lunes, 10 de junio de 2019

AUDITORÍA INTERNA ISO 9001: CONSEJOS PARA ANTES, DURANTE Y DESPUÉS DE REALIZARLA


La auditoría interna ISO 9001 cierra un ciclo y abre inmediatamente el siguiente. La auditoría interna es un requisito de ISO 9001, pero más que una obligación es la mejor oportunidad que tiene la organización para conocer el estado real del sistema de gestión de la calidad y las oportunidades de mejora con las que cuenta; se trata de la esencia de la mejora continua.

La importancia de la auditoría interna ISO 9001 hace que se deban tomar medidas para asegurar su efectividad y la veracidad de sus informes y conclusiones.

Consejos para antes, durante y después de realizar una auditoría interna ISO 9001

En algunas entradas anteriores hemos dedicado espacio a cómo prepararse para que una auditoría interna en ISO 9001 se desarrolle con facilidad y en un ambiente de cordialidad y colaboración. Hoy, sin embargo, ampliamos el espectro al compartir una lista de consejos para antes, durante y después de la auditoría interna ISO 9001.

Antes de la auditoría interna ISO 9001

El primer consejo es planificar. Solo de un buen trabajo de planificación, puede salir una tarea exitosa. Así es que el auditor o equipo de auditores tendrán que dedicar tiempo a la evaluación, la planificación, el cronograma de actividades, el calendario, las áreas, departamentos, y ubicaciones…

En esta etapa es importante:
  • Asegurar que la autoridad dentro del equipo está definida y que, tanto el auditor líder como sus auxiliares son auditores expertos, capacitados e independientes de las áreas en que trabajarán.
  • Decidir las áreas de la organización que serán auditadas.
  • Desarrollar el plan de auditoría y definir los recursos necesarios. Se puede considerar aumentar el número de auditores, u obtener herramientas útiles como listas de verificación, por ejemplo.
  • Definir el propósito de la auditoría. Puede tratarse solo de obtener una visión general del estado del sistema, definir el cumplimiento de alguna cláusula específica o identificar el origen de una no conformidad recurrente detectada en el proceso de producción.
  • Organizar una reunión con los auditores, analizar el plan y dar a conocer el alcance y los objetivos de la auditoría.
  • Realizar una reunión de apertura con auditores y miembros de la alta dirección.
  • Durante la auditoría interna ISO 9001
Es en esta etapa donde se refleja el buen trabajo realizado antes de la auditoría interna ISO 9001. En este momento, ya estando en el campo de trabajo auditando, es importante no cometer errores así como:
  • Evitar ser críticos con las personas. Estamos evaluando, no estableciendo responsabilidades ni juzgando culpables.
  • Seguir los procedimientos de seguridad, de higiene (en las áreas en que sean requeridos) y todas las normas específicas de cada departamento. Los auditores no están por encima de las normas de la organización y de los requisitos de las normas que auditan.
  • Explicar el propósito de la auditoría a los auditados.
  • Responder las preguntas y escuchar los comentarios de los auditados, sobre todo cuando involucran problemas de cumplimiento.
  • Ser flexible y lógico. Si se descubre un problema potencial con capacidad de afectar negativamente la calidad, aunque no se encuentre dentro del programa de auditoría, se debe tener en cuenta, programarse y ser registrado. 
  • Promover la honestidad, el respeto y la transparencia con los auditados.

La Auditoría Interna en ISO 9001 requiere seguir algunos procedimientos antes, durante y después. Conózcalos en este artículo.

Después de la auditoría interna ISO 9001

Aunque hemos superado dos etapas muy importantes de la auditoría interna de calidad, aún hay trabajo por hacer:
  • Realizar una reunión con todos los auditores para discutir los temas que se abordarán en la reunión de cierre.
  • Celebrar la reunión de cierre con los auditados, señalando los aspectos positivos que se presentaron durante la auditoría interna ISO 9001, mencionando las no conformidades y declarando las cláusulas de la norma que no se cumplen, si es que existen.
  • Emitir los informes de auditoría. Es importante hacerlo lo más pronto posible, mientras los eventos de la auditoría están aún frescos.
  • Alentar a los auditados a decidir sobre las acciones correctivas, su importancia y la necesidad de hacerles seguimiento y comprobar su efectividad.
  • Establecer plazos para la implementación y verificación de resultados de las acciones correctivas.
  • Estar disponibles para los auditados, sobre todo para aquellos que tendrán la responsabilidad de implementar acciones correctivas.
  • Finalmente, consultar a los auditados sobre la gestión del auditor o auditores. Ellos serán los mejores jueces de la labor desarrollada durante la auditoría interna ISO 9001.


