50 Excelentes Isotools 2015

Los 50 mejores artículos
publicados a lo largo de 2015

en el blog “Calidad y Excelencia”
de ISOTools Excellence
ÍNDICE
Los 50 Excelentes de 2015

ISOTools Excellence 4
Quality & Performance Management Software 4
Sistema modular 5
Propuesta de valor 6
Servicios 7
App ISOTools Normas ISO 8
Calidad 9
1. ¿Qué son los indicadores de calidad? 10
2. ¿En qué consiste el ciclo PHVA de mejora continua? 13
3. La ISO 9001:2015 se ha publicado 15
4. Un ejemplo sobre cómo elaborar el plan de calidad de un proyecto 20
5. 5 ejemplos de indicadores de calidad que no pueden faltar en tu plan 22
6. ¿Qué es la gestión operativa de una empresa y cómo mejorarla? 24
7. Fases para la elaboración del plan de calidad de un proyecto 27
8. Características que debe cumplir todo manual de calidad 31
9. ISO 9001:2015, COSO como metodología de gestión de riesgo 33
10. ¿Qué contenidos debe tener un manual de calidad? 37
11. ISO 9001:2015 Análisis del contexto interno y externo del SGC 39
12. ISO 9001:2015, metodología COSO III para la gestión de riesgos 44
13. Cómo, cuándo y por qué realizar una auditoría de calidad 47
14. Principales indicadores de evaluación del desempeño 50
15. ISO 9001:2015, desarrollo e implementación de la estrategia 55
16. ¿Cómo influye la calidad total en la productividad empresarial? 58
Medio Ambiente 60
17. ISO 14001: La verificación en el Sistema de Gestión Ambiental 61
18. ISO 14001: Estructura de la documentación de un SGA 65
19. ISO 14001: Procesos gestión de una auditoría de certificación 68
20. ¿Cómo obtener la certificación de la nueva norma ISO 14001? 71
21. ISO 14001: Los planes de formación para un SGA 73
22. Cambios en la ISO 14001:2015 77
23. Manuales PDF que te ayudan a implantar ISO 14001 en tu empresa 79
24. Cómo puede ayudar ISO 14001 en gestión de riesgos ambientales 81
Los 50 EXCELENTES de ISOTools en 2015 2

ÍNDICE
Seguridad de la Información 83
25. Cómo implantar eficazmente la norma ISO 27005 84
26. La familia de normas ISO 27000 87
27. ISO 27001: Pilares fundamentales de un SGSI 90
28. 4 documentos PDF para aprender sobre seguridad informática 93
29. ISO 27001: Pasos para implantación de la política de seguridad... 95
30. Cómo implementar un SGSI 99
31. ISO 27001: El papel de la alta dirección en un SGSI 102
32. ISO 27001: Seguridad informática y seguridad de la información 105
Seguridad y Salud Laboral 109

33. ¿Cómo elaborar un plan de seguridad y salud en el trabajo? 110
34. OHSAS 18001: Tipos de auditoría para las organizaciones 112
35. OHSAS 18001: Fases para su implementación 115
36. OHSAS 18001: Auditoría en los SG-SST 119
37. Manuales PDF del proceso de implementación de OHSAS 18001 123
38. OHSAS 18001: Idoneidad, eficacia y adecuación para una Revisión... 125
39. Cómo poner en marcha un plan integral de seguridad en las... 128
40. Cambios propuestos por la norma ISO 45001 sobre riesgos... 132
Miscelánea 134
41. Ejemplo práctico de construcción de un Balanced Scorecard 135
42. Tipos de certificaciones laborales que puede obtener tu empresa 138
43. ¿Cuáles son las funciones de un analista de riesgo? 141
44. Principales herramientas de gestión empresarial 143
45. ¿Por qué es importante la gestión de riesgos para tu empresa? 145
46. Cuáles son y en qué consisten los atributos de calidad en salud 147
47. ¿Cuáles son los principales modelos de excelencia? 150
48. Ventajas de aplicar el cuadro de mando integral en tu empresa 154
49. Cómo elegir los mejores indicadores de un Balanced Scorecard 156
50. Norma ISO 22000: explicación completa de su contenido 159
VOLVER AL ÍNDICE
ISOTools EXCELLENCE
Quality & Performance

Management Software
Compuesta de diferentes módulos, es un software escalable, flexible y adaptable a las ne-
cesidades de cada empresa u organización independientemente del tamaño y del sector en el
que opere. Es un software que favorece la agilización y la mejora de los procesos, así como
la accesibilidad y búsqueda rápida y fácil de la información.
Software ISO
¿QUÉ DICEN NUESTROS USUARIOS? Este Software ISO se desarrolla un entorno web con el objetivo de dar
cumplimiento a los requisitos de las normas ISO. Es un software ideal,
facilita a las organizaciones la implementación, mantenimiento y mejo-
“Tener mediciones ra continua de los Sistemas de Gestión ISO como Sistemas de Calidad
en tiempo real nos (ISO 9001) , Medio Ambiente (ISO 14001) , Seguridad y Salud en el Tra-
bajo (OHSAS 18001) y Seguridad de la Información (ISO 27001) .
proporciona un
gran control sobre Software BSC
el sistema, porque El Software Balance Scorecard es la herramienta perfecta para que la
planificación estratégica se ejecute en función de las metas establecidas.
identificamos
rápidamente dónde El Balanced Scorecard, también conocido como Cuadro de Mando In-
tegral o CMI, facilita el desarrollo, estructura y puesta en marcha de la
están los problemas estrategia a medio y largo plazo de una organización.
y esto hace que la
Software BPM
toma de decisiones El Software BPM consigue que las organizaciones administren de un
sea oportuna.” modo más fácil los procesos, simplifica la gestión de proyectos y la ges-
tión de cada uno de los procesos que intervienen.
Fabiana Iglesias
Jefa de Calidad de YAVIC. Panamá. El uso de este software para la gestión por procesos logra impulsar los
vínculos con las partes interesadas además de consolidar y mejorar
continuamente los procesos.
CONTACTA CON UN CONSULTOR EXPERTO
VOLVER AL ÍNDICE
ISOTools EXCELLENCE
Existe un ISOTools único

para cada organización
Estamos ante un sistema modular y totalmente parametrizable, que se adapta a las nece-
sidades de cada organización. Cuenta con un módulo base que sirve como cimiento de otros
módulos de soluciones que cubren distintas áreas, pensados para facilitar y agilizar la ges-
tión de sistemas y modelos, y de esta forma poder dar cumplimiento a los requisitos de los
mismos. Sea cual sea tu sector.
MÓDULO BASE
SISTEMAS DE GESTIÓN MODELOS DE EXCELENCIA
Calidad Estrategia
Medioambiente
y energía Procesos
Riesgos y Seguridad Personas
Responsabilidad Evaluación y
social Resultados
VOLVER AL ÍNDICE
ISOTools EXCELLENCE
+ 15 años
+ 15 países Mucho más que un software
+ 1000 clientes
ISOTools Excellence es una consultora con más de 15 años de experiencia que ayuda a las
+ 50000 accesos
organizaciones comprometidas con la calidad y la excelencia a:
+ 75000 usuarios
%% Optimizar sus modelos y sistemas de gestión aportando soluciones innovadoras para la

gestión de la estrategia, los procesos y las personas.
%% Facilitar su aplicación, haciéndolos accesibles, ágiles y medibles, y aportando resultados en

el corto plazo, gracias a una plataforma tecnológica de desarrollo propio llamada ISOTools.
Somos Consultoría Estratégica Somos Innovación Tecnológica

ISOTools Excellence está formado por ex- Esta labor de consultoría se apoya en su
pertos consultores al servicio de los clien- plataforma tecnológica, a través de la cual
tes, que muestran de manera personaliza- ofrece soluciones integrales, aplicando
da a cada organización, la alternativa más continuamente la innovación tecnológica
sencilla y práctica de operar generando un como medio de adaptación a las necesida-
impacto real en los resultados y proporcio- des del mercado, requisitos normativos y
nando una ventaja competitiva sostenible tipología de organización.
en el tiempo.
VOLVER AL ÍNDICE
ISOTools EXCELLENCE
+ 15 años
+ 15 países ¿Qué servicios ofrecemos a
+ 1000 clientes
+ 50000 accesos
+ 75000 usuarios
nuestros clientes?
Para que el sistema pueda ser implementado y mantenido de forma rápida y sin incidencias,
ISOTools Excellence ofrece esta lista de servicios de apoyo a todas las organizaciones que
contratan la plataforma:
Capacitación
Los consultores expertos de ISOTools Excellence ofrecen una formación perso-
nalizada a los clientes para que se familiaricen rápidamente con el manejo del
software.
Soporte
Profesionales siempre disponibles a través de vía telefónica y online para resol-
ver cualquier duda / incidencia que pueda surgir.
Consultoría
Nuestro equipo de consultores puede ayudarle a sacarle el máximo partido a
ISOTools en su organización, antes, durante y después de la implementación,
ofreciendo de esta forma un servicio global.
Y además:
Integración
ISOTools Excellence puede integrarse y convivir con otras aplicaciones que ya estén
funcionando en tu organización. Dispone de interfaces y mecanismos para cambio
de datos con aplicativos de otros proveedores.
Adaptaciones
Toda organización posee sus particularidades, que muchas veces son la razón
de la eficiencia de sus procesos y de su éxito en el mercado.
Migración de datos
El proceso de migración de datos tiene como objetivo principal importar a la
nueva aplicación los datos de su sistema de gestión actual.
VOLVER AL ÍNDICE
ISOTools EXCELLENCE
+ 1000
DESCARGAS EN
¿Conoces la nueva app
GOOGLE PLAY
Y APP STORE ISOTools Normas ISO?
En ISOTools Excellence nos hemos propuesto el reto de englobar en una sola app toda la
información de interés relacionada con las normas ISO y sus recientes versiones. Por ello,
tenemos el placer de presentar esta nueva herramienta, que los usuarios que ya se han des-
cargado clasifican como el punto de información más completo sobre normas ISO que existe
en la red. Esperamos que os sea de utilidad.
¿QUÉ DICEN LOS QUE YA LA HAN INSTALADO?
“Es una app imprescindible. Actualmente estoy inmersa

en el proceso de transición de la norma ISO 9001:2015
y en ella encuentro mucho contenido actualizado con el
que resuelvo mis dudas.”
Raquel Toro
VOLVER AL ÍNDICE
Calidad.
01
INDICADORES ¿Qué son los indicadores de calidad?

Indicadores de calidad: una herramienta para controlar la calidad de
los procesos
Los indicadores de calidad son instrumentos de medición, de carácter tangible y cuantifica-
ble, que permiten evaluar la calidad de los procesos, productos y servicios para asegurar
la satisfacción de los clientes. Dicho de otro modo, miden el nivel de cumplimiento de las
especificaciones establecidas para una determinada actividad o proceso empresarial.
Los indicadores de gestión miden, de manera global, el resultado final de las actividades

empresariales basándose en un estándar, el cual responde al nivel de calidad objetivo que la
empresa espera y desea alcanzar.
Características de los indicadores de calidad

Idealmente, las principales características que deben tener los indicadores de cali-
dad son las siguientes:
%% Ser realistas, es decir, directamente relacionados con las dimensiones significativas de la

calidad del proceso, producto o servicio,
%% En cuanto al número, deben ser pocos aunque suficientemente representativos de las
áreas prioritarias o que requieren una supervisión constante de la gestión.
%% Efectistas y centrados en el verdadero impacto de la calidad.
%% Visibles y fácilmente representables en forma de gráficos de fácil interpretación.
%% Accesibles a las personas involucradas en las actividades medidas.
%% Sensibles a las variaciones de los parámetros que se está midiendo.
%% Sencillos de calcular y gestionar.
Clasificación de los indicadores de calidad

Los indicadores pueden clasificarse en:
%% Generales: índices de incumplimiento de requisitos sobre un servicio global.
VOLVER AL ÍNDICE
01
%% Específicos: similares a los anteriores, pero referidos a un tipo de servicio concreto o a

una casuística de fallos determinada.
%% Ponderados: considerando una valoración, no necesariamente económica, de la impor-
tancia del fallo / incumplimiento.
Beneficios de la implantación de unos indicadores de calidad

Existen muchos y variados motivos para implantar un sistema de indicadores, siendo
estos los más destacables:
%% Valorar la correcta aplicación de los recursos consumidos por las diferentes actividades

de uso público y la adecuación de sus resultados a los requerimientos.
%% Controlar y mejorar los procesos.
%% Garantizar los resultados previstos.
%% Mantener los estándares de calidad.
%% Mejorar el nivel del servicio con el fin de lograr una mayor satisfacción de los clientes.
%% Orientar las actividades de mejora, mediante la implantación de acciones preventivas y el
control de los resultados obtenidos
%% Poder tomar las medidas correctoras y preventivas correspondientes.
La selección de los indicadores de calidad

Los indicadores de calidad influyen sobre los indicadores de gestión, por lo que son de gran
importancia para que la dirección de la empresa proponga acciones globales o de un depar-
tamento o área concreta. Su alto nivel de influencia en decisiones muy importantes para la
organización otorga una gran importancia a su correcta selección.
Criterios de selección de indicadores

Lo primero que hay que tener en cuenta es que los indicadores se deben implantar en: los
procesos que sean más críticos por su alto nivel de influencia en la calidad del producto o
servicio, en los circuitos más importantes a nivel de resultados o en aquellos procesos
que están por debajo del nivel de calidad deseable o esperado.
Por otro lado, no existe una norma fija en cuanto a número, pero por lo general se deben uti-
lizar los que sean necesarios para mantener una visión clara e inequívoca del estado o
situación de la actividad a controlar.
Definición e implantación de un sistema de indicadores de calidad

Para realizar la implantación operativa de un indicador es necesario que previamente se
definan determinados aspectos como: datos a analizar, persona responsable de la gestión
(normalmente es el jefe de equipo de los procesos afectados por el indicador) o el papel del
gestor de calidad, el cual actuará como facilitador para ayudar a la implantación.
Por último, destacaremos que en el momento de implementar los indicadores es muy impor-
tante el seguimiento de las siguientes recomendaciones:
%% Utilizar indicadores gráficos de fácil interpretación.

%% Colocar los indicadores en lugares visibles dentro de las zonas donde se realizan las
actividades.
VOLVER AL ÍNDICE
01
%% Que los indicadores sean gestionados por los responsables de los procesos o activida-
des medidas.
%% Evitar las falsas alarmas como consecuencia de una sobredimensión del valor de dichos
indicadores.
La plataforma ISOTools facilita selección, definición e

implementación de indicadores de calidad
Si el objetivo de su empresa es implantar una óptimo modelo de gestión apoyado en la im-
plantación de los indicadores adecuados que le conduzca hacia la excelencia, ISOTools le
ofrece una eficaz solución mediante su avanzada plataforma tecnológica en la que se inte-
gran sistemas de gestión normalizados y modelos de excelencia.
LEE ESTE ARTÍCULO EN EL BLOG

https://www.isotools.org/2015/03/30/que-son-los-indicadores-de-calidad/
Ada
la n ptado
u
900 eva ISOa
1:20
15
Software para Sistema
de Gestión de la Calidad
DESCÚBRELO
VOLVER AL ÍNDICE
02
MEJORA
CONTINUA
¿En qué consiste el ciclo PHVA de
mejora continua?
Ciclo PHVA: una herramienta de gestión plenamente vigente
En la actualidad, las empresas tienen que enfrentarse a un nivel tan alto de competen-
cia que para poder crecer y desarrollarse, y a veces incluso para lograr su propia supervi-
vencia, han de mejorar continuamente, evolucionar y renovarse de forma fluida y constan-
te. El ciclo PHVA de mejora continua es una herramienta de gestión presentada en los
años 50 por el estadístico estadounidense Edward Deming.
Tras varias décadas de uso, este sistema o método de gestión de calidad se encuentra ple-
namente vigente (ha sido adoptado recientemente por la familia de normas ISO) por
su comprobada eficacia para: reducir costos, optimizar la productividad, ganar cuota de
mercado e incrementar la rentabilidad de las organizaciones. Logrando, además, el manteni-
miento de todos estos beneficios de una manera continua, progresiva y constante.
Las fases del ciclo PHVA

Las siglas del ciclo o fórmula PHVA forman un acrónimo compuesto por las iniciales de las
palabras Planificar, Hacer Verificar y Actuar. Cada uno de estos 4 conceptos corresponde a
una fase o etapa del ciclo:
%% Planificar: En la etapa de planificación se establecen objetivos y se identifican los pro-

cesos necesarios para lograr unos determinados resultados de acuerdo a las políticas de
la organización. En esta etapa se determinan también los parámetros de medición que
se van a utilizar para controlar y seguir el proceso.
%% Hacer: Consiste en la implementación de los cambios o acciones necesarias para lo-
grar las mejoras planteadas. Con el objeto de ganar en eficacia y poder corregir fácilmente
posibles errores en la ejecución, normalmente se desarrolla un plan piloto a modo de
prueba o testeo.
VOLVER AL ÍNDICE
02
%% Verificar: Una vez se ha puesto en marcha el plan de mejoras, se establece un periodo

de prueba para medir y valorar la efectividad de los cambios. Se trata de una fase
de regulación y ajuste.
%% Actuar: Realizadas las mediciones, en el caso de que los resultados no se ajusten a las
expectativas y objetivos predefinidos, se realizan las correcciones y modificaciones ne-
cesarias. Por otro lado, se toman las decisiones y acciones pertinentes para mejorar con-
tinuamente el desarrollo de los procesos.
Un ciclo sin fin

La principal característica de un ciclo PHVA es que no tiene un punto y final en el momento en
que se obtenga un determinado resultado, sino que se crea una rueda continua en la que
el ciclo se reinicia una y otra vez de manera periódica, generando de esta forma un pro-
ceso de mejora continua. Cada ciclo terminado, además de para conseguir mejoras hasta un
cierto nivel en un determinado circuito o área de la empresa, debe servir también como fuen-
te de aprendizaje para mejorar en cada paso y aprender de los errores. Esto significa que
siempre se debe buscar la optimización de las acciones por medio del análisis de: indi-
cadores, logros obtenidos y programas de mejora ya implementados.
Ventajas y desventajas del ciclo PHVA

Las principales ventajas para las organizaciones de esta herramienta de gestión son:
%% Por lo general, se consiguen mejoras en el corto plazo y resultados visibles.

%% Se reducen los costos de fabricación de productos y prestación de servicios.
%% Es un sistema que favorece una cuestión hoy en día vital para todas las empresas: incre-
mentar la productividad y enfocar a la organización hacia la competitividad.
%% Contribuye a la adaptación de los procesos a los avances tecnológicos.
%% Permite detectar y eliminar procesos repetitivos.
Entre sus puntos débiles encontramos:
%% Cuando el mejoramiento se concentra en un área específica de la organización, se puede

perder la perspectiva de interdependencia que existe entre los distintos departamen-
tos y áreas de las organizaciones.
%% Requiere de cambios importantes en toda la organización, lo que puede acarrear inver-
siones importantes en infraestructuras o recursos humanos.
Es importante subrayar y no perder nunca de vista que la mejora continua consiste en desa-
rrollar ciclos de mejora a todos los niveles de manera periódica, sin que la consecución de un
determinado objetivo suponga el fin de proceso, sino más bien un desafío para seguir mejo-
rando y lograr la excelencia. En esto consiste su verdadera esencia y filosofía.

https://www.isotools.org/2015/02/20/en-que-consiste-el-ciclo-phva-de-mejora-continua/
VOLVER AL ÍNDICE
03
NUEVA
ISO 9001:2015
La ISO 9001:2015 se ha publicado
Transición a ISO 9001 2015
El 23 de septiembre de 2015, ISO (International Organization for Standardization) ha publica-
do la quinta versión de la norma ISO 9001. Si queremos hacer mención a la primera ISO
9001, hay que trasladarse al año 1987 cuando fue publicada y se convirtió en un estándar
internacional de referencia para los Sistemas de Gestión de la Calidad (SGC).
Las normas ISO son revisadas periódicamente con el objetivo de adaptar los requisitos
a los cambios que se producen en el mercado y a las necesidades expresadas por los consu-
midores.
Como se esperaba, ISO ha dado la noticia, cumpliendo con las fechas previstas para su pu-
blicación. Pero hasta que hemos podido ver a la luz el documento final de la norma, se ha
trabajado mucho durante los últimos tres años. En concreto el proceso de revisión de la nor-
ma se inició en junio del año 2012, en esa reunión el comité ISO/TC 176 SC/2 se encargó de
elaborar un documento de trabajo en el que quedaban incluidos los cambios que presentaría
la norma. Durante ese mismo año, en diciembre, se aprobó el borrador de especificaciones
y WD.
Tras esto el comité empieza a elaborar el borrador CD, en el calendario lo situamos a media-
dos de 2013. Después de ser sometido a comentarios y a una votación, en junio del año 2014
se desarrolla el borrador DIS de la norma ISO 9001. En junio de un año después se logra la
aprobación del último borrador, el FDIS.
A partir del 23 de septiembre, aquellas organizaciones del sector público y privado que tengan
VOLVER AL ÍNDICE
03
implantado un Sistema de Gestión de la Calidad según los requisitos de la ISO 9001 versión
2008, deberán comenzar el proceso de transición hacia la nueva ISO 9001:2015 y llevar a
cabo la implementación de los nuevos requisitos previstos en esta reciente versión.
La IAF (International Accreditation Forum), en colaboración con el ISO/TC 176/SC 2/WG

23 se ha encargado de elaborar un documento que sirve como guía para realizar con éxito
la transición de la norma ISO 9001: 2008 a ISO 9001: 2015. LA finalidad de este documento
es la prestación de asesoramiento a las partes interesadas en los acuerdos que hay que lle-
var a cabo para la transición a tener en cuenta antes de la implementación de la norma ISO
9001:2015.
Las organizaciones tienen que entender que no deben esperar al último momento para pro-
ceder a la transición de ISO 9001:2008 a ISO 9001:2015, ya que el riesgo de perder la certifi-
cación se incrementa y esto puede suponer importantes perjuicios para la empresa.
En estos momentos, las personas involucradas en los Sistemas de Gestión de la Calidad

requieren de suficiente información para realizar la transición correctamente.
Los responsables o cordinadores de calidad deberían saber que el Foro Internacional de

Acreditación (IAF) junto con el Comité de ISO sobre Evaluación de la Conformidad
(CASCO) han establecido una fase de transición de tres años desde la fecha de publicación de
la norma ISO 9001 versión 2015.
Como es de suponer, las certificaciones ISO 9001 versión 2008 dejaran de ser válidas una vez
transcurridos estos tres años desde el 23 de septiembre de 2015.
A continuación citaremos las recomendaciones que se encuentran en este documento para

aquellas organizaciones que emplean la norma ISO 9001: 2008.
%% Detectar las brechas de la organización para saber actuar y lograr el cumplimiento de los
nuevos requisitos.
%% Elaborar un plan de implementación.
%% Facilitar formación y sensibilización apropiadas para todas las partes que generan un im-
pacto en la eficiencia de la organización.
%% Renovar el Sistema de Gestión de la Calidad con el que se cuente con el objetivo de cumplir
los requisitos propuestos en la nueva ISO 9001 2015, además de verificar su eficacia.
Pero realmente, ¿qué cambios tendrá la nueva versión de ISO 9001?
A continuación haremos un breve resumen de los principales cambios que estarán presentes
en la norma ISO 9001 versión 2015:
Estructura
Se podría decir que es uno de los cambios más importantes que veremos en esta edición
2015. La estructura de la ISO 9001 se regirá por la Estructura de Alto Nivel que ya siguen otras
normas como la ISO 27001, publicada en 2013.
Enfoque basado a procesos
El apartado referido al enfoque basado a procesos lo encontramos en el 4.4 “Sistema de

Gestión de la Calidad y sus procesos”. Este enfoque hace posible que se afiance la gestión y
el control de las relaciones que existen entre los procesos y la estructura funcional de la em-
presa.
VOLVER AL ÍNDICE
03
Lenguaje
Desde la primera publicación la norma ISO 9001 se ha podido aplicar a cualquier organización
sin que implique un problema el sector al que pertenece, pero ISO ha visto conveniente em-
plear un lenguaje simple y compresible por cualquier lector.
Análisis del contexto
Surge un nuevo apartado, el 4. Contexto de la organización, que contempla la importancia

de considerar y realizar un análisis del entorno social y económico por el que está influenciada
la empresa. También considera la necesidad de tener en cuenta las relaciones con las partes
interesadas internas y externas.
Pensamiento basado en riesgo
Este pensamiento se extiende tanto en la definición, implementación, mantenimiento y me-

jora continua del sistema. Aunque en la norma no se especifica, se puede emplear la ISO
31000 para gestionar el riesgo.
Acciones preventivas
Las acciones preventivas desaparecen, ya que es el Sistema Gestión se convierte en sí en

un instrumento preventivo del SGC.
Partes interesadas
Además de los clientes, ahora también se tienen en cuenta las necesidades expresadas por las
partes interesadas 4.2 “Comprensión de las necesidades y expectativas de las partes
interesadas”.
Representante de la Dirección
Ya no es imprescindible el representante de la dirección y el peso reside en la dirección y así

se ve en el apartado 5. “Liderazgo”.
Gestión del conocimiento
Para todo lo vinculado con la gestión del conocimiento, deberemos acudir al nuevo 7.1.6 “Co-
nocimiento organizacional”, la entidad será la responsable de definir que conocimiento es
necesario para que la operatividad del sistema sea la adecuada.
Procesos externalizados
Los temas de subcontratación de procesos o subprocesos a terceros se puede observar en el

punto 8.4 “Control de los productos y servicios suministrados externamente”.
Competencia del personal
La competencia del personal se trata en la cláusula 7.2 “Competencia”, para definir crite-

rios de cada puesto de trabajo y las competencias asociadas a este.
La automatización del Sistema de Gestión de la Calidad según la ISO

9001:2015
Con la publicación de la ISO 9001 2015, la preocupación por lograr con éxito la transición de la
VOLVER AL ÍNDICE
03
ISO 9001:2008 a la 2015 incrementa por momentos entre los responsables y coordinadores
de calidad. Pensando en estas empresas que ya cuentan con un certificado ISO 9001:2008 y
que requieren de la adaptación de su SGC a la nueva versión, ISOTools ha actualizado su sof-
tware a los nuevos requisitos de la norma ISO 9001:2015.
ISOTools es un software escalable, flexible y adaptable a cada organización, teniendo

en cuenta el tamaño y el sector en el que desarrolle su actividad.
Este software facilita el proceso de implementación, automatización y mantenimien-

to de un Sistema de Gestión de la Calidad que opere según los requisitos establecidos por
normas ISO como ISO 9001 y como hemos dicho, ya se encuentra actualizado según la última
versión publicada a finales de septiembre de 2015.
Está basado en los procesos y el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para
alcanzar una mayor efectividad en la gestión de la documentación, también logra mejoras en
la comunicación y minimiza tiempos y costos, consiguiendo un impacto real sobre la eficiencia,
los costos y los resultados de la organización.

https://www.isotools.org/2015/09/23/norma-iso-9001-2015-publicada/
Ada
la n ptado
u
900 eva ISOa
1:20
15
DESCÚBRELO
VOLVER AL ÍNDICE
Diplomado
Gestión de la Calidad
ISO 9001:2015
Creamos
profesionales que
puedan actuar
como líderes de la
implementación
del Sistema de
Gestión de la
Calidad
MATRICÚLATE AHORA
04
PLAN
DE CALIDAD
Un ejemplo sobre cómo elaborar el
plan de calidad de un proyecto
La detección de fallos, obstáculos e inconvenientes suele ser el punto de giro para que mu-
chos empresarios decidan implementar un plan de calidad.
El concepto está definido y descrito en la normativa ISO 9001 de Sistemas de Gestión de
Calidad, en la que se proporciona un marco de acción que orienta a las empresas a mejorar
los procesos que tienen lugar en cada una de sus áreas o departamentos.
Se trata de un documento en el que se detalla cómo deben ser los procesos de mejora
de calidad en una organización. Es decir, precisa la manera en que se llevarán a cabo las
acciones para ello, las distintas etapas del proceso, los recursos disponibles y los grupos de
trabajo que se encargarán de llevarlo a la práctica.
De hecho, tal es la importancia de elaborar un plan de calidad adecuado, que el grupo ISO ha
elaborado la norma 10005:2005 en la que se fijan las directrices para el diseño, la aplicación
y la revisión de dichos planes.
Un ejemplo: elaborando un plan de calidad

Como todo proceso, la implementación de un plan de calidad implica la fijación de unas eta-
pas. Para hacer más ilustrativo el tema, recurriremos a un ejemplo concreto: el de una pana-
dería recién inaugurada, cuyas ventas no acaban de despegar, y que aspira a posicionarse
como una marca de referencia en su mercado.
1. Identificar la necesidad:
Por absurdo que parezca, el primer paso para la elaboración de un plan de calidad es analizar
si realmente es necesario un documento de estas características. En nuestro caso, el dueño
de la panadería debe decidir si su intención es verificar si se cumplen las normas de calidad o,
en cambio, si desea mostrar a terceros que su empresa cumple con los estándares básicos de
calidad, algo que sin duda le dará prestigio.
2. Definir los requisitos:

A nuestro panadero, cuyo principal problema es el bajo número de ventas, le interesan las dos
cosas. A partir de ahora tendrá que definir los requisitos que no debe perder de vista para
VOLVER AL ÍNDICE
04
llevar a cabo su plan da calidad. Por ejemplo, es necesario que revise aspectos como la legis-
lación vigente, los requerimientos de los clientes, el rol de los proveedores, la capacitación de
los empleados, los recursos disponibles, entre otros.
3. Establecer el alcance del plan:
¿Qué busca realmente nuestro panadero con la implementación de un plan de calidad? Antes
hemos dicho que su objetivo es el mejoramiento de sus productos. Y así es, pero sólo en un
primer nivel de acción. En el fondo, esta decisión siempre es la vía para otra cosa: ampliación
del negocio, apertura a nuevos mercados, fabricación de productos más innovadores y suge-
rentes, entre otras posibilidades.
4. Preparación del plan:
Qué duda cabe que nuestro panadero conoce muy bien su negocio. Sin embargo, para la ela-
boración de un plan de calidad es recomendable que recurra a un experto en el tema o a un
equipo de trabajo en el que delegue responsabilidades. Esta persona o equipo se encargarán
de recopilar toda la información necesaria para el plan.
5. Contenido del plan de calidad:
Superadas las etapas anteriores, es necesario que el panadero se siente con su equipo de
colaboradores para plasmar en el papel el trabajo realizado hasta ahora. Recodemos: su es-
trategia es mejorar sus productos para, al mismo tiempo, aumentar su prestigio en el espectro
comercial al que pertenece su negocio.
6. Revisión e implementación:
Como última medida, es necesario que se realice una última revisión del plan de calidad antes
de que se ponga en marcha. Nuestro panadero debe ponderar si cada una de las acciones
allí contempladas le ayudará a mejorar la calidad de sus bollos y pasteles y si, en últimas, esto
supondrá un aumento del prestigio del que hasta entonces carece en el mercado. En caso de
ser aprobado, el plan entra en etapa de implementación.
Herramientas tecnológicas para la implementación y control de los

modelos de Excelencia
La última fase en la elaboración de un plan de calidad, sería su implementación en la empresa.
Una puesta en marcha que tiene como principal objetivo mejorar la calidad de los proce-
sos.
Los planes de calidad forman parte de todos los modelo de excelencia, tanto de aquellos
que se basan en la norma ISO 9001 como de los que se rigen por los requisitos establecidos
en el modelo de Deming o en el modelo EFQM, entre otros.
El uso de determinadas herramientas tecnológicas, como el software ISOTools, ayudan a la

implementación de estos planes y a la mejora continua de los procesos.

https://www.isotools.org/2015/07/24/un-ejemplo-sobre-como-elaborar-el-plan-de-calidad-de-un-
proyecto/
VOLVER AL ÍNDICE
05
INDICADORES 5 ejemplos de indicadores de calidad

que no pueden faltar en tu plan
El concepto de calidad suele estar asociado a la satisfacción que los productos generan
en un público determinado. Y en cierta forma, es así. ¿Qué mejor que una necesidad cubierta
de manera eficaz y oportuna?
Sin embargo, a la hora de implementar un plan de gestión de calidad, es preciso mirar el tér-
mino con más detenimiento y buscar indicadores de calidad que lo valoren.
Porque la calidad, digámoslo claro, no sólo se mide al final de los procesos. También es ne-
cesario evaluarla en las fases iniciales e intermedias, cada una de las cuales aporta un valor
específico a la cadena de labores que integran un proceso.
Los indicadores de calidad cumplen esa función. Son instrumentos de medición que se
emplean para evaluar la calidad de los procesos o productos. O dicho de otra manera, deter-
minan el nivel de cumplimiento de los objetivos para los cuales se han desplegado una
serie de actividades concretas.
Eso no quiere decir que cualquier herramienta sea un indicador de calidad. De hecho, para
que un elemento adquiera tal función debe cumplir con ciertos requisitos. Entre los más sig-
nificativos podemos mencionar los siguientes:
%% Fáciles de capturar y aplicar. De nada vale un plan de calidad bien fundamentado si sus
indicadores son ilegibles o no proporcionan información clara.
%% Relevantes para la toma de decisiones. Es decir, que la información que aporten sirva
para cumplir con los objetivos propuestos. No se trata de acumular herramientas y captu-
rar cualquier tipo de datos.
%% Visibles y accesibles. Por ejemplo, que resulten fáciles de clasificar o de plasmar en grá-
ficos, diagramas o cuadros conceptuales.
Cinco ejemplos de indicadores de calidad

Definidas sus características, a continuación presentamos algunos de los indicadores más
empleados cuando se trata de medir la calidad de un producto:
VOLVER AL ÍNDICE
05
1. Cobertura:
Se define como la proporción entre el número de artículos disponibles en los mercados y las
personas que demandan una necesidad que espera ser satisfecha. Este indicador es pro-
pio de proyectos que buscan penetrar de forma masiva entre los consumidores o que están
pensados a largo plazo. Sin embargo, no siempre es así. A veces basta con que una empresa
cubra los pocos frentes en los que suele desempeñarse para obtener un indicador positivo en
términos de cobertura.
2. Eficacia:
La eficacia no es otra cosa que la relación entre un producto disponible y la necesidad para la
que ha sido creado. Cuando esta relación es positiva, la eficacia del producto es alta. Pero si la
necesidad del cliente sigue sin ser atendida tras la adquisición de dicho producto, el indicador
es negativo. Algo en el proceso ha fallado.
3. Valoración de ventas:
El volumen de ventas es, sin duda, el elemento más empleado para medir la calidad de un
producto. Vender mucho casi siempre es sinónimo de éxito: indica que el artículo ha tenido
una buena acogida y que ha generado gran interés. No obstante, esta relación no supone en
todos los casos un grado alto de calidad. Se puede vender mucho sin que el producto sea del
todo bueno.
4. Satisfacción del cliente:
De hecho, el siguiente paso tras la venta de un producto es la evaluación del grado de confor-
midad de quien lo ha adquirido. La venta no garantiza satisfacción. Numerosos ejemplos dan
cuenta de ello. Al utilizar este indicador, las empresas deben desplegar varias vías de retroali-
mentación para poder evaluar con acierto lo que se conoce como la etapa de post-venta, que
es crucial de cara a nuevas líneas de producción.
5. Competitividad:
Hace referencia a la capacidad de las empresas para explotar aquellas cualidades que hacen
distintos a sus productos. También tiene que ver con el nivel de adaptación a las dinámicas del
mercado y a la capacidad de innovación y cambio. Un producto incapaz de competir es, por lo
general, un producto de escasa calidad.
Mejora la calidad de tu empresa con la plataforma ISOTools

ISOTools facilita la mejora continua de la gestión basada en indicadores de calidad. La plata-
forma para la gestión de la excelencia ISOTools permite automatizar los indicadores, seguirlos
y medirlos, ofreciendo, de esta forma, una valiosa información que contribuye a la toma de
decisiones y facilita la mejora continua de los procesos.

