jueves, 5 de septiembre de 2019

¿CUÁLES SON LAS PRINCIPALES NOVEDADES DE LA NUEVA ISO 19011?


La Organización Internacional de Normalización, es una federación mundial de organismos nacionales de normalización. El trabajo que realizaron es el de la elaboración de las normas internacionales se realiza mediante los comités técnicos de ISO. 


Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las empresas internacionales, gubernamentales y no gubernamentales, también participan en el trabajo.


La norma ISO 19011 ha sido elaborada por el Comité de Proyecto ISO/PC 302, Directrices para la auditoría de los sistemas de gestión.


La tercera edición anula y sustituye a la segunda edición de la norma ISO 19011 que ha sido revisada.

Los principales cambios que trae consigo la nueva ISO 19011:2018 son los siguientes:
  • Adición del enfoque basado en riesgos a los principios de la auditoría
  • Ampliación de la orientación sobre la gestión de un programa de auditoría, incluyendo el riesgo que presenta el programa de auditoría
  • Ampliación de la orientación sobre la realización de una auditoría, particularmente la sección sobre planificación de la auditoría
  • Ampliación de los requisitos de competencia genérica para los auditores
  • Ajustar la terminología para reflejar el proceso y no el objeto
  • Eliminar el anexo que contenía los requisitos de competencia para auditar disciplinas específicas de sistemas de gestión
  • Ampliación del Anexo A para proporcionar orientación sobre la auditoría de conceptos como el contexto de la empresa, el liderazgo y el compromiso, las auditorías virtuales, el cumplimiento y la cadena de suministro.

Novedades en la norma ISO 19011


Desde que se publicó la norma ISO 19011 en el año 2011, se han publicado diferentes normas nuevas de sistemas de gestión, muchas de cuales tienen una estructura común, requisitos esenciales idénticos y términos comunes y definiciones esenciales. Como resultado, es necesario considerar un enfoque mucho más amplio para la auditoría de los sistemas de gestión, además de cómo proporcionar una orientación más genérica. Los resultados de las auditorías pueden proporcionar entradas para el aspecto de análisis de la planificación del negocio, y puede contribuir a la identificación de las necesidades y actividades de mejora.



Una auditoría puede llevarse a cabo en relación a una serie de criterios de auditoría, de forma separada o combinada incluyendo:
  • Los requisitos definidos en una o más normas de sistemas de gestión
  • Las políticas y los requisitos específicos de las partes interesadas de forma pertinente
  • Los requisitos legales y reglamentarios
  • Uno o más procesos del sistema de gestión definidos por la empresa o por otras partes
  • Los planes de sistemas de gestión que se relacionan con la provisión de salida específicas de un sistema
La norma ISO 19011 2018 proporciona orientación para todas las empresas, independientemente de su tamaño y tipo de organización, y auditorías con diferentes alcances, incluyendo aquellas llevadas a cabo por auditores individuales, ya sea en organizaciones pequeñas o grandes. La orientación debe adaptarse según sea apropiado el alcance, la complejidad y la escala del programa de auditoría.

La norma ISO 19011 se concentra en las auditorías internas y las auditorías realizadas por terceras personas. La norma también puede resultar útil para las auditoras externas realizadas con fines diferentes a una certificación de sistemas de gestión. La norma ISO 17021-1 proporciona los requisitos necesarios para realizar una auditoría de sistemas de gestión para la certificación. Dicho documento puede generar orientación adicional de utilidad.

Para simplificar la legibilidad de este documento, se prefiere la forma singular de sistemas de gestión, pero el lector puede adaptar la implementación de la orientación a su propia situación. Esto también aplica el uso de personas, auditor y auditores.

Se pretende que la norma ISO 19011 se aplique a un amplio rango de usuarios potenciales, incluyendo auditores, organizaciones que implantan sistemas de gestión y organizaciones que necesitan llevar a cabo auditorías de sistemas de gestión por motivos contractuales o reglamentarias. Sin embargo, los usuarios de este documento pueden aplicar esta orientación al desarrollar sus propios requisitos relacionados con auditorías.

La orientación se puede utilizar con el propósito de la auto declaración, y puede ser útil para empresas involucradas en la formación de auditores o en la certificación de personas.

La orientación en la norma ISO 19011 pretende ser flexible. Como se indica en varios puntos de la norma, el uso de esta orientación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de gestión de una empresa. También debe considerarse la naturaleza y la complejidad de la empresa que se debe auditar, así como los objetivos y el alcance de las auditorías que se van a llevar a cabo.


