Seminario Iso 9001 2015 PDF

Los 50 mejores artículos
publicados a lo largo de 2014

en el blog “Calidad y Excelencia”
de ISOTools Excellence
ÍNDICE
Los 50 Excelentes
de ISOTools en 2014
ISOTools Excellence 4
Software ISO, BSC y BPM 4
Sistema modular 5
Propuesta de valor 6
Calidad 7
01. Requisitos necesarios para que las universidades obtengan... 8
02. Implantación de la ISO 9001 en el sector de la construcción 11
03. ¿Por qué certificarse con la nueva norma ISO 9001:2015? (12) 13
04. Cambios significativos en la nueva ISO 9001:2015 (13) 14
05. La identificación de los requisitos legales según la nueva ISO... 16
06. ISO 9001: ¿En qué principios se basan los Sistemas de Gestión... 17
07. ISO 9001: Fundamentos de los Sistemas de Gestión de la Calidad 22
08. ISO 9001: ¿Cómo documentar un Sistema de Gestión de la Calidad? 26
09. ISO 9001:2015, la Gestión del Riesgo 30
10. ISO 9001: Cómo gestionan las pymes los Riesgos 34
11. ISO 9001:2015 Factores externos e internos de la organización 37
12. Nueva ISO 9001 versión 2015: La importancia de la Participación... 41
13. Nueva ISO 9001:2015. Principios: Enfoque basado en hechos para... 42
Medio Ambiente 43
14. La Norma ISO 50001:2011 y la Gestión de la Energía 44
15. La importancia del Sistema de Gestión Ambiental en la ISO 14001 46
16. Los beneficios aportados por la norma ISO 14001 a las... 47
17. Términos y definiciones de la norma ISO 14001 48
18. ISO 14001: Costos asociados a una gestión ambiental inadecuada 49
19. ISO 14001: Conoce los fundamentos del Sistema de Gestión... 53
20. ISO 14001: ¿Qué documentación precisa la implementación de... 56
21. ISO 14001: Procesos que afectan a la Gestión Ambiental 61
22. ISO 14001: Pasos para implantar y diseñar un Sistema de... 65
Los 50 EXCELENTES de ISOTools en 2014 2

ÍNDICE
Seguridad y Salud Laboral 68

23. La importancia de la OHSAS 18001 dentro del sector turístico 69
24. OHSAS 18001 Origen y evolución 71
25. OHSAS 18001: Procedimiento de evaluación de riesgos 72
26. OHSAS 18001: Requisitos legales y otros requisitos de la norma 75
27. OHSAS 18001: ¿Cómo elaborar un Plan de Emergencia? 79
28. OHSAS 18001: Actividades de medición y seguimiento del... 83
29. ISO 45001: El nuevo estándar internacional sobre Seguridad... 86
30. OHSAS 18001: Identificación de No Conformidades... 90
31. OHSAS 18001: Control de los registros para SST 93
32. ¿Cuáles son los beneficios económicos que proporciona... 97
Seguridad de la Información 98
33. ¿Cómo implantar un SGSI en un PYME según la ISO 27001?... 99
34. ISO 27001: ¿Cómo es el proceso de implementación en... 102
35. ISO 27001: Seguridad en el intercambio de información 104
36. ISO 27001: La importancia de garantizar un acceso seguro a los... 109
37. ISO 27001: Soluciones a las vulnerabilidades técnicas 113
38. ISO 27001: Clave para la Continuidad de Negocio 116
39. ISO 27001: Cumplimiento de los requisitos legales en Seguridad... 121
40. ISO 27001 Procedimientos y responsabilidades para la gestión... 125
Sistemas de Gestión Integrados 127
41. ¿Qué contenidos debe incluir un Plan de Integración? 128
42. Sistemas integrados: Anexo SL 131
43. Evolución del alcance de los Sistemas de Gestión Integrados 137
44. Mapa de procesos de los Sistemas de Gestión Integrados 139
45. La automatización del sistema HSEQ 141
46. Sistemas Integrados de Gestión: Enfoques metodológicos para... 144
47. Sistemas integrados: ¿Qué metodología de integración es la ... 146
48. Estructura documental de los Sistemas de Gestión Integrados 150
Miscelánea 152
49. La aplicación de la norma ISO 39001 en las empresas... 153
50. ISO 22301: Buenas prácticas para la continuidad de negocio... 156
VOLVER AL ÍNDICE
ISOTools EXCELLENCE
El software más fácil e

intuitivo para la gestión
ISO, BSC y BPM
Compuesta de diferentes módulos, es un software escalable, flexible y adaptable a las ne-
cesidades de cada empresa u organización independientemente del tamaño y del sector en el
que opere. Es un software que favorece la agilización y la mejora de los procesos, así como
la accesibilidad y búsqueda rápida y fácil de la información.
Software ISO
Este Software ISO se desarrolla un entorno web con el objetivo de dar
¿QUÉ DICEN NUESTROS USUARIOS? cumplimiento a los requisitos de las normas ISO. Es un software ideal,
facilita a las organizaciones la implementación, mantenimiento y mejo-
“Tener mediciones ra continua de los Sistemas de Gestión ISO como Sistemas de Calidad
(ISO 9001) , Medio Ambiente (ISO 14001) , Seguridad y Salud en el Tra-
en tiempo real nos bajo (OHSAS 18001) y Seguridad de la Información (ISO 27001) .
proporciona un
Software BSC
gran control sobre
El Software Balance Scorecard es la herramienta perfecta para que la
el sistema, porque planificación estratégica se ejecute en función de las metas establecidas.
identificamos El Balanced Scorecard, también conocido como Cuadro de Mando In-
rápidamente dónde tegral o CMI, facilita el desarrollo, estructura y puesta en marcha de la
estrategia a medio y largo plazo de una organización.
están los problemas
y esto hace que la Software BPM
toma de decisiones El Software BPM consigue que las organizaciones administren de un
modo más fácil los procesos, simplifica la gestión de proyectos y la ges-
sea oportuna.” tión de cada uno de los procesos que intervienen.
Fabiana Iglesias El uso de este software para la gestión por procesos logra impulsar los
Jefa de Calidad de YAVIC. Panamá. vínculos con las partes interesadas además de consolidar y mejorar
continuamente los procesos.
CONTACTA CON UN CONSULTOR EXPERTO
VOLVER AL ÍNDICE
ISOTools EXCELLENCE
Existe un ISOTools único

para cada organización
Estamos ante un sistema modular y totalmente parametrizable, que se adapta a las nece-
sidades de cada organización. Cuenta con un módulo base que sirve como cimiento de otros
módulos de soluciones que cubren distintas áreas, pensados para facilitar y agilizar la ges-
tión de sistemas y modelos, y de esta forma poder dar cumplimiento a los requisitos de los
mismos. Sea cual sea tu sector.
MÓDULO BASE
SISTEMAS DE GESTIÓN MODELOS DE EXCELENCIA
Calidad Estrategia
Medioambiente
y energía Procesos
Riesgos y Seguridad Personas
Responsabilidad Evaluación y
social Resultados
VOLVER AL ÍNDICE
ISOTools EXCELLENCE
+ 15 años
+ 15 países Mucho más que un software
+ 1000 clientes
ISOTools Excellence es una consultora con más de 15 años de experiencia que ayuda a las
+ 50000 accesos
organizaciones comprometidas con la calidad y la excelencia a:
+ 75000 usuarios
%% Optimizar sus modelos y sistemas de gestión aportando soluciones innovadoras para la

gestión de la estrategia, los procesos y las personas.
%% Facilitar su aplicación, haciéndolos accesibles, ágiles y medibles, y aportando resultados en

el corto plazo, gracias a una plataforma tecnológica de desarrollo propio llamada ISOTools.
Somos Consultoría Estratégica Somos Innovación Tecnológica

ISOTools Excellence está formado por ex- Esta labor de consultoría se apoya en su
pertos consultores al servicio de los clien- plataforma tecnológica, a través de la cual
tes, que muestran de manera personaliza- ofrece soluciones integrales, aplicando
da a cada organización, la alternativa más continuamente la innovación tecnológica
sencilla y práctica de operar generando un como medio de adaptación a las necesida-
impacto real en los resultados y proporcio- des del mercado, requisitos normativos y
nando una ventaja competitiva sostenible tipología de organización.
en el tiempo.
VOLVER AL ÍNDICE
Calidad.
01
CALIDAD Requisitos necesarios para que

las universidades obtengan la
certificación ISO 9001
Para obtener la certificación ISO 9001, las universidades deben cumplir con los requisitos
establecidos en dicha norma. En general, las universidades deberán establecer, documentar
y realizar el mantenimiento del Sistema de Gestión de Calidad y desarrollar sus actividades
para conseguir la mejorar continuamente la eficacia del sistema basándose en los requisitos
de la norma ISO9001.
Por lo que las universidades deberán:
%% Definir los procesos necesarios para el sistema de gestión de la calidad y su aplicación a

través de la organización.
%% Determinar la secuencia y relaciones existentes en los procesos.
%% Identificar los criterios y métodos utilizados para garantizar la eficacia del desarrollo y con-
trol de estos procesos.
%% Asegurar la existencia de recursos e información que son necesarios para la operación y el
seguimiento de estos procesos.
%% Realizar un seguimiento, medición y análisis de los procesos.
%% Ejecutar la implementación de las acciones necesarias para alcanzar los resultados defini-
dos y la mejora continua de los procesos.
Cuando las universidades toman la decisión de contratar procesos que pueden causar efec-
tos perjudiciales sobre la conformidad del producto con los requisitos. Si esto tuviese lugar, la
universidad tendrá la responsabilidad de especificar esos procesos externos pertenecientes
al Sistema de Gestión de la Calidad.
La mayoría de las universidades que no consiguen implementar exitosamente el si Sistema de

Gestión de la Calidad según la norma ISO-9001 es debido a la ausencia de compromiso por
VOLVER AL ÍNDICE
Responsable de Calidad:
¿Estás preparado para
el futuro?
Descargue este e-book gratuito
DESCARGAR AHORA
01
parte de la organización. La obtención de la certificación no se limita al cumplimiento de los

requerimientos de documentación y en la puesta en marcha del sistema de calidad, también
es necesario que la alta dirección participe activamente en el proceso y comprendan que exis-
te una necesidad de cambio, por lo que es necesario que se adopten las medidas oportunas
para inculcar una cultura de calidad dentro de la organización.
La probabilidad de éxito en la implantación del Sistema de Gestión de Calidad basado en

la ISO9001 se incrementa cuando los miembros de la universidad participan en el proceso.
[/div]
Otras causas por las que las universidades no obtienen la certificación ISO 9001 se debe al
establecimiento de objetivos por encima de la capacidad de la organización, por realizar una
mala planificación o por la presencia de errores en la identificación y establecimiento de los
procesos.
La Plataforma Tecnológica ISOTools ayuda a las organizaciones a resolver de un modo muy

completo los requisitos de la norma ISO 9001 de un modo muy sencillo.
LEE ESTE ARTÍCULO EN EL BLOG

https://www.isotools.org/2014/03/13/requisitos-necesarios-para-que-las-universidades-obten-
gan-la-certificacion-iso-9001/
Ada
la n ptado
u
900 eva ISOa
1:20
15
Software para Sistema
de Gestión de la Calidad
DESCÚBRELO
VOLVER AL ÍNDICE
02
CALIDAD Implantación de la ISO 9001 en el

sector de la construcción
El estándar ISO 9001 se utiliza en las empresas del sector de la construcción para que éstas
lleguen a ser más competitivas y puedan aumentar su mercado.
La mayoría de los directores creen que la ISO-9001 solo se puede implantar en el sector ma-
nufacturero y que no se puede asociar al sector de la construcción. Esta idea no es así, debido
a que el sector de la construcción es un sector el cual posee el mayor número de empresas
certificadas.
La norma ISO9001 es una herramienta que facilita la integración de la parte técnica, admi-
nistrativa y humana asociada con la construcción a través de la adopción de un sistema de
gestión de la calidad.
Las empresas que forman parte del sector de la construcción llevan a cabo un Sistema de
Gestión de la Calidad que incluye una serie de directrices operacionales.
El Plan de Calidad es un documento que incluye el Sistema de Gestión de la Calidad de una

obra y/o proyecto
Los beneficios que obtienen las empresas con la implementación de la ISO 9001 son los si-
guientes:
%% Disminución de los gastos administrativos y operativos.

%% Mejoramiento del servicio de la calidad
VOLVER AL ÍNDICE
02
%% Aumento de la competitividad.
%% Alianzas estratégicas debido a la apertura de mercados internacionales.
%% Establecimiento de una estructura organizacional flexible.
%% Aumento de la confianza por parte de los clientes.
%% Optimización de los recursos operativos, administrativos y humanos.
Si las empresas no realizan los requerimientos del estándar ISO-9001, se enfrentarán a costes
debido al:
%% Retrasos en los plazos de entregas lo que provocará multas.

%% Deficiencias en las empresas-
%% Número de horas, días o semanas empleadas en llevar a cabo reparaciones.
%% Materiales y productos que son defectuosos.
%% Mal empleo y desperdicios de los materiales.
La Plataforma Tecnológica ISOTools va a ayudar a las organizaciones del sector de la cons-

trucción a realizar la automatización de manera más sencilla de los sistemas de gestión según
la ISO 9001.

https://www.isotools.org/2014/04/28/implantacion-de-la-iso-9001-en-el-sector-de-la-construccion/
Software de Integración
de Sistemas de Gestión
DESCÚBRELO
VOLVER AL ÍNDICE
03
CALIDAD ¿Por qué certificarse con la nueva

norma ISO 9001:2015?
Como ya sabemos se está revisando la norma ISO 9001 y está previsto que para el año 2015
salga una nueva versión con varías diferencias respecto de la actual, se pretende mejorar ha-
ciéndola más fácilmente entendible y aplicable.
La nueva norma ISO 9001:2015 viene con algunas modificaciones con respecto a la norma
que está vigente actualmente, con las que se desea proporcionar a las empresas la posibilidad
de adoptar un Sistema de Gestión de la Calidad basado a la orientación de las organizaciones
hacia el éxito sostenido a largo plazo y en la concienciación del cambio.
Las organizaciones tras obtener la certificación de la futura norma ISO9001:2015, obtendrán

una serie de beneficios:
%% Acceder a clientes nuevos: debido a la mala situación económica que estamos atravesando
la cartera de clientes de muchas empresas se ve afectada, principalmente porque muchos
de los clientes recortan sus gastos. Ante esta situación, las empresas deciden implantar la
ISO-9001:2015 en sus organizaciones para abrir nuevas puertas en el mercado y de este
modo ampliar el acceso a trabajar con nuevos clientes.
%% Imitar al líder: las empresas exponen y emplean sus certificaciones vigente, que en un
futuro modificaran su certificación actual por la certificación de la nueva norma, como una
herramienta de marketing para diferenciarse del resto y ofrecer confianza y verificar a sus
clientes. Imitando estos casos de éxito lograremos objetivos propios.
%% Revisar los procesos de trabajo: la adopción de un Sistema de Gestión de la Calidad de la
mano de la nueva ISO 9001-2015, implica el control y la mejora de los procesos de trabajo.
En consecuencia, la organización camina su actividad hacia las expectativas del cliente y a
la cuota de mercado.
La Plataforma Tecnológica ISOTools ayuda a que las organizaciones puedan cubrir con estos
tres factores clave tras la adopción, sistematización, evaluación, control y verificación del nue-
vo estándar ISO9001: 2015 de una manera eficaz y eficiente.

https://www.isotools.org/2014/05/23/cuales-son-los-motivos-para-inclinarse-por-la-nueva-
norma-iso-90012015/
VOLVER AL ÍNDICE
04
CALIDAD Cambios significativos en la nueva

ISO 9001:2015
Durante este post se van a analizar los cambios más significativos que aparecerán en la nueva
ISO 9001:2015. Los cambios que más influyen en las organizaciones es la orientación a las
empresas de servicios, ya que se modifica el término producto por el de servicios y bienes,
esto significa para muchas organizaciones muchas más facilidades a la hora de integrarse
respecto a la calidad.
Debido a esto las empresas van a experimentar un incremento de su prestigio, además de su

cartera de clientes, ya que las empresas ofrecerán un servicio de mayor calidad aumentando
las expectativas de los clientes.
Otro cambio significativo se produce en el enfoque basado en los procesos, ya que puede
ofrecer numerosas ventajas. Estos procesos tienen que estar bien definidos, integrados entre
ellos, identificados los riegos, definidos los responsables del proceso, etc.
Todo lo indicado en el párrafo anterior dará lugar a una mejora en el funcionamiento de la

empresa, que ofrecerá rápidas soluciones y mejorará tanto rendimiento como la imagen.
También, se ha llevado a cabo la supresión del término de acciones preventivas que en el

nuevo Sistema de Gestión está considerado, en su más alto nivel de prevención, un sistema
preventivo. Para esto, la organización se enfrentará a la Gestión de los Riesgos a través del
análisis y señalización de los riesgos, así como de la creación de acciones o medidas para po-
der impedir que se produzcan.
Como existen cambios y modificaciones continuas, la nueva norma ISO9001:2015 integra la

gestión del cambio en la ISO 9001:2008.
Actualmente es de vital importancia que las organizaciones tengan esto presente para que así
puedan proporcionar los mejores servicios y bienes a sus clientes. Además, esto las ayudará a
mejorar y mantener el rendimiento de sus Sistemas de Gestión de la Calidad.
LEE ESTE Otra de las modificaciones es la mayor incidencia de la mejora continua en la nueva ISO-
ARTÍCULO 9001:2015. Los auditores exigen mucho en lo que se refiere a este aspecto. Esta modificación
EN EL BLOG quiere conseguir que las empresas empleen mayor número de instrumentos en la gestión
https://www.isotools. de las oportunidades de mejora mediante una apropiada organización del desarrollo de las
org/2014/06/11/ acciones.
cambios-signifi-
cativos-en-la-nue-
va-iso-90012015/ La Plataforma Tecnológica ISOTools es consciente de estos cambios, por lo que se pone a
disposición de sus clientes para realizar de la mejor forma el desarrollo de las empresas.
VOLVER AL ÍNDICE
Se acaba el tiempo,
¿Ya estás actualizado?
Con este curso

online aprenderás
todo lo que
necesitas saber
sobre la inminente
ISO 9001:2015
MATRICÚLATE AHORA
05
CALIDAD La identificación de los requisitos

legales según la nueva ISO 9001:2015
Las empresas deben llevar un control exhaustivo durante la identificación y el mantenimiento
de los requisitos legales que le pueden ser aplicados a la organización, puede ser entorno a la
calidad del producto, al medio ambiente e incluso a la seguridad y salud en el trabajo.
Las organizaciones pueden contar con indicadores que facilitan la comprobación del proceso,
es decir, conocer si el proceso cumple con la misión que le ha sido asignada. Los indicadores
pueden ser:
%% Identificación de los requisitos legales: se puede proceder a medir el número de disposi-

ciones que se encuentran identificadas o no identificadas.
%% Comunicación y acceso a los requisitos legales: se puede medir cuan accesibles resultan
los requisitos legales para las personas que deben tener conocimientos de estos.
Las diferentes actividades que se pueden desarrollar en torno a este proceso son:
%% Determinar cuáles son los requisitos legales vigentes, así como los reglamentos anexiona-
dos al producto ofrecido por la empresa. Se puede relacionar con la norma ISO 9001 de
Gestión de la Calidad.
%% Identificar los requisitos legales y los que han sido decretados por la misma empresa, que
sean aplicables a los aspectos ambientales que pueden afectar sus actividades, servicios
o productos. La norma con la que puede ser relacionado es la ISO 14001 de Gestión Am-
biental.
%% Se deben determinar los requisitos legales y los que estén relacionados con la seguridad y
salud en el trabajo que puedan afectar a los trabajadores de la empresa. Se puede relacio-
nar con la OHSAS 18001 de Seguridad y Salud en el Trabajo.
El principal objetivo de todo este proceso es que las organizaciones conozcan y com-
LEE ESTE prendan cuales son los requisitos y las responsabilidades legales que se les pueden
ARTÍCULO aplicar, se aconseja que tengan los procedimientos documentados para señalar y ac-
EN EL BLOG ceder a todos los requisitos legales a los que se encuentra sometida la actividad que rea-
https://www.isotools. liza la organización en cualquiera de los tres campos mencionados anteriormente.
org/2014/06/13/ [/div]
la-identifica-
cion-de-los-re-
quisitos-lega- La Plataforma Tecnológica ISOTools ayuda a las organizaciones a que adopten la nueva nor-
les-segun-la-nue- ma ISO 9001, ya que esta norma guía a las empresas en la continuidad durante el camino
va-iso-90012015/
hacia la excelencia.
VOLVER AL ÍNDICE
06
CALIDAD ISO 9001: ¿En qué principios se basan

los Sistemas de Gestión de la Calidad?
Por todo esto, hay que entender la necesidad de ser conscientes y participes de los principios
y fundamentos sobre los que se sustenta la ISO-9001, además de conocer su alcance y el
motivo de los requisitos establecidos.
Debido a la importancia de estos principios y fundamentos de la norma ISO 9001, vemos

necesario destinar un artículo a hablar sobre ello:
Principios de Gestión de la Calidad según la ISO 9001

Estos principios se desarrollaron como herramientas para los altos directivos de la organiza-
ción, con la finalidad de obtener mejoras en el desarrollo de la propia empresa.
Para asegurar que un Sistema de Gestión de la Calidad funciona correctamente, es impres-

cindible realizar una evaluación imparcial de los principios utilizados por la organización y de
los resultados obtenidos.
Antes de continuar hablando sobre el tema, deberíamos de saber a qué principios de la

calidad estamos haciendo referencia:
Enfoque al cliente
Para una empresa, los clientes son el principal motivo de su existencia. Una buena organiza-
ción no puede olvidar que gracias a los clientes de sus productos y/o servicios, es posible
continuar con su actividad. Es por ello, que deberían esforzarse al máximo para garantizar
siempre su satisfacción y cumplir con sus exigencias.
Las empresas que quieren exhibir la aplicación y cumplimiento de este principio:
%% Realizan procedimientos destinados a entender las necesidades y exigencias de los clientes.

%% Establecen compromisos con los clientes, siempre teniendo en cuenta los objetivos esta-
blecidos por la empresa.
VOLVER AL ÍNDICE
06
%% Deben de conocer las necesidades y exigencias de los clientes.

%% Llevan a cabo mediciones de la satisfacción de sus clientes y toman medidas en función.
Una organización que aplique y cumpla con el principio de enfoque a clientes:
%% Incrementa sus ganancias y permiten dar respuestas rápidas a cualquier oportunidad que
se le presente.
%% Alinea los objetivos y metas definidas con las exigencias de los usuarios.
%% Cuenta con un personal con los conocimientos y competencias necesarias para satisfacer
a cualquier exigencia de los clientes.
%% Desarrolla una cartera de clientes con la que es posible establecer tratos estratégicos.
Liderazgo
En una organización, la responsabilidad de lograr y mantener un buen clima de trabajo es

de los líderes de la propia empresa. La finalidad de tener un ambiente laboral adecuado, es
que los empleados participen en la consecución de los objetivos y metas establecidos por la
compañía.
Una organización que pretenda demostrar la aplicación y cumplimiento del principio de li-
derazgo:
%% Tiene en cuenta las necesidades de las partes interesadas o stakeholder.

%% Cuenta con empleados que conocen a la perfección su papel en la organización y los ob-
jetivos a alcanzar.
%% Define estrategias en consonancia con los objetivos y metas.
%% Dispone de los recursos materiales y humanos necesarios.
A través de la aplicación y cumplimiento de este principio de la calidad, la empresa:
%% Motiva a sus trabajadores para que participen en el logro de los objetivos y metas.
%% Difunde su visión y misión.
%% Evalúa íntegramente todas las actividades desarrolladas.
Participación del personal
Un personal implicado con las actividades y objetivos de la organización, da lugar al uso de sus
capacidades para que ésta obtenga beneficios.
Para garantizar la aplicación y cumplimiento del principio participación del personal los tra-
bajadores:
%% Conocen todas sus facultades y responsabilidades cuando tiene lugar un problema.

%% Colaboran entre sí para intercambiar conocimientos y prácticas.
%% Tienen el conocimiento de lo que supone su aportación en la organización y se someten a
evaluaciones en función de los objetivos y metas.
Para las organizaciones, este principio:
%% Motiva e involucra al personal.

%% Mejora la ejecución de la organización debido a la alta involucración del personal.
VOLVER AL ÍNDICE
06
Enfoque basado en procesos
Los resultados deseados por una organización se pueden alcanzar de un modo más eficaz
gracias a la correcta gestión de procesos de las actividades y recursos desarrollados por la
empresa.
Si una organización desea manifestar la aplicación y cumplimiento del principio de enfoque

basado en procesos:
%% Define adecuadamente los procesos y responsabilidades.

%% Define claramente las interfaces empeladas entre los procesos y funciones.
%% Se evalúa los riesgos, resultados e impactos originados.
Si una organización aplica dicho principio:
%% Disminuye la inversión en temas de dinero y tiempo.

%% Incrementa una notoria mejoría de los resultados.
%% Establece constantemente objetivos y metas.
Enfoque de sistemas para la gestión
Es de vital importancia, comprender los procesos interrelacionados como un único sistema

de gestión. Esto hace posible que la eficacia y eficiencia del alcance de los objetivos de las
empresas se incremente.
Este principio de enfoque de sistemas para la gestión se demuestra:
%% Utilizando sistemas que permitan obtener mediciones de las actividades y objetivos que
favorecen el incremento de la eficacia y eficiencia.
%% Comprendiendo las interdependencias existentes entre los procesos.
Los beneficios que se pueden alcanzar como consecuencia de la aplicación:
%% Cumplimiento de los objetivos y metas establecidas.

%% Todos los esfuerzos se centran en los principales procesos de la empresa.
%% El nivel de confianza sobre la eficacia y eficiencia de la compañía se incrementa.
Mejora continua
Las organizaciones deberían ver la mejora continua como un objetivo constante al que habría
que dar consecución.
La garantía de cumplimiento del principio de mejora continua es posible:
%% Siempre que la empresa tenga a los trabajadores mejor formados.

%% Si los empleados tienen como objetivo mejorar continuamente los procedimientos y siste-
mas empleados que permiten ofrecer productos y/o servicios.
%% Se realizan evaluaciones periódicas que hagan posible la identificación de áreas en las que
se puede mejorar.
La mejora continua es una potente herramienta que permite:
%% Incrementar la ventaja competitiva y diferenciarse del resto.

%% Responder rápidamente a cualquier oportunidad.
VOLVER AL ÍNDICE
06
Enfoque basado en evidencias para la toma de decisiones
Para adoptar las decisiones más correctas es imprescindible realizar análisis de los datos e
información recabada.
La aplicación y cumplimiento del principio se realiza a través de:
%% La disposición de información real y detallada.

%% El acceso a los datos e información necesaria.
%% La ejecución de un análisis de estos datos, de este modo es posible adoptar las decisiones
y acciones necesarias.
Si se aplica dicho principio, una organización:
%% Puede decantarse por la mejor decisión ya que está fundamentada en datos verídicos.
%% Garantiza que las decisiones se han amparado en información y actuaciones verdaderas.
%% Puede debatir criterios, resoluciones e incluso proceder a revisiones.
Gestión de relaciones con los proveedores
Se tratan de relaciones favorables para la empresa y el proveedor, haciendo posible que esta
relación origine un valor añadido.
El principio se aplica y cumple si la empresa:
%% Hace una selección de proveedores estratégicos para la empresa y establece una relación
con ellos.
%% Implanta un fundamento común sobre los recursos y competencias disponibles, además
de las actividades desarrolladas para la mejora.
Entre los beneficios que puede obtener una organización que aplique este principio, desta-
camos:
%% El incremento de la aptitud para desarrollar valor entre la empresa y los proveedores.

%% La posibilidad de dar respuestas inmediatas ante las oportunidades de mercado que se
producen.
%% La gestión optimizada de costos y recursos.
Todos estos principios constituyen un sustento para los Sistemas de Gestión de la Calidad
de la familia de normas ISO 9000.

https://www.isotools.org/2014/10/14/iso-9001-principios-sistemas-gestion-calidad/
VOLVER AL ÍNDICE
Taller ISO 9001:2015
Enfoque basado en Riesgos
La capacitación
que fortalecerá
los Sistemas de
Gestión de la
Calidad
MATRICÚLATE AHORA
07
CALIDAD ISO 9001: Fundamentos de los

Sistemas de Gestión de la Calidad
En el mundo empresarial, los Sistemas de Gestión de Calidad adquieren un papel muy im-
portante. La norma ISO 9000 contiene una serie de fundamentos en los que se basan
los Sistemas de Gestión de Calidad. Estos fundamentos hacen posible que el estándar
internacional ISO 9001 se implante y desarrolle con éxito en cualquier tipo de organización,
independientemente del sector económico al que pertenezca.
Como ya hemos dicho anteriormente, la ISO 9000 agrupa los fundamentos de un Sistema de
Gestión de la Calidad:
Base racional de los Sistemas de Gestión de la Calidad

La base racional de los SGC es lo que permite que estos sistemas se mantengan, esto se debe a:
%% Que actúan como herramientas de colaboración con las organizaciones para incrementar
la satisfacción de sus clientes.
%% La necesidad por parte de los clientes de exigir productos de calidad que cubran sus de-
mandas. Es decir, se requiere que el producto cumpla con una serie de requisitos estable-
cidos por el cliente o incluso por la propia empresa.
%% El constante cambio que se produce en las necesidades y exigencias de los clientes con el
tiempo. Además se incrementa la competitividad empresarial y nuevos avances tecnológi-
cos, lo que hace necesario la mejora continua dentro de las organizaciones para garantizar
la satisfacción de los clientes.
Requisitos para los Sistemas de Gestión de la Calidad

Estos requisitos quedan establecidos en la actual ISO 9001 y se puede emplear en los Siste-
mas de Gestión de la Calidad de cualquier organización.
VOLVER AL ÍNDICE
07
Enfoque Sistémico de la Calidad

La posibilidad de aplicar la calidad a través de sistemas de gestión, permite que las organiza-
ciones realicen estudios a los requerimientos exigidos por los clientes, establezcan procesos
que favorecen la fabricación de productos o prestación de servicios con las características
deseadas por el cliente y por supuesto, mantengan un control exhaustivo de estos procesos.
Con los Sistemas de Gestión de la Calidad basados en la ISO-9001, se puede afirmar que
las organizaciones generan una seguridad a los clientes y a la empresa en lo relativo a:
%% La competencia para abastecer productos que cumplan con los requisitos de los clientes.
%% Proyectar confianza en los proyectos, competencia y calidad.
%% Fomentar la mejora continua.
Entre otros elementos, la gestión organizacional está constituida por el Sistema de Ges-
tión de Calidad basado en la ISO 9001. Este SGC se orienta en la consecución de los resulta-
dos vinculados con la calidad de los productos y servicios.
Además del Sistema de Gestión de Calidad, existen como ya hemos mencionado otros ele-
mentos que pueden integrarse totalmente con dicho sistema. Este hecho permite facilidades
en aspectos tan importantes como la planificación, designación de recursos, definición de
objetivos y análisis de la eficacia de toda la organización.
Enfoque basado en procesos

Podemos empezar definiendo un proceso como toda actividad que realiza una transforma-
ción de recursos. El concepto de enfoque basado en procesos engloba aquellas actividades
de detección y manejo de procesos y su interacción.
El enfoque basado en procesos requiere de la identificación y gestión de los procesos in-

terrelacionados, por lo tanto se trata de un enfoque muy apropiado para que las compañías
trabajen eficazmente.
Política de la calidad y objetivos de la calidad

Esta política y objetivos de la calidad se convierten en elementos clave a la hora de guiar
una empresa. Básicamente se encargan de establecer cuáles son los resultados que desea
obtener la organización y facilitan la definición y uso de recursos para alcanzarlos.
En todo momento, los objetivos de calidad serán reales y estarán alineados con la política. Del
mismo modo, serán ponderables para contrastar su nivel de alcance.
Los objetivos de calidad se relacionan con el resto de objetivos definidos por la organización,
ya sean de tipo económico, de seguridad, etc.
Cuando las organizaciones cumplen con los objetivos determinados, se consigue mejoras en
la calidad del producto o servicio prestado, en la competencia operacional de la propia orga-
nización, en su desarrollo económico.
Papel de la alta dirección dentro de los Sistemas de Gestión de la Calidad

Es responsabilidad de la alta dirección obtener y mantener un clima laboral que favorezca la
participación de los empleados en el Sistema de Gestión de la Calidad o SGC para que éste
se desarrolle con eficacia.
VOLVER AL ÍNDICE
07
Los altos directivos tienen varias funciones que ejecutar, entre las que destacamos:
%% Elaborar y sustentar la política y objetivos de la calidad.

