jueves, 31 de octubre de 2019

¿CUÁNDO SOMOS MÁS COMPETITIVOS QUE OTRAS EMPRESAS EN EL EXTRANJERO?

Podemos llevar meses o años vendiendo un producto o servicio de forma estable o creciente, pero inevitablemente va a llegar un punto en que, sin avances significativos a nivel tecnológico, ese producto va a entrar en un estancamiento progresivo y posteriormente en declive. 

¿Qué hacer cuando detectamos este cambio de tendencia?

Las fases de del ciclo de madurez de un producto pasan por un periodo de introducción en que los geeks tecnológicos o del sector va a ser quienes se conviertan en nuestros principales clientes. Capaces de pagar precios más elevados por no esperar, supondrán la fase de testeo más importante de todo el ciclo, con una competencia menor y unas posibilidades de mejora amplias.

¿En qué momento pensar en una estrategia de internacionalización como solución a los problemas de estancamiento posteriores a la fase de difusión y crecimiento de ese producto o servicio?

Bien, esta reflexión debe hacerse sobre tres premisas:

La primera es a nivel interno, y debe responder a qué medios tenemos para abrirnos al exterior. Previamente a definir la estrategia de internacionalización, deberemos analizar la capacidad productiva de la empresa, los conocimientos de otros mercados, y la forma o canal de venta que adoptaremos en el extranjero (franquicia, distribuidor, marca blanca, marca propia…)

Una segunda reflexión viene a través de la competencia nacional. ¿Ha aumentado hasta tal nivel que acelera la decisión de abrirse a una estrategia de internacionalización? Puede suceder que no haga falta llegar a la etapa de estancamiento del ciclo de madurez del producto para abordar una estrategia de internacionalización y empezar a posicionarse en el extranjero. La saturación de la oferta nacional puede precipitar estos hechos y adelantar una salida prematura a otros mercados con tal de poder mantener unos ingresos esperados y necesarios.

Finalmente, una tercera reflexión a hacer y que puede resultar clave es analizar en qué punto del ciclo de madurez se encuentran nuestros productos en el extranjero. En otras palabras, ¿podemos anticiparnos a la competencia extranjera? ¿Podemos hacernos un hueco en la cuota de mercado?

Y es que de ser así, tenemos algo más a nuestro favor en la estrategia de internacionalización como es el know-how de todo lo que conlleva la producción y entrega de nuestros productos o la implementación y calidad de nuestros servicios si fuera el caso.

Entender estas tres variantes puede determinar el éxito o fracaso de toda estrategia de internacionalización, por lo que realizar un estudio detallado sobre cada una de ellas resultará imprescindible para la viabilidad de la empresa en el corto y medio plazo.

Si estáis pensando en lanzaros a la internacionalización, en tal caso os dejo aquí una guía gratuita con los principales métodos de entrada en mercados extranjeros y así conocer si es una situación apta para vuestro caso particular.

Tomado de: http://www.five365.com

QUÉ INCLUIR EN UNA POLÍTICA DE ACCESO REMOTO ISO 27001


El acceso remoto representa un verdadero reto para los directores de TI, que ven en ello un riesgo latente de seguridad y hacia el cumplimiento de ISO 27001. 


La política de acceso remoto ISO 27001 es la que protege de ese riesgo y cobra así especial importancia. Por ello, analizamos este documento y a detallamos los elementos que deben estar presentes en él.


El reto que implica la política de acceso remoto ISO 27001

Cada vez son más los trabajadores que deben acceder de forma remota a la información de sus organizaciones. Los trabajos que realizan algunos empleados durante un viaje de negocios, o cuando están en casa, sumados a las diferentes modalidades de teletrabajo implican necesariamente la necesidad de conceder permisos para acceso remoto.

Se trata de modalidades de trabajo convenientes para la empresa y sus trabajadores. Pero no por ello se debe descuidar la seguridad y la protección de la información y los datos de la organización. Así, se vuelve cada vez más necesaria una política de acceso remoto ISO 27001.

¿Qué se debe considerar en la política de acceso remoto ISO 27001?

Hasta el momento tenemos claro que las organizaciones necesitan una política de acceso remoto ISO 27001. En este documento, se establecen las condiciones, restricciones, procedimientos y mecanismos operativos necesarios para permitir el acceso remoto con seguridad.

Para ello, la política de acceso remoto ISO 27001 debe tener en cuenta:
  • La seguridad física de las instalaciones, edificios y su entorno.
  • La concienciación de los teletrabajadores sobre la necesidad de proteger sus contraseñas de acceso, y no compartirlas con nadie, ni siquiera con los miembros de su familia.
  • El compromiso de los empleados de no realizar actividades ilícitas ni vulnerar las políticas de la organización o utilizar el acceso remoto suministrado para obtener lucro comercial.
  • Los teletrabajadores, o cualquier empleado al que se le autorice el acceso remoto, deben comprometerse a configurar sus dispositivos de tal forma que, al terminar la sesión, se deshabiliten las opciones de acceso remoto.
  • Debe justificarse la necesidad de acceder a los datos internos o al sistema. Asimismo debe definirse el tipo de trabajo y la sensibilidad y clasificación de la información.
  • Los datos transmitidos durante una sesión de acceso remoto deben encriptarse y el acceso debe autorizarse por autenticación multifactor. Es necesario prohibir el almacenamiento y procesamiento de los datos a los que se accede.
  • La capacidad de los usuarios de acceso remoto debe limitarse a ciertas operaciones y debe existir una política sobre la eliminación de la autorización, devolución de equipos o cambio de contraseñas, cuando las actividades de teletrabajo finalizan o dejan de realizarse.
  • Cada conexión debe registrarse para asegurar la trazabilidad en caso de un incidente. El acceso no autorizado a estos registros debe ser investigado y atendido. El registro a prueba de manipulaciones de firewall y dispositivos VPN mejora la confiabilidad de la pista de auditoría.
  • Debe existir una política de aceptación y rechazo en el firewall. Esta debe ser planificada y configurada.
  • El modo de operación del cortafuegos debe configurarse como “stateful”, para tener los registros completos.

Los controles de seguridad necesarios para cumplir con la política de acceso remoto ISO 27001

Como venimos diciendo, aunque el acceso remoto supone riesgos, constituye una forma de conectividad esencial para el funcionamiento de las organizaciones en este siglo. En aras de mitigar esos riesgos, la política de acceso remoto ISO 27001 define reglas para eliminar la exposición potencial derivada del uso no autorizado; propone controles de seguridad que consisten en:
  • Asegurar, controlar y encriptar mediante el uso de firewalls y redes virtuales VPN seguras.
  • Si la organización define dentro de su política el uso de un dispositivo BYOD, el host debe cumplir con los requisitos definidos en la política de configuración de software y hardware de la organización.
  • Los host que se utilicen para conectarse a la red de la organización deben ser actualizados y enviados con la firma de antivirus.
  • La VPN dividida debe evitarse en tanto que la política lo permita.
  • Los usuarios deben aceptar la política de la organización al momento de acceder.
  • Asegurar que más de un dispositivo esté configurado en modo “alta disponibilidad”.