Tomado de: https://www.escuelaeuropeaexcelencia.com

LAS 8 CLAVES DE LA GESTIÓN DEL GOBIERNO CORPORATIVO


La gestión del Gobierno Corporativo y las buenas prácticas para que su funcionamiento sea real y efectivo, implican a muchas partes y/o interconexiones dentro de la empresa.

Es más, como en nuestro artículo anterior, sobre la importancia del Gobierno Corporativo para la generación de valor, se comentaba, que se debe implicar al menos a la Junta Directiva, al Consejo de Administración, a los accionistas y, por supuesto, a las partes interesadas correspondientes.



Es un instrumento generador de confianza, además de preventivo, ya que evita que se manifiesten situaciones que tuvieron lugar en el pasado, y que no aportaron nada bueno a la organización.

Así, la gestión del Gobierno Corporativo se ha vuelto en un punto de referencia y necesario para cualquier empresa, siendo la generación de valor el principal activo a proteger.

8 claves de la gestión del Gobierno Corporativo

1. Estudiar el lugar que ocupa la gestión del Gobierno corporativo

A pesar de lo que pueda parecer, tras las reformas realizadas en el Código de Buen Gobierno de las Sociedades Cotizadas (del CNMV) y la Ley 31/2014 sobre Sociedades de Capital para la mejora del Gobierno Corporativo, España adquirió un avance importante en cuanto a la gestión del Gobierno Corporativo en las empresas.

Es más, en el año 2016, el 37% de las empresas que fueron encuestadas aseguraban un 90% de cumplimiento de las buenas prácticas recomendadas en los documentos anteriores.

Por ello, analizar la situación o posicionamiento de la empresa frente a la gestión del Gobierno Corporativo es muy importante, ya que esto servirá para conocer cuáles son las áreas de mejora.

Del mejor o peor funcionamiento del Gobierno Corporativo, dependerá la valoración que le asigne la comunidad financiera y, por ende, invertir o no en la empresa en cuestión.

2. Sistemas de control interno efectivos

En la actualidad, rara es la compañía que no dispone de una normativa de aplicación o regulación interna, acorde a la realidad empresarial y la digitalización a la que estamos sometidos.

Por tanto, toda organización que quiera mantener una buena gestión del Gobierno Corporativo deberá poder defenderse de los ciberataques o, en general, de la ciberdelincuencia.

El robo de información, de datos vitales o confidenciales, es una de las mayores amenazas del éxito del Gobierno Corporativo, y es por ello que hay que saber cómo protegerse de los ciberataques.

Establecer controles internos que mejoren la ciberseguridad a través de planes tanto de prevención como de recuperación en caso de ser atacados, es elemental.

En este sentido, un 86% de los responsables de estos sistemas de ciberseguridad afirman que las medidas establecidas no tienen la eficacia necesaria frente a las necesidades de su negocio.

3. Sistema de reportes rápido y, a ser posible, en tiempo real

La información corporativa debe incluir perspectiva financiera y no financiera para que sea completa, representativa y transparente.

Es más, la información no financiera, según el 68% de inversores en un estudio del 2016, es clave para la toma de decisiones.

Cabe señalar también que, de cara a la información corporativa, la inclusión de riesgos ambientales y de Gobierno Corporativo, mejora sustancialmente la generación de valor en la empresa.

Es por ello que disponer de un sistema de reportes rápido, en tiempo real, flexible y fiable, se torna como eje fundamental del buen Gobierno Corporativo.

Por tanto, generar información corporativa exacta y actualizada a través de un sistema de reportes que siempre esté sujeto a mejoras, aumentará su prestigio.

4. Los consejeros deben poder actuar con diligencia y seguridad

Tanto el Consejo como las personas que lo componen, son ejes vertebradores en cuanto a decisiones clave.

