viernes, 16 de noviembre de 2018

¿QUÉ SON LOS SISTEMAS DE INFORMACIÓN?

Un Sistema de Información permite gestionar la información de que dispone la organización y lo convierte en una elemento estratégico de gran valor para las empresas.

Las empresas manejan diariamente mucha información, tanto importante y vital como innecesaria.

La selección de una adecuada sección de esta puede suponer una mejora competitiva frente a otras empresas, pero cuando una organización no utiliza adecuadamente la documentación de que dispone puede estar cabando su propia tumba en un futuro cercano.

Para comprender adecuadamente que información debemos usar y cual no, debemos entender que es un sistema de información y su finalidad.

Definición de un Sistema de Información
La implantación de un Sistema de Información supone una gran ventaja competitiva.
La implantación de un Sistema de Información supone una gran ventaja competitiva.
La finalidad de un Sistema de Información es proporcionar la información necesaria que facilite la toma de decisiones en las empresas.

Básicamente, un Sistema de Información es un conjunto de procedimientos que, gracias a un orden establecido, permiten gestionar la información de que dispone la organización. Para conseguirlo se debe recoger adecuadamente la información y procesarla de forma eficaz para convertirla en entradas útiles de las bases de datos.

La finalidad de estos sistemas es proporcionar la información necesaria que facilite la toma de decisiones. De esta manera, estos sistemas se convierten en un elemento estratégico prioritario para la gestión empresarial debido a su gran utilidad y su gran fuente de valor.

Recomendación:

De forma general se aconseja que las empresas dispongan de un sistema de información delimitado por cada unidad operativa, ya que permite ver de forma objetiva la información, comprendiendo su definición y utilidad. Con este método se puede establecer en una empresa un sistema de información para el sector de finanzas, de marketing, de producción o de recursos humanos. Por el contrario, si dispones de una empresa muy pequeña se puede establecer solamente un sistema de información que tenga un alcance general.

Un Sistema de Información debe incluir sólo información útil, la que no se necesite o sea irrelevante representa una pérdida de tiempo para aquellos que desean usarla, y pueden llegar a ocultar información realmente valiosa. También debe ofrecer una información exacta. Este último es un requisito prioritario, ya que si los datos manejados son inexactos, la información carecerá de valor o será engañosa, lo que conducirá en todo caso a la posibilidad de adoptar decisiones erróneas como ya comentábamos anteriormente.

Campos en los que se centra un Sistema de Información:

Los elementos del Sistema de Información se centran en tres campos:
  • el primero de ellos es la Información y los Datos ya que con ellos trabaja el sistema, y se transforman unos datos (inputs) en información (outputs);
  • el segundo de los campos es el de Personas que forman parte del sistema de información y pueden ser personal técnico encargado de su diseño y correcto funcionamiento o los encargados de introducir los datos en el sistema, etc.;
  • y el tercer y último de los elementos son los elementos de soporte que sirven para dar soporte al sistema. En este último caso hay que tener en cuenta que si se tratara de un sistema automatizado habría que contemplar el hardware y el software.

Para finalizar voy a matizar que estos Sistemas de Información son la base de la Gestión Eficaz de una Empresa y suponen el 70 %  del trabajo a la hora de implantar eficientemente un  Sistema de Gestión de la Información según la ISO 27001.

La adecuada implantación de los sistemas de información, al igual que cuando implantamos un Sistema de Gestión de la Información según la ISO 27001, supone para la empresa una ventaja competitiva importante frente a otras organizaciones del mercado y generará un importante incremento en los beneficios al anticiparse y adaptarse a los movimientos del mercado.

Tomado de: https://www.sbqconsultores.es

CÓMO REDACTAR UNA NO CONFORMIDAD ENCONTRADA EN UNA AUDITORÍA ISO 9001

Los auditores internos más temprano que tarde, se encontrarán con la necesidad de redactar una no conformidad en la gestión e implementación de un Sistema de Gestión de la Calidad basado en la norma ISO 9001:2015.

Las auditorías internas son un elemento esencial que forma parte de los requisitos de ISO 9001:2015, y, dentro de ellas, redactar una no conformidad es una de las tareas que siempre será necesario realizar.

Sin embargo, aunque se siga un proceso de auditoría planificado, redactar una no conformidad de tal forma que facilite la investigación y la implementación de acciones correctivas, requiere tener en cuenta algunos aspectos básicos.

Cómo redactar una no conformidad – ¿Qué es una conformidad?

En el ámbito de las normas ISO y específicamente de auditorías, una no conformidad es el hallazgo de evidencias de que un proceso no cumple con los requisitos exigidos por el estándar o no se realiza de acuerdo a lo planificado.

Durante la auditoría se compara lo planificado con lo que sucede en la práctica para verificar que no se está produciendo ninguna desviación respecto a lo esperado o situación de riesgo. Cuando esto sucede nos encontramos ante una no conformidad.

Es en este momento en el que se debe redactar una no conformidad dentro del informe de auditoría. Pero para ello, es preciso seguir algunas pautas. Veamos cuáles son:

Pautas para redactar una no conformidad eficaz

Es importante tener en cuenta el propósito con el que se elabora una no conformidad. Más allá de cumplir con el requisito de ISO 9001, redactar una no conformidad permite al auditado tomar medidas para corregir la falla y eliminar la causa.