Tomado de: https://www.escuelaeuropeaexcelencia.com

¿QUÉ FUNCIÓN TIENE EL LIDERAZGO Y EL COMPROMISO EN LA ISO 37001?


La Organización Internacional de Estandarización (ISO) publicó la norma ISO 37001 “Sistemas de Gestión Anti-sobornos” en la que se establece todos los requisitos necesarios para implementar un Sistema de Gestión Anti-soborno en las empresas ayudándolas a prevenir, detectar y gestionar de forma adecua posibles conductas delictivas.

Dentro del contexto de la norma ISO 37001, el soborno se entiende como oferta, promesa, entrega, aceptación o solicitud de una ventaja indebida de cualquier valor, ya sea de forma directa o indirecta, e independientemente de su ubicación, en violación de ley aplicable, como incentivo o recompensa para que una persona actúe o deje de actuar en relación con el desempeño de las obligaciones de esa persona.



La norma ISO 37001 trata el liderazgo y el compromiso o para la gestión anti-soborno. Esta norma para la gestión de riesgos expone que cuando la empresa cuente con un órgano de gobierno, dicho órgano debe demostrar su liderazgo y compromiso con respecto al sistema de gestión anti-soborno mediante:
  • Aprobación de la política anti-soborno de la organización.
  • Asegurar que la estrategia de la organización y la política anti-soborno se encuentran alineadas.
  • Recibir y revisar la información sobre el contenido y el funcionamiento del sistema de gestión anti-soborno de la empresa.
  • Requerir que los recursos adecuados y apropiados, necesarios para el funcionamiento eficaz del sistema de gestión anti-soborno, sean asignados y distribuidos.
  • Ejercer una supervisión razonable sobre la implementación del sistema de gestión anti-soborno de la empresa por la alta dirección y su eficacia.
Las actividades deben llevarse a cabo por la alta dirección, si la empresa no tiene un órgano de gobierno. La dirección de la organización tiene que demostrar el liderazgo y el compromiso con respecto al sistema de gestión anti-soborno:
  • Asegurándose de que el sistema de gestión anti-soborno, incluyendo la política y los objetivos, se establezca, se implante, se mantenga y se revise para abordar de forma adecuada los riesgos que pueden surgir de los sobornos de la organización.
  • Asegurarse de la integración de los requisitos del sistema de gestión anti-soborno en los procesos de la empresa.
  • Desplegar recursos suficientes y adecuados para el funcionamiento eficaz del sistema de gestión anti-soborno.
  • Comunicar interna y externamente lo relacionado con la política anti-soborno.
  • Comunicar de forma internamente la importancia de la gestión eficaz anti-soborno y la conformidad con los requisitos del sistema de gestión anti-soborno.
  • Asegurar que el sistema de gestión anti-soborno esté diseñado de forma adecuada para conseguir sus objetivos.
  • Dirigir y apoyando al personal para contribuir a la eficacia del sistema de gestión anti-soborno.
  • Promoviendo una cultura anti-soborno apropiada dentro de la empresa.
  • Promover la mejora continua.
  • Apoyar a otros roles pertinentes de la dirección, para demostrar su liderazgo en la prevención y detección de soborno en la medida en la que se aplique a sus áreas de responsabilidad.
  • Fomentar el uso de los procedimientos para reportar la sospecha de soborno y el soborno real.
  • Asegurarse de que ningún miembro del personal sufrirá represalias, discriminación o medidas disciplinarias o por informes hechos de buena fe o sobre la base de una creencia razonable de violación o sospecha de violación a la política anti-soborno de la empresa, o por negarse a participar en el soborno, incluso si tal negativa puede dar lugar a la pérdida de negocios para la organización, excepto cuando el individuo participó en la violación.
  • Reportar en intervalos planificados, al órgano de gobierno, si existe, sobre el contenido y el funcionamiento del sistema de gestión anti-soborno y de las denuncias de soborno graves y/o sistemáticas.
Cómo adaptar los sistemas de cumplimiento pena establecidos a la norma ISO 37001

Para realizar la adaptación y cumplir con lo que establece la norma ISO 37001 se deben seguir los siguientes pasos:
  • Adaptar el mapa de riesgos que se encuentre implementado en la sociedad.
  • Definir el ámbito de aplicación, es decir, si afecta a toda la organización en sectores determinados.
  • Archivo de la documentación acreditativa que demuestre que el riesgo de soborno se encuentra siendo un objetivo o mecanismo para designar e implementar el sistema anti-soborno.
  • Fijar los contactos de información socios comerciales, proveedores, clientes, suministradores, sector público.
  • Establecer todos los controles necesarios como puede ser la auditoría previa.
  • Especial consideración a los pagos de facilitación o trámite.


Tomado de: https://www.isotools.org/

MAPA DE PROCESOS DE LOS SISTEMAS DE GESTIÓN INTEGRADOS

De manera general, la integración significa llevar a cabo una combinación, es decir, poner todas las prácticas de gestión interna dentro de un sistema, de tal manera que los componentes de dicho sistema no estén separados, sino vinculados para formar una parte integral del sistema de gestión de la empresa, es lo que se denomina “enfoque de gestión basado en procesos".

Partiendo de este enfoque de gestión como base para la integración, se puede afirmar que un sistema integrado de gestión puede definirse a través de un conjunto de procesos, interrelacionados entre sí, orientados hacia el cumplimiento de una política de gestión y unos objetivos, relativos a las áreas de gestión que se integran.

Uno de los instrumentos más utilizados en el diseño de sistemas de gestión es la elaboración del mapa de procesos. Un mapa de procesos es una representación gráfica que nos ayuda a visualizar todos los procesos que existen en una empresa y su interrelación entre ellos. Antes de realizar el mapa de procesos habrá que identificar todos los procesos.

Así pues, hay que determinar el grado de integración del mismo a partir del grado de integración de cada uno de los procesos que lo forman; esto quiere decir que se evalúa a través de la valoración del comportamiento individual de cada proceso de conjunto, esto sirve para identificar que procesos están integrados y cuáles no lo están.

https://www.isotools.org/2014/08/18/mapa-de-procesos-de-los-sistemas-de-gestion-integrados/

martes, 22 de octubre de 2019

¿SE DEBEN GESTIONAR LOS RIESGOS EN EL SECTOR TURÍSTICO?

La norma internacional ISO 31000 es el estándar ideal para llevar a cabo una adecuada gestión de riesgo. 

La gestión del riesgo se entiende como la planificación en el uso de la incertidumbre provocada de una amenaza, a través de una serie de actividades como la identificación, análisis, evaluación e incluso mitigación del riesgo para minimizar sus efectos negativos o en el peor de los casos aceptando las consecuencias.