https://www.isotools.org/2015/07/27/5-ejemplos-de-indicadores-de-calidad-que-no-pueden-fal-
tar-en-tu-plan/
VOLVER AL ÍNDICE
06
GESTIÓN
OPERATIVA
¿Qué es la gestión operativa de una
empresa y cómo mejorarla?
Definición de gestión operativa
La gestión operativa puede definirse como un modelo de gestión compuesto por un conjunto
de tareas y procesos enfocados a la mejora de las organizaciones internas, con el fin de
aumentar su capacidad para conseguir los propósitos de sus políticas y sus diferentes
objetivos operativos.
Los objetivos operativos se derivan directamente de los objetivos tácticos, por lo que se

encuentran involucradas cada una de la actividades de la cadena de valor interno. Por lo tan-
to, dentro de la gestión operativa quedan englobadas también las diversas gestiones de
producción, distribución, aprovisionamiento, recursos humanos y financieros.
Alcance y funciones de la gestión operativa

La gestión operativa abarca cambios no solamente en la estructura de la organización,
sino también en el sistema de roles y funciones, lo cual tienen una notable influencia en
cuestiones como la elección de personal directivo y mandos intermedios. Asimismo, la gestión
operativa influye en los procesos de capacitación del personal, las relaciones entre los
circuitos organizativos y la tecnología y la introducción de innovaciones técnicas y estra-
tégicas acordes con los proyectos en curso.
En línea con sus ámbitos de actuación, las principales funciones de la gestión operati-

va son:
VOLVER AL ÍNDICE
06
%% Análisis de los servicios. Fundamentalmente en lo que se refiere a la concordancia entre

los servicios ofrecidos o que se piensan ofrecer y los requerimientos de clientes y provee-
dores. También implica el cumplimiento de las especificaciones técnicas propias de cada
producto o servicio y a las pruebas de su correcto funcionamiento.
%% Análisis de los procesos. Gestión de los procesos técnicos y administrativos de la orga-
nización y el estricto cumplimento de leyes y normativas relacionadas con el proceso de
producción de artículos y prestación de servicios.
%% Revisión de los modos de diseñar y dirigir. Enfoque estratégico basado en un proceso
continuo y permanente de los procedimientos más eficaces para la realización de pro-
yectos y la prestación de servicios, tratando de lograr los mejores resultados y la máxima
productividad y rentabilidad con el fin de optimizar al máximo los recursos.
En definitiva, la tarea esencial de la gestión operativa es el despliegue de recursos y ca-

pacidades para obtener resultados concretos. En lo que respecta a la definición de lo ob-
jetivos, estos deben ser acertados, realistas, concretos, cuantificables y medibles y que, sobre
todo, se encuentren alineados con: las posibilidades de la organización, su situación en el
mercado, la posición que ocupa actualmente en relación a la competencia y sus posibilidades
y expectativas en el corto, medio y largo plazo.
Cómo incrementar el valor de la gestión operativa

La gestión operativa puede mejorarse significativamente implantando acciones y estrate-
gias encaminadas a:
%% Conseguir un aumento de la cantidad o la calidad de las actividades en relación a los

recursos (personales, tecnológicos, de infraestructuras, etc.) empleados.
%% Reducción de los costos fijos y extraordinarios para los niveles actuales de producción.
%% Alcanzar una mejor identificación de los requerimientos y de la respuesta a las exigen-
cias y expectativas de los clientes.
%% Realizar los cometidos de la organización con mayor imparcialidad.
%% Incrementar la disponibilidad de respuesta e innovación.
Con el objeto de reestructurar las organizaciones actuales con los alineamientos y precep-

tos de una gestión operativa innovadora, los directivos de las empresas deben analizar cinco
cuestiones principales:
%% Decidir qué productos y servicios ofrecer y qué pautas de actuación llevar a cabo para

comercializar y distribuir adecuadamente esos productos.
%% Diseñar las operaciones necesarias para producir esos productos o servicios con la me-
jor calidad posible.
%% Utilizar y ajustar los sistemas administrativos de su organización, e innovar en ellos,
para aumentar la calidad, flexibilidad y productividad de los sistemas.
%% Atraer colaboradores nuevos para la realización de los objetivos de la organización.
%% Definir el tipo, grado y ubicación de las innovaciones que se consideren necesarias.
Para conseguir todas estas metas es muy importante especificar la misión y los objetivos de
la organización de forma simple, clara y general. A partir de este punto, se debe delimitar
una jerarquía de finalidades y metas que sirvan para orientar y dirigir en la línea correcta
las actividades operativas hasta llegar a los parámetros de calidad deseados en los pro-
VOLVER AL ÍNDICE
06
ductos o servicios, dentro de unos márgenes adecuados de rentabilidad y productividad.
La importancia de la gestión estratégica se incrementa cuando la aparición de cambios o con-

flictos en el sector, o bien de carácter legislativo o macro económico, hacen absolutamente
necesaria la innovación para adaptarse al nuevo entorno con posibilidades de éxito.
La plataforma ISOTools facilita la implantación, mantenimiento y

automatización de la gestión operativa
Con la Plataforma Tecnológica ISOTools los diferentes elementos que componen la gestión
del rendimiento corporativo pueden ponerse en marcha de forma sencilla permitiendo a la
organización alcanzar sus objetivos estratégicos.

https://www.isotools.org/2015/03/26/que-es-la-gestion-operativa-de-una-empresa-y-como-mejo-
rarla/
Software de Integración
de Sistemas de Gestión
DESCÚBRELO
VOLVER AL ÍNDICE
07
PLAN
DE CALIDAD
Fases para la elaboración del plan de
calidad de un proyecto
La necesidad de elaborar un plan de Calidad viene establecida en la normativa ISO 9001
sobre gestión de la calidad, donde se define el concepto de plan de calidad. El plan de Calidad
es un documento a través del que se detalla cómo debe ser el proceso que garantice la
calidad de los proyectos, productos o procesos. Este plan debe dar respuesta a cuestio-
nes como qué acciones se llevarán a cabo, qué recurso serán necesarios o quienes serán los
encargados de aplicar el plan.
La importancia de diseñar un plan de calidad es tal, que ISO ha creado una norma al respecto
ISO 10005:2005 donde establece losas directrices a seguir para diseñar, revisar y aplicar un
plan de calidad.
Fases del plan de calidad

1. Identificación de la necesidad de un plan de la calidad en la organización.
El primer paso antes de comenzar a elabora cualquier plan de calidad, es determinar si

realmente necesita desarrollar un plan de calidad y por qué.
A través de estos planes se describe los procesos que debería llevar a cabo la empresa para
cumplir con los requisitos de calidad, por lo que puede ser útil para aquellas empresas
que necesiten demostrar a terceros cómo desarrollan la gestión de la calidad o para
aquellas que necesiten verificar que se cumple con los requisitos establecidos.
Los planes de calidad sirven como referente directo, por lo que, además de orientar la práctica
pueden ser un gran instrumento de evaluación.
2. Identificación de las entradas para el plan de la calidad.
VOLVER AL ÍNDICE
07
Una vez decidida la necesidad de diseñar y poner en marcha el plan de calidad, es el momento
de identificar las entradas para programar el plan, es decir, definir los requisitos que se-
rán necesarios para su elaboración, relacionados con la legislación legal, los requerimientos
de clientes, proveedores o inversores, recursos disponibles, la existencia de otros planes
relevantes o aspectos relativos a la evaluación.
3. Definir el alcance del plan de la calidad.
Es importante delimitar claramente el alcance que tendrá el plan. Con este fin se debe
definir si está enfocado a un determinado proyecto o proceso además de descomponer-
lo en acciones para analizar y describir las características del mismo.
4. Preparación del plan de la calidad.
La planificación del plan de calidad necesita de una persona encargada del proyecto, un res-
ponsable que se encargue de la coordinación y elaboración del mismo, y de un equipo
de trabajo que colabore con él.
Designar quién será esta persona y constituir el equipo de trabajo será el primer paso dentro
de esta fase.
El siguiente objetivo debe centrarse en recopilar toda la documentación necesaria para

describir el plan. Mucha de esta información estará dentro de la documentación del sistema
de calidad, por lo que sólo habrá que recuperarla.
Es conveniente consensuar cómo se va a presentar y estructurar el plan de calidad, si

se va a representar a través de una matriz o precisa estar más definido. Esto dependerá de las
características del plan, su complejidad y de las necesidades de la empresa.
Por otro lado, el plan debe tener un contenido coherente con el alcance, con las espe-
cificaciones dadas por los clientes, proveedores o inversores y con las características de la
empresa. Además, debe ser compatible con otros planes existentes.
5. Contenido del plan de la calidad.
En esta etapa se plasma sobre papel el plan de calidad que se va a desarrollar. En este
documento deben reflejarse ciertos datos necesarios para el desarrollo posterior del
plan. Los contenidos dependerán de las características del plan y de las necesidades de la
empresa. Sin embargo, a modo general, algunos de los elementos que se deberían expresar
en este documento son:
%% El alcance del plan.

%% Los elementos de entrada.
%% Los objetivos que se pretenden con el plan.
%% La responsabilidad de la dirección.
%% Cómo se llevará a cabo el control de los documentos, datos y del registro.
%% La descripción de los recursos necesarios.
%% Qué requisitos son necesarios.
%% Cómo se llevará a cabo la comunicación tanto interna como externa.
%% Aspectos relevantes sobre el diseño y desarrollo del plan, relativos al control de cambios
o su implementación.
VOLVER AL ÍNDICE
07
%% Especificar los requisitos y métodos que se utilizarán para el control y preservación el

producto.
%% Describir los procesos de control, seguimiento y medición que se pondrán en marcha.
%% Aclarar si se llevará a cabo auditorías y describir cómo serán y cuándo tendrán lugar.
6. Revisión, aceptación e implementación del plan de la calidad.
La última fase en la elaboración del plan de calidad, será la revisión del mismo y su apro-
bación final. Tras esta etapa, el plan podrá comenzar a implementarse en la organización.
Ventajas del Software ISO

La aplicación en tu empresa de Sistemas de Gestión de Calidad es más fácil y eficiente
con herramientas como el Software ISO. Este software contribuye, además, a mejorar los
procesos de comunicación, ahorrar tiempos y costos y a mejorar de manera continua.

https://www.isotools.org/2015/04/16/fases-para-la-elaboracion-del-plan-de-calidad-de-un-proyecto/
Ada
la n ptado
u
900 eva ISOa
1:20
15
DESCÚBRELO
VOLVER AL ÍNDICE
10 pasos para realizar
la transición de ISO 9001:2008
a la nueva versión ISO 9001:2015
Descargue este e-book gratuito
DESCARGAR AHORA
08
MANUAL
DE CALIDAD
Características que debe cumplir todo
manual de calidad
La implantación de un Sistema de Gestión de Calidad basado en la norma ISO 9001:2008,
para garantizar la calidad de los productos o servicios y la mejora continua de los
procesos, requiere de un manual de calidad que describa el modo en el que la organización
va a adaptarse para cumplir con los requisitos que establece la norma.
Para llevar a cabo un eficaz sistema de gestión, las empresas necesitan reflexionar y des-
cribir cómo va a ser ese proceso, en qué políticas se van a basar, cuál va a ser su alcance,
qué procedimientos se van a lleva a cabo o qué medidas de control se van a establecer. Todas
estas preguntas encuentran su respuesta en el manual de calidad, un documento obli-
gatorio, que servirá de guía para la implementación, mantenimiento y mejora del Sistema de
Gestión de Calidad.
La elaboración de este documento empresarial es un requisito básico para la obtención

del certificado ISO 9001:2008. Sin embargo, no es éste su único valor. Toda empresa com-
prometida realmente con la calidad, necesita demostrar su responsabilidad por medio
de este archivo, a través del que se documenta todo el Sistema de Gestión de Calidad. En
este manual se expresan tanto los requerimientos internos, los del cliente como los requisitos
necesarios para la certificación, si se desea obtener.
A la hora de elaborar este documento, es necesario tener en cuenta algunas consideraciones:
%% Es conveniente elaborar un único manual, aunque este puede estar estructurado por
bloques en función del alcance que tenga.
%% La estructura de este documento es flexible, pese a que exista unos contenidos mí-
nimos. Cada empresa debe determinar qué contenido va a incluir en este documento, en
función de sus necesidades y expectativas.
%% Se debe detallar con claridad toda la información de la empresa, además de descri-
bir los procesos incluidos y las interacciones entre ellos.
VOLVER AL ÍNDICE
08
Que elementos deben reflejarse en el manual de calidad

LEE ESTE
ARTÍCULO Todo manual de calidad ha de reflejar unos elementos mínimos que ayuden a visualizar los
EN EL BLOG procedimientos que se van a llevar a cabo para el control de la calidad del producto o
https://www.isotools. servicio ofertado por la compañía.
org/2015/05/18/ca-
racteristicas-que-de- Acorde a lo establecido en el apartado 4.2.2 de la norma ISO 9001, sobre el Manual de la Cali-
be-cumplir-todo-ma-
nual-de-calidad/ dad, este documento debe incluir tres elementos mínimos, que son:
%% El alcance del sistema de gestión.

%% Los procedimientos establecidos para el sistema
%% Una descripción de la interacción entre los procesos.
No obstante, un eficaz manual de la calidad debería contener, además, otros datos que com-
pleten la información necesaria, como son:
Objetivo y alcance
A través de este apartado se deben reflejar las metas que la compañía pretende con el es-
tablecimiento del sistema de gestión de calidad que se ha establecido y con el desarrollo del
manual de calidad.
Por otro lado, las organizaciones deben meditar si el sistema de Gestión de Calidad se va a
implementar en solo determinados procesos para ir introduciéndolo de manera gradual o
si alcanzará a todos los departamentos y procesos de la organización y concretar a las
personas que incumbirá.
Además del alcance, en el documento se deben indicar también las posibles exclusiones
junto a su debida justificación.
Responsables y funciones
Siempre es interesante incluir este apartado aun cuando el tamaño de tu empresa es reduci-
do, para dejar claro las responsabilidades y funciones de los principales responsables
del sistema de gestión de calidad.
Política de calidad
A través de este apartado la empresa manifiesta su compromiso con la calidad y define,

de manera global, los principios en los que se fundamentarán sus métodos y estrategias para
alcanzar los objetivos de calidad.
Descripción del Sistema de gestión de Calidad
Es el apartado clave de todo el manual. En esta sección de deben describir con todo detalle
los procesos que se llevan a cabo, las interacciones que se producen entre los procesos, los
recursos necesarios para cada una de las tareas que se describen y los métodos e instrumen-
tos de medición y control que se utilizarán para analizar y valorar el desarrollo de los procesos
y poder introducir las mejoras necesarias.
Este manual debe ser una guía de uso, un documento instructivo, que permita a cualquier
persona (directivos, trabajadores, clientes, inversores, socios o auditores) conocer la forma de
proceder y observar las medidas que se llevan a cabo para asegurar la calidad en los procesos.
VOLVER AL ÍNDICE
09
GESTIÓN
DEL RIESGO
ISO 9001:2015, COSO como
metodología de gestión de riesgo
En la nueva norma ISO 9001:2015 la innovación que más está llamando la atención a los usua-
rios del Sistema de Gestión de Calidad es la gestión de riesgos.
Numerosos profesionales se preparan para hacer frente a este nuevo proyecto de norma y
puede ser que estén revisando estándares para la gestión de cualquier riesgo. En este artículo
hablaremos de uno de estos estándares de riesgo, este es COSO.
Podemos desglosar COSO como el Committee os Sponsoring Organization og Treadway

Commission, y se crea en 1985 como consecuencia de las malas prácticas empresariales y los
años anteriores de crisis. Lo que se pretendía con esta iniciática era llevar a cabo un liderazgo
intelectual para la gestión de riesgo empresarial, la disuasión del fraude y el control interno.
En el año 1992, se publica el denominado COSO I con el fin de ayudar a las organizaciones
a evaluar y mejorar sus sistemas de control interno. Dicho informe definió al control
interno como un proceso generado por la dirección y demás trabajadores de una entidad y
diseñado para proporcionar un grado de seguridad adecuado para la consecución de objeti-
vos respecto a:
%% Confiabilidad de cualquier información financiera de la organización.

%% Cumplimiento de la normativa aplicable.
%% Eficacia y eficiencia en operaciones.
%% Dicho estándar se disponía dividido en 5 capítulos, siendo éstos:
%% Ambiente de control.
%% Evaluación de Riesgos.
VOLVER AL ÍNDICE
09
%% Actividades de control.
%% Información y comunicación.
%% Supervisión.
En 2004, se publica COSO II o también, Enterprise Risk Management – Integrated Framework

(ERM). Nosotros lo conocemos como Marco Integrado de Riesgos, el que extendió el con-
cepto de control interno de COSO I a la gestión de riesgos en la que se implica a la totalidad
de la plantilla de la entidad.
Pasamos a tener de 5 componentes en COSO I, a 8 en COSO II, siendo éstos:
Ambiente de control
Trata de los valores y filosofía de la entidad, este aspecto influye en la visión de los empleados
de los riesgos y sus actividades de control. Es la base de sobre la que posicionan al resto de
elementos, e influye fundamentalmente en los objetivos y en la estrategia.
Establecimiento de objetivos
Se lleva a cabo el establecimiento de objetivos tanto estratégicos como operativos, de in-

formación y de cumplimiento. Tiene que establecerse antes de la identificación de posibles
acontecimientos que dificulten su consecución. Tienen que alinearse con la estrategia de la
empresa.
Identificación de eventos
Nos interesa todo evento que pueda tener impacto sobre el cumplimiento de objetivos, pu-
diendo ser tanto negativos como positivos.
Evaluación de Riesgos
Se basa en la identificación y análisis de los riesgos fundamentales en la consecución de

objetivos. Es necesario para poder determinar el efecto que podrían tener, de materializarse,
en la consecución de objetivos. Se llevaran a cabo técnicas cuantitativas y cualitativas. La eva-
luación del riesgo primero se centrará en el riesgo inherente y, a continuación de éste, en el
riesgo residual.
Respuesta a los Riesgos
La respuesta al riesgo será evaluada en base a cuatro clases: evitar, reducir, compartir y acep-
tar. En el momento que se tenga la respuesta al riesgo más correcta para una situación en
cuestión, se efectuará otra evaluación del riesgo residual.
Actividades de control
Se trata de políticas y procedimientos que aseguran la adecuada ejecución de acciones

contra riesgos. Dichas actividades serán generadas en toda la entidad, a todos los niveles y
funciones.
Información y comunicación
La información tiene que estar disponible para la totalidad de niveles de la empresa, para
no cometer errores en la identificación, evaluación al riesgo y no comprometa la consecución
de objetivos.
VOLVER AL ÍNDICE
09
Supervisión
La supervisión consiste en el seguimiento de la metodología con el fin de garantizar que

funciona adecuadamente y que está ofreciendo datos de calidad.
COSO II es una metodología capaz de abordar la gestión de riesgos en las empresas desde
un enfoque integrador y que signifique una gran oportunidad para crear valor para sus partes
interesadas o stakeholders.
COSO II define la gestión de riesgos corporativos de la siguiente manera: “La gestión de ries-
gos corporativos es un proceso efectuado por el consejo de administración de una entidad, su
dirección y restante personal, aplicable a la definición de estrategias en toda la organización
y diseñado para identificar eventos potenciales que puedan perjudicar a ésta, gestionar sus
riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de
los objetivos”.
La definición se caracteriza por:
%% Proporciona seguridad.
%% Ser un proceso continuo.
%% Se orienta hacia la consecución de unos objetivos.
%% Estar diseñada para identificar peligros potenciales y gestionar los riesgos.
%% Se traslada a todos los niveles de la organización.
En este ámbito, el modelo clasifica los objetivos de toda entidad en cuatro:
Objetivos estratégicos
Son los objetivos generados desde el mayor nivel de la empresa y están conectados con la
misión y visión de la misma.
Objetivos operativos
Los objetivos operativos son aquellos relacionados con la eficacia y eficiencia de las operacio-
nes de la entidad, sin olvidar los relativos al desempeño y la rentabilidad.
Objetivos relativos a la información suministrada a terceros
Son objetivos que perjudican a la efectividad del reporting de información suministrada.
Objetivos relativos al cumplimiento regulatorio
Incluye cualquier objetivo relacionado con el cumplimiento, por parte de la empresa, de todos
los requisitos legales, reglamentarios y normativos y aplicables.
COSO II interrelaciona cada uno de los objetivos antes descritos con los ocho elementos que
lo llevan a cabo y que más arriba definimos.
En último lugar es necesario nombrar los beneficios que aporta la aplicación de este modelo,
cabe destacar:
%% Ayuda a las exigencias normativas en la gestión y control de riesgos.

%% Permite una respuesta más rápida y mejor a los cambios del entorno, a los mercados y a
las partes interesadas.
VOLVER AL ÍNDICE
09
%% Permite obtener un conocimiento íntegro de los riesgos de la organización.

%% Mejora la reputación de la organización.
%% Aumenta la probabilidad de éxito en la implantación de la estrategia.
%% Proporciona un notable aumento de la credibilidad y confianza entre los mercados y gru-
pos de interés.
%% Hace de la toma de decisiones un proceso más seguro.
%% Asigna mejor y más eficientemente los recursos para la gestión de riesgos y oportunidades.
%% Ofrece una gestión eficaz del control sobre los riesgos.
%% Identificación proactiva y aprovechamiento de oportunidades.
%% Permite prever mejor los impactos de los riesgos que afectan a una organización.
Como hemos podido observar, COSO II se orienta a la gestión del riesgo, materia que pre-
ocupa en el mundo de la calidad. La norma ISO9001:2015 no nos impondrá a usar ninguna
metodología para este tema, por lo que evaluaremos esta opción entre otras y adoptaremos
la que más nos convenga.
Sistema de Gestión de la Calidad

Tal vez sea una favorable alternativa la automatización del Sistema de Gestión de la Calidad
basado en la norma ISO 9001. Para llevarlo a cabo hay mecanismos como el Software ISO-
Tools que facilitan la implementación, mantenimiento y control de todo el sistema, incluyendo
así la gestión de riesgos.
Para saber más sobre los Sistemas de Gestión de la Calidad puedes visitar: https://www.iso-
tools.org/normas/calidad/

https://www.isotools.org/2015/01/12/iso-90012015-coso-como-metodologia-gestion-riesgo/
DESCÚBRELO
VOLVER AL ÍNDICE
10
GESTIÓN
DEL RIESGO
¿Qué contenidos debe tener un
manual de calidad?
Uno de las principales objetivos de la revisión de la familia de normas ISO 9001 fue la ade-
cuación de la gran cantidad de documentación requerida a los resultados y objetivos
de los distintos procesos de cada organización. En definitiva, lo que se pretendía era crear una
mayor flexibilidad para la elaboración del proceso documental.
El documento más importante del Sistema de Gestión de la Calidad es el Manual de

Calidad, el cual constituye el fundamento principal de todo el sistema. En la norma ISO
9001:2008, y en concreto en el apartado 4.2.2, se especifican los contenidos mínimos que
debe contener dicho manual:
%% Alcance del Sistema de Gestión de la Calidad, incluyendo detalles y justificación de

cualquier exclusión.
%% Procedimientos documentados establecidos en el Sistema de Gestión de Calidad, o
bien referencias de los mismos.
%% Descripción de la interacción de los procesos del Sistema de Gestión de Calidad.
¿Qué es para qué sirve un Manual de Calidad?

Básicamente, se trata de un documento corporativo que expone los aspectos principales
del sistema de calidad implantado por la empresa. Si así lo desea la organización, puede
adoptar la forma de documento público que se puede presentar a clientes reales o poten-
ciales, proveedores y otros agentes interesados.
Sus finalidades principales son comunicar los logros y objetivos en el ámbito de la cali-

dad de la organización para que se conozcan sus intenciones y compartir conocimientos
y experiencias en el ámbito tanto interno como externo.
Por otro lado, el manual de calidad permite a la empresa realizar un ejercicio de transpa-
rencia, conformidad e implicación con la consecución de altos niveles de calidad y mejora
continua de acuerdo a una serie de parámetros previamente establecidos.
VOLVER AL ÍNDICE
10
Contenidos recomendables en el Manual de Calidad

LEE ESTE
ARTÍCULO Como hemos comentado, la norma establece una serie de contenidos mínimos. Sin embar-
EN EL BLOG go, dado el carácter público de este manual es recomendable completarlo y ampliarlo
https://www.isotools. con el fin de que puedan darse a conocer, de la mejor forma posible, aspectos interesantes
org/2015/04/02/ relativos a la visión, misión y valores de la empresa con respecto a la calidad.
que-contenidos-de-
be-tener-un-ma-
nual-de-la-calidad/ A continuación presentamos un esquema que puede tomarse como referencia de la estruc-
tura de los contenidos de un Manual de Calidad:
%% Título, alcance y campo de aplicación.

%% Introducción sobre aspectos básicos, valores y filosofía de la organización y del propio
manual.
%% Política y objetivos de calidad.
%% Mapa de procesos de la organización.
%% Descripción de la estructura de la organización, responsabilidades y autoridades.
%% Enumeración y definición de los distintos elementos del sistema de calidad.
%% Adicionalmente, también se puede incluir un apéndice.
Formato y estructura
Este aspecto es bastante flexible y depende en gran medida del tamaño y complejidad de
cada empresa y de los fines del documento, ya que algunas organizaciones deciden ampliar
su utilidad más allá de documentar sus sistemas de gestión de la calidad.
Cada organización, por lo tanto, puede decidir libremente el alcance y ambición de su

manual, lo que lógicamente influirá en su estructura, aspectos recogidos y extensión.
Dado que el Manual de Calidad es un documento que constituye la base de todo sis-
tema de calidad, es importante que vaya un paso por delante y que no se límite únicamente
satisfacer los requisitos de la norma, incluyendo aspectos relativos a las necesidades de los
clientes y de la propia organización.
La Plataforma ISOTools facilita la automatización de la norma ISO

9001 en Sistemas de Gestión de la Calidad
La Plataforma Tecnológica ISOTools facilita la implementación, automatización y man-
tenimiento de los Sistemas de la Calidad, ofreciendo así mismo soluciones eficaces a la
elaboración y gestión de los procesos documentales, entre los que se incluye el Manual de
Calidad.
ISOTools está diseñado para hacer más efectivo el manejo de la documentación, mejorar
la comunicación y reducir tiempos y costos. De esta forma se consigue un impacto real sobre
la eficiencia, los costos y los resultados de la organización.
Este software permite optimizar su Sistema de Gestión de Calidad basado en la ISO
9001 como camino hacia la excelencia e integrar la norma ISO9001 con otras normas, como
OHSAS 18001 e ISO 14001, de una forma sencilla gracias a su estructura modular. Puede am-
pliar información en el enlace: https://www.isotools.org/normas/calidad/
VOLVER AL ÍNDICE
11
ANÁLISIS DEL
CONTEXTO
ISO 9001:2015 Análisis del contexto
interno y externo del SGC
El estándar ISO 9001:2015 se centra especialmente en el análisis del contexto, tanto interno
como externo.
Concretamente, si echamos un vistazo a la ISO/DIS 9001 vemos cómo la norma muestra la

necesidad de determinar las cuestiones internas y externas convenientes al propósito de la
empresa y que pueden afectar a su capacidad para alcanzar los resultados previstos de su Sis-
tema de Gestión de la Calidad.
Asimismo, hace referencia a qué elementos pueden formar parte del contexto de la organi-
zación tanto interno como externo.
El conocimiento del contexto externo puede verse facilitado al considerar cuestiones que
surgen del entorno legal, tecnológico, competitivo, cultural, social, de mercado y económico.
Por otro lado, cuando nos referimos al conocimiento del contexto interno puede verse fa-
cilitado al tener en cuenta cuestiones relacionadas a los valores, conocimientos y desempeño
de la empresa.
Análisis externo
Además de los factores que ya hemos mencionado, que aparecen en el ISO/DIS 9001, pode-
mos tener en cuenta otros como:
%% El progreso económico del país, desarrollo, relaciones internacionales, crecimiento, cam-

bios demográficos y culturales…
%% Principios tecnológicos como avances, descubrimientos…
%% Factores relacionados con los grupos objetivos de la empresa en cuestión como cambios
en las necesidades de los usuarios, cambios en las percepciones o expectativas de los
usuarios, cambios derivados de demandas ciudadanas…
VOLVER AL ÍNDICE
11
%% Aspectos y circunstancias inter-institucionales: orientaciones de modernización de la ges-

tión pública, interacción con el ministerio…
Para controlar y valorar estos factores podemos utilizar herramientas como el POAM (Perfil
de Oportunidades y Amenazas del Medio). Hay que recordar que hasta el momento, ISO 9001
no exige ningún tipo de herramienta. Este mecanismo permite identificar y valorar las oportu-
nidades y amenazas poderosas de la empresa.
Según su impacto o importancia, un grupo estratégico podrá determinar si el factor en cues-

tión supone una oportunidad o amenaza para la organización.
Se trata de una base que, para definirla, se deben seguir los siguientes pasos:
%% Determinar aspectos que puedan ser posibles amenazas u oportunidades de la empresa.

%% Reunir, por factores, dichos elementos.
%% Clasificar el factor como oportunidad o como amenaza.
%% Priorizar y calificar las oportunidades y las amenazas.
%% Considerar el impacto que tiene la oportunidad y/o la amenaza en la empresa y su activi-
dad.
%% Reconocer amenazas y oportunidades de acorde a su impacto de negocio.
Además de la matriz POAM podemos utilizar lo que se denomina análisis competitivo. Este
análisis es un proceso que consiste en relacionar la empresa con su entorno. Es de gran utili-
dad porque sirve para identificar fortalezas y debilidades de la empresa, al igual que opor-
tunidades y amenazas de su mercado objetivo. Para ello debemos conocer:
%% El éxito y la naturaleza de los cambios que pueda tener nuestra competencia.

%% La respuesta que pueda dar la competencia ante nuevos movimientos estratégicos de
otras empresas.
%% La adaptación y reacción de nuestros competidores ante posibles cambios en su entorno.
Análisis interno
El contexto interno, factor a incluir en el Sistema de Gestión de la Calidad de ISO 9001 ver-
sión 2015, de una empresa está condicionado por unos factores esenciales, algunos expues-
tos más arriba, y que condicionan el desempeño de la misma.
Entre estos factores podemos destacar:
%% Procesos, funciones.
%% Tecnología disponible.
%% Recursos financieros.
%% Leyes orgánicas.
%% Recursos humanos.
%% Cultura organizacional, compromisos, valores.
%% Áreas relevantes.
%% Estructura formal.
%% Redes de comunicación, tanto formales como informales.
VOLVER AL ÍNDICE
Responsable de Calidad:
¿Estás preparado para
el futuro?
DESCARGAR AHORA
11
Las organizaciones, por un lado, se sirven de auditorías para evaluar el desempeño de la

organización comparado con el de la competencia. Normalmente, el análisis interno de la
empresa complementa y valida dicha evaluación con un estudio detallado del entorno y de su
competencia.
De otro lado, existen herramientas como el Perfil de Capacidad Interna (PCI) que se utiliza
para analizar las fortalezas y debilidades en relación con las oportunidades y amenazas que le
presenta el medio externo.
El Perfil de Capacidad Interna o PCI aborda cinco categorías:
%% Capacidad directiva.
%% Capacidad competitiva.
%% Capacidad financiera.
%% Capacidad tecnológica.
%% Capacidad de talento humano.
La elaboración de un PCI pasa por una serie de pasos, estos son:
Recoger toda la información sobre todas las capacidades objeto de análisis
Es importante conseguir y procesar información sobre cada una de las capacidades que van
a formar parte del PCI.
Formar los grupos estratégicos.
Los grupos estratégicos podemos formarlos de diferentes modos:
%% Según la estructura organizacional.

%% Por grupos estratégicos.
%% Participación total.
En relación a este último tipo se procede a desarrollar una encuesta general, haciendo partí-
cipe a todos los miembros de la empresa. Los resultados de estas encuestas se analizan en
grupos por áreas funcionales y se integran en un diagnóstico corporativo.
Cuanto más amplia es la participación, mayor es la integración y el compromiso que existen

con el plan estratégico.
Identificar fortalezas y debilidades
Una de las tareas es que será imprescindible identificar todas las fortalezas y debilidades exis-
tentes en la organización. Una recomendación es desarrollar una tormenta de ideas, completa
y exhaustiva, en la que formen parte todos los grupos estratégicos. Debido a que los compo-
nentes que participan en el diagnóstico estratégico conocen sobradamente a la empresa,
con este ejercicio de tormenta de ideas las fortalezas y debilidades identificadas serán las más
correctas.
Aglutinar las debilidades y fortalezas identificadas en directivas, financieras,

competitivas, tecnológicas o de talento humano
Calificar y priorizar las fortalezas y debilidades
VOLVER AL ÍNDICE
11
Tras la lluvia de ideas, se deben seleccionar los factores claves que representen las fortalezas
y debilidades de la organización.
Normalmente se realiza un análisis de Pareto que nos permite identificar el 20% de los fac-
tores que explican el 80% de fortalezas y debilidades de la entidad.
Si optamos por la encuesta general de la que hablábamos anteriormente, la priorización la

podemos realizar mediante un análisis equilibrado de los resultados.
La calificación será realizada usando la escala alta, media y baja. Si se realiza en grupo se de-
berá llegar a un consenso para obtener la calificación definitiva.
Considerar y calificar el impacto de las mismas en el negocio
Interpretar la matriz identificando sus fortalezas y debilidades según el

impacto en la empresa
Estos son algunos ejemplos que las empresas pueden emplear para realizar el análisis del
contexto y así responder a uno de los requisitos de la futura ISO 9001:2015, aunque existen
otros. La organización es la que en última instancia tiene que decidir que mecanismo utilizar.

Para realizar estas matrices existen herramientas que facilitan el trabajo y la interpretación de
las mismas. Un ejemplo es el Software ISOTools, que cuenta con una aplicación específica
para estas cuestiones y además permite automatizar el Sistema de Gestión de la Calidad
ISO 9001, obteniendo ventajas y logrando resultados excelentes.

https://www.isotools.org/2015/02/10/iso-90012015-analisis-contexto-interno-y-externo-sgc/
VOLVER AL ÍNDICE
12
GESTIÓN
DEL RIESGO
ISO 9001:2015, metodología COSO
III para la gestión de riesgos
La nueva norma ISO 9001:2015 habla especialmente acerca de la gestión de riesgos, que es
una de las novedades más destacadas en los círculos profesionales de la calidad.
En artículos anteriores hemos comentado de una de los mecanismos o metodologías que

podremos emplear para llevar a cabo esta gestión, haciendo referencia a COSO I y COSO II.
La tercera versión, COSO III, se publicó en el año 2013. Este renovado Marco Integrado de
Gestión de Riesgos incluye novedades como estas:
%% Aumenta la confianza en cuanto a la eliminación de riesgos y consecución de objetivos.

%% Mejora la agilidad de los Sistemas de Gestión de Riesgos en su adaptación con los en-
tornos.
%% Aporta mayor claridad referente a la comunicación y la información.
Dicho Marco Integrado COSO III, proporciona mayor cobertura de riesgos en las entidades.
Las modificaciones más significativas son las que cuenta, desde COSO II son, estructuradas
por componentes:
Entorno de control
Nos encontramos con cinco principios que detallan: la importancia de la integridad y valores
éticos, la importancia del modo de operar de la administración y su filosofía, la relevancia de
contar con una estructura organizativa, una adecuada asignación de responsabilidades y el
valor de las políticas de recursos humanos.
%% Se aclaran las relaciones entre los elementos que componen el control interno para subra-
yar la relevancia del entorno de control.
VOLVER AL ÍNDICE
12
%% Se incrementa la información sobre el gobierno corporativo de una entidad, apreciando

diferencias en estructuras, requisitos, sectores y tipos de entidades.
%% Se refuerza la supervisión del riesgo, así como la relación entre el riesgo y su respuesta.
Evaluación de riesgos
%% Se amplía la categoría de objetivos de reporte.
%% Se señala que la evaluación de riesgos incluye: identificación, análisis y respuesta a los riesgos.
%% Se incluyen conceptos como velocidad y persistencia de riesgos, como criterios de evaluación.
%% Se tiene en cuenta la tolerancia al riesgo en la evaluación de niveles aceptables de riesgo.
%% Se considera el tipo de riesgo conectado a las fusiones, adquisiciones y externalizaciones.
%% Se amplía la consideración de riesgo al fraude.
Actividades de control
%% Se señala que las actividades de control vienen determinadas por procedimientos y polí-
ticas.
%% Se tiene en cuenta el rápido cambio y la evolución de la tecnología.
%% Se acentúa la diferenciación entre controles automáticos y controles generales de tecnología.
Información y comunicación
%% Se puntualiza la importancia de la calidad de la información dentro del sistema de control
interno.
%% Se penetra en la necesidad de información y comunicación entre la entidad y terceras
partes.
%% Se exalta el impacto de los requisitos legales sobre seguridad y protección de la informa-
ción.
%% Se muestra el impacto de la tecnología y otros medios de comunicación en la rapidez y
calidad del flujo de información.
Actividades de monitoreo y supervisión

%% Se hace más clara la terminología, a través de la definición de dos categorías de actividades
de monitoreo: evaluaciones independientes y evaluaciones continuas.
%% Se ahonda en la relevancia del uso de proveedores de servicios externos y la tecnología.
La administración de riesgos en la versión anterior era uno de los elementos básicos del con-
trol interno con el que podíamos alcanzar una eficacia y eficiencia de las operaciones, el cum-
plimiento de las leyes, normas y/o reglamentos y la confiabilidad de los reportes. Esto es por-
que el sistema de Gestión de Riesgos no es independiente del sistema de control interno, ya
que se encuentran integrados. Esto se podría decir también en sentido inverso.
COSO III se publica 9 años después de COSO II, una versión actualizada y mejorada. Esta
revisión de la metodología admite cualquier cambio y mejora que se introdujeron en COSO
II, salvo que los elementos quedan reducidos a cinco, por lo que dejan de hacer referencia
explícita a:
VOLVER AL ÍNDICE
12
%% Establecimiento de objetivos.
%% Identificación de eventos.
%% Respuesta a los riesgos.
Sin embargo, el elemento correspondiente a evaluación de riesgos, sí admite de forma in-

discutible que la dicha evaluación tendrá que incluir:
%% Identificación de cada uno de los riesgos.

