Ya han transcurrido un poco más de dos años de un periodo de tres para la migración desde OHSAS 18001 hacia ISO 45001 fijado por ISO. Por ello, creemos oportuno abordar el tema y hacer un repaso a los cambios existentes entre normas y lo que las organizaciones deben revisar para estar a punto a más tardar en marzo de 2021.
Los profesionales de la seguridad de la información que se enfrentan por primera vez a una auditoría suelen tener dudas y preguntas. Estos profesionales pueden necesitar una checklist de auditoría interna para ISO 27001 como apoyo esencial en la tarea. Y, aunque en distinto grado, un profesional experimentado, también puede encontrar en ella algunas ventajas.
Lo primero que debe saber el auditor, antes o después de elaborar una checklist de auditoría interna para ISO 27001 es que este no es un listado inamovible y rígido, sino una herramienta que ha de ser flexible y adaptable a los objetivos y perspectivas del momento.
No existe una única checklist de auditoría interna para ISO 2700, como tampoco existe un único modelo de auditoría interna. Por eso, quizá crear una lista de verificación de auditoría interna pueda ser una buena opción que se ajuste a las necesidades singulares de la organización.
Para empezar, hay que saber en qué momento del proceso es más oportuno crear esa herramienta y cuándo podremos aplicarla. En este sentido, la auditoría se desarrollaría en los siguientes pasos:
Como vemos, la lista de verificación puede ser clave en diferentes momentos del proceso. ¿Pero cómo elaborarla? En la creación de una checklist se ha de tener en cuenta uno a uno:
Además de atender al contenido, es preciso asegurar que la lista en sí sea práctica, equilibrando los siguientes puntos de manera óptima:
La auditoría interna es un requisito de ISO 27001. Es la herramienta que promueve la mejora continua del sistema. Por ello, cualquier herramienta de apoyo puede ser fundamental. Pero, quizá, aún más importante es contar con profesionales formados y cualificados.
El Curso Auditor Interno ISO/IEC 27001:2013 Sistemas de Gestión Seguridad de la Información es un programa esencial para cualquier profesional que quiera ejercer esta importante labor de auditoría en el área de seguridad de la información.
Las oportunidades según ISO 9001, al igual que los riesgos, deben ser identificadas, evaluadas y tenidas en cuenta en la toma de decisiones. No obstante, el concepto de “Enfoque Basado en el Riesgo”, predominante en la norma, puede hacer creer que las oportunidades en ISO 9001 se dejan de lado.
Esto es una percepción errada, porque lo cierto es que la norma no deja de lado las oportunidades sino que exige que sean tenidas en cuenta. Las oportunidades según ISO 9001 forman parte de un capitulo aparte de los riesgos, dentro del contenido de la norma, lo que ayuda a generar cierta confusión entre los profesionales de la calidad.
A medida que las organizaciones navegan por la crisis, entienden que lo hacen en aguas profundas y muy extensas. Es entonces cuando empiezan a considerar, entre otros aspectos, cuál es el programa de formación clave para afrontar el COVID-19 que deben adoptar, entre otras medidas, para llegar a buen puerto.
En muchas de estas organizaciones, el área de gestión de riesgos realizó evaluaciones en las que aparecieron los famosos “Cisnes Negros”, eventos de escasa probabilidad de ocurrencia, pero con un devastador impacto negativo.
Seguramente, en estas organizaciones que previeron este tipo de eventos, se habló de la importancia de implementar un programa de formación enfocado en la continuidad del negocio tras la ocurrencia de un evento catastrófico.
La auditoría interna es el motor de la mejora continua en cualquier sistema de gestión basado en normas ISO. La formación para auditores internos permite cubrir la necesidad que tienen las organizaciones de contar con auditores expertos y bien formados; ya que estos y sus competencias en auditoría serán los responsables de detectar fallos y debilidades en un sistema de gestión y promover acciones correctivas, para alcanzar así la conformidad con las normas ISO y seguir el camino de la mejora continua.
La formación, el conocimiento y la capacitación constantes son elementos fundamentales en el éxito de un sistema de gestión. Por ello, desde la Escuela Europea de Excelencia se han diseñado nuevos cursos ISO online con el que los profesionales y las organizaciones puedan aproximarse de manera ágil y cómoda a algunos de los estándares de implementación más común en las organizaciones de todo el mundo.
Los nuevos cursos ISO online de la EEE se enmarcan dentro de una metodología e-learning sostenida por docentes expertos. De ese modo, cada profesional puede aprender a su ritmo y de acuerdo a sus circunstancias, eligiendo los momentos y el espacio que le ofrezcan las condiciones óptimas para alcanzar un aprendizaje de valor.
Hoy es poco probable que una organización se enfrente a la disyuntiva de elegir entre ISO 9001 y otros sistemas de gestión de la calidad. Y es poco probable porque hoy, ISO 9001 es un estándar de gestión de calidad aceptado en más de 165 países del mundo, en los cinco continentes, y ha sido adoptado por más de un millón de organizaciones en todos los sectores económicos, de todos los tamaños y de los más diversos niveles de complejidad.
No obstante, existen otros sistemas de gestión de la calidad diferentes a ISO 9001 y es interesante que los profesionales del área sepan cuál es la diferencia entre ellos para entender mejor lo que representa esta norma ISO para las organizaciones que la implementan.
La estructura de ISO 45001, norma internacional de seguridad y salud en el trabajo publicada en 2018, es la misma que utilizan estándares tan populares como ISO 14001 e ISO 9001, entre otras. Al igual que estos estándares, la estructura común de Alto Nivel que posee también está acompañada por el Anexo SL y facilita la comprensión de los requisitos y la integración entre normas.
La estructura de ISO 45001, además del Anexo SL, se divide en 10 capítulos que contienen los requisitos para un sistema de gestión de seguridad y salud en el trabajo. Los apartados están organizados para mejorar de manera proactiva el desempeño en el área y prevenir así problemas de seguridad y salud.
El riesgo reputacional es, en esencia, cualquier amenaza para el buen nombre de una organización. Esto sucede cuando se cuestiona el carácter o la ética de la organización o la buena calidad de sus productos o servicios.
El daño a la reputación de una empresa puede tener un impacto duradero y en ocasiones irreversible. Esto afecta a la salud financiera y a la capacidad de operación, lo que implícitamente representa una disminución de la posibilidad de supervivencia.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