Las organizaciones vinculadas a las actividades del sector turístico son las responsables de gestionar los riesgos que se producen en este tipo de sector. Entre los riesgos mas comunes destacamos:
  • Los recursos humanos con los que cuenta la organización, la profesionalidad de los trabajadores es un factor clave. La mala gestión de este tipo de recursos puede ocasionar la aparición de riesgos para la organización. Por ello es necesario prestar atención al talento, innovación y capacitación, lo que permitiría ofrecer servicios y productos de calidad.
  • Los hurtos llevados a cabo por el personal de la organización y por los usuarios de esta supone uno de los principales riesgos a los que las empresas del sector turístico debe de hacerle frente. Una de las soluciones es realizar periódicamente auditorias en todos los departamentos de la organización.
  • Suplantación de la identidad, en muchas ocasiones se da el caso en el que ciertas organizaciones gestionan servicios y productos de las empresas turísticas sin realmente haber contratado estos. La consecuencia es que los clientes que se suponen que han reservado este tipo de servicios cuando llega al establecimiento no puede disfrutar de ello y las organizaciones reciben un elevado número de quejas ante este tema.
  • Contratación de servicios a través de internet, en estos casos es necesario el uso de una tarjeta para realizar el pago y es muy posible que no sea la tarjeta del cliente que va a disfrutar de este tipo de servicios.
  • La elaboración de nuevas normativas ambientales que suponen un coste añadido.
La ISO-31000 se convierte en una solución perfecta para las organizaciones del sector turístico, es una herramienta que permite proceder a la correcta gestión de estos riesgos. Es importante destacar que la norma ISO 31000 está estructurada según tres elementos que dan la posibilidad de gestionar los riesgos de un modo efectivo:

– Los principios para la gestión de riesgos.

– La estructura de soporte.

– El proceso de gestión de riesgos.

Tomado de: https://www.isotools.org/

ISO 50001: LA IMPORTANCIA DE GESTIONAR LA EFICIENCIA ENERGÉTICA EN EL SECTOR DE LA CONSTRUCCIÓN


El sector de la construcción está sufriendo mayores exigencias a la hora de cumplir los requerimientos ambientales, ya que los estándares son cada vez más elevados.
La necesidad de crear nuevas infraestructuras como aeropuertos, polígonos industriales, zonas comerciales, oficinas, áreas residenciales, puertos marítimos… se debe al incremento de la población y la urbanización.

La sociedad cada día demanda más confort, para mejorar su calidad de vida por ello exige soluciones energéticas que les proporcione las soluciones más adecuadas.

Con la norma ISO 50001, las organizaciones del sector de la construcción pueden realizar un uso eficiente de los diferentes tipos de energía que emplee la organización. Por ello en el sector de la construcciones importante contemplar que tipo de construcciones realizan sus empresas, por ejemplo pueden estar especializadas en un tipo de construcción o por el contrario se encargan de la construcción de edificios, carreteras, túneles, etc.

La gestión de la eficiencia energética implica ciertas ventajas como:

– Certificación ISO 50001.

– Cultura energética en la empresa.

– Utilización de mejoras energéticas en obras de nueva y vieja construcción.

Pero no podemos olvidar que pueden presentarse importantes dificultades, a las que la organización debe de hacerle frente:

– Control de los equipos de medición empleados.

– Necesidad de indicadores y objetivos para la mejora de tipos de obra o fases.

– Periódica actualización de los balances de materia y energía.

En el sector de la construcción, el estándar internacional ISO-50001 puede integrarse con los sistemas de gestión de la calidad y medio ambiente regulados por la ISO 9001 e ISO 14001 respectivamente.

Durante las distintas fases de obra se hace necesario realizar auditorías energéticas de un modo continuo.


Tomado de: https://www.isotools.org

INSPECCIONES EN TERRENO: PRINCIPALES PROBLEMAS


El objetivo que persigue la realización de las inspecciones en terreno es apreciar la solvencia actual y futura de la empresa. 


Más específicamente, el objetivo de comparar el perfil de riesgo de la empresa y su capacidad para afrontarlo y detectar cualquier problema que pueda afectar la capacidad que tiene la organización para conseguir cumplir con sus obligaciones, con los asegurados en el largo plazo.


La inspección en terreno no debe estar limitada con la detección de problemas de la empresa. Los supervisores también deben ahondar en las razones que existen y en identificar todas las soluciones.


Los objetivos se pueden separar en objetivos intermedios:
  • Valorar todos los activos y analizar la adecuación de las tarifas.
  • Evaluar la conducta técnica del negocio.
  • Evaluar el trato que se les ofrece a los clientes y determinar si se utilizan actividades ilegales o impropias que suponga un costo a la organización.
  • Evaluar los sistemas contables y los controles internos, además de obtener la opinión de la administración corporativa.
  • Detectar los problemas que pueden surgir en la organización de la empresa.
Procedimiento de la inspección en terreno

Después de realizar un análisis de la información financiera y estadística enviada por las compañías, el supervisor deberá desarrollar un programa que se encuentre basado en el análisis sistemático de los antecedes de las empresas, para las inspecciones en terreno que serán llevadas a cabo dentro de los próximo meses.

Este plan tendrá en cuenta la frecuencia con la que se realizan las inspecciones en terreno y el perfil de riesgo que tiene la organización. Las inspecciones en terreno son más frecuentes y mucho más profundas cuando hablamos de organizaciones que se encuentran en una posición de dificultad económica o financiera. Sin embargo, un cambio importante en la administración y en el plan de negocios de la empresa, todo esto puede ser una razón suficiente para realizar una nueva inspección en terreno.

El plan de la inspección en terreno se debe mantener actualizado, ya que pueden surgir nuevas prioridades durante todo el año. El tiempo que lleva la realización de una inspección en terreno puede ser de varios días hasta meses dependiendo mucho del tipo de negocio, del tamaño y de los problemas que se puedan presentar.

Una inspección en terreno debe comenzar con una visión global de la empresa de forma que se deberá realizar una planificación y enfocar de forma correcta el área de trabajo. La revisión debe ser llevada a cabo por un conjunto de administradores y debe quedar registrada en una agenda de trabajo.