%% Análisis de riesgos.
%% Respuesta precisa a los riesgos.
Asimismo, como elemento novedoso, se da protagonismo a conceptos como puede ser la

tolerancia al riesgo en la evaluación de niveles aceptables de riesgo, y se incluyen otros
como la velocidad y persistencia de los riesgos, siendo motivos para evaluar la criticidad de
los mismos.
Por otra parte, cuando se hablan de mejoras de este Marco actualizado, se manifiesta que
se encuentra acompañado de dos nuevos documentos: el relativo al control interno de la
información financiera externa (ICEFR) y los mecanismos de evaluación a utilizar para poder
valorar la eficacia del control interno.
Esto último parece olvidar que en 2006 COSO publicó el documento “Control Interno para la
información financiera para pequeñas y medianas empresas cotizadas”, así como en 2009, la
“Guía para la Supervisión de Sistemas de Control Interno”.
Las empresas que se encuentren trabajando con COSO tienen que saber que esta versión de
la metodología de gestión de riesgos es la vigente en la actualidad, quedando derogadas
las versiones anteriores, del mismo modo que las entidades al implementar ISO 9001:2015
quieran utilizar este mecanismo para aplicar la gestión de riesgos que exige la norma.

Los Sistemas de Gestión de la Calidad suelen certificarse bajo el estándar ISO 9001, para
conocer otras normas relativas a la calidad, puedes visitar: https://www.isotools.org/normas/
calidad/

https://www.isotools.org/2015/01/19/iso-90012015-metodologia-coso-iii-gestion-riesgos/
VOLVER AL ÍNDICE
13
AUDITORÍAS Cómo, cuándo y por qué realizar una

auditoría de calidad
La eficaz implantación de un Sistema de Gestión de Calidad en una organización requiere
de técnicas y sistemas de control, que aseguren el cumplimiento de los requisitos necesarios
para garantizar la calidad de los servicios o productos que se elaboran.
La valoración de los Sistemas de Gestión de la Calidad suelen efectuarse a través de tareas ru-
tinarias. Estas actividades se llevan a cabo de manera continua con el propósito de controlar,
medir y valorar el desarrollo de los procesos empresariales.
Sin embargo, en ocasiones es conveniente realizar una evaluación más específica, para certi-
ficar que las acciones y los resultados obtenidos a través de los procesos de calidad son
los esperados, comprobar que el sistema de gestión se ejecuta según lo planificado y asegurar
si el sistema es realmente eficaz para alcanzar los objetivos de calidad definidos. Este análisis
y valoración se realiza a través de una auditoría de calidad.
Tipos de auditorías
Las auditorias de calidad deben ser comprendidas como una herramienta para la mejora
de los Sistemas de Gestión de Calidad. A través de este procedimiento, se analiza si las empre-
sas cumplen realmente con lo establecido en la norma ISO 9001 e identifica aquellos puntos
o aspectos que deben ser mejorados para alcanzar los fines deseados.
Para llevar a cabo esta valoración, se toman como referencia diferentes documentos, como
los manuales de calidad, procedimientos u otros manuales y planes que puedan resultar de
interés, y se valoran conforme a una serie de criterios, que determinarán la conformidad
o no conformidad de la auditoría.
Las auditorias se pueden clasificar en base a diferentes criterios, como la calidad de los pro-
cesos o del producto. Sin embargo, lo más común es diferenciar las auditorías en función de
si la persona encargada de este proceso pertenece o no a la empresa:
VOLVER AL ÍNDICE
13
%% Auditoria interna. En este tipo de auditoría, es la misma empresa la encargada de revisar

su sistema para verificar si cumplen, o no, con lo establecido en los estándares ISO. Los
responsables de llevar a cabo las tareas de recopilación y análisis de la información son,
por tanto, trabajadores pertenecientes a la empresa. Para garantizar la objetividad de
este proceso, es conveniente que la persona responsable de la auditoria no tenga relación
directa con las actividades auditadas.
%% Auditoria externa, en la que la evaluación la lleva a cabo una persona ajena a la em-
presa. Por norma general la realiza una empresa contratada bien por la misma empresa,
para que les ayude a detectar posibles déficits, desviaciones o riesgos que puedan ame-
nazar la eficacia del sistema de calidad.
Cómo y cuándo llevar a cabo una auditoría

Con independencia de si el auditor es miembro interno o no de la organización, ésta persona
debe tener la formación necesaria y disponer de los conocimientos mínimos para po-
der llevar a cabo la auditoría de manera eficaz, además de contar con los recursos y el apoyo
necesario por parte de la organización.
Por otro lado, para llevar a cabo esta evaluación, se debe seguir una serie de pasos que
garanticen su correcto desarrollo. Así, lo primero será determinar el alcance de la audi-
toría y establecer los métodos que se llevaran a cabo y los criterios que se utilizarán para el
desarrollo de este análisis.
Respecto a cuándo es más conveniente emprender este procedimiento, se pueden identificar

cuatro momentos clave:
%% En el momento que esté programada. En los planes de calidad y manuales, se debe es-
tablecer en qué momento concreto se llevarán a cabo las auditorías. Si se realizarán cada
semestre, cada año, cada dos años, etc.
%% Siempre que sea solicitado y se considere necesario. En ocasiones son los clientes o
los inversores quienes demandan este análisis.
%% Siempre que se produzcan cambios importantes en el Sistema de Gestión de la Calidad.
%% Cuando se detecten fallos y problemas de calidad y sea necesario valorar el origen de
los mismos.
Por qué solicitar una auditoria. Ventajas

Con independencia del tipo de auditoria que se lleve a cabo, este proceso puede ser deman-
dado bien por la propia compañía que desee conocer la eficacia de su Sistema de Gestión
de la Calidad, o por otros agentes, como inversores o clientes. Pero ¿para qué solicitar
una auditoria? ¿Qué ventas tiene?
%% Asegura que se cumplen con todos los requisitos legales y con las condiciones esta-
blecidas en la normativa internacional ISO 9001 sobre Sistemas de Gestión de la Calidad.
%% Analiza si existe cualquier tipo de deficiencia u omisión en la descripción de los pro-
cesos que se llevan a cabo.
%% Identifica si las tareas se ejecutan conforme se redacta en el proceso, o si, por el con-
trario, no se tienen en cuenta las instrucciones dadas.
%% Valora la actualización de los documentos, detectando aquellos que no han sido modi-
ficados y, por tanto, no reflejan la nueva forma de proceder.
VOLVER AL ÍNDICE
13
%% Contribuye a la mejora continua de los procesos, al detectar los errores cometidos y

poder introducir las rectificaciones y mejoras oportunas.
%% Permite demostrar a terceros el cumplimiento y la eficacia del Sistema de Gestión
de Calidad.
%% Mejora la imagen de la compañía frente a clientes, proveedores e inversores o accionis-
tas.
%% Favorece la obtención del certificado de calidad.
ISOTools, el software que te ayuda a superar las auditorias

ISOTools es un software diseñado para optimizar los Sistemas de Gestión de la Calidad,
tanto aquellos basados en los estándares como ISO 9001 como aquellos otros basados en
otros modelos de excelencia.
Gracias a las funciones de ISOTools, el seguimiento y control de los requisitos necesarios para
superar las auditorias es más sencillo y fácil. Además, ISOTools facilita otra serie de
ventajas, como la mejora de la comunicación interna o una mayor rentabilidad.

https://www.isotools.org/2015/05/19/como-cuando-y-por-que-realizar-una-auditoria-de-calidad/
Ada
la n ptado
u
900 eva ISOa
1:20
15
DESCÚBRELO
VOLVER AL ÍNDICE
14
INDICADORES Principales indicadores de evaluación

del desempeño
El Balanced Scorecard: una herramienta metodológica para evaluar
el desempeño
Una de las principales herramientas metodológicas con que cuentan las empresas para
traducir la estrategia en un conjunto de medidas, ligadas a objetivos concretos y con vi-
sión de conjunto, que ayudan a monitorizar el desempeño de una organización es el Balanced
Scorecard (BSC).
Además de favorecer la administración de la compañía, si se implementa de la forma

adecuada y siguiendo las etapas correctas con el BSC es posible conseguir otra serie de
ventajas como:
%% Lograr que los empleados se alineen con la visión de la empresa.

%% Comunicar de forma efectiva a todo el personal los objetivos corporativos y la forma
de cumplirlos.
%% Redefinir la estrategia en base a resultados.
%% Traducción de la visión y estrategias en acciones concretas.
%% Favorecer la creación de valor futuro.
%% Mejorar la capacidad de análisis y la introducción de unos indicadores cuantificables
y útiles.
%% Mejorar el desempeño laboral, la rentabilidad y la productividad individual y colectiva.
¿Qué es el desempeño y cómo se mide?

Definido de una forma muy general, el desempeño es la forma en que lo trabajadores
realizan su trabajo. Para evaluarlo se utilizan una serie de indicadores (indicadores de
desempeño) que sirven para analizar factores como: rendimiento, productividad, habilidades
organizativas, capacidad de liderazgo y de trabajo en equipo, etc.
VOLVER AL ÍNDICE
14
Por lo tanto,un indicador de desempeño es la expresión cuantitativa construida a partir de una

serie de variables objetivas y medibles que proporcionan un medio sencillo y fiable para medir
logros, reflejar los cambios vinculados con las acciones del programa y monitorear resultados.
Indicadores estratégicos e indicadores de gestión
Los indicadores pueden ser de dos tipos: indicadores estratégicos e indicadores de gestión.
Indicador estratégico
Las principales características de un indicador estratégico son:
%% Miden el grado de cumplimiento de los objetivos de las políticas de las empresas.

%% Contribuye a corregir o fortalecer las estrategias y la orientación de los recursos.
%% Impactan de manera directa en las estrategias y áreas de enfoque de las organizaciones.
Indicador de gestión
Se considera que un indicador es de gestión cuando:
%% Mide el logro de los procesos y actividades y los avances conseguidos.

%% Incluye datos sobre actividades y componentes.
Ejemplos de indicadores
Para cada perspectiva del BSC (financiera, del cliente, interna o de innovación y aprendizaje) se
utilizan unos indicadores diferentes. Estos son los más utilizados:
Perspectiva financiera
%% Cuota de mercado.
%% Crecimiento de los ingresos.
%% Tasa de beneficios.
%% Retorno de la inversión.
%% Valor económico agregado.
%% Rentabilidad sobre capital empleado.
%% La gestión de costes de funcionamiento.
%% Coeficiente de explotación y las tasas de siniestralidad.
%% Objetivos corporativos.
%% Supervivencia.
%% Rentabilidad.
%% Crecimiento.
%% Ahorro de costes de proceso.
%% Aumento del retorno sobre los activos.
%% Crecimiento de las ganancias.
%% Flujo de caja.
VOLVER AL ÍNDICE
10 pasos para realizar
la transición de ISO 9001:2008
a la nueva versión ISO 9001:2015
DESCARGAR AHORA
14
%% Coeficiente de rentabilidad neta.

%% Ingresos por ventas.
%% Crecimiento en los ingresos por ventas.
%% Reducción de costes.
%% Precio de la acción.
%% Crecimiento en los ingresos por ventas.
%% Reducción de costes.
%% Precio de la acción.
%% Rentabilidad de los fondos de los accionistas.
Perspectiva del cliente
%% Índice de satisfacción del cliente.

%% Índice de reincidencia en las compras.
%% Cuota de mercado.
%% Entregas a tiempo.
%% Cantidad de quejas.
%% Tiempo medio para procesar los pedidos.
%% Pedidos devueltos.
%% Compras efectuadas por nuevos clientes.
%% Valor percibido del dinero.
Perspectiva interna
%% Mejoras en la eficiencia.
%% Reducción de los costes unitarios.
%% Reducción de residuos.
%% Aumento de la utilización de la capacidad de los empleados.
%% Aumento de la productividad.
%% Porcentaje de productos defectuosos.
%% Cantidad de residuos reciclados.
Perspectiva de la innovación y aprendizaje
%% Número de nuevos productos.

%% Porcentaje en las ventas de nuevos productos.
%% Inversión en capacitación.
%% Número de habilidades estratégicas aprendidas.
%% I + D como porcentajes de las ventas.
%% Número de sugerencias de los empleados.
VOLVER AL ÍNDICE
14
ISOTools: Software para Balanced Scorecard

Con la Plataforma ISOTools es posible gestionar el Balanced Scorecard y los indicadores
de desempeño asociados de manera sencilla y visual, consiguiendo optimizar la estrate-
gia de su empresa hacia el logro de los objetivos definidos.
Con este software es posible alinear los objetivos individuales de sus trabajadores y los de
los distintos departamentos de manera que trabajen en un única dirección: la marcada por la
misión, valores e intereses generales de su empresa.

https://www.isotools.org/2015/09/14/principales-indicadores-de-evaluacion-del-desempeno/
Ada
la n ptado
u
900 eva ISOa
1:20
15
DESCÚBRELO
DESCÚBRELO
VOLVER AL ÍNDICE
15
ESTRATEGIA ISO 9001:2015, desarrollo e

implementación de la estrategia
ISO 9001:2015 presenta unas novedades, las cuales tiene expectantes a los profesionales de
ámbito de la calidad.
El análisis del contexto de nuestra entidad es una de las novedades mencionadas anterior-
mente. Se considera razonable que sepamos no hacer bien las cosas, sino hacerlas adecua-
damente.
La estrategia de nuestra entidad tiene que estar incluida en nuestro Sistema de Gestión
de la Calidad. Dicho enfoque estratégico incrementará la eficacia del sistema que estamos
liderando, nos ayuda a estructurar nuestros objetivos principales y a concentrarnos en activi-
dades que nos conducirán al cumplimiento de los resultados que deseamos obtener.
Esto se produce gracias a que comprendemos y entendemos la situación en la que nos situa-
mos. El entorno de una entidad está constituido por factores internos y externos y por otros
diferentes aspectos que pueden perjudicar a la misma entidad, A los productos o servicios, a
las inversiones y a las partes interesadas.
El ISO/DIS 9001, en su párrafo 4.1 Comprender la organización y su contexto, determina:
“La organización debe determinar los factores internos y externos que son relevantes para su
propósito y su dirección estratégica y que afecta a su capacidad para lograr el resultado desea-
do de su Sistema de Gestión de la Calidad”.
Este apartado lo podemos traducir en que cualquier entidad tendrá que concentrarse en sus
factores estratégicos internos y externos, en aquello que es relevante para su propósito
y tienen que deshacerse de cualquier barrera que no permita alcanzar los resultados reque-
ridos.
Los factores internos los podemos identificar como, entre otros, la cultura organizacional, la
estructura organizativa, directrices aplicables a la organización, los productos y servicios, nor-
mas, roles y responsabilidades, flujos de información, políticas y objetivos, activos, capacidades
VOLVER AL ÍNDICE
15
de recursos y conocimiento, sistemas de información, procesos de toma de decisiones, etc.
En cuanto a los factores externos los podemos identificar actitudes del consumidor, cues-
tiones climatológicas, factores sociales, la tecnología, políticas gubernamentales, impuestos,
financiación, clientes, factores específicos del sector, guerras o conflictos, cuestiones moneta-
rias, comercio internacional, entre otros.
Se considera de bastante importancia que la entidad tenga claro e identifique cuáles son los
factores a considerar en la implantación y planificación del Sistema de Gestión de la Cali-
dad.
En el caso de no tomar en cuenta o dejarnos atrás algún factor de los más importantes puede
afectar a la capacidad de la empresa para alcanzar los resultados esperados.
Algunos ejemplos de factores internos y externos que perjudican al Sistema de Gestión de

la Calidad basado en la ISO9001 podrían ser:
%% Clientes.
%% Empleados.
%% Proveedores.
%% Inversionistas.
%% Medios de comunicación.
%% Competidores.
En cuanto al análisis de contexto que propone ISO 9001:2015, supone una ayuda para tomar
las decisiones estratégicas en la empresa con respecto al Sistema de Gestión de la Calidad.
El proceso de trazado de la estrategia del Sistema de Gestión de Calidad engloba dos fases:
desarrollo e implementación de la estrategia.
Si nos centramos en el desarrollo de la estrategia tenemos que tener en cuenta estos cua-
tro elementos:
%% Qué vamos a hacer, qué productos y servicios vamos a ofrecer.

%% Para quién lo vamos a hacer, a qué clientes y mercados serviremos.
%% Por qué los usuarios nos comprarán, qué ventajas competitivas tendremos.
%% Dónde incidiremos, cuáles serán nuestros mercados prioritarios.
Respecto a la implantación de la estrategia tenemos que tener en cuenta:
%% Cómo vamos a conseguir lo anterior, es decir el qué, el para quién, el por qué y el dónde.
En el momento de tomar en cuenta decisiones estratégicas podemos plantear una serie de

cuestiones que nos posibiliten este proceso, dichas cuestiones pueden ser:
%% ¿Qué factores externos sustentan nuestra estrategia y nuestro Sistema de Gestión de la

Calidad según ISO 9001?
%% ¿Cómo nos vemos en el futuro?
%% ¿Qué medidas tendremos que emplear para evaluar la eficacia de nuestro Sistema de
Gestión de la Calidad baso en la ISO 9001?
%% ¿Qué criterios emplearemos para evaluar las oportunidades que tendrán nuestros nuevos
productos o servicios?
VOLVER AL ÍNDICE
15
%% ¿Qué valores orientarán a nuestro negocio?

%% ¿En cuáles de nuestras áreas de mercado tendremos que prestar una mayor atención o
invertir más recursos?
%% ¿De qué modo el plan de implementación del Sistema de Gestión de Calidad que tene-
mos diseñado garantiza que los objetivos de la organización, de los procesos y personales
dan apoyo a la estrategia?
%% ¿Qué tipo de clientes nuevos tendremos y cuáles de los ya existentes permanecerán con
nosotros?
%% ¿Qué factores son los más significativos para nuestros clientes?
%% ¿Qué factores representan para nosotros una ventaja competitiva?
%% ¿En qué áreas nuevas de mercado habrá que prestar una mayor atención o invertir más
recursos?
Son cuestiones muy relevantes para que la empresa vaya hacia un buen tránsito. En post
siguientes plantearemos algunos de los mecanismos que existen con el fin de conocer el con-
texto de la entidad, puede que la más conocida para nosotros sea la matriz FODA (Fortalezas,
Oportunidades, Debilidades y Amenazas), pero se pueden encontrar muchas más.
Sistemas de Gestión de la Calidad

Podemos encontrar algunos mecanismos que dan la posibilidad de automatizar el Sistema
de Gestión de la Calidad ISO-9001. Uno de estos mecanismos es el Software ISOTools
que, gracias a su flexibilidad, funcionalidad, fiabilidad y accesibilidad, entre sus numerosas
características, permite el trabajo de la gestión del sistema y elude pérdidas o errores en el
mismo.

https://www.isotools.org/2015/01/06/iso-9001-2015-desarrollo-implementacion-estrategia/
Ada
la n ptado
u
900 eva ISOa
1:20
15
DESCÚBRELO
VOLVER AL ÍNDICE
16
CALIDAD
TOTAL
¿Cómo influye la calidad total en la
productividad empresarial?
La relación entre calidad y productividad
Con anterioridad a las teorías de Deming, normalmente se había considerado que la calidad
y la productividad tenían una relación negativa, considerándose que al aumentar la cali-
dad se reducía la productividad. Esta reducción de la productividad se argumentaba porque el
tiempo y recursos que se dedicaban a realizar las inspecciones reducía los esfuerzos directos
en producción.
Sin embargo, Deming se encargó de exponer por primera vez una relación positiva y di-
recta entre calidad y productividad, demostrando que el incremento de la calidad reduce
los costos por una reducción de errores, averías a solucionar y reclamaciones de los clientes,
entre otras cuestiones.
La calidad total o excelencia significa aportar valor al cliente, en forma de unas condiciones
de uso del producto o servicio superiores a las expectativas que el propio usuario espera reci-
bir. Si además se consigue un precio accesible, o menor al esperado por el cliente, hablamos
de valor agregado, puesto que se le ofrece más de lo esperado en las mejores condicio-
nes posibles.
Por otro parte, la productividad es la relación entre la producción obtenida por un sis-
tema productivo y los recursos utilizados. También puede definirse como la relación entre
los resultados y el tiempo utilizado para obtenerlos, es decir, cuanto menor sea el tiempo que
lleve a obtener el resultado deseado, mas productivo es el sistema.
La relación entre calidad y productividad es muy directa, de ahí la necesidad de las or-
ganizaciones de contar con métodos eficaces de mejora, control, evaluación y medición
de sus estrategias de mejora continua y de productividad. Para ello se utilizan indicadores
objetivos de producción de unidades específicas y costos asociados de mano de obra,
materiales, gastos en infraestructuras, etc.
VOLVER AL ÍNDICE
16
¿Cómo pueden las organizaciones fusionar productividad con

calidad?
Las organizaciones deben entender la productividad con calidad como una oportunidad
para integrar sistemas y modelos mejora continua, tanto en el esquema organizacional
como en los distintos circuitos y procesos, emprendiendo acciones de detección sistemática
de errores y áreas mejorables.
La productividad con calidad constituye una filosofía de trabajo que implica disciplina y
constancia para conseguir mejorar los resultados y mantenerlos en el tiempo. Es ne-
cesario tener en cuenta múltiples factores que giran alrededor de un eje central: ofrecer
satisfacción plena al cliente.
Una de las mejores formas de ligar eficazmente productividad con calidad es consiguiendo
una acreditación de un Modelo de Excelencia, puesto que además de conseguir reconoci-
miento por parte de los clientes, grupos de interés (steakholders) y la sociedad en general, la
empresa entrará en un circuito de autoevaluación. Esto le permitirá detectar sus errores y
necesidades a nivel de formación, capacitación y transformación de procesos.
Productividad y competitividad
La productividad es, asimismo, un factor determinante para la competitividad de las
empresas y, en un sentido más amplio y general, del tejido empresarial de todo un país.
Debe entenderse, por lo tanto, como el mejoramiento de la capacidad productiva y del

entorno general, buscando la eficiencia, es decir, mejorando el producto, los salarios etc., a ser
posible sin restar calidad a ningún otro indicador.
Hoy en día una empresa no es productiva y competitiva si no cumple con calidad, producción,
bajos costos, tiempos, estándares, eficiencia, innovación, nuevos métodos de trabajo, tecno-
logía, y muchos otros conceptos que provocan que cada día el binomio productividad y
competitividad sea más importante en el corto y medio plazo.
Por lo tanto, en toda organización la productividad, competitividad y calidad son tres

conceptos y procesos que van de la mano, constituyendo un trío de claves íntimamente
ligadas para tener éxito en un entorno marcado por la globalización y la gran competitividad
a todos los niveles.
ISOTools es la plataforma tecnológica que facilita la adaptación a los

Modelos de Excelencia
A través de la Plataforma Tecnológica ISOTools las organizaciones tienen a su alcance la eva-
luación constante de su adaptación a los diferentes Modelos de Excelencia.
Las diferentes aplicaciones de las que consta ISOTools ayudan al análisis de la situación actual
y los resultados a alcanzar, el establecimiento de prioridades, la puesta en marcha de acciones
específicas y la evaluación de los resultados logrados.

https://www.isotools.org/2015/06/05/como-influye-la-calidad-total-en-la-productividad-empresarial/
VOLVER AL ÍNDICE
Medio
Ambiente
y Energía.
17
VERIFICACIÓN ISO 14001: La verificación en el

Sistema de Gestión Ambiental
En este texto vamos a hablar sobre el procedimiento desarrollado por la empresa para rea-
lizar la verificación de la norma ISO 14001 a la hora de implantar un Sistema de Gestión
Ambiental.
Seguimiento y medición
El objetivo que se persigue con la verificación en la norma ISO14001 a la hora de implementar
un Sistema de Gestión Ambiental es la instauración de todos los procedimientos necesa-
rios para poder medir, de forma segura y regular, todas las características que existen en las
actividades y operaciones que puedan generar un impacto negativo sobre el medio ambiente.
Además, se intenta fijar las normas que tienen que cumplirse para llevar a cabo la calibración
y el mantenimiento de los distintos equipos de medición con los que cuenta la empresa.
Los procesos de medición con los que cuenta la empresa deben reunir los suficientes pará-
metros para que sea fiable el seguimiento del cumplimiento de la legislación y el proceso de
mejora continua.
La empresa desarrolla uno o varios procedimientos en los que se deben contemplar todas
las variables clave de las distintas actividades relacionadas con el correcto funcionamiento y
los aspectos significativos de todas las instalaciones. Además, el proceso de medición y segui-
miento debe quedar contemplado con el acondicionamiento de todos los controles operacio-
nales que se llevan a cabo gracias a los aspectos significativos, es decir, el estado de las metas
ambientales, los objetivos y el cumplimiento de los requisitos legales aplicables.
La entidad o empresa es la encargada de elaborar los documentos que controlen el proceso

de calibración y mantenimiento de los equipos de medida relacionados con las actividades
que están sujetas a los procesos de seguimiento y medición. Los documentos especifican la
periodicidad de los seguimientos, las mediciones y las calibraciones, además de la meto-
dología empleada para llevarlas a cabo y los responsables de dichos procedimientos que de-
berán realizar un informe final. El periodo de tiempo en que se deben realizar los seguimien-
tos y las mediciones debe ser coherente con los requisitos legales que se les pueden aplicar.
VOLVER AL ÍNDICE
17
Los registros obtenidos por las empresas durante el proceso de seguimiento y medición de la
norma ISO14001 deben incluir siempre el resultado de las mediciones y de las calibraciones
que, en su caso, deberán contener como mínimo la calibración del equipo, la incertidumbre
de las medidas realizadas y la identificación inequívoca del equipo utilizado para llevar a cabo
la medición.
Cuando la empresa utiliza sus propios medios para llevar a cabo la medida y el registro debe
contener, además, todos los datos de su trazabilidad y los patrones aceptados.
Si las medidas se realizan por parte de las entidades acreditadas tiene que obtenerse una
evidencia de la acreditación para poder realizar análisis contrastados en todo momento. Por
lo que en este caso, se toma por bueno el procedimiento de calibración y la trazabilidad
de todos los patrones para llevar a cabo el análisis para lo que está acreditada la empresa.
Los registros que se obtienen se utilizarán en la empresa para poder identificar los diferentes
indicadores de comportamiento y usarlos a la hora de implementar las acciones correctivas y
preventivas impuestas por la norma ISO-14001, estimando el cumplimiento de los objetivos y
las metas del Sistema de Gestión Ambiental. Además podrán conocer si está mejorando el
desempeño ambiental de la organización.
Evaluación del cumplimiento legal

La organización tiene que llevar a cabo diferentes procedimientos para poder demostrar que
cumple irrefutablemente con el compromiso de cumplir con todos los requisitos legales y
otros requisitos legales que les son aplicables.
La empresa debe realizar evaluaciones cada cierto tiempo con el fin de mantener todos sus
registros actualizados con los resultados que va obteniendo.
La evaluación del cumplimiento legal guarda mucha similitud en la norma ISO 14001 con el
seguimiento y la medición, aunque se establecen necesidades diferenciadas en cada procedi-
miento para cada requisito que puede encontrarse documentado o no.
Cuando los procedimientos de seguimiento y medición de la ISO 14001, se encuentran

relacionados con los requisitos legales u otros requisitos, la empresa tendrá que poner espe-
cial atención en demostrar que cumplen todos los requisitos. Para ellos, se puede editar un
formato que contenga toda la lista de requisitos legales y otros requisitos y contemplar todos
los indicadores que te dicen cuándo, dónde y quién los ha verificado.
No Conformidad, Acción Correctiva y Acción Preventiva

La organización tiene que establecer una sistemática que le facilite la identificación, la comu-
nicación y la gestión adecuada de todos los fallos reales que se producen en el Sistema de
Gestión Ambiental basado en la norma ISO14001, además de aplicar las acciones preventi-
vas o correctivas, según sea el caso, para evitar o corregir los fallos potenciales.
Una No Conformidad se puede entender como todo tipo de incumplimiento de lo exigido

por cualquiera de los requisitos que genera el Sistema de Gestión Ambiental o que infrinja
los principios en los que nos basamos.
La forma de actuar ante una No Conformidad es la siguiente: la organización debe poner

remedio a todos los daños ambientales producidos, además deberá solucionar las causas que
generaron dicho daño (Acción Correctiva) y si es posible se debe evitar que tal situación se
produzca nuevamente (Acción Preventiva).
VOLVER AL ÍNDICE
¿Conoce los cambios y
novedades de la nueva
versión de ISO 14001?
DESCARGAR AHORA
17
La empresa tiene que disponer de uno o varios procedimientos escritos donde se describe el
origen y la detección de las No Conformidad, el tratamiento que se les debe dar, y los análisis
y las resoluciones de las no conformidades.
Una vez realizado esto, la empresa puede establecer las Acción Correctiva y Acción Pre-
ventiva que estime oportunas, además de realizar el seguimiento necesario para comprobar
la eficacia y comunicarla.
Además, el registro de evidencias se debe mantener ya que demuestra el cumplimiento de

las pautas descritas.

https://www.isotools.org/2015/01/20/iso-14001-verificacion-sistema-gestion-ambiental/
Ada
la n ptado
140 ueva IS a
01:2 O
015
de Gestión Ambiental
DESCÚBRELO
VOLVER AL ÍNDICE
18
DOCUMENTACIÓN
ISO 14001: Estructura de la
documentación de un Sistema de
Gestión Ambiental
Cualquier entidad tendrá que crear, almacenar y mantener actualizada la totalidad de docu-
mentación que se estima necesaria para su Sistema de Gestión Ambiental (SGA) funda-
mentado en la norma ISO 14001. Habitualmente, la organización incluye en un manual de
gestión ambiental, todos los elementos básicos e importantes del sistema.
Dicho manual es el elemento básico del Sistema de Gestión Ambiental, y en él se descri-

be las responsabilidades, obligaciones, el alcance del propio sistema, así como la estructura
organizativa. Además, se recogen todos los recursos y métodos específicos, generales, cono-
cimientos, procedimientos o todo aquel documento que desarrolle las exigencias del sistema
o sea necesario para el mismo. Incluso, el manual incluirá la política ambiental, los objetivos y
fines de la entidad.
El manual responderá a la totalidad de preguntas ligadas con el Sistema de Gestión

Medioambiental ya que en este documento se cuenta con toda la información importante
y destacada para saber lo que se necesitaría hacer, el cómo, cuándo y a quién se le pueden
pedir las responsabilidades al respecto.
Toda la documentación tendrá que aparecer muy especificada, lo bastante como para descri-
bir los elementos referentes y centrales del SGA, sus interacciones y proporcionar orientación
acerca de dónde obtener información más específica respecto a una operación puntual del
Sistema de Gestión Ambiental basado en la ISO14001. Dependiendo de la entidad, la do-
cumentación se podrá guardar tanto en papel como en formato digital.
Normalmente, la forma de estructurar la documentación del sistema es en forma piramidal.
Nivel I:
Se conforma del manual del Sistema de Gestión Medioambiental. En dicho texto, se de-
talla la política ambiental y se utiliza como guía para así documentar las responsabilidades y
funciones principales, especificar las relaciones del sistema, los objetivos generales y ofrecer
orientación acerca de la documentación de referencia. En este escrito se reflejan la totalidad
de los documentos que conforman el sistema y sirve de base para el desarrollo de los proce-
dimientos específicos y generales.
VOLVER AL ÍNDICE
18
Nivel II:
En el segundo nivel de esta pirámide se encuentran los procedimientos. En este documento
se detallan los métodos a aplicar y los criterios a seguir para alcanzar con los requisitos nece-
sarios para implantar adecuadamente un SGA. Cada uno de los capítulos de este manual está
desarrollado por uno o varios procedimientos, e incluso en cada capítulo se tiene que hacer
referencia a los procedimientos que lleva a cabo.
Nivel III:
En el tercer nivel se recogen los procedimientos específicos del sistema y orientaciones téc-
nicas. Se trata de documentos de un nivel más concreto acerca de aspectos puntuales del
funcionamiento del Sistema de Gestión Ambiental.
Nivel IV:
Por otra parte, en este apartado se detalla toda la documentación que tiene que formar par-
te del SGA según ISO-14001 y que no se encuentra recogida en ninguno de los niveles an-
teriormente mencionados. Destacan los registros del Sistema de Gestión Ambiental que
proceden del uso de los formatos incluidos en los procedimientos o planes de actuación (de
auditoría, plan de formación, etc.).
En el momento en el que se desarrollen los cuatro niveles de la empresa de la documentación

del Sistema de Gestión Ambiental, se tiene que hablar acerca del control de la misma cuya
responsabilidad cae en la misma empresa que tendrá que determinar y mantener al día uno o
varios procedimientos con el fin de controlar la documentación de su SGA.
Es necesario que la documentación de un Sistema de Gestión Ambiental fundamentado

en la norma ISO14001 se encuentre localizada, se apruebe y revise cuando sea conveniente y
retirada cuando se encuentre ambigua u obsoleta. La documentación tiene que identificarse
fácilmente (nombre, número o referencia de los documentos), encontrarse accesible en el
momento que se precise (distribuyendo copias en los lugares detallados), añadir fechas de
edición, además de estar revisada y actualizada totalmente.
En algunos casos, el archivo del documento ya antiguo sirve para satisfacer un requisito legal.
En dicho caso, este texto tiene que identificarse de una manera adecuada.
La organización tiene el deber de explicar los procedimientos a seguir para saber cómo se
efectuará la distribución, revisión y aprobación, identificación y retirada de los documentos
obsoletos. Un sujeto tiene que encargarse de esta gestión documental para revisar los textos
y garantizar que no se contradicen con algún requisito o requerimiento de la norma y, pos-
teriormente, llevar a cabo su aprobación. El archivo de los documentos se mantendrá, a lo
largo de al menos tres años de vigencia del certificado ISO 14001, aunque alguno de ellos se
quede en situación de desuso.
Cualquier documentación que se produzca y genere como consecuencia de la aplicación de

los procedimientos del Sistema de Gestión Ambiental que no establezca registros del sis-
tema y aquella documentación externa que perjudique a la gestión ambiental, serán contro-
lados, así como analizados.
El fin que se persigue en el control de la documentación es determinar los controles necesa-

rios para garantizar que los aspectos ambientales se trabajan correctamente, minimizando
los impactos ambientales relacionados, identificando las actividades que pueda n ocasionar
colisión con el medio ambiente tanto en los servicios como en los procesos de producción.
VOLVER AL ÍNDICE
18
La organización tendrá que determinar las actividades y operaciones que se encuentren li-
gadas con los aspectos ambientales representativos para llevar a cabo un correcto control,
de acuerdo con su política ambiental, objetivos y fines. Para contribuir a ello, la entidad
podrá hacer uso de la lista de aspectos ambientales:
%% Almacenaje.
%% Vertidos.
%% Uso de energía.
%% Utilización de productos químicos.
%% Riesgos de accidentes.
%% Uso de agua.
%% Generación de residuos.
%% Uso de materias primas y empleo de recursos naturales.
%% Emisiones atmosféricas.
%% Contaminación y degradación del suelo.
%% Otros (ruido, olores, vibraciones, impacto visual, biodiversidad, etc.).
Continuamente, se tendrán que describir la manera en la que llevarán a cabo estas actividades
y actuaciones para que los impactos ambientales que produzcan se pudieran considerar
controlados o no lleguen a generarse. Para ello, se debería realizar una planificación, elaborar
los criterios necesarios para decidir si se están desenvolviendo en base a lo planeado y deter-
minar métodos de corrección.
El control de las operaciones tiene que englobar a las operaciones de mantenimiento, así
como a proveedores y subcontratistas en sus actividades ligadas a la organización en parti-
cular. Además, es importante que los procedimientos de control operacional se informen a
cualquier proveedor y subcontratista, así como el mantenimiento de un registro de tal comu-
nicación.
Asimismo, si la organización ve necesario incluir a los proveedores y subcontratistas am-

bientales en el procedimiento de evaluación, tendrá que establecer los criterios medioam-
bientales que se exigen y tener control del análisis y de su mantenimiento.
Algunas actividades en las que se requiere un control operacional pueden ser: los vertidos,
las emisiones atmosféricas, proveedores, subcontratistas, la gestión de residuos, el almacena-
miento de productos químicos, etc.

