El programa de auditoría remota está definido en la norma internacional sobre auditoría ISO 19011:2018. Su valor reside en la capacidad de proporcionar flexibilidad a la tarea para lograr los objetivos propuestos y además ofrece muchos otros beneficios.
Para obtenerlos, todos los participantes –auditores y auditados– deben entender cuál es su participación y cómo deben prepararse para asumir este método moderno de auditoría.
La gestión de riesgos parece estar diseñada para identificar, evaluar y tratar los efectos negativos de las amenazas. Este enfoque, erróneo, ha llevado a que las oportunidades en ISO 27001 no sean consideradas y, por ello, desaprovechadas. De hecho, pasar por alto las oportunidades es un comportamiento usual no solo en el área de seguridad de la información.
En este caso, nos ocupamos específicamente de las oportunidades en ISO 27001 y de la forma adecuada de considerarlas y tratarlas, a la luz de la norma internacional sobre gestión de riesgos ISO 31000.
Establecer el apetito de riesgo es clave en la gestión de riesgos moderna porque permite a los profesionales del área determinar, de forma efectiva, las acciones para tratar riesgos potenciales prioritarios.
Es común que los encargados de la gestión de riesgos tengan alguna confusión con respecto a lo que significa apetito de riesgo, tolerancia al riesgo y capacidad de riesgo. Tal vez por ello, a pesar de la importancia de establecer el apetito de riesgo, aún son muchos los especialistas que lo pasan por alto. Esta omisión da como resultado recomendaciones sobre gestión de riesgos que pueden no satisfacer las necesidades o enfoques que la organización requiere.
El auditor ISO 45001 cumple un rol esencial para el buen funcionamiento de un sistema de gestión de seguridad y salud en el trabajo. ISO 45001 es el primer estándar global sobre seguridad y salud en el trabajo, y al igual que en otros estándares que utilizan la misma estructura, la mejora continua es un elemento crítico. La auditoría es el factor decisivo que da comienzo al ciclo de mejora continua. Entonces, el trabajo del auditor ISO 45001 y las funciones que cumple, resultan de vital importancia.
Asegurar la continuidad del negocio y la recuperación ante imprevistos es vital y exige poner la atención y los recursos necesarios. Para ello, elaborar un plan de contingencia como parte esencial e inseparable de la gestión de riesgos resulta imprescindible.
El plan de contingencia nos señala procesos y procedimientos para estar siempre preparados ante cualquier circunstancia. De este modo, la organización cuenta con los mecanismos necesarios para mantenerse siempre en el camino correcto.
Cuando se trata del comienzo de un negocio, la implementación de ISO 9001 no figura entre la lista de necesidades de los nuevos empresarios. De hecho, es muy probable que los emprendedores que participan en el comienzo de un negocio no estén familiarizados con ISO 9001 y sus beneficios.
La creencia generalizada es que ISO 9001 puede ser muy útil en una etapa posterior, cuando el crecimiento de la nueva organización sea evidente; pero no al comienzo de un negocio.
La definición de las partes interesadas en ISO 45001 es requerida por la norma en su cláusula 4.2. Específicamente, el numeral solicita “comprender las necesidades y expectativas de los trabajadores y otras partes interesadas”.
La organización necesita tomarse un tiempo para identificar las partes interesadas en ISO 45001 y comprender sus necesidades y sus expectativas. Una buena idea es tomar el modelo de identificación de partes interesadas propuesto en otros estándares ISO, como ISO 14001 o ISO 9001, que, finalmente, son muy similares.
Los vertiginosos avances de la tecnología, sumados a las condiciones que impone la emergencia sanitaria, evidencian la importancia y la necesidad de la gestión ISO remota, especialmente en la práctica de auditorías.
La gestión ISO remota se vuelve ahora más popular entre las organizaciones, que diseñan estrategias tecnológicas y prácticas que permiten mantener el control sobre los procesos, comprobar, compartir datos e incluso auditar prescindiendo de la presencia física en la ubicación. De hecho, la gestión ISO remota es tan importante que es considerada en la más reciente edición del estándar de los auditores ISO 19011:2018.
Los profesionales en seguridad de la información comprenden la importancia que tiene convencer a la alta dirección para implementar ISO 27001, en el propósito de establecer un sistema de gestión estructurado y liderado que se base en las mejores prácticas de seguridad de la información.
Los beneficios de implementar ISO 27001 son muchos. Pero no podemos esperar que esos beneficios sean suficientes por sí mismos para que la alta dirección acepte, lidere e impulse el proyecto. Por supuesto, tener una lista de los beneficios de implementar ISO 27001 es una excelente idea. Pero la forma de comunicarlos es la que marca la diferencia.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
