El apetito de riesgo de las organizaciones es un concepto bastante nuevo, lo cual hace que todavía resulte un poco confuso para muchos. Lo cierto es que la gestión de riegos moderna no puede prescindir de este concepto y es importante que cada organización publique una declaración oficial sobre el tema, de tal forma que exista un entendimiento común en todos los niveles y en todas las áreas de la misma en cuanto a la visión que debe aplicarse en esta materia.
Los controles de ISO 27001 plantean la auditoría externa de un proveedor como herramienta para verificar y asegurar la conformidad con los requisitos del estándar en toda la cadena de suministro. Las organizaciones tienen dos opciones para realizar esta auditoría del proveedor: llevarla a cabo por su propia cuenta o contratar a un consultor externo que ambas partes reconozcan.
Implementar ISO 45001 en PYMES significa crear un marco para abordar problemas de seguridad y riesgos para la salud de los empleados. Esto es especialmente importante en empresas pequeñas y medianas que aún no cuentan con experiencia suficiente en el mundo corporativo.
Es así porque la implementación de ISO 45001 en PYMES ofrece beneficios tangibles y fácilmente cuantificables. Significa incorporar un valor agregado relevante para su crecimiento, que a su vez lo es para toda la sociedad, ya que en muchas economías, este tipo de organizaciones representan el mayor número y son las responsables de la generación de la mayoría de los empleos.
Durante la emergencia sanitaria y después, en esta denominada nueva normalidad, las auditorías ISO deben cumplir con los estándares requeridos, aunque para ello sea preciso desarrollar procedimientos alternativos para recopilar evidencia de auditoría suficiente y apropiada.
Muchos auditores encuentran en las auditorías ISO a distancia desde una oficina en casa, un concepto novedoso de gran utilidad. Otros presentan algunas dudas, como sucede con toda innovación, y piensan que la auditoría presencial no puede ser sustituida virtualmente. Pero lo cierto es que cuando se conocen las técnicas apropiadas, garantizar la evidencia y la seguridad es tan posible como ocurre en el proceso tradicional y las auditorías virtuales pueden traer muchos beneficios.
La planificación estratégica es esencial para los profesionales del área de riesgos. Sin embargo, el riesgo en la planificación estratégica no siempre es tenido en cuenta o es solo considerado de forma parcial, sobre todo cuando los recursos no son suficientes y es preciso competir con otras áreas por una porción del pastel.
Incluir el riesgo en la planificación estratégica implica adoptar un pensamiento analítico que agregue valor al proceso y ayude a mejorar la gestión de riesgos. Y tambiénsignifica basarse en las mejores prácticas reconocidas internacionalmente. Hacemos referencia a las 3 que consideramos más efectivas.
Los roles y responsabilidades ISO 27001 es un tema tratado en la cláusula 5.3 de la norma. Especialmente, el requisito solicita a la alta dirección que se asegure de que los roles, responsabilidades y autoridades sean claros para el sistema de gestión de seguridad de la información.
Lo que ISO 27001 busca es claridad y un enfoque certero en las partes claves del sistema. Esto implica considerar quién es el responsable de modo general y quién lo es en ciertos procesos concretos o quién responde por las prácticas comerciales… La única y la mejor forma de lograrlo es documentando roles y responsabilidades ISO 27001, de tal forma que no se presenten ambigüedades o confusiones y que todo pueda ser comunicado a las partes interesadas pertinentes.
Obtener la certificación ISO 9001 es la mejor forma para demostrar a los clientes, a los empleados y a todas las partes interesadas, el compromiso y la decisión de la organización de ofrecer productos y servicios que satisfacen las necesidades y los requerimientos de sus consumidores.
Obtener la certificación ISO 9001 también demuestra que una organización es un proveedor confiable, que tiene la capacidad de asumir con éxito las oportunidades comerciales que se le presenten, en el país o en el exterior.
Una organización que toma la decisión de obtener la certificación ISO 9001 se compromete a normalizar su Sistema de Gestión de la Calidad, y ajustarlo a los estándares internacionales, permitiendo que organismos externos auditen sus procesos, de forma periódica, para verificar el cumplimiento de los requisitos.
La protección de la información y sus activos asociados es fundamental para la competitividad y la sostenibilidad de las organizaciones actuales. Por ello, es preciso enfocar la seguridad de la información adecuadamente. Pero no es un camino de vía única. Los profesionales en el área sostienen que ese enfoque también puede dirigir la seguridad de la información hacia el cumplimiento y el control interno, haciendo de la gestión un asunto de gobierno corporativo.
El plazo para culminar la migración a ISO 45001 desde OHSAS 18001 termina en marzo de 2021. Sin embargo, es útil tenerlo en cuenta, las organizaciones que hayan tenido problemas o retrasos en el proceso hacia ISO 45001 como consecuencia de la emergencia sanitaria podrán solicitar una extensión de seis meses, esto es hasta septiembre de 2021.
En uno u otro caso, la verdad es que el tiempo va pasando y cuando dimensionamos el proyecto, sobre todo en organizaciones de cierto tamaño y complejidad, empieza a aparecer la inquietud. No obstante, aún es posible llegar a la meta en el plazo establecido.