Los Sistema de Gestión Ambiental que trabajan bajo la norma ISO 14001, se pueden
gestionar de un modo ágil y eficaz a través de herramientas tecnológicas como ISOTools, para
saber más sobre este tipo de Sistemas de Gestión puedes visitar el siguiente enlace: https://
www.isotools.org/normas/medio-ambiente/

https://www.isotools.org/2015/01/14/iso-14001-estructura-documentacion-sistema-gestion-am-
biental/
VOLVER AL ÍNDICE
19
AUDITORÍAS ISO 14001: Procesos para la gestión

de una auditoría de certificación
Cuando una organización implementa un Sistema de Gestión Ambiental según la norma
ISO 14001, debe tomar la última decisión de certificarlo ya que para ello, la organización debe
solicitar la certificación al organismo acreditado para tal fin.
En el momento en el que se ha seleccionado a la empresa certificadora, la organización debe

definir un plan de alcance de la certificación solicitada, es decir, debe exponer el conjunto de
actividades específicas que realiza durante los emplazamientos de la organización y bajo una
gerencia muy bien definida.
Igualmente, la organización tiene que comprometerse con la empresa certificadora a la hora

de aprobar las medidas que hagan falta para que se pueda desarrollar la pertinente evalua-
ción y utilizar la certificación que consiga de acuerdo con lo que establezca el certificador.
Es importante también que la organización que solicita la auditoría facilite todos los datos
requeridos por el certificador. Por ello, antes de efectuar la auditoría de certificación, la
empresa certificadora tiene que ser consciente de:
%% Los datos generales que hacen referencia a la empresa corporativa, es decir, el nombre,
recursos humanos y técnicos, dirección, etc.
%% La estructura general y el alcance del Sistema de Gestión Ambiental a certificar.
%% Documentación de los elementos fundamentales del Sistema de Gestión Ambiental
(manual, procedimientos y otros documentos).
Cuando la documentación necesaria se encuentra en conocimiento de la empresa certificado-

ra, ésta gestionará un plan de actividades de análisis y comunicará al solicitante la relación
de miembros que conformarán al equipo auditor para que éste muestre su conformidad.
La organización certificadora tiene que designar un equipo auditor competente para analizar
toda la documentación recogida del solicitante y para desarrollar la auditoria en su nombre.
La empresa de certificación en el momento de designar el equipo auditor debe asegurarse
VOLVER AL ÍNDICE
19
de que disponen de las competencias técnicas para poder desempeñar su tarea de la mejor
forma posible y que no presente ningún interés que pueda modificar su criterio y proceder de
un modo parcial y diferenciador.
La misión del equipo auditor, durante todo el proceso de auditoría, es examinar la estructura
de la organización, los procedimientos de la misma y la política ambiental ya que deben con-
firmar que cumples con todos los requisitos aplicables dentro del alcance de la certificación
y comprobar, de este modo, que los procedimientos se encuentran establecidos y permiten
tener la confianza necesaria en su Sistema de Gestión Ambiental.
La auditoría ISO 14001

Para desarrollar la auditoría de certificación del Sistema de Gestión Ambiental basado en
la norma ISO14001 se suele dividir en dos fases:
Fase I
Por lo general, esta fase no se lleva a cabo en las propias instalaciones de la empresa soli-
citante ya que durante su ejecución se realizan principalmente funciones de revisión de la
documentación del Sistema de Gestión Ambiental.
Cuando se inicia esta fase, el solicitante entregará toda la documentación relacionada con el
Sistema de Gestión Ambiental a la entidad certificadora para que ésta pueda reflexionarla
con detenimiento.
La revisión llevada a cabo por la empresa de certificación se encuentra encaminada a asegurar

que el solicitante se ha identificado y evaluado todos sus aspectos ambientales de una for-
ma adecuada, que posee de todas las licencias y permisos de carácter ambiental necesarios,
el diseño de sus Sistema de Gestión Ambiental satisface su política ambiental, que ha rea-
lizado una auditoría interna y las revisiones por la gerencia se han realizado correctamente y
responde a las comunicaciones importantes de las partes externas interesadas.
Dependiendo de la empresa certificadora, durante esta primera fase pueden ser exigidos
todos los registros las No Conformidades del sistema y registros de las revisiones por la
dirección o de comunicaciones, para su evaluación detallada, aunque por lo general suele
llevarse a cabo la Fase II.
Fase II
El objetivo principal de esta etapa es identificar y recoger toda la información necesaria para
realizar la auditoría y confirmar que el Sistema de Gestión Ambiental se encuentra confor-
me con todos los requisitos de la norma y se alcanzan los objetivos derivados de la política de
la empresa.
En esta etapa se tiene que realizar obligatoriamente en las instalaciones del solicitante y se
analizará la implementación de todos los elementos de la norma, con excepción de los que ya
se encuentren completamente auditados y de una forma satisfactoria durante la Fase I.
El equipo auditor, después de una reunión inicial, visitará las instalaciones y centrará sus
investigaciones en los siguientes aspectos:
%% Reconocer los aspectos ambientales y la posterior determinación de su importancia.

%% Métodos que aseguran el cumplimiento con los requisitos legales y otros suscritos por la
organización.
VOLVER AL ÍNDICE
19
%% Las metas y objetivos derivados del proceso de evaluación.

%% El control operacional.
%% La medición, seguimiento, información de resultados y la revisión frente a los objetivos y
metas fijados.
%% Determinar y analizar las no conformidades y la puesta en práctica de acciones preventivas
y correctivas.
%% Auditoría interna y revisión por la gerencia.
%% Compromiso de la dirección con la política ambiental.
%% Relacionar la política, los aspectos ambientales y sus impactos asociados, objetivos y me-
tas, responsabilidades, programas, procedimientos, resultados de la actuación, auditorías
internas y revisiones.
Una vez finalizada la auditoria in situ, el equipo auditor tiene que mantener una reunión con
la alta dirección de la organización antes de abandonar sus instalaciones. En esta reunión,
se comentará o se dejará por escrito todos los resultados de la auditoría en lo que se refiere
al cumplimiento por parte de la organización que formule las preguntas que crea oportunas
sobre los criterios y las conclusiones en los que se basa el equipo auditor.
Terminado el proceso de auditoría in situ, el equipo auditor tiene que hacer entrega a la
entidad de certificación un informe donde se recojan todos los hallazgos referentes al cumpli-
miento por parte de la organización de todos los requisitos de la certificación.

Aunque no es obligatorio, la certificación ISO 14001 para el Sistema de Gestión Ambiental
de la organización es un elemento diferenciador que permite distinguir a una empresa de un
sector de su competencia.
Para saber más sobre los Sistemas de Gestión Ambientales puedes visitar: https://www.iso-
tools.org/normas/medio-ambiente/

https://www.isotools.org/2015/02/09/iso-14001-procesos-para-la-gestion-de-una-auditoria-de-
certificacion/
VOLVER AL ÍNDICE
20
CERTIFICACIÓN ¿Cómo obtener la certificación de la

nueva norma ISO 14001?
La normativa ISO 14001 es una herramienta que permite a las organizaciones aplicar un sis-
tema de Gestión Medioambiental (SGMA) para medir el impacto que generan sus productos y
servicios en el entorno en el que operan.
Este estándar internacional ofrece los requisitos necesarios para que la implantación de este
tipo de sistemas de gestión se realicen de la forma más eficiente posible.
¿Cómo puedo obtener la certificación ISO 14001?

La normativa ISO 14001 se ha actualizado a la versión 2015. Desde su última revisión, em-
presas de todos los sectores de la economía se han beneficiado con la implantación de un
sistema de gestión de impacto medioambiental.
No sólo ha significado aumentar el prestigio de las marcas en sus respectivos mercados y un

mayor reconocimiento por parte de los consumidores. Internamente, también ha supuesto
ventajas en cuanto al ahorro de costes, la integración de procesos de mejora conti-
nua y la puesta en marcha de políticas de salud y seguridad, aspectos sin duda vincula-
dos al aspecto medioambiental.
En términos generales, la versión 2015 de la norma supone profundizar en temas como la

simplificación de la documentación respectiva, que en muchos casos es tan compleja que
no puede llevarse a la práctica, además de poner el foco en los avances registrados por cada
compañía y establecer una relación más estrecha con el sistema de gestión de calidad de la
norma ISO 9001.
Sin embargo, el proceso de certificación no sufrirá novedades significativas. Los pasos para
obtener la certificación seguirán siendo los mismos que hasta el momento, salvo por las dos
o tres acotaciones referidas en el párrafo anterior. Dichos pasos son en total ocho y pueden
describirse de la siguiente manera:
VOLVER AL ÍNDICE
20
1. Voluntad de certificarse:
LEE ESTE Puede sonar obvio, pero sin el reconocimiento inicial de querer certificarse no hay garantía de
ARTÍCULO
EN EL BLOG que el proceso salga adelante. Y dicho reconocimiento implica unos motivos y unos objetivos
concretos.
https://www.isotools.
org/2015/09/27/
como-obtener-la-cer- 2. Planificación:
tificacion-de-la-nue-
va-norma-iso-14001/ Al reconocimiento le sigue la aplicación, que no es otra cosa que la estimación preliminar que
se realiza sobre los aspectos medioambientales relacionados con la organización.
3. Formación y capacitación:
El personal que realiza la valoración pertenece a la compañía y debe contar con la formación
suficiente para llevar a cabo dichas tareas. Tiene que saber lo que hace, cómo lo hace y a tra-
vés de qué indicadores evaluarlo.
4. Documentación:
El sistema de gestión ambiental debe estar respaldado por documentos que describan los
objetivos del mismo, la justificación y sus aspectos esenciales. Es una especie de referente
teórico.
5. Puesta en marcha del sistema:

Si en el apartado anterior se describía el proceso en un plano abstracto, ahora es el momento
de llevarlo a la práctica. Es un momento clave, pues deben quedar implementadas todas las
exigencias de la norma ISO 14001, así como el registro de los resultados obtenidos.
6. Auditoría interna:
Tan pronto se ha puesto en marcha el sistema de gestión ambiental, ISO solicita la realización
de una auditoría interna en la compañía, la cual va a confirmar o no el buen desarrollo de las
prácticas implementadas. Esta auditoría también la realizan integrantes de la empresa o, en su
defecto, miembros de consultoras contratadas para tal fin por la gerencia.
7. Auditoría externa:
Si la auditoría interna arroja resultados positivos y confirma el buen desarrollo del ciclo de
gestión ambiental, la siguiente etapa consiste en solicitar una nueva auditoría, esta vez externa
y a manos de especialistas de ISO, que es la entidad certificadora.
8. Certificación y seguimiento:
Si la auditoría externa también es favorable, la empresa tendrá la certificación en gestión
medioambiental de la norma ISO 14001, la cual tiene una validez de tres años. Sin embargo, el
equipo de certificación externa realizará anualmente visitas de seguimiento para comprobar
el buen estado del sistema.
Utilidad del Sistema de Gestión Ambiental

Un Sistema de Gestión Medio Ambiental (SGMA) contribuye, entre otras cosas, a dar cumpli-
miento a las leyes vigentes, al análisis de los principales riesgos en este terreno y a la definición
de métodos de trabajo para alcanzar los objetivos.
La herramienta de ISOTools permite enlazar la norma ISO 14001 con otras afines, como por
ejemplo la ISO 9001, la ISO 27001 y la OHSAS 18001, además de facilitar el empleo del SGMA
y su mantenimiento y seguimiento.
VOLVER AL ÍNDICE
21
FORMACIÓN ISO 14001: Los planes de formación

para un Sistema de Gestión Ambiental
Para implementar un Sistema de Gestión Ambiental fundamentado en la norma ISO
14001, la dirección tendrá que garantizar siempre la disponibilidad de recursos que faciliten
establecer, implementar, mantener y mejorar dicho sistema.
El término recursos lo podemos interpretar, dependiendo de la madurez del sistema, recur-

sos humanos, conocimientos especializados, equipos de medida y control, servicios financie-
ros, contratación de servicios externos, etc.
Este ámbito de la norma ISO14001 cobra mucha importancia, por lo que en él se puede apre-
ciar el verdadero interés de la dirección en el Sistema de Gestión Ambiental o SGA.
Tiene que estar definidos documentalmente y con detalle por parte de la dirección de la orga-
nización los puestos relevantes, desde el punto de vista del Sistema de Gestión Medioam-
biental. La dirección definirá uno (ante pequeñas o medianas empresas) o varios represen-
tantes (frente a grandes o complejas organizaciones), los cuales, independientemente de
diversas responsabilidades dentro de la entidad, tendrán perfectamente definidas y docu-
mentadas sus funciones, responsabilidades y límites de autoridad con el fin de:
%% Garantizar día a día que el sistema sigue siendo conforme al modelo de esta norma inter-
nacional.
%% Informar a la dirección acerca del grado de aceptabilidad con que funciona el sistema, para
que ésta, a lo largo del proceso de revisión, pueda incluir mejoras.
Se considera muy significativo que, aparte de definir adecuadamente las responsabilidades y

funciones clave del SGA, la alta dirección comunique esto a la totalidad de sujetos que traba-
jen en la empresa o en su nombre.
Por otro lado, la entidad tiene que realizar las acciones de sensibilización y formación necesa-
rias con el fin de que todo el personal asuma sus funciones en el desarrollo del Sistema de
Gestión Ambiental.
VOLVER AL ÍNDICE
Responsabilidad Social
Corporativa (RSC)
DESCARGAR AHORA
21
Los trabajadores o cualquier sujeto que realice tareas para la empresa tienen que poseer
los conocimientos necesarios sobre los impactos ambientales que puedan ocasionar, para
poder actuar adecuadamente en cualquier momento. Para ello, es necesario que el personal
haya recibido formación adecuada.
Todos los trabajadores de la entidad tienen que ser conscientes de la importancia de cumplir
todas las obligaciones del Sistema de Gestión Ambiental, de los beneficios para el medio
ambiente derivados de sus actuaciones, de los inconvenientes de no hacerlo, así como su
papel como elemento integrante del sistema.
Todos los puestos de trabajo no son iguales, existen unos puestos de trabajo llamados pues-
tos clave. Según el nivel de responsabilidad en las decisiones a tomar o las actividades que
puedan generar en relación con los impactos ambientales la entidad identificará esos pues-
tos clave, cuya formación será más específica.
Se considera necesario identificar cualquier necesidad de formación relacionada con los as-
pectos ambientales y el propio SGA, y analizar si los sujetos necesitan conocimientos y expe-
riencia específica para llevar a cabo sus puestos.
La entidad tiene que posibilitar la formación que identifique como necesaria para eliminar los
impactos ambientales eludibles y tiene que mantener los registros asociados.
La entidad, en el desarrollo de este apartado de la norma, ha de contar con una sistemática

documentada que dé respuestas a:
%% La manera de identificar las necesidades de formación del personal.

%% La manera de documentar los métodos de formación seleccionados para cumplir con las
necesidades detectadas y su alcance.
La entidad se ocupará, aparte de definir los requisitos de formación y experiencia requerida

para la realización de funciones que puedan influir en la gestión ambiental, asegurándose
de que el personal que ocupa esos puestos cumple efectivamente con los requisitos necesa-
rios.
A los trabajadores o sujetos que trabajen en nombre de la entidad, se les tiene que comunicar:
%% La política ambiental y la importancia de mantener una conformidad con ella y con los
procedimientos y requisitos del Sistema de Gestión Ambiental.
%% Los aspectos ambientales significativos, los impactos reales o potenciales asociados con su
trabajo y las ventajas ambientales derivadas de su comportamiento,
%% Su responsabilidad en el seno del SGA.
%% Las consecuencias derivadas de la falta de cumplimiento de los procedimientos.
De esta manera, cada sujeto sabrá en cualquier momento qué tiene que hacer en conexión
con la gestión ambiental de la empresa, pudiendo verificarlo, comprobarlo e incluso corre-
girlo.
La empresa, con el fin de poner en práctica los contenidos de este apartado de la norma, pue-
de realizar un plan de formación que le ayude a llevar un control de las actividades formativas
indicando los objetivos, tipos de formación, los plazos de consecución, el seguimiento, las
fechas de control, colectivo receptos, recursos y la periodicidad de la actuación.
La formación puede provenir de distintas fuentes. Entre los métodos de formación más
destacados se encuentran los relacionados con el puesto de trabajo (formación directa por un
VOLVER AL ÍNDICE
21
superior o a través de rotación de oficios de igual nivel y responsabilidad) o con los externos
(sustitución temporal y conferencias, seminarios, cursos, etc.).
La entidad tiene que establecer las vías de comunicación necesarias para garantizar que
toda la información relacionada con sus aspectos ambientales y con el propio Sistema de
Gestión Ambiental se transmite correctamente a todas las partes interesadas.
En este punto hay dos tipos de comunicación en la empresa: la interna y la externa. Estos
dos tipos de comunicación tendrán que quedar plasmados en uno o varios procedimientos,
teniendo en cuenta la comunicación interna entre las distintas áreas, accionistas, departa-
mentos, etc. de la empresa y la externa entre las partes interesadas (administración, sociedad,
etc.), reparando en el alcance de ésta.
Para que la información de naturaleza ambiental llegue a quien la precisa a fin de decidir o
actuar en el seno de la empresa, se tienen que prever y hacer funcionar métodos de comu-
nicación interna.
El procedimiento o los procedimientos, en el caso que sean varios, que la empresa desarro-
lle para alcanzar con este objetivo tendrán que incluir el mecanismo por el que la empresa
comunica internamente, a cualquier nivel, la información relativa a los aspectos ambientales
y el Sistema de Gestión Ambiental. También, se tendrá que indicar cómo se conservarán
evidencias de dicha comunicación, las que pasarán a ser registros del sistema.
SGA
El Sistema de Gestión Ambiental o SGA es una importante herramienta, para saber más
sobre estos sistemas puedes visitar: https://www.isotools.org/normas/medio-ambiente/

https://www.isotools.org/2015/01/07/iso-14001-planes-formacion-sistema-gestion-ambiental/
Ada
la n ptado
140 ueva IS a
01:2 O
015
de Gestión Ambiental
DESCÚBRELO
VOLVER AL ÍNDICE
22
NOVEDADES Cambios en la ISO 14001:2015

El éxito comercial de las compañías no tiene por qué entrar en contradicción con sus respon-
sabilidades medioambientales. Por el contrario, son dos elementos que pueden llegar a
complementarse como las piezas de un puzle.
Con el fin de detallar la relación entre los dos conceptos, la Organización Internacional de
Normalización (ISO) publicó en 2004 la norma ISO 14001, cuyo tema principal es la gestión
ambiental de recursos y procesos y que, en la actualidad, es empleada por más de 285.000
organizaciones en todo el mundo.
En líneas generales, se trata de cambios propuestos para que las empresas orienten sus acti-
vidades hacia un adecuado marco medioambiental.
Sin embargo, dado que en el actual contexto han irrumpido con fuerza conceptos como el
«marketing verde» o la «responsabilidad social empresarial», los representantes de ISO han
tenido que implementar reformas que complementen los postulados incluidos en la
primera versión de la norma.
Esta nueva versión de la norma ISO 14001 se publicará en septiembre de este año y en ella se
incluirán las siguientes novedades:
%% La nueva versión incluirá los principios de la norma ISO 26000, que es una guía de
Responsabilidad Social a través de la cual se espera generar un acercamiento con los prin-
cipios de la Gestión Ambiental.
%% Del mismo modo, la norma ISO 14000 se acercará al Reglamento EMAS, que es su
equivalente en la Unión Europea en cuanto a soluciones factibles y mejoras reales de las
actuaciones medioambientales.
%% Se fortalece la gestión del riesgo en el plano medioambiental a través de una serie
de herramientas y métodos de supervisión de los procesos. El objetivo es el buen empleo
de los recursos naturales y la prevención de desastres.
%% Asimismo, la versión 2015 de la norma permite un análisis más completo de los
impactos medioambientales que pueden generar las prácticas empresariales y, a la vez,
VOLVER AL ÍNDICE
22
informa de la importancia de que los miembros de las organizaciones trabajen en sintonía

con los objetivos corporativos.
%% Otro aspecto que se amplía es el cumplimiento del marco legal vigente por parte
de las empresas, que están en la obligación de acoplarse a los requerimientos de orden
local, regional y nacional en temas medioambientales. En este apartado también entran
otros requisitos externos de carácter voluntario.
%% La nueva versión también apuesta por una mayor implicación de los grupos de
interés, es decir, de todos aquellos que intervienen en la conciliación de los intereses ge-
nerados en torno a la preservación del medioambiente.
El período de transición a la ISO 14001:2015

Una de las mayores preocupaciones de las empresas certificadas con ISO 14001:2004 radica
en cómo se llevará a cabo el proceso de actualización a los postulados de la nueva versión, la
cual entrará a operar en septiembre de este año.
A continuación detallamos algunas consideraciones sobre la transición y otros aspectos a te-

ner en cuenta en este proceso:
%% Las empresas que ya tengan la certificación ISO 14001 disponen de un plazo de 3 años
para hacer la transición a la versión 2015. Hasta que llegue ese momento, es necesa-
rio que, al menos, cuenten con los postulados de la 14001: 2008.
%% La renovación del certificado no tendrá ningún coste adicional. Sin embargo, se trata
de una decisión que puede sufrir modificaciones.
%% Para iniciar el proceso de transición no es necesario que se efectúen simultáneamente las
auditorías por parte de los expertos de ISO. Las empresas pueden actualizarse por su
cuenta. Eso sí, es necesario advertir que esto puede traer gastos adicionales y la elabora-
ción de calendarios adaptados a tal fin.
%% Si una compañía desea saber qué tan lejos se encuentra de los requisitos incluidos en la
nueva versión de la norma, se recomienda la contratación de un servicio de consul-
toría. El diagnóstico que arroje dicho servicio ayudará a identificar las zonas o puntos más
críticos de los procesos.
Mejora la Gestión ambiental de tu empresa con ISOTools

Las nuevas tecnologías no sólo han facilitado la gestión de los procesos de calidad, también la
de aquellos relacionados con el cuidado y respeto del medio ambiente.
Herramientas como ISOTools, permiten un mayor seguimiento y control de los procesos que
relacionados con el medio ambiente y ayuda a las empresas a cumplir con la normativa y los
requerimientos establecidos por la norma ISO 14000.
Además, con ISOTools, adaptarse a los cambios establecidos en la nueva normativa es mucho
más fácil y simple.

https://www.isotools.org/2015/07/22/cambios-en-la-norma-iso-140012015/
VOLVER AL ÍNDICE
23
RECURSOS
GRATUITOS
Manuales en PDF que te ayudan a
implantar ISO 14001 en tu empresa
El principal aporte de la norma ISO 14001 es proporcionar a las empresas una vertiente ver-
de, es decir, de impacto medioambiental y sostenibilidad de los entornos en los que operan.
Conocerla es fundamental para potenciar el carácter de responsabilidad social de las organi-
zaciones.
La importancia de conocer los requisitos medioambientales

En las últimas décadas ha quedado patente la necesidad de profundizar en las políticas glo-
bales de conservación del medioambiente. Los riesgos para el planeta son muchos, como la
desaparición de especies animales, el aumento de enfermedades, la migración generalizada
hacia ciertas zonas del mundo, entre otros.
En la actualidad, ninguna empresa puede sustraerse a esta cuestión. Aun cuando su labor
comercial no tenga una relación directa con el cuidado de los recursos naturales o la sosteni-
bilidad de los entornos, es necesario que esté al tanto de los avances en torno a la normativa,
las leyes, las iniciativas y las políticas cuyo círculo de aplicación sea de carácter local, regional,
nacional o mundial.
La norma ISO 14001 se encuentra a la vanguardia de los estándares sobre sistemas de Ges-
tión Medio Ambiental (SGMA). Conocerla es, pues, un requisito indispensable, en especial para
todas aquellas organizaciones comprometidas con el cuidado del medio ambiente, que de-
sean contribuir a la sostenibilidad y el buen uso de los recursos naturales.
Aquí te exponemos cuatro textos en formato PDF que te pueden interesar para profundizar
mejor en el conocimiento de esta norma:
VOLVER AL ÍNDICE
23
1. ‘Implantación de la norma ISO 14001 en las empresas’

Editado por el proyecto de participación ciudadana Línea Verde, el módulo 3 de este docu-
mento se centra en desglosar el proceso de implementación de dicha norma en cualquier
empresa. Sin desconocer las singularidades de cada caso, explica detalladamente cuáles son
los pasos esenciales para poder aplicar a un proceso de este tipo y obtener la certificación
correspondiente. Al final, cierra con un apartado dedicado a los principales beneficios de un
SGMA en empresas del campo financiero, de los seguros y de la Administración.
2. ‘Norma ISO 14001: Sistema de Gestión Ambiental

El grupo consultor ACMS ha elaborado una guía con los principales aspectos de la norma en
cuestión. Tras enunciar algunas consideraciones generales, avanza hacia los principales bene-
ficios que supone en las empresas, aspectos claves, un listado de requisitos y, finalmente, la
metodología de trabajo necesaria de cara a la certificación de los especialistas de ISO.
3. ‘Antecedentes y actualización de la revisión 2015’

Si aún desconoces cuáles serán las novedades introducidas en la versión 2015 de la norma
ISO 14001 sobre gestión medioambiental, este documento elaborado por la British Estándar
Institution (BSI Group) te acerca a ellas. Además de un repaso general por las características
del estándar, el texto explora las razones que han llevado a una revisión de la última versión
y especifica cuáles serán los cambios, desglosándolos en un esquema de cláusulas. Tras esto,
el documento formula un escenario a corto y mediano plazo con algunas consideraciones
para las empresas, anticipa algunos pasos del Comité de Evaluación de ISO en torno al tema
medioambiental e incluye un calendario de transición de la norma que se prolonga hasta el
año 2018.
4. ‘Novedades de la norma ISO 14001: 2015’

En el mismo sentido que el texto anterior, la entidad EQA enumera los cambios incluidos en la
versión 2015 de la norma para luego abordarlos cada uno según su temática: contexto, comu-
nicación transparente, tipo de lenguaje, desempeño empresarial, enfoque de ciclo de vida, en-
tre otros. Para el cierre, el documento aclara las principales dudas sobre cómo será el proceso
de transición para las organizaciones que hayan sido certificadas en gestión medioambiental
en los últimos años y quieran adaptarse a la nueva versión. También para aquellas que se
encuentren en proceso de implementación de un SGMA.
Consideraciones el sistema de Gestión Medio Ambiental

El nuevo borrador de la norma ISO 14001 sobre Sistemas de Gestión Medio Ambiental (SGMA)
plantea algunas modificaciones en relación a la presente versión. Conocerlos y evaluarlos es
un requisito indispensable para poder llevar a la práctica las acciones que fomenten el desa-
rrollo sostenido en las empresas.
Existen herramientas informáticas que, además de facilitar la implementación de estas nor-

mas, ayudan a identificar los aspectos con un mayor impacto medioambiental en las empresas
y plantean una estructura modular sencilla y comprensible para cualquier usuario.

https://www.isotools.org/2015/09/29/manuales-en-pdf-que-te-ayudan-a-implantar-iso-14001-en-
tu-empresa/
VOLVER AL ÍNDICE
24
RIESGOS
AMBIENTALES
Cómo puede ayudar la ISO 14001 en
la gestión de riesgos ambientales
La norma ISO 14001:2015, de gestión medioambiental, sirve de guía y orientación para que
las empresas puedan tener un conocimiento exhaustivo del impacto sobre el medio
ambiente de cada una de sus actividades.
El principal instrumento de este conocimiento es el diseño e implementación de un

Sistema de Gestión Ambiental, el cual permite avanzar hacia un desarrollo sostenible don-
de el progreso y el beneficio económico convivan en equilibrio con el respeto y la conservación
del medio ambiente.
La identificación de impacto ambiental

La norma ISO 140012015 asesora a las empresas de cualquier sector y línea de negocio sobre
cuáles son los distintos elementos a considerar para determinar los aspectos ambien-
tales de sus diferentes actividades.
Los principales factores a tener en cuenta para identificar las repercusiones sobre el
medo ambiente de las distintas actividades de una empresa son los siguientes:
%% Los procesos de producción de los productos y servicios, así como los cambios y las modi-
ficaciones que se produzcan.
%% Determinación de las emergencias y situaciones inusuales susceptibles de tener lugar de
forma razonable.
%% La estructura organizacional, responsabilidades, prácticas y recursos que son necesarios
desarrollar, implementar y mantener en la política ambiental.
%% Los criterios y requisitos necesarios para auditar los sistemas de gestión ambiental.
%% La norma ISO 14001:2015 garantiza que lo aspectos ambientales se identifican de forma
exacta y que son relevantes para el negocio.
VOLVER AL ÍNDICE
24
Las empresas más interesadas en la adopción de esta norma son aquellas relacionadas,
LEE ESTE directa o indirectamente, con la generación de productos o servicios que interactúan, o
ARTÍCULO pueden hacerlo, con el medio ambiente.
EN EL BLOG
Por ejemplo. los sectores químico y de la construcción pueden producir impactos muy nega-
https://www.isotools.
org/2015/12/07/ tivos para el medio ambiente si no se identifican de forma correcta y se gestionan en conse-
como-puede-ayudar- cuencia.
la-iso-14001-en-la-
gestion-de-riesgos-
ambientales/ No obstante, la necesidad de implantar una gestión medioambiental eficiente es co-
mún a todas las organizaciones, con independencia de su sector de actividad, puesto que,
de forma progresiva y constante, las normativas de cada país aumentan sus exigencias am-
bientales.
Funcionamiento de la norma ISO 14001

La implantación de esta norma de divide en las siguientes etapas:
1) Revisión por la Dirección. Los máximos responsables de la empresa deben considerar

la posible necesidad de cambios en la política, objetivos y otros elementos del Sistema de
Gestión Ambiental, con el fin de lograr el compromiso de toda la organización en un mejora-
miento continuo en este tema.
2) Definición de una política ambiental. La norma exige que la Dirección de la compañía

realice una declaración sobre sus intereses y principios en materia ambiental.
3) Planeación. En esta etapa, la norma ISO 14001 exige realizar una valoración de los as-
pectos ambientales de cada una de las actividades a las que se dedica la empresa.
4) Implantación y operación. Teniendo en cuenta todos los requisitos legales y normativos,

se deben poner en marcha las acciones preventivas necesarias, incluyendo la preparación y
control de documentos relacionados con el medio ambiente y el control operacional.
5) Medición y seguimiento del desempeño. A través de los indicadores idóneos, se debe

realizar una evaluación y verificación de los resultados, poniendo en marcha las acciones co-
rrectivas en caso de no conformidad con los resultados obtenidos. Esta etapa incluye: control
de registros, auditorías internas y auditorías externas para obtener y mantener la certificación.
Principales ventajas de la adopción de la ISO 14001

%% Mejora de la imagen interna y externa de la empresa.
%% Se potencia la innovación y la productividad su organización.
%% Reducción de costos en la gestión de residuos.
%% Eliminación de barreras a la exportación.
%% Se facilita el cumplimiento de la legislación vigente, reduciéndose el riesgo de enfrentarse
a litigios y sanciones.
%% Se aumentan las posibilidades de obtener subvenciones y otras ayudas.
Software de automatización para ISO 14001

Con ISOTools es muy sencillo identificar y evaluar los aspectos del negocio que tienen un im-
pacto en el medio ambiente. Además, la norma ISO 14001 es sencilla de implantar, mantener
y automatizar con la Plataforma Tecnológica ISOTools, ya que esta se encuentra totalmente
actualizada a la nueva versión.
VOLVER AL ÍNDICE
Seguridad
de la
Información.
25
IMPLANTACIÓN Cómo implantar eficazmente la norma

ISO 27005
La norma ISO 27005 es el estándar internacional que se ocupa de la gestión de los riesgos
relativos a la seguridad de información. La norma suministra las directrices para la ges-
tión de riesgos, apoyándose fundamentalmente en los requisitos sobre esta cuestión defini-
dos en la ISO 27001.
Se trata de una norma aplicable a todo tipo de organizaciones que tengan la intención de
gestionar los riesgos que puedan complicar la seguridad de la información de su organización
y sustituye a las la normas ISO / IEC TR 13335-3:1998 e ISO / IEC TR 13335-4:2000 de Gestión
de la Información y Comunicaciones Tecnología de Seguridad.
El aumento en el uso de tecnologías de la información puede posibilitar brechas o fisuras

en aspectos de seguridad con respecto a su utilización, por ello se hace necesaria una ges-
tión de la información desde una perspectiva tecnológica a tres niveles: aseguramiento
y control sobre la infraestructura (nivel físico), los sistemas de información (nivel lógico) y las
medidas organizacionales (factor humano) desde la perspectiva tecnológica.
Metodología de aplicación
Esta norma no recomienda una metodología concreta, puesto que dependerá de una serie
de factores relativos a cada empresa que se plantee implantarla como por ejemplo: el alcance
real del Sistema de Gestión de Seguridad de la Información (SGSI) o el sector comercial de la
propia industria.
No obstante, como otras normas ISO y sistemas basados en procesos, un método conside-
rado válido y, por lo tanto, recomendable es utilizar como base el modelo PHVA con la
finalidad de establecer un proceso de gestión que se enfoque en la mejora continua siguiendo
el siguiente esquema:
VOLVER AL ÍNDICE
Responsable de Calidad:
¿Estás preparado para
el futuro?
DESCARGAR AHORA
25
Planificar
Se establecen los objetivos, procesos y procedimientos para el proceso de gestión de riesgos
tecnológico, con el objeto de conseguir unos resultados acordes con las políticas y objetivos
globales de la organización.
Hacer
Corresponde a la implementación y operación de los controles, procesos y procedimientos e
incluye la operación e implementación de las políticas definidas.
Verificar
Se trata de evaluar y medir el desempeño de los procesos contra la política y los objetivos de
seguridad e informar sobre los resultados.
Actuar
Consiste en establecer la política para la gestión de riesgos tecnológicos e implementar los
cambios requeridos para la mejora de los procesos.
Los cuatro pasos de la implantación

Basándose en el modelo anterior, una forma de implantar con éxito un Sistema de Ges-
tión de Seguridad de la Información consiste en establecer una hoja de ruta basada en
cuatro pasos:
1) Establecimiento de plan de comunicación interno y externo

El plan de comunicación se debe realizar a nivel interno (áreas de la organización, empleados,
directivos, socios) y externo (clientes, proveedores, entes reguladores), teniendo en cuenta las
definiciones sobre la existencia del riesgo, los objetivos de la gestión, el informe de los avances
del proceso y todo aquello que se considere necesario. Los medios a usar para comunicar el
proceso de gestión dependen de las necesidades y disponibilidad de la organización.
2) Definición del contexto organizacional

