En muchos de nuestros textos anteriores, hemos señalado que el nuevo estándar sobre gestión de seguridad y salud en el trabajo de ISO fue publicado durante el pasado año 2018. El requisito de liderazgo en ISO 45001:2018, contenido en la cláusula 5, es uno de los puntos clave de la norma que bien vale la pena desglosar con atención. Y ese es el objetivo que nos proponemos hoy.
La norma ISO 31000 en su nueva versión proporciona una visión más holística y estratégica a los profesionales de la gestión de riesgos. Se incorpora, por tanto, una nueva perspectiva y además constituye un estándar más claro y objetivo para sus usuarios en todo el mundo. Por ello, resulta interesante resaltar algunas cuestiones importantes de ISO 31000:2018 con respecto a su versión anterior de 2009.
Las organizaciones deben implementar una metodología para el análisis de riesgos según ISO 9001, no porque la norma lo exija, sino porque es la forma apropiada para identificar riesgos y tomar decisiones sobre cómo gestionarlos o eliminarlos.
El propósito de una metodología para el análisis de riesgos según ISO 9001 es encontrar problemas potenciales que, eventualmente, pueden surgir durante la elaboración de un producto o en la ejecución de un proceso específico. Así, será posible jerarquizar el riesgo y realizar alguna acción al respecto.
Propietarios de riesgos es un concepto novedoso que incorporó la edición 2013 de la norma ISO 27001. Novedoso y a la vez polémico, ya que generó confusión entre los profesionales de la seguridad de la información, pues parece que reemplaza al antiguo “propietarios de activos” y persiste la duda sobre si este último sigue siendo válido o no.
¿Quiénes son los propietarios de riesgos en ISO 27001:2013?, ¿reemplazan a los “propietarios de activos” presentes en la revisión 2005 de la norma? Estas son las preguntas que respondemos en nuestra entrada de hoy.
¿Por qué debemos preocuparnos por mejorar la ejecución y las pruebas de control interno? Porque, en la búsqueda de la eficiencia, la transparencia y en la gestión empresarial, los controles internos protegen los activos, garantizan la exactitud de la información, impulsan la eficiencia operativa, y fomentan la adhesión a las políticas, normas, reglamentos y leyes. En definitiva, porque resultan fundamentales en la gestión de riesgos dentro del entorno organizacional.
Para garantizar todo lo anterior, es preciso mejorar la ejecución y las pruebas de control interno, y para ello debemos tener muy claro qué es el control interno y que este puede mejorarse a través de las pruebas de control interno y el monitoreo continuo.
La norma ISO 19011:2018 proporciona directrices para los usuarios en todos los niveles de las organizaciones que pretenden efectuar una auditoría. Independientemente del sistema de gestión a auditar, un curso ISO 19011:2018 adquiere especial relevancia, dado que esta norma establece requisitos para la competencia y la evaluación de un auditor y de un equipo de auditores.
El nuevo curso ISO 19011:2018 Directrices para la Auditoría de los Sistemas de Gestión de la Escuela Europea de Excelencia, permite a los alumnos conocer los conceptos que se incorporan en la revisión 2018 del estándar, así como el enfoque basado en el riesgo, que ahora se convierte en parte integral de la norma.
El crecimiento exponencial de los ataques cibernéticos y la dependencia cada vez mayor de las organizaciones por los recursos tecnológicos son razones suficientes para realizar un análisis de riesgos ISO 27001. La norma no dice cómo realizar un análisis de riesgos ISO 27001, pero sí que hay que evaluar las consecuencias y las probabilidades e identificar activos, amenazas y vulnerabilidades.
El análisis de riesgos ISO 27001 tiene, por tanto, una enorme importancia. Se consigue evaluando las consecuencias o el impacto que sufriría la organización si el riesgo llegara a materializarse. La probabilidad de que el riesgo ocurra es el otro factor a tener en cuenta a la hora de asignar un nivel de importancia al riesgo.
La nueva edición de la norma ISO 19011, sobre las directrices para la auditoría de sistemas de gestión, ha sido publicada en julio de 2018. Los cambios en ISO 19011, versión 2018, han sido determinados con base en la revisión técnica desarrollada por el comité del proyecto de norma ISO/PC 302.
ISO 19011:2018 ofrece un enfoque uniforme y armonizado que facilita una auditoría eficaz en varios sistemas al mismo tiempo. Si consideramos que son muchas las organizaciones que trabajan con varios sistemas de gestión, este resulta uno de los cambios en ISO 19011 más relevantes.
Identificar riesgos es tan importante como implementar controles de riesgo en ISO 9001. Se trata de un paso crítico dentro del pensamiento basado en el riesgo propuesto por la norma.
Y es que los controles de riesgo en ISO 9001, se diseñan e implementan, de acuerdo con la importancia del riesgo, determinada por la gravedad, la probabilidad de ocurrencia y la facilidad o dificultad que entrañe su detección.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