Tomado de: https://www.isotools.org

6 PASOS BÁSICOS EN LA EVALUACIÓN Y TRATAMIENTO DE RIESGOS EN ISO 27001


La evaluación y tratamiento de riesgos en ISO 27001 es un punto imprescindible para implantar un sistema de gestión de seguridad de la información. 


Forma parte del corazón de este estándar internacional, pero conseguir que esa tarea sea efectiva requiere conocer y aplicar correctamente el proceso.


Por ello, presentamos 6 pasos básicos para realizar la evaluación y tratamiento de riesgos en ISO 27001 de forma adecuada y siguiendo las buenas prácticas que promueve la norma.



Pasos básicos en la evaluación y tratamiento de riesgos en ISO 27001

ISO 27001 es un estándar que insta a la organización a identificar los incidentes que pueden ocurrir y que pueden representar un riesgo para la seguridad de la información. Además, la organización debe implementar acciones adecuadas para evitarlos, una vez se ha establecido la importancia de cada uno de los eventos.

Para llevar a cabo esta tarea es de gran utilidad recurrir a los 6 pasos que proponemos a continuación:


1. Establecer un marco de gestión de riesgos

Se trata de definir las reglas que regirán la gestión de riesgos. Se determina, entre otras cuestiones, quiénes serán los responsables de las tareas de gestión, los métodos de estimación del impacto y la probabilidad de ocurrencia de los posibles riesgos.

En este sentido, una metodología de evaluación de riesgos debe abordar cuatro temas:
  • Cómo serán los criterios de seguridad.
  • Qué escala de riesgo se empleará.
  • Cuál es el apetito de riesgo de la organización.
  • La evaluación de riesgos basada en activos.
2. Identificar los riesgos


La identificación de los riesgos que pueden afectar la confidencialidad, integridad y disponibilidad de la información, es la tarea más larga del proceso de evaluación y tratamiento de riesgos en ISO 27001. Se recomienda optar por un proceso de evaluación de riesgos basado en activos.

Desarrollar una lista de activos de información es un buen punto de partida. Será más fácil comenzar la labor a partir de una lista existente de copias impresas de información, archivos electrónicos, dispositivos móviles e intangibles, etc.


3. Analizar los riesgos

En primer lugar se han de establecer las amenazas y debilidades de cada activo. Por ejemplo, la amenaza puede ser “el robo de un dispositivo móvil” y la debilidad asociada es que “no existe una política establecida con respecto al uso tales dispositivos”. Lo siguiente es asignar un impacto y un valor de probabilidad de acuerdo con los criterios que se hayan establecido en el paso 1.


4. Evaluar los riesgos

Un siguiente paso es la evaluación. En ella, se deberá medir cada uno de los riesgos frente a sus niveles predeterminados de aceptabilidad. Tras eso, se determinará qué riesgos serán abordados y se priorizará en qué orden.



5. Seleccionar opciones de tratamiento de riesgo

En este punto, retomamos las cuatro opciones de la gestión de riesgos clásica, utilizada en gestión de la calidad, de la seguridad y salud en el trabajo o del medio ambiente: 
  • Evitar el riesgo eliminándolo por completo.
  • Modificar el riesgo, poniendo en marcha controles de seguridad.
  • Compartir el riesgo o trasladarlo a un tercero.
  • Retener el riesgo, solo si se trata de un nivel aceptable.
6. Compilar informes de riesgos


La norma ISO 27001 requiere que la organización establezca un conjunto de informes sobre la evaluación de riesgos con fines de auditoría y certificación. Para cumplir con ese punto, dos informes resultan imprescindibles:
  • Declaración de aplicabilidad: su propósito es crear una lista de verificación según lo recomendado por el Anexo A de ISO 27001. Además, con ella se pretende obtener documentación sobre si se ha establecido el control, si ha sido implementado o no y una justificación para su inclusión o exclusión.
  • Plan de tratamiento de riesgos: describe cómo la organización planea gestionar los riesgos identificados en la evaluación de riesgos.
Finalmente, y como colofón a esta ardua tarea, la organización implementa el Plan de Tratamiento de Riesgos, que es, en resumen, el momento en que se pasa de la teoría a la práctica. Es aquí donde comprobamos que lo que hicimos sobre el papel, en verdad funciona en la realidad. Por supuesto, es probable que sean necesarios algunos ajustes, antes de iniciar la redacción del documento final.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

ACCIDENTES/INCIDENTES EN LOS SISTEMAS DE GESTIÓN SST


En el día de hoy vamos a tratar la publicación sobre los accidentes/incidentes en los Sistemas de Gestión SST (Seguridad y Salud en el Trabajo).