El objetivo de esta etapa es conocer a la organización para determinar qué puede afectarla
a nivel interno y externo, qué elementos se requieren proteger y, de acuerdo a los recursos
actuales, cómo podría darse esa protección hasta establecer un nivel de riesgo aceptable.
3) Valoración de los riesgos tecnológicos

En la etapa de valoración de riesgos se identifican los activos que se quieren proteger y sus
debilidades, así como las amenazas a las cuales se encuentran expuestos. En este punto se
recomiendan posibles controles de mitigación de los riesgos.
4) Tratamiento de riegos tecnológicos

En la etapa de tratamiento de riesgos se establece e implementan las acciones a llevar a cabo
para mitigar los riesgos encontrados y lograr riesgos residuales aceptables por la organiza-
ción. Dentro de las acciones a tomar encontramos principalmente: reducir, aceptar, eliminar
y transferir.

https://www.isotools.org/2015/10/05/como-implantar-eficazmente-la-norma-iso-27005/
VOLVER AL ÍNDICE
26
SEGURIDAD
DE LA
La familia de normas ISO 27000
INFORMACIÓN
La Organización Internacional de Estandarización (ISO) recoge un extenso número de
normas dentro de la familia de ISO 27000.
Cada norma tiene reservado una número dentro de una serie que van desde 27000 hasta
27019 y de 27030 a 27044. Vamos a realizar un repaso por todas las normas de la serie:
Esta estandarización contiene las definiciones y los términos que se utilizarán durante toda la
serie 27000. Para aplicar cualquier normativa necesita conocer un vocabulario perfectamen-
te definido, por lo que así evitaremos cualquier mala interpretación de conceptos técnicos y
gestión. Esta norma es gratuita a diferencia de las demás de la serie de normas que sí que
suponen un coste para su implementación.
ISO 27001
La última versión de esta norma fue publicada en el año 2013. Es la norma principal de toda la
serie ya que incluye todos los requisitos del Sistema de Gestión de Seguridad de la Infor-
mación en las organizaciones. La ISO 27001 sustituye a la BS 7799-2 estableciendo unas con-
diciones de adaptación para aquellas empresas que se encuentren certificadas bajo esta últi-
ma. En el Anexo A se enumeran los objetivos de control y los análisis que desarrolla la norma
ISO27001 para que se puedan seleccionar las empresas durante el progreso de sus Sistemas
de Gestión de Seguridad de la Información. La empresa podrá argumentar el hecho de no
aplicar los controles que no se encuentren implementados ya que no es obligatorio.
ISO 27002
Es un manual de buenas prácticas en la que se describen los objetivos de control y las eva-
luaciones recomendables en cuanto a la seguridad de la información. Esta norma no es cer-
tificable. En ella podemos encontrar 39 objetivos de control y 133 controles agrupados en 11
dominios diferentes. Como se ha mencionado anteriormente, la norma ISO 27001 incluye un
anexo que resume todos los controles que podemos encontrar en la norma ISO 27002.
ISO 27003
Es un manual para implementar un Sistema de Gestión de Seguridad de la Información y
además, nos da la información necesaria para la utilización del ciclo PHVA (viene de las siglas
Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”) y todos los requerimientos
de sus diferentes fases. El origen de esta norma se encuentra en el Anexo B de la norma
VOLVER AL ÍNDICE
26
BS7799-2 y en la serie de documentos publicados a lo largo de diferentes años con recomen-

daciones y guía de implementación.
ISO 27004
En este estándar se especifican las técnicas de medida y las métricas que son aplicables a la
determinación de la eficacia de un Sistema de Gestión de Seguridad de la Información y
los controles relacionados. Las métricas se utilizan para la medición de los componentes de
las fases “implementar y utilizar” del ciclo deming.
ISO 27005
Esta normativa establece las diferentes directrices para la gestión de los Riesgos en la Se-
guridad de la Información. Se trata de una norma de apoyo a los conceptos generales que
vienen especificados en la ISO 27001 y se encuentra diseñada para ayudar a aplicar, de una
forma satisfactoria, la seguridad de la información basada en un enfoque de gestión de ries-
gos. Para comprender a la perfección esta norma es necesario conocer todos los conceptos,
modelos, procesos y términos descritos en la norma ISO-27001 e ISO 27002. Dicha norma se
puede aplicar a todo tipo de organizaciones que tienen la intención de gestionar todos los
riesgos que se puedan dar en la empresa en temas de seguridad de la información.
ISO 27006
Este estándar específica todos los requisitos para lograr la acreditación de las entidades de
auditoría y certificación de Sistema de Gestión de Seguridad de la Información. ISO 27006
se trata de una versión revisada de la EA-7/03 (requisitos para la acreditación de entidades)
que añade a la ISO/IEC 17021 (requisitos para entidades de auditoría y certificación de Siste-
mas de Gestión), los requisitos específicos de la ISO 27001 y los del Sistema de Gestión de
Seguridad de la Información. Asimismo, esta norma ayuda a interpretar todos los criterios
de acreditación de ISO/IEC 17021 cuando se aplican en organismos de certificación de la nor-
ma ISO 27001, pero no se trata de una norma de acreditación por sí misma.
ISO 27007
Es un manual de auditoría de un Sistema de Gestión de Seguridad de la Información. Es
un estándar Internacional el cual ha sido creado para proporcionar un modelo para estable-
cer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de
Seguridad de la Información (SGSI).
ISO 27011
Es una guía de gestión de seguridad de la información específica para telecomunicaciones Ha
sido elaborada conjuntamente con la Unión Internacional de Telecomunicaciones (ITU).
ISO 27031
Es una guía de continuidad de negocio basada en las tecnologías de la información y las co-
municaciones. Explica los principios y conceptos de la tecnología de información y comu-
nicación (TIC), la preparación para que continúe el negocio, y la descripción de los procesos
y métodos necesarios para señalar e identificar todos los aspectos que sirvan para mejorar
la preparación de las TIC de una empresa con la finalidad de garantizar la continuidad del
negocio.
ISO 27032
Es un texto relativo a la ciber-seguridad. Se trata de un estándar que garantiza directrices de
seguridad que desde la organización ISO han asegurado que “proporcionará una colabo-
VOLVER AL ÍNDICE
26
ración general entre las múltiples partes interesadas para reducir riesgos en Internet”. Más
concretamente, ISO/IEC 27032 proporciona un marco seguro para el intercambio de informa-
ción, el manejo de incidentes y la coordinación para hacer más seguros los procesos.
ISO 27033
Es una norma derivada de la norma de seguridad ISO/IEC 18028 de la red. Esta norma da una
visión general de seguridad de la red y de los conceptos asociados. Explica las definiciones
relacionadas y aporta orientación de la gestión de la seguridad de la red.
Consiste en 7 partes:
%% Gestión de seguridad de redes

%% Arquitectura de seguridad de redes
%% Marcos de redes de referencia
%% Aseguramiento de las comunicaciones entre redes mediante gateways
%% Acceso remoto
%% Salvaguardia de comunicaciones en redes mediante VPNs
%% Diseño e implementación de seguridad en redes.
ISO 37034
Es una guía de seguridad en aplicaciones.
ISO 27799
Se trata de un estándar de Gestión de Seguridad de la Información dentro del sector sani-
tario aplicado a la norma ISO 17799 (actual ISO 27002). Dicha norma no es desarrollada por el
subcomité JTC1/SC27 sino que la lleva a cabo el comité técnico TC 215. Esta normativa define
las directrices necesarias para apoyar la interpretación y la aplicación en la salud informática
de la norma ISO 27002 y es un complemento a dicha norma. Esta especifica un conjunto
detallado de controles y directrices de buenas prácticas para la gestión de la seguridad de la
información por las empresas del sector sanitario.
SGSI
Los Sistemas de Gestión de Seguridad de la Información o SGSI, son un recurso que
permiten a las organizaciones garantizar que todos los activos de la empresa están siendo
manipulados adecuadamente y que no hay riesgos de fugas de información.
Para saber más sobre otros sistemas de gestión de riesgo y seguridad puedes visitar: https://
www.isotools.org/normas/riesgos-y-seguridad/

https://www.isotools.org/2015/01/21/familia-normas-iso-27000/
VOLVER AL ÍNDICE
27
SEGURIDAD
DE LA
ISO 27001: Pilares fundamentales de
INFORMACIÓN
un SGSI
El estándar ISO 27001 establece todos los requisitos necesarios a la hora de implementar
un Sistema de Gestión de Seguridad de la Información (SGSI) en cualquier tipo de em-
presa.
La parte más importante de una empresa es la información. Evidentemente, la empresa conta-

rá con otro tipo de activos que también tendrán una destacada importancia, pero si la organi-
zación tiene algún problema en la Seguridad de la Información, ésta no podrá recuperarla.
Esa es la principal razón por la que las empresas deben dedicar parte de su esfuerzo en ga-
rantizar la seguridad de la información corporativa.
Habitualmente, la gestión de la Seguridad de la Información en una empresa se encuentra

desorganizada, por lo que no cuenta con un criterio común, es decir, cada departamento de
la organización cuenta con sus propios procedimientos y políticas, que han sido constituidas
sin contar con las necesidades generales de la empresa e incluso podemos hablar de que se
encuentran alejadas de los objetivos del negocio.
Implementar un Sistema de Gestión de Seguridad de la Información basado en la norma

ISO 27001 es la manera más eficiente de poder conseguir la coordinación y gestión necesaria
para alcanzar los objetivos de la organización y además puede conseguir que la organización
salga mucho más reforzada.
Un Sistema de Gestión de Seguridad de la Información según la ISO27001 genera una

garantía con la que sabemos que poder realizar una adecuada gestión de la seguridad de la
información en la organización. Para ello, se debe realizar un tratamiento según los diferentes
niveles de riesgos cosechados como consecuencia de considerar los distintos efectos que se
pueden producir sobre la información de la organización.
VOLVER AL ÍNDICE
27
El Sistema de Gestión de Seguridad de la Información según la norma ISO-27001 gene-

ra un proceso de mejora continua y de gran flexibilidad frente a los cambios que se pueden
producir en la empresa refiriéndonos a los procesos de negocio y a la tecnología, ya que ésta
avanza a una gran velocidad.
El SGSI se basa en tres pilares fundamentales:
%% Confidencialidad: es la garantía de acceso a la información de los usuarios que se en-

cuentran autorizados para tal fin.
%% Integridad: es la preservación de la información completa y exacta.
%% Disponibilidad: es la garantía de que el usuario accede a la información que necesita en
ese preciso momento.
El Sistema de Gestión de Seguridad de la Información tiene que tener en cuenta los tres

pilares fundamentales para realizar el tratamiento de los riesgos de la organización ya que
la implementación de los controles de seguridad son los activos de la organización.
Sistema de Gestión de Seguridad de la Información
Implantar un Sistema de Gestión de Seguridad de la Información se encuentra basado en

la norma ISO-27001. Este estándar internacional presenta un sistema de gestión basado en el
ciclo de Deming: Planificar, Hacer, Verificar y Actuar, cuyas siglas en inglés son PHVA. El ciclo
Deming o ciclo PHVA, supone la implementación de un Sistema de Gestión que se centra
en la mejora continua que requiere de una constate evolución para adaptarse a los cambios
que se producen en la organización e intentar conseguir el mayor nivel de eficacia operativa.
Procedemos a describir todas las actividades que realizan en cada una de las cuatro fases del
ciclo Deming (PHVA):
%% Planificar: durante esta fase tiene lugar la creación de un Sistema de Gestión de Segu-
ridad de la Información, con la definición del alcance y la política de seguridad. Para
comenzar debemos realizar una análisis de riesgos que refleje la situación actual de la en-
tidad. Una vez realizado el análisis obtendremos unos resultados que definirán el plan de
tratamiento de riesgos que conlleva la implementación en la empresa de unos controles
de seguridad con el objetivo de mitigar los diferentes riesgos no asumidos por la dirección.
%% Hacer: durante esta fase de la implementación nos centramos en el plan de tratamien-
to de riesgos, es decir, su ejecución. Se debe incluir la formación y la conciencias de los
trabajadores de la organización en materia de seguridad y deben conocer la definición de
métricas e indicadores que se utilizarán para evaluar la eficacia de los diferentes controles
implementados.
%% Verificar: esta fase conlleva la realización de diferentes tipos de revisión en los que se
comprobarán la correcta implementación del Sistema de Gestión de Seguridad de la In-
formación según ISO 27001. Para ello, se deben realizar auditorías internas independien-
tes y objetivas, además de llevar a cabo una revisión global del Sistema de Gestión de
Seguridad de la Información por la alta dirección de la empresa, persiguiendo el fin de
marcarse nuevas metas a cumplir durante el próximo ciclo del SGSI.
%% Actuar: El resultado obtenido de las revisiones debe quedar reflejado en la definición e
implementación de las diferentes acciones correctivas, preventivas o de mejora con las
que se consigue avanzar en la consecución del Sistema de Gestión de Seguridad de la
Información siendo un sistema eficaz y eficiente.
Para implementar un Sistema de Gestión de Seguridad de la Información que se deben
VOLVER AL ÍNDICE
27
utilizar las dos normas, es decir, la ISO 27001 en la que se describe el ciclo PHVA de gestión
de sistemas y el estándar internacional ISO27002 en la que encontramos la guía de implanta-
ción de los diferentes tipos de controles de seguridad.
La norma tiene 11 dominios diferentes de controles que pretenden cubrir todos los ámbitos
de una entidad donde debe existir la seguridad de la información. Los dominios se encuen-
tran divididos en 39 objetivos de control que, a su vez, abarcan 133 controles de seguridad.
Se deben seleccionar los diferentes controles que se deben llevar a cabo para definir el plan
de tratamiento de riesgos, se debe nutrir de los 133 controles que encontramos en la norma
ISO 27002. El anexo A del estándar internacional ISO27001 engloba una lista con los diferen-
tes controles que sirven de unión entre ambas normas internacionales.
SGSI
La Seguridad de la Información en las organizaciones se ha convertido en un motivo de preo-
cupación y compromiso.
Para saber más sobre los Sistemas de Riesgos y Seguridad puedes visitar: https://www.iso-
tools.org/normas/riesgos-y-seguridad/

https://www.isotools.org/2015/01/13/iso-27001-pilares-fundamentales-sgsi/

de Gestión de Seguridad
de laInformación
DESCÚBRELO
VOLVER AL ÍNDICE
28
RECURSOS
GRATUITOS
4 documentos en pdf para aprender
sobre seguridad informática
La seguridad informática es una rama de la ingeniería de sistemas que se encarga de
coordinar acciones para proteger la integridad y la privacidad de la información que ha sido
almacenada en un sistema informático. La normativa ISO 27001 se encarga de plantear prácti-
cas para la implementación de sistemas que permitan mitigar los riesgos a los que se exponen
dichos sistemas.
¿En qué consiste la seguridad informática?

Proteger la integridad de la información no sólo es una cuestión de almacenamiento. Está bien
ordenarla y clasificarla, pero no es suficiente. Las amenazas que rondan a los datos tienen
estrategias sofisticadas. Los virus informáticos, por ejemplo, son programas dañinos que
se instalan en la memoria RAM de los ordenadores del usuario e impiden el normal acceso a
la información que allí reposa.
También están los denominados hackers o profesionales del saqueo informático, que se en-
cargan de bloquear los sistemas para acceder a bases de datos confidenciales y usar dicha
información para fines desconocidos.
Todas las empresas tienen información de carácter confidencial. En mayor o menor

medida, las empresas deben poner en marcha sistemas de protección para no verse afecta-
das por estos sofisticados programas de saqueo, sobre todo cuando la información implica un
elemento importante dentro de sus actividades comerciales.
Cualquier sistema de seguridad informática que se ponga en marcha en una empresa u orga-
nización debe apuntar a cuatro principios básicos:
1. Confidencialidad:
Habla del carácter privado de los datos almacenados en un sistema informático. Es especial-
mente aplicable cuando los equipos operan físicamente distantes del centro de operaciones
de la empresa.
VOLVER AL ÍNDICE
28
2. Integridad:
LEE ESTE Se refiere a la validez y la consistencia de la información. Los sistemas deben, por lo tanto,
ARTÍCULO
EN EL BLOG evitar duplicidades y velar por una buena sincronización.
https://www. 3. Disponibilidad:
isotools.or-
g/2015/09/22/4-do- Se trata de la continuidad de acceso a los datos por parte los usuarios. El objetivo es velar
cumentos-en-pdf-pa-
ra-aprender-so- por la permanencia del sistema informático.
bre-seguridad-infor-
matica/
Algunos PDF’s sobre la seguridad informática
Para conocer más de cerca todo lo relacionado con la seguridad informática y el buen trata-
miento de los datos y la información, existen algunos textos que pueden ayudarte a ampliar
tus conocimientos. Reseñemos cuatro de los más destacados:
1. ‘Seguridad Cibernética en América Latina y el Caribe’

Editado por la Organización de Estados Americanos (OEA), este texto habla de las tendencias
en materia de seguridad informática en los países de América Latina y el Caribe. Dedica un
apartado al planteamiento de prácticas efectivas para luchar contra hackers y otras amenazas
y especifica el grado de protección en el que se encuentran 29 países de la zona.
2. ‘Seguridad informática: mitos y realidades’

Este texto es de la Asociación Latinoamericana de Profesionales de la Seguridad Informática
(ALAPSI) tras la VII reunión de responsables en el área, que tuvo lugar en la ciudad de San
Pedro Sula (Honduras). Habla de la relación entre los sistemas de seguridad informática e
Internet y plantea soluciones efectivas que provienen de las nuevas tecnológicas. A la vez,
desmonta algunos mitos que en la actualidad impiden que muchas empresas se sumen a la
lucha generalizada contra los sistemas piratas y de robo de información.
3. ‘Gestión de incidentes en Seguridad Informática’

Tras realizar un repaso general del tema, el proyecto AMPARO pone el foco en cómo gestionar
los incidentes que se puedan presentar en torno a la seguridad informática. Para ello, enuncia
una serie de procesos y esboza recomendaciones y modelos que pueden ser aplicados en las
organizaciones ante incidentes de estas características.
4. Reporte se seguridad: América Latina 2015

Editado por el Laboratorio de Investigación de ESET Latinoamérica, este texto examina las
principales preocupaciones de las empresas en los países de la zona y realiza un ejercicio
comparativo entre unos y otros. Además, ahonda en el tipo de incidentes y en las medidas
que tomaron las organizaciones para reducir los efectos negativos de virus y otros ataques
informáticos. En el apartado final, los autores exponen los principales avances en la materia
y esbozan un panorama general de la seguridad informática en un capítulo dedicado a las
conclusiones extraídas tras el trabajo documental del reporte.
Función de los Sistemas de Riesgos Corporativos

La seguridad informática hace parte de las actividades vinculadas a los Sistemas de Riesgos
Corporativos. Este modelo de gestión está centrado en minimizar, reducir y, en la medida de
lo posible, eliminar las principales amenazas a las que se exponen las compañías durante la
ejecución de sus labores diarias.
El uso de instrumentos software, como ISOTools, puede hacer más efectiva la coordinación e
implementación de aquellas prácticas que promueven un sistema de seguridad informática.
VOLVER AL ÍNDICE
29
RECURSOS
GRATUITOS
ISO 27001: Pasos para la
implantación de la política de
seguridad y los procedimientos
Durante la lectura de este post conocerá mejor cómo debe realizar una política o un procedi-
miento de seguridad en el momento de implementar un Sistema de Gestión de Seguridad
de la Información según la norma ISO 27001.
Gracias a la experiencia y a los conocimientos que tenemos sobre este tema, podemos mos-
trarle los pasos que se deben de seguir y que pueden ser utilizados en cualquier tipo de
empresa, independientemente de su actividad o tamaño. Asimismo, se pueden aplicar a otros
tipos de Sistemas de Gestión que no tienen por qué estar relacionados con el estándar ISO
27001.
En primer lugar, debemos de estudiar los requisitos del sistema, es decir, tenemos que saber
si hay alguna legislación que nos obligue a incluir algún elemento específico por escrito (como,
por ejemplo, pudiera ser el contrato de un cliente). Igualmente, debemos conocer la legisla-
ción que nos influye y, sobre todo, los documentos con los que ya cuenta nuestra entidad. Sin
olvidar, todos los requisitos de la norma ISO-27001, siempre y cuando se tenga la intención
de cumplirlas.
En segundo lugar, debemos tener en cuenta todos los resultados recibidos del análisis de
riesgos que determinará todos los temas que se deben abordar en el documento -hablamos
del grado-, es decir, es probable que sea necesario clasificar la información de acuerdo a la
confidencialidad.
Este último paso puede tener menor importancia dependiendo de si el procedimiento o la

política no se encuentra relacionada con la seguridad de la información o la continuidad del
VOLVER AL ÍNDICE
La norma ISO 27001:
Aspectos clave de su diseño
e implantación
DESCARGAR AHORA
29
negocio. Los principios de gestión de riesgos se pueden aplicar a distintas áreas de la empre-
sa, como pueden ser:
%% Gestión de la Calidad ISO 9001

%% Gestión Ambiental ISO 14001, etc.
El siguiente y tercer paso es alinear y optimizar los documentos del Sistema de Gestión de
Seguridad de la Información basado en la ISO 27001 ya que es fundamental conocer la
cantidad total de documentos. Lo buen es administrar un solo documento, especialmente
si el grupo de lectores se dirige al mismo. No es aconsejable redactar un documento de cien
páginas ya que no se puede administrar de una forma coherente.
Es importante tener en cuenta el cuidar minuciosamente la alineación de los documentos

con otros que se encuentren redactados de forma muy similar, ya que es posible definir los
temas que ya han sido definidos en otro documento. Por ello, es muy importante conocer si
se debe ampliar el documento ya existente o redactar uno nuevo.
En el caso de que tengamos que redactar un nuevo documento sobre un tema que ya se
encuentre en otro, debes asegurarte de no repetirte y no escribir el mismo tema en los dos
documentos. En este caso, sería una pesadilla actualizar los dos documentos. En el momento
que sea necesario, es mucho mejor que un documento haga referencia a otro pero sin repetir
lo mismo.
El cuarto paso sería el de la estructura del documento, es decir, la empresa tiene que
definir un formato para todos sus documentos, debe tener disponible una plantilla con las
fuentes, los encabezados, los pies de página, la distancia en los márgenes y demás aspectos
predeterminados.
En el caso de que ya tenga implementada la norma ISO 27001, tiene que respetar el proce-
dimiento para controlar los documentos. El tipo de procedimiento no define el formato
en el que se debe encontrar el documento sino que genera las reglas para su aprobación,
distribución, etc.
El quinto paso será el de redactar el documento. El criterio que debemos seguir es que
cuanto más pequeña sea la organización y menores los riesgos, menos complejo será el docu-
mento. No nos sirve de nada redactar un extenso y completo documento que nadie leerá. Las
personas que lean el documento, le prestarán la atención adecuada en función del tiempo del
que dispongan y la cantidad de líneas que se encuentre.
Un buen sistema es involucrar a los empleados en la redacción o facilitándoles que aporten

información a la hora de redactar el mismo. De esta forma, comprenderán lo necesario que es.
El sexto paso es conseguir la aprobación del documento ya que, una vez que esté redac-
tado, lo importante es que se apruebe el documento. Además, se debe conocer quién es la
persona con suficiente poder en la organización para poder aprobar el documento.
La persona con suficiente poder para aprobarlo debe comprenderlo, aprobarlo y requerir
activamente su implementación. Parece un aspecto sencillo pero no lo es. Este paso es el que
genera más fracasos durante la implementación.
El último paso que debemos seguir es la capacitación y la concienciación de sus empleados.
Este paso puede ser el más importante pero, por desgracia, es el que más se olvida. Los em-
pleados deben encontrarse mucho más involucrados en el proceso ya que si solo reciben
cambios que le van a hacer trabajar más no lo van a recibir con el suficiente interés.
VOLVER AL ÍNDICE
29
Por todo esto, es fundamental explicarles a los trabajadores por qué es necesaria la política
de seguridad de la información o los procedimientos. Tanto es así que es importante no
solo para la organización sino también para todas las personas que trabajan en ésta.
De vez en cuando hace falta capacitar a los empleados ya que sería incorrecto que asumie-
ran responsabilidades sin contar con la preparación y conocimientos necesarios.
Aunque parezca que se ha llegado al final de la implementación de sus documentos, no es así.

No es suficiente contar con una política de seguridad y un procedimiento perfecto, sino
que lo más importante es mantenerlo.
El documento debe ser actualizado y mejorado continuamente, y de eso, se tiene que res-
ponsabilizar alguien. Normalmente suele ser la misma persona que lo redacta.
No es suficiente con contar con una buena plantilla para poder redactar los documentos ne-
cesarios, sino que se necesita un enfoque sistemático para poder contar con la política de
seguridad o los procedimientos exitosos. Lo necesario es realizar un enfoque sistemático a la
hora de llevar a cabo la implementación del Sistema de Gestión de Seguridad de la Infor-
mación según la norma ISO-27001.
Como conclusión debemos tener claro que el documento no es un fin en sí mismo, es solo una
herramienta para poder realizar las actividades y los procesos sin problemas.
SGSI
Los Sistemas de Gestión de Seguridad de la Información o SGSI garantizan la seguridad
de la información de las organizaciones. Las empresas no solamente están sometidas a este
tipo de riesgos, por ello os invitamos a visitar el siguiente enlace y conocer las diferentes
normativas relacionadas con los riesgos y seguridad: https://www.isotools.org/normas/ries-
gos-y-seguridad/

https://www.isotools.org/2015/02/12/iso-27001-pasos-implantacion-politica-seguridad-procedi-
mientos/

de laInformación
DESCÚBRELO
VOLVER AL ÍNDICE
30
RECURSOS
GRATUITOS
Cómo implementar un Sistema
de Gestión de Seguridad de la
Información
La ISO 27001 es una norma internacional que permite el aseguramiento de la confidencia-
lidad e integridad de los datos y de la información de cualquier organización, así como de
los sistemas que la procesan. Esto permite a las organizaciones salvaguardar la información
que custodian, sobre todo en la red y formatos digiales, evaluando objetivamente los ries-
gos y definiendo una serie de medidas para eliminarlos o reducirlos al máximo.
En base a esta norma certificada, cualquier empresa puede establecer un sistema de seguri-
dad, teniendo que seguir para ello los siguientes pasos:
Determinar la política a seguir

Una vez la Dirección de la organización esté suficientemente involucrada y comprometida con
el proyecto, el siguiente paso consiste en definir:
%% El tipo de política de seguridad de la información que se quiere llevar a cabo.

%% Objetivos y metas lo más concretos posible en materia de seguridad.
%% Recursos a utilizar.
%% Definición de responsabilidades.
Selección de un método para la evaluación y análisis de riesgos

Es necesario elegir un modelo de evaluación de riesgos para conocer los peligros potenciales
y de qué forma dichos riesgos pueden afectar a la información confidencial y los sis-
temas informáticos de la empresa. Finalmente, también hay que valorar la probabilidad
de que ese peligro potencial se convierta en una realidad. Es importante que, a partir de
ese modelo, la empresa sea capaz de:
VOLVER AL ÍNDICE
30
%% Evaluar los riesgos relacionados con confidencialidad, integridad y disponibilidad.

%% Determinar criterios que definan qué se entiende por riesgo aceptable.
%% Estimar los diferentes niveles de riesgo y sus consecuencias asociadas.
%% Determinar si los riesgos son aceptables o si requieren una acción siguiendo criterios de
aceptabilidad previamente definidos.
%% Valorar los costos de la eliminación de riesgos.
Definir acciones y objetivos para gestionar los riesgos

El siguiente paso consiste en la definición de la acciones necesarias para contrarrestar
dichos riesgos y su implantación. En este proceso se deben tener en cuenta los criterios de
riesgos aceptables e inaceptables, así como obligaciones legales, regulatorias y contractuales.
Implementación de la ISO 27001

Tomando como base esta norma certificada se deben realizar, entre otras, las siguientes
acciones:
%% Una descripción de la gestión de riesgos donde se detalla la planificación de: acciones,

recursos, responsabilidades y el orden de prioridad con respecto a la seguridad de la in-
formación.
%% Un plan de gestión de riesgos para alcanzar los objetivos incluyendo la financiación y la
asignación de funciones y responsabilidades.
%% Las medidas necesarias para alcanzar los objetivos.
%% Planes de capacitación de los profesionales.
%% Implementación del sistema y gestión de los recursos.
Concienciación de los empleados y asignación de recursos

Para implementar con éxito un Sistema de Gestión de Seguridad se deben asignar recursos
suficientes, tanto económicos como de infraestructura técnica, personal y tiempo. También
es importante que los empleados que trabajan con el sistema de gestión de seguridad de la
información, por ejemplo con el mantenimiento del sistema, la documentación o la seguridad
sean formados correctamente.
Finalmente, todos los empleados deben estar suficientemente concienciados de los

riesgos y medidas para su prevención, poniendo todo de su parte para eliminarlos o minimi-
zarlos.
Realizar controles internos

Para garantizar que el sistema de gestión de seguridad de la información es efectivo y lo segui-
rá siendo el el futuro, la norma ISO 27001 incluye los siguientes requisitos:
%% Ejecutar auditorías internas.

%% La Dirección debe realzar evaluaciones periódicas del Sistema de Gestión de Seguri-
dad la información para asegurar que el sistema permanece completo y, de forma paralela,
facilitar los procedimientos para encontrar errores e implantar mejoras .
VOLVER AL ÍNDICE
30
La Plataforma ISOTools facilita la automatización de la ISO 27001

La ISO27001 para los SGSI es un norma sencilla de gestionar de forma automatizada con la
Plataforma Tecnológica ISOTools. Con ISOTools se da cumplimiento a los requisitos basados
en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, man-
tener y mejorar el Sistema Gestión de la Seguridad en la Información.
De manera complementaria, esta plataforma permite poner en práctica los controles estable-
cidos en ISO 27002, así como los requisitos de otras normas de Seguridad de la Informa-
ción como PMG SSI de los Servicios Públicos de Chile, entre otros.

https://www.isotools.org/2015/08/13/como-implementar-un-sistema-de-gestion-de-seguri-
dad-de-la-informacion/

de laInformación
DESCÚBRELO
VOLVER AL ÍNDICE
31
ALTA
DIRECCIÓN
ISO 27001: El papel de la alta
dirección en un SGSI
La implicación de la alta gerencia de la organización es uno de los principales componentes
para poder implementar un Sistema de Gestión de Seguridad de la Información (SGSI) según
la norma ISO 27001.
Desde un primer momento, tenemos que asumir que el Sistema de Gestión de Seguridad
de la Información afecta a la gestión del negocio y requiere que todas las acciones futuras
y las decisiones que se tomen solo las puedan desarrollar la alta dirección de la organización.
No podemos considerar que el Sistema de Gestión de Seguridad de la Información o SGSI

sea una cuestión meramente tecnológica o técnica de los niveles inferiores de la empresa
sino todo lo contrario, la gerencia debe tener la responsabilidad de gestionar los riesgos y los
impactos del negocio.
Desde el punto de vista del alcance del Sistema de Gestión de Seguridad de la Información,
el término dirección de la organización debe estar contemplado siempre. Las tareas funda-
mentales del Sistema de Gestión de Seguridad de la Información que ISO 27001 asignan a la
dirección en que se detallan los siguientes elementos:
Compromiso con la dirección

La alta dirección de la entidad debe comprometerse con la implementación, establecimiento,
operación, monitorización, mantenimiento, revisión y mejora del Sistema de Gestión de Se-
guridad de la Información. Para ello, se pueden llevar a cabo las siguientes iniciativas:
%% Desarrollar una política de seguridad de la información.

%% Garantizar el cumplimiento de planes y objetivos de Sistema de Gestión de Seguridad de
la Información.
%% Constituir roles y responsabilidades de seguridad de la información.
%% Informar a la empresa la importancia de alcanzar los objetivos de seguridad de la informa-
ción y de cumplir con la política de seguridad.
VOLVER AL ÍNDICE
31
%% Designar todos los recursos necesarios para llevar a cabo el SGSI.

%% Determinar todos los criterios de aceptación de riesgos y sus correspondientes niveles.
%% Asignar los recursos suficientes para todas las fases del SGSI.
%% Garantizar que se realizan todas las auditorías internas.
%% Llevar a cabo revisiones periódicas del SGSI.
Asignación de recursos
Para que se realicen todas las actividades vinculadas con el Sistema de Gestión de la Segu-
ridad de la Información, es fundamental designar los recursos necesarios. Es tarea de la alta
dirección la de garantizar que cuentan con los suficientes medios para:
%% Operar, establecer, implementar, monitorizar, revisar y mantener el Sistema de Gestión de

Seguridad de la Información.
%% Poder asegurar que todos los procedimientos de seguridad de la información apoyan a los
requerimientos de negocio.
%% Detallar todos los requerimientos necesarios para cumplir con la legislación vigente.
%% Suministrar todos los controles implementados de una forma correcta.
%% Desarrollar todas las revisiones cuando sea necesario.
%% Mejorar la eficiencia del Sistema de Gestión de Seguridad de la Información.
Formación y concienciación
Para conseguir el éxito de un Sistema de Gestión de Seguridad de la Información basado en
la norma ISO-27001 es fundamental contar con dos elementos muy básicos como son la
formación y la concienciación en Seguridad de la Información.
Por ello, la alta gerencia de la organización debe garantizar que todos los empleados tengan
sus responsabilidades asignadas y definidas en el SGSI. Por lo que se deberá:
%% Decidir las competencias necesarias que debe tener cada trabajador de la empresa en
función de las tareas que vaya a desempeñar.
%% Complacer las necesidades mediante planes de formación.
%% Analizar y evaluar la eficiencia de las acciones que ha desarrollado.
%% Conservar todos los registros de estudios, formación, habilidades, experiencia y cualifica-
ción.
La alta dirección tiene que garantizar que todos los empleados relevantes se involucren y se
conciencien de la importancia de las actividades relacionadas con la seguridad de la infor-
mación y el grado de contribución a la consecución de los objetivos del Sistema de Gestión
de Seguridad de la Información.
Revisión de Sistema de Gestión de Seguridad de la Información

La tarea que se le debe a signar a la alta dirección de la organización es que, al menos una
vez al año, revise el Sistema de Gestión de Seguridad de la Información, para poder ga-
rantizar que continúa siendo eficaz, eficiente y adecuado. Para ello, la gerencia debe recibir
una serie de información para ayudarle en esa toma de decisiones y entre ellas destacamos
las siguientes:
VOLVER AL ÍNDICE
31
%% Amenazas o vulnerabilidades que no sean trasladadas adecuadamente en evaluaciones de

riesgos anteriores.
%% Los resultados de las mediciones de eficacia.
%% Resultados de las auditorías y revisiones del SGSI.
%% Controlar todas las partes interesadas.
%% Productos, técnicas o procedimientos que puedan ser útiles para mejorar el rendimiento
y eficiencia del SGSI.
%% Comunicar el estado de las distintas acciones preventivas y correctivas.
%% El estado de las acciones iniciadas a raíz de las diversas revisiones anteriores de la direc-
ción de la organización.
%% Cualquier cambio que puede afectar al Sistema de Gestión de Seguridad de la Información.
%% Obtener recomendaciones de mejora.
Por otra parte, si nos centramos en todas las informaciones, la gerencia tiene que revisar el
Sistema de Gestión de Seguridad de la Información y tomar las decisiones relativas y
oportunas a:
%% Enriquecer y desarrollar la eficiencia del Sistema de Gestión de Seguridad de la Informa-

ción.
%% Actualización del plan de tratamiento de riesgos y de la evaluación de riesgos.
%% Cambiar los controles y procedimientos que afecten a la seguridad de la información. De
esta forma, obtendremos como respuesta cambios internos o externos en los requisitos
de los negocios.
%% Necesidad de recursos.
%% Mejorar la forma de medir la eficacia de los controles.