%% Impulsar el entendimiento, motivación e involucración de los trabajadores.
%% Contrastar que todos los empleados de la empresa desarrolla sus actividades para cumplir
con la satisfacción de los trabajadores.
%% Dar garantía de que el sistema funciona de un modo eficiente y eficaz.
%% Decidir conforme a las acciones que permitan mejoras sobre el SGC.
Documentación
La documentación es un recurso fundamental para la organización, aunque supone más
papeleo administrativo, es muy importante para lograr una comunicación adecuada de las
intenciones y decidir por unas acciones u otras. Será responsabilidad de la organización, es-
tablecer la extensión y medios utilizados para generar documentación. La documentación se
debería de llevar a cabo para generar un valor añadido a la organización.
Evaluación de los SGC

Se establecerá al responsable de la evaluación del Sistema de Gestión de la Calidad ISO
9001, el cual deberá plantearse una serie de preguntas para cada uno de los procesos que
serán sometidos a dicha evaluación.
%% ¿Se ha realizado una adecuada identificación y definición del proceso?

%% ¿Se han designado responsabilidades?
%% ¿El personal encargado del proceso tiene las competencias necesarias?
%% ¿Se trata de un proceso eficaz que permite lograr los resultados marcados?
La realización de la evaluación del SGC de la organización, se puede realizar a través de:
%% Revisiones.
%% Auditorias.
%% Autoevaluaciones.
Independientemente del método de evaluación empleado, los resultados se someterán a

una comprobación siempre que sea necesario definir oportunidades de mejora del proceso.
Mejora continua
Las organizaciones optan por la mejora continua, esto se produce ya que permite aumentar
considerablemente el cumplimiento de las exigencias y necesidades de los clientes y por lo
tanto, garantizan su satisfacción. Para ello, se precisa del desarrollo de determinadas activida-
des, entre ellas:
%% Estudiar y evaluar la situación real de la organización.

%% Detectar oportunidades de mejora para la empresa.
%% Investigar alternativas que hagan posible el cumplimiento de objetivos.
%% Elegir alternativas.
VOLVER AL ÍNDICE
07
%% Realizar la implementación de dichas alternativas.

%% Valorar los resultados obtenidos.
%% Concretar las modificaciones definidas.
La actividad principal que consigue que la gestión de la organización se desarrolle de forma

eficaz, es entender y analizar los fundamentos bajo los cuales se sustenta el Sistema de
Gestión de la Calidad de la organización.
Sistema de Gestión de la Calidad

Un Sistema de Gestión de Calidad se trata de una herramienta ideal para aquellas organi-
zaciones que desean que sus productos y servicios cumplan con los máximos estándares de
calidad y así lograr y mantener la satisfacción de sus clientes.
Para saber más sobre los estándares de calidad puede visitar: https://www.isotools.org/
normas/calidad/

https://www.isotools.org/2014/10/22/iso-9001-fundamentos-sistemas-gestion-calidad/
Ada
la n ptado
u
900 eva ISOa
1:20
15
DESCÚBRELO
VOLVER AL ÍNDICE
08
CALIDAD ISO 9001: ¿Cómo documentar un

Sistema de Gestión de la Calidad?
Dentro de la entidad, ISO-9001 presenta cierta flexibilidad para seleccionar la manera en la
que documentar el SGC, posibilitando así que cada empresa desarrolle la mínima cantidad de
documentación necesaria para exponer la planificación, operación, inspección de procesos e
implementación de mejora continua.
La documentación debe de agregar valor a las actividades de una entidad y permitir la eje-
cución de las mimas. Por el contrario, lo que no debe ocurrir es que la documentación sea el
motivo para contribuir a generar burocracia, ya que en estos casos la calidad no existe.
Los fines de la documentación en una organización comúnmente son:
%% Notificación de una información.

%% Evidencia de la conformidad.
%% Compartir conocimientos.
Según ISO9001, un documento es la información y su medio de soporte, encontrando éstos

en cualquier formato o soporte como pueden ser por ejemplo:
%% En una fotografía.
%% En una muestra patrón.
%% En papel.
%% Soporte electrónico.
Sin embargo, nos preguntamos cuáles son los documentos que se recogen en un Sistema de
Gestión de Calidad. Lo exponemos a continuación.
VOLVER AL ÍNDICE
Cuadro de Mando Integral:
Balanced Scorecard
DESCARGAR AHORA
08
%% Manuales: Documentos con la información relativa al desarrollo del sistema de gestión.

%% Planes: Documentos en los que se detalla la aplicación del SGC en un producto.
%% Especificaciones: Documentos en los que quedan definidos los requisitos a cumplir por
los productos o servicios.
%% Guías: Documentos voluntarios, que proporcionan recomendaciones para llevar a cabo
actividades.
%% Procesos: Documentos informativos sobre los procedimientos que hay que realizar para
que tengan lugar ciertos acontecimientos. En estos documentos se incluyen una serie de
actividades imprescindibles para lograr los resultados deseados, los insumos y bienes.
%% Procedimientos: Documentos en los que se indica la forma de proceder ante una activi-
dad.
%% Registros: Documentos que proporcionan certezas de las actividades desarrolladas y de
los resultados conseguidos.
La documentación en cada empresa será a nivel de detalle y extensión impuesto por esta.
Se establecen una serie de requisitos propuestos por ISO 9001 que debe reunir la documen-
tación de este Sistema de Gestión de la Calidad. La manera de documentar y su sistema
de control están relacionados con factores como estos:
%% Competencia del personal de la entidad.

%% Complejidad de procesos.
%% Requisitos legales y reglamentarios aplicables.
%% Nivel de detalle que haya que demostrar en el cumplimiento de los requisitos del SGC de
la entidad.
%% Tipo y tamaño de la entidad.
%% Requisitos de clientes.
%% Complejidad de productos.
ISO9001 lo que solicita y requiere de la entidad es implantar, documentar, mantener e im-

plementar el Sistema de Gestión de la Calidad y aumentar su eficacia normalmente según los
requisitos que la norma contiene.
La documentación que debe añadir el Sistema de Gestión de la Calidad se recoge en el

artículo 4.2.1. Generalidades de ISO 9001:2008, esta es:
%% La Declaración de la Política de Calidad y de Objetivos de Calidad.

%% El Manual de Calidad.
%% Los procedimientos y registros que la norma requiere.
%% Los documentos que la organización establezca para asegurar la eficacia de la planifica-
ción, operación y control de sus procesos.
%% Los registros que la norma requiera.
La documentación respecto a la declaración de la política de calidad, ISO-9001 conceptualiza

sus requisitos en el artículo 5.3. Dichos requisitos son los siguientes:
%% Ser revisada para que no pierda su adecuación.
VOLVER AL ÍNDICE
08
%% Incluir un compromiso de cumplimiento de los requisitos y de mejora continua de la efica-

cia del Sistema de Gestión de la Calidad ISO 9001.
%% Ser adecuada al propósito de la entidad.
%% Establecer un marco de referencia para crear y revisar los fines de calidad.
%% Ser comunicada y entendida en el seno de la entidad.
En cuanto a los objetivos de calidad, también se requiere una serie de requisitos, los cuales
aparecen definidos en el artículo 5.4.1 de la norma. Dichos requisitos necesarios para lograr
los objetivos del deben ser:
%% Medibles y coherentes con la política.

%% Establecidos en las funciones y niveles pertinentes de la organización.
Si hablamos sobre la futura ISO 9001:2015, las consideraciones expuestas anteriormente la

encontramos en el artículo 5.2 para los requisitos de la política de calidad y al artículo 6.2 para
los requisitos de los objetivos de la calidad.
Esta versión futura del SGC traslada las indicaciones sobre la información documentada a un
artículo nuevo, el 7.5, indicando el tipo de información que debe incluir nuestro Sistema de
Gestión de la Calidad.
La documentación de un Sistema de Gestión de la Calidad o SGC no debería ser un tema

complicado, ya que dicho sistema no supone un aumento de burocracia, como hemos visto
en este artículo. Hay herramientas que automatizan la gestión y se podrían utilizar como me-
canismo para la gestión de toda la documentación que el sistema requiere.

https://www.isotools.org/2014/11/19/iso-9001-documentar-sistema-gestion-calidad/
DESCÚBRELO
VOLVER AL ÍNDICE
09
CALIDAD ISO 9001:2015, la Gestión del Riesgo

La nueva norma ISO 9001:2015 se encuentra reforzada por el concepto de riesgo. Dicho tér-
mino va a ser muy valorado en la revisión 2015 de la norma. Podemos observar en el ISO/DIS
9001 que el término riesgo viene para quedarse.
Toda persona que se posicione al mando de un Sistema de Gestión de Calidad tiene que
tener bien definido el concepto de riesgo. Con el fin de facilitarlo, contamos con la norma ISO
9000:2005 de fundamentos y vocabulario. Se trata de un estándar que va a ser actualizado
en 2015 también y tenemos que tenerlo siempre presente a la hora de trabajar con este tipo
de sistema de gestión.
Por lo cual, en 2015 dispondremos de la revisión de la norma que aplica los Sistemas de
Gestión de la Calidad, así como la norma de fundamentos y vocabulario que contendrá los
fundamentos imprescindibles para aplicar y entender ISO 9001:2015.
El borrador de la norma ISO/DIS 9001:2015 plantea la definición de riesgo y una serie de

notas vinculadas a esta definición:
“Riesgo: Efecto de la incertidumbre
Nota 1: Un efecto es una desviación de lo esperado – positiva o negativa.
Nota 2: La incertidumbre es el estado, aunque sea parcial, de la deficiencia de información

relacionada con la comprensión o el conocimiento de un evento, su consecuencia, o proba-
bilidad.
Nota 3: El riesgo se caracteriza a menudo por referencia a posibles eventos (Guía ISO 73.
3.5.1.3) y consecuencias (Guía ISO 73. 3.6.1.3), o una combinación de éstos.
Nota 4: El riesgo se expresa a menudo en términos de una combinación de las consecuencias

de un evento (incluyendo cambios en las circunstancias) y la probabilidad asociada (Guía ISO
73. 3.6.1.1) de ocurrencia.”
VOLVER AL ÍNDICE
09
A continuación analizaremos la naturaleza del riesgo mediante un ejemplo.
Una organización está pensando comprar 4000 kg de una materia prima determinada, pero
puede ser que la estabilidad de la moneda varíe y que mañana se reduzca el costo y pueda
comprar por el mismo precio 4250 kg.
Tenemos un presupuesto fijo que, en el caso de comprar hoy, conseguiremos 4000 kg de ma-
teria prima para producir lo que el usuario ha requerido. Sin embargo, existe la incertidumbre
de que cambie la condición de la moneda y en cambio, no podamos comprar la cantidad que
necesitamos y que con nuestro propio presupuesto no alcancemos a la cantidad solicitada
para satisfacer la demanda.
El efecto de dicho riesgo puede que sea positivo o negativo. La entidad en cuestión tendrá
que informarse acerca de la estabilidad de la moneda y así realizar la compra en el oportuno
momento.
El concepto de riesgo, durante todo el ISO/DIS 9001, viene acompañado del término “opor-
tunidades”, pero asombrosamente no añade su concepto.
En el caso de buscar el concepto de oportunidad, veremos que no es más que un riesgo que
tendría un efecto favorable sobre algo, como puede ser un resultado esperado. En el ejemplo
expuesto anteriormente sería oportunidad el aprovechamiento de la bajada de la moneda.
Si recogemos la nota 4 de la definición de riesgo que inserta ISO/DIS 9001:2015, observare-

mos que para calcular la magnitud de todo riesgo tendremos que combinar las consecuencias
de su materialización y la probabilidad de que se produzca. Del producto de los dos elementos
se consigue el valor del riesgo.
Son riesgos de tipo operacional los riesgos que vamos a tratar con ISO9001, es decir, riesgos
que están conectados con los procesos, operaciones y actividades que se llevan a cabo en la
organización (medición del desempeño de los procesos, compras, procesos operativos, ges-
tión de proveedores, comunicación interna, auditorías del sistema de gestión, etc.). No esta-
mos hablando ni de riesgos a contemplar por situaciones de emergencia como un incendio o
una inundación, ni de riesgos laborales.
A través de las siguientes prácticas podremos probar que el sistema de gestión de riesgos de
nuestra empresa está integrado en el Sistema de Gestión de la Calidad y está cumpliendo
los requisitos impuestos por ISO-9001:
%% La dirección cree que el sistema de gestión de riesgos es una oportunidad para poder
mejorar la productividad de la organización y no es un mero trámite.
%% Esta creencia se traslada a la totalidad de los procesos, departamentos y mandos interme-
dios de la entidad.
%% Hay una cultura de gestión de riesgos a todos los niveles.
%% Las actividades respecto a la gestión de riesgos está planificada.
%% La gestión de riesgos se añade en la agenda de la revisión del sistema de gestión.
%% La dirección pone recursos para la gestión de riesgos: económicos, formación, etc.
%% Si el sistema de gestión de riesgos funciona, estamos mitigando riesgos en la compañía.
%% Tenemos que tener cuidado con dejarnos llevar por la gestión del riesgo, es cierto que
es uno de los cambios más relevantes de la versión 2015 de ISO 9001, pero no debemos
perder el objetivo esencial de la norma, la calidad.
VOLVER AL ÍNDICE
09
La gestión del riesgo en un sistema como el Sistema de Gestión de la Calidad basado en la

ISO9001 incrementa su eficacia pero, en cambio, no su calidad, por lo que la calidad se funda-
menta en la confianza de cumplir sus requisitos.
Sistemas de Gestión de la Calidad

En el momento de determinar la gestión del riesgo, lo podemos practicar como tradicional-
mente se ha hecho o a través de mecanismos que nos simplifican y facilitan el trabajo, llevando
a cabo la automatización del Sistema de Gestión de Calidad.
Para saber más sobre los Sistemas de Gesitón de Calidad puedes visitar: https://www.iso-
tools.org/normas/calidad/

https://www.isotools.org/2014/12/15/iso-9001-2015-gestion-riesgo/
Ada
la n ptado
u
900 eva ISOa
1:20
15
DESCÚBRELO
VOLVER AL ÍNDICE
Auditor Interno
ISO 9001:2015
Aprende a
interpretar
la norma ISO
9001:2015 en el
contexto de una
auditoría interna
MATRICÚLATE AHORA
10
CALIDAD ISO 9001: Cómo gestionan las pymes

los Riesgos
Basándonos en el concepto de riesgos, tanto en el borrador de la ISO 9001 como el ISO/ DIS
9000:2015 de fundamentos y vocabulario (3.7.4), plantean la siguiente definición de riesgo:
“Efecto de la incertidumbre en un resultado esperado” que, a su vez, deriva a una serie de
connotaciones:
%% Un efecto es una desviación de lo esperado (positiva o negativa).

%% La incertidumbre es el estado, aunque sea parcial, de la deficiencia de información rela-
cionada con la comprensión o el conocimiento de un evento, su consecuencia o probabi-
lidad.
%% El riesgo se caracteriza, a menudo, por referencia a potenciales “eventos” y “consecuen-
cias”, o una combinación de ambos.
%% El riesgo se expresa, la mayoría de las veces, en términos de una combinación de las con-
secuencias de un evento y la “probabilidad” de ocurrencia asociada.
%% El término “riesgo” se utiliza, en ocasiones, cuando solo existe la posibilidad de conse-
cuencias negativas.
La próxima versión de la norma ISO 9001incorpora lo que conocemos como “pensamiento

basado en el riesgo”. Esto hace que, al tener en cuenta los riesgos de toda la empresa, me-
jore o aumente la posibilidad de obtener los objetivos que tenemos determinados.
Además, a través de esta reflexión basada en el riesgo, podemos ver cómo la productividad se
hace más resistente y los clientes, por su parte, podrán estar tranquilos de que van a recibir
un servicio o producto adecuado a lo que están esperando.
Con este pensamiento basado en el riesgo, ISO 9001:2015 hará que las empresas puedan:
VOLVER AL ÍNDICE
10
%% Establecer unos cimientos sólidos de entendimientos propios.

%% Constituir una cultura proactiva basada en la mejora.
%% Asegurar la existencia de una coherencia de calidad en los servicios y bienes que ofre-
cen a sus clientes.
%% Enriquecer tanto la satisfacción de los clientes como su confianza.
Puede que algún lector se pregunte en qué radica la gestión del riesgo.
La gestión del riesgo es el desarrollo de poder pensar sistemáticamente sobre cada uno de
los posibles problemas, riesgos o desastres antes de que éstos acontezcan. Una vez que ob-
tenemos este planteamiento, el siguiente paso es entablar los medios adecuados para hacer
frente a su encontronazo o impacto, reducirlos considerablemente u obviarlos.
Un apunte básico en la gestión de riesgos es ser objetivo. Por ejemplo, la posibilidad de que
un camión se estrelle contra nuestra oficina es muy pequeña. No obstante, el riesgo de que
un equipo que contiene documentación esencial para la empresa sufra algún deterioro puede
ser más real.
Otro ejemplo, es que cuando realizamos envíos frecuentes de lotes de producto de gran ta-
maño, tengamos un rechazo de producto por el cliente más elevado.
Para conocer más a fondo la gestión del riesgo tenemos que preguntarnos, ¿Qué podemos
hacer para evitarlo?, ¿Qué puede salir mal en nuestra organización?, ¿Qué haremos si algo de
eso sucede?…
No es una tarea complicada la que tendremos hacer cuando se dé a conocer la versión 2015
de la norma ISO9001, aunque es cierto que no todos los riesgos se pueden prever.
Aunque tengamos en nuestra empresa procesos perfectamente diseñados y trabajadores

con muchísimos años de experiencia y entrenamiento, puede llegar un cliente que no sepa
muy bien lo que quiere de nosotros y, además, no lo expresa correctamente. Son riesgos a
los que diariamente nos tenemos que enfrentar.
Hablamos de este tipo de riesgos porque son riesgos que las empresas no pueden prever.
Es decir, no podremos prever cómo reaccionarán nuestros clientes ni tampoco la solidez del
entorno económico. Y de ahí, pueden aparecer puntuales no conformidades que ni el pro-
pio auditor sabría cómo prever.
La norma ISO-9001 del 2015 no supondrá que utilicemos, por ejemplo, ISO 31000 ni otra he-
rramienta, cada empresa decidirá qué metodologías empleará pero esta norma es una buena
forma de gestionar correctamente los riesgos.
La publicación del ISO/DIS 9001 ha traído consigo muchas cuestiones como ¿qué es la ges-
tión del riesgo?, ¿la gestión del riesgo sustituye verdaderamente a las acciones preventivas?,
¿cómo podremos manejar la gestión del riesgo?…
El pensamiento basado en el riesgo siempre ha estado contenido en la norma ISO 9001 aun-
que en esta versión que está por venir del 2015 está incluido de forma más manifiesta. Al
menos así se nos comunica en la introducción del ISO/DIS 9001.
El término riesgo no viene solo en el ISO/DIS 9001, viene siempre acompañado del término
“oportunidades”. Podemos encontrar ambos términos en cláusulas como:
%% Número 4. Contexto de la organización. Constituye que la empresa deberá determinar
VOLVER AL ÍNDICE
10
las oportunidades y los riesgos del contexto de la misma que puedan intervenir o afectar
en la consecución de sus objetivos.
%% Número 5. Liderazgo. La alta dirección se verá obligada a garantizar el seguimiento de la
anterior cláusula.
%% Número 6. Planificación. Nos encontraremos con que la empresa tendrá que aprobar
medidas para la identificación de oportunidades y riesgos.
%% Número 8. Operación. La empresa tendrá que implementar procesos que aborden opor-
tunidades y riesgos.
%% Número 9. Evaluación del desempeño. Aquí veremos que la organización deberá anali-
zar, monitorear, medir y evaluar tanto oportunidades como riesgos.
%% Número 10. Mejora. Nos encontraremos que la empresa deberá incluir la mejora desde el
punto de vista de los cambios generados por la gestión de riesgos y oportunidades.
El pensamiento basado en el riesgo es un concepto que se trabaja a lo largo de la nueva

versión de ISO 9001, según el borrador ISO/DIS 9001.
Lo que hasta ahora se conocen como acciones preventivas, estaban planteadas para hacer
frente a las cuestiones que tienen una cierta probabilidad de afectar a la calidad de nuestros
servicios o productos.
La inclusión del riesgo en los Sistemas de Gestión de la Calidad de la futura ISO 9001:2015
hará que el sistema mire hacia delante y de un modo pro-activo. Esto permite hacer frente a
los posibles riesgos que existan en una organización, algo sin duda muy útil en las empresas.

Para saber más sobre los Sistemas de Gestión de Calidad, puedes visitar: https://www.
isotools.org/normas/calidad/

https://www.isotools.org/2014/12/22/iso-9001-como-gestionan-pymes-riesgos/
VOLVER AL ÍNDICE
11
CALIDAD ISO 9001:2015 Factores externos e

internos de la organización
El estándar internacional ISO 9001:2015 presenta una serie de novedades, las cuales tiene
expectantes a los profesionales del ámbito de la calidad y a las organizaciones que desean o
ya tienen implementado un Sistema de Gestión de la Calidad.
Cuenta con una novedad en el análisis del contexto de nuestra entidad. Es razonable que
sepamos no solo hacer adecuadamente las cosas, sino también hacer las cosas correctas.
La estrategia de nuestra entidad tiene que estar incluida en nuestro Sistema de Gestión de
la Calidad basado en la norma ISO 9001. Este enfoque estratégico incrementará la eficacia
del sistema que estamos liderando, nos ayuda a organizar nuestros intereses principales y a
concentrarnos en actividades que nos conducirán al logro de los resultados que queremos
obtener.
Esto sucede gracias a que comprendemos y entendemos la situación en la que nos encontra-
mos, esto es entramos en contexto.
En una empresa, el entorno se encuentra formado por factores internos y externos, así como
por otros aspectos que pueden perjudicar a la misma organización, los productos o servicios,
a las inversiones y a las partes interesadas.
El ISO/DIS 9001, en su párrafo 4.1 Comprender la organización y su contexto, especifica:
“La organización debe determinar los factores internos y externos que son relevantes para
su propósito y su dirección estratégica y que afecta a su capacidad para lograr el resultado
deseado de su Sistema de Gestión de la Calidad”.
Esto se puede traducir en que la entidad tendrá que concentrarse en sus factores estratégicos
internos y externos, en aquello que se considera relevante para su fin y tiene que deshacerse
de la totalidad de las barreras que no pueden alcanzar los resultados deseados.
Los factores internos pueden ser, entre otros, los productos y servicios, roles y responsabili-
VOLVER AL ÍNDICE
11
dades, políticas y objetivos, la cultura organizacional, directrices aplicables a la organización,

normas, la estructura organizativa, flujos de información, activos, procesos de toma de deci-
siones, capacidades de recursos y conocimiento, sistemas de información, etc.
Por otra parte, entre los factores externos podemos identificar, entre otros, cuestiones clima-
tológicas, actitudes del consumidor, cuestiones monetarias, factores sociales, comercio inter-
nacional, políticas gubernamentales, impuestos, clientes, la tecnología, guerras o conflictos,
financiación, factores específicos del sector, etc.
Se considera de especial importancia que la entidad tenga claro e identifique qué factores
se pueden considerar en la implementación y planificación del Sistema de Gestión de la
Calidad.
No se debe tomar en cuenta o dejarnos atrás algún factor de los más importantes que puedan
perjudicar a la capacidad de la organización para alcanzar los resultados esperados.
A continuación exponemos algunos ejemplos de factores internos y externos que pueden

afectar al Sistema de Gestión de Calidad:
%% Medios de comunicación.
%% Competidores.
%% Clientes.
%% Proveedores.
%% Inversionistas.
%% Empleados.
El análisis de contexto que plantea ISO 9001:2015 se presenta como una ayuda para tomar
las decisiones estratégicas en la entidad con respecto al Sistema de Gestión de la Calidad.
El proceso de trazado de la estrategia del Sistema de Gestión de la Calidad según la norma

ISO 9001 está formado por dos etapas: desarrollo e implementación de la estrategia.
Durante la primera etapa, en cuanto al desarrollo de la estrategia, tenemos que considerar

cuatro elementos:
%% Qué vamos a hacer, qué productos y servicios vamos a ofrecer.

%% Para quién lo vamos a hacer, a qué clientes y mercados serviremos.
%% Por qué los clientes nos comprarán, qué ventajas competitivas tendremos.
%% Dónde incidiremos, cuáles serán nuestros mercados prioritarios.
Con respecto a la segunda etapa, implementación de la estrategia, tendremos que tener en

cuenta:
%% Cómo vamos a lograr lo anterior, esto es el qué, el para quién, el por qué y el dónde.
En el momento de tomar decisiones estratégicas podemos plantear ciertas cuestiones con el

fin de facilitar este proceso, dichas preguntas son:
%% ¿Qué valores orientarán a nuestro negocio?

%% ¿Cómo nos vemos en el futuro?
%% ¿Qué factores externos sustentan nuestra estrategia y nuestro Sistema de Gestión de la
Calidad ISO-9001?
VOLVER AL ÍNDICE
La adopción de un enfoque
basado en procesos
DESCARGAR AHORA
11
%% ¿Qué tipo de clientes nuevos tendremos y cuáles de los ya existentes permanecerán con
nosotros?
%% ¿Qué criterios emplearemos para evaluar las oportunidades que tendrán nuestros nuevos
productos o servicios?
%% ¿Qué factores son los más significativos para nuestros clientes?
%% ¿Qué factores representan para nosotros una ventaja competitiva?
%% ¿En cuáles de nuestras áreas de mercado tendremos que prestar una mayor atención o
invertir más recursos?
%% ¿En qué áreas nuevas de mercado habrá que prestar una mayor atención o invertir más
recursos?
%% ¿Qué medidas tendremos que emplear para evaluar la eficacia de nuestro Sistema de
Gestión de la Calidad ISO9001?
¿De qué modo el plan de implementación del Sistema de Gestión de la Calidad que tenemos
diseñado garantiza que los objetivos de la organización, de los procesos y personales dan
apoyo a la estrategia?
Se consideran preguntas muy relevantes para que la entidad vaya hacia un camino correcto.
En próximos artículos presentaremos algunos de los mecanismos que existen para conocer
el contexto de la entidad, quizás el mecanismo más conocido sea la matriz DAFO (debilidades,
amenazas, fortalezas y oportunidades), pero se pueden encontrar muchos más.

Si está interesado en conocer más sobre los Sistemas de Gestión de la Calidad basados en
la norma ISO 9001, puedes visitar el siguiente enlace https://www.isotools.org/normas/
calidad/

https://www.isotools.org/2014/12/30/iso-90012015-factores-externos-e-internos-de-la-orga-
nizacion/
VOLVER AL ÍNDICE
12
CALIDAD Nueva ISO 9001 versión 2015: La

importancia de la Participación del
Personal
La participación del personal es uno de los principios de calidad englobados en el borrador
de la Nueva ISO 9001: 2015.
Este principio es el tercero que encontramos en el borrador, en concreto se esta en el Anexo

A de dicho borrador.
La participación del personal se describe en el borrador como algo imprescindible, las orga-
nizaciones deberán contar con personas capacitadas y que adquieran un compromiso para
lograr mejoras en la organización.
Es necesario contar con la participación de todo el personal de la organización, para que la

gestión sea eficaz y eficiente sin que suponga ningún esfuerzo.
Es muy importante conocer que va a suponer que el personal de la organización participe en

la gestión. Por ello creemos necesario comentar cuales son las funciones que llevara a cabo
el personal:
%% Identificar cuáles son las competencias y limitaciones a las que el personal se debe enfren-
tar en el desarrollo de sus actividades.
%% Evaluacion de la realización de las funciones del personal de un modo periódico, basándo-
se en sus metas y objetivos.
%% Exponer sus experiencias y conocimientos.
%% Adoptar conciencia de lo importante que es desempeñar sus funciones correctamente y
las consecuencias que le suponen a la organización.
%% Responsabilizarse de los posibles problemas que puedan surgir y tomar decisiones para
determinar cuál es la solución más correcta.
%% Establecer una actitud proactiva para identificar cuáles son las necesidades en temas de
LEE ESTE formación y asé definir el modo de elevar sus conocimientos, competencias y experiencias.
ARTÍCULO
%% Establecer un dialogo en relación a los problemas o cualquier tema sea interesante para
EN EL BLOG
la gestión de la organización.
https://www.isotools.
org/2014/01/17/ Las organizaciones deben comprometerse en la aplicación de este principio, es la solución perfecta
nueva-iso-9001-ver-
sion-2015-participa-
para que su personal se motive, comprometa, incremente su capacidad de innovación y creativi-
cion-del-personal/ dad. Es el único modo de conseguir que los trabajadores participen activamente y colaboren en el
proceso de la mejora continua.
VOLVER AL ÍNDICE
13
CALIDAD Nueva ISO 9001:2015. Principios:

Enfoque basado en hechos para la
toma de decisiones
En el Anexo A del borrador de la Nueva ISO 9001 versión 2015 se hace mención al enfoque
basado en hechos para la toma de decisiones, uno de los principios de esta norma.
En dicho borrador, el enfoque basado en hechos para la toma decisiones se muestra:
%% Descripción: Las decisiones que se toman basadas en el análisis y evaluación de datos e

información son más propensas a conseguir los resultados deseados.
%% Justificación: La toma de decisiones implica cierta incertidumbre y subjetividad. Es impres-
cindible llevar el análisis a la mayor objetividad y confianza posible para tomar la decisión
correcta.
¿Somos conscientes de lo que implica el enfoque basado en hechos para la toma de decisio-
nes cuando se gestiona una organización?
Principalmente, este principio conlleva:
%% El acceso a los datos requeridos por cualquier parte interesada.

