos como por ejemplo:
  • nombre
  • descripción
  • categoría, es decir, software, servicio o personal, por poner unos ejemplos
  • ubicación física donde se encuentra
  • dependencias con otros activos
  • valor del activo en relación con la confidencialidad, disponibilidad e integridad, estableciéndose valores para cada uno de estos activos a partir de unos criterios normalizados y objetivos.

Identificar y realizar la valoración de las amenazas.
Avanzando más en la gestión de los riesgos, es el momento de realizar el análisis de los riesgos elaborando un catálogo de las distintas amenazas que se encuentran en el horizonte previsible de la empresa. Algunos ejemplos clásicos y genéricos para las distintas empresas de estas amenazas son el fuego, los cortes de suministro eléctrico o los errores de usuarios.

Partiendo de este catalogo y relacionándolo con la lista de activos, es el momento de valorar la vulnerabilidad de cada uno de los distintos activos teniendo en cuenta la degradación a la que están expuestos y su probabilidad frente a las amenazas. Estos dos valores quedarán reflejados en una escala que puede ser de 0 a 3, siendo 0 sin degradación y 3 degradación alta, o 0 muy baja la probabilidad y 3 alta probabilidad.

Calcular el impacto de las amenazas.
Una vez tenemos identificar los activos y las amenazas que afectan cada uno de ellos, el siguiente paso es calcular el impacto en función del valor del activo y de la degradación que produciría la amenaza en el caso de que esta situación llegue a producirse.

Es interesante destacar que este impacto debe estudiarse sin tener en cuenta las medidas de seguridad que se están llevando a cabo en este momento, ya que si las incluimos tamizarían el riesgo máximo de cada activo y podría provocar que riesgos existentes no se consideraran como tal.

Calcular el riesgo.
Con los valores anteriores por cada activo hay que cuantificar el riesgo para cada amenaza identificada y comparar los distintos activos en razón a estos valores y las dependencias entre ellos, calculando el riesgo para el servicio y funcionamiento de la empresa.

Si los valores utilizados son correctos y mantenemos documentado todo el proceso y los métodos de cálculo, podrá revisarse de forma periódica para actualizar y mantener de forma viva y eficaz la gestión de los riesgos.

Tratamiento de los riesgos.
Por último, para realizar una correcta gestión del riesgo no podemos quedarnos aquí sino que es necesario avanzar, decidiendo como se va a tratar cada uno de ellos, diferenciando si se van a asumir, transferir, eliminar o mitigar, en la medida de lo posible, o controlar para mantenerlo en un grado determinado, cuya decisión recaerá en manos del propietario del riesgo.

Para ello, es necesario:

  1. Determinar la estrategia para reducir los riesgos mediante la aplicación de medidas de seguridad.
  2. Identificar las medidas de seguridad para reducir el riesgo a un nivel deseable en función de las amenazas identificadas.
  3. Una vez determinados los controles, se revisarán los que se incluyen dentro del documento ISO 27001 para verificar que no se ha dejado en el tintero ninguno considerado como relevante.
  4. Documentar las decisiones de la sección de controles, así como de los anteriores pasos realizados.
  5. Una vez seleccionados los controles y teniendo en cuenta los ya implantados, se debe repetir el análisis de riesgos siguiendo la misma metodología empleada y considerando la seguridad implantada en la valoración de la degradación y frecuencia de las amenazas.
  6. Elaboración del Informe de gestión de riesgos.
  7. Elaboración del plan de tratamiento de riesgos con especial incidencia en la trazabilidad de las medidas a implantar y los riesgos que se pretenden mitigar con ellos, así como las responsabilidades y métricas, relacionadas con la confidencialidad, disponibilidad e integridad.
  8. Apoyar la gestión del riesgo con formación y concienciación específica.
  9. Y, por último, realizar verificaciones y validaciones periódicas que permitan mantener actualizada y eficaz la gestión de los riesgos realizada.

Tomado de: https://www.sbqconsultores.es