Tienen que considerar factores de interés social, los riesgos que suponen sus decisiones y, además, representar los intereses que tengan los accionistas o cualquiera de los grupos de interés correspondientes.

En consecuencia, poseen altas responsabilidades, tanto de tipo legal inherentes al cargo, como de las derivadas del impacto que sus decisiones generan en la empresa.

Por ello, saber actuar con diligencia y de manera segura, forma parte de su labor, además de necesidad personal.

Por esta razón, elaborar planes y protocolos de seguridad y protección, así como registros de constancia del proceso de toma de decisiones, es básico.

5. Los objetivos a cumplir por el Consejo de empresa han de ser evaluados

Considerando la labor transcendental que realiza el Consejo en cuanto a la gestión del Gobierno Corporativo, hacer evaluaciones anuales sobre el cumplimiento de sus objetivos y funcionamiento, es totalmente necesario.

De esta manera, en caso de hallarse alguna evidencia o no conformidad, podrán abordarse o corregirse eficazmente a través de un plan de acción previo.

Este proceso de evaluación, suele llevarla a cabo la Comisión de Nombramientos, junto con el Presidente del Consejo.

6. Elaboración de planes de retribución apropiados para directivos y consejeros

En la gestión del Gobierno Corporativo, también se tiene en cuenta el tema de las remuneraciones, considerándose como uno de los pilares de mayor importancia cuando se trata de invertir.

Es decir, hablamos de generar confianza en el mercado a través de un buen plan de remuneraciones.



7. Cumplimiento de la normativa fiscal en los requisitos fijados para el Gobierno Corporativo

Cada día que pasa, las exigencias por parte de las autoridades en cuanto a cumplimiento de normativas y legislación fiscal son mayores.

Esto es debido a la posibilidad de beneficios fiscales a empresas entre las fronteras de diferentes países.

Por ello, es necesaria la transparencia en las estrategias fiscales fijadas por el Consejo.

8. Respaldar la propuesta de normativas internacionales sobre Gobierno Corporativo

En la actualidad, no existe unidad respecto requisitos o normas para la buena gestión del Gobierno Corporativo y, en consecuencia, sería preciso el pacto de regulaciones internacionales que estandaricen las buenas prácticas de Gobierno Corporativo.


Tomado de: https://www.isotools.org

4 COSAS QUE DEBE SABER SOBRE ISO 31000:2018 DE GESTIÓN DE RIESGOS

En cada segmento de mercado existen riesgos para la seguridad, la salud, el medio ambiente y la calidad, que deben ser identificados, tratados o eliminados con procedimientos adecuados de gestión.
La publicación de ISO 31000:2018 de Gestión de Riesgos, permite a las organizaciones incorporar estándares y procesos de alto nivel para evaluar y mitigar riesgos en todas sus operaciones.

ISO 31000:2018 de Gestión de Riesgos ofrece principios y directrices genéricas sobre el tema, sin limitarse a un sector específico de mercado, pudiendo ser usada por organizaciones públicas o privadas, y aplicada a cualquier tipo de riesgo en diferentes actividades y operaciones.

ISO 31000:2018 de Gestión de Riesgos es la referencia global para los sistemas de Gestión y Prevención de Riesgos, y, al elegirla, las organizaciones obtienen ventajas competitivas sobre sus competidores, ofreciendo confianza a sus clientes.

ISO 31000:2018 no es un estándar certificable. Es, como ya lo advertimos, una guía de principios y directrices genéricas. Pero no es todo lo que usted debe saber sobre esta nueva versión. Veamos 5 cosas que usted, como profesional del riesgo en su organización, debe saber sobre ISO 31000:2018 de Gestión de Riesgos.

ISO 31000:2018 de Gestión de Riesgos – 4 cosas que debe saber

A pesar de proponerse como una norma general, ISO 31000 recorre todos los tipos de riesgo, llevando a la organización a reflexionar, analizar y diseñar estrategias para enfrentar los riesgos más comunes, como los económicos, financieros, hasta los más amplios como las crisis locales o mundiales, pasando por los tecnológicos o los de la salud y la seguridad en el trabajo.