%% Adoptar decisiones y proceder conforme al análisis, experiencia e intuición.
%% Asegurar que la información manejada es verificable y precisa.
%% Establecer un análisis de la información y datos mediante una metodología correcta.
LEE ESTE Las organizaciones que aplican el principio del enfoque basado en hechos para la toma de de-
ARTÍCULO cisiones logra ventajas competitivas, principalmente permite adoptar decisiones basadas en
EN EL BLOG datos e información comprobable y fidedigna, aumentar la capacidad de mostrar la eficacia de
https://www.isotools. las decisiones a través de datos objetivos y el incremento de aptitud para revisar, cuestionar y
org/2014/02/28/ modificar las opiniones y decisiones.
nueva-iso-90012015-
enfoque-basado-en-he-
chos-para-la-toma-de- ISOTools es la Plataforma Tecnológica permite una gestión basada en hechos para adoptar la
decisiones/ decisión más oportuna, dando la posibilidad de lograr una excelente gestión de los recursos
humanos y de la estructura organizacional.
VOLVER AL ÍNDICE
Medio
Ambiente
y Energía.
14
MEDIO
AMBIENTE
La Norma ISO 50001:2011 y la
Y ENERGÍA
Gestión de la Energía
En el siguiente monográfico hablamos sobre la norma ISO 50001, Sistemas de Gestión de la
Energía (SGEn) y de las ventajas que aporta a aquellas organizaciones que deciden llevar a
cabo su implantación.
En ella quedan establecidos los requisitos que debe tener un sistema de gestión de la energía
en una organización para que su desempeño energético mejore, consiga aumentar la eficien-
cia energética y reduzca los impactos ambientales.
Gracias a la estructura de la norma ISO 50001, el SGEn se puede integrar fácilmente con otros
sistemas de gestión debido a las similitudes estructurales que comparten.
Este sistema de gestión se basa en el concepto de mejora continua según el ciclo Deming o
PHVA, como ocurre con el resto de normas ISO.
En el desarrollo del texto comprenderá como la implementación de la norma ISO 50001 per-
mitirá a las organizaciones obtener mejoras en su desempeño energético, incrementar su
eficiencia energética y reducir las emisiones que favorecen al efecto invernadero entre otras
ventajas.
Un SGEn basado en la norma ISO 50001 logra mejorar la eficiencia energética de las orga-
nizaciones, aunque también es muy importante que las organizaciones incorporen el uso de
nuevas tecnologías.
La Plataforma Tecnológica ISOTools se convierte en la herramienta perfecta para las organi-

zaciones que se inician en el proceso de implementación, mantenimiento y automatización
del estándar internacional ISO 50001. ISOTools es un sistema de fácil uso, además cuenta con
un equipo de profesionales del sector de consultoría e informática a su plena disposición a lo
largo de todo el proceso.
DESCARGAR MONOGRÁFICO
VOLVER AL ÍNDICE
¿Conoce los cambios y
novedades de la nueva
versión de ISO 14001?
DESCARGAR AHORA
15
MEDIO
AMBIENTE
La importancia del Sistema de Gestión
Y ENERGÍA
Ambiental en la ISO 14001
Cada día aumentan las organizaciones que se preocupan por demostrar su concienciación
con el medioambiente. Para ello, disminuyen la influencia de sus actividades, servicios y pro-
ductos en el medio ambiente, conforme a su política ambiental y a sus objetivos.
Todo lo indicado anteriormente se lleva a cabo en torno a la legislación vigente, que cada
día es más severa tanto en políticas económicas como en el fomento de la protección del
medioambiente, ya que se ha producido un incremento de la concienciación de las empresas
respecto al mayor cuidado del medioambiente.
Para evaluar el desempeño ambiental en las empresas se están realizando auditorías ambien-
tales. Pero estas auditorías no son suficientes para afirmar que las empresas están actuando
según la norma ISO 14001. Además, deben de cumplir otros requisitos legales y su política
ambiental. Para que una organización sea eficiente tiene que estar dentro de un Sistema de
Gestión Integrado.
El estándar ISO14001 va a hacer que las organizaciones lleven a cabo y adopten una política y
objetivos ambientales, sin olvidar los requisitos legales. El estándar procura que sea aplicable
a todas las empresas independientemente del tipo, del tamaño, zona geográfica, cultural y
social.
El éxito del Sistema de Gestión Ambiental dependerá del compromiso de la alta dirección. La
finalidad que busca la norma ISO-14001 es la protección del medioambiente haciendo posi-
ble que se lleve a cabo el desarrollo socioeconómico de las poblaciones.
La diferencia más destacada de la segunda edición de dicha norma frente a la primera es
que la segunda se expresa con una mayor claridad, lo que hace que se pueda entender más
fácilmente. Incluso, se ha tenido presente la norma ISO 9001 para que sea más compatibles
dando lugar a un beneficio mayor a los usuarios de dichas normas.
LEE ESTE
ARTÍCULO La mayor diferencia entre una norma internacional y una norma no certificable, es que la
EN EL BLOG primera indica las exigencias necesarias para que el Sistema de Gestión Ambiental se pueda
certificar, mientras que por otro lado la no certificable nos indica la orientación para adaptar,
org/2014/04/30/la-im- establecer o mejorar el Sistema de Gestión Ambiental.
portancia-del-sistema-
de-gestion-ambiental- La Plataforma Tecnológica ISOTools es una herramienta que permite de una manera sencilla
en-la-iso-14001/
implantar, mantener y automatizar la norma ISO 14001, optimizando el Sistema de Gestión
hacia la excelencia.
VOLVER AL ÍNDICE
16
MEDIO
AMBIENTE
Los beneficios aportados por la norma
Y ENERGÍA
ISO 14001 a las administraciones
públicas
El estándar internacional ISO 14001 puede ser implantando por las empresas del sector pú-
blico, proporcionándoles numerosas ventajas como puede ser una de ellas la modernización
de su gestión. Para conseguir dichas ventajas las administraciones públicas deben certificarse
bajo la norma ISO14001.
Las administraciones públicas se actualizan cada día para poder asegurar una respuesta a la
sociedad, debido a que está sufre cambios cada día.
Uno de los instrumentos usados para hacer frente a la sociedad tan cambiante son las nor-
mas ISO. En este artículo nos vamos a centrar en la norma ISO-14001 aplicada en las admi-
nistraciones públicas.
Con la norma ISO 14001 las administraciones públicas podrán verificar a la sociedad su com-
promiso con el medio ambiente. Cada día, aumenta el número de ciudadanos que se preo-
cupan por el cuidado y protección del medio ambiente, por ello, las administraciones deben
de dar ejemplo, haciendo un buen uso de los recursos naturales, respetando a la naturaleza,
evitando el deterioro con el medioambiente, entre otros.
La mayor preocupación que existe es la degradación del medio que se está produciendo, así
las administraciones públicas y la sociedad en general trabajan para reducir este deterioro del
medio ambiente.
El Sistema de Gestión Ambiental adoptado bajo el estándar internacional ISO14001 tienen la

finalidad de:
%% Cumplir con la legislación vigente.

%% Establecer los procedimientos y políticas ambientales para poder alcanzar los objetivos
fijados.
%% Señalar los efectos que se llevan a cabo en las actividades de la empresa en el medioam-
LEE ESTE biente.
ARTÍCULO
EN EL BLOG %% Saber cual es el volumen de residuos generados, que una organización puede asumir.
https://www.isotools. %% Proporcionar información a la sociedad del comportamiento de la organización con res-

org/2014/06/02/ pecto al medio ambiente.
los-beneficios-apor-
tados-por-la-nor-
ma-iso-14001-a-las-ad-
ISOTools, es una Plataforma Tecnológica, que facilita la implantación, sistematización y eva-
ministraciones-publi- luación de la norma internacional ISO-14001, así como facilitar el mantenimiento y la gestión
cas/
de forma eficaz.
VOLVER AL ÍNDICE
17
MEDIO
AMBIENTE
Términos y definiciones de la norma
Y ENERGÍA
ISO 14001
En el siguiente vídeo se definen las palabras más utilizadas en la norma internacional ISO
14001, con el principal objetivo de facilitar la compresión de los conceptos básicos.
VER VÍDEO ISO 14001: TÉRMINOS Y DEFINICIONES
VOLVER AL ÍNDICE
18
MEDIO
AMBIENTE
ISO 14001: Costos asociados a una
Y ENERGÍA
gestión ambiental inadecuada
La ISO 14001 para los Sistemas de Gestión Medio Ambiental o SGMA, se convierte en
una herramienta clave para las organizaciones que desean que sus actividades se desarrollen
respetando plenamente el entorno que le rodea. A través de los SGMA, es posible gestionar
todos los elementos de la organización relacionados con el medio ambiente. En este post tra-
taremos de aclarar en concreto, los aspectos asociados a la contabilidad ambiental.
Cuando utilizamos el término contabilidad ambiental, se hace referencia a los elementos

que forman parte de las cuentas de una organización, derivados de los impactos originados
sobre el medio ambiente.
En la contabilidad ambiental de una organización considera:
%% La contabilidad de los pasivos eventuales.

%% La contabilidad de activos y lanzamientos de capital.
%% El análisis de los costos asociados aquellos departamentos en los que se gestiona la ener-
gía, los residuos y la conservación del medio ambiente.
%% La inversión imprescindible para incluir todos los elementos ambientales.
%% El desarrollo de sistemas contables que permitan abarcar los departamentos encargados
de temas ambientales.
%% Las evaluaciones sobre la inversión y los beneficios obtenidos del programa de mejora
ambiental.
%% Ejecutar técnicas en el ámbito contable que declaren los activos y pasivos de la organiza-
ción y al mismo tiempo los costos ambientales.
Los problemas ambientales requieren de supervisión, además es necesario elaborar y

ejecutar políticas y medidas ambientales para hacerles frente. Las actuaciones realizadas
para mitigar o eliminar estos problemas, suponen un costo que se gestiona desde la adminis-
tración ambiental de la organización.
En definitiva, se podría afirmar que la administración ambiental es la responsable de vigilar

y mejorar el desempeño ambiental de la organización.
En la norma ISO 14001, se incluyen los requisitos necesarios para que una organización
implante con éxito un Sistema de Gestión Ambiental. Estos requisitos permiten gestionar
correctamente los aspectos ambientales de la organización, ya que todos se basan en la polí-
tica ambiental y los objetivos establecidos por la propia empresa.
VOLVER AL ÍNDICE
18
Los responsables de la administración ambiental de una organización tienen varias fun-

ciones, entre las que destacamos:
%% Supervisar y elaborar políticas ambientales.

%% Definir los objetivos a conseguir por la empresa.
%% Establecer el ciclo de vida.
%% Desarrollar y sustentar en el tiempo el Sistema de Gestión Ambiental de la organización
basándolo en normas internacionales como ISO14001.
%% Cumplir con la legislación vigente.
%% Realizar evaluaciones del impacto que supone el desarrollo de su actividad sobre el medio.
%% Hacer uso de la ecoetiqueta.
%% Reducir la producción de deshechos.
%% Llevar a cabo programas preventivos para evitar la contaminación.
%% Fomentar la investigación y desarrollo de tecnologías limpias.
%% Poner en marcha el desarrollo ambiental.
Después de lo comentado hasta el momento, podemos decir que el trabajo de los responsa-
bles de la administración ambiental, auditores y asesores externos puede verse perturbado.
El grado de involucración de los responsables de la administración ambiental en los SGMA

se puede identificar a través de un mapeo en el que se consideran todos los a los que debe
enfrentarse la organización.
La implementación de un Sistema de Gestión Medioambiental en una organización ba-

sado en la ISO-14001 es garantía de que el trabajo de los responsables de la contaduría
mejorará.
A continuación hablaremos de los diferentes tipos de contables y de las responsabilidades

que deben llevar a cabo si no cuentan con un SGMA.
Contables financieros:
%% Combaten los problemas asociados a evaluaciones, balances, eventualidades, etc.
%% Hacen frente a las pérdidas económicas originadas por los procedimientos realizados para
la gestión y vigilancia de los deshechos.
%% Elaboran informes con periodicidad anual, en los cuales se contemplen el desempeño
ambiental de la organización.
%% Refuerzan las relaciones con las entidades financieras y otras similares.
Contables gerenciales
%% Tienen la responsabilidad de analiza y valorar los costos y beneficios ambientales obteni-
dos.
%% Deben incluir los costos e inversión que se va a utilizar en un futuro para la mejora am-
biental.
%% Tienen la obligación de desarrollar programas para efectuar un correcto análisis de los
costos que implica la mejora de la eficiencia.
VOLVER AL ÍNDICE
La Gestión Ambiental
se enfrenta a cambios
relevantes este año.
Con este curso

online aprenderás
todo lo que
necesitas saber
sobre la NUEVA
ISO 14001:2015
MATRICÚLATE AHORA
18
%% Elaboran informes sobre la mejora ambiental de la organización.
Contables de sistemas:
%% Realizan modificaciones sobre los Sistemas de Información Gerencial y Financiera.
Contables de proyectos:
%% Evalúan las inversiones de la organización.
%% Llevan a cabo auditorías ambientales.
%% Realizan evaluaciones ambientales para comprobar que se alcanzan los objetivos.
Contables que actúan como auditores internos:

%% Deben incluir la auditoría ambiental a los programas de auditoria interna de la organización.
Las actividades ejecutadas por las organizaciones provocan en numerosas ocasiones serios
impactos sobre el entorno que lo rodea, convirtiéndose en una amenaza para la sociedad.
La respuesta inmediata por parte de la organización a los problemas ambientales que pueda
originar, asegura que el daño sea menor.
El responsable de la administración ambiental verá como los inconvenientes derivados de

ejecutar medidas correctivas incrementan considerablemente la inversión, por lo que no
ven la rentabilidad.
Para evitar que los presupuestos destinados a solventar este tipo de problemas sean dema-
siado elevados, es importante que las organizaciones adopten medidas preventivas que
inviten a realizar actividades que favorezcan la protección del medio ambiente.
A menudo se piensa que los responsables de la administración ambiental, no deben par-

ticipar en ninguno de los departamentos en los que se implanta el Sistema de Gestión Am-
biental.
Se trata de un pensamiento equivocado, como hemos podido comprobar, la involucración en

el inicio de la implantación de un SGMA por parte de un contable asegura que dicho sistema
se potencie y su implantación culmine con el éxito deseado por la organización, además de
lograr reducir los costos destinados a este tipo de problema.
Sistema de Gestión Medio Ambiental

Las organizaciones apuestan cada día más por la implementación de SGMA basadas en es-
tándares internacionales como la norma ISO 14001. La obtención del certificado ISO14001,
asegura el cumplimiento de requisitos que favorecen la mejora del desempeño ambiental
de la organización. Si le interesan los Sistemas de Gestión Ambientales y desea conocer
más, puede encontrar más información en el siguiente enlace https://www.isotools.org/
normas/medio-ambiente/

https://www.isotools.org/2014/10/15/iso-14001-costos-asociados-a-una-gestion-ambiental-in-
adecuada/
VOLVER AL ÍNDICE
19
MEDIO
AMBIENTE
ISO 14001: Conoce los fundamentos
Y ENERGÍA
del Sistema de Gestión Ambiental
La ISO 14001 tiene su origen a consecuencia del renovado interés de la sociedad por los
cambios que se están dando en el medio ambiente.
Las empresas no solo están tomando conciencia del cuidado que se debe llevar a cabo con
respecto al planeta, sino que también quieren cumplir con la legalidad y las normas que se
originan del mismo, pues son éstas las que provocan en mayor medida el deterioro de nues-
tro hábitat.
Actualmente, el medio ambiente está creando un nuevo factor estratégico para las empre-
sas. Es muy importante que éstas sepan cómo integrarlo correctamente en la gestión de sus
sistemas y que además no interfieran en los objetivos de corto, medio y largo plazo.
La norma ISO 14001 para los Sistema de Gestión Ambiental consigue que esta integra-
ción sea posible. Esta norma, expide un certificado que es concedido por una entidad social
que tiene reconocimiento en un dominio mundial. El certificado en cuestión, acredita que la
empresa está llevando a cabo una actividad respetuosa con el medio ambiente.
Es durante un Sistema de Gestión Ambiental donde se dan lugar un conjunto de opera-

ciones para que se llegue a conseguir la mejor coherencia a lo largo del procedimiento con
relación a la mejora del medio ambiente, la protección, defensa, conservación del mismo, que
se fundamenta en organizar los datos multidisciplinares disponibles de los ciudadanos.
Nos podemos aproximar a esta gestión ambiental desde diferentes puntos de vista, como
pueden ser:
%% Social: este punto se refiere a la consecución de las actividades recreativas, paisajísticas,

ecoturísticas, agroambientales, etc.
VOLVER AL ÍNDICE
19
%% Económico: construir una fuente de bienestar económico ocasionando una sostenibilidad

entre la cultura y la sociedad, además se persigue que las actividades que se lleven a cabo
cumplan con los objetivos esperados.
%% Ecológico: es importante conservar los recursos naturales y la biodiversidad, incluso se
exige hacer hincapié en el cuidado de los ecosistemas, la capacidad de carga del ecosiste-
ma y generar externalidades positivas.
Es ahora cuando toca hablar de las bases de la gestión ambiental:
%% Llevar a cabo una actividad en un ecosistema: aunque los sistemas naturales sea
capaces de filtrar una gran cantidad de índices de contaminación, hay que ser consciente
de la cantidad de capacidad de carga de los ecosistemas locales.
%% Colaboración: hace referencia aaquellos organismos y personas que están afectadas por
los planes ambientales y que además tienen que intervenir en la formación. Los problemas
ambientales que son producidos de manera limítrofe no se adjuntan.
%% Si contaminas, pagas: según se ha establecido, quien hace un daño en el medio ambien-
te debe hacerse responsable económicamente de los costos que se generen de la repara-
ción. Es por eso, que se deben introducir mejoras industriales y aptitudes de trabajo con el
objetivo de minimizar la contaminación y los residuos que se generen.
%% Prudencia: En caso de estar dubitativo a la hora de llevar a cabo una acción que no sa-
bemos su consecuencia, es más inteligente ir con prudencia. Toma importancia el poder
comparar los efectos nocivos de manera científica, antes de que sea demasiado tarde y
hacerlo ante cualquier actividad la cual desconozcamos su impacto ambiental.
%% Preparativos: es necesario contar con un plan para regular todos los aspectos ambien-
tales para poder controlar la contaminación, pues así, se puede prevenir contaminar de
un medio a otro. La comunidad local debe integrar un control ambiental en todas sus
actividades, para así poder prepararse adecuadamente antes una situación peligrosa que
llegue a no tener marcha atrás.
El Sistema de Gestión Medioambiental puede ser utilizado por la empresa para facilitar
la gestión ambiental. Aportará una visión y análisis sobre el mecanismo de este proceso para
que asegurar que las actividades se llevan a cabo de una forma a acorde con el reglamento y
la política ambiental que se haya requerido por la organización.
En el SGMA se incluye la organización, planificación de todas las funciones que se llevaran a

cabo por la compañía, las responsabilidades, los procesos, los procedimientos y los recursos
que se necesitan implementar o desarrollar, incluyendo estar al día con la política medioam-
biental.
Cuando una empresa establece un SGMA, adquiere unos compromisos:
%% Reconocer las obligaciones legales y los impactos ambientales que se encuentran asocia-
dos a sus actividades, servicios o productos.
%% Promover la responsabilidad de la dirección de la compañía y de los empleados en la
defensa del medio.
%% Conseguir el ciclo de vida para poder realizar actividades que no influyan negativamente
sobre el medio ambiente.
%% Generar sistemas que facilitan el alcance de los objetivos medioambientales.
%% Incentivar a que los proveedores trabajen según los requisitos de los Sistemas de Gestión
Ambiental.
VOLVER AL ÍNDICE
19
%% Analizar todos los resultados obtenidos basándonos en la política ambiental y lo objetivos

fijados por la compañía.
El Sistema de Gestión Medio Ambiental es muy diverso y las empresas lo acogen libre-
mente. Existen diferentes tipos, que pueden ser:
%% ISO 14001: fue realizada por la Organización Internacional de Normalización (ISO) que es
un organismo privado no gubernamental, que genera normas voluntarias y pertenece a la
familia de normas ISO 14000.
%% EMAS: en este sistema, de la Unión Europea del año 2001, se lleva a cabo la eco gestión y
las auditorias del medio, tiene el plazo abierto para que cualquier organización que esté
interesada en la protección del medio ambiente, pueda unirse fácilmente.
Respecto a la auditoria del Sistema de Gestión Ambiental, decir que es un proceso

el cual, verifica de una manera mecánica e informada la obtención y análisis de las prue-
bas que nos determinan si el sistema de gestión de una empresa cumple con las nor-
mas legales marcadas por la organización y se relaciona con los objetivos de la dirección.
SGMA
Esta certificación medioambiental verifica que una entidad tiene posee un Sistema de Ges-
tión Ambiental, de manera que pueda fácilmente demostrar que ésta cumple con la norma,
y no solo eso, sino que también se determina que tiene intención de prevenir la contamina-
ción generada de su actividad y que se interesa por poner los medios que sean necesarios
para eliminar los efectos que la compañía produce en el medio ambiente.
Si desea conocer más acerca de los Sistemas de Gestión Ambientales, le puede interesar:
https://www.isotools.org/normas/medio-ambiente/

https://www.isotools.org/2014/10/28/iso-14001-fundamentos-sistema-gestion-ambiental/
Ada
la n ptado
140 ueva IS a
01:2 O
015
de Gestión Ambiental
DESCÚBRELO
VOLVER AL ÍNDICE
20
MEDIO
AMBIENTE
ISO 14001: ¿Qué documentación
Y ENERGÍA
precisa la implementación de un
Sistema de Gestión Ambiental?
Para realizar la implementación de un Sistema de Gestión Ambiental según la ISO 14001,
las organizaciones deben determinar todos los procedimientos implicados en la consecución
de objetivos ambientales y por su puesto documentarlos.
A continuación describiremos brevemente cada uno de los documentos que se deben elabo-
rar para implantar correctamente un sistema de este tipo basado en el estándar internacional
ISO14001:
%% Política ambiental, en este documento se definen cada uno de los principios ambienta-
les en los que se basan las organizaciones a la hora de desarrollar su actividad diaria.
%% Manual de gestión ambiental: En el que se incluyen las normas aplicables, los princi-
pios, orientaciones y sugerencias implicados en la gestión ambiental y considerando en
todo momento los objetivos establecidos por la organización.
%% Procedimientos: Se trata de un grupo de documentos en los que se establece el modo
de ejecutar aquellas actividades vinculadas con la gestión ambiental.
%% Instrucciones Técnicas: A través de estos documentos se explica breve y claramente, las
fases necesarias para comenzar, ejecutar y concluir una actividad.
%% Registros ambientales: Este tipo de documentos constituyen la base documental que
garantiza que la implementación del Sistema de Gestión Medioambiental se ha realizado
correctamente. Ofrece certeza objetiva de las tareas desarrolladas y de los resultados lo-
grados.
En referencia a los documentos mencionados con anterioridad, estos deben cumplir con una
serie de requerimientos. Para que sean comprendidos por todas las personas tienen que ser
legibles, además estar fechados, identificarlos fácilmente, estar perfectamente conservados y
archivados. Del mismo modo, para acceder rápidamente a ellos tienen que estar localizables
y para garantizar que son actuales, es necesario revisarlos periódicamente.
VOLVER AL ÍNDICE
Responsabilidad Social
Corporativa (RSC)
DESCARGAR AHORA
20
Política Ambiental
Para la Política Ambiental, se precisa considerar los requisitos que mostramos a continuación:
%% Ser coherente con la dimensión de aquellos impactos ambientales originados por las acti-
vidades de la organización.
%% Plasmar un compromiso de mejora y de prevención ante aquellas actividades generadoras
de contaminación.
%% Cumplir con la legislación aplicable en el momento y los reglamentos de carácter ambiental
vigentes.
%% Definir objetivos y metas de tipo ambiental para la organización.
%% Estar documentada, implementada y disponible para cualquier empleado de la empresa
o parte interesada.
Además, la Política Ambiental debe:
%% Lograr que la organización continúe su actividad de un modo sostenible en lo referente al

tema económico, a los aspectos relacionados con la conservación del entorno y/o la inte-
gración de la sociedad
%% Gestionar eficientemente los recursos naturales y energéticos empleados por la organi-
zación.
%% Reducir los desechos generados por la empresa.
%% Tramitar las compras de materias primas utilizadas por la organización.
A la hora de realizar una Política Ambiental, es muy posible que surjan dudas, por ello esta-
blecemos una serie de sugerencias:
%% La Dirección de la organización debe adquirir un compromiso desde el primer momento

que da comienzo la implementación del SGMA.
%% La Dirección considerará a la Política Ambiental como documento de comunicación interna
y externa, es decir para los trabajadores de la propia empresa y para el resto de partes
interesadas.
Cuando la organización lleva a cabo la implementación de la Política Ambiental se precisa:
%% Definir las responsabilidades asumidas por las partes involucradas y activar las acciones
oportunas para gestionar todas las etapas del sistema.
%% Garantizar que los trabajadores cuentan los la formación adecuada para su puesto de tra-
bajo y para el cumplimiento de los requisitos ambientales de la actividad que desarrollan.
%% Conocer el modo en el que se le va a permitir el acceso a dicho documento, ya sean a los
empleados o para el resto de partes interesadas que lo requieran. Tambien será necesario
establecer la forma de difusión.
En cuanto al último punto, el modo de difusión empleado para que el documento llegue a los
trabajadores, se puede hacer uso de canales ya utilizados para otros temas como:
%% Las reuniones de los departamentos de la empresa.

%% Jornadas colectivas.
%% Cursos de capacitación.
VOLVER AL ÍNDICE
20
Cuando la difusión se va a realizar externamente, se pueden utilizar diferentes medios como

revistas, folletos informativos o la propia web de la organización.
En todo momento la Política Ambiental se encuentra sujeta a modificaciones. Cuando

estas se ejecuten, será imprescindible comunicar a todas las partes interesadas de la organi-
zación o externas a ella este tipo de cambios.
Manual de gestión ambiental

El Manual de gestión ambiental tiene la obligación de contener:
%% Una manifestación que revele la Política Ambiental.

%% El organigrama de la organización.
%% Las tareas y procesos relacionados con el medio ambiente.
%% Declaraciones referidas a la información generada por el entorno de la empresa y las ac-
ciones correctivas a considerar.
Procedimientos
Al hablar de los procedimientos, como hemos mencionado anteriormente, nos referimos a
un conjunto de documentos en los que queda establecido el modo en el que se debe desarro-
llar las organizaciones de la empresa relacionadas con la gestión del entorno. Queda reflejado
cómo interactúan cada uno de los departamentos de la organización con el medio ambiente y
se emplea con la finalidad de determinar verificaciones y mejoras en el sistema.
Es imprescindible elaborar los procedimientos, ya que permite realizar una identificación

correcta de las actividades que precisan de una base documental. Para lo cual, se considerará
las prácticas ya empleadas, las consideraciones de los responsables del proceso y de los tra-
bajadores involucrados y por supuesto de los requisitos ambientales.
Un procedimiento tendrá en cuenta el objeto de la actividad desarrollada y su campo de

aplicación, además debe dar respuesta a:
%% Qué se debe hacer

%% Quién debe hacerlo
%% Cuándo, dónde y cómo se debe hacer
%% Qué materiales hay que emplear
%% Cómo se debe controlar y registrar.
Instrucciones técnicas
Las Instrucciones Técnicas, como hemos dicho antes, describirán de un modo conciso y cla-
ro las fases a seguir para que dé comienzo y concluya una actividad. Por ello, se considerará:
%% Alcance
%% Restricciones
%% Trabajadores involucrados
%% Responsables de los resultados obtenidos
VOLVER AL ÍNDICE
20
Registro Ambiental
Este documento se encuentra formando parte del soporte documental para comprobar que
la implementación del Sistema de Gestión Ambiental según laISO-14001 se ha realizado con
éxito.
Las organizaciones tienen que desencadenar una serie de pasos para elaborar un Registro
Ambiental:
%% Lograr que sea un documento sencillo.

