Comprender los pasos para el proceso de gestión de riesgos en ISO 9001 resulta esencial para no caer en el uso excesivo de formalismos, numerosos documentos y vernos abrumados por el cumplimiento de los requisitos para la gestión de riesgos.
Entonces, ¿cuáles son los conceptos básicos y cuáles son esos pasos para el proceso de gestión de riesgos en ISO 9001?
Los requisitos de operación en ISO 45001 están contenidos en el apartado 8 de la norma. En esta sección encontramos los requerimientos relativos a planificación operativa, gestión del cambio, contratación externa (incluidos los subcontratistas), y la preparación para la respuesta a emergencias.
Se trata básicamente de lo que debemos hacer para llevar la norma a la práctica en la cotidianidad de los trabajadores y demás partes interesadas. Los requisitos de operación en ISO 45001 son los que nos permiten materializar nuestros planes en materia de seguridad y salud en el trabajo.
En la mayoría de los casos de implementación de normas ISO, la diferencia entre la evaluación de riesgos y el análisis de brechas es muy clara. Sin embargo, el análisis de brechas en ISO 27001 llega a confundirse con la evaluación de riesgos, sobre todo si tenemos en cuenta el objetivo común: identificar las deficiencias en la seguridad de la información de la organización.
Pero para entender con claridad cuál es la diferencia entre el análisis de brechas en ISO 27001 y la evaluación de riesgos, según la misma norma, en primer lugar definimos con claridad uno y otra; después establecemos las diferencias entre ambos.
El riesgo se define como un evento que puede evitar que una organización pueda lograr sus objetivos. Consideramos cuatro tipos de riesgos principales: operacionales, financieros, normativos, y reputacionales. El plan de auditoría y monitoreo basado en el riesgo es la forma más eficaz de realizar una evaluación de riesgos en esos cuatro ámbitos.
La auditoría interna ISO 9001 cierra un ciclo y abre inmediatamente el siguiente. La auditoría interna es un requisito de ISO 9001, pero más que una obligación es la mejor oportunidad que tiene la organización para conocer el estado real del sistema de gestión de la calidad y las oportunidades de mejora con las que cuenta; se trata de la esencia de la mejora continua.
La importancia de la auditoría interna ISO 9001 hace que se deban tomar medidas para asegurar su efectividad y la veracidad de sus informes y conclusiones.
Una de las cuestiones más importantes, pero a la vez interesantes de la norma sobre gestión de la seguridad de la información, es el requisito de “entender las necesidades y expectativas de las partes interesadas”. Surge, por supuesto, la pregunta inmediata: ¿cuáles son esas partes interesadas según ISO 27001?
En realidad, identificar las partes interesadas según ISO 27001 no es algo tan complejo. Se trata más de atender al sentido común y seguir la ruta de los procesos para identificar quiénes se ven afectados por el sistema.
Hemos mencionado en muchos de nuestros textos anteriores, que ISO 45001 fue aprobada en febrero de 2018, después de 20 años de su primera discusión. Ahora, las organizaciones certificadas en OHSAS 18001 tienen dos años para obtener la certificación en ISO 45001.
Parece un periodo de tiempo razonable para obtener la certificación en ISO 45001, pero ya ha pasado un tercio de los 3 años iniciales, lo que nos ofrece una idea de lo escaso que puede llegar a ser el tiempo al final. Por eso es bueno empezar por el principio y realizar una planificación eficaz para lograr la certificación en ISO 45001 a tiempo.
ISO 31000 es la norma internacional que sirve como guía para el diseño, implementación y mantenimiento de la gestión de riesgos. Todos los tipos y tamaños de organizaciones, acogiendo las cláusulas de ISO 31000, logran afrontar factores e influencias internas y externas que hacen incierto su camino hacia el logro de objetivos.
El riesgo está involucrado en cualquier actividad de una organización y las cláusulas de ISO 31000 permiten crear un proceso lógico, mediante el cual, las organizaciones administran el riesgo al analizarlas y evaluarlas.
ISO 27001 tiene como principio la adopción de un conjunto de requisitos, procesos y controles destinados a mitigar y gestionar de forma adecuada los riesgos de una organización. Los cursos ISO 27001, ayudan a las organizaciones y a sus profesionales, a comprender la norma, su alcance y a adoptar un modelo de gestión de seguridad de la información consistente.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