La realización de las inspecciones en terreno pueden ser de una manera convencional, es decir, manualmente. Esto puede suponer algunos problemas:
  • Pérdida de datos, ya que si se trabaja en papel es fácil que se puedan perder y se deberá volver a comenzar.
  • Si se trabaja en papel, quedarse sin espacio en las oficinas es un factor muy importante que se debe tener en cuenta.
  • Debemos tener plena confianza en la persona que realiza las inspecciones en terreno, pero puede ser que no quede constancia de que realmente estuvo en el lugar indicado.
  • Una organización que cuente con muchas zonas en las que realizar inspecciones en terreno puede tener el problema de que le sea muy difícil homogenizar los criterios a seguir en todas sus localizaciones.
  • Al realizar el informe debe estar comprobando manualmente todos los datos, lo que puede generar errores humanos que varíen las cifras.
  • Puede ser que a la persona encargada de realizar la inspección en terreno se le pase la fecha en la que debe asistir, variando el calendario que tenía previsto.
Para evitar todos estos inconvenientes se puede automatizar el proceso, solucionando todos los problemas mencionados anteriormente:
  • La persona encargada de realizar la inspección en terreno, lo puede realizar directamente en la zona gracias a la utilización de una tablet o smarphone.
  • No es necesario contar con internet directamente en el lugar a inspeccionar, ya que se guardarán los datos y se podrán sincronizar en el momento en que se disponga de internet.
  • Al utilizar un smarphone o tablet quedará registrada la geoposición, con lo que se podrá verificar que la inspección ha sido llevada a cabo satisfactoriamente en la localización concreta.
  • Quedará registrado el tiempo que se ha tardado en realizar la inspección en el terreno.
  • Se puede homogeneizar los criterios necesarios para comprobar que cumple o no cumple con los requisitos establecidos.
  • Se puede establecer como predefinido un texto que corresponda con cierta No Conformidad, lo que hace que se gane más tiempo para otros temas.
  • Como todo queda informatizado es mucho más sencillo realizar un seguimiento de los hallazgos encontrados. Se genera un informe automáticamente, evitando los errores humanos que pueden darse en el caso de que se tengan que pasar los datos manualmente. Se pueden tomar las medidas necesarias mucho más rápido, evitando riesgos mayores.
  • La comunicación entre el inspector y la persona responsable del área en cuestión será mucho más fluida y sencilla.
  • Se pueden establecer acciones de mejora o resolución de errores de una forma rápida y sencilla.
  • Los informes se pueden enviar directamente a la central para que pueda realizar las gestiones necesarias en cada caso.


Tomado de: https://www.isotools.org

ISO 26000: FACTOR CLAVE EN EL SECTOR DE LA CONSTRUCCIÓN

La norma ISO 26000 apoya a la implantación de una Responsabilidad Social Empresarial o también conocida como RSE, en sectores como el de la construcción.

A través de la responsabilidad social, este sector muestra cual es la preocupación por la situación de los trabajadores del gremio.

Muchas de las empresas del sector de la construcción tienen establecidos programas de responsabilidad social, en los que se incluyen componentes como:
  • Formación, mediante la cual pretenden fomentar procesos educativos que ofrezcan a los trabajadores las competencias básicas y las específicas para su ocupación entre otras.
  • Fortalecimiento de la situación laboral.
  • Prevención de accidentes en el lugar de trabajo y seguridad industrial.
  • Permitir el acceso a bienes y vivienda para motivar el ahorro de los trabajadores.
  • Promover valores, la convivencia, la familia, un buen uso del tiempo libre, con la única finalidad de entablar buenas relaciones personales, familiares y sociales.
La implantación de la ISO-26000 y por tanto de programas de Responsabilidad Social Empresarial conllevan los siguientes beneficios:
  • Surge el sentido de propiedad, compromiso e identificación de los trabajadores con las organizaciones y sus proyectos.
  • Reconocimiento con la misión y visión empresarial.
  • Elección de los mejores profesionales para la organización ya que la RSE se convierte en un criterio principal de elección.
  • Incremento de la permanencia de los contratos laborales en la organización y reducción de los costes para la selección de personal.
  • La imagen y reputación de la organización se ven favorecidas.
  • Disminución de incapacidades.
  • Se crea conciencia por el cuidado y respeto del entorno de trabajo y de la seguridad a individual como general.
  • La calidad del producto final se incrementa.
  • Aumenta la satisfacción de los clientes.
  • El rendimiento de las actividades y el enriquecimiento del clima laboral se acrecientan.
Estos beneficios se consiguen gracias a la adopción de una Responsabilidad Social Empresarial basada en la norma ISO26000. Esta norma permite a través de distintas actividades la mejora de la calidad de vida de los trabajadores del sector de la construcción, logrando al mismo tiempo facilitar el desempeño de sus funciones y a optimizar sus procesos.


Tomado de: https://www.isotools.or

sábado, 19 de octubre de 2019

ISO DIS 22301: PLANIFICACIÓN Y CONTROL OPERACIONAL


No cabe duda de que la planificación es uno de los aspectos clave de cara a establecer un Sistema de Gestión de Continuidad de Negocio. 

La gerencia de la organización juega un papel clave dentro de este ámbito, ya que desde una posición estratégica como la que ocupan es desde donde mejor se puede plantear este aspecto.

Según el borrador ISO DIS 22301, la organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos, y para implementar las acciones determinadas para enfrentar riesgos y oportunidades mediante:
  • El establecimiento de criterios para los procesos.
  • Implementar el control de los procesos de acuerdo con los criterios establecidos.
  • Mantener la información documentada en la medida necesaria para tener confianza en que los procesos se han llevado a cabo según lo planeado.
La organización deberá efectuar un control de los cambios planificados y revisar las consecuencias de los cambios no deseados, tomando las medidas oportunas para mitigar cualquier efecto adverso, según se considere necesario.

La organización también debe garantizar que los procesos subcontratados y la cadena de suministro estén controlados de manera adecuada.



Análisis de impacto empresarial y evaluación de riesgos

La importancia de una evaluación de riesgos llevada a cabo de manera correcta, junto con un análisis de impacto empresarial, ayuda a la compañía a identificar cuáles son los principales riesgos para sus actividades y recursos más críticos. La información que se obtiene a través de este análisis ayuda a los altos cargos identificar dónde los riesgos superan su capacidad de asunción de riesgo y prepara el terreno para llevar a cabo estrategias y planes de continuidad de negocio para minimizar la probabilidad de que se produzca una interrupción, reduciendo el período de la misma o limitando el impacto en la entrega de los principales productos y servicios de la organización.

Como indica ISO DIS 22301, la organización debe implementar y mantener un proceso para analizar el impacto en el negocio y evaluar riesgos de interrupción que establecen el contexto, definen criterios y evalúan el impacto potencial de una determinada ruptura. Se deberá determinar el orden en que se llevan a cabo el análisis de impacto empresarial y la evaluación de riesgos.

Según #ISODIS22301, la organización debe planificar, implementar y controlar los procesos necesarios para cumplir con los requisitos e implementar acciones para enfrentar riesgos y oportunidades.

Mediante este análisis se debe identificar y seleccionar las estrategias y soluciones de continuidad del negocio apropiadas. Teniendo en cuenta sus costes asociados para:
  1. Responder a las interrupciones a tiempo.
  2. Continuar y recuperar las actividades priorizadas y sus recursos requeridos para cumplir con la entrega de productos y servicios en el límite de tiempo acordado.
Para aquellas actividades que tengan prioridad, la organización debe identificar y seleccionar las estrategias y soluciones adecuadas, teniendo en cuenta los objetivos de continuidad del negocio y la cantidad y el tipo de riesgo que la organización puede o no puede tomar, para así:
  • Minimizar la probabilidad de interrupción.
  • Acortar el período de interrupción.
  • Mitigar el impacto de la interrupción en los productos y servicios de la organización.
La organización deberá determinar los recursos necesarios para implementar el negocio seleccionando soluciones de continuidad. Estos tipos de recursos considerados deben incluir, entre otros, los siguientes:
  1. Personas
  2. Información y datos
  3. Infraestructura física, como por ejemplo edificios, lugares de trabajo u otras instalaciones y servicios públicos asociados
  4. Equipos y consumibles
  5. Sistemas de tecnología de la información y la comunicación (TIC)
  6. Transportes
  7. Finanzas
  8. Socios y proveedores
La organización debe implementar las soluciones de continuidad de negocios seleccionadas para que puedan activarse cuando sea necesario.


Tomado de: https://www.isotools.org/

viernes, 18 de octubre de 2019

ISO 19011 Y LOS DIFERENTES TIPOS DE AUDITORÍAS DE UN SISTEMA DE GESTIÓN


La nueva versión de la norma ISO 19011 sobre Directrices para el desarrollo de una auditoría, fue publicada en agosto de 2018.

Considerando la gran cantidad de normas ISO, hay varias de ellas que nos podemos encontramos más habitualmente, como son la norma ISO 9001 de calidad, ISO 14001 de medio ambiente o ISO 45001 de seguridad y salud laboral.

Estas normas certificables, deben seguir una serie de pasos necesarios para obtener finalmente el certificado y, así, obtener reconocimiento la empresa usuaria.

Estos pasos, llevan a la implementación de la norma en forma de Sistema de Gestión, el cual requiere de un seguimiento y control, para verificar el cumplimiento de la norma o normas que hayan sido implementadas.

Y es aquí, donde la ISO 19011 entra en acción, ofreciendo las directrices para conocer la forma de auditar el sistema de gestión, especialmente para las auditorías internas o de primera parte o las referentes a proveedores o de segunda parte.

Por tanto, es la norma ISO 19011 la que nos dice cómo auditar los sistemas de gestión, teniendo que haber sido actualizada precisamente por las recientes versiones publicadas de otras normas, y así adaptarse a la estructura HLS y otras modificaciones.

Criterios a considerar frente a una auditoría

La ISO 19011 establece una serie de criterios que hay que considerar a la hora de afrontar una auditoría, independientemente que sea parcial o completa.

Así, podemos mencionar:
  • Debe incluir los requisitos que hayan sido definidos en la norma o normas implementadas.
  • Considerar las políticas y demás requisitos que hayan sido identificados clave por las partes interesadas.
  • Evidentemente, los requisitos legales y otros requisitos.
  • Revisar los procesos (o el proceso de interés) que hayan sido definidos por la organización o, en el caso de auditoría de segunda parte, por las partes interesadas.
  • Hay que tener en cuenta las planificaciones establecidas para las salidas de un sistema de gestión (según el mapa de procesos elaborado previamente).
Así, la norma ISO 19011 proporciona una serie de orientaciones que sirven para todo tipo de empresas, ya sean grandes o pequeñas o de diferentes actividades.

De esta manera, las auditorías se podrán programar y planificar en función de la empresa a auditar.

Por supuesto, lo más usual es que en empresas grandes, se disponga de un equipo de auditores encargados de estas auditorías.

Mientras que para empresas pequeñas, suelen ser auditores individuales, bien pudiendo ser propio de la empresa o contratado externamente para la auditoría interna. Matizar que, cuando se trata de un auditor propio de la empresa, éste no podrá auditar su propio departamento.

Tipos de auditorías

Anteriormente, hemos mencionado ya dos de los tres tipos de auditorías que se pueden llevar a cabo y para las que sirve de guía la ISO 19011.

Estas son, las auditorías de primera parte o auditorías internas y las auditorías de segunda parte de auditoría de proveedores o de las partes interesadas.

El tercer tipo, se trata de las auditorías de tercera parte o de certificación, que son las propias para la obtención del certificado.

Auditorías de primera parte o auditorías internas

Este tipo de auditorías, son llevadas a cabo por la misma empresa, con la finalidad de revisar si se han implementado correctamente todos los requisitos de la norma implementada y, de esta manera, el desempeño del sistema de gestión implementado es el adecuado.

Además, los reportes obtenidos de estas auditorías, sirven como input más para el análisis de la revisión por la dirección y como consideración en la mejora continua.

Por tanto, es uno de los requisitos de cualquiera de las normas sobre sistemas de gestión implementadas.

Auditorías de segunda parte o auditorías de proveedores o partes interesadas

Este tipo de auditorías ya son consideradas como externas. Estas son desarrolladas cuando la organización tiene interés en conocer a un tercero, normalmente se trata de proveedores o subcontratistas.

El objetivo de este tipo de auditorías es determinar si los servicios a contratar son adecuados o conformes a los requisitos establecidos en el sistema de gestión implementado.



Auditorías de tercera parte o auditorías de certificación

Para este tipo de auditorías, sirve como referencia la norma ISO/IEC 17021-1, la cual proporciona una serie de requisitos para la auditoría de sistemas de gestión para la certificación de terceras partes.

Este tipo de auditorías son realizadas por los organismos de certificación acreditados, previa solicitud de la empresa.

Una vez superada esta auditoría, se obtiene la certificación en el sistema de gestión implementado.


Tomado de: https://www.isotools.org

ISO 19600:2015 PARA SISTEMAS DE GESTIÓN DE COMPLIANCE


A finales del año 2015, el Organismo Internacional sobre Normalización (ISO) publicó la versión final de la ISO 19600 sobre Compliance Management Systems (CMS). 
Esta norma internacional se ha transformado en el modelo más actual de normas empleadas exclusivamente a la gestión del cumplimiento.

Con la norma ISO 19600 se ha logrado consolidar la tendencia de elaborar normativas específicas sobre este tema, en lugar de hacer uso a contextos generales. Tras su publicación oficial, cualquier persona interesada en conocer los elementos imprescindibles de un CMS no tiene que recurrir a ámbitos de referencia generales como por ejemplo el framework de COSO o el GRC Capability model de OCEG.



La disponibilidad de normativas internacionales sobre CMS está creciendo, lo que por su parte implica la falta de justificación de sustentar modelos carentes o particulares. Los avances en cuanto al grado de especialización de Compliance están siendo vertiginosos, tanto es así que ya existen postgrados universitarios dedicados a ello.

Con la nueva ISO 19600, las organizaciones tendrán en uso una herramienta especializada para identificar y gestionar los riesgos a los que hacen frente por posibles incumplimientos de obligaciones.

Las organizaciones tienen la necesidad real de estar dotadas de sistemas o modelos de gestión encaminados a reducir los riesgos de incumplimiento, es decir, reducir los riesgos de sufrir sanciones, multas, contingencias, etc. lo que viene siendo pérdidas económicas.

La ISO 19600 se fundamente en los principios de buena gobernanza, proporcionalidad, transparencia y sostenibilidad. Es por ello, que estos modelos o sistemas de gestión no pueden ser invariables, dependerán de diversos aspectos como puede ser el tamaño, estructura, naturaleza y complejidad de la organización.