%% Eludir la gestión de documentos innecesarios.
%% Hacer uso de metodologías prácticas y de fácil uso.
Sistema de Gestión Ambiental

Si te ha gustado este artículo y quieres saber más sobre el Sistemas de Gestión Ambiental,
puede visitar https://www.isotools.org/normas/medio-ambiente/

https://www.isotools.org/2014/11/03/iso-14001-documentacion-implementacion-sistema-ges-
tion-ambiental/
Ada
la n ptado
140 ueva IS a
01:2 O
015
de Gestión Ambiental
DESCÚBRELO
VOLVER AL ÍNDICE
21
MEDIO
AMBIENTE
ISO 14001: Procesos que afectan a la
Y ENERGÍA
Gestión Ambiental
En el momento de implantar un Sistema de Gestión Medioambiental fundamentado en la
norma ISO 14001 hay que tener en cuenta los procesos por los que se ve afectado y son los
siguientes:
Normalización
La normalización es una acción que tiene que determinar las disposiciones destinadas a
usos comunes y reiterados, para obtener un nivel de ordenación favorable dentro del contex-
to dado, pudiendo ser éste económico, tecnológico o político.
Las normas son documentos que se determinan a través de un consenso y las cuales son
aprobadas por un reconocido organismo que instituye, para usos reiterados y comunes, las
características, las reglas o los criterios para las distintas actividades que realice y procura
conseguir un nivel favorable de ordenación en el seno del contexto determinado.
Entre las distintas organizaciones, los usuarios y las administraciones, la norma ISO14001
presenta un lenguaje común de comunicación, llegando a ser un gran mecanismo para llevar
a cabo el desarrollo industrial de los países. Se utiliza la norma para incrementar la calidad
de la Gestión Ambiental de las entidades, aumentando la competitividad en los mercados
nacionales e internacionales, así como ayudar a preservar el medio ambiente.
Actualmente existen gran variedad de normas, para cada materia se puede encontrar una
norma. Por ello, se normaliza las características y la composición de las materias primas, la
maquinaria utilizada, la prevención de riesgos laborales, los métodos de ensayo, de los pro-
ductos industriales, la gestión de la calidad o la gestión ambiental.
Los estándares internacionales son confeccionados por un organismo de normalización inter-

nacional. Se denominan ISO las normas internacionales, y son confeccionadas por la Organi-
zación Internacional de Normalización. Ésta nació en el año 1947 con el fin de desarrollar
actividades de normalización en el ámbito mundial, posibilitando internacionalmente la coo-
peración y el intercambio tecnológico y científico.
A la organización ISO lo conforman los organismos de normalización de cada país.
VOLVER AL ÍNDICE
21
Las normas regionales son elaboradas por organismos normalizadores regionales, de manera
muy similar a como lo establecen los organismos internacionales. Poniendo un ejemplo, en el
ámbito Europeo se encuentra el Comité Europeo de Normalización (CEN) como responsa-
ble de confeccionar las normas. En el seno de ese Comité se encuentran la totalidad de países
de la Unión Europea y las normas son reconocidas con el prefijo EN.
Sin embargo, las normas nacionales son confeccionadas por organismos normalizadores del
país concretamente, como por ejemplo, en España se confía a la Asociación Española de
Normalización y Certificación (AENOR), por lo que se trata de un organismo reconocido
para llevar a cabo ésta actividad y además, sus normas se encuentran reconocidas con el
prefijo UNE.
Certificación
En cuanto a la certificación ISO 14001, es una actividad llevada a cabo por una organización
reconocida como independiente de la organización que quiera certificarse en su caso, con
las que se mantiene la conformidad de la entidad, del servicio o de las personas que tienen
que cumplir todos los requisitos definidos en las normas, las especificaciones técnicas o el
producto.
Uno de los dispositivos que tiene la entidad para asegurar que desarrollan su actividad en to-
tal respeto con el entorno es la certificación bajo un Sistema de Gestión Medioambiental
fundamentado en la norma ISO14001 por parte de la organización, ya que están sometidos a
los controles exhaustivos para eludir contaminación en el medio ambiente.
En el momento que la entidad certificadora da su visto bueno a la empresa que ha implantado

un Sistema de Gestión Ambiental, dicha entidad de otorga un sello externo que certifica
este hecho. Dicho sello y las condiciones de uso son exclusivos para cada uno de los organis-
mos certificadores.
Acreditación
Por otro lado, la acreditación es un procedimiento por el que un Organismo Autorizado
identifica que una organización tiene las competencias necesarias para llevar a cabo una de-
terminada actividad de evaluación de la conformidad. Como por ejemplo, en España, la En-
tidad Nacional de Acreditación (ENAC) es la que se encarga de acreditar. En este caso se
encargaría de acreditar las certificaciones de Sistemas de Gestión Ambiental.
La entidad acreditadora es la encargada de evaluar las competencias técnicas de los organis-

mos de certificación, afirmando que todos los requisitos se disponen identificados internacio-
nalmente, es decir, se encuentran normalizados.
La Guía 66 de ISO/IEC del año 1999 es la norma en la que podemos encontrar la totalidad
de los requisitos de competencia técnica de los organismos certificadores de Sistemas de
Gestión Medioambiental. Anteriormente fue la norma europea EN 45012:1998.
Actualmente, todos los organismos acreditados para poder certificar los Sistemas de Ges-
tión Ambientales son alrededor de veinte en España.
Para realizar la acreditación, el organismo autorizado tiene las siguientes obligaciones:
%% Deben determinar los planes de vigilancia y seguimientos por parte de los agentes acreditados.
%% Se ocupan de editar y publicar anualmente catálogos actualizados de los agentes acreditados.
VOLVER AL ÍNDICE
Balanced Scorecard
DESCARGAR AHORA
21
%% Tienen que establecer todos los periodos de validez de las acreditaciones.

%% Tiene que tramitar y resolver todas las demandas de acreditación que se soliciten.
El procedimiento que tienen que seguir las entidades con el fin de obtener la acreditación es:
%% Petición inicial: El organismo que quiera acreditarse tiene que trasladar una petición al
organismo acreditador.
%% Revisión de la petición: El organismo tiene que realizar un estudio de admisibilidad con
que juzgar si se puede seguir con el proceso de acreditación. Una vez se ha juzgado, el
organismo recibe el resultado de su petición.
%% Evaluación: la evaluación se realiza por un equipo de expertos, compuesto por un res-
ponsable de evaluación y por varios evaluadores técnicos.
%% Examen del informe de evaluación: El informe de evaluación es investigado por una
comisión de acreditación. La decisión de acreditación se toma con la opinión favorable de
esta comisión.
%% Certificado de acreditación: una vez se ha dado el visto bueno por la comisión de acre-
ditación se deben preparar los documentos siguientes: el certificado de acreditación y el
alcance de certificación.
Sistema de Gestión Ambiental

Para tener más información sobre los Sistemas de Gestión Ambiental y las normas re-
lacionadas con el medio ambiente puedes visitar: https://www.isotools.org/normas/me-
dio-ambiente/

https://www.isotools.org/2014/12/09/iso-14001-procesos-afectan-gestion-ambiental/
DESCÚBRELO
VOLVER AL ÍNDICE
22
MEDIO
AMBIENTE
ISO 14001: Pasos para implantar
Y ENERGÍA y diseñar un Sistema de Gestión
Ambiental
Dicha norma cuenta con gran cantidad de ventajas, pero la más importante es el hecho de que
se pueda integrar con diferentes Sistemas de Gestión de una forma más fácil, por lo que encon-
tramos normas que posibilitan la realización de auditorías conjuntas entre distintos sistemas de
gestión.Para que se desarrolle adecuadamente el Sistema de Gestión Ambiental basado en
la norma ISO14001, se considera necesario que se cumplan diversos requisitos, para los que se
impone una concreta metodología, prestando una cierta libertad a las entidades.
La empresa debe contar para el desarrollo de un Sistema de Gestión Medioambiental con:
%% Los recursos materiales y humanos necesarios para alcanzar los objetivos ambientales
propuestos.
%% Una estructura organizada, en la que se debe definir claramente las funciones y las res-
ponsabilidades de los puestos de trabajo que se encuentren relacionados con el medio
ambiente.
%% La planificación de las actividades y las mejoras, impuestas por la política ambiental, los
objetivos y las metas ambientales adecuadas.
%% Documentos en los que se desarrolle la metodología implantada en la organización.
El Sistema Ambiental fundamentado en la norma ISO-14001 se dispone estructurado en

cinco grandes módulos, los cuales son:
%% Política ambiental.
%% Planificación.
%% Implementación y operación.
%% Verificación.
%% Revisión por la dirección.
VOLVER AL ÍNDICE
22
La norma se encuentra fundamentada en el principio de mejora continua, dicho principio se

basa en un modelo circular que reside en Planificar-Hacer-Verificar-Actuar que fue desa-
rrollado por Walter A. Shewhart y publicitado más tarde por Edward Deming. El prototipo se
conoce como el ciclo de Shewhart/Deming y por sus siglas en ingles se como PDCA o por sus
siglas en español por ciclo PHVA.
Implantar un Sistema de Gestión Medioambiental fundamentado en la norma ISO 14001,

así como en el principio de mejora continua, se corresponde con el sistema cíclico que van
evolucionándose y adaptando con el tiempo.
El esquema nos permite observar cada uno de los módulos de los que se estructura la norma
ISO 14001. Los objetivos y propósitos generales de los cinco grandes módulos pueden con-
cretarse y resumirse de la siguiente manera:
%% La política ambiental dispone la estructura necesaria para poder determinar los objeti-
vos y las metas ambientales.
%% La planificación establece los objetivos y los procesos necesarios para alcanzar los resul-
tados necesarios de acuerdo con la política ambiental de la organización, identificándose
las consecuencias sobre el medio ambiente y estudiándose el acondicionamiento a esta.
%% La implementación radica en generar los contenidos de los procesos del Sistema de Ges-
tión Ambiental para comprobar el grado de implantación y eficacia.
%% La revisión por la dirección supone la evaluación del sistema, ya que de esta surgirán las
decisiones para llevar a cabo la mejora continua del Sistema de Gestión Medioambiental.
Diseño e implementación
En el momento de implantar y diseñar un SGA, éste se puede llevar a cabo en distintos pasos:
Paso I: Compromiso ambiental y planificación del proceso
Las funciones de los sujetos involucrados en la implementación de un Sistema de Gestión

Ambiental se deben determinar, ya que supone uno de los puntos clave para lograr el éxito.
El caso de formar un equipo de trabajo integrado por sujetos de los distintos departamentos
que forma la empresa es interesante, así como contar con una asesoría externa a la entidad
especializada que guie la implementación del SGA.
La dirección de la empresa tiene que respaldar mayoritariamente el proyecto. Además, debe

conocer en que consta un Sistema de Gestión Medioambiental, los objetivos que persigue,
así como los recursos necesarios para llevarlo a cabo.
En el momento de finalizar con la totalidad de preparativos, el paso siguiente debe ser realizar
un calendario donde fijemos todos los plazos aproximados para la consecución de los distin-
tos requisitos del SGA.
Paso II: La revisión ambiental inicial
Este siguiente paso no se considera obligatorio, pero en cambio, sí muy recomendable para
implantar un Sistema de Gestión Ambiental basado en la norma ISO-14001. Antes de co-
menzar a desarrollar un sistema, es necesario contar con la mayor información con el fin de
determinar cuáles son los impactos ambientales derivados de las actividades, servicios y pro-
ductos de la empresa.
VOLVER AL ÍNDICE
22
Le corresponde al equipo de gestión ambiental la revisión ambiental organizada por la enti-

dad o al equipo consultor externo contratado para la misma finalidad.
Paso III: Implantación del SGA
Con el fin de desarrollar de manera adecuada este paso, es necesario que se cumplan la
totalidad de los requisitos de la norma ISO-14001. Para llevar a cabo de forma adecuada la
implantación del SGA se tiene que normar a sujetos responsables del mismo. Cada una de
las personas puede crear las figuras que considere necesarias para posibilitar la implantación
del sistema.
Paso IV: Certificación del Sistema de Gestión Ambiental
Es posible la certificación de un Sistema de Gestión Ambiental si este se ha desarrollado

fundamentándose en los requisitos específicos de la norma y cumple todos ellos. La certifica-
ción es la prueba externa que se utiliza para mostrar a las partes interesadas que una organi-
zación ha implementado un SGA con éxito.
Para conseguir el certificado es necesario que el Sistema de Gestión Medioambiental ten-

ga una madurez, ya que la certificación necesita de registros que evidencien un comporta-
miento concorde con los puntos marcados en la norma ISO 14001.
En el momento anterior de conseguir el certificado, la entidad tiene que realizar una auditoría
interna con el fin de comprobar el estado en el que se encuentra su SGA, de esta manera se
podrán detectar las No Conformidades o el incumplimiento de algunos requisitos y áreas que
necesitan una mejora.
La Alta Dirección tiene que evaluar los resultados obtenidos de la auditoría y en base a estos,
tomar las decisiones que crean convenientes.
Un Sistema de Gestión Ambiental basado en la norma ISO 14001 permite a las organi-
zaciones desarrollar sus actividades respetando en todo momento el entorno que le rodea.

https://www.isotools.org/2014/12/17/iso-14001-pasos-para-implantar-y-disenar-sistema-ges-
tion-ambiental/
VOLVER AL ÍNDICE
Seguridad
y Salud
Laboral.
23
SEGURIDAD Y
SALUD EN EL
La importancia de la OHSAS 18001
TRABAJO
dentro del sector turístico
La norma OHSAS 18001 es la encargada de gestionar la Seguridad y Salud en el Trabajo, como
cualquier otro estándar internacional está dirigido a todas las empresas con el fin de proteger
lo máximo posible a los trabajadores durante su jornada laboral.
La principal relación que existe entre el sector turístico y la OHSAS18001, es que cada día este
sector se preocupa más por la seguridad de sus trabajadores.
Lo que se consigue con el estándar internacional OHSAS-18001 es disminuir muy significativa-

mente los accidentes que se pueden dar mientras los empleados se encuentran en su puesto
de trabajo, por lo que esto supone más seguridad para los empleados y una reducción de
gastos para la empresa, se evitan bajas temporales de los empleados y permite que se cumpla
la legislación, por lo que se evitan multas.
La implantación y certificación de la norma OHSAS 18001 en el sector es algo que queda de

mano de la empresa, ya que no es obligatoria. Si una empresa se encuentra certificada con la
norma se generaran beneficios como pueden ser, un aumento de confianza en los usuarios
de sus servicios, etc.
Para conseguirse la Seguridad y Salud en el Trabajo se debe contar con un espacio de trabajo
sano, en el cual existan las siguientes condiciones básicas:
%% Donde se presenten condiciones de trabajo justas para los trabajadores.
%% Las actividades llevadas a cabo por los empleados sean asignadas con dignidad.
%% La participación de los trabajadores en el Sistema de Seguridad y Salud en el Trabajo es

muy importante, dejando que expongan las mejoras que ellos creen más oportunas.
Los daños que se pueden generar en los trabajadores van a depender principalmente del
puesto de trabajo que ocupen, la zona donde se encuentren y los materiales con los que tra-
LEE ESTE
ARTÍCULO baje. La alta dirección es la que tiene que decidir los medios apropiados con los que garantizar
EN EL BLOG la Seguridad y Salud en el Trabajo para sus empleados.
https://www.isotools. La OHSAS18001 cobra mayor relevancia cuando los trabajadores del sector turístico tienen
org/2014/05/07/la-im-
portancia-de-la-oh- que enfrentarse a situaciones peligrosas, como pueden ser la realización de deportes de ries-
sas-18001-den- go, viajes en diferentes sistemas de locomoción, guías turísticos que viajan a países exóticos
tro-del-sector-turistico/
pudiendo contraer enfermedades, etc.
VOLVER AL ÍNDICE
8 problemas de
integrar normas ISO
Descarga e-book gratuito
DESCARGAR AHORA
24
SEGURIDAD Y
SALUD EN EL
OHSAS 18001 Origen y evolución
TRABAJO
OHSAS 18001 es un estándar que ha sufrido muchas variaciones desde que se pensara en
materia de Prevención de Riesgos Laborales.
Actualmente ISO está trabajando en la elaboración de una norma que sustituirá a OHSAS
18001, será la ISO 45001. Esta nueva norma contendrá los requisitos para implementar un
Sistema de Gestión de la SST en cualquier organización que así lo desee.
VER VÍDEO OHSAS 18001: ORIGEN Y EVOLUCIÓN
VOLVER AL ÍNDICE
25
SEGURIDAD Y
SALUD EN EL
OHSAS 18001: Procedimiento de
TRABAJO
evaluación de riesgos
Los Sistemas de Seguridad y Salud Ocupacional basados en la OHSAS18001 le dan un
papel principal a estos aspectos, por lo tanto, la empresa debe adoptar metodologías de tra-
bajo adecuadas.
En primer lugar, las organizaciones tienen la obligación de detectar los peligros vinculados
al desarrollo de su actividad. Tras esto, en necesario evaluar dichos riesgos y peligros para
analizar la transcendencia que ha tenido aquellos riesgos que no se han podido eludir. Con
esta evaluación, es posible adoptar las medidas más oportunas.
Según establece la OHSAS-18001, las organizaciones deberían de tener en cuenta durante la

identificación de peligros y evaluación de riesgos los propios peligros y riesgos, además de los
controles, documentos, etc.
La evaluación de los riesgos, está formada por varias etapas:
%% Análisis del riesgo: Durante esta etapa tiene lugar la identificación de los peligros de la
organización. Además se valora la dimensión que ha tenido el riesgo a través de una esti-
mación de la posibilidad de que tenga lugar ese peligro y el resultado de que se produzca.
Gracias a esto, conoceremos la trascendencia del riesgo dentro de la organización.
%% Estimación del riesgo: Para realizar esta estimación es necesario tomar la valoración que
tiene y compararla con el nivel de riesgo que está admitido. Los resultados de esta estima-
ción permiten decidir si el riesgo puede ser asumido o no por la compañía.
Las organizaciones pueden estimar que un riesgo es aceptable, si considerando la política

de seguridad y salud en el trabajo y otra clase de requerimientos legales, estos se encuentra
dentro de niveles que puede tolerar.
Si tras esta valoración, el riesgo es considerado como inaceptable, es imprescindible estable-

cer una serie de medidas que permitan reducirlo hasta niveles aceptables.
Se designa gestión del riesgo, a la evaluación del riesgo y al control del riesgo.
La información obtenida de identificar los peligros, evaluar los riesgos y establecer los contro-
les, se debe emplear durante la implantación y desarrollo del SG-SST.
VOLVER AL ÍNDICE
25
Cuando es necesario adoptar medidas de control, se debe:
%% Minimizar o suprimir el riesgo, para ello se deben ejecutar acciones preventivas desde
el inicio del desarrollo de la actividad, además de dar formación y protección a todos los
trabajadores de la organización.
%% Realizar controles periódicos de las condiciones de la propia organización, incluyendo
la metodología de trabajo empleada y el estado de salud de los empleados.
Los Sistemas de Seguridad y Salud en el Trabajo están basados fundamentalmente en la

evaluación de riesgos, por lo que se debe realizar en cada uno de los lugares de trabajo de la
compañía, teniendo en cuenta:
%% Las circunstancias de trabajo.

%% Las condiciones de los trabajadores que ocupan ese puesto.
En los puestos de trabajo se realizará la evaluación de riesgos cuando:
%% Estos sufran modificaciones debido a la selección de ciertos equipos, productos químicos,

tecnologías, etc.
%% Las condiciones de trabajo se vean modificadas.
%% Un nuevo empleado que posea ciertas particularidades que origine que sea más vulnera-
ble al lugar de trabajo, se incorpore a la plantilla.
Además de estos casos, las organizaciones deben realizar una evaluación de riesgos siempre
que se hayan identificado actividades que produzcan lesiones a la salud de los empleados o
cuando las acciones preventivas desarrolladas no sean las apropiadas. Para esto:
%% Se investigaran las causas que han provocado lesiones sobre los trabajadores.
%% Se tendrán en cuenta las actividades realizadas para mitigar y controlar los riesgos.
%% Se analizara la situación epidemiológica de los trabajadores.
En definitiva, las organizaciones son las responsables de gestionar periódicamente una eva-
luación de riesgos. En los Sistemas de Gestión de Seguridad y Salud Ocupacional basa-
dos en la OHSAS 18001, se registrarán las evaluaciones y siempre quedará documentada la
siguiente información relativa a cada uno de los puestos de trabajo:
%% Reconocimiento de los peligros.

%% Identificación del lugar de trabajo.
%% Riesgos materiales.
%% Listado de trabajadores perjudicados.
%% Resultado de las evaluaciones de riesgos realizadas con anterioridad.
%% Alusión a los criterios y procedimientos empleados durante la evaluación de riesgos.
Aunque la evaluación de riesgos es un requerimiento de la norma OHSAS18001, hay que

mencionar que existen diversos tipos:
%% Evaluación de riesgos exigida por la legislación determinada.

%% Evaluación de riesgos para aquellos casos en los que no exista una legislación determinada.
%% Evaluación de riesgos en los que es necesario unos métodos concretos de análisis.
%% Evaluación genérica de riesgos.
VOLVER AL ÍNDICE
25
En muchas de las ocasiones, los riesgos producidos en las organizaciones derivan de proble-
mas en sus instalaciones o equipamientos. Es por esto, que se han elaborado legislaciones
referidas a este tema tanto a nivel nacional como local y será necesario tenerlas en cuenta
durante la evaluación de riesgos.
En algunos momentos, se producen riesgos laborales que no están amparados por ningún
tipo de legislación. En estos casos es posible emplear guías o normas técnicas que señalan
procedimientos para realizar la evaluación. Como ejemplo, podemos hacer referencia a la ISO
10075, que considera los principios ergonómicos correspondientes con la carga de trabajo
mental.
La norma OHSAS 18001 para los Sistemas de Gestión de Seguridad y Salud Laboral,
incluye la evaluación del riesgo como un procedimiento. Al mismo tiempo existe otra norma
de esta familia, la OHSAS 18002 que contiene los instrumentos y metodologías de evaluación
del riesgo para:
%% Catálogo de verificación/cuestionarios.
%% Matrices de riesgos.
%% Tablas de clasificación / votos.
%% Análisis de los modos y efectos de fallo (AFME).
%% Estudios de peligros y operabilidad (HAZOP).
%% Estrategia de evaluación de la exposición.
%% Análisis de Pareto.
La gestión de los riesgos laborales es un tema al que hacen especial atención las organiza-
ciones, las cuales están cada día más comprometidas con la protección de sus trabajadores y
por garantizar un puesto de trabajo seguro.

https://www.isotools.org/2014/10/20/ohsas-18001-procedimiento-evaluacion-riesgos/
VOLVER AL ÍNDICE
26
SEGURIDAD Y
SALUD EN EL
OHSAS 18001: Requisitos legales y
TRABAJO
otros requisitos de la norma
En el momento en el que una organización decide implantar un Sistema de Gestión de Segu-
ridad y Salud en el Trabajo según la norma OHSAS18001 esta puede encontrar con una serie
de dudas sobre cómo debe afrontar algunos aspectos de la norma en sí misma.
Durante este artículo nos centraremos a explicar los dos puntos que hemos citado anteriormente
%% Requisitos legales y otros

%% Objetivos y programas
Requisitos legales y otros

La norma OSHAS 18001 dentro de su apartado requisitos legales y otros requisitos determi-
na la obligación que tienen las empresas a la hora de establecer una política de Seguridad y
Salud en el Trabajo donde introduzca todos los compromisos relacionados con los requisitos
legales que le afecten directamente.
Para poder llevar esto a cabo la empresa debe realizar una serie de procedimientos que ge-
neren respuesta a:
%% Los requisitos legales que se deben identificar.

%% Todos los requisitos legales que sean aplicables.
%% Las personas responsables de identificar los requisitos legales.
%% El momento en el que se debe identificar los requisitos.
%% Donde se deben identificar los requisitos.
Como bien sabemos no existen dos empresas iguales, por lo que cada una debe establecer
sus propios procedimientos de actuación, dentro del propio Sistema de Gestión SST basado
en OHSAS 18001, con los que puedan responder a las preguntas que hemos mencionado
anteriormente basándose en los peligros, actividades, etc.
VOLVER AL ÍNDICE
el futuro?
DESCARGAR AHORA
26
Requisitos legales y otros que se deban identificar

Dentro de todos los requisitos legales que podemos encontrar existen: directivas, leyes, regla-
mentos, permisos, autorizaciones, licencias, legislación local, etc.
Pero debemos tener en cuenta otro tipo de requisitos, como pueden ser: contratos, prácticas
del sector, acuerdos con partes interesadas, etc.
Responsables para identificar los requisitos legales

En el momento en que se crea la necesidad de identificar los requisitos legales que se le pue-
den aplicar a la organización en relación a la seguridad y salud en el trabajo de los empleados,
la empresa debe designar una persona que cuente con la competencia y autoridad apropiada
para que sea el responsable de dicha identificación. Puede darse la situación de que se desig-
nar dichas tareas a más de una persona.
La persona que finalmente se encargue de realizar dicha labor puede ser perfectamente la
persona responsable del departamento de seguridad y salud ocupacional de la organización,
es decir, puede ser el técnico de prevención de la organicen e incluso el responsable del
Sistema de Gestión de Seguridad y Salud en el Trabajo OHSAS18001 o un trabajador de la
organización.
En los procedimientos se deben incluir y definir los responsables de recibir toda la informa-
ción sobre los requisitos legales y otros requisitos que se hayan identificado, la vía por la que
lo recibirá y asegurar que se genere una comunicación de que se ha llevado a cabo con éxito.
Cómo se deben identificar los requisitos legales

La manera de identificar todos los requisitos queda de mano de cada organización, cada una
debe decir cómo realizará dicha identificación y utilizar sus recursos disponibles, siempre que
se encuentren dentro de los requisitos que expone la norma OHSAS-18001.
Sea cual sea la manera en la que se identifiquen los requisitos, la empresa tiene que estar al
tanto de en qué momento se encuentran sus actividades referentemente a la legislación que
se le puede aplicar, además del resto de requisitos identificados.
Identificar los requisitos debe estar garantizado, ya que dichos requisitos son utilizados como
entradas de los procesos.
Cuándo se debe identificar los requisitos

Tiene que formar parte del procedimiento sobre la identificación de los requisitos de la em-
presa en el mismo momento en que sea necesario realizar dicha labor. El momento idóneo
para llevar a cabo dicha identificación:
%% En el mismo momento en que se procede a identificar los peligros y la evaluación de riegos.

%% Durante el periodo de tiempo fijado por la empresa para revisar la legislación, tarea que
podría ser mensual o trimestral. Los intervalos de tiempo los fija la misma organización y
deben coincidir con la publicación de la nueva legislación que le influya.
De cualquier forma, una empresa tiene que cambiar la periodicidad, incrementando o dismi-
nuyendo los intervalos de tiempo en los que debe revisar la legislación, para que siempre este
de acuerdo a las necesidad de su Sistema de Gestión SST según OHSAS 18001.
VOLVER AL ÍNDICE
26
Dónde se identifican los requisitos legales

Cada empresa, debe identificar sus peligros en seguridad y salud en el trabajo, la evaluación
de riesgos, medidas de control, los equipos, los empleados, el país donde trabajen… se puede
obtener información sobre los diferentes requisitos que se puede aplicar en diferentes fuentes.
La fuente de información puede venir dada por la Organización Internacional del Trabajo, por
internet, por instituciones relacionadas con la seguridad y salud operacional.
Objetivos y programas
La norma OHSAS18001 dentro de su apartado objetivos y programas expresa la necesidad de
llevar a cabo objetivos claros, medibles y coherentes.
Se puede identificar la diferencia entre objetivos estratégicos en Seguridad y Salud en el Tra-

bajo y objetivos operativos:
%% Los objetivos estratégicos en SST: es un objetivo estratégico ya que se puede ver del re-
sultado de analizar la situación de la empresa y representa los resultados que se quieren
alcanzar en un futuro.
%% Objetivos operativos: son conocidos como objetivos funcionales, de desempeño, operacio-
nales, etc. Se pueden conocer como objetivos a corto plazo ya que entran en más profun-
didad y depende de las autoridades de la empresa.
A la hora de planificar el Sistema de Gestión de SSO según OSHAS 18001 se tiene que esta-
blecer ciertos objetivos y los procesos necesarios para llegar a alcanzar los resultados que
establece la política de seguridad y salud en el trabajo de la organización.
Los objetivos cuentan con un claro fin, este es bajar el nivel de riegos que proceden de la
identificación de peligros, evaluación de riegos y determinación de controles.
El Software ISOTools ayuda a fijar los objetivos y establecer los programas gracias a todas las
aplicaciones con las que cuenta. Además la funcionalidad, fiabilidad, accesibilidad y su capaci-
dad para poder ser utilizado en modo multidispositivo, esto lo hace una perfecta herramienta
para automatizar el Sistema de Gestión de Seguridad y Salud en el Trabajo según la norma
OHSAS-18001.

https://www.isotools.org/2014/10/31/ohsas-18001-requisitos-legales-y-otros-requisi-
tos-de-la-norma/
VOLVER AL ÍNDICE
27
SEGURIDAD Y
SALUD EN EL
OHSAS 18001: ¿Cómo elaborar un
TRABAJO
Plan de Emergencia?
En cuanto a Seguridad y Salud Laboral, OHSAS 18001 es una norma bastante completa.
Se trata de una norma confeccionada con el fin de hacer de las entidades un espacio más
fiable tanto para los subcontratistas, proveedores, visitantes o los propios trabajadores.
En la materia de Seguridad y Salud Ocupacional, la norma OHSAS 18001 considera de

gran importancia que la empresa posea un plan de emergencias, por tratar este tema muy
de cerca.
OHSAS 18001 añade un apartado en relación a este aspecto: Preparación y respuesta ante
emergencias.
La probabilidad de la existencia de incidentes o situaciones de emergencia que pongan en

riesgo la SST tiene que quedar determinada por la empresa. Las medidas para prevenir y
mitigar accidentes y enfermedades de trabajo se consideran esenciales en este ámbito.
En base a ello, la empresa deberá implantar unos procedimientos para detallar y responder
a situaciones de emergencia potenciales, y es aquí donde se encuentra la necesidad del plan
de emergencia.
A la hora de confeccionar planes de emergencia se considera necesario observar los reque-

rimientos de los sujetos interesados, como pueden ser los vecinos o los servicios de emer-
gencia.
Los planes de emergencia tienen que ser inducidos a pruebas habituales, conocidas como
simulacros, que comprueben el funcionamiento de éstos y la eficacia para responder a los
casos de emergencia. Todos los sujetos interesados estarán comprometidos con estos simu-
lacros.
Los planes de emergencia conectados a OHSAS 18001 harán frente a todo incidente de la
empresa, constituyen una parte muy importante del sistema y por ello tienen que ser revisa-
dos para no perder su idoneidad y adecuación.
VOLVER AL ÍNDICE
27
Se tendrán localizadas las actividades de la empresa que son peligrosas para la plantilla de
trabajadores y para su entorno en el cual se ubica. Con ello, la empresa determinará procedi-
mientos de actuación que señalen las directrices a seguir en una situación de emergencia
y se comprometa a una reducción de sus consecuencias.
Identificación de situaciones de emergencia

Un paso importante para constituir un plan de emergencia de un Sistema de Gestión de
Seguridad y Salud Laboral, es determinar qué situaciones producen una situación de emer-
gencia.
Los casos de emergencia más habituales en una empresa son, entre otros:
%% Desastres naturales.
%% Explosiones.
%% Contacto con sustancias peligrosas.
%% Incendios.
%% Derrames.
Un caso de emergencia es cualquiera que no sea habitual, que se produzca dentro de la

entidad en el curso de la ejecución operacional y que pueda producir perjuicios a los trabaja-
dores o a los bienes materiales de la organización.
Una vez que identifiquemos estos casos de emergencia, tenemos que evaluar los efectos po-
sibles que poseen para poder determinar los planes de emergencia correctos.
En el momento que conocemos las situaciones más significativas, gracias a la evaluación de

los efectos, la empresa tendrá que establecer planes de emergencia apropiados para evi-
tar o reducir impactos alrededor de la SSO en el caso de que se materialicen.
Establecimiento de respuestas ante emergencias

La empresa conceptuará los procedimientos y planes de emergencia de los que nos es-
tamos refiriendo, y también tienen la obligación de preservarlos y actualizados. Se considera
conveniente que los procedimientos tengan en cuenta las consecuencias que puedan producir
las condiciones anómalas de funcionamiento, las situaciones de emergencia y los accidentes.
En los planes de emergencia algunos de los elementos claves son:
%% Estructura organizativa y responsabilidades en los casos de emergencia: Como el

personal es el responsable de ejecutar la actuación, es necesario que sepa su función en
cada momento. Por ello, responsabilidades y estructura son factores fundamentales en el
plan de emergencia.
%% Listado del personal clave: El personal clave tendrá que conocer su posición y obligacio-
nes en estas situaciones, así como ser conocido por toda la empresa.
%% Especificaciones de los servicios de urgencias: En el caso que se dé una situación de
emergencia, se requiere la intervención de organismos como bomberos, médicos, etc. La
empresa tendrá que determinar qué servicios son los que intervienen, así como sus fun-
ciones y responsabilidades.
%% Planes de comunicación interna y externa: Un elemento esencial en toda situación de
emergencia es la comunicación. Se considera necesario que todos los recursos interven-
gan en la solución, así como conocedores del inconveniente.
VOLVER AL ÍNDICE
27
%% Acciones aplicables a diferentes situaciones de emergencia: Tienen que darse unas

actuaciones que solucionen las consecuencias posibles de un impacto de SST estimulado
por una situación de emergencia. Tiene que ser una actuación clara y transparente con el
fin de eludir malentendidos que puedan agravar el problema.
%% Información sobre materiales peligrosos: En el caso de existir necesidad en la empre-
sa de manipular sustancias o materiales peligrosos se considera necesario que haya un
plan de emergencias relativo a ello, con el fin de que se eludan peligros para los trabajado-
res que los manejan o se encuentren expuestos a sus efectos.
%% Planes de formación y de comprobación de la eficacia de las acciones tomadas: Se
recomienda que se acuerden en el propio plan formaciones para el personal de la empre-
sa respecto a cómo tendrían que actuar en caso de situaciones de emergencia.
Prueba periódica de los planes de emergencia

La prueba habitual es muy útil, ya que posibilita conocer si dichos planes son adecuados para
corregir situaciones de emergencia. Estas pruebas se realizarán:
%% Periódicamente, mediante simulacros.