Para lograr el objetivo es preciso seguir algunas pautas:

Describir el problema con detalles: para que el auditado pueda investigar por qué se está presentando la no conformidad debe conocer con todos los detalles la forma en que se detectó el problema.
Mencionar el requisito: es necesario asegurar que la persona que abordará el problema comprenda cuál es el requisito de ISO 9001 que se está incumpliendo.

Incluir evidencia de auditoría: es necesario incluir la o las evidencias de auditoría que comprueban la existencia de la no conformidad. La evidencia es, para el auditado, el punto de partida de la investigación que lo llevará a descubrir la causa raíz del problema.

Cualquier información adicional que el auditor considere importante será bienvenida a la hora de redactar una no conformidad encontrada en una auditoría de la norma ISO 9001.

¿Qué no debemos mencionar a la hora de redactar una no conformidad?:
  • Adjudicar culpas o responsabilidades.
  • Determinar soluciones
Aunque no existe un formato de uso obligatorio para redactar una no conformidad, existe un modelo que garantiza el cumplimiento de las pautas que hemos mencionado. Este modelo se conoce como “debería ser / como se encontró”.

Debería ser: es una declaración de lo que se esperaba encontrar en el proceso. Si no es posible escribir una declaración “debería ser” con respecto a un proceso, es poco probable que realmente estemos frente a una no conformidad.

Como se encontró: en esta parte declaramos el hallazgo que no cumple con el requisito/planificación, registrando así mismo la evidencia y toda la información pertinente que apoye la existencia de la no conformidad.

Recuerde que una buena declaración de no conformidad hace valioso el hallazgo de auditoría.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

DISEÑO DEL MARCO DE REFERENCIA PARA LA GESTIÓN DEL RIESGO EN ISO 31000:2018


Es necesario diseñar un marco de referencia para la gestión del riesgo en ISO 31000:2018. Para emprender esta labor la organización debe determinar, examinar y comprender su contexto interno, pero también su contexto externo.
El examen del contexto externo de la organización —con el fin de definir un marco para la gestión del riesgo en ISO 31000:2018— puede incluir, entre otros elementos, los siguientes:



Marco para la gestión del riesgo en ISO 31000:2018 – Los elementos del contexto interno y externo

El contexto interno puede examinarse de acuerdo con los siguientes factores:
  • Factores sociales, culturales, políticos, legales, regulatorios, financieros, tecnológicos, económicos y ambientales.
  • Factores internacionales, nacionales, regionales o locales.
  • Tendencias que afectan los objetivos de la organización.
  • Relaciones, percepciones, valores, necesidades y expectativas de las partes interesadas externas.
  • Relaciones contractuales y compromisos.
  • Complejidad de redes y dependencia de ellas.
Así, el contexto interno también puede ser examinado de acuerdo con elementos particulares:
  • Misión, visión y valores de la organización.
  • Estructura organizacional, autoridad, roles y responsabilidades.
  • Cultura de la organización.
  • Normas, directrices y modelos adoptados por la organización.
  • Recursos como conocimiento, capital, tiempo, personas y tecnologías.
  • Información, datos, sistemas de información y flujo de información.
  • Relaciones con las partes interesadas internas, teniendo en cuenta sus percepciones y sus valores.
  • Relaciones contractuales y compromisos.
  • Interdependencias e interconexiones.

Marco para la gestión del riesgo en ISO 31000:2018 – Compromiso


La Alta Dirección y los órganos superiores de gestión y supervisión, cada uno desde su posición, deben demostrar y articular su compromiso continuo con la gestión de riesgos. Esto se logra por medio de una política, una declaración o cualquier otra forma, que transmita con claridad los objetivos de una organización y su compromiso con la gestión de riesgos.

Tal declaración, aunque no está limitada a estos aspectos, debería incluir:
  • El propósito de la organización para gestionar el riesgo y la forma en que esto se alinea con sus objetivos y otras políticas.
  • El refuerzo ante la necesidad de integrar la gestión de riesgos en la cultura general de la organización.
  • El liderazgo de la integración de la gestión de riesgos en actividades comerciales centrales y en la toma de decisiones.
  • Autoridades y responsabilidades.
  • Aseguramiento de los recursos necesarios.
  • La forma en que se abordan los objetivos conflictivos.
  • Medición y presentación de informes, dentro de los indicadores de desempeño de la organización, que indiquen la mejora continua.
El compromiso de la gestión de riesgos debe comunicarse dentro de la organización y a las partes interesadas según resulte procedente.
Asignación de roles, autoridades y responsabilidades

El marco de referencia para la gestión de riesgo en ISO 31000:2018 debe considerar la asignación de responsabilidades y niveles de autoridad. Los órganos superiores de gestión y supervisión -como la Alta Dirección- deben garantizar que se asignen las autoridades y las responsabilidades con respecto a la gestión de riesgos y comunicarlos a todos los niveles de la organización enfatizando que la responsabilidad central es de todos sus miembros.

Así mismo, es necesario identificar a las personas que tienen algún nivel de autoridad o una responsabilidad dentro de la gestión de riesgos.
Asignación de recursos

Los órganos superiores de gestión y supervisión también deben garantizar la asignación de recursos, que deben incluir entre otros: recursos humanos, herramientas, procesos y métodos, sistemas de gestión de información y conocimiento, y programas de capacitación y formación.


Tomado de: https://www.escuelaeuropeaexcelencia.com