Vamos a conocer cuales son las etapas que debemos considerar cuando se genere algún evento.

Para realizar una gestión de accidentes/incidentes de la más eficiente posible, es necesario tener en cuenta los siguientes aspectos clave:

  • Reportabilidad
  • Comunicación
  • Recopilación de información
  • Investigación
  • Plan de acción
  • Conocimiento

Reportabilidad

Un factor clave es que el reporte del incidente se haga de la forma más rápida y con la información clave suficiente.

La burocracia suele ser un problema en estos casos, haciendo que el reporte se complete tiempo después del suceso, lo cual hace que se pierdan datos o se posterguen acciones.

Habitualmente se confunde el reporte inicial, con un reporte de mayor envergadura que se usa para la investigación y para dar cumplimiento legal.
Comunicación

La comunicación es un elemento clave en cualquier tipo de proceso, pero en el caso que tratamos hoy sobre accidentes/incidentes en aspectos de la Seguridad y Salud en el Trabajo, se convierten en vitales. La comunicación debe ser adecuada en:
  • Tiempo
  • Forma
  • Contenido
La organización deberá establecer un protocolo de comunicación que incluya los tiempos de respuesta, cómo voy a entregar esa información, los items que se incluirán y las personas que serán informadas.

Recopilación de información

Para llevar a cabo un buen análisis de causas, es fundamental que la etapa anterior de recopilación de hechos y datos sea lo más precisa y amplia posible, y que no se base en hipótesis y juicios sibjetivos del investigador o personas entrevistadas.

Para obtener una buena información debemos:

Solamente tener en cuenta los hechos reales y contrastados, no podemos hacer «interpretaciones» o «juicios de valor» respecto al mismo, ya que el accidente/incidente ocurrió porque se produjeron unos hechos (y no otros) en un orden específico, en el mismo lugar y en el mismo tiempo.

Investigación accidente/incidente

Pocas cosas hay más importante en la gestión de accidentes/incidentes que la investigación. Se trata de una actuación preventiva cuyo punto de arranque es, paradójicamente, la previa existencia de un accidente de trabajo.

El análisis de las causas de los accidentes e incidentes conlleva ciertas dificultades para poder realizarlo en profundidad. Así por ejemplo, se observa que en el análisis de causas, por una parte, suele predominar las causas inmediatas, frente a las causas básicas u origen y fallos en el sistema y, por otra, que las causas se suelen centrar principalmente en factores técnicos y humanos fundamentalmente y hay poca atención en los fallos del sistema.

Existen diversas metodologías para el análisis de causas que producen un incidente, entre ellos:

  • 5 ¿Por qué?
  • Análisis funcional de la operatividad
  • Árbol de causas
  • Método de análisis de la cadena causal
  • Etc.

Árbol de causas

Un método de investigación que está muy extendido es el que acabamos de enumerar como árbol de causas. Se trata de un diagrama que refleja la reconstrucción de la cadena de antecedentes del accidente, indicando las conexiones cronológicas y lógicas existentes entre ellos.

Iniciándose en el accidente, el proceso va remontando su búsqueda hasta donde tengamos que interrumpir la investigación.

Las fases para llevar a cabo son:
  • Toma de datos
  • Organización de los datos
El árbol de causas o diagrama de factores del accidente persigue evidenciar las relaciones entre los hechos que han contribuido a la producción del accidente.

Por ejemplo, yo tengo como evento un choque con un semáforo, como consecuencia una lesión del conductor. La causa inmediata sería que no responden los frenos.

Si nos centramos en los elementos de las causas básicas, podemos mencionar:
  • Factores del trabajo
  • Factores del trabajador
Método de análisis de la cadena causal

Este método está basado en el modelo causal de pérdidas, el cual pretende, de una manera relativamente simple, hacer comprender y recordar los hechos o causas que dieron lugar a una pérdida.

Sus fases son las siguientes:
  • Anotar las pérdidas
  • Anotar los contactos o formas de energía que causaron la pérdida
  • Elaborar un listado de causas inmediatas (actos y condiciones inseguras o subestándar)
  • Desarrollar un listado de causas básicas (factores personales y del trabajo)
  • Elaborar un listado de faltas de control
Plan de acción

Cuando ya ha quedado establecida la causa o causas, es importante establecer un plan de acción acorde al supuesto dado con el objetivo de corregir la causa que motivó dicho suceso.

Más allá de un conjunto de tareas planificadas en el tiempo, tendríamos que poder correlacionar los resultados de la ejecución del plan, con el grado en el que solucionan las causas que motivan dicho plan.


Tomado de: https://www.isotools.org