%% Cada vez que se produzca una situación de emergencia, para comprobar si es necesario
incluir algún cambio.
Revisión de los métodos de respuesta

Los Sistemas de Gestión de Seguridad y Salud en el Trabajo basados en la norma OH-
SAS 18001 necesitan retroalimentar los planes de emergencia y su respuesta a ella. Para
llevarlo a cabo se sirve de actuaciones de revisión, mejoras, actualizaciones, etc. Dicha retroa-
limentación puede producirse a través de:
%% Revisiones por la dirección.

%% Por cambios organizacionales.
%% En resultado de acciones correctivas y preventivas.
%% Por un cambio en los requisitos legales.
Toda modificación se comunicará al personal perjudicado y se controlará si se tienen que

establecer acciones formativas.
SG-SST
Podemos utilizar instrumentos que automaticen los Sistemas de Gestión de Seguridad y
Salud Laboral o SG-SST, con el fin de controlar cualquier aspecto que se debe añadir en un
plan de emergencia, así como garantizar que sea conocido por todos los componentes de la
empresa.
Para saber más sobre la Gestión de Riesgos y Seguridad: https://www.isotools.org/nor-

mas/riesgos-y-seguridad/

https://www.isotools.org/2014/11/27/ohsas-18001-como-elaborar-plan-emergencia/
VOLVER AL ÍNDICE
ISO 31000
Gestión de Riesgos
Corporativos
Aprende a
interpretar
la norma ISO
9001:2015 en el
contexto de una
auditoría interna
MATRICÚLATE AHORA
28
SEGURIDAD Y
SALUD EN EL
OHSAS 18001: Actividades
TRABAJO
de medición y seguimiento del
desempeño
La norma en la que creen abundantes entidades a nivel mundial, de cualquier tamaño y tipo
de sector es OHSAS 18001, para así asegurar completamente la Seguridad y Salud de sus
trabajadores en sus distintos lugares de trabajo.
Está compuesta por distintos requisitos. El requisito que nos ocupamos a continuación se en-
cuentra en el capítulo 5: Verificación, el cual integra la necesidad de determinar actividades de
medición y seguimiento del desempeño del Sistema de Gestión de la Seguridad y Salud
Laboral basado en la OHSAS 18001.
Se tiene que realizar un seguimiento y una medición de manera habitual del desempeño de
la Seguridad y Salud de los trabajadores. Para ese fin es necesario desarrollar unos pro-
cedimientos que se tienen que insertar:
%% El desarrollo del seguimiento de la conformidad con los programas, controles y criterios

operacionales de Seguridad y Salud en el Trabajo.
%% El registro de datos y resultados de seguimiento y medición para posibilitar el análisis que
haremos posteriormente de acciones preventivas y correctivas.
%% El desarrollo del seguimiento de la salud, los incidentes y otras pruebas que muestren la
actividad preventiva implantada en la empresa.
%% Medidas cuantitativas y cualitativas ajustadas a las necesidades de dicha entidad.
%% Seguimiento de la eficacia de los controles aplicados en materia de Seguridad y Salud
Ocupacional.
VOLVER AL ÍNDICE
28
La medición y seguimiento del desempeño que integra el Sistema de Gestión de la SST

posibilita aspectos como:
%% Inspeccionar los resultados que la entidad está consiguiendo con la aplicación de su estra-
tegia preventiva.
%% Garantizar que las medidas preventivas que se están aplicando en la entidad en materia
de SSO son suficientes para disminuir el nivel de riesgo, e incluso eliminar algunos de ellos.
%% Identificar situaciones que podrían mejorarse y otras que no han sido tenidas en cuenta
antes para sí hacerlo.
Aspectos de la organización a seguir y medir

En la empresa se determinarán una serie de controles operacionales que tendrán que ser
controlados por dicha empresa, conceptuando unos requisitos a través de procedimientos
específicos según competan.
Hay dos formas de dar cumplimiento al requisito de OHSAS18001, y estas son:
%% Medición: Se usa en aquellos controles que necesitan un análisis para comprobar el ade-
cuado funcionamiento de la misma. Se suele utilizar para comprobar límites de ruido, con-
taminante, etc.
%% Seguimiento: Una acción de seguimiento es toda aquella que sea desarrollada por la
empresa para asegurar el cumplimiento de un requisito que no necesite ejecutar una me-
dición concreta y que pueda revisarse simplemente con comprobaciones de registros, ins-
pecciones visuales u otras herramientas.
Metodología de realización
En el momento que la entidad tenga determinados qué aspectos tiene que llevar a cabo y que
aspectos tiene que medir, en consonancia con la SST, el paso siguiente es establecer un pro-
yecto para controlar tal seguimiento y medición, en base a los procedimientos de control
operacional.
Dicho proyecto de seguimiento según la OHSAS-18001 puede incluir aspectos tales como:
%% Frecuencia del seguimiento.

%% Observaciones.
%% Registro de resultados.
%% Límite de aceptación.
%% Tipo de control.
%% Responsable del seguimiento.
%% Punto de control, seguimiento o inspección.
%% Documentación de referencia.
A partir de esta planificación, OHSAS-18001 pretende que la empresa gestione sus controles
de manera que garantice el control más significativo sobre los aspectos de SG-SST.
Se recomienda entablar medidas proactivas y medidas reactivas del desempeño. Es reco-

mendable combinar estos dos tipos, aunque nos basaremos en las medidas proactivas con el
fin de fomentar mejoras y reducir daños.
VOLVER AL ÍNDICE
28
Una medida proactiva puede ser:
%% Visitas e inspecciones sobre la seguridad del lugar de trabajo.

%% Empleo de encuestas de percepción.
%% Revisiones médicas.
%% Evaluación de la eficacia de la entidad.
%% Seguimiento de la exposición.
En cambio, una medida reactiva puede ser:
%% Acciones necesarias como consecuencia de la detección de determinadas deficiencias.

%% Tasas de incidentes y deterioro de la salud.
%% Tasas de tiempo perdido debido a incidentes.
Ejecución de los seguimientos y medición

El seguimiento y medición será ejecutado por la plantilla de la organización o también por
parte de alguna entidad externa contratada para llevar a cabo esa tarea. Esta decisión será
tomada por la propia organización.
Usualmente, los seguimientos que son ejecutados únicamente de forma visual suelen reali-
zarse por el personal de la misma entidad, pero en cambio, cuando se necesita algún tipo de
medición en el seguimiento se tendrán que llevar a cabo por cualquier empresa externa
que se dedica a esta materia, bien porque sea llamado legalmente, por necesidad de estable-
cer recursos de medición específicos o por responsabilidad.
Las mediciones se pueden realizar por la propia empresa a través de sus equipos de medida.
Siempre antes de utilizarlos tienen que ser sometidos a un proceso de calibración y manteni-
miento con el fin de mostrar que son fiables, o pueden ser ejecutadas también por empresas
externas, pudiendo contar con los informes de calibración pertinentes así como con los
certificados de acreditación de laboratorios correspondientes.
Sistema de Gestión de Seguridad y Salud Ocupacional

Para saber más sobre los Sistemas de Riesgos y Seguridad como es el caso de los Sistemas
de Gestión de Seguridad y Salud Ocupacional, puede visitar: https://www.isotools.org/normas/
riesgos-y-seguridad/

https://www.isotools.org/2014/12/04/ohsas-18001-actividades-medicion-seguimiento-desempeno/
VOLVER AL ÍNDICE
29
SEGURIDAD Y
SALUD EN EL
ISO 45001:
TRABAJO
El nuevo estándar internacional sobre
Seguridad y Salud Laboral
La nueva norma internacional para el Sistema de Gestión de Seguridad y Salud Ocupa-
cional será ISO 45001.
La Organización Internacional de Normalización (ISO), el pasado mes de julio de 2014, publicó

el primer borrador de esta norma, llamado ISO/CD 45001 o Committee Draft. En esta fase,
el ISO PC 283, expertos del Comité Internacional encomendado en desarrollar la norma ISO
45001, podrá llevar a cabo todo comentario acerca del documento borrador.
Su publicación está prevista para finales de 2016, y hasta que se produzca, ISO-45001 pasará
por distintas etapas. En junio de 2015, según las fechas estimadas, podremos ver el ISO/DIS
45001, documento el cual se dispondrá abierto a los comentarios de los interesados. A conti-
nuación se publicará el FDIS, texto anterior a la versión final de la nueva norma.
Se puso en marcha este cambio mediante un diagnóstico realizado a OHSAS 18001. Fueron
reconocidas 40 versiones más o menos de la norma y 90000 certificados en 127 países. Estos
motivos hacen esencial poner en marca la confección de una nueva norma internacional.
Hubiera sido mejor que el estándar se llamara ISO 18001 para eludir contradicciones o confu-
siones, pero ello no se ha podido llevar a cabo ya que, esta identificación ya estaba asignada
a otro estándar.
Apostando por la mejora continua, ISO45001, ayudará a evitar riesgos que perjudiquen a la
seguridad y salud de los trabajadores dentro de toda empresa.
El borrador de la nueva norma, ISO/CD 45001, añade la mayor parte de los requisitos de
OHSAS 18001, sin embargo el nuevo estándar hará especial hincapié en el contexto de la
empresa y en el papel que tiene que representar la alta dirección en el liderazgo del Sistema
de Gestión de Seguridad y Salud Laboral.
VOLVER AL ÍNDICE
29
Algunos conceptos fundamentales como riesgo, trabajador y lugar de trabajo serán modifica-
dos. Comparándolo con OHSAS18001, el enfoque del sistema no estará en la identificación de
peligros, sino estará en la identificación de riesgos y los controles pertinentes.
A continuación observamos otros cambios importantes que están por venir con ISO-45001:
Estructura de alto nivel

Al igual que las normas que se están actualizando, ISO45001 fijará el Anexo SL. Dicho anexo
especifica la estructura de alto nivel para el desarrollo de las normas, lo que posibilita su ali-
neación con diferentes normas de Sistemas de Gestión. Esto permitirá que todos tengan una
estructura, definiciones y textos básicos comunes. Por ello, la estructura con la que ISO 45001
contará será la que exponemos a continuación:
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Apoyo
8. Operación
9. La evaluación del desempeño
10. Mejora
%% Revisión del concepto lugar de trabajo. Se revisará si el lugar de trabajo es únicamente la
empresa donde trabaja una persona, cuáles serían nuestras responsabilidades en seguri-
dad ocupacional, etc.
%% Se alineará la definición de riesgo, para que exista conexión con el resto de normas ISO.
%% El comité trabaja con el fin de cambiar la mentalidad que existe de ser una norma de cum-
plimiento para ser una norma orientada al negocio.
%% Revisión del concepto de trabajador, debido a que es una definición que presenta algunas
dificultades en determinados países.
%% El término identificación de peligros ha estado siempre muy asociado al sector industrial, y
recientemente han surgido una gran cantidad de empresas dedicadas al sector servicios.
Por estas razones, ISO45001 hablará de identificación de riesgos y control de riesgos en
lugar de peligros.
ISO-45001 aportará apoyo a las nuevas áreas del Sistema de Gestión de Seguridad y Sa-
lud Ocupacional para asegurar una mejor compatibilidad de los sistemas. En el momento
que la nueva norma se publique, se insertará a toda empresa que desee:
%% Mantener y mejorar de un modo continuo su desempeño en Seguridad y Salud en el Tra-

bajo.
%% Implantar un Sistema de Gestión de Seguridad y Salud Laboral reconocido a nivel interna-
cional con el fin de reducir o eliminar los riesgos existentes para los trabajadores y para
cualquier parte interesada.
VOLVER AL ÍNDICE
Balanced Scorecard
DESCARGAR AHORA
29
%% Mantener la totalidad de las operaciones en consonancia con la política de seguridad de

la empresa.
La norma ISO 45001 aportará beneficios a pequeñas, medianas y grandes entidades sean del
sector que sean, y así poder establecer un punto de referencia para la gestión de la SST, así
como para las políticas y prácticas en distintas situaciones, jurisdicciones, culturas y/o países.
La publicación de la nueva norma instaurará una mejor comunicación referente a cuestiones

de interés común, mejores prácticas y principios en el comercio internacional. ISO45001 fa-
cilitará a las entidades cumplir con requisitos tales como la rendición de cuentas, práctica de
auditorías y especificaciones de gobernanza empresarial.
En el momento en el que una entidad ya tenga implantado el Sistema de Gestión de la SST,

podrá alinear sus operaciones con la legislación nacional, internacional y códigos de conducta
aplicables, y así se podrá llevar a cabo una mejora de la gestión del riesgo y la planificación de
emergencias.
Por otro lado, la nueva ISO-45001 posibilitará a las entidades determinar y evaluar las me-
didas de desempeño para los proveedores de servicios. Toda entidad será capaz de reducir
accidentes, los costes ligados a ellos y, asegurará a la totalidad de sus trabajadores, visitantes,
así como otras partes interesadas en el bienestar de sus instalaciones.
Un Sistema de Gestión de Seguridad y Salud Laboral internacionalmente reconocido pro-

ducirá que el número de incidentes y accidente se minimice y que existan menos interrup-
ciones en los procesos operativos. Lo que obtendremos será una reducción del número de
actuaciones de emergencia en el lugar de trabajo y atenciones hospitalarias.

Actualmente, la norma que se tiene que seguir con el fin de implementar un Sistema de Ges-
tión de Seguridad y Salud Ocupacional es OHSAS-18001.
Para saber más sobre las normas de Seguridad y Riesgos puedes visitar: https://www.
isotools.org/normas/riesgos-y-seguridad/

https://www.isotools.org/2014/12/10/iso-45001-nuevo-estandar-internacional-seguridad-sa-
lud-laboral/
VOLVER AL ÍNDICE
30
SEGURIDAD Y
SALUD EN EL
OHSAS 18001: Identificación de No
TRABAJO
Conformidades, Acciones Preventivas
y Acciones Correctivas
%% La identificación y corrección de las No Conformidades que puedan aparecer en nuestro
Sistema de Gestión de Seguridad y Salud en el Trabajo.
%% La toma de decisiones que reduzcan las consecuencias, esto es acciones preventivas.
%% El establecimiento de las causas que incentivaron tal No Conformidad y determinar medi-
das que prevengan su repetición.
%% La evaluación de la necesidad de ejecutar acciones que prevengan las No Conformidad y
la adopción de acciones encaminadas a prevenir su aparición.
%% El registro y la comunicación de los resultados obtenidos tras la aplicación de las acciones
correctivas y preventivas.
%% La revisión de la eficacia de las acciones preventivas y correctivas que se adoptaron.
Anteriormente, hemos estado hablando tanto de acciones correctivas como de acciones pre-
ventivas, y quizás cualquier lector se esté preguntando en que pueden consistir.
Por un lado, las acciones correctivas son todas aquellas que se ejecutan con el fin de elimi-
nar las causas de las No Conformidad que se han identificado de manera que se prevenga su
posible repetición.
Por otro lado, las acciones preventivas son las que tomamos para suprimir las razones que
pueden dar lugar a las No Conformidad o situaciones no deseables, con el fin único de que
no vuelvan a ocurrir.
No Conformidad
Una No Conformidad puede ser el no cumplimiento de uno de los requisitos que contiene
OHSAS-18001 o cualquiera que entrañe un posible impacto en el Sistema de Gestión de
Seguridad y Salud en el Trabajo.
VOLVER AL ÍNDICE
30
Para llevar a cabo las No Conformidad, podemos realizar las siguientes actividades:
%% Conceptuar qué concepto de No Conformidad hay en la empresa.
Puede ser que todos los miembros de la entidad no tengan claro qué es una No Conformidad
y qué puede significar en cuanto a un Sistema de Gestión de Seguridad y Salud Laboral.
Por esto tenemos que afianzar criterios que nos posibiliten conocer qué es para nuestra em-
presa una no conformidad.
%% Crear responsabilidades para realizar la detección y registro de las No Conformidades.
Todo sujeto es capaz de detectar una No Conformidad relativa a la SST, aunque lo normal es
que este tipo de No Conformidades se localicen en el área de operaciones de la organización.
%% Fundar una sistemática para identificar situaciones No Conformidad.
Cualquier situación que implique fallos o incumplimientos del sistema tienen que estar identi-
ficadas y señalizadas para poder eludirse.
%% Definir la manera en la que registrar las No Conformidades.
Se considera muy importante que las No Conformidades detectadas se conserven registradas

para poder ir sumando actividades de análisis y de mejora.
%% Realizar un seguimiento adecuado.
Si una entidad está imponiendo medidas para eludir o corregir No Conformidades tienen que
asegurarse que son eficaces y logran su objetivo.
%% Efectuar un análisis de las No Conformidades.
De la misma manera que se requiere un seguimiento, se considera necesario añadir un análi-

sis de las No Conformidades que nos auxilien en detectar patrones de ocurrencia.
Acciones preventivas y correctivas

Las acciones que tomemos en materia preventiva y correctiva para remediar una No Confor-
midad, en el seno del Sistema de Gestión de Seguridad y Salud ocupacional basado en la
norma OHSAS 18001, tienen que conservarse registradas, y tiene que existir un procedimien-
to que refleje tanto responsabilidades, autoridades como las metodologías que se puedan
aplicar.
Cuando detectemos una No Conformidad, la gestión de acciones preventivas y correctivas

sigue un mismo camino, que puede ser el que comentamos a continuación:
%% Análisis de causas.
La empresa es responsable de indagar y analizar el origen de las No Conformidades, para

identificar los motivos por las que aparecieron.
Podemos utilizar mecanismos para ello como:
%% Brainstorming.
%% Diagrama de Ishikawa.
%% Histograma.
%% Etc.
VOLVER AL ÍNDICE
30
Acciones a emprender
En el momento de tener claros los motivos más probables que podrían haber desencadenado
la No Conformidad, elegimos aquellos sobre las que se va a trabajar para resolver el problema.
Dicha selección se hará en base a determinados criterios que establezcamos, y según como
veamos los motivos, se decidirán las acciones a emprender, determinando:
%% Descripción y secuencia de acciones a ejecutar.

%% Objetivos que queremos alcanzar.
%% Responsables de realizar dichas acciones.
%% Plazo estimado para ejecutarlas.
%% Plazo estimado para verificar la eficacia de las acciones.
%% Seguimiento y/o mediciones a desarrollar.
Seguimiento
Se considera necesario para comprobar que las acciones establecidas para eliminar la No
Conformidad se estén desarrollando según lo estimado, realizar un seguimiento.
Verificación de la eficacia
En el momento en el que ya se han ejecutado las acciones y ha pasado el plazo de tiempo de
verificación de su eficacia, la entidad tendrá que asegurarse de que las acciones han servido
para eliminar, de manera eficaz, los motivos de las No Conformidad. En el caso de no ser así,
tendremos que comenzar el proceso de nuevo.
Cierre
Si hemos verificado que las acciones realizadas han sido eficaces, el sujeto responsable puede
dar el cierre al proceso.
En este post os hemos hablado sobre las No Conformidad y las acciones preventivas y co-
rrectivas del Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la norma
OHSAS 18001.

https://www.isotools.org/2014/12/23/ohsas-18001-identificacion-no-conformidades-accio-
nes-preventivas-acciones-correctivas/
VOLVER AL ÍNDICE
31
SEGURIDAD Y
SALUD EN EL
OHSAS 18001:
TRABAJO
Control de los registros para SST
A lo largo de su implementación y puesta en marcha, la norma OHSAS 18001 genera unos
registros que tendremos que controlar. Dichos registros se presentan como consecuencia
de la aplicación de cada uno de los requisitos de OHSAS18001, la norma por excelencia en
Seguridad y Salud Laboral.
Para contribuir a ello, el estándar OHSAS 18001 facilita una serie de indicaciones a seguir. Se
considera necesario, al igual que en otras cuestiones, que la entidad cuente con procedimien-
tos para que, en conexión con los registros:
%% Identifique los requisitos

%% Almacene
%% Proteja
%% Recupere
%% Establezca un tiempo de retención y la disposición de los mismos
Un registro es un modelo especial de documento que presenta resultados o evidencias pro-

venientes de las actividades ejecutadas. La totalidad de la información que, como decíamos
anteriormente, se produce al implementar o poner en marcha un Sistema de Seguridad y
Salud en el Trabajo, que se puede catalogar como un tipo de registro de Seguridad y Salud
en el Trabajo.
Dicha información puede estar plasmada en soporte papel, informático, o de todo tipo. Sea
como sea, se tienen que aportar evidencias de la conformidad con los requisitos y el buen
funcionamiento del Sistema de Gestión de la entidad.
Los registros tienen que ser adecuados para el proceso en el que se encuentran englobados
y para los sujetos que tendrán que manejarlos. El objetivo es que la información aportada sea
suficiente para comprobar que el Sistema de Gestión de Seguridad y Salud en el Trabajo
según la norma OHSAS18001 trabaja de manera correcta y eficaz y se encuentran gestiona-
dos sus riesgos de la Seguridad y Salud en el Trabajo.
Algunos de los registros que se establecen a la hora de implementar un Sistema de Gestión

de Seguridad y Salud en el Trabajo son reclamados por el estándar de un modo obligatorio.
VOLVER AL ÍNDICE
La adopción de un enfoque
basado en procesos
DESCARGAR AHORA
31
Identificación de los registros

Cualquier registro de Seguridad y Salud en el Trabajo tiene que ser claramente identifica-
bles, no deben ser ambiguos. Para la identificación se puede usar un título o un código que la
entidad tendrá que determinar.
La empresa tendrá que determinar si los registros van a presentarse en algún tipo de formato
preestablecido por ella o se van a tratar en formato libre. Sea cual sea la alternativa elegida,
la empresa deberá establecer una sistemática para controlar la revisión, aprobación, distribu-
ción, actualización y control de los formatos.
Almacenamiento, protección y conservación de los registros

De la misma manera, la empresa tendrá que indicar la forma en que almacenará los registros,
tanto si son de carácter temporal o definitivo, y muy importante, tienen que permanecer legi-
bles, identificables y recuperables.
El sistema seleccionado de almacenamiento y los lugares escogidos tienen que asegurar que
los registros permanecerán protegidos ante los posibles daños que se pudieran ocasionar.
En el caso de tener registros electrónicos no podemos olvidarnos de instalar sistemas antivi-

rus y el almacenamiento de copias de seguridad.
Recuperación, tiempo de retención y disposición

La entidad tendrá que indicar el tiempo de recuperación de los registros, tanto para archivos
temporales como definitivos, de la misma forma que el tiempo de conservación para el mo-
delo último.
Los requisitos legales aplicables para la conservación de determinados registros es un factor

importante a tener en cuenta en este punto, ya que en cada caso puede ser diferente.
En un Sistema de Gestión de Seguridad y Salud Ocupacional, nos podemos encontrar

algunos registros como son, entre otros:
%% Registros de cumplimiento legal.

%% Registros de los requisitos aplicables.
%% Registros de inspección y mantenimiento.
%% Registros de formación.
%% Informes de no conformidades.
%% Registros de identificación de peligros y evaluación de riesgos.
%% Información sobre desempeño en SSO.
%% Informes sobre incidentes en Seguridad y Salud Ocupacional.
%% Resultados de auditorías.
%% Resultados de seguimiento y medición.
%% Resultados de revisiones del Sistema de Gestión de Seguridad y Salud en el Trabajo OH-
SAS-18001.
%% Decisiones sobre comunicaciones externas.
%% Registros de quejas sobre Seguridad y Salud en el Trabajo.
VOLVER AL ÍNDICE
31
Si miramos el texto de la norma OHSAS-18001, podemos ver que en numerosos requisitos

que contiene se nos pide que mantengamos registros sobre ellos. Además, en el punto 4.5.4.
Control de los registros, podemos leer las condiciones que tiene que llevar a cabo la entidad
al respecto.
Concretamente, el texto de la norma OHSAS18001 expone:
“La organización debe establecer y mantener los registros que sean necesarios para de-
mostrar la conformidad con los requisitos de su Sistema de Gestión de la SST y de este
estándar OHSAS, y para demostrar los resultados logrados. La organización debe esta-
blecer, implementar y mantener uno o varios procedimientos para la identificación, el al-
macenamiento, la protección, la recuperación, el tiempo de retención y la disposición
de los registros. Los registros deben ser y permanecer legibles, identificables y trazables”.
[/div]
En conclusión, los registros presentan una información favorable y valiosa para el Sistema de
Gestión de Seguridad y Salud en el Trabajo basado en la norma OHSAS 18001, por ello
necesitan un tratamiento complicado. En consecuencia, la pérdida de ellos supone la pérdida
de evidencias significativas.

Si desea obtener más información sobre los Sistemas de Riesgos y Seguridad como es el caso
de los Sistemas de Gestión de Seguridad y Salud Ocupacional, puede visitar https://www.iso-
tools.org/normas/riesgos-y-seguridad/

https://www.isotools.org/2014/12/31/ohsas-18001-control-de-los-registros-para-sst/
Software para Sistema de Gestión

de Seguridad y Salud Laboral
DESCÚBRELO
VOLVER AL ÍNDICE
32
SEGURIDAD Y
SALUD EN EL
¿Cuáles son los beneficios económicos
TRABAJO
que proporciona la OHSAS 18001?
La finalidad de la norma OHSAS 18001 es estar a disposición de una empresa cuando está
desea verificar que cumple los requisitos de un durante la gestión de un Sistema de Seguridad
y Salud en el Trabajo (SST).
Además, la organización podrá beneficiarse de una reducción de costes debido al SST, debido
a que experimenta una disminución a la hora de dar indemnizaciones a los empleados que
tengan algún accidente, se evitan posibles sanciones administrativas por incumplimiento de
la legislación, etc.
Se producirá un incremento de la mejora de la imagen de la empresa de cara a los clientes,

proveedores, empleados y administración, gracias a la adopción de la OHSAS18001.
El estándar OHSAS-18001 proporciona una mejora en el posicionamiento y reconocimiento

de la organización, dando buena imagen a los clientes, que cada día son más exigentes, afir-
mando una imagen de compromiso con los mismos y la sociedad.
La implantación de dicha norma ofrece numerosas ventajas a las empresas. Estas ventajas
pueden ser de carácter económico, como son las disminuciones en las cuotas de asegurado-
ras.
Incluso, existen otros tipos de beneficios que pueden afectar indirectamente a la economía de
la organización, como son:
%% Disminución del número de accidentes, lo que disminuye el tiempo de inactividad de los

empleados y por consiguiente, disminuyen los costes asociados.
%% Verifica el grado de compromiso con los empleados en materia de seguridad y salud y su
enfoque innovador en relación a la competencia.
%% Acceso a mercados internacionales y a nuevos clientes.
Si el sistema está certificado, la empresa obtendrá otros beneficios como pueden ser:
LEE ESTE
ARTÍCULO %% El cumplimiento y respeto a la normativa vigente en materia preventiva.
EN EL BLOG
%% Verificación objetiva del sistema de gestión que tienen, basado en la mejora continua.
org/2014/06/03/
%% Participación de la dirección en el sistema.
cuales-son-los-be-
neficios-economi- En conclusión, adoptar un Sistema de Gestión de la Seguridad y Salud en el Trabajo basado en
cos-que-proporcio- la OHSAS 18001, será de igual forma cuando la norma ISO 45001 esté vigente, ofrece beneficios
na-la-ohsas-18001/
económicos claros a las organizaciones, además serán incrementados si el sistema de gestión está
certificado.
VOLVER AL ÍNDICE
Seguridad
de la
Información.
33
SEGURIDAD
DE LA
¿Cómo implantar un SGSI en un
INFORMACIÓN
PYME según la ISO 27001?
Proceso PHVA II
ISO 27001, es una norma que trabaja siguiendo las líneas del ciclo PHVA. En el artículo an-
terior trabajamos con las dos primeras fases, Planificar y Hacer, desde el punto de vista de
aplicación en una PYME.
En este artículo hablaremos, con la misma perspectiva, sobre las últimas fases: Verificar y
Actuar.
Verificar
Esta fase se encarga de monitorizar, medir y revisar cada uno de los objetivos de seguridad y
el funcionamiento del plan establecido.
Para esta monitorización y medición de procesos relacionados con la seguridad, el proveedor

debe proporcionar técnicas adecuadas que muestren la capacidad de los procesos para al-
canzar los resultados planificados.
Por otro lado, los responsables de seguridad deben programar revisiones periódicas para
comprobar que los requisitos de seguridad están respetando a los requisitos de ISO-27001
e ISO 27002 y al plan de seguridad, y que se están implementando y manteniendo de forma
correcta.
Otro aspecto importante son las auditorías, éstas deben programarse teniendo en cuenta el
estado de los procesos, su importancia, las áreas a auditar y los resultados de auditorías an-
teriores. Llegado a este punto es hay que definir un procedimiento con los criterios, alcance,
frecuencia y métodos de la auditoría.
VOLVER AL ÍNDICE
¿Sabe cómo identificar,
calcular y tratar los riesgos
en su sistema ISO 27001?
DESCARGAR AHORA
33
Actuar
Ya por último, en la etapa de actuar se pretende aumentar la eficacia y eficiencia de la seguridad.
Política
Es necesario que exista una política sobre la mejora de la seguridad. Es imprescindible corre-
gir las faltas de conformidad y establecer roles y responsabilidades para las actividades de
mejora.
Gestión de las mejoras

Debe existir un plan que controle la actividad y nos ayude a evaluar, registrar, priorizar y auto-
rizar las mejoras propuestas.
El proveedor de seguridad necesita contar con un proceso para identificar, medir y gestionar
las actuaciones de mejora, incluyendo:
%% Mejoras de procesos aislados.