La edición 2018 de la norma refleja su evolución, y su enfoque hacia una labor de gestión integrada con otros sistemas y en todas las áreas de la organización. Aquí, cuatro cosas que usted necesita saber sobre ISO 31000:2018 de Gestión de Riesgos:

1. Lenguaje simple e inclusión de declaraciones de propósito

El vocabulario utilizado en la versión 2009 era demasiado técnico y requería para su compresión de 29 términos y definiciones. ISO 31000, en su edición 2018 utiliza un lenguaje simple, que solo requiere de 8 términos y definiciones. Además, la nueva edición de la norma incorpora declaraciones de propósito junto con los principios, el marco y el proceso.


2. Creación de valor

En la edición 2018 se establece el concepto de creación de valor como objetivo primario de la Gestión del Riesgo. Para lograr este objetivo, el estándar incluye principios para mejorar los procesos y el arco de la Gestión de Riesgos en una organización. Algunos de estos principios son:
  • Integrar la Gestión de Riesgos en todas las actividades de la organización y en la toma de decisiones.
  • Personalizar la Gestión de Riesgos de acuerdo con los objetivos y las necesidades de la organización.
  • Incluir las expectativas y las necesidades de las partes interesadas.
  • Tomar en cuenta factores humanos y culturales en la Gestión de Riesgos.
  • Adoptar un enfoque que promueva la mejora continua.
  • Integración total
Siguiendo los principios mencionados en el ítem anterior, la integración total de la Gestión de Riesgos en toda la organización resulta esencial para el éxito de la norma. ISO 31000:2018 pone mayor énfasis en la integración de la gestión en todas las actividades, los procesos y la toma de decisiones.

La Alta Dirección, así como los gerentes del proyecto, deben entender que cada empleado, en todas las áreas, en todas las ubicaciones, cumple una función en la Gestión de Riesgos a diario.

3. Liderazgo de la Alta Dirección

Para lograr la integración total de la Gestión de Riesgos, es preciso entender como se administran y se gobiernan las organizaciones. Así, ISO 31000:2018 enfatiza la necesidad de que la Alta Dirección sea la que lidere el proyecto, para que se produzca una integración natural en todos los niveles.

La Alta Dirección es la responsable de administrar el riesgo, proveer los recursos necesarios y asignar las responsabilidades necesarias para el correcto funcionamiento del sistema.

4. La Gestión de Riesgos en un proceso iterativo

En ISO 31000:2018 la comunicación de las partes interesadas entre sí, a lo largo de todo el proceso es un requisito. Aunque la norma describe el proceso de Gestión del Riesgo como secuencial, también aclara que este es iterativo, ya que requiere que se tome en cuenta la opinión de las partes interesadas para la toma de decisiones.

Así, el riesgo se gestiona cuando se toman las decisiones y no después, cuando ya se han implementado y han afectado a las partes interesadas.

Sin duda, las organizaciones que adoptaron la edición 2009 de la norma, se verán beneficiadas al implementar el cambio en la perspectiva de integración total, que es la clave de la revisión 2018.

Tomado de: https://www.escuelaeuropeaexcelencia.com

ISO 9001: ELEMENTO CLAVE PARA LOS NEGOCIOS

La implementación de la ISO 9001 para los Sistemas de Gestión de la Calidad, se lleva a cabo en todo tipo de organizaciones, con la finalidad de solucionar día a día sus carencias y mejorar continuamente sus procesos y resultados.

En la actualidad, las organizaciones tienen necesidades y retos a los que hay que hacer frente desde un punto de vista globalizado. Esto es debido a los constantes cambios que sufre el ambiente en el que la organización ejecuta sus actividades, causando efectos sobre la propia organización, productos y/o servicios además de a la competencia y a los avances tecnológicos.

Estas variaciones provocan modificaciones en los procesos, productos y/o servicios. Resulta muy común que lo que antes derivaba en éxitos, ahora se conviertan en inconvenientes.

Cuando esto ocurre, las empresas se cuestionan cómo y por qué se ha originado esta situación. En la mayoría de los casos, las organizaciones cuentan con algún sistema o actividad que no ha tenido la capacidad de adaptarse a los cambios producidos en el entorno quedando desfasados.

Las exigencias del mercado, provocan que los clientes no queden satisfechos con lo que hasta el momento la organización brindaba, reclamando más calidad en los productos y/o servicios requeridos.