Los Sistemas de Gestión de Seguridad de la Información pueden gestionarse a través
de herramientas tecnológicas como ISOTools que cuenta con una serie de aplicaciones espe-
cíficas para esta temática tales como evaluación de riesgos de seguridad de la información o
aplicaciones de autodiagnóstico que dan la posibilidad de automatizar la implantación y man-
tenimiento de la norma ISO-27001.
Para conocer más sistemas relacionados con los riesgos y la seguridad puedes visitar: https://
www.isotools.org/normas/riesgos-y-seguridad/

https://www.isotools.org/2015/02/04/iso-27001-papel-alta-direccion-sgsi/
VOLVER AL ÍNDICE
32
SEGURIDAD
DE LA
ISO 27001: Seguridad informática y
INFORMACIÓN
seguridad de la información
A lo largo de este artículo veremos la diferencia que existe entre seguridad informática y se-
guridad de la información. La norma ISO 27001 nos posibilita conocer la seguridad de la
información gracias a la implantación de un Sistema de Gestión de Seguridad de la Infor-
mación.
Seguridad informática
La totalidad de los especialistas en seguridad basan sus conocimientos y experticias sobre
el aspecto técnico tradicional de la seguridad, esto es en las áreas IT, aunque bastantes de
ellos consideran las cuestiones propias como el nuevo aspecto en las comunicaciones y que
hace que actualmente se hable de TIC.
Además de tener un enfoque técnico prácticamente, los especialistas únicamente se mane-

jan con las vulnerabilidades y en parte con amenazas en forma de ataques, todo lo dicho no
se considera suficiente para hablar de los riesgos correspondientes.
Con el fin de establecer una evaluación de riesgos, se necesita realizar una evaluación a los
activos, además de identificar cualquier amenaza que pueda aprovechar y explotar las vulne-
rabilidades de estos activos. Expuesto lo anterior, sí podemos realizar la determinación de los
riesgos teniendo como referencia:
%% Activos: con un rango de 5 a 8.

%% Vulnerabilidades: rango de 3.
%% Amenazas: rango de 3 a 5.
En el caso de que más tarde se pretenda determinar qué hacer con los distintos riesgos, en
el mayor número de casos se persigue mitigar hasta conseguir un nivel aceptable, por lo que
habrá que implantar las medidas de seguridad que se consideren oportunas para tal efecto.
Si encontramos riesgos con características técnicas, el enfoque más eficaz es llevar a cabo un
VOLVER AL ÍNDICE
32
análisis gracias a los estándares técnicos o bien gracias a las normas internacionales, como
la ISO 27002, en la que se realizan todos los controles necesarios y se determina el nivel en
que se tiene que implantar para minimizar los riesgos que se encuentren a niveles aceptables.
Hasta llegado este punto hablamos de seguridad informática. Este término es una traduc-
ción del inglés, information security, el sentido que recoge dicha problemática se aproxima
más a términos como pueden ser “computer security” o network security”.
Seguridad de la información
Estamos ante un proceso en que se está produciendo modificaciones, por lo que el término
Seguridad de la Información está tomando una traducción más acertada sobre information
security. Aunque aún hay muchos especialistas que siguen nombrándolo según el enfoque
técnico que hemos comentado anteriormente.
La Seguridad de la Información es muy extensa, por lo que no es sólo una cuestión técni-
ca sino que supone una responsabilidad de la alta dirección de la empresa, así como de sus
directivos.
Tenemos que tomar en cuenta que el ambiente TIC está orientado al servicio y a la actuación
en función de los procesos de negocio. Se diferencia de los procesos centrales de la misma
empresa que constituyen el núcleo de los negocios de la empresa.
En el caso de no involucrarse las unidades activas y los líderes de negocio, como podrían ser,
ejecutivos, directivos, etc. de las entidades, no podrá existir un plan de Seguridad de la Infor-
mación, a partir de todos los riesgos determinados. Todo ello se lleva a cabo en el seno del
sistema de dirección y control propio del gobierno corporativo.
Se tiene que considerar los sujetos, los procesos y las funciones de negocio, además de la
protección de todos los activos/recursos de la entidad impulsora, propietaria y beneficiaria
de la Seguridad de la Información, dentro de un marco de responsabilidades compartidas.
Se tienen que considerar la totalidad de los riesgos técnicos de TIC, además de que la segu-
ridad se desarrolle por toda la empresa, es decir, son riesgos organizacionales, operacionales
y físicos.
Los riesgos operacionales son hoy en día más cruciales en lo referente a Seguridad de la
Información. Las vulnerabilidades de este tipo de riesgo se expanden durante una amplia
gama de grises, en conexión con el comportamiento humano y los juicios subjetivos de las
personas, la resistencia al cambio, la cultura empresarial, la forma de comunicarse, etc.
Establecer las distintas vulnerabilidades de una empresa es un proceso muy distinto a las
mediciones o lecturas tomadas con los ordenadores, servidores, rúters, etc. como normal-
mente no se disponen de datos históricos suficientes, realizar un análisis exacto se hace muy
complicado. El análisis es completado con información que se puede recabar y que corres-
ponda con la información subjetiva surgida de las opiniones distintas. Dichas opiniones pue-
den ser identificadas y analizadas a través del método de investigación prospectiva, seguido
muy de cerca por entrevistas personales que establecen el valor de estas opiniones.
La evaluación de los activos no se encuentra al alcance de la mayoría de los técnicos. Los

propietarios de los procesos de negocio son quienes pueden determinar un valor correcto de
los mismos y de allí derivar a los valores de los activos que se utilizan en las distintas funciones
que componen cada caso.
VOLVER AL ÍNDICE
32
Seguridad de la Información y Seguridad Informática

El desarrollo que se ha experimentado en cuanto a seguridad informática al de seguridad
de la información, implica incrementar el campo de visión del marco de riesgos de negocio
respectos a la perspectiva tradicional de seguridad técnica, fundamentada en las vulnerabili-
dades.
En el entorno de la seguridad de la información los riesgos de negocio incluyen, no sólo

las vulnerabilidades y las amenazas, sino que incluyen también el conjunto de factores que
determinan los riesgos:
%% Activos
%% Vulnerabilidades
%% Amenazas
Los riesgos de negocio que incluyen los riesgos organizacionales, operacionales, físicos y de
sistemas TIC.
Podemos conseguir un enfoque completo de seguridad de la información en la parte en

la cual se considera los recursos necesarios para minimizar los riesgos dentro de un plan de
seguridad, no se puede considerar un gasto sino una inversión para la empresa. Solicita de un
análisis y determinar de una manera cuantificable el retorno de las inversiones en seguridad.

La implantación de un Sistema de Gestión de Seguridad de la Información en las em-
presas supone un paso más para garantizar a los usuarios que la información manipulada por
dicha empresa se realiza bajo la máxima seguridad.
Para saber más sobre los Sistemas de Riesgos y Seguridad puedes visitar el siguiente enlace:
https://www.isotools.org/normas/riesgos-y-seguridad/

https://www.isotools.org/2015/01/05/iso-27001-seguridad-informatica-seguridad-informacion/
VOLVER AL ÍNDICE
Seguridad
y Salud
Laboral.
33
PLAN DE
SEGURIDAD
¿Cómo elaborar un plan de seguridad
y salud en el trabajo?
OHSAS 18001 es una normativa de origen británico que contempla los requisitos para la
adopción de un Sistema de Gestión de Seguridad y Salud en el Trabajo. Es decir, su
principal objetivo es ayudar a las organizaciones a identificar los riesgos derivados de sus pro-
cesos internos e implementar soluciones preventivas.
¿En qué consiste un Plan de Seguridad?

Entre los documentos más importantes con los que debe contar una empresa, el Plan de
Seguridad Laboral ocupa un lugar destacado. En él se recogen las directrices para identi-
ficar y gestionar los riesgos ligados a la actividad comercial de cada compañía, ya sean riesgos
internos o externos.
También conocido como Plan de Riesgos Laborales, debe estar integrado en la gestión
de cada organización y reflejarse en un documento escrito que sirva de consulta tanto
para los miembros de la empresa como para terceras personas, por ejemplo los auditores, las
autoridades sanitarias y los representantes de los trabajadores.
El ítem fundamental para su desarrollo es la actividad de la empresa. No es lo mismo elaborar

un Plan de Riesgos Laborales para una constructora que para una compañía de vigilancia. Las
necesidades y los riesgos son distintos en cada caso. Los principales elementos que debe
incluir dicho plan son:
%% Identificación de la actividad productiva de la empresa.

%% Estructura organizativa.
%% Número de departamento y de trabajadores.
%% Prácticas existentes para la gestión y prevención de riesgos y accidentes.
%% Política y objetivos de la empresa en el área de prevención.
Pasos para la elaboración de un Plan de Seguridad

Como hemos dicho anteriormente, el proceso de elaboración de un Plan de Seguridad varía
en función de las necesidades y objetivos de cada empresa. Sin embargo, una lista estándar
incluiría algunos pasos como los que mencionamos a continuación:
VOLVER AL ÍNDICE
33
Definición de la Política de Seguridad:

No basta con las buenas intenciones de las empresas. Es necesario definir una política
corporativa en materia de prevención de riesgos y dejarla por escrito en un primer apar-
tado del Plan de Seguridad. Es como una especie de introducción del documento definitivo.
Formación y toma de conciencia:

Los trabajadores de la organización deben estar bien preparados para el proceso de ela-
boración del Plan de Seguridad. Sobre todo, deben tener claro qué es un riesgo laboral y
cómo identificarlo en los procesos de la empresa. ¿Quién mejor que ellos mismos para saber
cuáles son las principales amenazas?
Asignación de responsabilidades:
Cuando el ciclo formativo haya concluido, los líderes del proceso deben asignar responsabili-
dades a los miembros seleccionados. No necesariamente tienen que participar todos, aunque
sí es fundamental que estén al tanto de lo que se lleva a cabo. El proceso debe ser estructural.
Evaluación de las condiciones y riesgos:

Es la parte neurálgica del proceso. En ella, los miembros del equipo evalúan las condiciones
de trabajo que imperan en la organización, identifican los riesgos reales y potenciales y se
realizan un diagnóstico sobre ellos.
Investigación:
Las conclusiones de la evaluación darán paso a la investigación de las causas de los riesgos
reales o potenciales. Más que buscar responsables directos, la idea es centrarse en eliminar
los detonantes de dichos riesgos y buscar soluciones para mitigar su impacto y prevenirlos.
Recordemos, la función del Plan de Seguridad Laboral es sobre todo preventiva y a
largo plazo.
Documentación:
Todo lo que surja de estas jornadas de evaluación e investigación debe aparecer en un docu-
mento base, que será el Plan de Seguridad. La última etapa consiste en la redacción y adapta-
ción del mismo, pues el objetivo es que se convierta en un texto de consulta para miembros
de la organización y terceras personas.
El plan de seguridad, pieza clave en el proceso de implementación

Un plan de seguridad y salud laboral, es el primer paso para la implementación del Sistema de
Gestión de Riesgos y Seguridad incluido en la normativa OHSAS 18001. En él deben quedar
claras las necesidades de las empresas en el área de Riesgos Laborales y cada una de las eta-
pas en las que se dividirá el proceso.
Si quieres garantizar los resultados de esta etapa, puedes hacer uso de la plataforma ISO-
Tools, que te ofrece recursos para la identificación los de riesgos laborales a los que están
sometidos los trabajadores, las empresas y la sociedad en general.

https://www.isotools.org/2015/10/21/como-elaborar-un-plan-de-seguridad-y-salud-en-el-trabajo/
VOLVER AL ÍNDICE
34
AUDITORÍAS OHSAS 18001: Tipos de auditoría

para las organizaciones
La norma OHSAS 18001 determina los requerimientos para un Sistema de Gestión de la Se-
guridad y Salud en el Trabajo (SST), destinados a permitir que una empresa controle sus ries-
gos para la SST y mejore su ejercicio de la SST.
Certificar e implantar un Sistema de Gestión de la Seguridad y Salud en el Trabajo según

OHSAS 18001 permite a las empresas:
%% Cumplir la legislación en materia de prevención, integrando ésta última en los procesos

de la empresa, lo que conlleva una disminución de los costos y sanciones administrativas
derivadas de su incumplimiento, además de una mejora de la gestión interna de la empre-
sa y de la comunicación entre organización con el trabajador, las administraciones y partes
interesadas.
%% Reducir la frecuencia de siniestros laborales y aumentar la productividad, controlando,
evaluando y analizando los riesgos asociados a cada puesto de trabajo, y evitando las cau-
sas que originan los accidentes y las enfermedades en el trabajo. La percepción de un en-
torno laboral más seguro por los trabajadores conlleva una disminución de las enfermeda-
des, bajas o absentismo laboral, una reducción progresiva de la siniestralidad, un aumento
de la productividad y un descenso de sanciones y gastos innecesarios.
%% Promover una cultura preventiva mediante la integración de la prevención en el sistema
general de la empresa (exigido por ley) y el compromiso de todos los trabajadores con la
mejora continua en el desempeño de la SST.
El estándar OHSAS 18001 puede ser examinado según tres tipos de auditorías que comenta-
remos en este post.
Hablamos de auditorías de primera parte, de segunda y de tercera parte.
Auditoría OHSAS 18001 de primera parte

Son conocidas igualmente como auditorías internas y en la mayoría de casos son realizadas
por la empresa, aunque también es una actividad que se puede sub-contratar. Consisten en
auditorías de una organización o parte de ella que se ejecutan según los requisitos estableci-
dos en la cláusula 4.5.5 de la norma OHSAS-18001.
VOLVER AL ÍNDICE
34
En este capítulo, la normativa expresa que la empresa debe asegurarse de que las auditorías
internas del Sistema de Gestión de Seguridad y Salud en el Trabajo (SST) llevadas a cabo
en la organización se realizan periódicamente para:
Determinar si nuestro Sistema de Gestión de SST OHSAS18001:

%% Se adapta a las disposiciones planificadas para la gestión de la SST, incluyendo los requisi-
tos de la norma.
%% Ha sido instaurado correctamente y se mantiene igual.
%% Es lo suficientemente eficiente para cumplir con los objetivos y la política de la organiza-
ción.
Proporcionar información sobre el resultado obtenido en la auditoría.
Estos resultados sirven para establecer, implementar, planificar y mantener programas de

auditoría, sin olvidar tener en cuenta además las evaluaciones de riesgos de las actividades de
la organización.
Por otro lado, OHSAS 18001 también indica que es necesario contar con uno o varios proce-
dimientos de auditoría que traten sobre:
%% Requisitos, responsabilidades y competencias para proyectar y ejecutar estas auditorías,

comunicar los resultados y mantener los registros ligados a dichas auditorías.
%% La especificación de los criterios de auditoría, el alcance de la misma, la frecuencia y los
métodos empleados.
Este tipo de auditorías son planificadas para trabajar, como hemos citado arriba, sobre la base
de un programa establecido en los distintos departamentos de la entidad. El objetivo de todo
esto es garantizar que se respetan las actividades del Sistema de Gestión de Seguridad y
Salud en el Trabajo y los requisitos de la norma OHSAS-18001. Como último fin es promover
la mejora continua del sistema.
Auditoría OHSAS 18001 de segunda parte

Son también conocidas como auditorías a proveedores. Las realiza el cliente sobre éstos. El
objetivo principal de este tipo de auditorías es minimizar los riesgos del negocio ligados a las
compras, subcontrataciones, out-sourcing y la gestión de la cadena de suministro.
Normalmente, una empresa acepta el hecho de que su proveedor tiene el certificado del Sis-
tema de Gestión de Seguridad y Salud en el Trabajo según la norma OHSAS18001 como
prueba del cumplimiento con los requisitos de la SST, y no realiza ningún tipo de auditoría.
Pero si el proveedor posee un Sistema de Gestión de Seguridad y Salud Ocupacional que
no está certificado, es aconsejable que la organización ejecute las auditorías correspondien-
tes, contando con el equipo auditor cualificado pertinente.
Estas auditorías también necesitan de la preparación de un programa. De ellas resultan ac-

ciones correctivas que el auditado tendrá que aceptar e implantar. En este caso, la empresa
auditada debería aceptar las acciones correctivas propuestas por el auditor ya que de él de-
pende la valoración del proveedor.
Auditoría OHSAS 18001 de tercera parte

También conocidas como auditorías de certificación. Son ejecutadas por una entidad au-
VOLVER AL ÍNDICE
34
ditora independiente, ajena a la organización auditada. Este tercer tipo de auditoría es mucho
LEE ESTE más formal y se realiza para obtener el certificado de conformidad con los requisitos del es-
ARTÍCULO tándar OHSAS 18001.
EN EL BLOG
En este caso, el auditor no puede aconsejar a la organización auditada sobre las acciones
https://www.
isotools. correctivas que deben tomar.
org/2015/01/22/
ohsas-18001-ti-
Existen dos fases en las que se divide el desarrollo de este tipo de auditoría:
pos-de-auditoria-pa-
ra-las-organizacio-
nes/ Fase primera o fase inicial.
En esta primera fase se realiza la planificación de la auditoría. Sirve, además, como evaluación
para comprobar si el sistema es sólido y si tiene la madurez suficiente para conseguir el certi-
ficado. Suele ser una etapa fácil, pues normalmente este tipo de auditorías siguen una rutina
ya modelada.
Fase segunda o fase principal.
Consiste en una auditoría completa del sistema. Se enfoca en valorar la adecuación, capaci-
dad y eficacia del Sistema de Gestión de Seguridad y Salud Laboral según el estándar
OHSAS-18001.
Estas auditorías, incluyendo los tres tipos, siempre se desarrollan para lograr unos propósitos,
entre ellos destacamos:
%% Para seleccionar un subcontratista.

%% Para comprobar el funcionamiento de un subcontratista a lo largo de la duración del con-
trato o del desarrollo de un proyecto.
%% Para comprobar el funcionamiento y las mejoras del sistema.
%% Para resolver un problema. Las actividades de esta auditoría son examinadas para aclarar
e identificar las causas de un problema en el Sistema de Gestión de Seguridad y Salud
en el Trabajo basado en la norma OHSAS18001.
%% Para obtener la certificación del sistema OHSAS 18001.
Las actividades de auditoría, incluyendo los tres tipos anteriormente mencionados, del Sis-
tema de Gestión de Seguridad y Salud en el Trabajo según OHSAS 18001 van a estar
alineadas en cumplir con unos objetivos:
%% Determinar áreas de mejora.

%% Eficacia del Sistema de Gestión de SST.
%% Conformidad del Sistema de Gestión de Seguridad y Salud Ocupacional.
%% Cumplir con los requisitos legales.
%% Evaluar subcontratistas.
Sistema de Gestión de Seguridad y Salud Laboral

Existen diversas normas sobre Riesgos y Seguridad, para saber más sobre ellos puedes visi-
tar: https://www.isotools.org/normas/riesgos-y-seguridad/
VOLVER AL ÍNDICE
35
IMPLEMENTACIÓN
OHSAS 18001: Fases para su
implementación
La norma OHSAS 18001 se puede aplicar en cualquier tipo de empresa, independientemente
del sector que sea y el tamaño que tenga. En ocasiones, nos encontramos perdidos a la hora
de implantar un Sistema de Gestión de Seguridad y Salud en el Trabajo (SG-SST) y no
sabemos por dónde empezar. Desde este post, vamos a describir una secuencia de 10 fases
que pueden ayudarnos a poner en marcha este proyecto.
Fase 1: Conformidad de la dirección

En esa fase, la alta dirección será la protagonista de la Gestión de la Seguridad y Salud en el
Trabajo y, por ello, resulta imprescindible que contemos con el compromiso e involucración
de la gerencia en la implementación de la norma OHSAS-18001.
Como empresa, debemos tener claro con qué fin se inicia este proceso de implementación de
la norma. El objetivo es llevar a cabo un sistema de gestión basado en la OHSAS18001 para
lograr la mejora continua de la seguridad y salud en el trabajo.
Fase 2: Plan de Prevención

Antes de la implementación de la norma, si la organización cuenta con un Plan de Preven-
ción se debe analizar para después comprobar si está correctamente instalado o si solo es un
documento inservible.
Fase 3: Nombramiento del responsable

La empresa tiene la obligación de designar ciertos miembros de la alta dirección para que
gestionen el correcto funcionamiento del Sistema de Gestión de Seguridad y Salud en el
Trabajo. Deben tratarse de personas que tengan la suficiente autoridad para poder actuar
como les convenga en cualquier situación que se produzca en el desarrollo del sistema.
Sin embargo, la persona nombrada como responsable, en ocasiones, podrá delegar determi-
nados deberes y funciones sin eludir su responsabilidad de dirigir la gestión de la Seguridad
y Salud en el Trabajo en la organización.
VOLVER AL ÍNDICE
35
Fase 4: Comité de implantación

La puesta en marcha del Sistema no debería recaer solo en la figura de una única persona. Es
por ello, que se recomienda crear un Comité aunque no sea un requisito propio de la norma.
De esta forma, se consigue integrar el funcionamiento del Sistema de Gestión de Seguridad
y Salud Ocupacional según la norma OHSAS 18001 en todos los estamentos.
El fin de este Comité será comprobar la interacción de los procedimientos entre las distintas
áreas de la empresa y lo idoneidad de su aplicación.
Fase 5: Manual de gestión, procedimientos, instrucciones y fichas

Aunque no se trate de un requisito de la norma OHSAS-18001, normalmente es necesario
elaborar un manual para el desarrollo del sistema de gestión.
Este manual estará formado por instrucciones, procedimientos y/o fichas que deben ser di-
dácticas, aplicables y simples.
Deberá estar disponible y accesible para que cualquier miembro de la empresa pueda consul-
tarlo y se compondrá al menos de:
%% Presentación.
%% Política de SST.
%% Programas y objetivos de Seguridad y Salud en el Trabajo.
%% Constitución de las funciones y responsabilidades de cada uno de los componentes de la
organización.
%% Actividades del Plan de Prevención y su programación como evaluación de riesgos, vigilan-
cia de la salud, formación…
%% Planificación anual de la Seguridad y Salud en el Trabajo.
%% Información de las instrucciones y procedimientos del Sistema de Gestión de Seguridad
y Salud en el Trabajo según la OHSAS-18001.
Fase 6: Formación
En esta fase se pretende que las personas encargadas de realizar las actividades en la empre-
sa estén capacitadas para que las realicen correctamente.
Nos referimos a sesiones de formación tales como: charlas divulgativas a los empleados,
cursos para la línea de mando, etc.
Fase 7: Implantación del sistema

Antes de todo, es fundamental, fijar una fecha que sea comunicada a todos los componentes
de la empresa y, a partir de ahí, el Comité de Implantación y otros miembros que hayan desig-
nado la alta dirección comenzarán a realizar el seguimiento de la aplicación y funcionamiento
del Sistema de Gestión.
Este personal elegido deberá portar una solución en caso de que surgiera duda o conflicto.
Fase 8: Auditoría interna

Esta es una de las fases de obligado cumplimiento. Pasaremos a este apartado una vez que
el Sistema de Gestión de SST fundamentado en la OHSAS 18001 esté correctamente im-
plantado.
VOLVER AL ÍNDICE
35
El procedimiento de auditoría interna deberá incluir quién está capacitado para llevar a
cabo estas actividades, y las actitudes y aptitudes que deberán tener.
La periodicidad de una auditoria interna deberá ser, por lo menos, una vez al año. Realizada
dicha auditoría interna, se generará un informe de auditoría, señalando todos los hallazgos
encontrados.
Fase 9: Revisión por la dirección
Tras la finalización de la fase 8, se procederá a mostrar los resultados del informe generado
a la alta dirección para que efectúe su revisión, quedando ésta debidamente documentada.
Es aconsejable que la revisión por parte de la dirección sea trimestral aunque en la norma no
está especificado como un requisito obligatorio.
Fase 10: Auditoría externa y certificación
Esta última fase es voluntaria y consiste en someter al Sistema de Gestión de Seguridad y

Salud en el Trabajo basado en el estándar OHSAS-18001 a una auditoría externa, que será
realizada por una organización externa y ajena a la entidad.
La finalidad de la auditoría externa y certificación es la verificación de la correcta implantación

del estándar OHSAS 18001.
Este tipo de auditorías se realizan normalmente en dos fases:
%% Fase inicial y revisión de la documentación.

%% Fase de certificación.
Una vez que el Sistema de Gestión de Seguridad y Salud Laboral está certificado, anual-
mente se ejecutará una auditoría externa de seguimiento, y cada 3 años se llevará a cabo otra
auditoría, en este caso, de renovación del certificado.
Sistema de Gestión de Seguridad y Salud Ocupacional

Para garantizar la Seguridad y Salud Ocupacional, las organizaciones recurren asiduamen-
te a la norma OHSAS 18001. La preocupación por los riesgos y la seguridad van en incremen-
to, os dejamos un enlace con las normas que pueden ayudar en esta gestión: https://www.
isotools.org/normas/riesgos-y-seguridad/

https://www.isotools.org/2015/02/05/ohsas-18001-fases-para-implementacion/
VOLVER AL ÍNDICE
La norma
OHSAS 18001
DESCARGAR AHORA
36
AUDITORÍAS OHSAS 18001: Auditoría en los

Sistemas de Gestión de Seguridad y
Salud en el Trabajo
OHSAS 18001 se considera una norma auditable. El concepto de auditor aparece en la norma
ISO 19011:202 descrita cono la “persona con la competencia (atributos personales y aptitud
demostrada para aplicar conocimientos y habilidades) para llevar a cabo una auditoría”.
Hay que distinguir entre auditorías internas y externas de OHSAS18001, teniendo en cuenta:
%% Auditores internos, son los auditores que forman parte de la organización que va a ser
auditada. Se trata de empleados que, independientemente de las funciones que desarro-
llan en su empresa, asumen el cargo de auditores internos respecto de aquellas áreas,
funciones y departamentos en los cuales no tienen responsabilidad alguna.
%% Auditores externos, son los auditores que no pertenecen a la entidad del auditado. Nos
estamos refiriendo a entidades o a individuos que son contratados por el usuario para que
realicen una auditoria en su misma entidad, o bien en la entidad de uno de sus subcontra-
tistas o proveedores en su representación.
Con el fin de seleccionar un equipo auditor OHSAS 18001, se tendrá que garantizar que el
equipo seleccionado cuente con todas las competencias incluyendo:
%% Conocimientos generales sobre el desarrollo de auditorías.

%% Habilidades en el esquema de seguridad y salud laboral, OHSAS18001.
%% Competencia para comprender los procedimientos específicos relacionados (capacidad
técnica).
%% Saber identificar y entender los requerimientos legales y reglamentarios ligados con las
instalaciones y actividades de la organización.
Además, es importante tener en cuenta las siguientes aptitudes:
%% Aceptación por parte del auditado.

%% Desarrollo profesional.
%% Imparcialidad e independencia.
VOLVER AL ÍNDICE
36
%% Cuestiones culturales.
%% Disponibilidad.
%% Capacidad de trabajo en equipo.
%% Conocimiento del lenguaje de la auditoría.
%% Formación necesaria.
Las funciones y obligaciones del auditor del Sistema de Gestión de Seguridad y Salud en el
Trabajo basado en la norma OHSAS-18001 son las que mencionamos a continuación:
%% Comunicar los resultados de las observaciones de la auditoría tanto de forma oral como
escrita.
%% Cumplir con los requisitos de la auditoría y realizar la gestión de ésta según los procedi-
mientos del cliente y al plan de auditoría acordados.
%% Mantener la documentación necesaria de la auditoria.
%% Actuar de modo ético.
%% Estar atento en todas aquellas situaciones donde la evaluación del cumplimiento requiera
mayor análisis.
%% Trabajar dentro de las tareas asignadas y del marco del alcance de la auditoría.
%% Recopilar y analizar las evidencias necesarias para valorar el cumplimiento del Sistema de
Gestión de la Seguridad y Salud en el Trabajo OHSAS18001 (SST) con los criterios de
auditoría.
%% Inspeccionar las observaciones de la auditoría.
%% Conservar la confidencialidad.
%% Planificar y desempeñar de manera eficiente y eficaz las responsabilidades asignadas.
%% Comunicar y aclarar los requisitos de la auditoría, así como a los auditados.
%% Ayudar a entender los requisitos de OHSAS 18001 como Sistema de Gestión de la SST u
otros documentos que determinen los criterios de auditoría.
%% Comprobar la eficiencia de las operaciones de corrección desarrolladas como consecuen-
cia de la auditoría, siempre que sean necesarias.
%% Ayudar y cooperar con el auditor líder.
Responsabilidades adicionales del auditor líder OHSAS 18001 (líder

del equipo auditor)
Se llama auditor líder OHSAS 18001 al responsable de todos los procesos de la auditoría y
tiene que comprobar que todos los objetivos de la auditoría se han llevado a cabo. Además,
es el encargado de gestionar toda la auditoría, y por esa misma razón, tiene que contar con
la competencia de liderazgo y gestión. Es el responsable de las decisiones finales ligado al
desarrollo de la auditoría y la distribución y categorización de los hallazgos al tiempo que pro-
porcionará las recomendaciones finales.
Por ello, las responsabilidades adicionales del auditor líder OHSAS18001 añaden:
%% Englobar toda la información destacable requerida para llevar a cabo la auditoria.
VOLVER AL ÍNDICE
36
%% Trabajar en la selección de componentes del equipo auditor.

%% Preparar el plan de auditoría y asignar las tareas a cada uno de los miembros del equipo.
%% Comprobar que la totalidad de documentos del trabajo requerido están preparados.
%% Revisar que los documentos del Sistema de Gestión de Seguridad y Salud en el Traba-
jo son los acordes con lo que estamos trabajando.
%% Representar al equipo auditor ante el cliente que va a ser auditado.
%% Presidir las reuniones de apertura y cierre.
%% Garantizar que el proceso de auditoría se desarrolla según lo previsto, incluyendo la nece-
sidad de incluir nuevas personas en el equipo si fuera necesario.
%% Garantizar que el equipo auditor realiza reuniones organizadas y coordinadas regularmen-
te.
%% Asegurar que se comunica con transparencia los resultados de las auditorías y de sus
conclusiones (incluyendo aquellos hallazgos de una No Conformidad crítica).
%% Presentación del informe final de la auditoría.
El perfil ideal del auditor OHSAS 18001

Entre los caracteres ideales del auditor destacan los siguientes:
%% Diplomático.
%% Paciente.
%% Dialogante.
%% Formado.
%% Autocrítico.
%% Honesto.
%% Analítico.
A los auditores de OHSAS18001, se le pueden sumar otros colaboradores, como: auditores

en prácticas, traductores e intérpretes, o incluso, observadores. Estos últimos habitualmente
suelen ser:
%% Personal de la entidad auditora cuya intención es evaluar al auditor con vistas a su registro
y cualificación.
%% Personas de la misma organización auditada que han manifestado su deseo de participar
en la auditoría para su formación personal y profesional.
%% Personas representantes de algún comprador.
Estos observadores tienen que mantenerse imparciales en lo que se refiere al desarrollo de la

auditoría y no interferir en su ejecución. Su presencia tiene que estar autorizada por la direc-
ción de la entidad auditada.
Evaluación de las características del auditor OHSAS 18001

Dicha evaluación se hace efectiva a través de una serie de parámetros que engloban aptitudes
profesionales (cultura, bases técnicas, formación específica y experiencia previas), aptitudes
VOLVER AL ÍNDICE
36
intelectuales (comprensión, memoria, intuición, capacidad de juicio, sentido de la organiza-

ción y detección de errores), comportamiento social (honestidad, autocrítica, sentido de la
responsabilidad, discreción firmeza, entereza, disciplina, carácter, espíritu de equipo, iniciativa,
decisión, sociabilidad, espíritu de progreso y formación) y aptitudes físicas (salud, presencia,
dinamismo y resistencia).
Bases fundamentales del auditor para el éxito de una auditoría del

Sistema de Gestión de Seguridad y Salud en el Trabajo
Para abordar adecuadamente una auditoría del Sistema de Gestión de la SST según OHSAS
18001, el auditor tiene que tener en cuenta unas premisas que tienen que ser perseguidas a
lo largo de la ejecución de la misma:
%% Preparación:
La calidad de la preparación determina la calidad de la auditoría:
%% Analizar la documentación.
%% Preparar las listas de comprobación.
%% Estar formado.
%% Saber expresarse:
Para que entiendan sus preguntas, razonamientos y opiniones.
%% Saber escuchar: Saber pensar y callarse en nuestra opinión y en nuestra respuesta. Ser
conscientes de nuestras actitudes, comportamientos e influencia.
%% Saber hacer hablar: Para poder profundizar, reenfocar y detallar los temas de interés.
Sistema de Gestión de la SST

Los Sistemas de Gestión de Seguridad y Salud en el Trabajo o SST son uno de los sis-
temas sobre riesgos y seguridad. Para saber más sobre ellos puedes visitar: https://www.
isotools.org/normas/riesgos-y-seguridad/

https://www.isotools.org/2015/01/15/ohsas-18001-auditoria-sistemas-gestion-seguridad-sa-
lud-trabajo/
VOLVER AL ÍNDICE
37
RECURSOS
GRATUITOS
Manuales en pdf sobre el proceso de
implementación de OHSAS18001
OHSAS 18001 es un estándar orientado al control de riesgos y accidentes laborales en
aquellas empresas que deseen asumir sus directrices. Su objetivo es proporcionar las bases
necesarias para aplicar un Sistema de Gestión de Seguridad y Salud Laboral, así como
recomendar y orientar a las empresas en este terreno.
¿En qué consiste la gestión de riesgos laborales?