%% Mejoras de un conjunto de procesos o de toda la organización.
Por otro lado, dentro de la gestión de mejoras, una PYME debe realizar actividades para:
%% Recopilar y analizar datos que muestren el estado de la gestión de la seguridad.

%% Consultar a todas las partes interesadas.
%% Identificar, planificar e implementar mejoras.
%% Revisar planes, políticas y procedimientos de seguridad.
%% Medir, informar y comunicar mejoras relativas a la seguridad.
%% Garantizar la correcta ejecución de las acciones aprobadas y el alcance de los objetivos.
%% Establecer objetivos de mejora en cuanto a calidad, costes y uso de recursos.
La Plataforma Tecnológica ISOTools automatiza la gestión del SGSI implantado con ISO
27001, y por tanto, respeta y sigue las directrices del ciclo PHVA.

https://www.isotools.org/2014/07/22/como-implantar-un-sgsi-en-un-pyme-iso-27001-proceso-
phva-ii/
VOLVER AL ÍNDICE
34
SEGURIDAD
DE LA
ISO 27001: ¿Cómo es el proceso de
INFORMACIÓN implementación en las organizaciones?
El estándar ISO 27001 permite que las organizaciones implanten un Sistema de Gestión de
Seguridad de la Información, también conocido como SGSI. Este sistema opera, monitorea,
mantiene y mejora la seguridad de la información de las empresas.
En el momento en el que se decide implantar la ISO27001 hay que realizar una serie de pasos
previos:
%% Reunión inicial: en ella fundamentalmente se procede a la identificación y conocimiento

de todos los procesos internos llevados a cabo en la organización y de la documentación
necesaria que permita establecer el alcance.
%% Auditoria inicial: para conocer cuál es la situación en temas de seguridad de la información,
para desarrollar una planificación concreta para la organización y las líneas de actuación
que se van a seguir.
%% Análisis y gestión de riesgos: mediante el cual se realiza un inventario de activos en el que
se incluyan las amenazas, impactos, vulnerabilidades, etc. Gracias a etapa se desarrolla un
plan para el tratamiento de riesgos.
Tras estos pasos, la organización está preparada para realizar la implementación del Sistema
de Gestión de Seguridad de la Información según la ISO-27001. Los pasos para implantar el
SGSI:
Alcance
Es el primer paso para implantar un SGSI según la ISO 27001, en el que se define el alcance
del sistema en la organización.
VOLVER AL ÍNDICE
34
Para esto es interesante revisar cual es el estado inicial de la organización siguiendo los pun-
tos establecidos en la norma, estableciendo cual es el punto inicial que actúe de referencia
para realizar mediciones del progreso que está sufriendo el SGSI.
Las organizaciones serán las responsables de evaluar, aprobar y de distribuir la política de

seguridad bajo la que se trabaja, la cual representa los objetivos y líneas que debe seguir en
temas de seguridad de la información.
Es necesario que la Dirección se involucre en el proceso de implementación del SGSI para que
este tenga resultados exitosos, por ello deberá decidir, apoyar, aprobar, encaminar y entregar
los recursos necesarios para que el sistema alcance el éxito deseado.
Se deberá crear una estructura organizativa para la seguridad interna, en la que el líder será
un responsable de seguridad y un comité de seguridad encargado de adoptar las decisiones
más importantes referentes al SGSI.
Análisis de riesgos
En este paso se creara un inventario de activos que este clasificado o categorizado, en el que
se incluyan los activos de la organización que guardan algún tipo relación con la seguridad de
la información.
Hay que hacer un tanteo de la probabilidad con la que se produce la amenaza, el impacto que
genera y establecer el nivel de riesgo que es aceptado por la organización. Los riesgos que no
sean aceptados por la organización deberán a ser tratados y es en este momento cuando se
crea un plan de tratamiento de riesgos.
Ciclo PDCA
Surge cuando se implanta el plan de tratamiento de riesgos que se desarrolló anterior.
Revisión por la dirección y auditoría interna
Esta revisión la realiza el comité de seguridad de la organización y en ella se darán propuestas

para conseguir cambios y mejoras.
Mejora
Realizando análisis de las no conformidades que con anterioridad se hayan detectado de im-
pide que se vuelvan a producir, consiguiendo por consiguiente mejorar el Sistema de Gestión
de Seguridad de la Información basado en la ISO27001.
La Plataforma Tecnológica ISOTools colabora con las organizaciones en el proceso de implan-

tación del SGSI basado en el estándar internacional ISO-27001, a través de la automatización,
gestión y control del sistema de gestión.

https://www.isotools.org/2014/01/15/iso-27001-implementacion/
VOLVER AL ÍNDICE
35
SEGURIDAD
DE LA
ISO 27001:
INFORMACIÓN
Seguridad en el intercambio de
información
Existen numerosas organizaciones preocupadas por la seguridad de la información, por
lo que como solución deciden adoptar los requerimientos establecidos por la norma ISO
27001. Siempre que las organizaciones obtengan la certificación ISO 27001, pueden garan-
tizar a nivel internacional, que su información se encuentra debidamente protegida.
A diario, nos encontramos noticias sobre hackers que han logrado acceder a la información de
empresas que supuestamente cuentan con altos niveles de seguridad en temas de datos
confidenciales.
Esta violación a la seguridad de la información ha incrementado la preocupación de peque-

ñas, medianas y sobre todo grandes empresas, obligando indirectamente a adquirir conoci-
mientos en la materia que fortalezcan la seguridad de dicha información.
Uno de los principales problemas en temas de seguridad de la información, tiene lugar cuan-
do se lleva a cabo un intercambio de información. Por ejemplo, durante el e-commerce o
compra y venta de productos o servicios a través de medios electrónicos, tales como Inter-
net y otras redes informáticas han supuesto una revolución, pero también una puerta abierta
para aquellos delincuentes capaces de saltarse ciertos controles de seguridad.
Por todo ello, vemos necesario hablar sobre los aspectos a tener en cuenta mientras realiza-
mos actividades en las que es necesario intercambiar información confidencial.
El modo en el que se intercambia la información resulta básico, pero es importante conocer

en profundidad para así ser conocedores de los pasos en los que pueden darse fugas de
información. Este intercambio es muy común entre distintos usuarios de las propias organi-
zaciones, o entre varias empresas.
Independientemente del modo en el que se produzca el intercambio de información, es ne-

cesario contar con controles de seguridad que aporten confianza y protección a la informa-
ción intercambiada.
VOLVER AL ÍNDICE
35
La forma de asegurarse que el intercambio de información se lleva a cabo adecuadamente

y bajo la protección necesaria, es a través de la elaboración de una política que incluya los
medios empleados en esta actividad. En dicha política se debe incorporar:
%% Los procedimientos definidos para gestionar correctamente los medios utilizados.

%% Comprobaciones a través de controles que impidan modificaciones, interpretaciones, du-
plicados o eliminación de información.
%% Inspecciones de protección contra el código malicioso.
%% Metodologías de ingeniería social.
Cuando se valoran los riesgos según la ISO27001, es imprescindible sopesar la probabilidad

de que la organización intercambie información confidencial con terceros. En estos casos, se
deben estimar las responsabilidades y procedimientos del envió, transferencia, recepción y
confirmación de la información.
Para esto mismo, también se tiene en cuenta los controles de verificación, el compromiso de la
propiedad de la información, la elaboración de registros de auditoria y la gestión de ciertos
acontecimientos considerados como incidentes.
Dependiendo del medio utilizado para el envío de la información habrá que considerar un tipo
de incidentes u otros. Por ejemplo, durante el transporte de información mediante correo
postal o mensajería este tipo de incidentes se podría solventar realizando un embalaje ade-
cuado o gestionando el envío con una organización que certifique que cumple con los más
altos estándares de seguridad.
En el caso de envío de información a través de correo electrónico o e-mail, el proceso se de-

bería desarrollar a través de plataformas protegidas contra cualquier acceso no autorizado u
otro tipo de riesgo.
Una organización que procede al intercambio de información, de un modo seguro:
%% Elabora procedimientos de intercambio para cualquier medio de comunicación empleado.

%% Desarrolla acuerdo con las empresas trasportistas, para que cuando el intercambio de in-
formación se produzca físicamente sea totalmente seguro y tengan garantías de ello ante
sus usuarios.
Ya hemos comentado que en los momentos en los que vivimos “Era tecnológica”, el comercio
electrónico también conocido como ecommerce resulta una actividad muy habitual. Este
tipo de comercio puede resultar frágil frente a fraudes o transformaciones de la información
manejada.
Cada día son más las empresas que utilizan este tipo de comercio, por lo que deben garantizar
a sus clientes que es seguro a través de controles de:
%% Verificación.
%% Integridad de la información.
%% Confidencialidad de la información tratada.
%% Certeza del envío.
%% Métodos de pago.
%% Aseguramiento de las responsabilidades de los incidentes producidos.
VOLVER AL ÍNDICE
ISO 31000
Gestión de Riesgos
Corporativos
Aprende a
interpretar
la norma ISO
9001:2015 en el
contexto de una
auditoría interna
MATRICÚLATE AHORA
35
Las relaciones establecidas mediante un ecommerce deben sustentarse con una alianza do-
cumentada y que cuente con la aprobación de todas las partes implicadas, en la que se
establecerán las responsabilidades de cada una.
Cualquier transacción se ejecutará bajo firma electrónica, probando que es auténtica, al mismo
tiempo, la información, privacidad y cualquier otro aspecto serán totalmente confidenciales.
Además de los métodos explicados con anterioridad, las organizaciones pueden recurrir a
otro tipo de seguridad:
%% Elaboración de protocolos que garanticen la seguridad de la información tratada.

%% Protección de la información expuesta al público, asegurando que no se modifique sin
previa autorización.
%% Determinación de controles que aseguren la integridad de la información de carácter pú-
blico.
%% Ejecución de pruebas que comprueben la potencia del servidor.
Asimismo, hay que prestar especial atención a la legislación vigente que pueda aplicarse en
cada uno de los sitios web.
Se puede afirmar, que para catalogar las actividades vinculadas con el ecommerce como se-
guras, es necesario:
%% Proteger toda la información utilizada en el proceso.

%% Establecer una alianza que especifique la manera de proceder en cuanto a la verificación,
los requerimientos de confidencialidad, integridad y certezas de envío y recepción, además
de la comprobación del pago.
%% Recurrir a la firma electrónica, uso de canales cifrados y protocolos entre otros recursos
para garantizar que todas las operaciones de transacción son seguras.
%% Preservar la información pública.
Tras el establecimiento de una serie de controles que hemos comentado en este mismo artí-
culo, es imprescindible llevar a cabo un seguimiento que nos proporcione resultados y por
tanto confirmen que cumplen con la eficacia esperada.
Entre los instrumentos empleados para el seguimiento de estos controles, destacamos los
registros de auditoria. Este tipo de documentos incluyen información relevante, por ejem-
plo la identificación del usuario, detalles de las actividades como la fecha y hora, el resultado
obtenido, el acceso que han tenido cada uno de los usuarios a información o sistemas, etc.
El objetivo de este seguimiento de los registros de actividad, es conocer los errores pre-
sentados en los sistemas y adoptar las medidas correctivas oportunas para cada uno de los
casos.
Además, según el grado de errores detectados durante el análisis de riesgos, habría que ha-
cer uso de unos sistemas u otros e incluir una evaluación para poner en marcha las acciones
correctivas.
El estándar ISO-27001 está relacionado con estos procesos de auditoria mencionados y en

el momento en el que se localicen no conformidades se deberán desarrollas las acciones
correctivas definidas.
VOLVER AL ÍNDICE
35
Las organizaciones que decidan establecer un seguimiento de los controles de seguridad

de la información, deben:
%% Definir resgistros de auditoría para las actividades de mayor importancia.

%% Establecer procedimientos en temas de seguimiento de recursos empleados durante la
gestión de la información.
%% Comprobar los resultados obtenidos de las actividades de seguimiento establecidas y ac-
tuar con medidas correctivas en los casos necesarios.
%% Simultanear los relojes de cada uno de los sistemas relacionados con la manipulación de
la información de la organización.
Sistemas de Gestión de Seguridad de la Información

Los Sistemas de Gestión de Seguridad de la Información se convierten en la mejor so-
lución para garantizar la seguridad de todos los datos confidenciales de una organización.
Si desea saber más sobre los riesgos y seguridades a los que deben de enfrentarse puede
visitar: https://www.isotools.org/normas/riesgos-y-seguridad/

https://www.isotools.org/2014/10/13/iso-27001-seguridad-intercambio-informacion/

de Gestión de Seguridad
de laInformación
DESCÚBRELO
VOLVER AL ÍNDICE
36
SEGURIDAD
DE LA
ISO 27001: La importancia de
INFORMACIÓN
garantizar un acceso seguro a los
sistemas de información
Garantizar la seguridad de la información se ha convertido en una de las principales tareas
de una empresa, por lo que recurren a herramientas que les permita verificar la seguridad
de la información. Como ya sabemos, una de estas herramientas que permite satisfacer esta
necesidad de las empresas es la norma ISO 27001.
La tarea de salvaguardar la información confidencial de la propia organización y de los clien-

tes, se complica en muchas ocasiones. Hay que tener en cuenta que las organizaciones, ya
sean grandes, medianas o pequeñas, tienen distintos trabajadores especializados para las
actividades desarrolladas. Según el rol desempeñado por el trabajador, tendrán acceso a un
tipo de información u otra. Entonces, ¿cómo puede controlar una organización el acceso de
sus empleados a los sistemas de información?
En primer lugar, hay que definir el acceso de cada uno de los usuarios en consonancia con los
requerimientos de su puesto. Para controlar dicho acceso, es necesario:
%% Verificar: a través de este proceso el usuario se registra en el equipo en el cual se encuen-

tran la información de interés.
%% Autorizar: con este proceso el usuario consigue la facultad indispensable para manipular
la información.
Respecto a este tema y a los Sistemas de Gestión de Seguridad de la Información basa-

dos en la ISO27001, se originan una sucesión de problemas a solventar, entre los que desta-
camos: el establecimiento de una política de control de acceso, la gestión de acceso realizada
por los usuarios y sus responsabilidades.
VOLVER AL ÍNDICE
36
En referencia a la política de control de acceso, esta se establecerá teniendo en cuenta los

requerimientos de seguridad y el progreso del negocio. La política de control de acceso es un
documento revisado y actualizado con cierta periodicidad. A través de esta política se:
%% Define unas normas de acceso, que sean reales y coherentes para cada uno de los usua-
rios.
%% Considera la política referida a la clasificación de la información de la organización, para
conceder los privilegios.
%% Respeta la legislación vigente.
La concesión de privilegios de acceso se llevará a cabo a través de procedimientos y te-

niendo en cuenta a las personas responsables de ellos. Cualquier empleado sin la autoriza-
ción pertinente, no podrá acceder ni modificar la información.
Durante el desarrollo de cualquier proceso vinculado con el acceso a la información como el

requerimiento, autorización y gestión de dicho acceso, es necesario desglosar cada una de las
actividades. Relacionando esta actividad con los planteamientos establecidos en la ISO-27001,
es equiparable con la determinación de los cometidos, responsabilidades y facultades de los
empleados.
Cuando se gestiona el acceso de los usuarios, la organización establecerá los procedimien-

tos oportunos encargados de describir el modo de gestión de la concesión de permisos a los
usuarios. Los procedimientos ejecutados:
%% Registro: gracias a este procedimiento existe la posibilidad de adjudicar y anular los privi-
legios de acceso a los sistemas establecidos. Para realizar un registro seguro, cada uno de
los usuarios tendrá su propia clave de acceso que permitirá el acceso a la información de
la compañía en función de su cargo.
Periódicamente, la organización se encargará de revisar un documento que incluya los permi-

sos de cada usuario, además de los privilegios y derechos. Para ello, la organización establece-
rá el modo, el momento y la razón por la que se lleva a cabo la revisión del documento a través
de un procedimiento consecuente.
%% Administración de privilegios: este proceso es útil para asignar permisos o retirarlos.

Para cada sistema de la organización, se sopesa la clase de privilegios asignados a los usua-
rios. Se asignaran unos requisitos u otros en función de los requerimientos de los usuarios
durante un tiempo.
%% Administración de contraseñas: las contraseñas se utilizan como herramientas de iden-
tificación de la persona que accede al sistema, por lo tanto, para los SGSI basados en la ISO
27001 es un elemento clave para garantizar la seguridad de la información.
Hoy en día, se disponen de otras herramientas de seguridad como las tarjetas inteligentes,
huella electrónica, etc.
Para incrementar la seguridad, las organizaciones tienen la posibilidad de pedirles a sus tra-
bajadores que firmen un convenio de confidencialidad de su contraseña. Además, en todo
momento existirá un responsable encargado de proporcionar las claves a los usuarios. En
función de lo que decida cada organización, las modificaciones de las claves las podrá realizar
el responsable o el propio usuario siempre respetando la política establecida.
Si el equipo de trabajo almacena las contraseñas de acceso, éste deberá de emplear un ci-
frado que evite accesos no autorizados y por supuesto que proteja la confidencialidad de la
información.
VOLVER AL ÍNDICE
36
Los usuarios que tengan permisos para acceder y manejar información confidencial, adquie-
ren responsabilidades y deben alinear sus actividades para lograr que el Sistema de Gestión
de Seguridad de la Información sea eficaz.
Además los usuarios tienen la responsabilidad de proteger su equipo de trabajo, gestionar

su lugar de trabajo y las contraseñas de acceso. Para el tema de las contraseñas, es impres-
cindible que la organización cuente con una política de gestión de las mismas y establezca
buenas prácticas en temas de seguridad.
Para establecer una contraseña que cumpla con la seguridad exigida, es necesario que ten-
ga una longitud considerable y con variedad de caracteres. Además, es necesario modificarla
periódicamente y en ningún momento se volverán a reutilizar.
Por parte de los trabajadores, se precisa que garanticen la seguridad de su equipo de

trabajo haciendo uso de protectores de pantalla que requieran de contraseñas para desblo-
quear en el momento que el empleado esté ausente de su puesto de trabajo.
Entre las técnicas empleadas para la reducción de riesgos de acceso de personal no au-
torizado, destacamos la implantación de una política para el lugar de trabajo en la cual se in-
dique que este debe mantenerse libre. También es importante almacenar aquellos materiales
que albergan información y ya no se utilizan, gestionar adecuadamente el correo postal, etc.
En todo momento, el control aplicado por la organización en temas de seguridad de la infor-

mación deberá alinearse con el grado de seguridad necesario para la información.
Por lo tanto podemos concluir, que la seguridad de la información se consigue si los usua-
rios asumen sus responsabilidades en:
%% Gestionar contraseñas.
%% Proteger equipos en desuso.
%% Proseguir con una política para el lugar de trabajo.
SGSI
Los Sistemas de Gestión de Seguridad de la Información, también conocidos como SGSI
se convierten en una herramienta idónea para las organizaciones que tienen la necesidad de
garantizar la seguridad de la información, con la finalidad de mitigar esa clase de riesgos.
Para saber más sobre la gestión de riesgos y seguridad puede visitar: https://www.iso-
tools.org/normas/riesgos-y-seguridad

https://www.isotools.org/2014/10/21/iso-27001-garantizar-seguridad-informacion/
VOLVER AL ÍNDICE
Taller ISO 9001:2015
Enfoque basado en Riesgos
La capacitación
que fortalecerá
los Sistemas de
Gestión de la
Calidad
MATRICÚLATE AHORA
37
SEGURIDAD
DE LA
ISO 27001: Soluciones a las
INFORMACIÓN
vulnerabilidades técnicas
Seguridad de la Información ISO 27001
El Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001
colabora en el control a la entrada de los archivos que contengan información sensible sobre
la Seguridad de la Información eludiendo errores o problemas de cierta integración o con-
fidencialidad.
Dichos archivos sensibles son:
%% Código fuente de cualquier programa.

%% Archivos de proyectos de TI.
%% Ficheros de sistemas.
Mediante un procedimiento que se ocupe del control del cambio de software, se debería
de llevar a cabo el proceso de cambiar el código de los sistemas operativos. Antes de dicho
cambio, la actualización tiene que ser demostrada y se debería comprobar que se guarde una
copia de seguridad de la anterior versión, por si en algún caso fuese necesaria una reparación.
A través de un administrador de sistemas que esté técnicamente cualificado debería de esta-

blecerse la instalación, así como dejar un registro con la totalidad de actuaciones que se hayan
realizado. Si en otro caso, el software es conseguido, la persona que no llegó a venderlo tiene
que facilitar el servicio técnico.
Todas las actividades del proveedor tienen que ser supervisadas o revisadas en el momento
que este se encuentre prestando sus servicios a la empresa, permitiendo al proveedor sólo el
acceso a los sistemas que se consideran oportunos para realizar su labor correctamente.
Se considera realmente necesario usar los datos más similares para asegurar la fiabilidad en
las pruebas que se realizan a los sistemas, tanto en volumen como en calidad, y sobre los que
se obtengan en el entorno de la producción. Por otro lado, se tienen que instaurar ciertos
controles, más o menos iguales a los que quedan implantados para saber los datos de pro-
ducción, que son empleados para preservar perfectamente los datos, y al mismo tiempo, eli-
minarlos cuando su uso haya finalizado. La Ley Orgánica de Protección de Datos establece
que se debe evitar la utilización de datos de carácter personal reales.
VOLVER AL ÍNDICE
37
El código establecido como fuente de los programas debe estar preservado con el fin de evitar
las entradas no autorizadas que de manera maliciosa puedan ser manipuladas o que se pue-
dan dar por error. Se tendrían que restringir la entrada a personas lejanas al desenvolvimiento
de las aplicaciones.
Es verdaderamente importante contar con un contrato por parte de la organización externa a

la que se le adquiere la aplicación, aunque ésta no sea la que desarrolla las aplicaciones que
emplea, ya que siempre tiene que disponer de un código fuente que esté libre y el dueño
del código tiene que quedar notorio desde el principio.
En el momento en el que se interrumpe el contrato con la empresa proveedora, ésta podrá

dejar las fuentes a cualquier empresa siempre y continuando de igual forma, será de fácil rea-
lización el desarrollo y mantenimiento de la herramienta.
Resulta imprescindible realizar un control del entorno que se ocupa de la producción de pro-
yectos y asistencia técnica, y con ello es necesario que estén informados de los cambios
del sistema acordado que son demostradas para que no se puedan ocasionar accidentes
conectados con la seguridad. De lo anterior se deduce que sería muy útil introducir la norma
ISO27001.
Las modificaciones que se puedan establecer en cualquier software utilizado por la empresa
puede que altere el funcionamiento de su sistema operativo. Para conseguir que no se pro-
duzca esta situación, se tiene que implantar un procedimiento de control de cambios, con
el cual se consigue reducir los daños potenciales en los sistemas informativos.
Conforme a estos motivos se debe llevar a cabo procesos de implementación de controles,

control de calidad e implantación, pruebas, procesos de documentación y de especificación.
A la hora de implementar un Sistema de Gestión de Seguridad de la Información, esta-

blecer un registro de la totalidad de acciones realizadas se considera muy importante, ya que
en el momento de encontrar alguna contrariedad, se pueden examinar las etapas y encontrar
a los responsables y la fuente del accidente.
A lo largo de un procedimiento de control de cambio, hay que tener en cuenta cómo afec-
ta ese cambio en los sistemas de gestión de otros sistemas con los que existe alguna relación.
Las modificaciones o cambios deberían producirse con bastante tiempo ya que se tienen que
formular pruebas suficientes en los distintos sistemas para asegurar que funciona perfecta-
mente y que las modificaciones realizadas no perjudican a los controles.
Instalar las actualizaciones del software disponibles de los productos que se han compra-
do no siempre resulta necesario, por lo que sólo tienen que actualizarse cuando sea necesa-
rio. Por tanto, dentro de lo posible, se deben utilizar las aplicaciones adquiridas sin realizar
cambios sobre ella si no es un caso extremadamente necesario y realizándose siempre por el
proveedor, manteniendo una copia del software original.
La totalidad de las modificaciones que se produzcan en el software adquirido de terceros, se

tiene que someter a un proceso de control de cambios aprobado.
Los canales ignorados u ocultos son canales de trasmisión de datos que no se encuentran a
simple vista, por lo tanto es muy posible que se puedan llegar a producir importantes fugas
de información.
Para evitar las pérdidas de información, es necesario implantar controles como: las activida-
des personales, el escaneo de los medios de comunicación, protección contra virus troyanos
y supervisar los recursos.
VOLVER AL ÍNDICE
37
Si, en cualquier caso, el software se ubica externalizado, tenemos que encontrar en el contra-
to la propiedad y derechos del código, considerar sobre posibles terceros que colaboran por
iniciativa de la organización subcontratada y probar y certificar su calidad.
A menudo observamos nuevas vulneraciones técnicas que pueden llegar a dañar a los
sistemas que tienen incorporados las empresas. Estas vulnerabilidades publicadas se tienen
que gestionar, además de detectarlas de manera interna en la empresa.
La gestión del sistema se debe iniciar con toda la información conseguida de las vulnerabilida-
des, se debe establecer las medidas oportunas para resolver los principales problemas que se
muestran en la organización, así como analizar los riesgos de los activos. Se tiene que realizar
la gestión de la organización con un inventario de activos completos y actualizados.
En el instante en el que se consiga un remedio para que se solucione estas vulnerabilidades

del sistema se debe proceder a ejecutar el procedimiento de control de cambios. Si se da
el caso de que no se pueda reconocer algún remedio oportuno, en función de la vulnerabi-
lidad de esta, se podrá dejar de utilizar o impedir el sistema dañado, así como aumentar los
controles de monitorización.
SGSI
Los Sistemas de Gestión de Seguridad de la Información o SGSI son herramientas que permi-
ten a las organizaciones gestionar eficientemente los riesgos que se producen en las organi-
zaciones.
Más información sobre los sistemas de gestión relativos a los riesgos y seguridad en: https://
www.isotools.org/normas/riesgos-y-seguridad/

https://www.isotools.org/2014/11/11/iso-27001-soluciones-vulnerabilidades-tecnicas/
VOLVER AL ÍNDICE
38
SEGURIDAD
DE LA
ISO 27001: Clave para la Continuidad
INFORMACIÓN
de Negocio
La norma ISO 27001 es un suplemento óptimo para la Continuidad de Negocio, ya que
simplifica la reacción ante la interrupción de las actividades que establece la empresa y res-
guarda la totalidad de los procesos críticos de negocio de los efectos que pueden ocasionar
los desastres o perjuicios importantes que se den en los Sistemas de Información, así como
asegurar una reiniciación lo más pronto posible.
Se debe de llevar a cabo un procedimiento de Gestión de la Continuidad de Negocio para

reducir los posibles efectos que se puedan generar en la organización y poder recuperarse de
pérdidas de activos de información.
Estos efectos pueden presentarse como resultados de desastres naturales, fallos en los equi-
pos, acciones intencionadas y accidentes, por lo que tienen que compaginar los controles
precautorios y de recuperación. En el seno de dicho procedimiento se tienen que reconocer
todos los procesos críticos de negocio y se debe integrar la totalidad de requisitos del Siste-
ma de Gestión de Seguridad de la Información basado en la norma ISO27001.
Los efectos que producen los desastres, los fallos de seguridad, la disponibilidad del servicio y
las pérdidas de servicio deben estar sometidos al análisis de los efectos empresariales. Incluso
debe desarrollarse e implementarse los planes de seguimiento de la empresa para asegu-
rar una reanudación veloz y oportuna de la parte integral del proceso global de continuidad
del negocio y de otros procesos de gestión de la organización.
En la Gestión de la Continuidad del Negocio se tienen que incluir los controles globales
con el fin de identificar y disminuir todos los riesgos posibles, e incluso desarrollar un proceso
en el cual se genere la evaluación de riesgos. Es necesario limitar las consecuencias que pro-
ducen los incidentes perjudiciales y asegurar que la Seguridad de la Información es la ade-
cuada para fundamentar todos los procesos empresariales que se consideren disponibles.
Sobre el Plan de Continuidad del Negocio podemos poner un claro ejemplo:
VOLVER AL ÍNDICE
38
Identificar los activos críticos
Tenemos que reconocer en base a la disponibilidad.
Analizar el impacto de interrupción
En cuestión del modelo de amenazas consideradas a lo largo del análisis de riesgos, puede
que tomemos distintas opciones:
%% Tratar el tipo de riesgo.

