Una organización funciona como un enorme organismo que está dividido en áreas y departamentos que ejercen su función particular. De este modo, la capacitación en ISO 27001 es uno de los elementos que hace posible que un sistema de gestión de la seguridad de la información funcione como debe y cumpla con su parte dentro de la complejidad del sistema general al que pertenece.
La capacitación en ISO 27001 requiere especial atención, pues gracias a ella, la organización puede garantizar la integridad de uno de los activos comerciales más importantes: la información.
GAP análisis, auditoría interna y evaluación previason herramientas de gran importancia para la gestión de sistemas basados en normas ISO. Sin embargo, para muchos profesionales en ese ámbito, y en particular dentro de la gestión de la calidad, no siempre está claro en qué difieren entre ellas. Por eso, hoy llevamos a cabo una comparativa con la intención de aclarar cuál es la diferencia entre GAP análisis, auditoría interna y evaluación previa.
Para llevar a cabo auditorías internas de sistemas integrados de gestión, los auditores líderes afrontan ciertas dificultades que, a veces, conllevan a que el proceso no alcance los resultados esperados. Por ello, para superar de modo satisfactorio los posibles obstáculos que se presentan, se hace necesario incorporar un enfoque de sentido común para este tipo de auditorías.
Comprender y definir el contexto para la gestión de riesgos en ISO 9001 es una de las modificaciones más importantes promovidas por la revisión 2015 de la norma. Esto supone que el sistema de gestión de la calidad tome en consideración, para la gestión de riesgos, el contexto en el que la organización está insertada.
Además de establecer ese contexto, la organización debe demostrar haberlo hecho. Contar con algunas pautas, como las que ofrecemos a continuación, puede facilitar llevar a cabo este proceso.
Cuando una organización afronta un proceso de auditoría de ISO 9001, es preciso programarlo y conocer cuánto tiempo será necesario para llevarlo a cabo. Los días de auditoría estarán determinados por el tamaño de la organización, el número de empleados, la complejidad, la naturaleza de la organización y los riesgos a los que está expuesta.
Los días de auditoría están definidos de acuerdo con los parámetros dispuestos por el IAF (Foro Internacional de Acreditación). Mientras las auditorías internas pueden ser flexibles en este punto, las auditorías externas deben ser más rigurosas.
Algunos creen que la gestión de riesgos es una tarea que solo requiere pensar y, como mucho, alguna hoja de papel para exponer algunas notas. Sin embargo, contar con los recursos necesarios para gestionar el riesgo es una cuestión prioritaria y además una responsabilidad de la alta dirección. Así figura en todas las normas ISO de reciente publicación que tocan el tema: ISO 31000, ISO 9001, ISO 45001, ISO 14001…
La seguridad de la información y la seguridad y la salud en el trabajo son temas que siempre ocupan un lugar preponderante en la oferta formativa de la Escuela Europea de Excelencia. Las convocatorias para este año han tenido tal éxito, que hemos adelantado las fechas de la siguiente convocatoria de cursos sobre ISO 45001 e ISO 27001.
Para esta ocasión, hemos ampliado el número de plazas disponibles, lo que ha implicado ensanchar nuestra estructura tecnológica, con el fin de ofrecer la calidad que caracteriza a nuestros programas a un mayor número de personas.
La comunicación en ISO 45001 es tratada en la edición 2018 de la norma de una forma más amplia. Lo haceen el apartado 7.4, complementando el requisito sobre Apoyo, tema al que se dedica el capítulo 7. Además, en la nueva versión, la comunicación es contemplada desde el punto de vista tanto interno como externo.
ISO 9001, en su cláusula 8.4, solicita a las organizaciones determinar y aplicar criterios para la evaluación, selección y calificación de proveedores externos. De lo anterior se infiere que la organización debe establecer asociaciones de proveedores beneficiosos en ISO 9001, para satisfacer el requisito de la norma.
Se entienden como proveedores externos aquellos que la organización necesita para realizar sus procesos, productos y servicios, en conformidad con los requisitos de la norma, atendiendo los requisitos de calidad de sus clientes. Crear asociaciones de proveedores beneficiosos en ISO 9001 puede ser un desafío muy positivo, ya que evitará que se generen problemas más adelante. Veamos cómo debe hacerse.
Establecer asociaciones de proveedores beneficiosos en ISO 9001 parte de la calificación
Las organizaciones certificadas buscan otras organizaciones que también lo están para establecer asociaciones de proveedores beneficiosos en ISO 9001. La calificación de los proveedores es el primer paso en el camino de la creación de esta colaboración.
Al realizar la calificación de los proveedores, es importante tener en cuenta que no basta con evaluar unos documentos. El contexto que la norma describe es mucho más complejo. Parte de un proceso de selección inicial, llegando hasta el seguimiento y la evaluación del desempeño.
En el proceso de calificación, previo a la creación de asociaciones de proveedores beneficiosos en ISO 9001, podemos considerar tres etapas principales:
1. Evaluación inicial del proveedor
Por regla general, es importante solicitar toda documentación que garantice la ejecución de las actividades del proveedor de acuerdo con los requisitos legales, estatutarios y los que solicita ISO 9001. Algunos ejemplos de información solicitada pueden ser:
Datos de registro.
Licencia de operación, o equivalente en cada país.
Certificaciones ISO.
En este momento es usual pedir al proveedor que responda algunos cuestionarios. Estos sirven para verificar el historial de suministro y aportan datos muy útiles para la evaluación inicial.
Debemos siempre analizar los posibles impactos que un determinado proveedor puede tener sobre el producto o servicio de la organización. En muchos casos, realizar una visita a las instalaciones del proveedor resulta imprescindible para identificar posibles problemas que no se puedan hallar en un análisis documental.
La evaluación inicial, aunque arroje resultados altamente satisfactorios, no basta para asegurar que no se presentarán problemas. Lo importante es tener herramientas de prevención. Así, durante el ciclo de vida de asociaciones de proveedores beneficiosos en ISO 9001, la supervisión y el monitoreo constante son fundamentales.
Si existe concordancia entre la orden de pedido y la factura.
La calidad del producto o servicio recibido.
Elementos como precio, atención, garantía, soporte, posición en el mercado, localización, también tienen impacto importante y deben ser monitoreados de forma constante.
3. La reevaluación
Las reevaluaciones son esenciales para demostrar si los documentos y las certificaciones del proveedor siguen respaldando su calidad y si los controles y el monitoreo han sido efectivos.
Generalmente, estas reevaluaciones se producen con una periodicidad predeterminada: anual o semestral. Sin embargo, cada organización define estos parámetros para cada proveedor, de acuerdo con su trayectoria e historial de cumplimiento.
Diplomado Gestión de la Calidad ISO 9001:2015
Con el Diplomado Gestión de la Calidad ISO 9001:2015, dispuesto por la Escuela Europea de Excelencia, estará perfectamente preparado para implementar todos los requisitos de la norma con seguridad, y también para auditar un sistema de gestión basado en ella.