Se trata de una normativa internacional que va a aportar importantes ventajas, entre las que destacamos:
  • Establecimiento de buenas prácticas en temas de gestión de compliance.
  • Simplificación de la gestión de riesgos.
  • Es aplicable a cualquier tipo de organización y es totalmente compatible con el resto de normas ISO para los Sistemas de Gestión, por lo que su aplicación se verá facilitada.

¿Qué contiene la norma ISO 19600?
  • Directrices que orientan sobre la implementación, evaluación, mantenimiento y mejora de un Sistema de Gestión Compliance eficaz y eficiente.
  • Recomendaciones sobre los aspectos que una organización debería considerar para garantizar el cumplimiento de su política de compliance y que cuenta con la capacidad para asumir sus obligaciones.
  • Una descripción sobre la necesidad de mantener actualizada la formación relacionada con el compliance, para los profesionales dedicados a esta materia cuando tengan lugar cambios a nivel organizacional, legislativo o en los compromisos existentes con las partes interesadas.
  • Información sobre la integración del desempeño en compliance en la evaluación del desempeño de los trabajadores o en la revisión de acuerdos de contratación externa para garantizar que se consideran obligaciones en esta materia.
Como ya hemos visto es una norma que podrá ser aplicada a cualquier organización, aunque eso sí, es necesario que las organizaciones se decidan por su implementación con sentido común y sabiendo que se trata de una decisión sostenible en el tiempo.

Implantar la ISO 19600, al igual que ocurre con normas como ISO 9001 para los Sistemas de Gestión de la Calidad o la ISO 14001 para los Sistemas de Gestión Ambientales, debe ser una decisión que surja desde la alta dirección de la organización, con el objetivo de mejorar y no por los beneficios económicos que implica.

La norma ISO 19600 está configurada como un documento de colaboración para la alta dirección y responsables de cumplimiento de la organización y tiene la finalidad de asegurar la cultura ética e integridad de todas sus acciones.

Hacerle frente a la legislación sin ayuda de la norma ISO 19600 puede suponer importantes fracasos debido a la incomprensión de la incomprensión legislativa. No considerar estos aspectos puede ocasionar sanciones que pueden mermar e incluso paralizar el desarrollo de una organización.

Sentar las bases del compliance, por otra parte, permite a los líderes de las organizaciones tener más tiempo y recursos para dedicarse a buscar el éxito de su organización.

La implementación de la ISO-19600 estará considerada como una señal de diferenciación de las buenas organizaciones y empresas de futuro, ya que el asentamiento de sus bases hace posible a los líderes tener más tiempo y recursos para trabajar por el éxito de su compañía.

Tomado de: https://www.isotools.org

miércoles, 16 de octubre de 2019

RECICLAJE DE RESIDUOS ELECTRÓNICOS. UN ASPECTO CADA VEZ MÁS IMPORTANTE EN LA GESTIÓN AMBIENTAL


Hoy en día, todo el mundo conoce la importancia del reciclaje de residuos. No solo eso, en el caso de España se había alcanzado un alto porcentaje de reciclaje de residuos a nivel de plásticos. 


Poco a poco, la gente ha tomado conciencia de la importancia del reciclaje y se sigue sumando al carro para conservar el medio ambiente. Sin embargo, la llegada de los residuos electrónicos, peligra este alto porcentaje de reciclaje.


Cada vez consumimos más aparatos electrónicos. Ya sea por estrategias de marketing, obsolescencia programada u otros motivos, la realidad es que la persona media ha aumentado el consumo de este tipo de dispositivos. Pasando desde electrodomésticos, hasta televisores y smartphones.

Según un estudio de la universidad de las Naciones Unidas, hace dos años se produjeron unos 65,4 millones de toneladas de dispositivos electrónicos aproximadamente. Estas sorprendentes cifras no solo indican el aumento de la producción y consumo de este tipo de dispositivos, sino que también señalan dos puntos importantes para el medio ambiente: los recursos empleados para producirlos y cómo se gestiona el reciclaje de residuos.


Datos importantes sobre el reciclaje de residuos

El porcentaje de reciclaje de residuos electrónicos está por debajo del de otro tipo de residuos. Esto puede ser principalmente por falta de puntos de reciclaje o desinformación del consumidor.

Sea por una razón u otra, los datos revelan este bajo nivel de reciclaje de residuos electrónicos. Es algo que no podemos obviar, ya que, aunque hay ciertos residuos que no son excesivamente contaminantes, como los ordenadores, podemos encontrar algunos como los frigoríficos, que son altamente contaminantes debido a la composición química de los aislantes.

La mayoría los residuos electrónicos conocidos como e–waste se exportan a países menos desarrollados, acabando en vertederos electrónicos a la espera de ser reutilizados y contaminando todo lo que los rodea.

Según un informe realizado en 2012 por StEP, Solving the E-Waste Problem Initiative, la Unión Europea se encuentra a la cabeza en cuanto a generación de residuos electrónicos, seguido de Estados Unidos y China.

Si nos centramos en la Unión Europea, y más concretamente en España, podemos decir que, debido a su tamaño, España no es de los países que más residuos electrónicos genera. No obstante, se encuentra a la cola del reciclaje de residuos, únicamente por delante de Rumanía y Chipre.

Se puede reciclar hasta el 90% de los componentes de un smartphone

Cómo reducir los residuos electrónicos

La reducción de residuos electrónicos no es muy diferente a la de otros residuos, ya que la mejor forma de reducirlos es seguir la conocida regla de las tres R, Reducir, Reutilizar y Reciclar.

REDUCIR

Esta medida es de las más sencillas de cumplir. Al principio del artículo, comentamos que uno de los principales motivos por el que cada vez se consumen más dispositivos electrónicos eran las estrategias de marketing. Evitar consumir dispositivos que no necesitamos realmente no solo ayudará a contaminar menos y generar menos residuos, sino que también nos ayudará a ahorrar dinero.

Otra opción importante a la hora de reducir es el tipo de compra que realizamos. Si necesitamos adquirir un dispositivo, es importante que adquiramos productos cuyo consumo sea reducido, al mismo tiempo que tengan una larga vida útil para así evitar reemplazarlos con frecuencia.

REUTILIZAR

La segunda «R» de las tres, es la de reutilizar. Una buena forma de fomentar el reciclaje de residuos es dar una segunda vida a nuestros dispositivos. No vamos a entrar en las razones por las cuáles se cambia un dispositivo electrónico. Pero, la realidad es que cada vez lo hacemos con más frecuencia. Por ello, siempre que tengamos la opción de donar el dispositivo a familiares o necesitados o incluso venderlo, debemos hacerlo.

RECICLAR

Cuando no ha sido posible cumplir la regla de reutilizar, y llega la hora de deshacernos del dispositivo la mejor opción es reciclar.

La mayoría de los residuos electrónicos se pueden reciclar. De hecho, en el caso de los smartphones, podemos reaprovechar hasta un 90% de sus componentes.

Como veníamos indicando, el problema suele derivar de la falta de conocimiento. Ya que no sabemos que estos aparatos se pueden reciclar o no sabemos dónde.

En el artículo de hoy, nos hemos centrado en España, por lo que, como consejo, queremos indicarles que, a la hora de comprar un nuevo dispositivo, la tienda en la que lo compremos está obligada a recoger el nuestro antiguo sin importar modelo ni marca. También es obligatorio que cualquier tienda con una superficie mayor a 400 metros cuadrados recoja dispositivos electrónicos con un tamaño inferior a 25 centímetros.


Tomado de: https://www.nueva-iso-14001.com

domingo, 13 de octubre de 2019

DOCUMENTACIÓN OBLIGATORIA PARA UNA AUDITORIA DE CALIDAD ISO 9001:2015

Es el día más odiado para todo Jefe de Calidad, pero es una fecha inevitable, la Auditoría a nuestro Sistema de Gestión siempre llegará, queramos o no. Por lo cual, la única medida que podemos tomar es prepararnos con anticipación.

 Y si quieres blindar tu Sistema de Calidad, hacerlo a prueba del Auditor más estricto, te recomiendo que revises si ya cubriste estos puntos:

1. Alcance (4.3):
Este documento deberá estar revisado, actualizado y disponible para cualquier persona que lo requiera […] El alcance del sistema de gestión de la calidad de la organización debe estar disponible y mantenerse como información documentada. […] Un punto en el que los Auditores externos son muy inquisitivos es en la fecha de la última actualización. (Ver Cómo definir el Alcance del Sistema de Calidad)

Se debe tener especial cuidado en que nuestro alcance deje claro cuáles son los productos y servicios cubiertos por nuestra empresa, con la justificación explicita de los requisitos de la Norma que consideramos no aplican a nuestra organización, tal como lo dice el punto 4.3: “El alcance debe establecer los tipos de producto y servicios cubiertos, y proporcionar la justificación para cualquier requisito de esta Norma Internacional que la organización determine que no es aplicable para el alcance de su sistema de gestión de la calidad.”

2.  Operación de los Procesos (4.4 y 8.1):
Aunque no lo dice explícitamente, esta sección se refiere a tener a la mano, los procedimientos actualizados, mapas de procesos y registros o cualquier otra documentación que garantice que los procesos se realizan según lo planificado, incluyendo el registro del control de procesos externos o tercerizados.

“4.4.2 En la medida en la que sea necesario, la organización debe:

a) Mantener información documentada para apoyar la operación de sus procesos;

b) Conservar la información documentada para tener la confianza de que los procesos se realizan según lo planificado.”

3. Política de Calidad (5.2.):
Debemos tener a la mano el documento donde está plasmada, actualizada y aprobada la Política de Calidad de nuestro Sistema. Es seguro que después que el Auditor revise nuestro documento, verificará personalmente, entre los colaboradores, que la conozcan y la tengan a la mano. (Ver “Definiendo la Política de Calidad”)

Por lo que se recomienda hacer carteles, imprimir y pegar la política en cada cubículo de los colaboradores, ya que es común que al ser auditados olviden completamente lo que les explicamos con anterioridad. Aunque contemos con una intranet donde este la política, es seguro que ante el nerviosismo de ser auditados, olviden hasta su nombre.

Es por ello, que también debemos respaldarnos con el registro de los entrenamientos que hemos hecho en el último año sobre la política, ya que también la norma exige su comunicación y explicación:

“La política de calidad deberá:

a) estará disponible como información documentada;

b) ser comunicada dentro de la organización;

c) estar a disposición de las partes interesadas, según proceda; y

d) ser revisada para su continua adecuación.”

Basta con un listado de asistencia, firmado por todos los colaboradores, del entrenamiento anual o semestral que dimos de la política.

Recuerda que si un colaborador olvida la política al ser auditado, es seguro que el auditor te buscará y pedirá este registro, si lo tienes, le levantará una No Conformidad a él, pero si no tienes el registro, significará que no hay prueba alguna que le diste la capacitación, por lo que la No Conformidad será para ti.

4. Objetivos de Calidad (6.2)
Es un documento donde están fijados los objetivos de calidad de la organización, alineados a la Política de Calidad, actualizados una vez al año y autorizados por la Alta Dirección, recordemos que como Jefes de Calidad debemos verificar  que sean:
  • Coherentes
  • Relevantes
  • Medibles

Y debemos tener la evidencia del seguimiento o cumplimiento de cada objetivo.

5. Recursos para el Seguimiento y la Medición (7.1.5)
Pongamos un ejemplo, nuestra empresa fabrica tuberías para agua potable, entonces, como Encargados de Calidad, buscamos la norma internacional o nacional que rige este producto.

En este caso, es la norma ASTM XX. Esta norma detalla las características de los equipos de medición que se deben utilizar para verificar la calidad del producto, Entonces, en base a ese detalle, compramos los equipos de medición. ¿Todo claro hasta acá?

Esta sección de la Norma ASTM XX que nos sirvió para la compra de los equipos, será la evidencia de entrada que presentaremos al auditor. Luego procederemos a crear los procedimientos de medición de los productos. Ajuste, calibración y cuidado de los equipos, con sus respectivos registros, los cuales serán el resto de evidencias que presentaremos del cumplimiento de este punto.

En caso, que no exista una norma que detalle los equipos que debemos usar, procedemos a preguntar al fabricante, distribuidor o consultor. EL documento que este nos entregue, detallando los equipos necesarios para la medición de nuestros productos, será nuestra evidencia de cumplimiento. (Debemos tener este documento a la mano, no es necesario actualizarlo anualmente, sino, cada vez que cambiamos el producto que fabricamos).

6. Competencias (7.2):
Esta parte está bajo custodia de  R.R.H.H. Generalmente el documento que contiene esta información, es el Manual de Perfil de Puestos, donde deben estar detallados los siguientes puntos:

“La organización debe:

a) determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta al desempeño y eficacia del sistema de gestión de la calidad; 

b) asegurarse de que estas personas sean competentes, basándose en la educación, formación o experiencia apropiadas;
c) cuando sea aplicable, tomar acciones para adquirir la competencia necesaria y evaluar la eficacia de las acciones tomadas;
d) conservar la información documentada apropiada como evidencia de la competencia.
 NOTA: Las acciones aplicables pueden incluir, por ejemplo, la formación, la tutoría o la reasignación de las personas empleadas actualmente; o la contratación o subcontratación de personas competentes”

7. Información Documentada (7.5):
Recordemos que ya no es obligatorio tener un Manual de Calidad, ni aquella cantidad interminable de procedimientos, fichas de procesos y registros que generalmente ahogaban al Sistema de Gestión en procesos burocráticos, improductivos e inútiles, PERO, eso no significa que desaparecieron los procedimientos y registros por completo. Todo lo contrario.

Sencillamente, se debe de tener a la mano los procedimientos y registros revisados y actualizados, que en caso de faltar, comprometan la calidad del producto o servicio que ofrecemos.

Es decir, si nuestra empresa es un Call Center, un procedimiento para la “Gestión de Llamadas Perdidas” es vital, ya que las llamadas telefónicas son nuestro negocio. PERO, si somos fabricantes de prótesis dentales, resulta ser un procedimiento no tan útil; mejor nos enfocaríamos en un procedimiento para garantizar que las materias primas que usamos no son toxicas para el ser humano.

 Actualmente un procedimiento puede estar contenido en un video, audio o similar, que sea más explicativo y dinámico en la realización del producto o servicio.

En resumen, debemos tener los procedimientos y registros pertinentes a nuestra operación, incluyendo el listado de documentación externa que usamos (Ley de Seguridad Social, Código de Comercio, Leyes referentes a nuestra operación)

8) Salidas del diseño y desarrollo y cambios (8.3.5, 8.3.6)
En caso que la empresa diseñe productos, el equipo de diseño deberá tener por escrito las características del diseño y desarrollo de cada uno de los productos incluidos en el alcance, además de los cambios que se le realicen con su debida justificación. Los requisitos mínimos que  este documento debe contener son:

 “a) cumplen los requisitos de las entradas; 

  b) son adecuadas para los procesos posteriores para la provisión de productos y servicios;

  c) incluyen o hacen referencia a los requisitos de seguimiento y medición, cuando sea apropiado, y a los criterios de aceptación;

  d) especifican las características de los productos y servicios que son esenciales para su propósito previsto y su provisión segura y correcta.

La organización debe conservar información documentada sobre las salidas del diseño y desarrollo.”

9) Control de los procesos, productos y servicios suministrados externamente (4.1.):
En caso que la empresa cuente con   procesos, productos y servicios suministrados externamente (tercerizados), se deberá contar con documentación que respalde la realización de evaluaciones periódicas que respalden la verificación de su capacidad para cumplir con los requisitos de la organización. Se recomienda realizar, al menos una evaluación anual por parte del Encargado de Calidad, se puede hacer por medio de inspecciones a sus instalaciones y procesos, respaldados por cuestionarios, listas de chequeo y fotografías de la inspección.

 “La organización debe determinar y aplicar criterios para la evaluación, la selección, el seguimiento del desempeño y la reevaluación de los proveedores externos, basándose en su capacidad para proporcionar procesos o productos y servicios de acuerdo con los requisitos. La organización debe conservar la información documentada de estas actividades y de cualquier acción necesaria que surja de las evaluaciones”.

10) Producción y Prestación del Servicio (8.5, 8.2.3.)
La documentación que debes tener a la mano para este punto, son los procedimientos, formularios, mapas, fichas de características y registros del proceso de producción, almacenaje, entrega y post-entrega (en caso de aplicar) de los productos o servicios incluidos en el alcance.

11) Trazabilidad (8.5.2.):
En caso, que la trazabilidad sea un requisito del producto, debemos tener registros, que permitan su trazabilidad, es decir, por ejemplo, si producimos medicamentos, alimentos o productos similares, la ley de casi todo el mundo exige tener trazabilidad de dichos productos, lo que equivale a saber a qué lote pertenece, la línea de producción en que fue realizada, la fecha y hora de su producción etc… La bitácora donde el Jefe de Producción lleva dicha información será nuestra evidencia. Claro está, en ocasiones el Auditor, tomará un producto de la bodega y exigirá que se le demuestre la trazabilidad de dicho producto, entonces, debemos estar preparados, a que el código o información de producción de dicho producto, coincida con el de la bitácora del Jefe de Producción.

“La organización debe controlar la identificación única de las salidas cuando la trazabilidad sea un requisito, y debe conservar la información documentada necesaria para permitir la trazabilidad.”

12) Control de los cambios (8.5.6):
Este punto se refiere al registro o bitácora de los cambios que se hacen del producto, de la producción, de la prestación de servicios, quien o quienes autorizaron los cambios, quien o quienes hacen las revisiones para verificar que los cambios no afecten la calidad del producto o servicio final.

“La organización debe revisar y controlar los cambios para la producción o la prestación del servicio, en la extensión necesaria para asegurarse de la continuidad en la conformidad con los requisitos. La organización debe conservar información documentada que describa los resultados de la revisión de los cambios, las personas que autorizan el cambio y de cualquier acción necesaria que surja de la revisión.”

13) Liberación de los productos y servicios, Control de las salidas no conformes (8.6 y 8.7): 
Este punto es fundamental, sino se lleva registro del producto conforme y no conforme, nuestro Sistema de Gestión tiene serios problemas.

El primer registro, el de Producto Conforme, es un conjunto de formularios donde se da el Visto Bueno de salida a los productos o servicios que cumplen los requisitos para su venta o entrega.

Entiéndase que no debe ser el Jefe de producción ni el Operario que intervino en el proceso de producción, sino, de una persona independiente de ellos, es decir, un delegado tuyo.

“La organización debe conservar la información documentada sobre la liberación de los productos y servicios. La información documentada debe incluir:

a) evidencia de la conformidad con los criterios de aceptación; 

b) trazabilidad a las personas que autorizan la liberación.”

El segundo registro es el trato que se hace con el producto No Conforme, y las medidas que se tomaron para corregir el problema.

8.7.2: La organización debe conservar la información documentada que:

a) describa la no conformidad; 

b) describa las acciones tomadas;

c) describa todas las concesiones obtenidas;

d) identifique la autoridad que decide la acción con respecto a la no conformidad

14) Seguimiento, medición, análisis y evaluación (9.1)
Se refiere a los registros que respalden el seguimiento, las mediciones y evaluaciones que hacemos para garantizar que nuestro Sistema de Gestión está funcionando.

Estos registros pueden ser, las medidas que se tomaron en base a las encuestas de satisfacción de clientes, para mejorar los puntos que nos indicaron los clientes, Auditorías Internas, seguimiento a Acciones Correctivas, y demás mediciones que hayamos establecido para garantizar la salud de nuestro Sistema de Gestión.

9.1.1. “La organización debe evaluar el desempeño y la eficacia del sistema de gestión de la calidad.

La organización debe conservar la información documentada apropiada como evidencia de los resultados.”

15) Auditoria Interna y No Conformidades (9.2 y 10.2):
Ten a la mano el programa anual de auditoria, y el programa de la Auditoria, con las evidencias del seguimiento de las Acciones Correctivas y No Conformidades.

“9.2.f) conservar información documentada como evidencia de la implementación del programa de auditoría y de los resultados de las auditorías.

10.2.2 La organización debe conservar información documentada como evidencia de:

a) la naturaleza de las no conformidades y cualquier acción tomada posteriormente; 

b) los resultados de cualquier acción correctiva.”

16) Revisión por la Dirección (9.3):
Las evidencias de la Revisión por la Dirección, es quizá, donde el Auditor hará mayor hincapié para evaluar nuestro trabajo, es por ello que debemos tener a la mano las evidencias de cada una de las entradas y de las salidas de esta. 

Tomado de: http://www.5consultores.com