%% Procedimiento de continuidad de negocio.
%% No hacer nada.
%% Finalizar la actividad.
Quien decide sobre los casos en los que se tiene que realizar un procedimiento de continui-
dad de negocio es el comité de empresa.
Identificar a los responsables
Se debe adjudicar un Responsable de Seguridad en el rol de gestor del proceso y se encarga

de coordinar las distintas actividades en relación con la Gestión de la Continuidad del Negocio.
Estimar la estrategia de recuperación
La persistencia de los servicios TI puede lograrse mediante medidas preventivas, que evi-
ta que se suspensión de los servicios o que se recuperen los distintos niveles del servicio en
el menor periodo posible.
%% Acciones preventivas.
%% Acciones de recuperación.
Definición de recursos para recuperarse
Cuando se concrete el alcance, tras realizar un análisis de riesgos y vulnerabilidades, a conti-

nuación se tiene que conceptuar una estrategia de prevención y recuperación, considerando
necesario atribuir y organizar los recursos necesarios globales.
%% Programa de Prevención de Riesgos.

%% Programa de Gestión de Emergencias.
%% Programa de Recuperación.
En cuanto al Programa de Prevención de Riegos: el objetivo es el de eludir o reducir el im-

pacto de los desastres que se podrán llegar a producir en la infraestructura. Conforme a las
medidas se pueden determinar:
%% Duplicar Sistemas Críticos.

%% Políticas de Backups.
%% Almacén de datos distribuidos.
%% Sistemas de Seguridad pasivos.
%% Sistema de Alimentación Eléctrica alternativa.
Entre las personas que conforman la entidad suelen provocarse reacciones de pánico en
cuanto a los incidentes, perjudicando a la producción de la entidad e causando daños más
VOLVER AL ÍNDICE
Balanced Scorecard
DESCARGAR AHORA
38
graves que el propio incidente. Con lo cual, es muy importante que la mencionada situación
de emergencia esté determinada mediante los responsables, así como que se conozcan a la
perfección las labores que debe desarrollar cada sujeto, siguiendo los protocolos de actua-
ción dependiendo de la situación que se dé.
Los programas de gestión de emergencias deben tener en cuenta aspectos como:
%% Informar a la totalidad de los clientes y usuarios de la interrupción que se puede estar

provocando y de la degradación del servicio ofrecido.
%% Deben existir protocolos de actuación que pongan en marcha el plan de recuperación que
se corresponda.
%% Evaluar el impacto de la contingencia de la infraestructura.
%% Atribuir funciones de emergencia al personal de la empresa.
En los casos en los que se producen interrupciones en el servicio, su control es vital, por lo
que llega el momento de poner en funcionamiento todos los procedimientos de recuperación
con los que se cuente.
El programa de recuperación debe insertar lo siguiente:
%% Volver a organizar al personal involucrado en el incidente.

%% Establecer los sistemas de hardware y software necesarios.
%% Recuperar todos los datos y reiniciar el servicio.
Los procedimientos de recuperación, dependen en gran medida de las contingencias y de

las alternativas de recuperación con la que se cuente.
Establecer los procedimientos
Por la dirección de la empresa se tienen que aprobar tanto los procedimientos de contingen-
cia como los de continuidad de negocio.
En cada procedimiento se tiene que insertar:
%% La persona encargada de comenzar el proceso.

%% Las condiciones perfectas para que se comience el proceso.
%% Escalar los accidentes.
%% Organizar a los trabajadores.
%% Gestionar el incidente.
%% Mantener las actividades.
%% Implementar las prioridades de recuperación.
La manera de eludir las diferentes interrupciones de negocio que se puedan ocasionar, son
las siguientes:
%% Contratar un seguro que englobe todos los deterioros.

%% Revisar la política de blackup.
%% Contratar servicios de “housing” con el proveedor.
%% Supervisar que se logren todos los acuerdos que se han contratado con terceras personas.
VOLVER AL ÍNDICE
38
%% Revisar todos los sistemas críticos.

%% Garantizar que se restablezca la alimentación eléctrica.
Pruebas y revisión de procedimientos
Cada cierto tiempo se tienen que elaborar informes en los cuales se incluyan la totalidad de
información que sea relevante para la entidad global.
Difusión y concienciación
Se tiene que implementar un calendario periódico en los cuales se establezcan pruebas a los
programas de recuperación y otro calendario en los que describan los cursos de formación
basándose en todos los protocolos de actuación en posición de emergencia.
SGSI
Sistema de Gestión de Seguridad de la Información o SGSI es competente para dar respuesta
a multitud de controles para el tratamiento de la información.
De este modo nos podemos asegurar que los factores vinculados a la Seguridad de la Infor-
mación no causen problemas ni interrupciones en la Continuidad de Negocio.
Para saber más sobre los Sistemas de Gestión de Riesgos y Seguridad: https://www.iso-
tools.org/normas/riesgos-y-seguridad/

https://www.isotools.org/2014/11/28/iso-27001-clave-continuidad-negocio/

de Gestión de Seguridad
de laInformación
DESCÚBRELO
VOLVER AL ÍNDICE
39
SEGURIDAD
DE LA
ISO 27001: Cumplimiento de los
INFORMACIÓN
requisitos legales en Seguridad de la
Información
La norma ISO 27001 auxilia a las empresas en el cumplimiento de los requisitos legales, los
cuales, tienen la finalidad de eludir la vulneración de la legislación o el incumplimiento de toda
obligación legal de las entidades de cualquier requisito de seguridad.
Pueden encontrarse sujetos a los requisitos legales o a los reglamentos contractuales de se-
guridad tanto el diseño, como el funcionamiento, uso y gestión de los Sistemas de Gestión
de Seguridad de la Información.
Los requisitos correspondientes, tanto los requisitos legales como los reglamentos contrac-
tuales, así como el enfoque seguido por la empresa para cumplirlos, tienen que encontrarse
definidos explícitamente, estar documentados e incluso mantenerse actualizados en cada Sis-
tema de Gestión de Seguridad de la Información basado en la norma ISO27001.
Tienen que definirse y documentarse cualquier control específico que se produzca, así como
también tenerse en cuenta las responsabilidades que hayan sido atribuidas con el fin de rea-
lizar los controles oportunos que garantice el cumplimiento de la totalidad de requisitos de
seguridad.
Se considera necesario preguntar a los asesores legales que cada empresa tenga contratado,
habitualmente se trata de abogados perfectamente cualificados, en temas concernientes a
los requisitos legales específicos que puedan perjudicar en función de la actividad que realiza
cada empresa, además de la manera en que un país transmite a otro la información que se
crea, esto es, el flujo transfronterizo de datos, por lo que en cada país encontramos requisitos
legales muy distintos.
El desarrollo que se le da a los Sistemas de Gestión de Seguridad de la Información está

sujeto a los requisitos legales, las contractuales de seguridad y los reglamentos.
El objetivo primordial que se persigue es eludir los incumplimientos de toda obligación legal
o contractual.
VOLVER AL ÍNDICE
39
Para realizar la implementación a este sistema se tienen que seguir determinados pasos:
%% Reconocer los requisitos legales, los contractuales y los reglamentarios, aparte de definir y
documentar el enfoque de la empresa para poder cumplirlo.
%% Determinar procedimientos con el fin de cumplir la Ley de Protección Intelectual (LPI).
Se tienen que reconocer la totalidad de los activos que requieren protección de derechos
de propiedad intelectual. Se debería considerar:
• No se pude duplicar, transformar ni copiar parte de los documentos, sin que lo permita
la ley de derechos de autor.
• Se tiene que adquirir el software mediante fuentes fiables.
• Determinar una política que defina el uso legal del software y los productos de informa-
ción. Estableciendo medidas disciplinarias en caso de infracción.
• Se tiene que definir una política para la conservación, manipulación y destrucción de los
registros que contengan datos personales o información sensible.
• Mantener pruebas de la propiedad de licencias. Asegurar que no se excede el número

de usuarios permitidos por la aplicación.
%% Se tiene que determinar los procedimientos necesarios para el cumplimiento de la Ley

Orgánica de Protección de Datos (LOPD). Se deben de reconocer todos los ficheros que
contengan datos de ámbito personal y establecer el nivel de protección que les correspon-
da. Se deben llevar a cabo las siguientes consideraciones:
• Se tiene que informar de si se ceden los datos personales a terceros y proceder a con-
trolar los derechos de las personas perjudicadas.
• Los ficheros tienen que quedar registrados en el registro de la Agencia de Protección

de Datos.
• Se debe elaborar un documento de seguridad que indique las medidas de carácter or-
ganizativo y técnico que se adoptan por parte de la organización, con las que garantiza
la seguridad de los datos de carácter personal.
%% Se establecen procedimientos que posibiliten el cumplimiento de la Ley de Servicios de

la Sociedad de la Información (LSSI). En el caso el cual la empresa utilice el comercio
electrónico:
• Se debe comunicar el nombre del dominio en el Registro Mercantil.
• Las condiciones generales y los trámites que tienen que seguirse para contratar on-line
algún servicio prestado por la empresa. Enviar con acuse de recibo al cliente, el pedido
realizado.
• En la página web se deben mostrar los datos de la entidad, el código de conducta, el

precio de los productos.
La normativa a la que se hace referencia son leyes que regulan el sector de las tecnologías en
España, ya que únicamente obtiene validez en el territorio español.
VOLVER AL ÍNDICE
39
Cumplimiento de políticas y normas de seguridad y cumplimiento

teórico
El propósito que persigue dicho control es generar una garantía de que los Sistemas de Ges-
tión de Seguridad de la Información satisfacen todas las políticas y normas de seguridad
de la organización.
Cada cierto tiempo, la Seguridad de la Información basada en la ISO 27001 tiene que exa-
minarse. Estas revisiones se realizan a través de diferentes políticas de seguridad y tiene que
auditarse que las plataformas técnicas y los sistemas de información satisfagan la totalidad de
normas de implementación de seguridad y controles de seguridad documentados que sean
aplicables.
El control de que se está llevando a cabo el cumplimiento técnico únicamente tiene que estar
revisado por los sujetos cualificados y además, estas personas tienen que estar autorizadas
por la entidad, aunque puede pasar que lo realice otra persona bajo la supervisión del respon-
sable. Se considera un elemento de reconocida importancia, por lo que hablamos del examen
que tienen que pasar las entidades de sus sistemas operativos con el fin de asegurar que los
software y los hardware han sido implantados perfectamente.
Con el fin de verificar lo expuesto anteriormente, se tiene que realizar por los trabajadores y
es necesario que dispongan de los adecuados conocimientos para ese fin.
Si a lo largo de la comprobación se encuentra algún incumplimiento, el sujeto autorizado

tendrá que:
%% Establecer las causas que han llevado al incumplimiento.

%% Evaluar las medidas que se tienen que tomar para asegurar que no vuelva a suceder el
incumplimiento.
%% Determinar e implementar las acciones correctivas necesarias.
%% Revisar las acciones correctivas utilizadas, para saber si están funcionando.
Debe quedar registrado el resultado de las revisiones y de las acciones correctivas llevadas a
cabo, y dichos registro tienen que conservarse.
Sistema de Gestión de Seguridad de la Información

Es muy importante que las empresas realicen la identificación de los riesgos en su Sistema
de Gestión de Seguridad de la Información, la planificación de acciones correctivas y pre-
ventivas, así como el control de la eficiencia producida por el sistema.
Para saber más sobre los Sistemas de Gestión de Riesgos y Seguridad podéis visitar: ht-
tps://www.isotools.org/normas/riesgos-y-seguridad/

https://www.isotools.org/2014/12/16/iso-27001-cumplimiento-requisitos-legales- seguridad-infor-
macion/
VOLVER AL ÍNDICE
8 problemas de
integrar normas ISO
DESCARGAR AHORA
40
SEGURIDAD
DE LA
ISO 27001 Procedimientos y
INFORMACIÓN
responsabilidades para la gestión
del tratamiento de los recursos de la
información
ISO 27001 hace que la seguridad sea un componente primordial en la información y en los
activos de una organización.
Tanto a la hora de designar responsabilidades, como en cualquier procedimiento útil para la

gestión de los recursos destinados al tratamiento de la información, la seguridad debe ser un
elemento presente y notable.
Pero ocurre que ésta se hace vulnerable ante cualquier red de comunicación, es decir es un
medio por el que se puede acceder a la información pero también es un medio que puede
dañarla.
Ante esto, se hace necesario crear procedimientos documentados para la gestión de los re-
cursos dedicados al tratamiento y comunicación de la información. Esto facilitará el cumpli-
miento y respeto de los requisitos de seguridad definidos.
Estos documentos son aprobados por la dirección y se difundirán entre los trabajadores im-
plicados e involucrados en cada procedimiento.
ISO-27001 ejerce un control sobre el tratamiento de la información, y cada cambio que suce-
da en ello deberá estar controlado por uno o varios procedimientos preestablecidos para la
gestión de cambios. Este control abarca: identificación y registro de los cambios más relevan-
tes, planificación, pruebas, evaluación de riesgos, aprobación de los cambios, comunicación
al personal interesado de los cambios, elaboración de procedimientos para dar vuelta atrás
y recuperación del sistema a su posición original en caso de que ocurriera algún problema.
Lo ideal sería que todos los sistemas de la organización estuvieran sometidos a este tipo de
control.
Una parte muy importante de esta gestión de cambios es la planificación, una organización
debe planificar y, sobre todo plantearse si el cambio que se dispone a realizar es necesario
para la entidad o no. Por ejemplo, la actualización de un software puede poner en peligro al
sistema y a su información y no ser muy imprescindible para continuar con el desarrollo del
negocio, ahí habría que pensar si es conveniente correr el riesgo o no.
Una práctica recomendada para reducir riesgos y evitar manipulaciones de la información no
VOLVER AL ÍNDICE
40
autorizadas, consiste en segregar las tareas sobre responsabilidades en la gestión de la infor-

mación. Esto quiere decir que no es conveniente que solo una persona tenga la responsabili-
dad de acceder y manipular un sistema sin ningún otro tipo de supervisión. Debe evitarse este
habito o al menos intentar que no sea la misma persona la encargada de autorizar y ejecutar
la actividad.
Sea cual sea la situación de la organización, ha de utilizarse un registro para una posible su-
pervisión o para futuras auditorías cuando las hubiese.
Como último dato para evitar riesgos a la integridad de la información, es recomendable se-
parar los entornos de desarrollo, pruebas y producción. Ni el entorno de desarrollo debería
tener acceso al de producción, ni el de pruebas debería usar los mismos datos que el de pro-
ducción, aunque sí lo más similar posible.
Cada uno de los usuarios tendrá un identificador privado para establecer responsabilidades
y, para aumentar la seguridad, deberían ser distintos para el entorno de desarrollo y para el
de pruebas.
En resumen, para consolidar la presencia y funcionamiento de ISO27001 en una organización

y crear responsabilidades y procedimientos para la gestión de los recursos de tratamiento de
la información es necesario:
%% Mantener y documentar los procedimientos operacionales que aparecen en la política de

seguridad.
%% Crear responsabilidades y procedimientos de gestión para poder desarrollar un control
satisfactorio de los cambios en software y equipos.
%% Organizar responsabilidades y procedimientos de gestión para que aporte a la organiza-
ción una respuesta ordenada, rápida y eficaz a las incidencias en materia de seguridad.
%% Instaurar una política de segregación de tareas en cuanto a las responsabilidades en la
gestión de la información.
%% Separar entre sí los recursos de desarrollo, pruebas y producción para que la organización
no se encuentre con problemas operacionales y cambios no previstos ni deseados.
Sistema de Gestión de Riesgos y Seguridad

Tiene más información sobre los Sistemas de Gestión de Riesgos y Seguridad, como el derivado de
ISO 27001, en el siguiente link: https://www.isotools.org/normas/riesgos-y-seguridad/

https://www.isotools.org/2014/09/16/iso-27001-procedimientos-responsabilidades-gestion-trata-
miento-recursos-informacion/
VOLVER AL ÍNDICE
Sistemas de
Gestión
Integrados.
41
SISTEMAS
DE GESTIÓN
¿Qué contenidos debe incluir un Plan
INTEGRADOS
de Integración?
Es fundamental que el Plan de Integración incluya un contenido que dé respuesta a una
serie de preguntas que hace posible que la organización lleve a cabo de un modo eficaz y
controlado la integración de los sistemas de gestión.
El Plan de Integración dará respuesta a:
%% Los objetivos de la integración.

%% El alcance del sistema de gestión integrado.
%% El punto de partida de la organización, el cual justifica tanto a los objetivos como al alcance.
%% El nivel de integración.
%% El modo de integración.
%% La persona responsable de la implantación.
%% Las actividades que se van a desarrollar.
Siempre que se vaya a ejecutar una integración de sistemas, será imprescindible definir el
modelo de sistema de gestión integrado en función del nivel de integración que la organi-
zación desee alcanzar.
La definición de un sistema de gestión integrado de las áreas de calidad, medio ambiente

y seguridad y salud laboral implica:
%% La identificación clara de productos y/o servicios, de aspectos ambientales y de los peligros

y riesgos que se producen en el puesto de trabajo.
%% Identificación de los proyectos de la organización que están relacionados directa o indirec-
VOLVER AL ÍNDICE
41
tamente en las características de productos y/o servicios, aspectos ambientales y de los

peligros y riesgos laborales.
%% Establecimiento del Mapa de Procesos del sistema de gestión integrado y las relaciones
que se producen entre dichos procesos.
%% Definición del alcance, determinando los procesos en los que se va a llevar a cabo la inte-
gración.
La organización debe conocer a la perfección la estructura documental del sistema integra-

do, ya que la documentación utilizada como los manuales, fichas de procesos… es un aspecto
fundamental en el proceso de integración.
A la hora de elaborar el Plan de Integración, no es necesario que sea un documento extenso.

El objetivo del Plan de Integración es que la Dirección se informe de los aspectos fundamenta-
les que dan respuesta a la necesidad de desarrollar el proyecto de integración.
Además, en el Plan de Integración quedará definido el orden en el que de desarrollarse las

distintas actividades, para ello las organizaciones deberán plantearse cuales van a ser los pro-
cesos en los que se va a implantar la integración.
A través de la Plataforma Tecnológica ISOTools, las organizaciones que lo deseen llevaran a

cabo la integración de la norma ISO 9001, ISO 14001 y/u OHSAS 18001, así como lo permitirá
en un futuro con la versión de estas normas.

https://www.isotools.org/2014/04/16/que-contenidos-debe-incluir-un-plan-de-integracion/
DESCÚBRELO
VOLVER AL ÍNDICE
8 problemas de
integrar normas ISO
DESCARGAR AHORA
42
SISTEMAS
DE GESTIÓN
Sistemas integrados: Anexo SL
INTEGRADOS
Cada vez son más las organizaciones que abordan la gestión de determinadas áreas mediante
la aplicación de normas internacionales ISO. La calidad, el medio ambiente y la seguridad y
salud en el trabajo son algunas de las áreas de gestión en las que fácil y rápidamente se pue-
den implantar este tipo de normas internacionales como la ISO 9001, ISO 14001 y OHSAS
18001.
Aunque las normas ISO más utilizadas se corresponden con las áreas anteriormente mencio-
nadas, no podemos olvidar que existen muchas normas relacionadas con la seguridad de la
información (ISO 27001), seguridad e inocuidad alimentaria (ISO 22000), gestión energética
(ISO 50001), gestión documental (ISO 30301), etc.
Estas normas tienen fundamentos de gestión comunes, por ejemplo todas ellas contem-
plan la orientación a satisfacer las partes interesadas, la filosofía de mejora continua según el
ciclo PDCA y el enfoque basado en procesos. Asimismo son normas con requisitos análo-
gos y estructuras comunes. En Julio del año 2013, ISO finalizó sus trabajos para proporcionar
VOLVER AL ÍNDICE
42
en sus normas una estructura idéntica, con términos y definiciones comunes para las normas
de sistemas de gestión del futuro a través del Anexo SL. El Anexo SL es nuevo documento ela-
borado para simplificar la creación de nuevas normas, y hace posible que la implementación
de estándares múltiples (sistemas integrados) dentro de una organización sea más fácil.
El Anexo SL sustituye a la Guía ISO 83, que proporcionaba una estructura de base y un texto
normalizado para los estándares de sistemas de gestión. Los usuarios de las normas trans-
mitieron a ISO una serie de quejas derivadas del proceso de integración actual de varios sis-
temas de gestión (SIG) como ISO 9001, ISO 14001 e ISO 27001. Si bien estas normas tienen
elementos comunes, están descritos y organizados de una manera diferente, por lo que es
difícil para las organizaciones implementar múltiples estándares. Este documento es un pro-
ducto desarrollado por un comité integrado por diferentes jefes y secretarios de los Comités
Técnicos de las normas de gestión.El Technical Management Board (TMB) estableció este co-
mité y se denominó Joint Techical Coordination Group (JTCG). Entre las principales tareas
del JTCG destacamos la de garantizar que las aportaciones de los distintos comités técnicos
asociados con cada estándar se representan en el sistema de gestión resultante de un área
determinada (es decir, el medio ambiente, seguridad de la información, etc).
La estructura de alto nivel del Anexo SL está conformada por 10 cláusulas:
%% Cláusula 1: Ámbito de aplicación.
%% Cláusula 2: Referencias normativas.
%% Cláusula 3: Términos y definiciones.
%% Cláusula 4: Contexto de la organización.
%% Cláusula 5: Liderazgo.
%% Cláusula 6: Planificación.
%% Cláusula 7: Soporte.
%% Cláusula 8: Funcionamiento.
%% Cláusula 9: Evaluación del desempeño.
%% Cláusula 10: Mejora.
Los objetivos que persigue ISO con esta estructura son:
%% Garantizar la coherencia entre las futuras y actuales normas de sistemas de gestión.
%% Favorecer la integración de sistemas de gestión.
%% Facilitar a los usuarios la comprensión y entendimiento de las normas de gestión.
ISO ha publicado en los últimos años muchísimas normas relacionadas con los sistemas de
gestión en temas que van desde la calidad y el medio ambiente a la seguridad de la informa-
ción, gestión de la continuidad del negocio o la gestión de documentos. A pesar de compartir
elementos comunes, estas normas vienen en muchas formas y estructuras diferentes. Esto, a
su vez, da lugar a cierta confusión y dificultades en la etapa de implementación.
En las siguientes figuras podemos observar las similitudes entre los diferentes modelos de
gestión de calidad, medio ambiente y de seguridad y salud en el trabajo:
VOLVER AL ÍNDICE
42
Todos los comités técnicos encargados del desarrollo de las normas de sistemas de gestión,
tienen que seguir el Anexo SL. El Anexo SL armoniza la estructura, el texto y los tér-
minos y definiciones, dejando a los creadores de las normas la flexibilidad requerida para
integrar los aspectos técnicos específicos y requisitos pertinentes.
ISO renueva en cierta manera los sistemas de gestión con nuevos conceptos enfocados a
la Calidad Total y Excelencia a través del Anexo SL tales como la participación de todas
las partes interesadas, el enfoque hacia empresas de servicios, la gestión del riesgo o la intro-
ducción de la tecnología. Se han determinado igualmente una serie de definiciones idénti-
cas para todas las normas de gestión:
%% Organización
%% Partes interesadas (término preferido)
%% Stakeholder (término admitido)
%% Requisito
%% Sistema de gestión
%% Alta dirección
%% Eficacia
%% Política
%% Objetivo
%% Riesgo
%% Competencia
%% Información documentada
VOLVER AL ÍNDICE
42
%% Proceso
%% Rendimiento
%% Externalizar
%% Monitoreo
%% Medición
%% Conformidad
%% No Conformidad
%% Corrección
%% Acción correctiva
%% Mejora continua
VOLVER AL ÍNDICE
42
Además se establecen textos totalmente idénticos entre unas normas y otras en aspectos
similares como el liderazgo. Un ejemplo de texto idéntico se expresa a continuación: “La alta
dirección debe asegurarse de que las responsabilidades y autoridades para las funciones re-
levantes se asignan y comunicadas dentro de la organización”. El nuevo Anexo SL algunos trae
consigo una serie de cambios entre los que destacamos:
El cambio de documentos y registros por el concepto de “Información documentada”.
Se incluye el uso amplio del concepto de “riesgo” y la necesidad de comprender el riesgo en el

contexto del sistema de gestión.
Anexo SL ayudará a cualquier organización a la hora de integrar sistemas, permitiendo un

considerable ahorro de tiempo y costos. Ya sabemos que las normas como la ISO 9001 y
la ISO 14001 tienen intenciones similares pero diferentes estructuras, texto y terminolo-
gía, lo que hace que actualmente sea más complicado de implementar en conjunto.
Si bien ya existen diferentes metodologías para integrar sistemas de gestión normali-

zados, como la integración a través de los puntos de las normas, el enfoque sistémico o el
enfoque de calidad total, es necesario agilizar el proceso de implementación, mantenimiento
y certificación de estándares múltiples. Desde su publicación, en unos dos / tres años, todas
las normas de gestión existentes deben de armonizarse bajo el Anexo SL. Las nuevas
normas de sistemas de gestión que se están publicando ya lo están haciendo bajo este for-
mato, así como las normas que actualmente se están revisando como ISO 9001, ISO 14001 y
OHSAS 18001 que pasa a ser ISO 45001.
La Plataforma Tecnológica ISOTools facilita la implantación y el seguimiento de los sistemas

de gestión Integrados a través de su sistema tecnológico de automatización. Además favorece
el acceso a la documentación de forma rápida, permaneciendo centralizada y ordenada.

https://www.isotools.org/2014/06/27/anexo-sl/
VOLVER AL ÍNDICE
el futuro?
DESCARGAR AHORA
43
SISTEMAS
DE GESTIÓN
Evolución del alcance de los Sistemas
INTEGRADOS
de Gestión Integrados
Para saber el alcance de un sistema de gestión integrado es necesario conocer la agru-
pación de los sistemas que lo constituyen. Cuando hablamos de integración, rápidamente lo
asociamos con los sistemas de gestión de calidad, medio ambiente y seguridad y salud laboral.
Como ya hemos mencionado otras veces esto no es así, la integración se lleva a cabo reali-
zando combinaciones entre los distintos Sistemas de Gestión y/o Modelos de Excelencia.
Según estudios, se afirma que la mayoría de las organizaciones deciden proceder a la integra-
ción de estos tres sistemas de gestión. También se concluye que el Sistema de Gestión de
Calidad (SGC) suele ser el único que se integra en todas las organizaciones.
El concepto de integración se empieza a utilizar en publicaciones datadas en los años noven-

ta, en aquellos tiempos se comprendió que entre la documentación exigida por las normas
ISO 9001:1994 e ISO 14001:1996 existían diferencias, pero también importantes similitudes
que permitian reducir el esfuerzo y costos invertidos en la implantación si se unificaban.
Durante ese periodo, la integración de sistemas estaba limitada a los sistemas de gestión
de calidad y medio ambiente basados en las normas ISO vigentes en aquel momento. Ade-
más, su finalidad era la simplificación de estructuras documentales de dichos sistemas
de gestión, sin tener en cuenta otros aspectos.
Asimismo, la integración con el sistema de gestión de seguridad y salud laboral no se

contemplaba debido a la inexistencia de una norma ISO relacionada con esta materia.
Tras un estudio en el que se hizo una comparación entre las diferentes normas sobre segu-
ridad y salud ocupacional, la OHSAS 18001 adquirió un papel fundamental en el marco de
integración de sistemas, contemplándose dentro del alcance de integración.
VOLVER AL ÍNDICE
43
Actualmente no contamos con un estándar internacional sobre seguridad y salud laboral,

estamos a la espera de la publicación de la nueva ISO 45001 que sustituirá a la actual OHSAS
18001. Del mismo modo, las normas ISO 9001 e ISO 14001 también han sufrido modificacio-
nes a lo largo del tiempo y en concreto, ahora se encuentran en un proceso de revisión que
finalizará con la publicación de las normas.
La Plataforma Tecnológica permite la integración de sistemas normalizados de gestión,

teniendo en cuenta las actualizaciones de los estándares y el Anexo SL, el cual permite que
las normas cuenten con una estructura compatible y coherente.

https://www.isotools.org/2014/07/14/evolucion-alcance-sistemas-integrados/
DESCÚBRELO
VOLVER AL ÍNDICE
44
SISTEMAS
DE GESTIÓN
Mapa de procesos de los Sistemas de
INTEGRADOS
Gestión Integrados
De manera general, la integración significa llevar a cabo una combinación, es decir, poner
todas las prácticas de gestión interna dentro de un sistema, de tal manera que los compo-
nentes de dicho sistema no estén separados, sino vinculados para formar una parte integral
del sistema de gestión de la empresa, es lo que se denomina “enfoque de gestión basado en
procesos.”
Partiendo de este enfoque de gestión como base para la integración, se puede afirmar que
un sistema integrado de gestión puede definirse a través de un conjunto de procesos,
interrelacionados entre sí, orientados hacia el cumplimiento de una política de gestión y unos
objetivos, relativos a las áreas de gestión que se integran.
Uno de los instrumentos más utilizados en el diseño de sistemas de gestión es la elaboración

del mapa de procesos. Un mapa de procesos es una representación gráfica que nos ayuda a
visualizar todos los procesos que existen en una empresa y su interrelación entre ellos. Antes
de realizar el mapa de procesos habrá que identificar todos los procesos.
Así pues, hay que determinar el grado de integración del mismo a partir del grado de inte-
gración de cada uno de los procesos que lo forman; esto quiere decir que se evalúa a través
de la valoración del comportamiento individual de cada proceso de conjunto, esto sirve para
identificar que procesos están integrados y cuáles no lo están.
Se han realizado estudios con diversas organizaciones para comprobar si ejecutaban de for-
ma integrada ocho de los procesos que son comunes a los tres sistemas de gestión (ISO
VOLVER AL ÍNDICE
44
9001, ISO 14001 e OHSAS 18001).Según los resultados obtenidos, los procesos en los que se
alcanza mayor grado de integración son el de “gestión de la documentación” y el de “revisión
por parte de la dirección”.
Por otra parte, los procesos que muestran menor nivel de integración son “seguimientos y
medición de resultados”, “establecimiento y planificación de objetivos” y “auditorías y certifi-
cación”.
En el análisis de conjunto, los resultados mostraron la existencia de tres tipos de asociaciones

a la hora de integrar el mapa de procesos:
%% Organizaciones que integran los procesos denominados procesos de apoyo. Los procesos
de apoyo son los que sirven de soporte a los procesos claves. Sin ellos no serían posibles
los procesos claves ni los estratégicos. Estos procesos son, en muchos casos, determi-
nantes para que puedan conseguirse los objetivos de los procesos dirigidos a cubrir las
necesidades y expectativas de los clientes.
%% Organizaciones que integran aquellos procesos denominados procesos estratégicos, es de-
cir, aquellos establecidos por la Alta Dirección y que definen cómo opera la organización y
cómo se crea valor para el cliente.
%% Soportan la toma de decisiones sobre planificación, estrategias y mejoras en la organiza-
ción. Proporcionan directrices, límites de actuación al resto de los procesos.
%% Organizaciones que integran los procesos de auditoría, tanto externa como interna.
Para terminar, el análisis de cada proceso culmina con la elaboración del diagrama de flujo, la
ficha del proceso, la identificación de los indicadores de control y resultados y, finalmente, con
la organización de la documentación correspondiente.
La Plataforma Tecnológica ISOTools facilita la integración de los Sistemas de Gestión, con

el objetivo de mejorar la eficiencia y eficacia de la organización.