La gestión de accidentes, fallos o eventos asociados a las prácticas de las empresas deben ser
recogida en un plan de prevención y actuación. A estas acciones, coordinadas e integradas
con la estrategia global de cada organización, es a lo que se le denomina Gestión de Riesgos
Laborales.
En esencia son políticas, procedimientos y prácticas que permiten evaluar los riesgos
que pueden afectar el buen funcionamiento de las empresas y su personal y, en etapas pos-
teriores, desarrollar medidas concretas para contrarrestarlos.
Salvo en algunas ocasiones, un riesgo laboral nunca desaparece del todo. La labor de las
empresas en este sentido consiste en gestionarlos, mitigarlos, reconducirlos o, cuando sea el
caso, revertirlos para que reporten algún beneficio.
El principal valor añadido de las organizaciones que implementan un sistema de estas carac-
terísticas radica en la adopción de un sistema integral de prevención, que permite, entre otras
cosas, la reducción de costes, la adecuada gestión de recursos y la oportuna intervención
ante eventuales fallos.
Manuales para implementar la norma OHSAS 18001

La norma OHSAS 18001 es un estándar de referencia que establece las directrices para imple-
mentar un Sistema de Gestión de Seguridad y Salud Laboral. Conocerlo es casi una obligación
para las empresas que estén interesadas en reforzar esta área y adoptar un sistema de pre-
vención integral.
VOLVER AL ÍNDICE
37
Para ello, existen numerosas fuentes de investigación que pueden servir de guía. Una de
LEE ESTE las más directas son los documentos elaborados por instituciones y organismos que
ARTÍCULO intervienen en la Gestión de Riesgos Laborales como los siguientes:
EN EL BLOG
https://www.
a) Manual Práctico de Implementación (Gerard Balcells Dalmau)
isotools.
org/2015/11/20/ Elaborado bajo el auspicio de Fremap (Mutua Colaboradora con la Seguridad Social y del Mi-
manuales-en-pdf-so-
bre-el-proce- nisterio de Empleo y Seguridad Social en España), es uno de los manuales de referencia para
so-de-implementa- guiar a las empresas que deseen implementar la norma OHSAS 18001. El autor hace un repa-
cion-de-ohsas-18001/
so por los aspectos más importantes del estándar y profundiza en las diez fases que debe te-
ner todo proceso de implementación de un Sistema de Gestión de Seguridad y Salud Laboral.
Además, proporciona valiosa bibliografía al respecto.
b) Guía práctica de integración de las normas OHSAS 18000 (Fundación para la

Prevención de Riesgos Laborales)
Tras un detallado repaso por las características de la norma OHSAS 18001, este texto relacio-
na el estándar con las legislaciones vigentes para el caso de España y con otras normativas en
la materia. Aparte, presenta ejemplos concretos para el desarrollo de un Sistema de Gestión
de Seguridad y Salud Laboral en cualquier empresa.
c) Manual de Implementación según OHSAS 18001 (Sector de intervención

social)
Entidades como Comisiones Obreras, UGT, Aesap y la Fundación para la Prevención de Ries-
gos Laborales han elaborado este manual en el que se describen detalladamente los momen-
tos que deben seguir las organizaciones en su proceso de implementación de un Sistema de
de Gestión de Seguridad y Salud Laboral. Para cerrar el documento, los autores señalan sus
principales beneficios.
d) OHSAS 18001: implantación (Instituto Nacional de Higiene y Seguridad en el

Trabajo)
A través de este documento, el INHST elabora una serie de reflexiones y orientaciones sobre
el proceso de implementación de la norma OHSAS 18001 en las organizaciones. Lo ha dividido
en tres entregas que abordan los aspectos elementales de este proceso y señalan algunas
recomendaciones. También proporciona recursos gráficos que ayudan a visualizar el alcance
y las distintas fases del proceso
Proceso de implementación de la norma OHSAS 18001

La implementación de un Sistema de Gestión de Seguridad y Salud Laboral requiere de unas
etapas claramente definidas desde el inicio. Aunque existen diferencias en los métodos de
aplicación del estándar, el objetivo final debe ser la puesta en marcha de prácticas eficaces,
adecuadas y sostenibles.
Al ser especialmente complejo, este proceso puede apoyarse en herramientas digitales que
optimicen la verificación, el seguimiento y la intervención. El software ISOTools es un recurso
que desarrolla tales funciones y, además, enmarca las prácticas dentro de la lógica del ciclo
PHVA (Planear, Hacer, Verificar y Actuar).
VOLVER AL ÍNDICE
38
REVISIÓN
POR LA
OHSAS 18001: Idoneidad, eficacia y
DIRECCIÓN
adecuación para una Revisión por la
Dirección
El Sistema de Gestión de Seguridad y Salud Laboral basado en la norma OHSAS 18001
tiene como último elemento la Revisión por la Dirección. Es el elemento que pone fin al ciclo
de mejora continua, a través de “Actuar” (A). Lo podemos definir como un “examen” de la enti-
dad en el cual se analizan los datos y la información que suministra el sistema.
Se considera un elemento de elevada utilidad ya que sirve para conseguir conclusiones que
posibilitan la toma de decisiones dirigidas hacia la obtención de acciones de mejora.
La alta dirección es la responsable de esta revisión, y se ocupará de revisar el Sistema de

Seguridad y Salud en el Trabajo según la OHSAS-18001 de la entidad para asegurar su
adecuación, conveniencia y eficacia.
Dicha revisión tendrá como elementos de entrada los siguientes:
%% Resultados de auditorías y demás evaluaciones. Auditorías tanto internas como externas

y evaluaciones como las relativas al cumplimiento de requisitos legales, reglamentarios y
normativos aplicables.
%% Resultados de procesos de participación y consulta con los empleados.
%% Comunicaciones procedentes de las partes interesadas.
%% El desempeño de la Seguridad y Salud en el Trabajo de la misma entidad.
%% Grado de cumplimiento de los objetivos.
%% Estado de acciones correctivas y preventivas.
%% Estado de las investigaciones de incidentes.
%% Seguimiento de las acciones nacidas de las revisiones por la dirección anteriores.
VOLVER AL ÍNDICE
38
%% Cualquier otra modificación en las circunstancias. Cambios como la evolución de los re-
quisitos legales y cualquier otro relacionado con la Seguridad y Salud Laboral y las opor-
tunidades de mejora.
Resultado de auditorías
El resultado de auditorías es uno de los elementos de entrada, tanto internas como exter-
nas. Estas auditorías ofrecen una serie de resultados que tendremos que analizar, sin limitar-
nos solamente a las No Conformidades. Los aspectos a analizar serían:
%% Causas.
%% Acciones repetitivas.
%% Gravedad de las no conformidades y sus efectos.
%% Áreas en las que se produjeron.
Comunicaciones de las partes interesadas
Es fundamental tener en cuenta en la revisión las comunicaciones obtenidas por las partes
interesadas, ya sean proveedores, vecinos, gobernación, etc.
Se tendrá que incidir sobre aquellas comunicaciones de carácter legal, especialmente sin son
infracciones legales que en las que haya incurrido la entidad e impliquen la apertura de expe-
dientes sancionadores.
Este tipo de comunicaciones pueden llevar a la necesidad de implementar metodologías

que requieran inversiones para obtenerlas.
Acciones correctivas y preventivas
Tanto las acciones preventivas como las acciones correctivas son mecanismos que apor-
tan mejoras importantes en la empresa, por lo que tienen que ser impulsadas desde la direc-
ción.
Tiene que existir un responsable de seguimiento de la totalidad de acciones emprendidas que,

aparte de impulsarlas, apoye a todas las áreas de la entidad en su implantación, seguimiento
y análisis.
Con el fin de definir estas acciones se suelen usar unas fuentes de información, pudiendo
variar de una entidad a otra, siendo las más usuales:
%% Incidentes y accidentes.
%% Comunicaciones externas.
%% Análisis de objetivos de Seguridad y Salud Ocupacional.
%% Propuestas de mejora.
%% Variaciones previstas o ya producidas.
%% Resultado de auditorías.
%% Revisiones del sistema medioambiental.
Tienen que prevalecer las actuaciones orientadas a anticiparse a todo problema a otras que
se ejecutan para corregirlos. Esto se traduce en que es preferible potenciar la instauración de
medidas preventivas respecto a las medidas correctivas.
VOLVER AL ÍNDICE
38
Analizando estas acciones extraeremos información como:
%% Nivel de eficacia de las acciones propuestas.

%% Costos provenidos de las incidencias, al igual que beneficios derivados de las acciones a
ejecutar.
%% Grado de cumplimiento asignados en un principio a cada acción.
%% Departamentos afectados.
%% Causas, especificadas por tipología y carácter preventivo.
Seguimiento de revisiones anteriores
De la revisión por la dirección resultará un informe que se utilizará en las siguientes revisiones
del sistema.
Es un mecanismo útil para desarrollar una comparativa entre dos ejercicios. Lo que se busca
es identificar derivas posibles del Sistema de Gestión de Seguridad y Salud en el Trabajo
basado en la norma OHSAS 18001.
Análisis de cambios
Los responsables principales tienen que participar en esta revisión por la dirección, de tal
manera que se le permita la identificación de los mismos al nivel de toda la empresa.
Resulta fundamental la identificación de las modificaciones previstas con el fin de planificar la

implementación de los mismos.
Los resultados de una revisión por la dirección, tienen que ser afines con el compromiso
de mejora continua de la empresa e incluso añadir la totalidad de decisiones y acciones
relativas a cambios en el desempeño de la Seguridad y Salud Ocupacional, los objetivos
de política de Seguridad y Salud Laboral y los recursos y otros elementos distintos del propio
Sistema de Gestión de Seguridad y Salud en el Trabajo.
Toda revisión tendría que centrarse en la idoneidad, eficacia y adecuación del Sistema de
Gestión.
Sistema de Gestión de Seguridad y Salud en el Trabajo

Es muy importante conocer todos los Sistemas de Gestión de Riesgos y Seguridad, entre los
que destacamos el Sistema de Gestión de Seguridad y Salud en el Trabajo. Puedes visitar
este enlace para saber más sobre riesgos y seguridad: https://www.isotools.org/normas/
riesgos-y-seguridad/

https://www.isotools.org/2015/01/08/ohsas-18001-idoneidad-eficacia-adecuacion-revision-di-
reccion/
VOLVER AL ÍNDICE
39
PLAN INTEGRAL
DE SEGURIDAD
Cómo poner en marcha un plan
integral de seguridad en las empresas
¿Qué se entiende por seguridad integral?
La seguridad integral empresarial se caracteriza, principalmente, por una concepción acti-
va en materia de seguridad, tratando siempre de mantener la iniciativa en el logro de los
máximos niveles de protección. Para conseguir este objetivo es necesario poner en marcha un
sistema de gestión de prevención de riesgos laborales.
La correcta implantación en una organización de un sistema de seguridad integral per-

mite controlar los riesgos y accidentes, reducir costes y maximizar el desempeño de los
trabajadores. Además, se consigue mejora la imagen interna (de los propios empleados) y
externa (con proveedores, clientes reales y potenciales y grupos de interés).
Principales riesgos de las empresas

Los riesgos más importantes que pueden afectar a las empresas se pueden clasificar en los
siguientes ámbitos:
%% Accidentes de trabajo y enfermedades profesionales.

%% Seguridad informática.
%% Higiene Industrial.
%% Incendios y otros daños.
%% Intrusión y robo.
%% Medio Ambiente.
Una manera eficaz de organizar un plan integral de seguridad es, en función de las condicio-
nes particulares de cada empresa (tamaño, organización, niveles de riesgo…), estructurar las
distintas áreas en uno o varios departamentos de seguridad.
VOLVER AL ÍNDICE
La norma
OHSAS 18001
DESCARGAR AHORA
39
En cualquier caso, siempre se debe buscar la coordinación, tanto a nivel funcional como
operativo, de todas las áreas, tratando de alinear los aspectos de seguridad con la misión,
valores, filosofía y objetivos generales de la organización.
Remarcar que se ha de tener especialmente en consideración la repercusión financie-

ra que puedan llegar a tener las medidas implantadas, mediante la aplicación de la denomi-
nada gerencia de riesgos.
Hoja de ruta de implantación de un sistema de seguridad integral

Las actuaciones que normalmente serán necesarias para poner en práctica un programa
de seguridad integral en una empresa de cierto tamaño y con riesgos considerables son las
siguientes:
1) Definición del programa

Lo primero que hay que hacer es realizar un análisis inicial con el objetivo de evaluar el
grado de cumplimiento de las prácticas de una empresa en materia de prevención de riesgos
laborales.
En definitiva, dicho análisis consiste en identificar la situación en que se enmarca la em-

presa para el establecimiento posterior de un programa de actuaciones, el cual debe
estar enmarcado en una política de prevención adaptada a las características de cada empre-
sa u organización.
2) Establecimiento de una política en prevención de riesgos

Una vez realizada la evaluación y detección de las necesidades de la empresa con sus pun-
tos fuertes y débiles, se hace necesaria la definición de una política preventiva lo más
concreta y detallada posible que incluya, entre otras cuestiones: el modelo preventivo, los
recursos disponibles y la asignación de funciones y responsabilidades.
3) Definición y control de las medidas

La tercera actuación consiste en la definición de las medidas a tomar con un carácter
proactivo, con el objetivo de adelantarse a las situaciones de peligro y así neutralizarlas o
mitigarlas antes de que ocurran.
Asimismo, se deben seleccionar y establecer los puntos de control para comprobar que
se están consiguiendo los objetivos de prevención previstos, así como realizar los ajustes
necesarios en el caso de que se detecten desvíos significativos o situaciones mejorables.
Además de las medidas funcionales, como la implantación de métodos de trabajo seguros

y la repartición equitativa de la cargas de trabajo, también hay que considerar criterios
operacionales como:
%% Incorporación de las medidas de seguridad más avanzadas en diseño de las nuevas insta-
laciones.
%% Revisión y control de sistemas de seguridad.
%% Mantenimiento preventivo, orden y limpieza de instalaciones.
4) Información y formación
Se debe establecer un programa permanente y en constante actualización de forma-
ción e información de todos los empleados de la empresa en cuestiones como:
VOLVER AL ÍNDICE
39
%% Riesgos a los que están expuestos.

%% Medidas y actividades de prevención.
%% Medidas de protección colectiva e individual.
Es importante ejercer un debido control y adaptación en relación a los perfiles profesio-

nales, velando porque todos los trabajadores tengan las actitudes y aptitudes necesarias para
poder desarrollar su trabajo en las mejores condiciones de seguridad.
La Plataforma ISOTools facilita la gestión integral de riesgos

La Plataforma Tecnológica ISOTools puede ayudarle a definir e implantar un sistema integral
de seguridad, de una forma sencilla y práctica, integrando normas como la OHSAS 18001,
la ISO 9001 o la ISO 14001.

https://www.isotools.org/2015/12/09/como-poner-en-marcha-un-plan-integral-de-seguridad-
en-las-empresas/
Software para Sistema de Gestión

de Seguridad y Salud Laboral
DESCÚBRELO
VOLVER AL ÍNDICE
40
FUTURA
ISO 45001
Cambios propuestos por la norma ISO
45001 sobre riesgos corporativos
La norma ISO 45001, que se publicará en el año 2016, será un estándar que contendrá los
requisitos básicos para la implementación de un Sistema de Gestión de Seguridad y
Salud en el Trabajo. Una vez esté vigente, podrá relacionarse con otras normativas, como
por ejemplo ISO 9001 o ISO 14001.
Justificación de la norma ISO 45001. ¿Por qué se publica?

La primera razón que mueve a la Organización Internacional de Estandarización (ISO) para
publicar este nuevo estándar es la de reemplazar a OHSAS 18001, que en realidad es una
norma de origen británico y que, pese a gozar de reconocimiento mundial, no pertenece a la
familia normativa de ISO.
Este último detalle resulta de suma importancia si se tiene en cuenta que un número no des-
apercibido de empresas en el mundo aspiran a la triple certificación ISO: Gestión Ambiental,
Gestión de Calidad y Seguridad y Salud en el Trabajo.
Al no existir una normativa de referencia en este último aspecto, las empresas deben remitirse
a OSHAS 18001, de la cual existen cerca de 40 versiones internacionales que circulan en más
de 127 países en el mundo.
De ahí la necesidad de publicar un estándar propio en relación a la Seguridad y Salud

en el Trabajo y, más aún, de alinearla con otras normas como ISO 9001 e ISO 14001.
¿Cuáles son los cambios que incluirá la norma ISO 45001?

La Organización Internacional de Estandarización (ISO) aprovechará esta circunstancia para
VOLVER AL ÍNDICE
40
introducir algunos cambios sobre la Gestión de Seguridad y Salud en el Trabajo tal y como
LEE ESTE hasta ahora lo recoge la norma OSHAS 18001.
ARTÍCULO
EN EL BLOG Para empezar, ISO 45001 tendrá una estructura basada en los sistemas de gestión que han
sido descritos por el Anexo SL, un documento que facilita la compatibilidad entre las normas
https://www.
isotools. de la familia ISO.
org/2015/11/25/
cambios-propues-
Ahora bien, en cuanto al contenido, ISO 45001 supone la aparición de nuevos conceptos
tos-por-la-nor-
ma-iso-45001-so- que hasta el momento no se habían tenido en cuenta en el momento de implementar un Sis-
bre-riesgos-labo- tema de Seguridad y Salud en el Trabajo. Los más importantes son:
rales/
1. Ampliación del contexto:
El primer cambio con respecto a OHSAS 18001 está en la ampliación del contexto de la organi-
zación, en el que se incluirán aspectos externos como el cambio en las relaciones laborales, las
nuevas tecnologías, los nuevos materiales y hasta el contacto entre las empresas y sus socios
y contratistas. Hasta ahora, el contexto estaba muy determinado por los elementos internos
de las organizaciones o de entornos inmediatos y daba poca importancia a otros factores
circundantes en los entornos.
2. Liderazgo:
ISO 45001 también ampliará el término de liderazgo, entendido hasta ahora como las prácti-
cas ejercidas exclusivamente por altos directivos o gerentes. En la nueva norma, se incluirán
el papel de los colaboradores y del personal del Sistema de Gestión que de una u otra forma
está vinculado a la seguridad en el trabajo.
3. Información documentada:
La más reciente versión de OHSAS 18001 es del año 2007, lo cual queda en evidencia cuando
la norma habla de «registros» y «documentación» al referirse a los procesos de recolección de
información. Ocho años después, tras los avances tecnológicos en este campo y los retos de
una información más ágil y precisa, es más adecuado hablar de las herramientas que pueden
ayudar a procesar dichos datos. Es decir, en la nueva norma la sistematización jugará un papel
determinante.
4. Acción preventiva:
A su vez, la nueva norma plantea la eliminación del concepto de «acción preventiva»,

dado que, según el Anexo SL, se sobreentiende que las empresas lo han incorporado en su ac-
cionar al haber implementado un Sistema de Gestión de Seguridad y Salud Ocupacional. Por
tanto, ya no se hablará de prevención como tal, sino que cualquier referencia a este concepto
estará incluida dentro del sistema anteriormente citado.
Actualización del Sistema de Seguridad y Salud en el Trabajo

La norma ISO 45001 será, entonces, la oportunidad perfecta para que las organizaciones
adapten su Sistema de Seguridad y Salud en el Trabajo. La precisión de algunos conceptos
y la inclusión de otros nuevos, harán más eficaces las labores de control sobre las diferentes
amenazas a los que se enfrenta el personal de las empresas.
Al igual que con OHSAS 18001, la plataforma ISOTools permitirá una implementación eficaz
de la norma ISO 45001. Además de vincularla con normas similares, permitirá alinearla con la
legislación vigente para cada caso.
VOLVER AL ÍNDICE
Miscelánea
41
BALANCED
SCORECARD
Ejemplo práctico de construcción de
un Balanced Scorecard
El Balanced Scorecard (BSC), conocido también como Cuadro de Mando Integral (CMI), está
considerado como uno de los modelos de gestión y planificación más importantes exis-
tentes en la actualidad por su capacidad para resolver los problemas a los que, día a día, se
enfrentan los directivos de las empresas y organizaciones, tanto grandes como de pequeño y
mediano tamaño (PYMES).
El BSC es un modelo de gestión que traduce la estrategia en objetivos relacionados, me-

didos a través de indicadores y ligados a una planes de acción que permiten alinear las distinta
áreas de la empresa y el desempeño profesional de sus empleados.
Las fases de un proyecto de implantación de un BSC

Aunque el modelo de gestión de un BSC pueda resultar aparentemente sencillo, como punto
de partida es importante clarificar que la adopción del CMI por parte de una organización
debe considerarse un proyecto a largo plazo, ya que se trata de un modelo de gestión, no
de una herramienta de control, por lo que implica un cambio en la cultura empresarial.
Para que realmente haya cambios positivos, el CMI debe tomarse como punto de referencia
para el análisis de la gestión, del apoyo y de la toma de decisiones.
Estas son las principales fases para la correcta implantación del cuadro de mando integral.
Fase de planificación
Como en todo nuevo proyecto que se inicia en una empresa, es necesario definir y dimen-
sionar una serie de aspectos que condicionarán su desarrollo y éxito final. Todo esto debe
quedar reflejado en un plan de proyecto en el que se fijará el alcance del mismo, el presu-
puesto y los puntos claves de su desarrollo.
VOLVER AL ÍNDICE
41
En esta fase inicial se debe seleccionar también el equipo de trabajo, con sus cargos, fun-
ciones y roles. Es muy importante contar con representantes de todos los departamentos de
la empresa implicados, procurando también que el número de integrantes no sobrepase
los diez.
Las herramientas más utilizadas en esta fase son la Cadena de Valor de Porter, que sir-
ve para identificar la secuencia de los procesos necesarios para entregar a los clientes los
productos y servicios de la compañía, y el Análisis DAFO , que es un análisis combinado de
la capacidades internas de la organización (Fortalezas y Debilidades) con el ambiente externo
(Oportunidades y Amenazas).
Por último, esta fase deberá concluir con un plan de comunicación, en el que se detalla-
rán las acciones a realizar durante toda la ejecución del proyecto.
Fase de desarrollo
Esta será la fase central del proceso, en la que toman forma todos los elementos que constitu-
yen el BSC. Como primer paso se deben desarrollar o confirmar los siguientes elementos
clave: declaración de la misión, visión y valores y de los puntos básicos de la estrategia.
El siguiente paso será la definición de los objetivos estratégicos enmarcados en cada una
las perspectivas. Esta fase es de gran importancia y debe realizarse con una implicación ele-
vada de la dirección de la empresa.
A continuación debe comenzar a definirse el mapa estratégico, indicando con claridad las
relaciones causa-efecto entre los objetivos estratégicos elegidos anteriormente.
Una vez definido y validado el mapa estratégico, es el momento de establecer los indicadores
que permitirán medir el grado de consecución de los objetivos estratégicos. En este pun-
to es importante recordar que no se deben emplear un número muy elevado de elementos,
pues puede resultar confuso y distorsionar la medición.
A continuación, se han de establecer las metas para cada indicador. Este proceso no es
trivial, por lo que deberá ser consensuado y validado con los expertos en cada una de las
áreas de negocio.
Llegados a este punto, es conveniente reunir en un único documento el diseño del mapa
estratégico, detallando además los indicadores que se emplearán y sus metas asociadas.
Finalmente, se definirán las iniciativas estratégicas que permitirán alcanzar los objeti-
vos previamente definidos, estableciendo además un orden de prioridad de ejecución según
la importancia de las mismas.
A nivel de herramientas, se utilizan mapas estratégicos y el BSC, además del sistema

Stratex, con el fin de crear una categoría específica para estos datos estratégicos.
Para llevar a cabo todo este proceso se debe implementar un sistema Informático auto-
matizado que ofrezca soporte al CMI y se integre con el resto de sistemas de información
de la empresa.
Fase de control y seguimiento

En esta fase, se diseñan un conjunto de procedimientos para seguir el funcionamiento del CMI
diseñado. Para ello, de forma periódica en función de los ciclos de medición establecidos en
cada nivel, se evaluará la implantación del CMI, monitoreando el sistema en tiempo real y
perfeccionándolo si se considera necesario.
VOLVER AL ÍNDICE
41
En estas etapa es fundamental la organización de reuniones de análisis estratégico, don-

de se analizan, discuten y se toman decisiones sobre la estrategia de la empresa y reuniones
de análisis operativo, que tienen como objetivos solucionar, rápida y eficazmente, proble-
mas concretos y analizar información de los tableros de control operativo.
ISOTools: Software BSC

La plataforma ISOTools convierte al Balanced Scorecard o BSC en un modelo de gestión muy
visual y sencillo de implantar, mantener y automatizar.

https://www.isotools.org/2015/03/23/ejemplo-practico-de-construccion-de-un-balanced-scorecard/
DESCÚBRELO
VOLVER AL ÍNDICE
42
CERTIFICACIONES
Tipos de certificaciones laborales que
puede obtener tu empresa
La ISO (International Organization for Standartization) es una organización de carácter inter-
nacional que nació a mediados del siglo pasado con un fin concreto: estandarizar una serie de
normas para crear un marco común internacional de referencia.
Con este propósito, la organización ha ido unificando criterios y creando normas que garanti-
cen la seguridad y calidad de los procesos, productos y servicios, por medio de una certifica-
ción de carácter voluntario, que avala que se cumplen los requisitos establecidos.
Los estándares ISO no son normas obligatorias que hay que cumplir de manera estricta. Éstas
son voluntarias, es la empresa quien decide implementarla, y proporcionan una serie de direc-
trices, especificaciones y requisitos para guiar a las empresas en su implementación.
Estas normas responden a necesidades planteadas por el mercado, tanto empresas como
consumidores y son desarrolladas por un comité compuesto por expertos, quienes basándo-
se en sus conocimientos y experiencias de éxito, componen la norma, que deberá ser votada
y aprobada por los miembros de la ISO.
En la actualidad ISO cuenta con la participación de 163 países y ha desarrollado más de 19.500
normas internacionales dirigidas al mundo empresarial.
La obtención de esta certificación es voluntaria, las empresas pueden desarrollar su gestión

acorde a las directrices de ISO y no solicitar el correspondiente certificado.
Sin embargo, la certificación es el único medio de demostrar que cumple con los estándares
ISO y garantizar la seguridad y calidad de los procesos, productos y servicios de la empresa.
Tipos de certificados
Los certificados son documentos que avalan un hecho, en este caso, garantizan que se cum-
plen con los estándares establecidos en una normativa ISO concreta. Sin embargo, algunas
de las normas ISO no son certificables, es decir, su cumplimiento no conlleva la obtención de
este reconocimiento.
A pesar de que se las denomina popularmente “certificaciones ISO”, en realidad la certifica-

ción no la emite esta entidad. Los certificados son emitidos por organizaciones de certificación
externos, ajenos a ISO.
VOLVER AL ÍNDICE
42
Las certificaciones se estructuran en diferentes áreas y campos, así se pueden observar certifi-
LEE ESTE cados dirigidos al campo de la salud, de la alimentación o englobados dentro de campos como
ARTÍCULO la gestión del medio ambiente o la gestión de la seguridad.
EN EL BLOG
Existen ciertas certificaciones que pueden ser aplicadas en todas las empresas, con indepen-
https://www.
isotools. dencia de su sector y tamaño. Estas son:
org/2015/04/15/
tipos-de-certifi-
caciones-labora-
Gestión de la calidad
les-que-puede-obte-
ner-tu-empresa-2/ %% Certificado ISO 9001 Sistemas de Gestión de la Calidad. Es quizá uno de los certifi-
cados más populares y valorados. A través de esta certificación, se garantiza la calidad y
mejora continua tanto en los productos como en los servicios que ofrece y reafirma su
compromiso con la calidad.
Gestión Ambiental
%% Certificado ISO 14001 Sistemas de Gestión Ambiental. La certificación avala la puesta
en marcha de procesos que cuidan y respetan el medioambiente.
%% Certificado ISO 5001 Sistemas de Gestión Energética, que asegura que un uso eficien-
te de la energía por parte de la empresa, que se caracteriza por la reducción de emisiones
contaminantes y de costes.
Gestión De Riesgos Y Seguridad

%% Certificado OHSAS 18001 Sistemas de Gestión de Seguridad y Salud en el Trabajo.
A través de la certificación de esta norma, que se encuentra en proceso de revisión y en
breve se denominará ISO 45001:2016, se acredita que la empresa ha desarrollado una
política y estrategias que garantizan la seguridad y salud de sus trabajadores.
%% Certificado ISO 22301 Sistemas de Gestión de Continuidad de Negocio, que garan-
tiza el desarrollo de métodos y prácticas que aseguran que la empresa continuará funcio-
nando ante circunstancias adversas.
%% Certificado ISO 27001 Sistemas de Gestión de Seguridad de la Información. Con
esta certificación las empresas confirman el establecimiento de medidas y estrategias para
controlar y proteger la información que poseen.
%% Certificado ISO 31000 Sistemas de Gestión De Riesgos, con la que se demuestra el uso
de técnicas que promueven la identificación y el control eficaz de riesgos.
Gestión de la Responsabilidad Social

%% Certificado SA 8000 Gestión de la Responsabilidad. Bajo esta certificación, la empresa
confirma su compromiso con los derechos de sus trabadores y el bienestar de éstos. La
certificación avala que cumple con los requisitos establecidos por la norma, referente al
trabajo infantil, trabajos forzosos, la seguridad y salud laboral o sobre el horario de trabajo
y su remuneración.
Sistemas Integrados de Gestión

Estos certificados son compatibles entre sí, por lo que una empresa puede implementar uno o
varios sistemas de Gestión. En este último caso se habla de sistemas integrados.
La integración de estos sistemas de gestión, estén o no certificados, es más fácil con el

apoyo de la plataforma tecnológicas ISOTools. Este Software te proporciona todas las herra-
mientas necesarias para simplificar y mejorar la puesta en marcha de estos estándares, de
manera eficaz.
VOLVER AL ÍNDICE
43
CERTIFICACIONES
¿Cuáles son las funciones de un
analista de riesgo?
Analizar y cuantificar los riesgos a los que se exponen las empresas y entidades finan-
cieras en las distintas operaciones que llevan a cabo: esta es la principal función de un
analista de riesgo. Para cumplir con sus objetivos, estos profesionales realizan un diagnós-
tico de la situación financiera de la empresa.
Dichos riesgos pueden ser básicamente de los siguientes tipos:
%% Operacionales, que son los problemas derivados de una gestión financiera inapropiada.
%% De liquidez, por la necesidad de disponer de fondos
%% De mercado.
%% De endeudamiento.
%% Falta de crédito.
Otras tareas habituales

%% Analizar las operaciones financieras de riesgo mediante el estudio de su evolución fi-
nanciera, de sus estados contables y de su rating o clasificación de la solvencia.
%% Consolidar la información financiera y estadística de una empresa o entidad me-
diante el análisis y el estudio de informes sectoriales y de coyuntura económica.
%% Desarrollar la normativa interna de riesgos de la organización para la que trabaja.
%% Tomar decisiones sobre la viabilidad de los proyectos de la entidad financiera o em-
presa, estableciendo objetivos a corto y a largo plazo a partir del análisis de la información
generada.
%% Identificar posibles alternativas de actuación: inversiones, operaciones financieras, etc.
Perfil profesional
Los analistas de riesgo cuenta con uno o varios de los siguientes títulos reglados:
%% Licenciatura o Grado en Administración y Dirección de Empresas.

%% Licenciatura o Grado en Economía.
%% Licenciatura o Grado en Ciencias Actuariales y Financieras.
%% Diplomatura Ciencias Empresariales.
VOLVER AL ÍNDICE
43
%% Grados en Ciencias Sociales y Jurídicas.

LEE ESTE
ARTÍCULO Además, para trabajar en una entidad financiera es muy recomendable que el analista cuente
EN EL BLOG con la siguiente formación específica:
https://www. %% Curso de formación en riesgos de Basilea II (actualizaciones de las recomendaciones emi-
isotools.
org/2015/08/17/ tidas por el Comité de Supervisión Bancaria de Basilea I).
cuales-son-las-fun-
ciones-de-un-analis- %% Master in Busines Administration (MBA) en banca y finanzas.
ta-de-riesgo/
%% Curso superior de analista de riesgos en entidades financieras.
Principales riesgos a analizar en la entidades financieras

Frecuentemente, las actividades profesionales de los analistas de gestión de riesgos tienen
lugar en divisiones especializadas en bancos comerciales, bancos de inversión, gestoras de
fondos de inversión y compañías de seguros. Esto implica la aplicación de metodologías
de evaluación y mitigación de los efectos derivados de amenazas procedentes de variables
observables en los mercados financieros.
En finanzas, el concepto de riesgo hace referencia, básicamente, a la posibilidad de que

ocurra un evento que se traduzca en pérdidas para los participantes: inversores, pres-
tamistas o accionistas.
Casi todos los riegos de las entidades financieras pueden englobarse en alguno de los
siguientes grupos:
%% Riesgo de mercado, el cual está asociado a las fluctuaciones de los precios de determi-
nadas variables financieras. En relación a este tipo de riesgo se distingue, por un lado, el
riesgo de tipo de interés, este es consecuencia de la volatilidad de los tipos de interés. Por
otro lado está el riesgo de cambio, susceptible de producirse por la volatilidad del mercado
de divisas.
%% El riesgo de crédito se puede producir por dos posibles circunstancias. La posibilidad de
que una de las partes de un contrato financiero no asuma sus obligaciones, o bien posibles
rebajas en las calificaciones crediticias por parte de las agencias de rating, lo que altera el
diferencial de crédito en los mercados.
%% El riesgo de liquidez, referido a dos circunstancias. En primer lugar, el hecho de que una
de las partes de un contrato financiero no pueda obtener la liquidez necesaria para asumir
sus obligaciones. El segundo problema es la falta de profundidad de mercado, entendida
como la ausencia de suficientes posiciones compradoras y vendedoras para cada nivel de
precio.
%% El riesgo operativo, el cual se refiere a la posibilidad de sufrir pérdidas debido a la inade-
cuación o a fallos de los procesos, el personal y los sistemas internos, o bien a causa de
acontecimientos externos. En esta definición se incluye el riesgo legal, y quedan excluidos
los riesgos clasificados como estratégicos y de reputación.
ISOTools ayuda a la realización y seguimiento del diagnóstico en las

organizaciones
La Plataforma Tecnológica ISOTools permite que las organizaciones conozcan el grado de
madurez de su Sistema de Gestión a través de la aplicación de autodiagnóstico. De este
modo, las empresas pueden identificar sus puntos débiles y adoptar las medidas correcti-
vas oportunas para convertir estas debilidades en fortalezas.
VOLVER AL ÍNDICE
44
GESTIÓN
EMPRESARIAL
Principales herramientas de gestión
empresarial: funcionamiento y
características
La gestión es un elemento fundamental para que cualquier organización pueda lograr sus
metas y objetivos de todo tipo. El éxito de cualquier modelo de gestión depende, en primer
lugar, de una correcta planificación, pero para poder ejecutar la misma también son nece-
sarias una serie de herramientas que permitan optimizar su desarrollo, encauzándolo en la
dirección más adecuada. Las herramientas de gestión más importantes con los que cuentan
las empresas son los sistemas y modelos de gestión.
Estos sistemas facilitan el control de todos los procesos y actividades de una empresa,
apoyándose en sistemas informáticos con el objetivo de automatizar los procesos, integrar los
diversos profesionales y áreas de las empresa, facilitar el trabajo colaborativo, alinear objetivos
y, en definitiva, ganar en eficacia y productividad.
Principales herramientas de gestión

Las principales herramientas de gestión empresarial son las siguientes:
Balanced Scorecard
El Balanced Scorecard (BSC) o Cuadro de Mando Integral (CMI) es una herramienta de ges-
tión que, a través de la medición del cumplimiento de los objetivos estratégicos de las
empresas permite evaluar, mediante una serie de indicadores controlados por un software
específico, el desempeño global de la organización.
Los principales aspectos que controla el BSC son: las finanzas (ingresos y costos), la calidad
(producto, atención al cliente,servicio postventa), los procesos internos y la capacitación del
personal.
Calidad Total
La calidad total, también conocida como gestión de la calidad total, es una filosofía, cultura
o estilo de gerencia que involucra a todos los miembros de una organización en el mejora-
miento continuo de la calidad en todos los aspectos de la empresa.
En la calidad total todos los miembros de la organización buscan mejorar la calidad de for-
ma continua y gradual, no sólo en los productos, sino también en todos los aspectos de la
empresa tales como: en los trabajadores, en los insumos, en los procesos, en la atención al
cliente, y en los proveedores.
VOLVER AL ÍNDICE
44
Reingeniería de procesos
LEE ESTE La reingeniería o reingeniería de procesos es una técnica o herramienta de gestión que
ARTÍCULO
EN EL BLOG consiste en reinventar o rediseñar los procesos de una empresa de una forma radical,
poniendo en marcha medidas críticas es aspectos básicos y altamente influyentes como los
https://www.
isotools. costos, la calidad, el servicio y la rapidez.
org/2015/04/27/
principales-herra- No se trata de hacer algunas mejoras o implantar pequeñas correcciones y modificaciones
mientas-de-ges-
tion-empresa-
sobre procesos ya implementados, sino de poner en marchas sistemas y circuitos de
rial-funcionamien- funcionamiento totalmente nuevos, que implican importantes cambios tecnológicos, nue-
to-y-caracteristicas/
vas inversiones y replanteamientos muy importantes en la forma de funcionar y realizar los
diversos trabajos y tareas.
Empowerment
El empowerment o empoderamiento consiste en delegar, otorgar o transmitir poder, auto-
ridad y responsabilidad a los trabajadores o equipos de trabajo de una empresa para
aumentar su autonomía para que puedan tomar decisiones importantes y ejecutar tareas sin
necesidad de consultar u obtener la aprobación de sus superiores.Outsourcing
El outsourcing, también conocido como subcontratación o externalización, se basa en la

contratación de terceros (profesionales u otras empresas) para que realicen actividades, fun-
ciones o procesos complementarios.
El outsourcing posibilita transferir actividades, funciones o procesos a empresas especia-

lizadas, lo que puede redundar en un trabajo de mayor calidad y a menor costo, logrando así
una mayor eficiencia y eficacia.
Otra ventaja de esta herramienta de gestión es que permite a las empresas concentrarse
en sus actividades, funciones o actividades principales o esenciales, evitando la disper-
sión y permitiendo una mayor concentración de esfuerzos y objetivos, lo que permite la gene-
ración de ventaja competitiva.
Benchmarking
En esta ocasión, nos encontramos ante una técnica o herramienta que consiste en el segui-
miento y comparación de empresas similares o del mismo ámbito sector de actividad.
El fin del Benchmarking es evaluar sus productos, servicios, procesos y otros aspectos y
realizar una comparación minuciosa y detallada y de carácter analítico con los nuestros y con
los de las otras empresas.
Con la aplicación del Benchmarking es posible identificar los puntos fuertes de la com-
petencia y adaptarlos a la nuestra, poniendo en marcha las mejoras oportunas. Esto no
significa un acción de simple copia, sino que la intención debe ser tomar como referencia los
mejores aspectos de otras empresas con el fin de detectar errores propios o áreas de mejora.
La Plataforma ISOTools facilita la implantación de los diversas herra-

mientas y modelos de gestión
La plataforma ISOTools es un software de gestión que da respuesta a las necesidades rea-
les de empresas y organismos comprometidos con la mejora continua y la excelencia
y que busquen rentabilizar, de forma rápida y eficaz, sus sistemas y herramientas de gestión.
VOLVER AL ÍNDICE
45
GESTIÓN
DE RIESGOS
¿Por qué es importante la gestión de
riesgos para tu empresa?
Una de las tareas clave en la dirección de empresas es la gestión de riesgos. Este término se
refiere a todas aquellas acciones que buscan proteger y crear valor dentro de una compa-
ñía para alcanzar los objetivos propuestos y mejorar su competitividad.
Por «riesgo empresarial» entendemos todos los elementos que pueden generar incertidum-
bre o inestabilidad al interior de una empresa. Sin embargo, el riesgo no siempre tiene que
suponer una amenaza, también puede generar oportunidades que la empresa debe ser capaz
de identificar y aprovechar.
Generalmente se habla de riesgos económicos o financieros, pero este término también pue-
de aplicarse a labores como inversiones, medios de financiación, operaciones de arbitraje,
políticas empresariales, modelos de contratación, entre otros.
Una de las herramientas que las empresas tienen a su disposición para establecer un sistema
de gestión de riesgos eficaz dentro de sus organizaciones, es la norma ISO 31000, estableci-
da por la Organización Internacional de Normalización (ISO).
Se trata de una norma internacional que establece principios y estrategias sobre la gestión del
riesgo en cualquier campo comercial y que puede ser aplicada por las organizaciones más allá
de su tamaño, naturaleza o actividad.
¿Cuáles son las ventajas de incorporar una política de gestión de riesgos? ¿Cómo se beneficia
la empresa que la aplica? ¿Dónde y cómo se ven los aportes?
Proceso de gestión de riesgos. ¿En qué consiste?

La norma ISO 31000 señala, en su texto introductorio, que todas las actividades comerciales
de una empresa generan riesgos. Esto, antes que ser un aspecto negativo, sienta las bases
para una política corporativa orientada a la valoración de los procesos. Es decir, incorpora el
riesgo como parte fundamental de la labor comercial. De acuerdo a esto, toda empresa debe
tener en cuenta tres aspectos a la hora de consolidar un plan de gestión de riesgos:
VOLVER AL ÍNDICE
45
%% El contexto. Es decir, el entorno que rodea la actividad comercial de la empresa, tanto a

LEE ESTE nivel interno como externo. El objetivo es determinar qué estrategias de mercado son más
ARTÍCULO adecuadas en cada caso.
EN EL BLOG
%% Valoración de riesgos. Que es, en pocas palabras, la definición de los elementos que lo
https://www.
isotools.
generan, así como sus causas y efectos.
org/2015/03/13/
por-que-es-impor- %% Tratamiento. Una vez establecidos esos riesgos y analizados sus efectos, la empresa
tante-la-gestion-de- debe dar otro paso y plantear estrategias para aminorarlos o, en el mejor de los casos,
riesgos-para-tu-em-
presa/ suprimirlos.
Este proceso de gestión de riesgo se completa con otros dos procesos, como son:
%% Comunicación y consulta, considerado como el punto de partida para establecer las

estrategias de riesgo que se llevarán a cabo. Este intercambio de información debe ser
constante y estar presente en todas las etapas del proceso, para analizar la situación en
cada momento y tomar las decisiones de actuación. Sólo así se podrá garantizar una efi-
ciente gestión del riesgo.
%% Monitoreo y revisión, parte esencial para la gestión del riesgo. Sólo a través de un segui-
miento continuo y control exhaustivo es posible identificar a tiempo las posibles amenazas
y oportunidades que se generan y desarrollar medidas que permitan la mejora de las he-
rramientas, métodos y procesos que se llevan a cabo. Este seguimiento debe ser continuo,
presente en todas las etapas, y abarcar todos los procesos de gestión del riesgo, para que
realmente sea efectivo.
Importancia de la gestión de riesgos

El establecimiento de un Sistema de Gestión de Riesgos en la empresa, supone una serie de
ventajas adicionales para la empresa
%% Favorece la identificación de amenazas, obstáculos y oportunidades.

%% Aumenta las posibilidades de alcanzar los objetivos. Los procesos que tengan más
seguimiento y control tienden a ser más exitosos.
%% Impulsa la proactividad. Incorporada la labor de gestión de riesgos, los jefes de departa-
mento y los empleados en general asumen una actitud más dinámica para la consecución
de objetivos.
%% Mejora las labores de administración de una empresa.
%% La empresa mejora su eficacia en la asignación de recursos para la gestión del ries-
go. Es decir, ya no es un gasto que se efectúa de manera improvisada. Lo más común es
que se destine una pequeña parte del presupuesto.
%% Mejora la adaptación de la empresa al entorno social y económico al que pertenece.
Identificar los riesgos permite acercarse al contexto.
%% Potencia la confianza de los grupos de interés.
%% Facilita la toma de decisiones.
%% Fomenta la capacidad de transformación de la empresa.
Software ISOTools
Automatizar la Gestión de los Riesgos Corporativos con la plataforma ISOTools te facilitará
la gestión global de los riesgos, mejorar la identificación de oportunidades y amenazas y mini-
mizar las pérdidas, entre otras ventajas.
VOLVER AL ÍNDICE
46
CALIDAD
EN SALUD
Cuáles son y en qué consisten los
principales atributos de calidad en salud
Los ejes de la acreditación en salud
La adopción de un modelo de acreditación en salud supone una gran oportunidad para con-
seguir alcanzar los nuevos estándares de calidad que los usuarios demandan. Al mismo
tiempo, se potencia la confianza y la comunicación entre las distintas partes interesadas: la
administración los profesionales y los usuarios, fortaleciendo la transparencia y autonomía
en las decisiones estrictamente sanitarias y de gestión y facilitando la mejora continua y
el correcto seguimiento de los procesos.
Actualmente, la acreditación en salud se sustenta en cuatro pilares básicos de amplio

alcance, los cuales precisan de la implicación de los directivos de los sistemas sanitarios y del
conjunto de profesionales, así como de una serie de transformaciones importantes a nivel
organizativo y de medición de resultados y objetivos.
Estos cuatro pilares o ejes son:
Satisfacción del paciente o cliente

El objetivo principal de los servicios de salud no debe ser otro que lograr la máxima satis-
facción del cliente, la cual está directamente relacionada y condicionada por una serie de
atributos:
%% Seguridad. Conjunto de medidas estructurales, orgnanizativas y protocolarias encamina-

das a reducir el riesgo de que el paciente pueda sufrir algún evento adverso durante la
atención sanitaria.
%% Eficiencia. Nivel de competencia de los profesionales encargados de la atención del paciente.
VOLVER AL ÍNDICE
46
%% Disponibilidad. Tiene que ver con las facilidades con que se encuentra el usuario al utili-
zar los servicios de salud.
%% Oportunidad. Estados operativos de los servicios y opciones terapéuticas que en un mo-
mento dado puede llegar a precisar un usuario.
%% Pertinencia. Es la garantía de que los usuarios reciban, en todo momento, los servicios
que requieran para tratar su patología con las mayores garantías de éxito.
%% Efectividad. Grado de acierto y éxito en las opciones terapéuticas finalmente elegidas
para tratar al paciente.
%% Aceptabilidad. Nivel de acuerdo y coincidencia de los pacientes con el trato recibi-
do por parte de los profesionales y tratamiento ejecutado.
%% Competencia. Medición de las competencias profesionales de los agentes implicados en
los centros de salud.
%% Coordinación. Comunicación fluida entre los distintos profesionales, centros y departa-
mentos que integran el sistema de salud.
%% Continuidad. Posibilidad de recibir las intervenciones requeridas de manera fluida y se-
cuencial, sin interrupciones innecesarias.
Humanización de la atención
Tan importante para la evolución positiva de un paciente son los métodos terapéuticos em-
pleados, como el trato recibido por su médico, enfermeros y resto del personal. El respeto
y los valores éticos son aspectos cruciales de cualquier sistema sanitario, además de un
derecho fundamental para cualquier persona.
Gestión de la tecnología
La tecnología médica ha sufrido un avance espectacular en la última década, mejorando las
posibilidades diagnósticas y permitiendo intervenciones cada vez menos invasivas.
Pero una deficiente gestión de los recursos tecnológicos puede reducir notablemente los ni-
veles de eficiencia y efectividad.
Enfoque de riesgo Este cuarto pilar tiene que ver con la valoración de los factores de cada
usuario a la hora de abordar las distintas posiblidades y métodos terapéuticos disponibles.
Los métodos de evaluación

Un aspecto fundamental en los modelos de acreditación y excelencia es la evaluación de los
distintos parámetros. En el ámbito de salud, las últimas tendencias de evaluación incluyen
los siguientes:
%% Trazabilidad del paciente.

%% Análisis de circunstancias y casuísticas de los eventos adversos.
%% Sistematización y simultaneidad de entrevistas.
%% Análisis de la cultura organizacional.
%% Farmacovigilancia y tecnovigilancia.
%% Funcionamiento de los comités de salud.
VOLVER AL ÍNDICE
46
%% Reportes de calidad y tendencia de indicadores.

%% Análisis de historias clínicas.
Aspectos críticos a mejorar

A nivel general, existen una serie de factores críticos o áreas de mejora recurrentes en
muchos sistemas y centros de salud. Entre ellos podríamos destacar: problemas de sin-
cronización y articulación entre centros y departamentos, exceso de comités, reuniones y
responsables, reticencias a los cambios organizaciones y en los procesos, circuitos o pro-
tocolos, organizaciones deficientes, sobre todo en la distribución del personal o cargas de
trabajo excesivas en algunas áreas.
ISOTools le ayuda a gestionar los atributos de calidad en el modelo

de acreditación
Los modelos de acreditación son herramientas que ayudan a fomentar la calidad de los
servicios que se prestan a los usuarios y ciudadanos, y que se basan las mediciones objetivas
de los indicadores y atributos. La plataforma ISOTools le puede ayudar en la gestión de estas
acreditaciones.

https://www.isotools.org/2015/06/10/cuales-son-y-en-que-consisten-los-principales-atributos-de-
calidad-en-salud/
Ada
la n ptado
u
900 eva ISOa
1:20
15
DESCÚBRELO
VOLVER AL ÍNDICE
47
MODELOS DE
EXCELENCIA
¿Cuáles son los principales modelos
de excelencia?
En las últimas décadas, el concepto de Calidad Total se ha ido introduciendo en la filosofía de
las empresas. Su objetivo no es otro que plantear herramientas de gestión inteligente para
afrontar los retos de un mercado cada vez más exigente y competitivo.
Los métodos tradicionales de gestión resultan insuficientes en el escenario actual, sobre

todo si se tiene en cuenta que los consumidores cada vez tienen un papel más activo en los
procesos y que sus demandas se han modificado sustancialmente.
Actualmente asistimos a un escenario empresarial con numerosas herramientas para la

gestión inteligente. Sin embargo, todas tienen en común la adaptación de los procesos de ca-
lidad a la estructura empresarial. La elección de uno u otro depende del tipo de organización,
de la naturaleza de los proyectos y de los objetivos planteados.
¿Cuáles son los principales modelos de gestión de excelencia? ¿En qué consisten? ¿Qué crite-
rios siguen para la mejora continua de los procesos?
Principales modelos de Excelencia

De la diversidad de métodos que pueden utilizarse para implantar sistemas de gestión de la
calidad en las empresas, cabe destacar cuatro, que guardan una característica común: consti-
tuyen las bases y criterios para evaluar los premios de excelencia que llevan su propio nombre.
Estos premios de excelencia nacieron con el fin de promover la calidad empresarial, bien
a nivel nacional, como es el caso de los premios Deming de Japón, como continental. Con este
fin, cada premio se fundamenta en una serie de criterios y procesos de evaluación, que les
permite conocer su situación actual y tomar las medidas oportunas para realizar las acciones
de mejora necesarias.
1. Método Deming:
Su objetivo principal es la aplicación de las teorías de Control Total de la Calidad. Fue
diseñado por el doctor Deming Prize y desarrollado desde 1951 por la Unión Japonesa de
Científicos e Ingenieros (JUSE).
VOLVER AL ÍNDICE
Implantación de los
estándares de seguridad
alimentaria
DESCARGAR AHORA
47
El foco está puesto en la evaluación de las distintas áreas de la empresa para determinar si se
han obtenido buenos resultados tras la implantación del control de calidad. Para ello, plantea
diez aspectos básicos mediante los cuales se puede realizar dicha valoración:
%% Políticas y objetivos.
%% Organización Operativa.
%% Educación y diseminación.
%% Flujo de información.
%% Calidad de productos y procesos.
%% Estandarización.
%% Gestión y control.
%% Garantía de calidad de funciones, sistemas y métodos.
%% Resultados.
%% Planes para el futuro.
2. Modelo Malcome Bladrige:
Ante la masiva llegada de productos japoneses a Estados Unidos en la década de los 80, el
país norteamericano se vio obligado a mejorar la calidad de sus productos para poder
competir. En dicho proceso, las compañías eliminan cargos burocráticos y se centran en una
filosofía de permanente revisión de sus procesos, invirtiendo más recursos en las pruebas de
calidad y en acciones que hagan visibles las necesidades de los clientes. Este modelo plantea
una interacción permanente de siete criterios:
%% Liderazgo.
%% Plan estratégico.
%% Clientes y mercado objetivo.
%% Recursos Humanos.
%% Administración.
%% Resultados.
%% Información y análisis.
3. Modelo EFQM de excelencia:
Este modelo tiene su origen en la Fundación Europea para la Gestión de Calidad (EFQM
por sus siglas en inglés), organismo que fue creado en 1988 por 14 importantes compañías
europeas que buscaban optimizar sus procesos de calidad interna. Su esquema es si-
milar al del modelo de Malcome Bladrige, pero el énfasis está puesto en el liderazgo de los
altos directivos y gerentes para impulsar el trabajo eficiente en los empleados, la política
y estrategia empresarial y las alianzas y recursos. Para medir el impacto de un producto, los
resultados se dividen en cinco criterios básicos:
%% Lo conseguido por la empresa durante el proceso.

%% Lo logrado con respecto a los objetivos de la organización.
%% Lo conseguido por los competidores.
VOLVER AL ÍNDICE
47
%% Lo conseguido por organizaciones referentes en el campo comercial.

%% Las relaciones causa-efecto entre agentes y resultados.
4. Modelo Iberoamericano de Excelencia en la calidad
Este método, creado en 1999 por la Fundación Iberoamericana para la Gestión de la

Calidad (FUNDIBEQ), tiene una gran similitud con el modelo EFQM, dado que lo toma como
base.
El modelo Iberoamericano se compone de nueve criterios que se estructuran en proceso

facilitadores, que recoge los cinco primeros, y resultados.
%% Liderazgo y estilo de gestión.

%% Política y estrategia.
%% Desarrollo de las personas.
%% Recursos asociados.
%% Clientes.
%% Resultados de clientes.
%% Resultado del desarrollo de las personas.
%% Resultados de sociedad.
%% Resultados globales.
Modelos de gestión
La plataforma ISOTools simplifica la implantación de estos modelos de excelencia y optimiza
sus resultados.

https://www.isotools.org/2015/03/11/cuales-son-los-principales-modelos-de-excelencia/
VOLVER AL ÍNDICE
48
ESTRATEGIA Ventajas de aplicar el cuadro de

mando integral en tu empresa
El Cuadro de Mando Integral (CMI), o Balanced Scorecard, es una herramienta de ges-
tión empresarial que favorece el diseño, implantación, control y evaluación de nuevas estra-
tegias que favorezcan el desarrollo y crecimiento de la organización.
La globalización de los mercados hace que las empresas se vean en la necesidad de diseñar
nuevas estrategias que les permita ser más competitivas y diferenciarse de sus competi-
dores, para continuar creciendo. Sin embargo, el desarrollo de estas tácticas precisa de herra-
mientas concretas que faciliten la consecución de estos nuevos objetivos.
En la actualidad existen métodos diversos que las empresas pueden poner en marcha con
este fin. Entre ellos, uno de los más destacados por sus resultados positivos, es el Cuadro de
Mando Integral, un instrumento que cuenta con más de veinte años de historia y que ha
demostrado ser eficaz para cualquier tipo de empresas, con independencia de su tamaño
o sector.
Características del CMI

El Cuadro de Mando Integral se basa en una serie de perspectivas en las que se enmarcan
los objetivos estratégicos que persigue. Por norma general se habla de cuatro perspectivas,
aunque en función de las necesidades de la empresa pueden ser más.
Para medir y valorar la consecución de estos objetivos estratégicos, las empresas deben se-
leccionar y definir indicadores de gestión diferentes por cada objetivo y perspectiva.
%% Perspectiva del cliente, a través de la que se pretende conocer y mejorar el nivel de

satisfacción de este sector.
%% Perspectiva interna. Es decir, los recursos que son necesarios para alcanzar los objetivos.
%% Perspectiva de procesos. Viene determinada por la propuesta de valor. Se compone de
procesos como la formación, la innovación o el servicio de postventa.
%% Perspectiva financiera. Se centra en aspectos de tipo económico y se analiza a través
de indicadores como el ROI o los beneficios ingresados.
VOLVER AL ÍNDICE
48
Ventajas de aplicar el CMI

LEE ESTE
ARTÍCULO La aplicación del Balanced Scorecard conlleva una serie de ventajas para las empresas que
EN EL BLOG lo implementan en sus procesos. Esta herramienta:
https://www.
isotools.
%% Ofrece una visión global de la situación de la empresa. Al recoger información conti-
org/2015/04/07/ nua desde diferentes perspectivas permite observar, de manera global, las característi-
ventajas-de-aplicar-
el-cuadro-de-man-
cas más representativas de la empresa
do-integral-en-tu-
empresa/ %% Permite conocer la situación concreta en la que se encuentra la organización. Además, la
información analizada describe la situación exacta en la que se encuentra la empresa.
%% Facilita el control de la evolución de la compañía. Gracias a los indicadores y al se-
guimiento y análisis que se lleva a cabo, se puede prever las futuras consecuencias y
actuar para evitar o minimizar riesgos y corregir desviaciones.
%% Alinea los objetivos estratégicos con los de cada sector o departamento, de tal forma
que se dirigen todos los esfuerzos hacia la misma meta.
%% Favorece la comunicación de la estrategia a desarrollar y, por tanto, su implemen-
tación. Para la aplicación efectiva del CMI es fundamental una eficaz comunicación.
Todos los integrantes deben conocer las estrategias que se van a llevar a cabo y cola-
borar en la consecución de los objetivos.
%% Promueve la motivación e implicación de los trabajadores. Al hacerles partícipes,
en todo momento del proceso, los trabajadores se sienten parte integrante y están más
motivados.
El proceso de implementación del CMI

La implementación de este modelo en la gestión empresarial, requiere de un análisis previo,
que permita determinar la situación de salida y definir los objetivos que se pretenden
alcanzar. Para diseñar las estrategias que se van a llevar a cabo, es decir, aquellas medidas
que facilitarán la mejora y crecimiento empresarial, es necesario descomponer los proce-
sos y analizar cuáles son aquellos que realmente confieren valor añadido tanto al producto
como a la empresa.
Tras este análisis, una vez definido el mapa estratégico, llega el momento de seleccionar los
indicadores o KPI (Key Performance Indicators), que ayudarán al control y seguimiento de
los mismos.
A través de los indicadores se mide el desempeño de cada uno de los procesos y su

adecuada evolución. Estos indicadores proporcionan información de interés de manera
continua y facilita la prevención o intervención, en caso preciso, al indicar qué proceso no
están resultando efectivos.
Este proceso es uno de los más importantes en la implementación del CMI, pues una selec-
ción de indicadores poco representativos no ofrecerá la información buscada, y por tanto,
impedirá que se alcancen los resultados deseados.
Por otro lado, se debe diseñar el plan de acción y comunicarlo a toda la organización. El co-
nocimiento por parte de todos los miembros de la organización es fundamental para alcanzar
los objetivos estratégicos.
Por último, es necesario llevar un seguimiento y control continuo, para detectar posibles
desviaciones o riesgos y analizar qué procesos se pueden mejorar.
VOLVER AL ÍNDICE
49
ESTRATEGIA Cómo elegir los mejores indicadores

de un Balanced Scorecard (BSC)
El Balanced Scorecard (BSC) o Cuadro de Mando Integral (CMI) es un modelo de gestión
estratégica que permite a las empresas tener una visión general, conjunta e interrelacionada
de los distintos objetivos de la empresa. Para ello, esta herramienta se apoya en una serie
de indicadores que permiten ligar los objetivos de la organización con unos planes de acción
concretos.
El Balanced Scorecard (BSC) es una herramienta que permite implementar la estrategia

y la misión de una empresa a partir de un conjunto de medidas de actuación. Desde su
divulgación en 1992 por sus dos autores, Robert Kaplan y David Norton, ha sido incorporada
a los procesos de gerencia estratégica de un gran número de organizaciones de todo
tipo de tamaños y ubicaciones, en especial de EEUU, Europa y Asia.
Los indicadores en el BSC

Los indicadores configuran una parte muy importante del BSC, ya que esta herramienta se
apoya en una serie de ellos para poder ligar los objetivos de la empresa con planes de acción
concretos. A través de los indicadores, los BSC consiguen controlar y monitorizar tanto los
objetivos de las empresas como las diferentes áreas de negocio.
Tipos de indicadores
La principal característica del BSC es que es capaz de ofrecer un visión global de las em-
presa. Dicha visión integral y de gran alcance afecta también a los indicadores utilizados, los
cuales van más allá de los aspectos exclusivamente cuantitativos o tangibles, como por
ejemplo el número de ventas o la rentabilidad, valorando también aspectos intangibles,
pero igualmente importantes en el medio y largo plazo como: la satisfacción de los clientes, la
gestión ambiental o el bienestar de los empleados.
Esto significa que, al menos potencialmente, existe un número increíblemente alto de

indicadores. Si utilizamos una clasificación basada en el tipo de perspectiva utilizada por cada
organización, podríamos diferenciar entre tres grandes clases de indicadores:
VOLVER AL ÍNDICE
49
1) Indicadores de productividad
Dentro de este punto de vista se analizan todos los procesos internos de la organización
para obtener el rendimiento esperado y la satisfacción de los clientes. En este grupo se incluye
aquellos indicadores que tienen que ver con la calidad del proceso, como por ejemplo:
%% Calidad del producto.

%% Coste del producto.
%% Eficiencia del proceso de fabricación.
%% Tiempos de entrega.
%% Indicadores de seguridad e higiene.
%% Calidad de materias primas.
%% Repetitividad de los procesos.
%% Mantenimiento de productos.
%% Indicadores medioambientales.
2) Indicadores de la perspectiva del cliente

Aquí entraría en juego cualquier indicador que diera solución a satisfacer las necesidades
de los clientes, así como mejorar nuestra cuota de mercado. Algunos indicadores relevantes
dentro de esta perspectiva son:
%% Fidelidad del cliente.

%% Satisfacción del cliente.
%% Calidad percibida de nuestro producto o servicio.
%% Imagen que tienen los clientes de nosotros.
%% Calidad del servicio postventa y de atención al cliente.
3) Indicadores de la perspectiva financiera

En este grupo se incluirían todos aquellos indicadores que tienen que ver con la contabilidad
y las finanzas, en especial aquellos factores que reflejan la situación económica de la em-
presa en un momento determinado:
%% Ampliaciones de capital.
%% Salidas a bolsa, fusiones o absorciones.
%% Creación de filiales.
%% Gestión del riesgo.
%% Indicadores de ventas.
%% Indicadores de liquidez.
%% Nivel de endeudamiento.
Claves para seleccionar los indicadores

La primera y más importante regla es que no se deben empezar a desarrollar los indica-
dores hasta que los objetivos estratégicos no estén claramente definidos en el mapa
estratégico y validados por el equipo de líderes.
VOLVER AL ÍNDICE
49
En el momento en que cada objetivo haya sido decidido y claramente entendido por todos los
actores implicados, la organización habrá logrado establecer el alcance y los límites de lo que
necesita medir, y será cuando procederá a identificar y seleccionar los indicadores.
Una buena estrategia puede ser la siguiente:
%% Realizar un brainstorming (comparación) de los indicadores potenciales. Por lo

general, hay entre 2 y 5 indicadores posibles para cada objetivo y de cada indicador se
deben revisar diversos aspectos y realizarse las siguientes preguntas: ¿Ayuda el indi-
cador a entender el desempeño estratégico y comunicar los resultados a los empleados?
¿El indicador es cuantificable y repetible? ¿Puede actualizarse con la frecuencia suficiente
como para ser significativo, por ejemplo mensual o trimestralmente? ¿Pueden establecerse
metas de mejoras cuantificables? o ¿Alienta y codifica las responsabilidades?
%% En función del análisis anterior, seleccionar un listado final con los indicadores que,
de forma consensuada entre todas las personas que lideren el BSC, se consideren más
óptimos.
%% Relacionar cada indicar con su objetivo correspondiente.
ISOTools: Software para Balanced Scorecard

La plataforma ISOTools convierte al Balanced Scorecard en un modelo de gestión muy visual
y sencillo de implantar, mantener y automatizar.

https://www.isotools.org/2015/05/27/como-elegir-los-mejores-indicadores-de-un-balanced-sco-
recard/
DESCÚBRELO
VOLVER AL ÍNDICE
50
INOCUIDAD
ALIMENTARIA
Norma ISO 22000: explicación
completa de su contenido
Norma ISO 22000: una garantía de calidad en las distintas fases de la
cadena alimentaria
El objetivo principal de la norma ISO 22000, de Sistemas de Gestión de Inocuidad Alimentaria,
es garantizar la seguridad alimentaria en todos los procesos implicados desde el lugar de
producción del alimento hasta que es consumido. Por lo tanto, el alcance de esta norma es
la totalidad de las fases de la cadena de suministro de los productos de alimentación.
Ventajas y objetivos de la norma

Las principales ventajas derivadas de su implantación son las siguientes:
%% Especificidad de requisitos para la industria alimentaria, puesto que es una norma

pensada exclusivamente para este campo.
%% Posibilidad de aplicación a toda la cadena alimentaria, con lo que cubre todos los posi-
bles peligros que pueden provocar que un alimento no sea inocuo.
%% Aceptación a nivel internacional, al estar elaborada por una organización reconocida
en numerosos países.
%% Cobertura de los aspectos de calidad y seguridad alimentaria exigidos por las normas de
certificación de seguridad alimentaria de las diferentes asociaciones de distribuidores.
%% Compatibilidad para su integración con otras normas ISO, como las de las series 9000
o las 14000 en un Sistema de Gestión Integrado de Calidad, Seguridad Alimentaria y
Medioambiental.
%% Evitar la duplicación de documentación de los diferentes sistemas de calidad y seguri-
dad alimentaria, al integrarlos todos en el mismo sistema de gestión.
VOLVER AL ÍNDICE
50
Objetivos
La norma ISO 22000 persigue una serie de objetivos, entre los que se pueden destacar:
%% Conseguir una mejor protección del consumidor, con lo que se aumenta su confianza
en los productos y empresas, mediante sus mecanismos de seguridad alimentaria.
%% Mejorar la cooperación entre los distintos estamentos relacionados con la industria
alimentaria, tanto privados como oficiales, a nivel nacional e internacional, por medio de los
requisitos de comunicación y gestión.
%% Contribuir a reforzar los mecanismos de seguridad alimentaria del sector, armoni-
zando requisitos y criterios.
%% Optimizar los procesos a lo largo de la cadena alimentaria, reduciendo los costes por el
análisis de los fallos en los productos e implantado procesos de mejora continua.
Contenidos de la norma ISO 22000

En términos generales, su contenido se agrupa en tres grandes bloques:
%% Requisitos para un Sistema de Gestión de Seguridad Alimentaria.

%% Requisitos para un Sistema de Análisis de Peligros y Puntos de Control Crítico
(APPCC).
%% Requisitos para un programa de Planes de Prerrequisitos Sistema de Gestión de la
Inocuidad de los Alimentos.
A partir de estos bloques, el contenido completo de la norma se distribuye en los siguien-

tes apartados:
%% Objeto y campo de aplicación.

%% Referencias normativas.
%% Términos y definiciones.
%% Sistema de Gestión de la Inocuidad de los Alimentos.
%% Responsabilidad de la Dirección.
%% Gestión de recursos.
%% Planificación y realización de productos inocuos.
%% Validación Verificación y Mejora del Sistema de Gestión de la Inocuidad de los Alimentos.
Integración de la normativa UNE-EN ISO 22000:2005 en un sistema de gestión de calidad
ISO 9001:2008.
Incluye también tres Anexos de carácter informativo:
%% Anexo A: Correspondencia entre ISO 22000:2005 e ISO 9001:2000.

%% Anexo B: Correspondencia entre los Principios APPCC e ISO 22000:2005.
%% Anexo C: Referencias del Codex Alimentarius sobre ejemplos de medidas de control (Pre-
rrequisitos, GMP, etc).
Objeto y campo de aplicación

De una forma genérica, informa de los requisitos para que una empresa alimentaria de-
muestre que cumple con la normativa legal aplicable a su actividad y que controla los
VOLVER AL ÍNDICE
La norma ISO 31000.
El valor de la gestión de
riesgos en las organizaciones
DESCARGAR AHORA
50
posibles peligros de seguridad alimentaria derivados de sus productos y procesos.

LEE ESTE
ARTÍCULO Referencias normativas
EN EL BLOG
En lo relativo a los requisitos de gestión sigue las pautas y la estructura de las normas de
https://www.
isotools. la serie ISO 9000:2000 de sistemas de gestión de la calidad.
org/2015/06/30/
norma-iso-22000-ex- Términos y definiciones
plicacion-comple-
ta-de-su-contenido/
Son básicamente los mismos que los contenidos en la ISO 9000, aunque existen algunos
específicos señalados en la norma ISO 22000:2005.
Sistema de gestión de la inocuidad de los alimentos
La norma especifica que la organización debe: «Establecer, documentar, implementar y

mantener un sistema eficaz de gestión de la inocuidad de los alimentos y actualizarlo
cuando sea necesario, de acuerdo con los requisitos de esta norma internacional».
Responsabilidad de la Dirección
Como en todo sistema de gestión de calidad o de seguridad alimentaria, no es posible tener

éxito en el proyecto si no se cuenta con un impulso y un respaldo total por parte de la
Alta Dirección de la empresa.
Gestión de recursos
El Sistema de Gestión de la Inocuidad de los Alimentos, como toda actividad empresarial,

necesita la asignación de recursos para su desarrollo, implementación, mantenimiento y
mejora. Esta provisión de medios debe abarcar los campos de: Recursos Humanos, Infraes-
tructura y Ambiente de Trabajo.
Planificación y realización de productos inocuos
La empresa alimentaria debe: “Planificar y desarrollar los procesos necesarios para la

realización de productos inocuos”. En esto se incluyen: los Programas de Prerrequisitos,
los Prerrequisitos Operativos y el Plan APPCC.
Validación, verificación y mejora del sistema de gestión de la inocuidad de

los alimentos
Esta parte del contenido tiene que ver con la integración de la normativa UNE-EN ISO
22000:2005 en un sistema de gestión de calidad ISO 9001:2008 31. La Norma ISO 22000:2005
establece que: «El Equipo de la Inocuidad de los Alimentos debe planificar e implementar
los procesos necesarios para validar las medidas de control y/o las combinaciones de
medidas de control, y para verificar y mejorar el sistema de gestión de la inocuidad de los
alimentos».
Controla el Riesgo y la Seguridad de tu empresa con la plataforma

ISOTools
La plataforma tecnológica ISOTools integra una serie de funciones, basadas en el ciclo PHVA,
que facilita el control de los riesgos y aumenta la seguridad de los procesos que se llevan
a cabo, dos procesos esenciales para garantizar la inocuidad de los alimentos conforme a
la norma ISO 22000 y otros estándares afines.
VOLVER AL ÍNDICE
ISOTools EXCELLENCE
Presencia mundial, apoyo local
ISOTools Chile ISOTools Colombia ISOTools México ISOTools Perú

www.isotools.cl www.isotools.com.co www.isotools.com.mx www.isotools.pe
+56 2 2632 1376 +57 1 3470048 +52 5536263909 +52 5536263909
ISOTools Argentina ISOTools Brasil ISOTools Ecuador ISOTools España

+54 11 4943 6310 +55 11 2677 – 4528 +593-2-2236970 +34 957 102 000
ISOTools Guatemala ISOTools Bolivia ISOTools Panamá ISOTools Costa Rica

+57 1 3470048 +511 4444932 +57 1 3470048 +57 1 3470048
ISOTools Portugal ISOTools Rep. Dominicana ISOTools USA ISOTools Uruguay

+351 253 273 245 +1 829 956 1217 +1 3057777950 +598 – 2623 6656
VOLVER AL ÍNDICE
Quality & Performance
Management Software
www.isotools.org
(+34) 957 102 000

50 Excelentes Isotools 2015

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

50 Excelentes Isotools 2015

Caricato da

Copyright:

Formati disponibili

Los 50 mejores artículos

publicados a lo largo de 2015

Los 50 Excelentes de 2015

Los 50 EXCELENTES de ISOTools en 2015 2

Seguridad y Salud Laboral 109

Los 50 EXCELENTES de ISOTools en 2015 3

Quality & Performance

CONTACTA CON UN CONSULTOR EXPERTO

Los 50 EXCELENTES de ISOTools en 2015 4

Existe un ISOTools único

SISTEMAS DE GESTIÓN MODELOS DE EXCELENCIA

Riesgos y Seguridad Personas

CONTACTA CON UN CONSULTOR EXPERTO

Los 50 EXCELENTES de ISOTools en 2015 5

%% Optimizar sus modelos y sistemas de gestión aportando soluciones innovadoras para la

%% Facilitar su aplicación, haciéndolos accesibles, ágiles y medibles, y aportando resultados en

Somos Consultoría Estratégica Somos Innovación Tecnológica

CONTACTA CON UN CONSULTOR EXPERTO

Los 50 EXCELENTES de ISOTools en 2015 6

CONTACTA CON UN CONSULTOR EXPERTO

Los 50 EXCELENTES de ISOTools en 2015 7

¿QUÉ DICEN LOS QUE YA LA HAN INSTALADO?

“Es una app imprescindible. Actualmente estoy inmersa

Los 50 EXCELENTES de ISOTools en 2015 8

INDICADORES ¿Qué son los indicadores de calidad?

Los indicadores de gestión miden, de manera global, el resultado final de las actividades

Características de los indicadores de calidad

%% Ser realistas, es decir, directamente relacionados con las dimensiones significativas de la

Clasificación de los indicadores de calidad

%% Generales: índices de incumplimiento de requisitos sobre un servicio global.

Los 50 EXCELENTES de ISOTools en 2015 10

%% Específicos: similares a los anteriores, pero referidos a un tipo de servicio concreto o a

Beneficios de la implantación de unos indicadores de calidad

%% Valorar la correcta aplicación de los recursos consumidos por las diferentes actividades

La selección de los indicadores de calidad

Criterios de selección de indicadores

Definición e implantación de un sistema de indicadores de calidad

%% Utilizar indicadores gráficos de fácil interpretación.

Los 50 EXCELENTES de ISOTools en 2015 11

La plataforma ISOTools facilita selección, definición e

LEE ESTE ARTÍCULO EN EL BLOG

Los 50 EXCELENTES de ISOTools en 2015 12

Las fases del ciclo PHVA

%% Planificar: En la etapa de planificación se establecen objetivos y se identifican los pro-

Los 50 EXCELENTES de ISOTools en 2015 13

%% Verificar: Una vez se ha puesto en marcha el plan de mejoras, se establece un periodo

Un ciclo sin fin

Ventajas y desventajas del ciclo PHVA

%% Por lo general, se consiguen mejoras en el corto plazo y resultados visibles.

Entre sus puntos débiles encontramos:

%% Cuando el mejoramiento se concentra en un área específica de la organización, se puede

LEE ESTE ARTÍCULO EN EL BLOG

Los 50 EXCELENTES de ISOTools en 2015 14

Los 50 EXCELENTES de ISOTools en 2015 15

La IAF (International Accreditation Forum), en colaboración con el ISO/TC 176/SC 2/WG

En estos momentos, las personas involucradas en los Sistemas de Gestión de la Calidad

Los responsables o cordinadores de calidad deberían saber que el Foro Internacional de

A continuación citaremos las recomendaciones que se encuentran en este documento para

Pero realmente, ¿qué cambios tendrá la nueva versión de ISO 9001?

Enfoque basado a procesos

El apartado referido al enfoque basado a procesos lo encontramos en el 4.4 “Sistema de

Los 50 EXCELENTES de ISOTools en 2015 16

Análisis del contexto

Surge un nuevo apartado, el 4. Contexto de la organización, que contempla la importancia