Los gerentes, accionistas y otras personas implicadas en la gestión de la empresa, demandan resultados, un plan estratégico y una correcta gestión del riesgo independientemente de las modificaciones del entono, las exigencias de los clientes u otros agentes participes.


Por todo ello, las organizaciones hacen uso de herramientas como los Sistemas de Gestión de la Calidad basados en la norma ISO 9001, para dar respuesta y anticiparse a este tipo de necesidades.

Los Sistemas de Gestión de Calidad o SGC, constituyen un nuevo modo de trabajar que hace posible la consecución de sus objetivos, garantizando un plus en la calidad de sus productos y/o servicios, la satisfacción de sus clientes y el desarrollo de estrategias competitivas que le aseguren diferenciarse del resto de organizaciones.

Normalmente hay que enfrentarse a la negativa de los trabajadores al cambio, ya que el éxito se encuentra en la aprobación de estos cambios y en la participación de todos los empleados.

A través de un análisis de la organización, incluyendo su entorno, mercado y competencia, se podrán establecer los objetivos y resultados a conseguir. La finalidad no es cumplir con dichos objetivos y resultados, es garantizar que se revisaran continuamente para lograr la satisfacción del cliente a lo largo del tiempo.

La implementación de un Sistema de Gestión de la Calidad según el estándar internacional ISO 9001, se fundamenta en:

  • Incrementar la calidad y en generar valor añadido a los procesos, productos y/o servicios.
  • Favorecer la situación competitiva de la empresa en el mercado actual.
  • Incrementar la eficiencia en las actividades desarrolladas.
  • Estimular la creatividad, innovación y formación organizacional.
  • Mejorar la productividad.
Con la implantación de la norma ISO-9001, una organización:
  • Conoce su funcionamiento y puede detectar si cumple con los objetivos establecidos. Para lo que es necesario que la organización defina unos objetivos del SGC alineados con la estrategia de negocio y de este modo asegurar que las metas y objetivos se alcanzan realmente.
  • Gestiona con la calidad requerida, la ejecución de sus actividades diarias, además de llevar a cabo un análisis del desarrollo de un modo integral e identificar cualquier mejora aplicable al sistema.
  • Gestiona de un modo fácil y sencillo las actividades. Mediante el enfoque por procesos y equipos multidisciplinares, es posible obtener resultados inmejorables debido a la correlación de las diferentes capacidades y experiencias de cada empleado.
  • Establece una verdadera cadena de valor con proveedores y clientes.
Estas son algunas de las ventajas que pueden obtener las organizaciones que gestionan su sistema de calidad según la norma ISO 9001. Es muy común que las empresas al implantar la norma quieran averiguar los beneficios que le ocasiona.

Desde que una empresa decide realizar la implantación de un Sistema de Gestión de Calidad, debe establecer los beneficios reales que desea obtener. Estos beneficios serán claves a la hora de realizar el diseño de dicho sistema y de que tenga el éxito esperado.

Una organización que cuente con la certificación ISO9001 para su SGC, logrará:
  • Dar cumplimiento a los objetivos establecidos por la empresa.
  • Incrementar su competitividad.
  • Mejorar su eficacia a la hora de cumplir con las obligaciones establecidas con los clientes.
  • Desarrollar sus actividades de un modo eficiente.
  • Favorecer la comunicación interna entre departamentos.
  • Asegurar que todos los empleados de la organización desarrollan sus funciones en relación con los requisitos establecidos por el cliente.
La implantación de la ISO 9001 está orientada a organizaciones de cualquier tamaño, incluida no sólo las grandes empresas, sino también las medianas y pequeñas (pymes). Esto garantiza que las pymes logren alcanzar el éxito esperado además de evolucionar.

Es cierto que en aquellos casos de grandes empresas en las que la implantación de la norma ISO 9001 no se realice con éxito, no tienen las consecuencias tan dramáticas como las que podría tener una pyme. Es bastante habitual, que las grandes organizaciones justifiquen su fracaso en que el ciclo del Sistema de Gestión de Calidad ha concluido y prescinden de él buscando otra alternativa que lo reemplace.

Si este fallo se produjera en una mediana o pequeña empresa, el resultado podría derivar en su cierre. Es por ello, que es vital que este tipo de organización centren sus esfuerzos en el desarrollo de su sistema y realicen reuniones entre los distintos integrantes (Directores, accionistas, operarios…) en las que se de solución a estas situaciones.

Al contrario que suele ocurrir con las grandes empresas, las pymes cuentan con sistemas y procesos de escasa complejidad, si además hay personal con las capacidades y experiencias requeridas es muy probable que el éxito del sistema se ejecute como se esperaba.

La versión de la ISO 9001:2015 para los SGC persigue garantizar a las organizaciones una serie de ventajas y beneficios que marquen la diferencia con respecto a otras entidades acorde con los avances y cambios de los últimos años en el mundo.


Tomado de: https://www.isotools.org

ISO 27005 ¿CÓMO MINIMIZAR LOS RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN?

Vivimos en un mundo en el que estamos continuamente conectados, se encuentra impulsado por la tecnología, las brechas de datos y los ciberataques.

Todo eso sigue siendo una amenaza muy importante para las empresas, y la falta de conocimiento de los posibles riesgos puede que sea uno de los principales culpables.

Proteger la seguridad de la información de una organización es algo realmente importante, y más aún si trabaja con datos personales confidenciales de sus clientes. De hecho, podríamos decir que es lo más importante. La nueva legislación, como la GDPR europea, hace que las empresas se encuentren aún más presionadas para garantizar que su información sea segura. Pero, contar con tecnología y procesos apropiados puede ser algo peligroso. Recientemente, se ha revisado la norma ISO 27005, Tecnología de la información – Técnicas de seguridad – Gestión del riesgo de la seguridad de la información, proporcionando una guía para las empresas sobre cómo pasar por todo al proporcionar un marco para gestionar los riesgos con eficacia.

El objetivo de la norma ISO 27005 es proporcionar directrices para la gestión de riesgos de seguridad de la información. La norma ISO 27005 es compatible con los conceptos generales especificados en la norma ISO 27001 y está diseñado para ayudar a la implementación y satisfacción de la seguridad de la información en función de un enfoque de gestión de riesgos. La norma ISO 27005 no especifica ni recomienda ningún método específico de análisis de riesgos, aunque es cierto que especifica un proceso estructurado, sistemático y riguroso desde el análisis de riesgos hasta la creación del plan de tratamiento de riesgos.

El objetivo de la ISO 27005 es proporcionar directrices para gestionar los riesgos
El estándar internacional ISO 27005 ayuda a las organizaciones con consejos sobre por qué y cómo gestionar los riesgos de seguridad de la información en apoyo de sus objetivos de gobierno.

De forma complementaria a ISO 27001 2013, que proporciona los requisitos para un sistema de gestión de seguridad de la información, ISO 27005 se ha actualizado recientemente para reflejar la nueva versión de ISO 27001 y así garantizar que esté mejor equipado para cumplir las demandas de las organizaciones de hoy.

Proporciona una guía detallada de gestión de riesgos para ayudar a cumplir los requisitos relacionados especificados en ISO 27001.

Edward Humphreys, coordinador del grupo de trabajo ISO / IEC que desarrolló tanto ISO 27001 como ISO 27005, dijo que el estándar actualizado es una herramienta clave en la “caja de herramientas de riesgo cibernético” de ISO / IEC.

También dijo que ISO 27005 proporcionaba el ‘por qué, qué y cómo’ para que las organizaciones pudiesen gestionar sus riesgos de seguridad de la información de manera efectiva en cumplimiento con ISO 27001. Además, dijo que también ayudaba a demostrar a los clientes o partes interesadas de una organización que existían procesos para gestionar los posibles riesgos, por lo que les daría confianza a los clientes y que nuestra empresa es apta y segura para hacer negocios.

ISO 27005 es uno de más de una docena de estándares en la serie ISO 27000 que componen el conjunto de herramientas de riesgo cibernético, liderado por ISO 27001, Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requisitos. Otros en la serie incluyen aquellos para proteger la información en la nube, seguridad de la información en los sectores de telecomunicaciones y servicios públicos, ciberseguridad, auditoría del Sistema de Gestión de Seguridad de la Información.

ISO 27005 fue desarrollado por el grupo de trabajo 1 Sistemas de gestión de seguridad de la información del comité técnico ISO / IEC JTC 1, tecnología de la información, subcomité SC 27, técnicas de seguridad de TI.


Tomado de: https://www.pmg-ssi.com