https://www.isotools.org/2014/08/18/mapa-de-procesos-de-los-sistemas-de-gestion-integrados/
VOLVER AL ÍNDICE
45
SISTEMAS
DE GESTIÓN
La automatización del sistema HSEQ
INTEGRADOS
Hoy en día, las empresas exitosas y que actúan responsablemente con su entorno, deben
responder eficientemente a una serie de requisitos que abarcan diferentes áreas: salud, segu-
ridad, protección ambiental y gestión de la calidad en la prestación de servicios o productos.
Todos ellos se encuentran resumidos en el acrónimo HSEQ, que significa:
%% Health (salud)
%% Safety (seguridad)
%% Environment (medio ambiente)
%% Quality (calidad)
Estos sistemas de gestión se diseñan para ser herramientas útiles de trabajo. El momento en
el que se descubre que un sistema de gestión empieza a ser un inconveniente más que una
ventaja, es necesario adoptar medidas.
Para reconocer que es necesario replantearse una mejora del sistema se pueden responder
a preguntas, tales como: ¿Considera que invierte demasiado tiempo cumplimentando forma-
tos?, ¿La coordinación entre responsables no es fluida? o ¿Tarda mucho tiempo en recopilar
los datos y analizar los indicadores?
Si la mayoría de las respuestas han sido afirmativas, necesita una manera de facilitar la eje-
cución de los procesos dentro de la organización, su solución es la automatización de los
mismos.
La automatización de los procesos implica la utilización de herramientas tecnológicas para

realizar las actividades que antes se ejecutaban manualmente.
Este proceso tiene unos objetivos muy evidentes en los procesos de la organización. Se redu-
cen costes, el trabajo es más rápido y se eliminan los riesgos que ponían en peligro la seguri-
dad del empleado.
Además, disminuyen los problemas de calidad por realizarse el trabajo de una manera más
uniforme debido a las especificaciones dadas al automatismo.
VOLVER AL ÍNDICE
¿Conoce los cambios y
novedades de la nueva
versión de ISO 14001?
DESCARGAR AHORA
45
Asimismo, las ventajas que ofrece una herramienta de automatización a cualquier empresa
en la organización de sus actividades diarias son muy variadas:
%% Se adapta a cualquier sector económico y tipo de organización, independientemente de

su tamaño, ya que se puede personalizar en función de los requisitos particulares de la
organización.
%% Centraliza y facilita la disponibilidad y el manejo de la información desde cualquier dis-
positivo, permitiendo que el responsable pueda consultarlos y modificarlos en cualquier
momento y lugar.
%% Propicia el dinamismo en los Sistemas de Gestión enfocados hacia la mejora continua y a
la obtención de resultados, con una notable mejoría de la eficiencia empresarial.
%% Reorganiza la comunicación interna y externa al vincular una agenda de contactos. Permite
al gestor planificar, asignar y avisar las tareas pendientes o prioritarias, de forma inmediata
y sencilla. Así mismo, potencia la colaboración y la involucración de todo el personal, al
estar todos implicados en los procesos y sus procedimientos.
%% Ahorra recursos materiales, tiempo y costes, además reduce los riesgos de pérdida de
registros y preserva la seguridad de la información de la organización.
%% Al estar en red, facilita que se puedan realizar actualizaciones automáticas de la propia
plataforma o de las normas y sus requisitos.
%% Asegura que todos los procesos o incluso productos que llegan a través de los provee-
dores o contratistas, desarrollen su actividad respetando su política medioambiental, de
salud y seguridad.
%% Favorece la identificación de No Conformidades y la aplicación de acciones correctivas y pre-
ventivas, impulsando la implantación de un sistema que camina hacia la mejora continua.
Para organizaciones certificadas, cuyo sistema de gestión esté consolidado, una herramienta
de informatización de procesos constituye una excelente solución para seguir avanzando
en el proceso de mejora continua.
En el caso de que la organización esté en proceso de implantación, se convierte en una guía

durante el transcurso de establecimiento de un sistema de gestión. Desde primera hora la
organización logrará una total ensambladura del Sistema de Gestión.
Las organizaciones no pueden olvidarse de que el proceso de automatización de los sistemas

de gestión requiere de serias inversiones, esto se traducirá en un incremento de la eficacia
para la propia organización y para sus clientes.
Software ISO Integración

Con la incorporación de la Plataforma Tecnológica ISOTools, muchas organizaciones están
descubriendo ya las ventajas que aporta la automatización de la implementación y manteni-
miento de los sistemas de gestión, logrando una simplificación y dinamización del proceso.
No os perdáis esta divertida infografía en la que os damos 5 razones por las que debería de
automatizar su sistema de gestión a través del Software ISO de ISOTools Excellence.
VER INFOGRAFÍA ¿POR QUÉ AUTOMATIZAR TU SISTEMA ISO?
VOLVER AL ÍNDICE
46
SISTEMAS
DE GESTIÓN
Sistemas Integrados de Gestión:
INTEGRADOS
Enfoques metodológicos para la
integración
El éxito en la difusión de tantos estándares de gestión ha llevado a las organizaciones a que su
implementación de como fruto un único Sistema de Gestión Integrado. Esto ha provocado
que en el ámbito académico se hayan comenzado a publicar las primeras investigaciones que
analizan dichos aspectos.
En este sentido, la literatura existente sobre la integración de sistemas de gestión se basa en

estudios teóricos en los que se describen qué es un sistema integrado de gestión, su metodo-
logía y los principales aspectos a tener en cuenta, los niveles de integración de la organización,
así como sus ventajas e inconvenientes.
Resulta difícil describir un único modelo para la integración de sistemas de gestión, dado que
los modelos de los sistemas integrados son muy específicos, de forma que son prácticamente
individualizados, adaptados para cada empresa que decide llevar a cabo dicho proceso; así ,
la definición del SIG tampoco resulta única.
Este asunto se muestra en la lista que aparece a continuación, en la que se recoge una reco-
pilación de las definiciones y principales aportaciones de la literatura.
%% Weiler et al. (1997). Presenta el modelo de mejora continua: compromiso, planificación,

implantación, medida, revisión de la gestión. Determina que los objetivos integración están
alineados con los objetivos estratégicos.
%% Karapetrovic y Willborn (1998). Lo explica como un único sistema formado por subsiste-
mas de función específica que pierden completamente sus identidades únicas: sistema de
sistemas.
VOLVER AL ÍNDICE
46
%% Winder (2000). Plantea 14 reglas para la integración, destacando la importancia del com-
promiso de la dirección, decisión del tipo de SIG y objetivos comunes.
%% Wilkinson y Dale (2000). Determina cinco elementos clave: diferente comprensión del con-
cepto integración, simplificación de la terminología, las diferencias en los objetivos dificulta
proceso, la integración basada en la calidad total provoca una mejora los resultados y la
importancia de la cultura.
%% Beckmerhagen et al. (2003). Lo define como el proceso de unificar las diferentes funciones
específicas de los sistemas de gestión en un único sistema de gestión integrado más efec-
tivo.
%% Karapetrovic (2003). Los procesos interconectados que comparten los mismos recursos
para lograr los objetivos relacionados con la satisfacción de una amplia variedad de stake-
holders.
%% Karapetrovic y Jonker (2003). La integración proporciona sinergias y ahorros para la orga-
nización. Determina dos niveles: alineación estándares e integración en un único sistema.
Clasifica los modelos de integración en: por procesos, PDCA y armonizando, alineando e
integrando los diferentes de sistemas de gestión.
%% McDonald et al. (2003). Tres procesos: revisión de la gestión, control operacional y audito-
rías internas. Único sistema para cada organización, diferentes sistemas para todas.
%% Fresner y Engelhardt (2004). Combinación de sistemas de gestión basado en análisis de los
procesos clave y definición elementos comunes: comprensión de las actividades producti-
vas, planificación sistemática, implementación, control, auditoria y mejora.
%% Zutshi y Sohal (2005). Condicionantes: complejidad organización, relación aspectos
medioambientales con procesos clave, integración documentación sistemas calidad y
medioambiental. Cultura, naturaleza y tamaño empresa condicionan el proceso.
%% Zeng et al. (2006). Los factores internos y externos condicionan la implantación son:
Internos: Recursos Humanos, estructura y cultura de la organización.

Externos: Stakeholders, organismos certificadores y entorno institucional.
Como se puede ver, no hay numerosos autores que hayan investigado acerca dela integración
de los sistemas de gestión, esto puede indicar la novedad de este concepto.
Normas ISO
Si quiere más información sobre las normas ISO, sus fundamentos, implantación o integración
visite: https://www.isotools.org/normas/

https://www.isotools.org/2014/09/15/sistemas-integrados-de-gestion-enfoques-metodologi-
cos-para-la-integracion/
VOLVER AL ÍNDICE
47
SISTEMAS
DE GESTIÓN
Sistemas integrados:
INTEGRADOS
¿Qué metodología de integración es la
adecuada para mi organización?
En artículos anteriores sobre los Sistemas de Gestión Integrados, hemos hablado del enfo-
que basado en los principios TQM y del enfoque sistémico.
Aunque se aprecian diferencias entre ambas metodologías de integración, no son exclu-

yentes. Las organizaciones, en la mayoría de los casos implantan sistemas de gestión basados
en estándares que a su vez se encuentran fundamentados en la gestión por procesos.
Por ello, lo más probable es que una organización que implante un sistema de gestión según
los estándares de gestión, disponga de un mapa de procesos de su sistema. Como es obvio,
las empresas persiguen certificar sus sistemas de gestión y la pueden lograr combinando las
metodologías de integración a través de dos vías:
%% Haciendo uso del mapa de procesos que propone el estándar de gestión y cumpliendo
con los requerimientos exigidos por cada estándar. En este caso se aplican implícitamente
los principios TQM.
%% Elaborando un mapa de procesos de la compañía e incluyendo los requerimientos defini-
dos pos el estándar de gestión.
A través de ambas vías, es posible lograr la certificación se los sistemas de gestión con los que
cuente la organización e integrar varios sistemas de gestión. Estas dos opciones consiguen
resultados diferentes, la primera asegura un sistema de gestión similar al que podría tener
cualquier otra organización que haya aplicado el mismo procedimiento. La simple implanta-
ción de sistemas de gestión no supondrá una ventaja competitiva en el mercado en el que
desarrolla su actividad.
VOLVER AL ÍNDICE
47
Por el contrario, la integración de dichos sistemas se permite un diseño especializado, ya

que el mapa de procesos se elabora en función de la actividad de la organización y no según
los requisitos de la norma.
En este caso es necesario contar con un conocimiento integro sobre su desarrollo, consi-
guiendo identificar las oportunidades de mejora.
Podemos plantear varias alternativas para lograr la integración de los sistemas, como por
ejemplo a través del desarrollo de un mapa de procesos, distinguiendo diferentes ámbitos en
los que englobar los procesos:
%% Planificación.
%% Gestión de recursos.
%% Realización del producto.
%% Medición, análisis y mejora.
Cabe destacar que los procesos incluidos en el ámbito de la realización del producto, serán los
únicos característicos de cada organización. Esto es así según el producto realizado o servicio
ofrecido.
Si realizamos una comparativa entre las metodologías de integración empleadas, podemos

afirmar que el enfoque basado en estándares es el más fácil de implantar. Esta metodología
fundamentada en los estándares hace uso de pocos recursos, pero no genera grandes bene-
ficios ya que impide diferenciar a una organización del resto de organizaciones que hagan uso
de la misma metodología
Todo lo contrario ocurre en el caso de la metodología basada en los principios TQM. Debemos
saber que este tipo de metodología ofrece mejores resultados, aunque precisa de mayores
recursos.
La decisión de qué tipo de metodología se debe emplear para llevar a cabo la integración
de los sistemas de gestión de una organización, la adopta la propia empresa basándose en
sus necesidades.
Es importante conocer que el enfoque basado en los principios TQM, es la única metodología
que permite realizar una integración completa, esto es debido a que surge de los procesos
de la empresa.
En función de la metodología de integración, la magnitud de los documentos requeridos será

por el Sistema de Gestión Integrado será mayor o menor. El hecho de que las organiza-
ciones se decanten por el uso de un mapa de procesos, les hace posible minimizar los pro-
cedimientos empleados. Además podemos decir que la gran mayoría de las organizaciones
consiguen la integración total cuando emplean mapas de procesos.
Aunque la existencia de distintos departamentos no tiene que ver con el tipo de metodolo-
gía empleada, es cierto que la agrupación de los departamentos involucrados en la integra-
ción de sistemas y por lo tanto, de sus responsabilidades favorece y facilita el proceso. Por
lo tanto, se puede concluir que contar con una estructura organizativa integrada favorece a
alcanzar mayores niveles de integración de los sistemas de gestión.
Para desarrollar correctamente la integración de sistemas, resulta básico conocer el estado

de madurez del sistema. Asimismo, es necesario prestar atención a otras variables como la
complejidad, alcance y riesgos asociados.
VOLVER AL ÍNDICE
Se acaba el tiempo,
¿Ya estás actualizado?
Con este curso

online aprenderás
todo lo que
necesitas saber
sobre la inminente
ISO 9001:2015
MATRICÚLATE AHORA
47
Teniendo en cuenta todo esto, hay que decidir qué tipo de integración de sistemas de
LEE ESTE gestión realizar, ya que puede ser progresiva o simultánea.
ARTÍCULO
EN EL BLOG Para el caso de la integración simultánea, la organización integra a la vez desde el comienzo
todos los sistemas de gestión involucrados:
org/2014/10/24/siste- %% En un principio se produce sobre una de las áreas y posteriormente se integran el resto.
mas-integrados-me-
todologia-de-integra- %% Fomenta la integración desde el punto de vista de la alineación y/o combinación de siste-
cion-organizacion/
mas. Esto puede originar problemas en la distribución y/ o modificación de responsabili-
dades.
%% No requiere de un equipo multidisciplinar, ya que este puede adquirir los conocimientos
necesarios de un modo progresivo.
%% Existe un referente normativo para cada uno de los sistemas que se desean integrar.
En el caso de gestionar una integración progresiva, la organización integra por fases los
diferentes sistemas de gestión que van a participar. Su uso implica:
%% Un diseño fácil del sistema de gestión integrado desde el principio, ya que establece una
estructura dirigida a todas las áreas de gestión.
%% Fomenta la integración total, por lo que las responsabilidades se asignan desde una pers-
pectiva integradora.
%% La necesidad de contar con un equipo multidisciplinar.
%% No existe un referente normativo para la implantación de un sistema de gestión integrado.
Normalmente las organizaciones realizan una integración progresiva, siempre en función de

sus necesidades y de los recursos disponibles.
Durante la integración progresiva de sistemas, destacamos a su vez tres secuencias de inte-

gración diferentes:
%% 1-2-3: implantación de un primer sistema, seguido de un segundo y para terminar de un

tercero.
%% 1-1-2: En el momento inicial se hace la integración simultánea de dos sistemas y para fina-
lizar se incorpora un tercero.
%% 1-2-2: Al comienzo, tiene lugar la implantación de un sistema de gestión que concluye con
la integración simultánea de dos sistemas.
De las alternativas ofrecidas anteriormente, comentamos que la más habitual es la que hemos
denominados como 1-2-3.
Sistemas de Gestión Integrados

La integración de sistemas más común es la referida a los sistemas de gestión de calidad,
medio ambiente, seguridad y salud en el trabajo y seguridad de la información según los es-
tándares ISO 9001, ISO 14001, OHSAS 18001 e ISO 27001.
En cualquier caso, el alcance de la integración de los sistemas de gestión depende en gran

medida de los stakeholders de una organización.
Si desea conocer más sobre la integración de sistemas no deje de visitar https://www.iso-

tools.org/normas/sistemas-integrados/
VOLVER AL ÍNDICE
48
SISTEMAS
DE GESTIÓN
Estructura documental de los
INTEGRADOS
Sistemas de Gestión Integrados
La relación de procedimientos escritos de un Sistema Integrado de Gestión es una de las
características que permite conocer con elevada profundidad y detalle los aspectos más re-
levantes de dicho sistema, gracias a que contienen las actuaciones principales previstas en el
mismo. Por otro lado aportan una visión de su complejidad y dimensión.
En este punto es preciso diferenciar entre el alcance del Sistema de Gestión Integrado y el
de los procedimientos que lo constituyen.
%% Alcance de un SIG: está determinado por cada uno de los Sistemas de Gestión que lo
forman.
%% Alcance de un procedimiento escrito: está condicionado por los Sistemas de Gestión que
la actividad gestiona.
El alcance de un Sistema Integrado siempre será mayor que el de sus procedimientos es-
critos.
Si nos detenemos en los requisitos de las normas más frecuentemente integradas, ISO 9001,
ISO 14001 e OHSAS 18001, comprobaremos que la primera requiere seis procedimientos
documentados, la segunda 12 y la tercera 14 procedimientos de este tipo.
El número de procedimientos de un Sistema de Gestión va a depender de la complejidad de

las actividades que se lleven a cabo, por tanto dependerá de la organización. Mientras que
para una será suficiente con 20 procedimientos para otras estos serán escasos o demasiados.
Tomando como ejemplo una organización que requiera de 30 procedimientos escritos, ¿cómo
será la distribución de los mismos? Estos se pueden distribuir del siguiente modo:
VOLVER AL ÍNDICE
48
%% 16 procedimientos para actividades integradas en las tres funciones técnicas.

%% 2 procedimientos integrados en el par de actividades Calidad y Seguridad y Salud Laboral,
1 para el par Calidad y Medio Ambiente y otro para Calidad y Seguridad y Salud en el Tra-
bajo,
%% 4 procedimientos individuales para Calidad, 3 para Medio Ambiente y otros 3 para Seguri-
dad y Salud Ocupacional.
Esto no es un objetivo óptimo de la integración, es un caso utilizado a modo de ejemplo.
La causa por la que para una organización le sea suficiente contar con 30 procedimientos y
a otras no les baste o les vengan excesivos, es que a la hora de llevar a cabo la integración
no existe un estándar de Sistema Integrado de Gestión que esté aceptado y reconocido
internacionalmente. Es destacable decir que según determinados estudios, la mayoría de las
organizaciones encuestadas apoyan la publicación de un estándar de este tipo en un futuro.
A pesar de esta diferencia entre organizaciones en el número de procedimientos, se viene

siguiendo una aplicación común en el proceso de integración de los procedimientos escritos
del sistema, algunas de estas pautas comunes son:
%% La tendencia de trabajo radica en elaborar un número máximo de procedimientos que

cubran las tres funciones: calidad, medio ambiente y SST, y gestionar el resto de elemen-
tos de un modo individual. Se intenta reducir los procedimientos escritos que abarquen
aspectos parcialmente integrados en dos de las tres funciones técnicas.
%% Los procedimientos escritos de doble alcance que contienen elementos susceptibles de
ser integrados corresponden a las funciones Medio ambiente y Seguridad y Salud Ocupa-
cional.
%% La función que cuenta con más procedimientos escritos individuales suele ser con mayor
frecuencia Calidad.
Estos aspectos que acabamos de comentar pueden decirnos que la función más difícilmente
integrable es Calidad, mientras que las más afines para la integración de sus procedimientos
son Medio ambiente y SST, para corroborar esto solo necesitamos fijarnos en los índices de
las normas respectivas.
La Plataforma Tecnológica ISOTools facilita la integración de los procedimientos escritos

de los Sistemas de Gestión objetivo, posibilitando una gestión común que ahorre tiempo y
dinero para la organización.

https://www.isotools.org/2014/08/11/estructura-documental-sistemas-gestion-integrados/
VOLVER AL ÍNDICE
Miscelánea.
49
SEGURIDAD
VIAL
La aplicación de la norma ISO 39001
en las empresas de transporte y
logística
Como hay empresas que se dedican solamente al transporte y la logística tienen un mayor
riesgo de sufrir accidentes, ya que sus actividades se llevan a cabo en la carretera. La implan-
tación de un Sistema de Gestión de Seguridad Vial basándose en la norma ISO 39001 es algo
muy importante para ellas y muy beneficioso.
Como ya hemos dicho estas empresas se encuentran expuestas a ciertos riegos, como pue-
den ser:
En la conducción:
%% Las condiciones del tiempo.

%% Poca visibilidad.
%% Etc.
El estado en el que se encuentre el conductor:
%% Elevada velocidad.
%% Posibles distracciones al volante.
%% No hacer caso a las señales.
%% Consumo de alcohol, lo que genera que tenga menos reflejos.
%% Sueño.
El vehículo:
%% Reventones de ruedas.
%% Fallos de motor.
%% Impacto con otro vehículo.
%% Incendios.
VOLVER AL ÍNDICE
La Gestión Ambiental
se enfrenta a cambios
relevantes este año.
Con este curso

online aprenderás
todo lo que
necesitas saber
sobre la NUEVA
ISO 14001:2015
MATRICÚLATE AHORA
49
La implantación de la norma ISO39001 hace que las empresas puedan ver disminuidos e
incluso eliminados estos factores de riesgo, ya que le permite realizar un buen uso de los
sistemas de seguridad vial.
El principal objetivo perseguido por la norma ISO-39001 es generar en las organizaciones

logren:
%% Implantar todos los posibles requerimientos para tener un buen Sistema de Gestión de
Seguridad Vial.
%% Tener todos los principios de la seguridad vial.
Crear instrucción de cómo se debe llevar a cabo los objetivos que tengan relación con la se-
guridad vial.
Los beneficios de estar certificado con la norma ISO 39001 y tener implantado un Sistema de
Gestión de la Seguridad Vial son:
%% Incremento de la calidad de vida, la seguridad vial y el confort de los empleados.

%% Mayor eficacia en la calidad del transporte ofrecido a los clientes, ya que se reducen los
accidentes.
%% Disminución de muertes o fracturas en los empleados.
%% Reducción de las averías, por lo que disminuye también los retrasos en las entregas.
Aumento de la satisfacción de los clientes, por lo que hace a la empresa más competitiva.
ISOTools es una Plataforma Tecnológica que facilita a las empresas la implementación y el man-
tenimiento de un Sistema de Gestión de Seguridad Vial en las organizaciones relacionadas con
el trasporte y la logística, persiguiendo el fin de reducir o eliminar en la medida de lo posible los
accidentes de tráfico.

https://www.isotools.org/2014/05/27/la-aplicacion-de-la-norma-iso-39001-en-las-empresas-de-
transporte-y-logistica/
VOLVER AL ÍNDICE
50
CONTINUIDAD
DE NEGOCIO
ISO 22301: Buenas prácticas para la
continuidad de negocio
La Gestión de la Continuidad del Negocio basada en la norma ISO22301 se centra en la adop-
ción de buenas prácticas que minimicen los riesgos y eviten la interrupción del negocio.
Hay ciertos negocios que no pueden permitirse en ningún momento que su actividad se de-
tenga, para ello la implementación de la ISO22301 en la organización es el primer paso hacia
las buenas prácticas.
Entendidos en la materia redactaron la norma ISO-22301 para que sirviera de referencia en la

gestión de la continuidad del negocio de las empresas.
Su implementación permitirá reducir los posibles incidentes y en el caso de que estos tuviesen
lugar, la organización estará siempre preparada para enfrentarse a ellos de un modo rápido
y sencillo.
Si la organización cumple con los requisitos establecidos en la ISO 22301, podrá operar co-
rrectamente siempre, incluso en aquellas ocasiones de interrupción.
Cualquier organización, independientemente de su tamaño y actividad podrá implementar un

sistema de gestión de la continuidad del negocio basado en la ISO22301.
Esta norma hace uso de un lenguaje común para las organizaciones globales, sobre todo para
aquellas que están incluidas en cadenas de suministro complejas.
El estándar internacional ISO-22301 es una herramienta muy eficaz en las organizaciones que
están expuestas a un alto nivel de riesgo y que necesitan seguir operando, por ejemplo orga-
nizaciones del sector público, de transporte, telecomunicaciones, etc.
VOLVER AL ÍNDICE
50
La ISO 22301 permitirá:
%% Implementar, mantener y mejorar continuamente los Sistemas de Continuidad de Negocio

(SGCN)
%% Cumplir con los requerimientos de su política de continuidad.
%% Ofrecer confianza a las partes interesadas.
La ISO-22301 establece los requisitos necesarios para un Sistema de Gestión de Continuidad del
Negocio basándose en las buenas prácticas.
La Plataforma Tecnológica ISOTools permite automatizar la norma ISO 22301 de un modo

rápido y sencillo. Además ISOTools, asegura que las organizaciones estén preparadas en todo
momento a posibles riesgos y que no supongan una amenaza para el negocio.

https://www.isotools.org/2014/02/05/iso-22301-buenas-practicas-para-la-continuidad-de-negocio/
Software para Sistema de Gestión

de Seguridad y Salud Laboral
DESCÚBRELO
VOLVER AL ÍNDICE
¿DÓNDE ESTAMOS?
Presencia mundial, apoyo local
ISOTools Chile ISOTools Colombia ISOTools México ISOTools Perú

www.isotools.cl www.isotools.com.co www.isotools.com.mx www.isotools.pe
+56 2 2632 1376 +57 1 3470048 +52 5536263909 +52 5536263909
ISOTools Argentina ISOTools Brasil ISOTools Ecuador ISOTools España

+54 11 4943 6310 +55 11 2677 – 4528 +593-2-2236970 +34 957 102 000
ISOTools Guatemala ISOTools Bolivia ISOTools Panamá ISOTools Costa Rica

+57 1 3470048 +511 4444932 +57 1 3470048 +57 1 3470048
ISOTools Portugal ISOTools Rep. Dominicana ISOTools USA ISOTools Uruguay

+351 253 273 245 +1 829 956 1217 +1 3057777950 +598 – 2623 6656
VOLVER AL ÍNDICE
Quality & Performance
Management Software
www.isotools.org
(+34) 957 102 000

Seminario Iso 9001 2015 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Seminario Iso 9001 2015 PDF

Uploaded by

Copyright:

Available Formats

Los 50 mejores artículos

publicados a lo largo de 2014

Los 50 EXCELENTES de ISOTools en 2014 2

Seguridad y Salud Laboral 68

Los 50 EXCELENTES de ISOTools en 2014 3

El software más fácil e

CONTACTA CON UN CONSULTOR EXPERTO

Los 50 EXCELENTES de ISOTools en 2014 4

Existe un ISOTools único

SISTEMAS DE GESTIÓN MODELOS DE EXCELENCIA

Riesgos y Seguridad Personas

CONTACTA CON UN CONSULTOR EXPERTO

Los 50 EXCELENTES de ISOTools en 2014 5

%% Optimizar sus modelos y sistemas de gestión aportando soluciones innovadoras para la

%% Facilitar su aplicación, haciéndolos accesibles, ágiles y medibles, y aportando resultados en

Somos Consultoría Estratégica Somos Innovación Tecnológica

CONTACTA CON UN CONSULTOR EXPERTO

Los 50 EXCELENTES de ISOTools en 2014 6

CALIDAD Requisitos necesarios para que

Por lo que las universidades deberán:

%% Definir los procesos necesarios para el sistema de gestión de la calidad y su aplicación a

La mayoría de las universidades que no consiguen implementar exitosamente el si Sistema de

Los 50 EXCELENTES de ISOTools en 2014 8

parte de la organización. La obtención de la certificación no se limita al cumplimiento de los

La probabilidad de éxito en la implantación del Sistema de Gestión de Calidad basado en

La Plataforma Tecnológica ISOTools ayuda a las organizaciones a resolver de un modo muy

LEE ESTE ARTÍCULO EN EL BLOG

Los 50 EXCELENTES de ISOTools en 2014 10

CALIDAD Implantación de la ISO 9001 en el

El Plan de Calidad es un documento que incluye el Sistema de Gestión de la Calidad de una

%% Disminución de los gastos administrativos y operativos.

Los 50 EXCELENTES de ISOTools en 2014 11

%% Retrasos en los plazos de entregas lo que provocará multas.

La Plataforma Tecnológica ISOTools va a ayudar a las organizaciones del sector de la cons-

LEE ESTE ARTÍCULO EN EL BLOG

Los 50 EXCELENTES de ISOTools en 2014 12

CALIDAD ¿Por qué certificarse con la nueva

Las organizaciones tras obtener la certificación de la futura norma ISO9001:2015, obtendrán

LEE ESTE ARTÍCULO EN EL BLOG

Los 50 EXCELENTES de ISOTools en 2014 13

CALIDAD Cambios significativos en la nueva

Debido a esto las empresas van a experimentar un incremento de su prestigio, además de su

Todo lo indicado en el párrafo anterior dará lugar a una mejora en el funcionamiento de la

También, se ha llevado a cabo la supresión del término de acciones preventivas que en el

Como existen cambios y modificaciones continuas, la nueva norma ISO9001:2015 integra la

Los 50 EXCELENTES de ISOTools en 2014 14

Con este curso

CALIDAD La identificación de los requisitos

%% Identificación de los requisitos legales: se puede proceder a medir el número de disposi-

Los 50 EXCELENTES de ISOTools en 2014 16

CALIDAD ISO 9001: ¿En qué principios se basan

Debido a la importancia de estos principios y fundamentos de la norma ISO 9001, vemos

Principios de Gestión de la Calidad según la ISO 9001

Para asegurar que un Sistema de Gestión de la Calidad funciona correctamente, es impres-

Antes de continuar hablando sobre el tema, deberíamos de saber a qué principios de la

Las empresas que quieren exhibir la aplicación y cumplimiento de este principio:

%% Realizan procedimientos destinados a entender las necesidades y exigencias de los clientes.

Los 50 EXCELENTES de ISOTools en 2014 17

%% Deben de conocer las necesidades y exigencias de los clientes.

Una organización que aplique y cumpla con el principio de enfoque a clientes:

En una organización, la responsabilidad de lograr y mantener un buen clima de trabajo es

%% Tiene en cuenta las necesidades de las partes interesadas o stakeholder.

A través de la aplicación y cumplimiento de este principio de la calidad, la empresa: